В этой статье
dropdown icon
Новая и измененная информация
    Новая и измененная информация
dropdown icon
Начните работу с многопользовательской гибридной системой безопасности данных
    dropdown icon
    Обзор многопользовательской гибридной безопасности данных
      Как многопользовательская гибридная система безопасности данных обеспечивает суверенитет данных и контроль над ними
      Ограничения многопользовательской гибридной безопасности данных
      Роли в многопользовательской гибридной безопасности данных
    dropdown icon
    Архитектура сферы безопасности
      Разделение сфер (без гибридной защиты данных)
    Сотрудничество с другими организациями
    Ожидания от развертывания гибридной системы безопасности данных
    Процесс настройки высокого уровня
    dropdown icon
    Гибридная модель развертывания безопасности данных
      Гибридная модель развертывания безопасности данных
    dropdown icon
    Резервный центр обработки данных для аварийного восстановления
      Ручное переключение на резервный центр обработки данных
    Поддержка прокси
dropdown icon
Подготовка среды
    dropdown icon
    Требования к безопасности многопользовательских гибридных данных
      Требования к лицензии Cisco Webex
      Требования к рабочему столу Docker
      Требования к сертификату X.509
      Требования к виртуальному хосту
      Требования к серверу базы данных
      Требования к внешнему подключению
      Требования к прокси-серверу
    Выполните предварительные условия для гибридной безопасности данных
dropdown icon
Настройте гибридный кластер безопасности данных
    Поток задач по развертыванию гибридной системы безопасности данных
    Выполните первоначальную настройку и загрузите установочные файлы.
    Создайте ISO-образ конфигурации для хостов HDS
    Установка HDS Host OVA
    Настройка гибридной виртуальной машины безопасности данных
    Загрузите и смонтируйте ISO-образ конфигурации HDS
    Настройка узла HDS для интеграции прокси
    Зарегистрируйте первый узел в кластере
    Создайте и зарегистрируйте больше узлов
dropdown icon
Управление организациями арендаторов в многопользовательской гибридной системе безопасности данных
    Активируйте Multi-Tenant HDS на Partner Hub
    Добавьте организации-арендаторы в Partner Hub
    Создайте основные ключи клиента (CMK) с помощью инструмента настройки HDS
    Удалить организации-арендаторы
    Отозвать CMK арендаторов, исключенных из HDS.
dropdown icon
Протестируйте развертывание гибридной системы безопасности данных
    Протестируйте свое гибридное развертывание системы безопасности данных
    Мониторинг состояния безопасности гибридных данных
dropdown icon
Управляйте развертыванием HDS
    Управление развертыванием HDS
    Установить график обновления кластера
    Изменить конфигурацию узла
    Отключение режима блокировки разрешения внешних DNS
    Удалить узел
    Аварийное восстановление с использованием резервного центра обработки данных
    (Необязательно) Размонтируйте ISO после настройки HDS
dropdown icon
Устранение неполадок безопасности гибридных данных
    Просмотр оповещений и устранение неполадок
    dropdown icon
    Предупреждения
      Распространенные проблемы и шаги по их решению
    Устранение неполадок безопасности гибридных данных
dropdown icon
Другие заметки
    Известные проблемы безопасности гибридных данных
    Запустите средство настройки HDS с помощью Podman Desktop
    dropdown icon
    Переместите существующее развертывание однопользовательской HDS партнерской организации в Control Hub в многопользовательскую настройку HDS в Partner Hub.
      Деактивируйте HDS, отмените регистрацию узлов и удалите кластер в Control Hub
      Активируйте Multi-Tenant HDS для партнерской организации в Partner Hub и добавьте клиентов
    Используйте OpenSSL для создания файла PKCS12
    Трафик между узлами HDS и облаком
    dropdown icon
    Настройка прокси Squid для безопасности данных гибридного типа
      Невозможно выполнить подключение веб-сокетов через прокси Squid
dropdown icon
Деактивировать многопользовательскую гибридную защиту данных
    Поток задач деактивации многопользовательского HDS
22 мая 2025 г. | 7 – просмотры | 0 – пользователи, которые сочли этот материал полезным

Руководство по развертыванию многопользовательской гибридной системы безопасности данных (HDS) (бета-версия)

list-menuВ этой статье
list-menuОтправить обратную связь?

Новая и измененная информация

Новая и измененная информация

В этой таблице описаны новые функции или функциональные возможности, изменения существующего контента, а также любые серьезные ошибки, исправленные в руководстве по развертыванию службы безопасности данных гибридного типа с несколькими клиентами.

Дата

Внесены изменения

13 декабря 2024 г.

Первый выпуск.

Деактивация службы безопасности данных гибридного типа с несколькими клиентами

Алгоритм выполнения задач по деактивации HDS с несколькими клиентами

Чтобы полностью деактивировать HDS с несколькими клиентами, выполните приведенные ниже действия.

Перед началом работы

Эту задачу должен выполнять только администратор партнера с полными правами.
1

Удалите всех клиентов из всех кластеров, как указано в разделе Удаление клиентских организаций.

2

Отозвать CMK всех клиентов, как указано в статье Отозвать CMK клиентов, удаленных из HDS.

3

Удалите все узлы из всех кластеров, как описано в разделе Удаление узла.

4

Удалите все кластеры из Partner Hub одним из следующих двух способов.

  • Щелкните кластер, который необходимо удалить, и выберите Удалить этот кластер в правом верхнем углу страницы обзора.
  • На странице "Ресурсы" щелкните ... в правой части кластера и выберите Удалить кластер.
5

Щелкните вкладку Настройки на странице обзора безопасности данных гибридного типа и щелкните Деактивировать HDS на карточке состояния HDS.

Начало работы с системой безопасности данных гибридного типа с поддержкой нескольких клиентов

Общие сведения о безопасности данных гибридного типа для нескольких клиентов

С самого начала безопасность данных была главной задачей при разработке приложения Webex. В основе этой безопасности лежит сквозное шифрование контента, которое обеспечивается клиентами приложения Webex, взаимодействующими со службой управления ключами (KMS). KMS отвечает за создание и управление криптографическими ключами, которые используются клиентами для динамического шифрования и расшифровки сообщений и файлов.

По умолчанию для всех клиентов приложения Webex обеспечивается сквозное шифрование с использованием динамических ключей, которые хранятся в облаке KMS в области безопасности Cisco. Служба безопасности данных гибридного типа перемещает KMS и другие функции безопасности в корпоративный центр обработки данных, поэтому доступ к ключам для зашифрованного контента будет только у вас.

Служба безопасности данных гибридного типа с поддержкой нескольких клиентов позволяет организациям использовать HDS через доверенного локального партнера, который может выполнять функции поставщика услуг и управлять локальным шифрованием и другими службами безопасности. Эта настройка позволяет партнерской организации осуществлять полный контроль над развертыванием ключей шифрования и управлением ими, а также обеспечивает безопасность данных пользователей клиентских организаций от внешнего доступа. Партнерские организации настраивают экземпляры HDS и при необходимости создают кластеры HDS. Каждый экземпляр может поддерживать несколько клиентских организаций, в отличие от обычного развертывания HDS, которое ограничено одной организацией.

Партнерские организации контролируют развертывание и управление, однако у них нет доступа к данным и контенту, созданным клиентами. Этот доступ ограничен клиентскими организациями и их пользователями.

Это также позволяет небольшим организациям использовать HDS, поскольку служба управления ключами и инфраструктура безопасности, например центры обработки данных, принадлежат доверенному локальному партнеру.

Как служба безопасности данных гибридного типа с несколькими клиентами обеспечивает суверенитет и управление данными

  • Созданный пользователем контент защищен от внешнего доступа, например от поставщиков облачных услуг.
  • Локальные доверенные партнеры управляют ключами шифрования клиентов, с которыми они уже установили взаимоотношения.
  • Параметр для локальной технической поддержки, если она предоставлена партнером.
  • Поддержка контента совещаний, обмена сообщениями и вызовов.

Этот документ предназначен для помощи партнерским организациям в настройке клиентов и управлении ими в системе безопасности данных гибридного типа с несколькими клиентами.

Роли в службе безопасности данных гибридного типа с несколькими клиентами

  • Администратор партнера с полными правами : может управлять настройками для всех клиентов, которыми управляет партнер. Также может назначать роли администратора существующим пользователям в организации и назначать определенных клиентов, которыми будут управлять администраторы партнера.
  • Администратор партнера . Может управлять настройками клиентов, подготовленных администратором или назначенных пользователю.
  • Администратор с полными правами . Администратор партнерской организации, уполномоченный выполнять такие задачи, как изменение настроек организации, управление лицензиями и назначение ролей.
  • Сквозная настройка HDS с несколькими клиентами и управление ими всех клиентских организаций . Требуются права администратора партнера с полными правами и администратора с полными правами.
  • Управление назначенными организациями клиента : требуются права администратора партнера и полного администратора.

Архитектура области безопасности

Облачная архитектура Webex разбивает различные типы служб на отдельные области или домены доверия, как показано ниже.

Области разделения (без службы безопасности данных гибридного типа)

Чтобы получить дополнительные сведения о безопасности данных гибридного типа, давайте сначала рассмотрим этот облачный случай, в котором компания Cisco предоставляет все функции в облачных областях. Служба удостоверений – единственное место, где пользователи могут напрямую соотнести с их персональной информацией, такой как адрес электронной почты, логически и физически отделена от области безопасности в центре обработки данных B. Обе службы в свою очередь отделены от области, в которой в конечном итоге хранится зашифрованный контент, в центре обработки данных C.

На этой схеме клиент представляет собой приложение Webex, запущенное на ноутбуке пользователя и прошедшее аутентификацию с помощью службы удостоверений. При написании пользователем сообщения для отправки в пространство выполняются следующие действия.

  1. Клиент устанавливает безопасное соединение со службой управления ключами (KMS), затем запрашивает ключ для шифрования сообщения. Защищенное соединение использует ECDH, а KMS шифрует ключ с помощью главного ключа AES-256.

  2. Сообщение шифруется до выхода из клиента. Клиент отправляет его в службу индексации, которая создает зашифрованные индексы поиска для помощи в будущих поисковых запросах контента.

  3. Зашифрованное сообщение отправляется в службу обеспечения соответствия для проверки соответствия.

  4. Зашифрованное сообщение хранится в области хранилища.

При развертывании службы безопасности данных гибридного типа функции области безопасности (KMS, индексация и соответствие требованиям) перемещаются в локальный центр обработки данных. Другие облачные службы, которые составляют Webex (включая идентификационные данные и хранилище контента), остаются в сферах Cisco.

Сотрудничество с Другими Организациями

Пользователи в вашей организации могут регулярно использовать приложение Webex для совместной работы с внешними участниками из других организаций. Когда один из пользователей запрашивает ключ для пространства, принадлежащего вашей организации (поскольку он был создан одним из пользователей), KMS отправляет ключ клиенту по защищенному каналу ECDH. Однако если ключ для пространства принадлежит другой организации, KMS перенаправляет запрос в облако Webex через отдельный канал ECDH для получения ключа от соответствующего KMS, а затем возвращает ключ пользователю в исходном канале.

Служба KMS, запущенная в организации A, проверяет подключения к KMS в других организациях с помощью сертификатов PKI x.509. Подробные сведения о создании сертификата x.509 для использования с развертыванием службы безопасности данных гибридного типа с несколькими клиентами см. в статье Подготовка среды .

Ожидания развертывания службы безопасности данных гибридного типа

Развертывание службы безопасности данных гибридного типа требует значительных обязательств и осознания рисков, связанных с хранением ключей шифрования.

Для развертывания службы безопасности данных гибридного типа необходимо предоставить:

Полная потеря конфигурации ISO, созданной для службы безопасности данных гибридного типа, или предоставленной базы данных приведет к потере ключей. Потеря ключей предотвращает расшифровку контента пространства и других зашифрованных данных в приложении Webex пользователями. В этом случае можно создать новое развертывание, однако будет отображаться только новый контент. Во избежание потери доступа к данным необходимо выполнить приведенные ниже действия.

  • Управление резервным копированием и восстановлением базы данных и конфигурации ISO.

  • Будьте готовы к быстрому аварийному восстановлению в случае аварии, например, сбою диска базы данных или сбою центра обработки данных.

Механизм для перемещения ключей обратно в облако после развертывания HDS отсутствует.

Высокоуровневый процесс настройки

В этом документе описана настройка и управление развертыванием службы безопасности данных гибридного типа с несколькими клиентами.

  • Настройка безопасности данных гибридного типа. Это включает подготовку необходимой инфраструктуры и установку программного обеспечения безопасности данных гибридного типа, создание кластера HDS, добавление клиентских организаций в кластер и управление их главными ключами клиента (CMK). Это позволит всем пользователям клиентских организаций использовать кластер безопасности данных гибридного типа для функций безопасности.

    Этапы настройки, активации и управления подробно описаны в следующих трех главах.

  • Поддержка развертывания службы безопасности данных гибридного типа: облако Webex автоматически обеспечивает непрерывную модернизацию. Ваш отдел ИТ может предоставлять поддержку первого уровня для этого развертывания и при необходимости привлекать поддержку Cisco. В Partner Hub можно использовать экранные уведомления и настроить предупреждения на основе электронной почты.

  • Общие предупреждения, действия по устранению неполадок и известные проблемы. При возникновении проблем с развертыванием или использованием службы безопасности данных гибридного типа можно определить и устранить проблему с помощью последней главы этого руководства и приложения "Известные проблемы".

Модель развертывания службы безопасности данных гибридного типа

В корпоративном центре обработки данных служба безопасности данных гибридного типа будет развернута в виде одного кластера узлов на отдельных виртуальных узлах. Узлы связываются с облаком Webex с помощью защищенных веб-сокетов и защищенного HTTP.

Во время процесса установки предоставляется файл OVA для настройки виртуального устройства на предоставленных вами виртуальных машинах. Инструмент настройки HDS используется для создания пользовательского файла конфигурации кластера ISO, который устанавливается на каждом узле. Кластер безопасности данных гибридного типа использует предоставленный сервер Syslogd и базу данных PostgreSQL или Microsoft SQL Server. (Сведения о соединении Syslogd и базы данных можно настроить в инструменте настройки HDS.)

Модель развертывания службы безопасности данных гибридного типа

Минимальное количество узлов в кластере: два. Рекомендуется не менее трех на кластер. Наличие нескольких узлов гарантирует, что во время модернизации программного обеспечения или других действий по техническому обслуживанию узла служба не будет прерываться. (Облако Webex модернизирует только один узел за раз.)

Все узлы в кластере имеют доступ к одному хранилищу данных и активности журналов на один и тот же сервер системных журналов. Сами узлы не имеют состояния и обрабатывают запросы на ключ в циклическом порядке, как направляется облаком.

Узлы становятся активными при регистрации в партнерском центре. Чтобы вывести отдельный узел из эксплуатации, можно отменить его регистрацию, а затем, при необходимости, повторно зарегистрировать его.

Резервный центр обработки данных для аварийного восстановления

Во время развертывания вы настраиваете защищенный резервный центр обработки данных. В случае аварии центра обработки данных можно вручную перенести развертывание на резервный центр обработки данных.

Перед отказом в центре обработки данных A есть активные узлы HDS и основная база данных PostgreSQL или Microsoft SQL Server, в то время как в B есть копия файла ISO с дополнительными конфигурациями, ВМ, зарегистрированные в организации, и резервная база данных. После отработки отказа центр обработки данных B имеет активные узлы HDS и основную базу данных, в то время как у A есть незарегистрированные виртуальные машины и копия файла ISO, а база данных находится в режиме ожидания.
Ручное переключение на резервный центр обработки данных

Базы данных активных и резервных центров обработки данных синхронизируются друг с другом, что позволит свести к минимуму время, затрачиваемое на выполнение отработки отказа.

Активные узлы безопасности данных гибридного типа всегда должны находиться в одном центре обработки данных с активным сервером базы данных.

Поддержка прокси

Служба безопасности данных гибридного типа поддерживает явные прокси, прозрачные прокси с проверкой и прокси без проверки. Чтобы обеспечить защиту и мониторинг трафика из сети предприятия в облако, можно связать эти прокси с развертыванием. После настройки прокси на узлах административный интерфейс платформы на узлах можно использовать для управления сертификатами и просмотра общего состояния соединений.

Узлы безопасности данных гибридного типа поддерживают указанные далее параметры прокси.

  • Нет прокси. Значение по умолчанию, если для интеграции прокси не используется конфигурация доверенного хранилища и прокси для настройки узла HDS. Обновление сертификата не требуется.

  • Прозрачный прокси без проверки. Узлы не настроены для использования адреса определенного прокси-сервера и не должны требовать каких-либо изменений для работы с прокси без проверки. Обновление сертификата не требуется.

  • Прозрачный туннелирование или прокси с проверкой. Узлы не настроены для использования адреса определенного прокси-сервера. На узлах не нужно изменять конфигурацию HTTP или HTTPS. Как бы то ни было, для обеспечения доверия прокси узлам необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже HTTPS).

  • Явный прокси. При использовании явного прокси необходимо указать прокси-сервер и схему аутентификации узлам HDS. Для настройки явного прокси на каждом узле нужно ввести следующую информацию.

    1. IP/FQDN прокси. Адрес, который можно использовать для связи с прокси-машиной.

    2. Порт прокси. Номер порта, который прокси использует для прослушивания прокси-трафика.

    3. Proxy Protocol (Протокол прокси). В зависимости от поддержки прокси-сервера выберите один из следующих протоколов.

      • HTTP – просматривает все запросы, отправляемые клиентом, и управляет этими запросами.

      • HTTPS – обеспечивает работу канала связи с сервером. Клиент получает и проверяет сертификат сервера.

    4. Тип аутентификации: выберите один из приведенных ниже типов аутентификации.

      • Нет. Дальнейшая аутентификация не требуется.

        Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.

      • Базовый: используется для агента пользователя HTTP для указания имени пользователя и пароля при совершении запроса. Использует кодировку Base64.

        Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.

        Требует ввода имени пользователя и пароля на каждом узле.

      • Дайджест. Используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети.

        Этот параметр доступен только в том случае, если в качестве протокола прокси выбран протокол HTTPS.

        Требует ввода имени пользователя и пароля на каждом узле.

Пример узлов безопасности данных гибридного типа и прокси

На этой схеме представлен пример соединения между системой безопасности данных гибридного типа, сетью и прокси. При использовании прозрачного прокси с проверкой или явного прокси с проверкой HTTPS на прокси и узлы безопасности данных гибридного типа необходимо установить один и тот же корневой сертификат.

Режим блокировки разрешения внешних DNS (конфигурации явного прокси)

При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. В развертываниях с конфигурациями явного прокси, которые не допускают разрешения внешних DNS для внутренних клиентов, если узел не может посылать запросы на DNS-серверы, он автоматически переходит в режим блокировки разрешения внешних DNS. В этом режиме можно продолжить регистрацию узла и другие тестирования подключения к прокси.

Подготовка среды

Требования к безопасности данных гибридного типа с несколькими клиентами

Требования к лицензии Cisco Webex

Развертывание службы безопасности данных гибридного типа с несколькими клиентами.

  • Партнерские организации: Обратитесь к своему партнеру Cisco или менеджеру по работе с клиентами и убедитесь, что функция "Несколько клиентов" включена.

  • Организации клиентов: Необходима профессиональная версия Cisco Webex Control Hub. См. https://www.cisco.com/go/pro-pack.

Требования к рабочему столу Docker

Перед установкой узлов HDS необходимо запустить программу настройки с помощью Docker Desktop. Docker недавно обновил свою модель лицензирования. Для вашей организации может потребоваться платная подписка на Docker Desktop. Подробности см. в записи блога Docker, " Docker обновляет и расширяет подписки на продукты".

Требования к сертификату X.509

Цепочка сертификатов должна соответствовать следующим требованиям:

Таблица 1. Требования к сертификату X.509 для развертывания системы безопасности данных гибридного типа

Требование

Подробности

  • Подписано доверенным центром сертификации (ЦС)

По умолчанию мы доверяем ЦС в списке Mozilla (за исключением WoSign и StartCom) по адресу https://wiki.mozilla.org/CA:IncludedCAs.

  • Носит доменное имя общего имени (CN), идентифицирующее развертывание службы безопасности данных гибридного типа.

  • Не является групповым сертификатом

CN не требуется, чтобы он был доступен или был организатором в режиме реального времени. Рекомендуется использовать название, отражающее вашу организацию, например hds.company.com.

CN не должен содержать * (подстановочный знак).

CN используется для проверки узлов безопасности данных гибридного типа для клиентов приложения Webex. Все узлы безопасности данных гибридного типа в кластере используют один и тот же сертификат. Ваш KMS идентифицирует себя с помощью домена CN, а не любого домена, определенного в полях SAN x.509v3.

После регистрации узла с этим сертификатом изменение доменного имени CN не поддерживается.

  • Подпись без SHA1

Программное обеспечение KMS не поддерживает подписи SHA1 для проверки подключений к KMS других организаций.

  • Отформатирован в виде файла PKCS #12, защищенного паролем

  • Используйте понятное имя kms-private-key для тегов сертификата, закрытого ключа и всех промежуточных сертификатов для загрузки.

Для изменения формата сертификата можно использовать преобразователь, например OpenSSL.

При запуске инструмента настройки HDS потребуется ввести пароль.

Программное обеспечение KMS не обеспечивает принудительное использование ключа или расширенные ограничения на его использование. Некоторые центры сертификации требуют, чтобы к каждому сертификату применялись расширенные ограничения на использование ключей, например аутентификация сервера. Использовать аутентификацию сервера или другие настройки можно.

Требования к виртуальному организатору

Виртуальные узлы, которые будут настроены в качестве узлов безопасности данных гибридного типа в кластере, имеют следующие требования:

  • По крайней мере два отдельных узла (рекомендуется 3) размещены в одном защищенном центре обработки данных

  • Установлена и запущена VMware ESXi 6.5 (или более поздняя версия).

    При наличии более ранней версии ESXi необходимо выполнить модернизацию.

  • Минимум 4 ЦП, 8 ГБ основной памяти, 30 ГБ локального жесткого диска на сервер

Требования к серверу базы данных

Создайте новую базу данных для хранилища ключей. Не используйте базу данных по умолчанию. Приложения HDS при установке создают схему базы данных.

Существует два варианта сервера баз данных. Требования для каждого из них приведены ниже.

Таблица 2. Требования к серверу базы данных в разрезе типов базы данных

PostgreSQL

Сервер Microsoft SQL

  • Установленный и запущенный PostgreSQL 14, 15 или 16.

  • Установлен SQL Server 2016, 2017 или 2019 (корпоративный или стандартный).

    Для SQL Server 2016 требуется пакет обновления 2 и накопительное обновление 2 или более поздняя версия.

Минимум 8 виртуальных ЦП, 16 ГБ основной памяти, достаточное пространство на жестком диске и мониторинг для обеспечения его отсутствия (рекомендуется 2 ТБ, если необходимо запустить базу данных в течение длительного времени без увеличения объема хранилища)

Минимум 8 виртуальных ЦП, 16 ГБ основной памяти, достаточное пространство на жестком диске и мониторинг для обеспечения его отсутствия (рекомендуется 2 ТБ, если необходимо запустить базу данных в течение длительного времени без увеличения объема хранилища)

Программное обеспечение HDS в настоящее время устанавливает следующие версии драйверов для связи с сервером базы данных:

PostgreSQL

Сервер Microsoft SQL

Драйвер JDBC Postgres 42.2.5

Драйвер JDBC 4.6 для SQL-сервера

Эта версия драйвера поддерживает SQL Server Always On (экземпляры отказоустойчивого кластера и группы доступности Always On).

Дополнительные требования для аутентификации Windows на Microsoft SQL Server

Если необходимо, чтобы узлы HDS использовали аутентификацию Windows для получения доступа к базе данных хранилища ключей на Microsoft SQL Server, в вашей среде потребуется следующая конфигурация:

  • Узлы HDS, инфраструктура Active Directory и сервер MS SQL должны быть синхронизированы с NTP.

  • Учетная запись Windows, которую вы предоставляете узлам HDS, должна иметь доступ к базе данных для чтения и записи.

  • Серверы DNS, предоставляемые узлам HDS, должны иметь возможность разрешать центр распределения ключей (KDC).

  • Экземпляр базы данных HDS можно зарегистрировать на сервере Microsoft SQL в качестве главного имени службы (SPN) в Active Directory. См. статью Регистрация имени участника службы для Kerberos Connections.

    Инструмент настройки HDS, программа запуска HDS и локальный KMS должны использовать аутентификацию Windows для доступа к базе данных хранилища ключей. Они используют сведения из конфигурации ISO для создания SPN при запросе доступа с аутентификацией Kerberos.

Требования к внешнему подключению

Настройте брандмауэр, чтобы разрешить следующее подключение для приложений HDS:

Приложение

Протокол

Порт

Направление из приложения

Адресат

Узлы безопасности данных гибридного типа

Протокол TCP

443

Исходящие HTTPS и WSS

  • Серверы Webex:

    • *.wbx2.com

    • *.ciscospark.com

  • Все хосты Common Identity

  • Другие URL-адреса, перечисленные для службы безопасности данных гибридного типа в таблице Дополнительные URL-адреса для служб гибридного типа Webex раздела Требования к сети для служб Webex

Инструмент настройки HDS

Протокол TCP

443

HTTPS для исходящих вызовов

  • *.wbx2.com

  • Все хосты Common Identity

  • hub.docker.com

Узлы безопасности данных гибридного типа работают с преобразованием сетевого доступа (NAT) или за брандмауэром, если NAT или брандмауэр допускает необходимые исходящие соединения с адресатами домена в таблице выше. Для соединений, поступающих на узлы безопасности данных гибридного типа, порты не должны отображаться из Интернета. В центре обработки данных клиентам необходим доступ к узлам безопасности данных гибридного типа на портах 443 и 22 TCP в административных целях.

URL-адреса узлов общих параметров идентификации (CI) специфичны для региона. Ниже приведены текущие узлы CI.

Регион

URL-адреса хостов общих параметров идентификации

Северная и Южная Америка

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Европейский союз

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Канада

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Сингапур

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Объединенные Арабские Эмираты

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Требования к прокси-серверу

  • Мы официально поддерживаем следующие решения для прокси, которые можно интегрировать с узлами безопасности данных гибридного типа:

  • Поддерживаются следующие комбинации типов аутентификации для явных прокси:

    • без аутентификации при использовании HTTP или HTTPS;

    • базовая аутентификация при использовании HTTP или HTTPS;

    • дайджест-аутентификация только при использовании HTTPS;

  • При наличии прозрачного прокси с проверкой или явного прокси HTTPS необходимо иметь копию корневого сертификата прокси. Инструкции по развертыванию, приведенные в этом руководстве, содержат информацию о том, как загрузить эту копию в зоны доверия узлов безопасности данных гибридного типа.

  • Сеть, в которой размещены узлы HDS, должна обеспечивать принудительную маршрутизацию исходящего трафика TCP на порте 443 через прокси.

  • Прокси, проверяющие веб-трафик, могут нарушать работу соединений веб-сокетов. Для устранения этой проблемы трафик следует направить в обход (без проверки) на wbx2.com и *.teams.webex.com.

Выполнение предварительных требований для службы безопасности данных гибридного типа

Используйте этот перечень действий, чтобы убедиться в готовности к установке и настройке кластера безопасности данных гибридного типа.
1

Убедитесь, что в партнерской организации включена функция HDS с несколькими клиентами, и получите учетные данные учетной записи с полными правами администратора партнера и полными правами администратора. Убедитесь, что для клиентской организации Webex включена профессиональная версия Cisco Webex Control Hub. Обратитесь за помощью к своему партнеру Cisco или менеджеру по работе с клиентами.

У клиентских организаций не должно быть существующего развертывания HDS.

2

Выберите имя домена для развертывания HDS (например, hds.company.com) и получите цепочку сертификатов, содержащую сертификат X.509, закрытый ключ и любые промежуточные сертификаты. Цепочка сертификатов должна соответствовать требованиям, указанным в разделе Требования к сертификатам X.509.

3

Подготовьте идентичные виртуальные узлы, которые будут настроены в качестве узлов безопасности данных гибридного типа в кластере. Необходимо разместить не менее двух отдельных организаторов (рекомендуется 3) в одном и том же защищенном центре обработки данных, который соответствует требованиям в разделе Требования к виртуальному организатору.

4

Подготовьте сервер базы данных, который будет использоваться в качестве хранилища ключевых данных для кластера в соответствии с требованиями сервера базы данных. Сервер базы данных должен быть размещен в защищенном центре обработки данных с виртуальными хостами.

  1. Создайте базу данных для хранилища ключей. (Необходимо создать эту базу данных. Не используйте базу данных по умолчанию. Приложения HDS при установке создают схему базы данных.)

  2. Соберите сведения, которые узлы будут использовать для связи с сервером базы данных.

    • имя хоста или IP-адрес (хост) и порт

    • имя базы данных (dbname) для хранилища ключей

    • имя пользователя и пароль пользователя со всеми правами в базе данных хранилища ключей

5

Для быстрого аварийного восстановления настройте резервную среду в другом центре обработки данных. Резервная среда дублирует производственную среду виртуальных машин и сервер базы данных резервного копирования. Например, если в производственной среде есть 3 виртуальных машины с узлами HDS, резервная среда должна иметь 3 виртуальных машины.

6

Настройте узел системного журнала для сбора журналов с узлов в кластере. Соберите сетевой адрес и порт системного журнала (по умолчанию UDP 514).

7

Создайте политику безопасного резервного копирования для узлов безопасности данных гибридного типа, сервера базы данных и узла системного журнала. Как минимум, чтобы предотвратить необратимую потерю данных, необходимо создать резервную копию базы данных и файла конфигурации ISO, созданного для узлов безопасности данных гибридного типа.

Поскольку узлы безопасности данных гибридного типа хранят ключи, используемые при шифровании и расшифровке контента, невыполнение оперативного развертывания приведет к НЕОБРАТИМОЙ ПОТЕРЕ этого контента.

Клиенты приложения Webex кэшируют свои ключи, поэтому сбои могут не сразу стать заметными, но со временем станут очевидными. Временные перебои невозможно предотвратить, но их можно восстановить. Однако полная потеря базы данных или файла конфигурации ISO (нет доступных резервных копий) приведет к невозможности восстановления данных клиента. Ожидается, что операторы узлов безопасности данных гибридного типа осуществляют частые резервные копии базы данных и файла конфигурации ISO и будут готовы к обновлению центра обработки данных службы безопасности данных гибридного типа в случае катастрофической ошибки.

8

Убедитесь, что конфигурация брандмауэра разрешает соединение для узлов безопасности данных гибридного типа, как описано в разделе Требования к внешнему подключению.

9

Установите Docker (https://www.docker.com) на любом локальном компьютере, на котором запущена поддерживаемая ОС (64-разрядная версия Microsoft Windows 10 Professional или Enterprise или Mac OSX Yosemite 10.10.3 или более поздняя версия) с веб-браузером, с помощью которого можно получить доступ на странице http://127.0.0.1:8080.

Экземпляр Docker используется для скачивания и запуска инструмента настройки HDS, который создает информацию локальной конфигурации для всех узлов безопасности данных гибридного типа. Вам может понадобиться лицензия Docker Desktop. Дополнительную информацию см. в статье Требования к рабочему столу Docker .

Для установки и запуска инструмента настройки HDS локальная машина должна иметь подключение, описанное в разделе Требования к внешнему подключению.

10

При интеграции прокси с системой безопасности данных гибридного типа убедитесь, что он соответствует требованиям к прокси-серверу.

Настройка кластера безопасности данных гибридного типа

Алгоритм выполнения задач по развертыванию службы безопасности данных гибридного типа

Перед началом работы

1

Выполните начальную настройку и скачайте файлы установки

Скачайте файл OVA на локальный компьютер для дальнейшего использования.

2

Создание ISO конфигурации для узлов HDS

Используйте инструмент настройки HDS для создания файла конфигурации ISO для узлов безопасности данных гибридного типа.

3

Установка файла OVA узла HDS

Создайте виртуальную машину из файла OVA и выполните начальную конфигурацию, например параметры сети.

Параметр настройки сети во время развертывания OVA протестирован в ESXi 6.5. Этот параметр может быть недоступен в более ранних версиях.

4

Настройка виртуальной машины безопасности данных гибридного типа

Войдите в консоль виртуальной машины и задайте учетные данные для входа. Настройте параметры сети для узла, если они не были настроены во время развертывания файла OVA.

5

Загрузка и установка ISO конфигурации HDS

Настройте виртуальную машину из файла конфигурации ISO, созданного с помощью инструмента настройки HDS.

6

Настройка узла HDS для интеграции прокси

Если в сетевой среде требуется конфигурация прокси, укажите тип прокси, который будет использоваться для узла, и при необходимости добавьте сертификат прокси в доверенное хранилище.

7

Регистрация первого узла в кластере

Зарегистрируйте виртуальную машину в облаке Cisco Webex в качестве узла безопасности данных гибридного типа.

8

Создать и зарегистрировать другие узлы

Завершите настройку кластера.

9

Активируйте HDS с несколькими клиентами в Partner Hub.

Активируйте HDS и управляйте организациями клиентов в Partner Hub.

Выполните начальную настройку и скачайте файлы установки

В этой задаче вы скачаете файл OVA на свой компьютер (а не на серверы, настроенные в качестве узлов безопасности данных гибридного типа). Этот файл будет использован позже в процессе установки.

1

Войдите в Partner Hub и щелкните Службы.

2

В разделе облачных служб найдите карточку безопасности данных гибридного типа и щелкните Настройка.

3

Щелкните Добавить ресурс и щелкните Скачать файл OVA на карточке Установка и настройка программного обеспечения .

Более ранние версии пакета программного обеспечения (OVA) не будут совместимы с последними модернизациями безопасности данных гибридного типа. Это может привести к ошибкам во время модернизации приложения. Убедитесь, что скачано последнюю версию файла OVA.

Кроме того, файл OVA можно скачать в любой момент в разделе Справка . Щелкните Настройки > Справка > Скачать программное обеспечение безопасности данных гибридного типа.

Скачивание файла OVA начнется автоматически. Сохраните файл в местоположении на своем компьютере.
4

При необходимости щелкните Просмотреть руководство по развертыванию службы безопасности данных гибридного типа , чтобы проверить доступность более поздней версии этого руководства.

Создание ISO конфигурации для узлов HDS

Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.

Прежде чем начать
1

Введите соответствующую команду для вашей среды в командной строке компьютера.

В обычных средах:

docker rmi ciscocitg/hds-setup:stable

В средах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать.

2

Чтобы войти в реестр образов Docker, введите следующее.

docker login -u hdscustomersro
3

Введите в запросе пароля этот хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Скачайте последнюю стабильную версию образа для вашей среды.

В обычных средах:

docker pull ciscocitg/hds-setup:stable

В средах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

По завершении скачивания введите соответствующую команду для вашей среды.

  • В обычных средах без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • В обычных средах с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В обычных средах с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В средах FedRAMP без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

6

Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу.

Перейдите к локальному узлу http://127.0.0.1:8080 с помощью веб-браузера и введите имя пользователя администратора для Partner Hub в окне подсказки.

Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартную подсказку для входа в систему.

7

При отображении соответствующего запроса введите учетные данные для входа администратора Partner Hub и щелкните Войти , чтобы разрешить доступ к необходимым службам для службы безопасности данных гибридного типа.

8

На странице обзора инструмента настройки щелкните Начало работы.

9

На странице Импорт ISO доступны следующие параметры.

  • Нет. Если вы создаете первый узел HDS, у вас нет файла ISO для загрузки.
  • Да. Если вы уже создали узлы HDS, выберите файл ISO в окне просмотра и загрузите его.
10

Проверьте, соответствует ли сертификат X.509 требованиям к сертификатам X.509.

  • Если сертификат ранее не загружался, загрузите сертификат X.509, введите пароль и щелкните Продолжить.
  • Если сертификат в ОК, щелкните Продолжить.
  • Если срок действия сертификата истек или вы хотите заменить его, выберите Нет для параметра Продолжить использование цепочки сертификатов HDS и закрытого ключа из предыдущего ISO?. Загрузите новый сертификат X.509, введите пароль и щелкните Продолжить.
11

Введите адрес базы данных и учетную запись HDS для доступа к хранилищу данных ключей:

  1. Выберите Тип базы данных (PostgreSQL или Microsoft SQL Server).

    При выборе Microsoft SQL Server появится поле "Тип аутентификации".

  2. (Только Microsoft SQL Server ) Выберите Тип аутентификации.

    • Базовая аутентификация. В поле Имя пользователя необходимо указать имя учетной записи локального сервера SQL.

    • Аутентификация Windows. Необходима учетная запись Windows в формате имя_пользователя@ДОМЕН в поле Имя_пользователя .

  3. Введите адрес сервера базы данных в форме : или :.

    Пример:
    dbhost.example.org:1433 или 198.51.100.17:1433

    Если узлы не могут использовать DNS для разрешения имени узла, можно использовать IP-адрес для базовой аутентификации.

    При использовании аутентификации Windows необходимо ввести полное доменное имя в формате dbhost.example.org:1433

  4. Введите имя базы данных.

  5. Введите имя пользователя и пароль пользователя со всеми правами в базе данных хранилища ключей.

12

Выберите Режим подключения к базе данных TLS.

Mode

Описание

Предпочтительное использование TLS (параметр по умолчанию)

Узлам HDS не требуется TLS для подключения к серверу базы данных. Если на сервере базы данных включить TLS, узлы попытаются установить зашифрованное соединение.

Обязательное использование TLS

Подключение узлов HDS будет выполнено только в том случае, если сервер базы данных может согласовывать использование TLS.

Обязательное использование TLS и проверка источника подписи сертификата

Этот режим неприменим к базам данных SQL Server.

  • Подключение узлов HDS будет выполнено только в том случае, если сервер базы данных может согласовывать использование TLS.

  • После установления соединения TLS узел сравнивает подписавшего сертификат сервера базы данных с центром сертификации в корневом сертификате базы данных. При отсутствии совпадения узел разорвет соединение.

Воспользуйтесь элементом управления корневым сертификатом базы данных под раскрывающимся списком, чтобы загрузить корневой сертификат для этого параметра.

Обязательное использование TLS и проверка источника подписи сертификата и имени узла

  • Подключение узлов HDS будет выполнено только в том случае, если сервер базы данных может согласовывать использование TLS.

  • После установления соединения TLS узел сравнивает подписавшего сертификат сервера базы данных с центром сертификации в корневом сертификате базы данных. При отсутствии совпадения узел разорвет соединение.

  • Узлы также проверяют, совпадает ли имя узла в сертификате сервера с именем узла в поле Узел базы данных и порт . Необходимо точное совпадение имен. Иначе узел разорвет соединение.

Воспользуйтесь элементом управления корневым сертификатом базы данных под раскрывающимся списком, чтобы загрузить корневой сертификат для этого параметра.

При загрузке корневого сертификата (при необходимости) и нажатии Продолжить инструмент настройки HDS тестирует подключение TLS к серверу базы данных. Инструмент также выполняет проверку источника подписи сертификата и имени узла (если применимо). Если тест не будет пройден, в инструменте будет отображено сообщение об ошибке с описанием проблемы. Можно выбрать параметр игнорирования ошибки и продолжить настройку. (Из-за различий соединения узлы HDS могут установить соединение TLS, даже если машина средства настройки HDS не может успешно протестировать его.)

13

На странице «Системные журналы» настройте сервер Syslogd:

  1. Введите URL-адрес сервера системного журнала.

    Если сервер не может разрешить DNS из узлов для кластера HDS, используйте IP-адрес в URL.

    Пример:
    udp://10.92.43.23:514 означает вход в хост Syslogd 10.92.43.23 на порте UDP 514.

  2. Если вы настроили на сервере использование шифрования TLS, установите флажок Настроен ли сервер системного журнала для шифрования SSL?.

    Если установить этот флажок, необходимо ввести URL-адрес TCP, например tcp://10.92.43.23:514.

  3. В раскрывающемся списке Выберите прекращение записи системного журнала выберите соответствующую настройку для файла ISO. Выбор или новая линия используется для TCP-протокола Graylog и Rsyslog

    • Нулевой байт -- \x00

    • Новая линия -- \n: выберите этот вариант для TCP-протокола Graylog и Rsyslog.

  4. Щелкните Продолжить.

14

(Необязательно) Можно изменить значение по умолчанию для некоторых параметров подключения к базе данных в разделе Расширенные настройки. Как правило, этот параметр является единственным, который необходимо изменить:

app_datasource_connection_pool_maxРазмер: 10
15

Щелкните Продолжить на экране Сброс пароля учетных записей службы .

Срок действия паролей учетных записей службы составляет девять месяцев. Используйте этот экран, когда срок действия паролей скоро истечет или вы хотите сбросить их, чтобы сделать предыдущие файлы ISO недействительными.

16

Щелкните Скачать файл ISO. Сохраните файл в удобном для поиска местоположении.

17

Сделайте резервную копию файла ISO в локальной системе.

Обеспечьте безопасность резервного копирования. Этот файл содержит главный ключ шифрования для содержимого базы данных. Ограничьте доступ только тем администраторам службы безопасности данных гибридного типа, которые должны вносить изменения в конфигурацию.

18

Чтобы завершить работу инструмента настройки, нажмите CTRL+C.

Дальнейшие действия

Создайте резервную копию файла конфигурации ISO. Это необходимо для создания дополнительных узлов для восстановления или внесения изменений в конфигурацию. В случае утери всех копий файла ISO также был утрачен главный ключ. Невозможно восстановить ключи из базы данных PostgreSQL или Microsoft SQL Server.

У нас никогда не будет копии этого ключа, и мы не можем помочь, если вы его потеряете.

Установка файла OVA узла HDS

Используйте эту процедуру для создания виртуальной машины из файла OVA.
1

Используйте клиент VMware vSphere на компьютере для входа в виртуальный хост ESXi.

2

Выберите Файл > Развернуть шаблон OVF.

3

В мастере укажите расположение скачанного ранее файла OVA и щелкните Далее.

4

На странице Выберите имя и папку введите имя виртуальной машины для узла (например, "HDS_Node_1"), выберите местоположение, в котором может находиться развертывание узла виртуальной машины, и щелкните Далее.

5

На странице Выбор вычислительного ресурса выберите целевой вычислительный ресурс и щелкните Далее.

Выполняется проверка. По завершении отобразятся сведения о шаблоне.

6

Проверьте сведения о шаблоне и щелкните Далее.

7

При появлении запроса на выбор конфигурации ресурса на странице Конфигурация щелкните 4 ЦП , а затем щелкните Далее.

8

На странице Выбор хранилища щелкните Далее , чтобы принять формат диска по умолчанию и политику хранилища виртуальной машины.

9

На странице Выбор сетей выберите параметр сети из списка записей, чтобы обеспечить необходимое подключение к виртуальной машине.

10

На странице Настройка шаблона настройте приведенные ниже параметры сети.

  • Имя узла. Введите FQDN (имя узла и домен) или одно слово имя узла.

    • Настройка домена в соответствии с доменом, который вы использовали для получения сертификата X.509, не требуется.

    • Чтобы обеспечить успешную регистрацию в облаке, используйте только символы нижнего регистра в FQDN или имени узла, заданном для узла. В настоящее время заглавные буквы не поддерживаются.

    • Общая длина FQDN не должна превышать 64 символа.

  • IP-адрес: введите IP-адрес для внутреннего интерфейса узла.

    Узел должен иметь внутренний IP-адрес и имя DNS. DHCP не поддерживается.

  • Маска. Введите адрес маски подсети в десятичном формате. Например, 255.255.255.0.
  • Шлюз: введите IP-адрес шлюза. Шлюз — это сетевой узел, который служит точкой доступа к другой сети.
  • DNS-серверы: введите список DNS-серверов, разделенных запятыми, для обработки перевода доменных имен на числовые IP-адреса. (Разрешено до 4 записей DNS.)
  • NTP Servers (Серверы NTP). Введите сервер NTP вашей организации или другой внешний сервер NTP, который можно использовать в вашей организации. Серверы NTP по умолчанию могут работать не для всех предприятий. Для ввода нескольких NTP-серверов также можно использовать список, разделенный запятыми.

  • Разверните все узлы в одной подсети или VLAN, чтобы все узлы в кластере были доступны из клиентов вашей сети в административных целях.

При необходимости можно пропустить конфигурацию сетевых настроек и выполнить действия, описанные в разделе Настройка виртуальной машины безопасности данных гибридного типа , чтобы настроить параметры с помощью консоли узла.

Параметр настройки сети во время развертывания OVA протестирован в ESXi 6.5. Этот параметр может быть недоступен в более ранних версиях.

11

Щелкните правой кнопкой мыши узел виртуальной машины и выберите Питание > Включение.

Программное обеспечение безопасности данных гибридного типа устанавливается в качестве гостя на узле виртуальной машины. Теперь вы готовы войти в консоль и настроить узел.

Рекомендации по устранению неисправностей

Контейнеры узла могут появиться через несколько минут. Во время первой загрузки на консоли отображается сообщение брандмауэра моста, в течение которого невозможно войти в систему.

Настройка виртуальной машины безопасности данных гибридного типа

Используйте эту процедуру для первого входа в консоль виртуальной машины узла безопасности данных гибридного типа и установки учетных данных для входа. Можно также использовать консоль для настройки сетевых параметров узла, если они не были настроены во время развертывания файла OVA.

1

В клиенте VMware vSphere выберите виртуальную машину узла безопасности данных гибридного типа и откройте вкладку Консоль .

Будет загружена виртуальная машина, и отобразится запрос на вход. Если запрос на вход не отображается, нажмите клавишу ввода.
2

Для входа и изменения учетных данных используйте следующие параметры входа и пароля по умолчанию:

  1. Вход: Администратор

  2. Пароль. Cisco

Поскольку вы впервые входите в свою виртуальную машину, вам необходимо изменить пароль администратора.

3

Если параметры сети уже настроены в разделе Установка OVA узла HDS, пропустите остальную процедуру. В противном случае в главном меню выберите параметр Редактировать конфигурацию .

4

Настройте статическую конфигурацию с использованием IP-адреса, маски, шлюза и информации DNS. Узел должен иметь внутренний IP-адрес и имя DNS. DHCP не поддерживается.

5

(Необязательно) Измените имя хоста, домен или NTP-серверы, если это необходимо для соответствия вашей сетевой политике.

Настройка домена в соответствии с доменом, который вы использовали для получения сертификата X.509, не требуется.

6

Сохраните конфигурацию сети и перезагрузите виртуальную машину, чтобы изменения вступили в силу.

Загрузка и установка ISO конфигурации HDS

Используйте эту процедуру для настройки виртуальной машины из файла ISO, созданного с помощью инструмента настройки HDS.

Перед началом работы

Поскольку в файле ISO содержится главный ключ, он должен быть раскрыт только по принципу «необходимо знать» для доступа виртуальных машин безопасности данных гибридного типа и всех администраторов, которым может потребоваться внести изменения. Убедитесь, что доступ к хранилищу данных могут получить только эти администраторы.

1

Загрузите файл ISO со своего компьютера.

  1. На левой панели навигации клиента VMware vSphere щелкните сервер ESXi.

  2. В списке "Оборудование" вкладки "Конфигурация" щелкните Хранилище.

  3. В списке хранилищ данных щелкните правой кнопкой мыши хранилище данных для виртуальных машин и щелкните Обзор хранилища данных.

  4. Щелкните пиктограмму "Загрузить файлы" и щелкните Загрузить файл.

  5. Перейдите в расположение, в котором скачался файл ISO на компьютер, и щелкните Открыть.

  6. Щелкните Да , чтобы принять предупреждение о загрузке или скачивании и закрыть диалоговое окно хранилища данных.

2

Установите файл ISO:

  1. На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры.

  2. Щелкните ОК , чтобы принять предупреждение об ограничении параметров редактирования.

  3. Щелкните Привод CD/DVD 1, выберите параметр подключения из файла хранилища данных ISO и перейдите в расположение, в котором был загружен файл конфигурации ISO.

  4. Установите флажки Подключено и Подключиться при включении.

  5. Сохраните изменения и перезагрузите виртуальную машину.

Дальнейшие действия

Если политика ИТ требует, после внесения изменений конфигурации на всех узлах можно отсоединить файл ISO. Подробные сведения см. в статье (необязательно) Отключение ISO после настройки HDS .

Настройка узла HDS для интеграции прокси

Если в сетевой среде необходимо использовать прокси, воспользуйтесь этой процедурой, чтобы указать тип прокси, который нужно интегрировать со службой безопасности данных гибридного типа. При выборе прозрачного прокси с проверкой или явного прокси HTTPS можно использовать интерфейс узла для загрузки и установки корневого сертификата. Кроме того, в интерфейсе можно проверять соединение с прокси и устранять неполадки.

Перед началом работы

1

Введите в веб-браузере URL-адрес для настройки узла HDS https://[IP-адрес или FQDN узла HDS]/setup, укажите учетные данные администратора, заданные вами для узла, и щелкните Sign In (Вход).

2

Откройте раздел Trust Store & Proxy (Зона доверия и прокси) и выберите один из следующих параметров.

  • Без прокси. Этот параметр используется по умолчанию перед интеграцией прокси. Обновление сертификата не требуется.
  • Прозрачный прокси без проверки. Узлы не настроены для использования адреса определенного прокси-сервера и не должны требовать каких-либо изменений для работы с прокси без проверки. Обновление сертификата не требуется.
  • Прозрачный прокси с проверкой: узлы не настроены для использования адреса определенного прокси-сервера. В развертывании службы безопасности данных гибридного типа не нужно вносить изменения в конфигурацию HTTPS, однако для обеспечения доверия прокси узлам HDS необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже HTTPS).
  • Явный прокси. При использовании явного прокси клиент (узлы HDS) определяет, какой прокси-сервер использовать. Этот параметр поддерживает несколько типов аутентификации. После выбора этого параметра необходимо ввести указанную далее информацию.

    1. IP/FQDN прокси. Адрес, который можно использовать для связи с прокси-машиной.

    2. Порт прокси. Номер порта, который прокси использует для прослушивания прокси-трафика.

    3. Proxy Protocol (Протокол прокси). Выберите http (просмотр и управление всеми запросами, полученными от клиента) или https (обеспечивает канал для сервера, а клиент получает и проверяет сертификат сервера). Выберите параметр в зависимости от того, какой протокол поддерживает используемый вами прокси-сервер.

    4. Тип аутентификации: выберите один из приведенных ниже типов аутентификации.

      • Нет. Дальнейшая аутентификация не требуется.

        Этот параметр доступен для прокси HTTP или HTTPS.

      • Базовый: используется для агента пользователя HTTP для указания имени пользователя и пароля при совершении запроса. Использует кодировку Base64.

        Этот параметр доступен для прокси HTTP или HTTPS.

        Если вы выберете этот параметр, вам понадобится ввести имя пользователя и пароль.

      • Дайджест. Используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети.

        Этот параметр доступен только для прокси HTTPS.

        Если вы выберете этот параметр, вам понадобится ввести имя пользователя и пароль.

В случае использования прозрачного прокси с проверкой, явного прокси HTTP с базовой аутентификацией или явного прокси HTTPS выполните указанные далее шаги.

3

Щелкните Upload a Root Certificate or End Entity Certificate (Загрузить корневой сертификат или сертификат конечного субъекта) и откройте меню для выбора корневого сертификата для прокси.

Сертификат будет загружен, но не установлен, поскольку для установки сертификата необходимо перезагрузить узел. Чтобы получить дополнительные сведения, щелкните стрелку-шеврон, расположенную рядом с именем издателя сертификата. Если вы допустили ошибку и хотите вновь загрузить файл, щелкните Delete (Удалить).

4

Чтобы протестировать сетевое соединение между узлом и прокси, щелкните Check Proxy Connection (Проверить соединение с прокси).

Если тестирование соединения завершится неудачей, на экране появится сообщение об ошибке, в котором будут указаны причина и способ исправления ошибки.

Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу. Такая проблема может возникнуть во многих конфигурациях явного прокси. Можно продолжить настройку, и узел будет работать в режиме блокировки разрешения внешних DNS. Если вы считаете, что это ошибка, выполните эти действия, а затем см. статью Выключение режима блокировки разрешения внешних DNS.

5

Если вы используете явный прокси, настроенный на применение исключительно https, после успешного завершения тестирования соединения включите параметр Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси (Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси). Для вступления в силу этого параметра необходимо 15 секунд.

6

Щелкните Install All Certificates Into the Trust Store (Установить все сертификаты в зоне доверия) – этот параметр отображается при использовании явного прокси HTTPS или прозрачного прокси с проверкой – или Reboot (Перезагрузить) – этот параметр отображается при использовании явного прокси HTTP. Прочитайте запрос и щелкните Install (Установить), если вы готовы к установке.

Узел перезагрузится в течение нескольких минут.

7

После перезагрузки узла повторно войдите в систему, если это необходимо, и откройте страницу Обзор, чтобы выполнить проверки соединений. Состояние всех проверок должно быть обозначено зеленым цветом.

Проверка соединения с прокси используется исключительно для тестирования поддомена webex.com. Проблемы с соединениями нередко возникают из-за того, что некоторые облачные домены, указанные в инструкциях по установке, блокируются на уровне прокси.

Регистрация первого узла в кластере

Эта задача берет общий узел, созданный в разделе Настройка виртуальной машины безопасности данных гибридного типа, регистрирует узел в облаке Webex и преобразует его в узел безопасности данных гибридного типа.

При регистрации первого узла создается кластер, которому он назначен. Кластер содержит один или несколько узлов, развернутых для резервирования.

Перед началом работы

  • После начала регистрации узла ее необходимо завершить в течение 60 минут или начать заново.

  • Убедитесь, что все блокировки всплывающих окон в браузере отключены или вы разрешаете исключение для admin.webex.com.

1

Войдите в https://admin.webex.com.

2

В меню в левой части экрана выберите Службы.

3

В разделе облачных служб найдите карточку безопасности данных гибридного типа и щелкните Настройка.

4

На открывшейся странице щелкните Добавить ресурс.

5

В первом поле карточки Добавить узел введите имя кластера, которому необходимо назначить узел безопасности данных гибридного типа.

Рекомендуется назвать кластер в зависимости от географического расположения узлов кластера. Примеры: "Сан-Франциско", "Нью-Йорк" или "Даллас"

6

Во втором поле введите внутренний IP-адрес или полное доменное имя узла и щелкните Добавить в нижней части экрана.

Этот IP-адрес или полное доменное имя должны совпадать с IP-адресом или именем хоста и доменом, которые вы использовали в разделе Настройка виртуальной машины безопасности данных гибридного типа.

Отобразится сообщение о том, что можно зарегистрировать узел в Webex.
7

Щелкните Перейти к узлу.

Через несколько секунд вы будете перенаправлены на тестирование подключения узла для служб Webex. Если все тесты будут успешными, отобразится страница "Разрешить доступ к узлу безопасности данных гибридного типа". Здесь вы подтверждаете, что хотите предоставить вашей организации Webex полномочия на доступ к узлу.

8

Установите флажок в поле Разрешить доступ к узлу безопасности данных гибридного типа и щелкните Продолжить.

Учетная запись подтверждена. В сообщении "Регистрация завершена" указано, что узел зарегистрирован в облаке Webex.
9

Щелкните ссылку или закройте вкладку, чтобы вернуться на страницу безопасности данных гибридного типа партнерского центра.

На странице Безопасность данных гибридного типа новый кластер, содержащий зарегистрированный узел, отображается на вкладке Ресурсы . Узел будет автоматически скачан новейшее программное обеспечение из облака.

Создать и зарегистрировать другие узлы

Чтобы добавить дополнительные узлы в кластер, просто создайте дополнительные виртуальные машины и подключите тот же файл конфигурации ISO, а затем зарегистрируйте узел. Рекомендуется иметь не менее 3 узлов.

Перед началом работы

  • После начала регистрации узла ее необходимо завершить в течение 60 минут или начать заново.

  • Убедитесь, что все блокировки всплывающих окон в браузере отключены или вы разрешаете исключение для admin.webex.com.

1

Создайте новую виртуальную машину из файла OVA, повторяя шаги, описанные в разделе Установка файла OVA узла HDS.

2

Настройте начальную конфигурацию новой виртуальной машины, повторяя шаги, описанные в разделе Настройка виртуальной машины безопасности данных гибридного типа.

3

В новой виртуальной машине повторите шаги, описанные в разделе Загрузка и установка ISO конфигурации HDS.

4

При настройке прокси для развертывания повторите шаги, описанные в разделе Настройка узла HDS для интеграции прокси для нового узла.

5

Зарегистрируйте узел.

  1. В https://admin.webex.com в меню в левой части экрана выберите Службы .

  2. В разделе облачных служб найдите карточку безопасности данных гибридного типа и щелкните Просмотреть все.

    Откроется страница "Ресурсы безопасности данных гибридного типа".

  3. Только что созданный кластер отобразится на странице Ресурсы .

  4. Щелкните кластер, чтобы просмотреть узлы, назначенные кластеру.

  5. Щелкните Добавить узел в правой части экрана.

  6. Введите внутренний IP-адрес или полное доменное имя узла и щелкните Добавить.

    Откроется страница с сообщением о том, что можно зарегистрировать узел в облаке Webex. Через несколько секунд вы будете перенаправлены на тестирование подключения узла для служб Webex. Если все тесты будут успешными, отобразится страница "Разрешить доступ к узлу безопасности данных гибридного типа". После этого вы подтверждаете, что хотите предоставить организации полномочия на доступ к узлу.

  7. Установите флажок в поле Разрешить доступ к узлу безопасности данных гибридного типа и щелкните Продолжить.

    Учетная запись подтверждена. В сообщении "Регистрация завершена" указано, что узел зарегистрирован в облаке Webex.

  8. Щелкните ссылку или закройте вкладку, чтобы вернуться на страницу безопасности данных гибридного типа партнерского центра.

    Всплывающее сообщение Узел добавлен также отображается в нижней части экрана в партнерском центре.

    Ваш узел зарегистрирован.

Управление организациями клиентов в службе безопасности данных гибридного типа с поддержкой нескольких клиентов

Активация HDS с несколькими клиентами в центре партнера

Эта задача позволит всем пользователям клиентских организаций начать использование HDS для локальных ключей шифрования и других служб безопасности.

Перед началом работы

Убедитесь, что настройка кластера HDS с несколькими клиентами завершена с требуемым количеством узлов.

1

Войдите в https://admin.webex.com.

2

В меню в левой части экрана выберите Службы.

3

В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Редактировать настройки.

4

Щелкните Активировать HDS на карточке Состояние HDS .

Добавить организации клиентов в Partner Hub

В этой задаче вы назначаете клиентские организации кластеру безопасности данных гибридного типа.

1

Войдите в https://admin.webex.com.

2

В меню в левой части экрана выберите Службы.

3

В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Просмотреть все.

4

Щелкните кластер, которому необходимо назначить клиента.

5

Перейдите на вкладку Назначенные клиенты .

6

Щелкните Добавить клиентов.

7

В раскрывающемся меню выберите клиента, которого необходимо добавить.

8

Щелкните Добавить, и клиент будет добавлен в кластер.

9

Чтобы добавить в кластер несколько клиентов, повторите шаги 6–8.

10

После добавления клиентов щелкните Готово в нижней части экрана.

Дальнейшие действия

Чтобы завершить процесс настройки, запустите инструмент настройки HDS, как описано в разделе Создание главных ключей клиента (CMK) с помощью инструмента настройки HDS .

Создание главных ключей клиентов (CMK) с помощью инструмента настройки HDS

Перед началом работы

Назначьте клиентов в соответствующий кластер, как описано в разделе Добавление клиентских организаций в Partner Hub. Запустите инструмент настройки HDS, чтобы завершить процесс настройки вновь добавленных клиентских организаций.

  • Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора для вашей организации.

    Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.

    Описание

    Переменная

    HTTP-прокси без аутентификации

    ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТ

    HTTPS-прокси без аутентификации

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTP-прокси с аутентификацией

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

    HTTPS-прокси с аутентификацией

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

  • Созданный файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. При внесении изменений в конфигурацию вам потребуется последняя копия этого файла. Например:

    • Учетные данные базы данных

    • Обновления сертификата

    • Изменения политики авторизации

  • При планировании шифрования соединений с базой данных настройте развертывание PostgreSQL или SQL Server для TLS.

Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.

1

Введите соответствующую команду для вашей среды в командной строке компьютера.

В обычных средах:

docker rmi ciscocitg/hds-setup:stable

В средах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать.

2

Чтобы войти в реестр образов Docker, введите следующее.

docker login -u hdscustomersro
3

Введите в запросе пароля этот хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Скачайте последнюю стабильную версию образа для вашей среды.

В обычных средах:

docker pull ciscocitg/hds-setup:stable

В средах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

По завершении скачивания введите соответствующую команду для вашей среды.

  • В обычных средах без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • В обычных средах с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В обычных средах с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В средах FedRAMP без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

6

Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу.

Перейдите к локальному узлу http://127.0.0.1:8080 с помощью веб-браузера и введите имя пользователя администратора для Partner Hub в окне подсказки.

Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартную подсказку для входа в систему.

7

При отображении соответствующего запроса введите учетные данные для входа администратора Partner Hub и щелкните Войти , чтобы разрешить доступ к необходимым службам для службы безопасности данных гибридного типа.

8

На странице обзора инструмента настройки щелкните Начало работы.

9

На странице Импорт ISO щелкните Да.

10

Выберите файл ISO в браузере и загрузите его.

Для выполнения управления CMK убедитесь в подключении к базе данных.
11

Перейдите на вкладку Управление CMK клиента , где можно найти три способа управления CMK клиента.

  • Создать CMK для всех ОРГАНИЗАЦИЙ или Создать CMK . Щелкните эту кнопку на баннере в верхней части экрана, чтобы создать CMK для всех вновь добавленных организаций.
  • Щелкните кнопку Управление CMK в правой части экрана и щелкните Создать CMK , чтобы создать CMK для всех вновь добавленных организаций.
  • Щелкните … рядом с состоянием рассмотрения управления CMK определенной организации в таблице и щелкните Создать CMK , чтобы создать CMK для этой организации.
12

После успешного создания CMK состояние в таблице изменится с Управление CMK рассматривается на Управление CMK.

13

В случае неудачного создания CMK отображается ошибка.

Удалить организации клиентов

Перед началом работы

После удаления пользователи клиентских организаций не смогут использовать HDS в целях шифрования, а все существующие пространства будут утрачены. Прежде чем удалить клиентские организации, обратитесь к своему партнеру Cisco или менеджеру по работе с клиентами.

1

Войдите в https://admin.webex.com.

2

В меню в левой части экрана выберите Службы.

3

В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Просмотреть все.

4

На вкладке Ресурсы щелкните кластер, из которого необходимо удалить клиентские организации.

5

На открывшейся странице щелкните Назначенные клиенты.

6

В списке отображаемых клиентских организаций щелкните ... в правой части клиентской организации, которую необходимо удалить, и щелкните Удалить из кластера.

Дальнейшие действия

Завершите процесс удаления, отозвав CMK клиентских организаций, как описано в статье Отозвать CMK клиентов, удаленных из HDS.

Отозвать CMK клиентов, удаленные из HDS.

Перед началом работы

Удалите клиентов из соответствующего кластера, как описано в разделе Удаление клиентских организаций. Запустите инструмент настройки HDS, чтобы завершить процесс удаления удаленных клиентских организаций.

  • Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора для вашей организации.

    Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.

    Описание

    Переменная

    HTTP-прокси без аутентификации

    ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТ

    HTTPS-прокси без аутентификации

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTP-прокси с аутентификацией

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

    HTTPS-прокси с аутентификацией

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

  • Созданный файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. При внесении изменений в конфигурацию вам потребуется последняя копия этого файла. Например:

    • Учетные данные базы данных

    • Обновления сертификата

    • Изменения политики авторизации

  • При планировании шифрования соединений с базой данных настройте развертывание PostgreSQL или SQL Server для TLS.

Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.

1

Введите соответствующую команду для вашей среды в командной строке компьютера.

В обычных средах:

docker rmi ciscocitg/hds-setup:stable

В средах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать.

2

Чтобы войти в реестр образов Docker, введите следующее.

docker login -u hdscustomersro
3

Введите в запросе пароля этот хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Скачайте последнюю стабильную версию образа для вашей среды.

В обычных средах:

docker pull ciscocitg/hds-setup:stable

В средах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

По завершении скачивания введите соответствующую команду для вашей среды.

  • В обычных средах без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • В обычных средах с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В обычных средах с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В средах FedRAMP без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

6

Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу.

Перейдите к локальному узлу http://127.0.0.1:8080 с помощью веб-браузера и введите имя пользователя администратора для Partner Hub в окне подсказки.

Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартную подсказку для входа в систему.

7

При отображении соответствующего запроса введите учетные данные для входа администратора Partner Hub и щелкните Войти , чтобы разрешить доступ к необходимым службам для службы безопасности данных гибридного типа.

8

На странице обзора инструмента настройки щелкните Начало работы.

9

На странице Импорт ISO щелкните Да.

10

Выберите файл ISO в браузере и загрузите его.

11

Перейдите на вкладку Управление CMK клиента , где можно найти три способа управления CMK клиента.

  • Отозвать CMK для всех ОРГАНИЗАЦИЙ или Отозвать CMK . Щелкните эту кнопку на баннере в верхней части экрана, чтобы отозвать CMK всех удаленных организаций.
  • Щелкните кнопку Управление CMK в правой части экрана и щелкните Отозвать CMK , чтобы отозвать CMK всех удаленных организаций.
  • Щелкните рядом с состоянием CMK для отзыва определенной организации в таблице и щелкните Отозвать CMK , чтобы отозвать CMK для определенной организации.
12

После успешного отзыва CMK клиентская организация больше не будет отображаться в таблице.

13

Если отзыв CMK не выполнен, отображается ошибка.

Тестирование развертывания службы безопасности данных гибридного типа

Тестирование развертывания службы безопасности данных гибридного типа

Используйте эту процедуру для тестирования сценариев шифрования безопасности данных гибридного типа с несколькими клиентами.

Перед началом работы

  • Настройте развертывание службы безопасности данных гибридного типа с несколькими клиентами.

  • Убедитесь, что у вас есть доступ к системному журналу, чтобы проверить, передаются ли запросы ключей в развертывание системы безопасности данных гибридного типа с несколькими клиентами.

1

Ключи для определенного пространства задаются создателем пространства. Войдите в приложение Webex в качестве одного из пользователей клиентской организации и создайте пространство.

Если деактивировать развертывание безопасности данных гибридного типа, контент в пространствах, созданных пользователями, больше не будет доступен после замены кэшированных клиентом копий ключей шифрования.

2

Отправить сообщения в новое пространство.

3

Проверьте вывод системного журнала, чтобы убедиться, что запросы ключей передаются в развертывание службы безопасности данных гибридного типа.

  1. Чтобы проверить, установит ли пользователь защищенный канал в KMS, отфильтруйте kms.data.method=create и kms.data.type=EPHEMERAL_KEY_COLLECTION.

    Необходимо найти следующую запись (идентификаторы, сокращенные для удобства чтения):
    2020-07-21 17:35:34.562 (+0000) KMS INFO [pool-14-thread-1] – получен [KMS:REQUEST], идентификатор устройства: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Чтобы проверить, требуется ли пользователю, запрашивающему существующий ключ из KMS, выполните фильтр в меню kms.data.method=retrieve и kms.data.type=KEY.

    Отобразится запись, аналогичная приведенной ниже.
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] – получен [KMS:REQUEST], идентификатор устройства: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Чтобы проверить, требуется ли пользователю создать новый ключ KMS, выполните фильтр в меню kms.data.method=create и kms.data.type=KEY_COLLECTION.

    Отобразится запись, аналогичная приведенной ниже.
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] – получен [KMS:REQUEST], идентификатор устройства: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Чтобы проверить, есть ли у пользователя запрос на создание нового объекта ресурса KMS (KRO) при создании пространства или другого защищенного ресурса, используйте фильтры в разделах kms.data.method=create и kms.data.type=RESOURCE_COLLECTION.

    Отобразится запись, аналогичная приведенной ниже. 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] – получен [KMS:REQUEST], идентификатор устройства: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Мониторинг работоспособности службы безопасности данных гибридного типа

Индикатор состояния в партнерском центре показывает, все ли в порядке с развертыванием службы безопасности данных гибридного типа с несколькими клиентами. Для более упреждающих предупреждений зарегистрируйтесь для получения уведомлений по электронной почте. Вы будете уведомлены о появлении сигналов, влияющих на службу, или о модернизации программного обеспечения.
1

В Partner Hub в меню в левой части экрана выберите Службы .

2

В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Редактировать настройки.

Отобразится страница "Настройки безопасности данных гибридного типа".
3

В разделе "Электронные уведомления" введите один или несколько адресов электронной почты, разделяя их запятыми, и нажмите клавишу ввода.

Управление развертыванием HDS

Управление развертыванием HDS

Для управления развертыванием службы безопасности данных гибридного типа используйте описанные здесь задачи.

Настройка графика модернизации кластера

Модернизация программного обеспечения службы безопасности данных гибридного типа выполняется автоматически на уровне кластера, что гарантирует, что на всех узлах всегда запущена одна и та же версия программного обеспечения. Модернизация выполняется в соответствии с графиком модернизации кластера. Когда модернизация программного обеспечения становится доступной, можно вручную модернизировать кластер до запланированного времени модернизации. Можно задать конкретное расписание модернизации или использовать расписание по умолчанию: 3:00 (ежедневно в США). Америка/Лос-Анджелес. При необходимости можно также отложить предстоящую модернизацию.

Чтобы настроить график модернизации, выполните указанные ниже действия.

1

Войдите в Partner Hub.

2

В меню в левой части экрана выберите Службы.

3

В разделе "Облачные службы" найдите раздел "Безопасность данных гибридного типа" и щелкните Настройка.

4

На странице "Ресурсы безопасности данных гибридного типа" выберите кластер.

5

Щелкните вкладку Настройки кластера .

6

На странице настроек кластера в разделе "График модернизации" выберите время и часовой пояс для графика модернизации.

Примечание. В часовом поясе отображаются следующие доступные дата и время модернизации. При необходимости можно отложить модернизацию на следующий день, щелкнув Отложить на 24 часа.

Изменение конфигурации узла

Иногда может потребоваться изменить конфигурацию узла безопасности данных гибридного типа по одной из причин:

  • Изменение сертификатов x.509 по истечении срока действия или по другим причинам.

    Изменение доменного имени CN сертификата не поддерживается. Домен должен совпадать с исходным доменом, использованным для регистрации кластера.

  • Обновление настроек базы данных для работы с копией базы данных PostgreSQL или Microsoft SQL Server.

    Перенос данных с PostgreSQL на Microsoft SQL Server или в обратном направлении не поддерживается. Чтобы переключить среду базы данных, начните новое развертывание службы безопасности данных гибридного типа.

  • Создание новой конфигурации для подготовки нового центра обработки данных.

Из соображений безопасности для учетных записей в службе безопасности данных гибридного типа используются пароли со сроком действия 9 месяцев. После того как инструмент настройки HDS создаст эти пароли, вам нужно будет развернуть их в каждом из своих узлов HDS в файле конфигурации ISO. При приближении даты окончания срока действия пароля команда Webex пришлет вам уведомление с запросом на сброс пароля учетной записи компьютера. (В сообщении электронной почты будет текст "Использование API учетной записи компьютера для обновления пароля".) Если срок действия паролей еще не истек, средство предоставляет два варианта.

  • Мягкий сброс. Старые и новые пароли работают в течение 10 дней. Используйте этот период для постепенной замены файла ISO на узлах.

  • Принудительный сброс: старые пароли перестают работать немедленно.

Если срок действия ваших паролей истекает без сброса, это влияет на работу вашей службы HDS. В этом случае требуется немедленный жесткий сброс и замена файла ISO на всех узлах.

Используйте эту процедуру, чтобы создать новый файл конфигурации ISO и применить его к кластеру.

Прежде чем начать

  • Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора партнера.

    Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker в 1.e. В этой таблице указаны некоторые из возможных переменных среды.

    Описание

    Переменная

    HTTP-прокси без аутентификации

    ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТ

    HTTPS-прокси без аутентификации

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTP-прокси с аутентификацией

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

    HTTPS-прокси с аутентификацией

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

  • Для создания новой конфигурации потребуется копия текущего файла конфигурации ISO. Файл ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. Файл ISO необходим для изменения конфигурации, в том числе учетных данных базы данных, обновления сертификатов или изменения политики авторизации.

1

Запустите инструмент настройки HDS, используя Docker на локальной машине.

  1. Введите соответствующую команду для вашей среды в командной строке компьютера.

    В обычных средах:

    docker rmi ciscocitg/hds-setup:stable

    В средах FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать.

  2. Чтобы войти в реестр образов Docker, введите следующее.

    docker login -u hdscustomersro

  3. Введите в запросе пароля этот хеш:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Скачайте последнюю стабильную версию образа для вашей среды.

    В обычных средах:

    docker pull ciscocitg/hds-setup:stable

    В средах FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Обязательно скачайте для этой процедуры последнюю версию инструмента настройки. В версиях инструмента, созданных до 22 февраля 2018 г., нет экранов сброса пароля.

  5. По завершении скачивания введите соответствующую команду для вашей среды.

    • В обычных средах без прокси:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • В обычных средах с HTTP-прокси:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • В обычных средах с HTTPS-прокси:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • В средах FedRAMP без прокси:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • В средах FedRAMP с HTTP-прокси:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • В средах FedRAMP с HTTPS-прокси:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

  6. Используйте браузер для подключения к localhost, http://127.0.0.1:8080.

    Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу.

  7. При отображении соответствующего запроса введите учетные данные для входа клиента партнерского центра и щелкните Принять , чтобы продолжить.

  8. Импортируйте текущий файл конфигурации ISO.

  9. Следуйте подсказкам, чтобы завершить работу с инструментом и скачать обновленный файл.

    Чтобы завершить работу инструмента настройки, нажмите CTRL+C.

  10. Создайте резервную копию обновленного файла в другом центре обработки данных.

2

Если у вас запущен только один узел HDS, создайте новую виртуальную машину узла безопасности данных гибридного типа и зарегистрируйте ее с помощью нового файла конфигурации ISO. Более подробные инструкции см. в статье Создание и регистрация дополнительных узлов.

  1. Установите OVA узла HDS.

  2. Настройте виртуальную машину HDS.

  3. Подключите обновленный файл конфигурации.

  4. Зарегистрируйте новый узел в Partner Hub.

3

Для существующих узлов HDS, в которых используется старый файл конфигурации, необходимо установить файл ISO. Выполните следующую процедуру для каждого узла по очереди, обновив каждый узел до выключения следующего узла.

  1. Выключите виртуальную машину.

  2. На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры.

  3. Щелкните Дисковод компакт-дисков и DVD-дисков 1, выберите параметр подключения из файла ISO и найдите расположение, куда вы скачали новый файл конфигурации ISO.

  4. Установите флажок Соединять при включении.

  5. Сохраните изменения и включите виртуальную машину.

4

Повторите шаг 3, чтобы заменить конфигурацию на каждом оставшемся узле со старой конфигурацией.

Отключение режима блокировки разрешения внешних DNS

При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. Если DNS-сервер узла не может разрешать общедоступные имена DNS, узел автоматически переходит в режим блокировки разрешения внешних DNS.

Если узлы могут разрешать общедоступные имена DNS через внутренние DNS-серверы, можно отключить этот режим, повторно запустив тестирование подключения к прокси на каждом узле.

Перед началом работы

Убедитесь в том, что внутренние DNS-серверы могут разрешать общедоступные имена DNS и ваши узлы могут обмениваться данными с ними.
1

В веб-браузере откройте интерфейс узла безопасности данных гибридного типа (например, IP-адрес или настройка) https://192.0.2.0/setup), введите учетные данные администратора, настроенные для узла, и щелкните Войти.

2

Перейдите к разделу Overview (Обзор) (страница по умолчанию).

Если режим включен, параметр Blocked External DNS Resolution (Блокировка разрешения внешних DNS) должен иметь значение Yes (Да).

3

Перейдите на страницу Trust Store & Proxy (Зона доверия и прокси).

4

Щелкните Check Proxy Connection (Проверить соединение с прокси).

Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу и он останется в этом режиме. В противном случае после перезапуска узла и возврата на страницу Overview (Обзор) параметр блокировки разрешения внешних DNS должен иметь значение No (Нет).

Дальнейшие действия

Повторите тестирование соединения с прокси для каждого узла кластера безопасности данных гибридного типа.

Удаление узла

Используйте эту процедуру для удаления узла безопасности данных гибридного типа из облака Webex. После удаления узла из кластера удалите виртуальную машину, чтобы предотвратить дальнейший доступ к данным безопасности.
1

С помощью клиента VMware vSphere на компьютере можно войти в виртуальный хост ESXi и выключить виртуальную машину.

2

Удалить узел:

  1. Войдите в Partner Hub и выберите Службы.

  2. На карточке безопасности данных гибридного типа щелкните Просмотреть все , чтобы отобразить страницу ресурсов безопасности данных гибридного типа.

  3. Выберите кластер, чтобы отобразить его панель "Обзор".

  4. Щелкните узел, который необходимо удалить.

  5. Щелкните Отменить регистрацию этого узла на панели справа.

  6. Кроме того, чтобы отменить регистрацию узла, щелкните ... в правой части узла и выберите Удалить этот узел.

3

В клиенте vSphere удалите виртуальную машину. (На панели навигации слева щелкните виртуальную машину правой кнопкой мыши и щелкните Удалить.)

Если виртуальная машина не удалена, не забудьте отсоединить файл конфигурации ISO. Без файла ISO вы не сможете использовать виртуальную машину для доступа к данным безопасности.

Аварийное восстановление с помощью центра обработки данных в режиме ожидания

Наиболее важной службой, предоставляемой кластером безопасности данных гибридного типа, является создание и хранение ключей, используемых для шифрования сообщений и другого контента, хранящегося в облаке Webex. Для каждого пользователя в организации, назначенного службе безопасности данных гибридного типа, запросы на создание нового ключа маршрутизируются в кластер. Кластер также отвечает за возврат созданных им ключей всем пользователям, авторизованным для их извлечения, например участникам пространства для разговора.

Поскольку кластер выполняет критически важную функцию предоставления этих ключей, необходимо, чтобы кластер продолжал работать и чтобы поддерживались соответствующие резервные копии. Потеря базы данных безопасности данных гибридного типа или конфигурации ISO, используемой для схемы, приведет к НЕОБРАТИМОЙ ПОТЕРЕ контента клиента. Для предотвращения таких потерь необходимо выполнить следующие действия:

Если из-за аварии развертывание HDS в основном центре обработки данных становится недоступным, выполните эту процедуру, чтобы вручную переключиться на резервный центр обработки данных.

Перед началом работы

Отмените регистрацию всех узлов из Partner Hub, как указано в разделе Удаление узла. Для выполнения указанной ниже процедуры отработки отказа используйте последний файл ISO, настроенный против узлов ранее активного кластера.
1

Запустите инструмент настройки HDS и выполните действия, указанные в разделе Создание ISO конфигурации для узлов HDS.

2

Завершите процесс настройки и сохраните файл ISO в удобном для поиска месте.

3

Сделайте резервную копию файла ISO в локальной системе. Обеспечьте безопасность резервного копирования. Этот файл содержит главный ключ шифрования для содержимого базы данных. Ограничьте доступ только тем администраторам службы безопасности данных гибридного типа, которые должны вносить изменения в конфигурацию.

4

На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры.

5

Щелкните Редактировать настройки >Диск CD/DVD 1 и выберите Файл хранилища данных ISO.

Убедитесь, что установлены флажки Подключено и Подключиться при включении , чтобы обновленные изменения конфигурации вступили в силу после запуска узлов.

6

Включите узел HDS и убедитесь, что сигналы отсутствуют в течение не менее 15 минут.

7

Зарегистрируйте узел в партнерском центре. См. статью Регистрация первого узла в кластере.

8

Повторите процесс для каждого узла в центре обработки данных в режиме ожидания.

Дальнейшие действия

Если после отказа основной центр обработки данных снова становится активным, отмените регистрацию узлов резервного центра обработки данных и повторите процесс настройки ISO и регистрации узлов основного центра обработки данных, как указано выше.

(Необязательно) Отсоедините ISO после настройки HDS

Стандартная конфигурация HDS выполняется с установленным ISO. Однако некоторые клиенты предпочитают не оставлять файлы ISO постоянно монтированными. После того как все узлы HDS примут новую конфигурацию, можно отсоединить файл ISO.

Для изменения конфигурации по-прежнему используются файлы ISO. При создании нового ISO или обновлении ISO с помощью инструмента настройки необходимо установить обновленный ISO на всех узлах HDS. С помощью этой процедуры можно снова отключить ISO, после того как все узлы примут изменения конфигурации.

Перед началом работы

Модернизируйте все свои узлы HDS до версии 2021.01.22.4720 или более поздней.

1

Закройте один из своих узлов HDS.

2

В vCenter Server Appliance выберите узел HDS.

3

Выберите Редактировать настройки > Привод CD/DVD и снимите флажок Файл хранилища данных ISO.

4

Включите узел HDS и убедитесь, что сигналы отсутствуют в течение не менее 20 минут.

5

Повторите эту процедуру для каждого узла HDS по очереди.

Устранение неполадок службы безопасности данных гибридного типа

Просмотр предупреждений и устранение неполадок

Развертывание службы безопасности данных гибридного типа считается недоступным, если все узлы в кластере недоступны или кластер работает настолько медленно, что истекло время ожидания. Если пользователи не могут подключиться к кластеру безопасности данных гибридного типа, у них будут следующие симптомы:

  • Не удается создать новые пространства (не удается создать новые ключи)

  • Не удалось расшифровать сообщения и заголовки пространств для:

    • Новые пользователи, добавленные в пространство (невозможно получить ключи)

    • Существующие пользователи в пространстве, использующие новый клиент (не удается получить ключи)

  • Существующие пользователи в пространстве будут продолжать успешно работать, пока в их клиентах будет сохранен кэш ключей шифрования

Важно надлежащим образом отслеживать кластер безопасности данных гибридного типа и своевременно реагировать на все предупреждения во избежание перебоев в работе службы.

Предупреждения

При возникновении проблем с настройкой безопасности данных гибридного типа партнерский центр отображает предупреждения администратору организации и отправляет электронные сообщения на настроенный адрес электронной почты. Предупреждения охватывают многие распространенные сценарии.

Таблица 1. Общие проблемы и действия по их устранению

Предупреждение

Действие

Ошибка доступа к локальной базе данных.

Проверьте наличие ошибок базы данных или проблем локальной сети.

Сбой подключения к локальной базе данных.

Убедитесь в доступности сервера базы данных и использовании правильных учетных данных учетной записи службы в конфигурации узла.

Сбой доступа к облачной службе.

Убедитесь, что узлы могут получить доступ к серверам Webex, как указано в разделе Требования к внешнему подключению.

Обновление регистрации облачной службы.

Регистрация в облачных службах прервана. Выполняется возобновление регистрации.

Регистрация для облачной службы прервана.

Регистрация в облачных службах прервана. Служба выключена.

Служба еще не активирована.

Активируйте HDS в партнерском центре.

Настроенный домен не соответствует сертификату сервера.

Убедитесь, что сертификат сервера соответствует настроенному домену активации службы.

Наиболее вероятная причина заключается в том, что CN сертификата недавно был изменен и теперь отличается от CN, использованного во время начальной настройки.

Не удалось выполнить аутентификацию в облачных службах.

Проверьте точность и возможный срок действия учетных данных службы.

Не удалось открыть файл локального хранилища ключей.

Проверка целостности и точности пароля в файле локального хранилища ключей.

Недействительный сертификат локального сервера.

Проверьте дату истечения срока действия сертификата сервера и убедитесь, что он был выдан доверенным центром сертификации.

Не удается опубликовать метрики.

Проверьте доступ локальной сети к внешним облачным службам.

Каталог /media/configdrive/hds не существует.

Проверьте конфигурацию подключения ISO на виртуальном хосте. Проверьте, существует ли файл ISO, настроен ли он для подключения при перезагрузке и успешно ли установлен.

Настройка организации клиента не завершена для добавленных организаций

Завершите настройку, создав CMK для вновь добавленных клиентских организаций с помощью инструмента настройки HDS.

Настройка организации клиента не завершена для удаленных организаций

Завершите настройку, отозвав CMK клиентских организаций, которые были удалены с помощью инструмента настройки HDS.

Устранение неполадок службы безопасности данных гибридного типа

При устранении неполадок со службой безопасности данных гибридного типа используйте приведенные ниже общие рекомендации.
1

Просмотрите в Partner Hub все предупреждения и исправьте все элементы, найденные в нем. Для справки см. изображение ниже.

2

Проверьте вывод сервера системных журналов для активности из развертывания службы безопасности данных гибридного типа. Используйте фильтр для таких слов, как "Предупреждение" и "Ошибка", чтобы помочь в устранении неполадок.

3

Обратитесь в службу поддержки Cisco.

Другие примечания

Известные проблемы безопасности данных гибридного типа

  • Если вы выключите кластер безопасности данных гибридного типа (удалив его в партнерском центре или выключив все узлы), потеряете файл конфигурации ISO или потеряете доступ к базе данных хранилища ключей, пользователи приложения Webex клиентских организаций больше не смогут использовать пространства в списке пользователей, созданных с помощью ключей из KMS. В настоящий момент для устранения этой проблемы нет обходного решения или решения. Мы настоятельно призываем вас не выключать службы HDS после обработки активных учетных записей пользователей.

  • Клиент с существующим подключением ECDH к KMS поддерживает это соединение в течение периода времени (вероятно, один час).

Использование OpenSSL для создания файла PKCS12

Перед началом работы

  • OpenSSL — это один из инструментов, который можно использовать для создания файла PKCS12 в соответствующем формате для загрузки в инструменте настройки HDS. Есть и другие способы сделать это, и мы не поддерживаем и не продвигаем друг друга.

  • Если вы решите использовать OpenSSL, мы предоставляем эту процедуру в качестве руководства для создания файла, который соответствует требованиям сертификата X.509 в разделе Требования к сертификату X.509. Прежде чем продолжить, ознакомьтесь с этими требованиями.

  • Установите OpenSSL в поддерживаемой среде. Информацию о программном обеспечении и документации см. в разделе https://www.openssl.org .

  • Создайте закрытый ключ.

  • Начните эту процедуру при получении сертификата сервера от центра сертификации (ЦС).

1

При получении сертификата сервера от ЦС сохраните его как hdsnode.pem.

2

Отобразите сертификат в виде текста и проверьте сведения.

openssl x509 -текст -noout -в hdsnode.pem

3

Используйте текстовый редактор для создания файла пакета сертификатов под названием hdsnode-bundle.pem. Пакетный файл должен включать сертификат сервера, все промежуточные сертификаты ЦС и корневые сертификаты ЦС в следующем формате:

-----BEGIN CERTIFICATE----- ### Сертификат сервера. ### -----END CERTIFICATE--------BEGIN CERTIFICATE----- ### Промежуточный сертификат ЦС. ### -----END CERTIFICATE-------BEGIN CERTIFICATE----- ### Корневой сертификат ЦС. ### -----END CERTIFICATE-----

4

Создайте файл .p12 с подходящим именем kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -в hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Проверьте сведения о сертификате сервера.

  1. openssl pkcs12 - в hdsnode.p12

  2. Введите пароль в окне запроса для шифрования закрытого ключа, чтобы он отображался в выводе. Затем убедитесь, что закрытый ключ и первый сертификат содержат строки friendlyName: kms-private-key.

    Пример:

    bash$ openssl pkcs12 -in hdsnode.p12 Введите пароль для импорта: MAC проверил атрибуты пакета "ОК" friendlyName: Идентификатор локального ключа kms-private-key : 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ключевые атрибуты:  Введите фразу пароля PEM: Проверка – введите фразу для доступа PEM: -----BEGIN ENCRYPTED PRIVATE KEY-----  -----END ENCRYPTED PRIVATE KEY------ Bag Attributes friendlyName: Идентификатор локального ключа kms-private-key : 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE-----

Дальнейшие действия

Вернитесь к разделу Выполнение предварительных требований для безопасности данных гибридного типа. Файл hdsnode.p12 и заданный для него пароль будут использоваться в разделе Создание конфигурации ISO для узлов HDS.

Эти файлы можно повторно использовать для запроса нового сертификата по истечении срока действия исходного сертификата.

Трафик между узлами HDS и облаком

Трафик сбора исходящих метрик

Узлы безопасности данных гибридного типа отправляют определенные метрики в облако Webex. К ним относятся системные метрики максимального количества подключений, использования максимального количества подключений, загрузки ЦП и количества потоков; метрики синхронных и асинхронных потоков; метрики оповещений о пороговом значении соединений шифрования, задержки или длины очереди запросов; метрики хранилища данных; и метрики подключения шифрования. Узлы отправляют зашифрованный ключ-материал по внеполосному каналу (отдельному от запроса).

Входящий трафик

Узлы безопасности данных гибридного типа получают из облака Webex следующие типы входящего трафика:

  • Запросы на шифрование от клиентов, которые маршрутизируются службой шифрования

  • Модернизация программного обеспечения узла

Настройка прокси Squid для безопасности данных гибридного типа

Невозможно выполнить подключение веб-сокетов через прокси Squid

Прокси Squid, которые проверяют трафик HTTPS, могут мешать созданию соединений веб-сокетов (wss:), которые необходимы службе безопасности данных гибридного типа. В указанных далее разделах приведены рекомендации по настройке различных версий Squid с целью игнорирования трафика wss: для обеспечения надлежащей работы служб.

Squid 4 и 5

Добавьте on_unsupported_protocol директиву в squid.conf:

on_unsupported_protocol туннель все

Squid 3.5.27

Служба безопасности данных гибридного типа успешно протестирована с указанными далее правилами, добавленными в squid.conf. Эти правила могут изменяться по мере разработки функций и обновления облака Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump соединение wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump просмотр step1 все ssl_bump просмотр step2 все ssl_bump bump3 все

Новая и измененная информация

Новая и измененная информация

В этой таблице описаны новые функции или функциональные возможности, изменения существующего контента, а также любые серьезные ошибки, исправленные в руководстве по развертыванию службы безопасности данных гибридного типа с несколькими клиентами.

Дата

Внесены изменения

8 января 2025 г.

Добавлено примечание в разделе Выполнение начальной настройки и скачивание файлов установки , в котором указано, что нажатие кнопки Настройка на карточке HDS в Partner Hub является важным этапом процесса установки.

7 января 2025 г.

Обновлены Требования к виртуальному узлу, Алгоритм выполнения задач по развертыванию службы безопасности данных гибридного типа и Установка OVA узла HDS для отображения новых требований ESXi 7.0.

13 декабря 2024 г.

Впервые опубликовано.

Деактивация службы безопасности данных гибридного типа с несколькими клиентами

Алгоритм выполнения задач по деактивации HDS с несколькими клиентами

Чтобы полностью деактивировать HDS с несколькими клиентами, выполните приведенные ниже действия.

Перед началом работы

Эту задачу должен выполнять только администратор партнера с полными правами.
1

Удалите всех клиентов из всех кластеров, как указано в разделе Удаление клиентских организаций.

2

Отозвать CMK всех клиентов, как указано в статье Отозвать CMK клиентов, удаленных из HDS.

3

Удалите все узлы из всех кластеров, как описано в разделе Удаление узла.

4

Удалите все кластеры из Partner Hub одним из следующих двух способов.

  • Щелкните кластер, который необходимо удалить, и выберите Удалить этот кластер в правом верхнем углу страницы обзора.
  • На странице "Ресурсы" щелкните ... в правой части кластера и выберите Удалить кластер.
5

Щелкните вкладку Настройки на странице обзора безопасности данных гибридного типа и щелкните Деактивировать HDS на карточке состояния HDS.

Начало работы с системой безопасности данных гибридного типа с поддержкой нескольких клиентов

Общие сведения о безопасности данных гибридного типа для нескольких клиентов

С самого начала безопасность данных была главной задачей при разработке приложения Webex. В основе этой безопасности лежит сквозное шифрование контента, которое включается клиентами приложения Webex, взаимодействующими со службой управления ключами (KMS). KMS отвечает за создание и управление криптографическими ключами, которые используются клиентами для динамического шифрования и расшифровки сообщений и файлов.

По умолчанию для всех клиентов приложения Webex обеспечивается сквозное шифрование с использованием динамических ключей, которые хранятся в облаке KMS в области безопасности Cisco. Служба безопасности данных гибридного типа перемещает KMS и другие функции безопасности в корпоративный центр обработки данных, поэтому доступ к ключам для зашифрованного контента будет только у вас.

Служба безопасности данных гибридного типа с поддержкой нескольких клиентов позволяет организациям использовать HDS через доверенного локального партнера, который может выполнять функции поставщика услуг и управлять локальным шифрованием и другими службами безопасности. Эта настройка позволяет партнерской организации осуществлять полный контроль над развертыванием ключей шифрования и управлением ими, а также обеспечивает безопасность данных пользователей клиентских организаций от внешнего доступа. Партнерские организации настраивают экземпляры HDS и при необходимости создают кластеры HDS. Каждый экземпляр может поддерживать несколько клиентских организаций, в отличие от обычного развертывания HDS, которое ограничено одной организацией.

Партнерские организации контролируют развертывание и управление, однако у них нет доступа к данным и контенту, созданным клиентами. Этот доступ ограничен клиентскими организациями и их пользователями.

Это также позволяет небольшим организациям использовать HDS, поскольку служба управления ключами и инфраструктура безопасности, например центры обработки данных, принадлежат доверенному локальному партнеру.

Как служба безопасности данных гибридного типа с несколькими клиентами обеспечивает суверенитет и управление данными

  • Созданный пользователем контент защищен от внешнего доступа, например от поставщиков облачных услуг.
  • Локальные доверенные партнеры управляют ключами шифрования клиентов, с которыми они уже установили взаимоотношения.
  • Параметр для локальной технической поддержки, если она предоставлена партнером.
  • Поддержка контента совещаний, обмена сообщениями и вызовов.

Этот документ предназначен для помощи партнерским организациям в настройке клиентов и управлении ими в системе безопасности данных гибридного типа с несколькими клиентами.

Роли в службе безопасности данных гибридного типа с несколькими клиентами

  • Администратор партнера с полными правами : может управлять настройками для всех клиентов, которыми управляет партнер. Также может назначать роли администратора существующим пользователям в организации и назначать определенных клиентов, которыми будут управлять администраторы партнера.
  • Администратор партнера . Может управлять настройками клиентов, подготовленных администратором или назначенных пользователю.
  • Администратор с полными правами . Администратор партнерской организации, уполномоченный выполнять такие задачи, как изменение настроек организации, управление лицензиями и назначение ролей.
  • Сквозная настройка HDS с несколькими клиентами и управление ими всех клиентских организаций . Требуются права администратора партнера с полными правами и администратора с полными правами.
  • Управление назначенными организациями клиента : требуются права администратора партнера и полного администратора.

Архитектура области безопасности

Облачная архитектура Webex разбивает различные типы служб на отдельные области или домены доверия, как показано ниже.

Области разделения (без службы безопасности данных гибридного типа)

Чтобы получить дополнительные сведения о безопасности данных гибридного типа, давайте сначала рассмотрим этот облачный случай, в котором компания Cisco предоставляет все функции в облачных областях. Служба удостоверений – единственное место, где пользователи могут напрямую соотнести с их персональной информацией, такой как адрес электронной почты, логически и физически отделена от области безопасности в центре обработки данных B. Обе службы в свою очередь отделены от области, в которой в конечном итоге хранится зашифрованный контент, в центре обработки данных C.

На этой схеме клиент представляет собой приложение Webex, запущенное на ноутбуке пользователя и прошедшее аутентификацию с помощью службы удостоверений. При написании пользователем сообщения для отправки в пространство выполняются следующие действия.

  1. Клиент устанавливает безопасное соединение со службой управления ключами (KMS), затем запрашивает ключ для шифрования сообщения. Защищенное соединение использует ECDH, а KMS шифрует ключ с помощью главного ключа AES-256.

  2. Сообщение шифруется до выхода из клиента. Клиент отправляет его в службу индексации, которая создает зашифрованные индексы поиска для помощи в будущих поисковых запросах контента.

  3. Зашифрованное сообщение отправляется в службу обеспечения соответствия для проверки соответствия.

  4. Зашифрованное сообщение хранится в области хранилища.

При развертывании службы безопасности данных гибридного типа функции области безопасности (KMS, индексация и соответствие требованиям) перемещаются в локальный центр обработки данных. Другие облачные службы, которые составляют Webex (включая идентификационные данные и хранилище контента), остаются в сферах Cisco.

Сотрудничество с Другими Организациями

Пользователи в вашей организации могут регулярно использовать приложение Webex для совместной работы с внешними участниками из других организаций. Когда один из пользователей запрашивает ключ для пространства, принадлежащего вашей организации (поскольку он был создан одним из пользователей), KMS отправляет ключ клиенту по защищенному каналу ECDH. Однако если ключ для пространства принадлежит другой организации, KMS перенаправляет запрос в облако Webex через отдельный канал ECDH для получения ключа от соответствующего KMS, а затем возвращает ключ пользователю в исходном канале.

Служба KMS, запущенная в организации A, проверяет подключения к KMS в других организациях с помощью сертификатов PKI x.509. Подробные сведения о создании сертификата x.509 для использования с развертыванием службы безопасности данных гибридного типа с несколькими клиентами см. в статье Подготовка среды .

Ожидания развертывания службы безопасности данных гибридного типа

Развертывание службы безопасности данных гибридного типа требует значительных обязательств и осознания рисков, связанных с хранением ключей шифрования.

Для развертывания службы безопасности данных гибридного типа необходимо предоставить:

Полная потеря конфигурации ISO, созданной для службы безопасности данных гибридного типа, или предоставленной базы данных приведет к потере ключей. Потеря ключей предотвращает расшифровку контента пространства и других зашифрованных данных в приложении Webex пользователями. В этом случае можно создать новое развертывание, однако будет отображаться только новый контент. Во избежание потери доступа к данным необходимо выполнить приведенные ниже действия.

  • Управление резервным копированием и восстановлением базы данных и конфигурации ISO.

  • Будьте готовы к быстрому аварийному восстановлению в случае аварии, например, сбою диска базы данных или сбою центра обработки данных.

Механизм для перемещения ключей обратно в облако после развертывания HDS отсутствует.

Высокоуровневый процесс настройки

В этом документе описана настройка и управление развертыванием службы безопасности данных гибридного типа с несколькими клиентами.

  • Настройка безопасности данных гибридного типа. Это включает подготовку необходимой инфраструктуры и установку программного обеспечения безопасности данных гибридного типа, создание кластера HDS, добавление клиентских организаций в кластер и управление их главными ключами клиента (CMK). Это позволит всем пользователям клиентских организаций использовать кластер безопасности данных гибридного типа для функций безопасности.

    Этапы настройки, активации и управления подробно описаны в следующих трех главах.

  • Поддержка развертывания службы безопасности данных гибридного типа: облако Webex автоматически обеспечивает непрерывную модернизацию. Ваш отдел ИТ может предоставлять поддержку первого уровня для этого развертывания и при необходимости привлекать поддержку Cisco. В Partner Hub можно использовать экранные уведомления и настроить предупреждения на основе электронной почты.

  • Общие предупреждения, действия по устранению неполадок и известные проблемы. При возникновении проблем с развертыванием или использованием службы безопасности данных гибридного типа можно определить и устранить проблему с помощью последней главы этого руководства и приложения "Известные проблемы".

Модель развертывания службы безопасности данных гибридного типа

В корпоративном центре обработки данных служба безопасности данных гибридного типа будет развернута в виде одного кластера узлов на отдельных виртуальных узлах. Узлы связываются с облаком Webex с помощью защищенных веб-сокетов и защищенного HTTP.

Во время процесса установки предоставляется файл OVA для настройки виртуального устройства на предоставленных вами виртуальных машинах. Инструмент настройки HDS используется для создания пользовательского файла конфигурации кластера ISO, который устанавливается на каждом узле. Кластер безопасности данных гибридного типа использует предоставленный сервер Syslogd и базу данных PostgreSQL или Microsoft SQL Server. (Сведения о соединении Syslogd и базы данных можно настроить в инструменте настройки HDS.)

Модель развертывания службы безопасности данных гибридного типа

Минимальное количество узлов в кластере: два. Рекомендуется не менее трех на кластер. Наличие нескольких узлов гарантирует, что во время модернизации программного обеспечения или других действий по техническому обслуживанию узла служба не будет прерываться. (Облако Webex модернизирует только один узел за раз.)

Все узлы в кластере имеют доступ к одному хранилищу данных и активности журналов на один и тот же сервер системных журналов. Сами узлы не имеют состояния и обрабатывают запросы на ключ в циклическом порядке, как направляется облаком.

Узлы становятся активными при регистрации в партнерском центре. Чтобы вывести отдельный узел из эксплуатации, можно отменить его регистрацию, а затем, при необходимости, повторно зарегистрировать его.

Резервный центр обработки данных для аварийного восстановления

Во время развертывания вы настраиваете защищенный резервный центр обработки данных. В случае аварии центра обработки данных можно вручную перенести развертывание на резервный центр обработки данных.

Перед отказом в центре обработки данных A есть активные узлы HDS и основная база данных PostgreSQL или Microsoft SQL Server, в то время как в B есть копия файла ISO с дополнительными конфигурациями, ВМ, зарегистрированные в организации, и резервная база данных. После отработки отказа центр обработки данных B имеет активные узлы HDS и основную базу данных, в то время как у A есть незарегистрированные виртуальные машины и копия файла ISO, а база данных находится в режиме ожидания.
Ручное переключение на резервный центр обработки данных

Базы данных активных и резервных центров обработки данных синхронизируются друг с другом, что позволит свести к минимуму время, затрачиваемое на выполнение отработки отказа.

Активные узлы безопасности данных гибридного типа всегда должны находиться в одном центре обработки данных с активным сервером базы данных.

Поддержка прокси

Служба безопасности данных гибридного типа поддерживает явные прокси, прозрачные прокси с проверкой и прокси без проверки. Чтобы обеспечить защиту и мониторинг трафика из сети предприятия в облако, можно связать эти прокси с развертыванием. После настройки прокси на узлах административный интерфейс платформы на узлах можно использовать для управления сертификатами и просмотра общего состояния соединений.

Узлы безопасности данных гибридного типа поддерживают указанные далее параметры прокси.

  • Нет прокси. Значение по умолчанию, если для интеграции прокси не используется конфигурация доверенного хранилища и прокси для настройки узла HDS. Обновление сертификата не требуется.

  • Прозрачный прокси без проверки. Узлы не настроены для использования адреса определенного прокси-сервера и не должны требовать каких-либо изменений для работы с прокси без проверки. Обновление сертификата не требуется.

  • Прозрачный туннелирование или прокси с проверкой. Узлы не настроены для использования адреса определенного прокси-сервера. На узлах не нужно изменять конфигурацию HTTP или HTTPS. Как бы то ни было, для обеспечения доверия прокси узлам необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже HTTPS).

  • Явный прокси. При использовании явного прокси необходимо указать прокси-сервер и схему аутентификации узлам HDS. Для настройки явного прокси на каждом узле нужно ввести следующую информацию.

    1. IP/FQDN прокси. Адрес, который можно использовать для связи с прокси-машиной.

    2. Порт прокси. Номер порта, который прокси использует для прослушивания прокси-трафика.

    3. Proxy Protocol (Протокол прокси). В зависимости от поддержки прокси-сервера выберите один из следующих протоколов.

      • HTTP – просматривает все запросы, отправляемые клиентом, и управляет этими запросами.

      • HTTPS – обеспечивает работу канала связи с сервером. Клиент получает и проверяет сертификат сервера.

    4. Тип аутентификации: выберите один из приведенных ниже типов аутентификации.

      • Нет. Дальнейшая аутентификация не требуется.

        Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.

      • Базовый: используется для агента пользователя HTTP для указания имени пользователя и пароля при совершении запроса. Использует кодировку Base64.

        Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.

        Требует ввода имени пользователя и пароля на каждом узле.

      • Дайджест. Используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети.

        Этот параметр доступен только в том случае, если в качестве протокола прокси выбран протокол HTTPS.

        Требует ввода имени пользователя и пароля на каждом узле.

Пример узлов безопасности данных гибридного типа и прокси

На этой схеме представлен пример соединения между системой безопасности данных гибридного типа, сетью и прокси. При использовании прозрачного прокси с проверкой или явного прокси с проверкой HTTPS на прокси и узлы безопасности данных гибридного типа необходимо установить один и тот же корневой сертификат.

Режим блокировки разрешения внешних DNS (конфигурации явного прокси)

При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. В развертываниях с конфигурациями явного прокси, которые не допускают разрешения внешних DNS для внутренних клиентов, если узел не может посылать запросы на DNS-серверы, он автоматически переходит в режим блокировки разрешения внешних DNS. В этом режиме можно продолжить регистрацию узла и другие тестирования подключения к прокси.

Подготовка среды

Требования к безопасности данных гибридного типа с несколькими клиентами

Требования к лицензии Cisco Webex

Развертывание службы безопасности данных гибридного типа с несколькими клиентами.

  • Партнерские организации: Обратитесь к своему партнеру Cisco или менеджеру по работе с клиентами и убедитесь, что функция "Несколько клиентов" включена.

  • Организации клиентов: Необходима профессиональная версия Cisco Webex Control Hub. См. https://www.cisco.com/go/pro-pack.

Требования к рабочему столу Docker

Перед установкой узлов HDS необходимо запустить программу настройки с помощью Docker Desktop. Docker недавно обновил свою модель лицензирования. Для вашей организации может потребоваться платная подписка на Docker Desktop. Подробности см. в записи блога Docker, " Docker обновляет и расширяет подписки на продукты".

Требования к сертификату X.509

Цепочка сертификатов должна соответствовать следующим требованиям:

Таблица 1. Требования к сертификату X.509 для развертывания системы безопасности данных гибридного типа

Требование

Подробности

  • Подписано доверенным центром сертификации (ЦС)

По умолчанию мы доверяем ЦС в списке Mozilla (за исключением WoSign и StartCom) по адресу https://wiki.mozilla.org/CA:IncludedCAs.

  • Носит доменное имя общего имени (CN), идентифицирующее развертывание службы безопасности данных гибридного типа.

  • Не является групповым сертификатом

CN не требуется, чтобы он был доступен или был организатором в режиме реального времени. Рекомендуется использовать название, отражающее вашу организацию, например hds.company.com.

CN не должен содержать * (подстановочный знак).

CN используется для проверки узлов безопасности данных гибридного типа для клиентов приложения Webex. Все узлы безопасности данных гибридного типа в кластере используют один и тот же сертификат. Ваш KMS идентифицирует себя с помощью домена CN, а не любого домена, определенного в полях SAN x.509v3.

После регистрации узла с этим сертификатом изменение доменного имени CN не поддерживается.

  • Подпись без SHA1

Программное обеспечение KMS не поддерживает подписи SHA1 для проверки подключений к KMS других организаций.

  • Отформатирован в виде файла PKCS #12, защищенного паролем

  • Используйте понятное имя kms-private-key для тегов сертификата, закрытого ключа и всех промежуточных сертификатов для загрузки.

Для изменения формата сертификата можно использовать преобразователь, например OpenSSL.

При запуске инструмента настройки HDS потребуется ввести пароль.

Программное обеспечение KMS не обеспечивает принудительное использование ключа или расширенные ограничения на его использование. Некоторые центры сертификации требуют, чтобы к каждому сертификату применялись расширенные ограничения на использование ключей, например аутентификация сервера. Использовать аутентификацию сервера или другие настройки можно.

Требования к виртуальному организатору

Виртуальные узлы, которые будут настроены в качестве узлов безопасности данных гибридного типа в кластере, имеют следующие требования:

  • По крайней мере два отдельных узла (рекомендуется 3) размещены в одном защищенном центре обработки данных

  • Установлена и запущена VMware ESXi 7.0 (или более поздняя версия).

    При наличии более ранней версии ESXi необходимо выполнить модернизацию.

  • Минимум 4 ЦП, 8 ГБ основной памяти, 30 ГБ локального жесткого диска на сервер

Требования к серверу базы данных

Создайте новую базу данных для хранилища ключей. Не используйте базу данных по умолчанию. Приложения HDS при установке создают схему базы данных.

Существует два варианта сервера баз данных. Требования для каждого из них приведены ниже.

Таблица 2. Требования к серверу базы данных в разрезе типов базы данных

PostgreSQL

Сервер Microsoft SQL

  • Установленный и запущенный PostgreSQL 14, 15 или 16.

  • Установлен SQL Server 2016, 2017 или 2019 (корпоративный или стандартный).

    Для SQL Server 2016 требуется пакет обновления 2 и накопительное обновление 2 или более поздняя версия.

Минимум 8 виртуальных ЦП, 16 ГБ основной памяти, достаточное пространство на жестком диске и мониторинг для обеспечения его отсутствия (рекомендуется 2 ТБ, если необходимо запустить базу данных в течение длительного времени без увеличения объема хранилища)

Минимум 8 виртуальных ЦП, 16 ГБ основной памяти, достаточное пространство на жестком диске и мониторинг для обеспечения его отсутствия (рекомендуется 2 ТБ, если необходимо запустить базу данных в течение длительного времени без увеличения объема хранилища)

Программное обеспечение HDS в настоящее время устанавливает следующие версии драйверов для связи с сервером базы данных:

PostgreSQL

Сервер Microsoft SQL

Драйвер JDBC Postgres 42.2.5

Драйвер JDBC 4.6 для SQL-сервера

Эта версия драйвера поддерживает SQL Server Always On (экземпляры отказоустойчивого кластера и группы доступности Always On).

Дополнительные требования для аутентификации Windows на Microsoft SQL Server

Если необходимо, чтобы узлы HDS использовали аутентификацию Windows для получения доступа к базе данных хранилища ключей на Microsoft SQL Server, в вашей среде потребуется следующая конфигурация:

  • Узлы HDS, инфраструктура Active Directory и сервер MS SQL должны быть синхронизированы с NTP.

  • Учетная запись Windows, которую вы предоставляете узлам HDS, должна иметь доступ к базе данных для чтения и записи.

  • Серверы DNS, предоставляемые узлам HDS, должны иметь возможность разрешать центр распределения ключей (KDC).

  • Экземпляр базы данных HDS можно зарегистрировать на сервере Microsoft SQL в качестве главного имени службы (SPN) в Active Directory. См. статью Регистрация имени участника службы для Kerberos Connections.

    Инструмент настройки HDS, программа запуска HDS и локальный KMS должны использовать аутентификацию Windows для доступа к базе данных хранилища ключей. Они используют сведения из конфигурации ISO для создания SPN при запросе доступа с аутентификацией Kerberos.

Требования к внешнему подключению

Настройте брандмауэр, чтобы разрешить следующее подключение для приложений HDS:

Приложение

Протокол

Порт

Направление из приложения

Адресат

Узлы безопасности данных гибридного типа

Протокол TCP

443

Исходящие HTTPS и WSS

  • Серверы Webex:

    • *.wbx2.com

    • *.ciscospark.com

  • Все хосты Common Identity

  • Другие URL-адреса, перечисленные для службы безопасности данных гибридного типа в таблице Дополнительные URL-адреса для служб гибридного типа Webex раздела Требования к сети для служб Webex

Инструмент настройки HDS

Протокол TCP

443

HTTPS для исходящих вызовов

  • *.wbx2.com

  • Все хосты Common Identity

  • hub.docker.com

Узлы безопасности данных гибридного типа работают с преобразованием сетевого доступа (NAT) или за брандмауэром, если NAT или брандмауэр допускает необходимые исходящие соединения с адресатами домена в таблице выше. Для соединений, поступающих на узлы безопасности данных гибридного типа, порты не должны отображаться из Интернета. В центре обработки данных клиентам необходим доступ к узлам безопасности данных гибридного типа на портах 443 и 22 TCP в административных целях.

URL-адреса узлов общих параметров идентификации (CI) специфичны для региона. Ниже приведены текущие узлы CI.

Регион

URL-адреса хостов общих параметров идентификации

Северная и Южная Америка

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Европейский союз

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Канада

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Сингапур

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Объединенные Арабские Эмираты

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Требования к прокси-серверу

  • Мы официально поддерживаем следующие решения для прокси, которые можно интегрировать с узлами безопасности данных гибридного типа:

  • Поддерживаются следующие комбинации типов аутентификации для явных прокси:

    • без аутентификации при использовании HTTP или HTTPS;

    • базовая аутентификация при использовании HTTP или HTTPS;

    • дайджест-аутентификация только при использовании HTTPS;

  • При наличии прозрачного прокси с проверкой или явного прокси HTTPS необходимо иметь копию корневого сертификата прокси. Инструкции по развертыванию, приведенные в этом руководстве, содержат информацию о том, как загрузить эту копию в зоны доверия узлов безопасности данных гибридного типа.

  • Сеть, в которой размещены узлы HDS, должна обеспечивать принудительную маршрутизацию исходящего трафика TCP на порте 443 через прокси.

  • Прокси, проверяющие веб-трафик, могут нарушать работу соединений веб-сокетов. Для устранения этой проблемы трафик следует направить в обход (без проверки) на wbx2.com и *.teams.webex.com.

Выполнение предварительных требований для службы безопасности данных гибридного типа

Используйте этот перечень действий, чтобы убедиться в готовности к установке и настройке кластера безопасности данных гибридного типа.
1

Убедитесь, что в партнерской организации включена функция HDS с несколькими клиентами, и получите учетные данные учетной записи с полными правами администратора партнера и полными правами администратора. Убедитесь, что для клиентской организации Webex включена профессиональная версия Cisco Webex Control Hub. Обратитесь за помощью к своему партнеру Cisco или менеджеру по работе с клиентами.

У клиентских организаций не должно быть существующего развертывания HDS.

2

Выберите имя домена для развертывания HDS (например, hds.company.com) и получите цепочку сертификатов, содержащую сертификат X.509, закрытый ключ и любые промежуточные сертификаты. Цепочка сертификатов должна соответствовать требованиям, указанным в разделе Требования к сертификатам X.509.

3

Подготовьте идентичные виртуальные узлы, которые будут настроены в качестве узлов безопасности данных гибридного типа в кластере. Необходимо разместить не менее двух отдельных организаторов (рекомендуется 3) в одном и том же защищенном центре обработки данных, который соответствует требованиям в разделе Требования к виртуальному организатору.

4

Подготовьте сервер базы данных, который будет использоваться в качестве хранилища ключевых данных для кластера в соответствии с требованиями сервера базы данных. Сервер базы данных должен быть размещен в защищенном центре обработки данных с виртуальными хостами.

  1. Создайте базу данных для хранилища ключей. (Необходимо создать эту базу данных. Не используйте базу данных по умолчанию. Приложения HDS при установке создают схему базы данных.)

  2. Соберите сведения, которые узлы будут использовать для связи с сервером базы данных.

    • имя хоста или IP-адрес (хост) и порт

    • имя базы данных (dbname) для хранилища ключей

    • имя пользователя и пароль пользователя со всеми правами в базе данных хранилища ключей

5

Для быстрого аварийного восстановления настройте резервную среду в другом центре обработки данных. Резервная среда дублирует производственную среду виртуальных машин и сервер базы данных резервного копирования. Например, если в производственной среде есть 3 виртуальных машины с узлами HDS, резервная среда должна иметь 3 виртуальных машины.

6

Настройте узел системного журнала для сбора журналов с узлов в кластере. Соберите сетевой адрес и порт системного журнала (по умолчанию UDP 514).

7

Создайте политику безопасного резервного копирования для узлов безопасности данных гибридного типа, сервера базы данных и узла системного журнала. Как минимум, чтобы предотвратить необратимую потерю данных, необходимо создать резервную копию базы данных и файла конфигурации ISO, созданного для узлов безопасности данных гибридного типа.

Поскольку узлы безопасности данных гибридного типа хранят ключи, используемые при шифровании и расшифровке контента, невыполнение оперативного развертывания приведет к НЕОБРАТИМОЙ ПОТЕРЕ этого контента.

Клиенты приложения Webex кэшируют свои ключи, поэтому сбои могут не сразу стать заметными, но со временем станут очевидными. Временные перебои невозможно предотвратить, но их можно восстановить. Однако полная потеря базы данных или файла конфигурации ISO (нет доступных резервных копий) приведет к невозможности восстановления данных клиента. Ожидается, что операторы узлов безопасности данных гибридного типа осуществляют частые резервные копии базы данных и файла конфигурации ISO и будут готовы к обновлению центра обработки данных службы безопасности данных гибридного типа в случае катастрофической ошибки.

8

Убедитесь, что конфигурация брандмауэра разрешает соединение для узлов безопасности данных гибридного типа, как описано в разделе Требования к внешнему подключению.

9

Установите Docker (https://www.docker.com) на любом локальном компьютере, на котором запущена поддерживаемая ОС (64-разрядная версия Microsoft Windows 10 Professional или Enterprise или Mac OSX Yosemite 10.10.3 или более поздняя версия) с веб-браузером, с помощью которого можно получить доступ на странице http://127.0.0.1:8080.

Экземпляр Docker используется для скачивания и запуска инструмента настройки HDS, который создает информацию локальной конфигурации для всех узлов безопасности данных гибридного типа. Вам может понадобиться лицензия Docker Desktop. Дополнительную информацию см. в статье Требования к рабочему столу Docker .

Для установки и запуска инструмента настройки HDS локальная машина должна иметь подключение, описанное в разделе Требования к внешнему подключению.

10

При интеграции прокси с системой безопасности данных гибридного типа убедитесь, что он соответствует требованиям к прокси-серверу.

Настройка кластера безопасности данных гибридного типа

Алгоритм выполнения задач по развертыванию службы безопасности данных гибридного типа

Перед началом работы

1

Выполните начальную настройку и скачайте файлы установки

Скачайте файл OVA на локальный компьютер для дальнейшего использования.

2

Создание ISO конфигурации для узлов HDS

Используйте инструмент настройки HDS для создания файла конфигурации ISO для узлов безопасности данных гибридного типа.

3

Установка файла OVA узла HDS

Создайте виртуальную машину из файла OVA и выполните начальную конфигурацию, например параметры сети.

Параметр настройки сети во время развертывания OVA протестирован с помощью ESXi 7.0. Этот параметр может быть недоступен в более ранних версиях.

4

Настройка виртуальной машины безопасности данных гибридного типа

Войдите в консоль виртуальной машины и задайте учетные данные для входа. Настройте параметры сети для узла, если они не были настроены во время развертывания файла OVA.

5

Загрузка и установка ISO конфигурации HDS

Настройте виртуальную машину из файла конфигурации ISO, созданного с помощью инструмента настройки HDS.

6

Настройка узла HDS для интеграции прокси

Если в сетевой среде требуется конфигурация прокси, укажите тип прокси, который будет использоваться для узла, и при необходимости добавьте сертификат прокси в доверенное хранилище.

7

Регистрация первого узла в кластере

Зарегистрируйте виртуальную машину в облаке Cisco Webex в качестве узла безопасности данных гибридного типа.

8

Создать и зарегистрировать другие узлы

Завершите настройку кластера.

9

Активируйте HDS с несколькими клиентами в Partner Hub.

Активируйте HDS и управляйте организациями клиентов в Partner Hub.

Выполните начальную настройку и скачайте файлы установки

В этой задаче вы скачаете файл OVA на свой компьютер (а не на серверы, настроенные в качестве узлов безопасности данных гибридного типа). Этот файл будет использован позже в процессе установки.

1

Войдите в Partner Hub и щелкните Службы.

2

В разделе облачных служб найдите карточку безопасности данных гибридного типа и щелкните Настройка.

Нажатие кнопки Настройка в партнерском центре имеет решающее значение для процесса развертывания. Не продолжайте установку без завершения этого шага.

3

Щелкните Добавить ресурс и щелкните Скачать файл OVA на карточке Установка и настройка программного обеспечения .

Более ранние версии пакета программного обеспечения (OVA) не будут совместимы с последними модернизациями безопасности данных гибридного типа. Это может привести к ошибкам во время модернизации приложения. Убедитесь, что скачано последнюю версию файла OVA.

Кроме того, файл OVA можно скачать в любой момент в разделе Справка . Щелкните Настройки > Справка > Скачать программное обеспечение безопасности данных гибридного типа.

Скачивание файла OVA начнется автоматически. Сохраните файл в местоположении на своем компьютере.
4

При необходимости щелкните Просмотреть руководство по развертыванию службы безопасности данных гибридного типа , чтобы проверить доступность более поздней версии этого руководства.

Создание ISO конфигурации для узлов HDS

Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.

Прежде чем начать
1

Введите соответствующую команду для вашей среды в командной строке компьютера.

В обычных средах:

docker rmi ciscocitg/hds-setup:stable

В средах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать.

2

Чтобы войти в реестр образов Docker, введите следующее.

docker login -u hdscustomersro
3

Введите в запросе пароля этот хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Скачайте последнюю стабильную версию образа для вашей среды.

В обычных средах:

docker pull ciscocitg/hds-setup:stable

В средах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

По завершении скачивания введите соответствующую команду для вашей среды.

  • В обычных средах без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • В обычных средах с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В обычных средах с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В средах FedRAMP без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

6

Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу.

Перейдите к локальному узлу http://127.0.0.1:8080 с помощью веб-браузера и введите имя пользователя администратора для Partner Hub в окне подсказки.

Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартную подсказку для входа в систему.

7

При отображении соответствующего запроса введите учетные данные для входа администратора Partner Hub и щелкните Войти , чтобы разрешить доступ к необходимым службам для службы безопасности данных гибридного типа.

8

На странице обзора инструмента настройки щелкните Начало работы.

9

На странице Импорт ISO доступны следующие параметры.

  • Нет. Если вы создаете первый узел HDS, у вас нет файла ISO для загрузки.
  • Да. Если вы уже создали узлы HDS, выберите файл ISO в окне просмотра и загрузите его.
10

Проверьте, соответствует ли сертификат X.509 требованиям к сертификатам X.509.

  • Если сертификат ранее не загружался, загрузите сертификат X.509, введите пароль и щелкните Продолжить.
  • Если сертификат в ОК, щелкните Продолжить.
  • Если срок действия сертификата истек или вы хотите заменить его, выберите Нет для параметра Продолжить использование цепочки сертификатов HDS и закрытого ключа из предыдущего ISO?. Загрузите новый сертификат X.509, введите пароль и щелкните Продолжить.
11

Введите адрес базы данных и учетную запись HDS для доступа к хранилищу данных ключей:

  1. Выберите Тип базы данных (PostgreSQL или Microsoft SQL Server).

    При выборе Microsoft SQL Server появится поле "Тип аутентификации".

  2. (Только Microsoft SQL Server ) Выберите Тип аутентификации.

    • Базовая аутентификация. В поле Имя пользователя необходимо указать имя учетной записи локального сервера SQL.

    • Аутентификация Windows. Необходима учетная запись Windows в формате имя_пользователя@ДОМЕН в поле Имя_пользователя .

  3. Введите адрес сервера базы данных в форме : или :.

    Пример.
    dbhost.example.org:1433 или 198.51.100.17:1433

    Если узлы не могут использовать DNS для разрешения имени узла, можно использовать IP-адрес для базовой аутентификации.

    При использовании аутентификации Windows необходимо ввести полное доменное имя в формате dbhost.example.org:1433

  4. Введите имя базы данных.

  5. Введите имя пользователя и пароль пользователя со всеми правами в базе данных хранилища ключей.

12

Выберите Режим подключения к базе данных TLS.

Mode

Описание

Предпочтительное использование TLS (параметр по умолчанию)

Узлам HDS не требуется TLS для подключения к серверу базы данных. Если на сервере базы данных включить TLS, узлы попытаются установить зашифрованное соединение.

Обязательное использование TLS

Подключение узлов HDS будет выполнено только в том случае, если сервер базы данных может согласовывать использование TLS.

Обязательное использование TLS и проверка источника подписи сертификата

Этот режим неприменим к базам данных SQL Server.

  • Подключение узлов HDS будет выполнено только в том случае, если сервер базы данных может согласовывать использование TLS.

  • После установления соединения TLS узел сравнивает подписавшего сертификат сервера базы данных с центром сертификации в корневом сертификате базы данных. При отсутствии совпадения узел разорвет соединение.

Воспользуйтесь элементом управления корневым сертификатом базы данных под раскрывающимся списком, чтобы загрузить корневой сертификат для этого параметра.

Обязательное использование TLS и проверка источника подписи сертификата и имени узла

  • Подключение узлов HDS будет выполнено только в том случае, если сервер базы данных может согласовывать использование TLS.

  • После установления соединения TLS узел сравнивает подписавшего сертификат сервера базы данных с центром сертификации в корневом сертификате базы данных. При отсутствии совпадения узел разорвет соединение.

  • Узлы также проверяют, совпадает ли имя узла в сертификате сервера с именем узла в поле Узел базы данных и порт . Необходимо точное совпадение имен. Иначе узел разорвет соединение.

Воспользуйтесь элементом управления корневым сертификатом базы данных под раскрывающимся списком, чтобы загрузить корневой сертификат для этого параметра.

При загрузке корневого сертификата (при необходимости) и нажатии Продолжить инструмент настройки HDS тестирует подключение TLS к серверу базы данных. Инструмент также выполняет проверку источника подписи сертификата и имени узла (если применимо). Если тест не будет пройден, в инструменте будет отображено сообщение об ошибке с описанием проблемы. Можно выбрать параметр игнорирования ошибки и продолжить настройку. (Из-за различий соединения узлы HDS могут установить соединение TLS, даже если машина средства настройки HDS не может успешно протестировать его.)

13

На странице «Системные журналы» настройте сервер Syslogd:

  1. Введите URL-адрес сервера системного журнала.

    Если сервер не может разрешить DNS из узлов для кластера HDS, используйте IP-адрес в URL.

    Пример.
    udp://10.92.43.23:514 означает вход в хост Syslogd 10.92.43.23 на порте UDP 514.

  2. Если вы настроили на сервере использование шифрования TLS, установите флажок Настроен ли сервер системного журнала для шифрования SSL?.

    Если установить этот флажок, необходимо ввести URL-адрес TCP, например tcp://10.92.43.23:514.

  3. В раскрывающемся списке Выберите прекращение записи системного журнала выберите соответствующую настройку для файла ISO. Выбор или новая линия используется для TCP-протокола Graylog и Rsyslog

    • Нулевой байт -- \x00

    • Новая линия -- \n: выберите этот вариант для TCP-протокола Graylog и Rsyslog.

  4. Щелкните Продолжить.

14

(Необязательно) Можно изменить значение по умолчанию для некоторых параметров подключения к базе данных в разделе Расширенные настройки. Как правило, этот параметр является единственным, который необходимо изменить:

app_datasource_connection_pool_maxРазмер: 10
15

Щелкните Продолжить на экране Сброс пароля учетных записей службы .

Срок действия паролей учетных записей службы составляет девять месяцев. Используйте этот экран, когда срок действия паролей скоро истечет или вы хотите сбросить их, чтобы сделать предыдущие файлы ISO недействительными.

16

Щелкните Скачать файл ISO. Сохраните файл в удобном для поиска местоположении.

17

Сделайте резервную копию файла ISO в локальной системе.

Обеспечьте безопасность резервного копирования. Этот файл содержит главный ключ шифрования для содержимого базы данных. Ограничьте доступ только тем администраторам службы безопасности данных гибридного типа, которые должны вносить изменения в конфигурацию.

18

Чтобы завершить работу инструмента настройки, нажмите CTRL+C.

Дальнейшие действия

Создайте резервную копию файла конфигурации ISO. Это необходимо для создания дополнительных узлов для восстановления или внесения изменений в конфигурацию. В случае утери всех копий файла ISO также был утрачен главный ключ. Невозможно восстановить ключи из базы данных PostgreSQL или Microsoft SQL Server.

У нас никогда не будет копии этого ключа, и мы не можем помочь, если вы его потеряете.

Установка файла OVA узла HDS

Используйте эту процедуру для создания виртуальной машины из файла OVA.
1

Используйте клиент VMware vSphere на компьютере для входа в виртуальный хост ESXi.

2

Выберите Файл > Развернуть шаблон OVF.

3

В мастере укажите расположение скачанного ранее файла OVA и щелкните Далее.

4

На странице Выберите имя и папку введите имя виртуальной машины для узла (например, "HDS_Node_1"), выберите местоположение, в котором может находиться развертывание узла виртуальной машины, и щелкните Далее.

5

На странице Выбор вычислительного ресурса выберите целевой вычислительный ресурс и щелкните Далее.

Выполняется проверка. По завершении отобразятся сведения о шаблоне.

6

Проверьте сведения о шаблоне и щелкните Далее.

7

При появлении запроса на выбор конфигурации ресурса на странице Конфигурация щелкните 4 ЦП , а затем щелкните Далее.

8

На странице Выбор хранилища щелкните Далее , чтобы принять формат диска по умолчанию и политику хранилища виртуальной машины.

9

На странице Выбор сетей выберите параметр сети из списка записей, чтобы обеспечить необходимое подключение к виртуальной машине.

10

На странице Настройка шаблона настройте приведенные ниже параметры сети.

  • Имя узла. Введите FQDN (имя узла и домен) или одно слово имя узла.

    • Настройка домена в соответствии с доменом, который вы использовали для получения сертификата X.509, не требуется.

    • Чтобы обеспечить успешную регистрацию в облаке, используйте только символы нижнего регистра в FQDN или имени узла, заданном для узла. В настоящее время заглавные буквы не поддерживаются.

    • Общая длина FQDN не должна превышать 64 символа.

  • IP-адрес: введите IP-адрес для внутреннего интерфейса узла.

    Узел должен иметь внутренний IP-адрес и имя DNS. DHCP не поддерживается.

  • Маска. Введите адрес маски подсети в десятичном формате. Например, 255.255.255.0.
  • Шлюз: введите IP-адрес шлюза. Шлюз — это сетевой узел, который служит точкой доступа к другой сети.
  • DNS-серверы: введите список DNS-серверов, разделенных запятыми, для обработки перевода доменных имен на числовые IP-адреса. (Разрешено до 4 записей DNS.)
  • NTP Servers (Серверы NTP). Введите сервер NTP вашей организации или другой внешний сервер NTP, который можно использовать в вашей организации. Серверы NTP по умолчанию могут работать не для всех предприятий. Для ввода нескольких NTP-серверов также можно использовать список, разделенный запятыми.

  • Разверните все узлы в одной подсети или VLAN, чтобы все узлы в кластере были доступны из клиентов вашей сети в административных целях.

При необходимости можно пропустить конфигурацию сетевых настроек и выполнить действия, описанные в разделе Настройка виртуальной машины безопасности данных гибридного типа , чтобы настроить параметры с помощью консоли узла.

Параметр настройки сети во время развертывания OVA протестирован с помощью ESXi 7.0. Этот параметр может быть недоступен в более ранних версиях.

11

Щелкните правой кнопкой мыши узел виртуальной машины и выберите Питание > Включение.

Программное обеспечение безопасности данных гибридного типа устанавливается в качестве гостя на узле виртуальной машины. Теперь вы готовы войти в консоль и настроить узел.

Рекомендации по устранению неисправностей

Контейнеры узла могут появиться через несколько минут. Во время первой загрузки на консоли отображается сообщение брандмауэра моста, в течение которого невозможно войти в систему.

Настройка виртуальной машины безопасности данных гибридного типа

Используйте эту процедуру для первого входа в консоль виртуальной машины узла безопасности данных гибридного типа и установки учетных данных для входа. Можно также использовать консоль для настройки сетевых параметров узла, если они не были настроены во время развертывания файла OVA.

1

В клиенте VMware vSphere выберите виртуальную машину узла безопасности данных гибридного типа и откройте вкладку Консоль .

Будет загружена виртуальная машина, и отобразится запрос на вход. Если запрос на вход не отображается, нажмите клавишу ввода.
2

Для входа и изменения учетных данных используйте следующие параметры входа и пароля по умолчанию:

  1. Вход: Администратор

  2. Пароль. Cisco

Поскольку вы впервые входите в свою виртуальную машину, вам необходимо изменить пароль администратора.

3

Если параметры сети уже настроены в разделе Установка OVA узла HDS, пропустите остальную процедуру. В противном случае в главном меню выберите параметр Редактировать конфигурацию .

4

Настройте статическую конфигурацию с использованием IP-адреса, маски, шлюза и информации DNS. Узел должен иметь внутренний IP-адрес и имя DNS. DHCP не поддерживается.

5

(Необязательно) Измените имя хоста, домен или NTP-серверы, если это необходимо для соответствия вашей сетевой политике.

Настройка домена в соответствии с доменом, который вы использовали для получения сертификата X.509, не требуется.

6

Сохраните конфигурацию сети и перезагрузите виртуальную машину, чтобы изменения вступили в силу.

Загрузка и установка ISO конфигурации HDS

Используйте эту процедуру для настройки виртуальной машины из файла ISO, созданного с помощью инструмента настройки HDS.

Перед началом работы

Поскольку в файле ISO содержится главный ключ, он должен быть раскрыт только по принципу «необходимо знать» для доступа виртуальных машин безопасности данных гибридного типа и всех администраторов, которым может потребоваться внести изменения. Убедитесь, что доступ к хранилищу данных могут получить только эти администраторы.

1

Загрузите файл ISO со своего компьютера.

  1. На левой панели навигации клиента VMware vSphere щелкните сервер ESXi.

  2. В списке "Оборудование" вкладки "Конфигурация" щелкните Хранилище.

  3. В списке хранилищ данных щелкните правой кнопкой мыши хранилище данных для виртуальных машин и щелкните Обзор хранилища данных.

  4. Щелкните пиктограмму "Загрузить файлы" и щелкните Загрузить файл.

  5. Перейдите в расположение, в котором скачался файл ISO на компьютер, и щелкните Открыть.

  6. Щелкните Да , чтобы принять предупреждение о загрузке или скачивании и закрыть диалоговое окно хранилища данных.

2

Установите файл ISO:

  1. На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры.

  2. Щелкните ОК , чтобы принять предупреждение об ограничении параметров редактирования.

  3. Щелкните Привод CD/DVD 1, выберите параметр подключения из файла хранилища данных ISO и перейдите в расположение, в котором был загружен файл конфигурации ISO.

  4. Установите флажки Подключено и Подключиться при включении.

  5. Сохраните изменения и перезагрузите виртуальную машину.

Дальнейшие действия

Если политика ИТ требует, после внесения изменений конфигурации на всех узлах можно отсоединить файл ISO. Подробные сведения см. в статье (необязательно) Отключение ISO после настройки HDS .

Настройка узла HDS для интеграции прокси

Если в сетевой среде необходимо использовать прокси, воспользуйтесь этой процедурой, чтобы указать тип прокси, который нужно интегрировать со службой безопасности данных гибридного типа. При выборе прозрачного прокси с проверкой или явного прокси HTTPS можно использовать интерфейс узла для загрузки и установки корневого сертификата. Кроме того, в интерфейсе можно проверять соединение с прокси и устранять неполадки.

Перед началом работы

1

Введите в веб-браузере URL-адрес для настройки узла HDS https://[IP-адрес или FQDN узла HDS]/setup, укажите учетные данные администратора, заданные вами для узла, и щелкните Sign In (Вход).

2

Откройте раздел Trust Store & Proxy (Зона доверия и прокси) и выберите один из следующих параметров.

  • Без прокси. Этот параметр используется по умолчанию перед интеграцией прокси. Обновление сертификата не требуется.
  • Прозрачный прокси без проверки. Узлы не настроены для использования адреса определенного прокси-сервера и не должны требовать каких-либо изменений для работы с прокси без проверки. Обновление сертификата не требуется.
  • Прозрачный прокси с проверкой: узлы не настроены для использования адреса определенного прокси-сервера. В развертывании службы безопасности данных гибридного типа не нужно вносить изменения в конфигурацию HTTPS, однако для обеспечения доверия прокси узлам HDS необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже HTTPS).
  • Явный прокси. При использовании явного прокси клиент (узлы HDS) определяет, какой прокси-сервер использовать. Этот параметр поддерживает несколько типов аутентификации. После выбора этого параметра необходимо ввести указанную далее информацию.

    1. IP/FQDN прокси. Адрес, который можно использовать для связи с прокси-машиной.

    2. Порт прокси. Номер порта, который прокси использует для прослушивания прокси-трафика.

    3. Proxy Protocol (Протокол прокси). Выберите http (просмотр и управление всеми запросами, полученными от клиента) или https (обеспечивает канал для сервера, а клиент получает и проверяет сертификат сервера). Выберите параметр в зависимости от того, какой протокол поддерживает используемый вами прокси-сервер.

    4. Тип аутентификации: выберите один из приведенных ниже типов аутентификации.

      • Нет. Дальнейшая аутентификация не требуется.

        Этот параметр доступен для прокси HTTP или HTTPS.

      • Базовый: используется для агента пользователя HTTP для указания имени пользователя и пароля при совершении запроса. Использует кодировку Base64.

        Этот параметр доступен для прокси HTTP или HTTPS.

        Если вы выберете этот параметр, вам понадобится ввести имя пользователя и пароль.

      • Дайджест. Используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети.

        Этот параметр доступен только для прокси HTTPS.

        Если вы выберете этот параметр, вам понадобится ввести имя пользователя и пароль.

В случае использования прозрачного прокси с проверкой, явного прокси HTTP с базовой аутентификацией или явного прокси HTTPS выполните указанные далее шаги.

3

Щелкните Upload a Root Certificate or End Entity Certificate (Загрузить корневой сертификат или сертификат конечного субъекта) и откройте меню для выбора корневого сертификата для прокси.

Сертификат будет загружен, но не установлен, поскольку для установки сертификата необходимо перезагрузить узел. Чтобы получить дополнительные сведения, щелкните стрелку-шеврон, расположенную рядом с именем издателя сертификата. Если вы допустили ошибку и хотите вновь загрузить файл, щелкните Delete (Удалить).

4

Чтобы протестировать сетевое соединение между узлом и прокси, щелкните Check Proxy Connection (Проверить соединение с прокси).

Если тестирование соединения завершится неудачей, на экране появится сообщение об ошибке, в котором будут указаны причина и способ исправления ошибки.

Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу. Такая проблема может возникнуть во многих конфигурациях явного прокси. Можно продолжить настройку, и узел будет работать в режиме блокировки разрешения внешних DNS. Если вы считаете, что это ошибка, выполните эти действия, а затем см. статью Выключение режима блокировки разрешения внешних DNS.

5

Если вы используете явный прокси, настроенный на применение исключительно https, после успешного завершения тестирования соединения включите параметр Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси (Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси). Для вступления в силу этого параметра необходимо 15 секунд.

6

Щелкните Install All Certificates Into the Trust Store (Установить все сертификаты в зоне доверия) – этот параметр отображается при использовании явного прокси HTTPS или прозрачного прокси с проверкой – или Reboot (Перезагрузить) – этот параметр отображается при использовании явного прокси HTTP. Прочитайте запрос и щелкните Install (Установить), если вы готовы к установке.

Узел перезагрузится в течение нескольких минут.

7

После перезагрузки узла повторно войдите в систему, если это необходимо, и откройте страницу Обзор, чтобы выполнить проверки соединений. Состояние всех проверок должно быть обозначено зеленым цветом.

Проверка соединения с прокси используется исключительно для тестирования поддомена webex.com. Проблемы с соединениями нередко возникают из-за того, что некоторые облачные домены, указанные в инструкциях по установке, блокируются на уровне прокси.

Регистрация первого узла в кластере

Эта задача берет общий узел, созданный в разделе Настройка виртуальной машины безопасности данных гибридного типа, регистрирует узел в облаке Webex и преобразует его в узел безопасности данных гибридного типа.

При регистрации первого узла создается кластер, которому он назначен. Кластер содержит один или несколько узлов, развернутых для резервирования.

Перед началом работы

  • После начала регистрации узла ее необходимо завершить в течение 60 минут или начать заново.

  • Убедитесь, что все блокировки всплывающих окон в браузере отключены или вы разрешаете исключение для admin.webex.com.

1

Войдите в https://admin.webex.com.

2

В меню в левой части экрана выберите Службы.

3

В разделе облачных служб найдите карточку безопасности данных гибридного типа и щелкните Настройка.

4

На открывшейся странице щелкните Добавить ресурс.

5

В первом поле карточки Добавить узел введите имя кластера, которому необходимо назначить узел безопасности данных гибридного типа.

Рекомендуется назвать кластер в зависимости от географического расположения узлов кластера. Примеры: "Сан-Франциско", "Нью-Йорк" или "Даллас"

6

Во втором поле введите внутренний IP-адрес или полное доменное имя узла и щелкните Добавить в нижней части экрана.

Этот IP-адрес или полное доменное имя должны совпадать с IP-адресом или именем хоста и доменом, которые вы использовали в разделе Настройка виртуальной машины безопасности данных гибридного типа.

Отобразится сообщение о том, что можно зарегистрировать узел в Webex.
7

Щелкните Перейти к узлу.

Через несколько секунд вы будете перенаправлены на тестирование подключения узла для служб Webex. Если все тесты будут успешными, отобразится страница "Разрешить доступ к узлу безопасности данных гибридного типа". Здесь вы подтверждаете, что хотите предоставить вашей организации Webex полномочия на доступ к узлу.

8

Установите флажок в поле Разрешить доступ к узлу безопасности данных гибридного типа и щелкните Продолжить.

Учетная запись подтверждена. В сообщении "Регистрация завершена" указано, что узел зарегистрирован в облаке Webex.
9

Щелкните ссылку или закройте вкладку, чтобы вернуться на страницу безопасности данных гибридного типа партнерского центра.

На странице Безопасность данных гибридного типа новый кластер, содержащий зарегистрированный узел, отображается на вкладке Ресурсы . Узел будет автоматически скачан новейшее программное обеспечение из облака.

Создать и зарегистрировать другие узлы

Чтобы добавить дополнительные узлы в кластер, просто создайте дополнительные виртуальные машины и подключите тот же файл конфигурации ISO, а затем зарегистрируйте узел. Рекомендуется иметь не менее 3 узлов.

Перед началом работы

  • После начала регистрации узла ее необходимо завершить в течение 60 минут или начать заново.

  • Убедитесь, что все блокировки всплывающих окон в браузере отключены или вы разрешаете исключение для admin.webex.com.

1

Создайте новую виртуальную машину из файла OVA, повторяя шаги, описанные в разделе Установка файла OVA узла HDS.

2

Настройте начальную конфигурацию новой виртуальной машины, повторяя шаги, описанные в разделе Настройка виртуальной машины безопасности данных гибридного типа.

3

В новой виртуальной машине повторите шаги, описанные в разделе Загрузка и установка ISO конфигурации HDS.

4

При настройке прокси для развертывания повторите шаги, описанные в разделе Настройка узла HDS для интеграции прокси для нового узла.

5

Зарегистрируйте узел.

  1. В https://admin.webex.com в меню в левой части экрана выберите Службы .

  2. В разделе облачных служб найдите карточку безопасности данных гибридного типа и щелкните Просмотреть все.

    Откроется страница "Ресурсы безопасности данных гибридного типа".

  3. Только что созданный кластер отобразится на странице Ресурсы .

  4. Щелкните кластер, чтобы просмотреть узлы, назначенные кластеру.

  5. Щелкните Добавить узел в правой части экрана.

  6. Введите внутренний IP-адрес или полное доменное имя узла и щелкните Добавить.

    Откроется страница с сообщением о том, что можно зарегистрировать узел в облаке Webex. Через несколько секунд вы будете перенаправлены на тестирование подключения узла для служб Webex. Если все тесты будут успешными, отобразится страница "Разрешить доступ к узлу безопасности данных гибридного типа". После этого вы подтверждаете, что хотите предоставить организации полномочия на доступ к узлу.

  7. Установите флажок в поле Разрешить доступ к узлу безопасности данных гибридного типа и щелкните Продолжить.

    Учетная запись подтверждена. В сообщении "Регистрация завершена" указано, что узел зарегистрирован в облаке Webex.

  8. Щелкните ссылку или закройте вкладку, чтобы вернуться на страницу безопасности данных гибридного типа партнерского центра.

    Всплывающее сообщение Узел добавлен также отображается в нижней части экрана в партнерском центре.

    Ваш узел зарегистрирован.

Управление организациями клиентов в службе безопасности данных гибридного типа с поддержкой нескольких клиентов

Активация HDS с несколькими клиентами в центре партнера

Эта задача позволит всем пользователям клиентских организаций начать использование HDS для локальных ключей шифрования и других служб безопасности.

Перед началом работы

Убедитесь, что настройка кластера HDS с несколькими клиентами завершена с требуемым количеством узлов.

1

Войдите в https://admin.webex.com.

2

В меню в левой части экрана выберите Службы.

3

В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Редактировать настройки.

4

Щелкните Активировать HDS на карточке Состояние HDS .

Добавить организации клиентов в Partner Hub

В этой задаче вы назначаете клиентские организации кластеру безопасности данных гибридного типа.

1

Войдите в https://admin.webex.com.

2

В меню в левой части экрана выберите Службы.

3

В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Просмотреть все.

4

Щелкните кластер, которому необходимо назначить клиента.

5

Перейдите на вкладку Назначенные клиенты .

6

Щелкните Добавить клиентов.

7

В раскрывающемся меню выберите клиента, которого необходимо добавить.

8

Щелкните Добавить, и клиент будет добавлен в кластер.

9

Чтобы добавить в кластер несколько клиентов, повторите шаги 6–8.

10

После добавления клиентов щелкните Готово в нижней части экрана.

Дальнейшие действия

Чтобы завершить процесс настройки, запустите инструмент настройки HDS, как описано в разделе Создание главных ключей клиента (CMK) с помощью инструмента настройки HDS .

Создание главных ключей клиентов (CMK) с помощью инструмента настройки HDS

Перед началом работы

Назначьте клиентов в соответствующий кластер, как описано в разделе Добавление клиентских организаций в Partner Hub. Запустите инструмент настройки HDS, чтобы завершить процесс настройки вновь добавленных клиентских организаций.

  • Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора для вашей организации.

    Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.

    Описание

    Переменная

    HTTP-прокси без аутентификации

    ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТ

    HTTPS-прокси без аутентификации

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTP-прокси с аутентификацией

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

    HTTPS-прокси с аутентификацией

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

  • Созданный файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. При внесении изменений в конфигурацию вам потребуется последняя копия этого файла. Например:

    • Учетные данные базы данных

    • Обновления сертификата

    • Изменения политики авторизации

  • При планировании шифрования соединений с базой данных настройте развертывание PostgreSQL или SQL Server для TLS.

Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.

1

Введите соответствующую команду для вашей среды в командной строке компьютера.

В обычных средах:

docker rmi ciscocitg/hds-setup:stable

В средах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать.

2

Чтобы войти в реестр образов Docker, введите следующее.

docker login -u hdscustomersro
3

Введите в запросе пароля этот хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Скачайте последнюю стабильную версию образа для вашей среды.

В обычных средах:

docker pull ciscocitg/hds-setup:stable

В средах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

По завершении скачивания введите соответствующую команду для вашей среды.

  • В обычных средах без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • В обычных средах с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В обычных средах с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В средах FedRAMP без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

6

Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу.

Перейдите к локальному узлу http://127.0.0.1:8080 с помощью веб-браузера и введите имя пользователя администратора для Partner Hub в окне подсказки.

Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартную подсказку для входа в систему.

7

При отображении соответствующего запроса введите учетные данные для входа администратора Partner Hub и щелкните Войти , чтобы разрешить доступ к необходимым службам для службы безопасности данных гибридного типа.

8

На странице обзора инструмента настройки щелкните Начало работы.

9

На странице Импорт ISO щелкните Да.

10

Выберите файл ISO в браузере и загрузите его.

Для выполнения управления CMK убедитесь в подключении к базе данных.
11

Перейдите на вкладку Управление CMK клиента , где можно найти три способа управления CMK клиента.

  • Создать CMK для всех ОРГАНИЗАЦИЙ или Создать CMK . Щелкните эту кнопку на баннере в верхней части экрана, чтобы создать CMK для всех вновь добавленных организаций.
  • Щелкните кнопку Управление CMK в правой части экрана и щелкните Создать CMK , чтобы создать CMK для всех вновь добавленных организаций.
  • Щелкните … рядом с состоянием рассмотрения управления CMK определенной организации в таблице и щелкните Создать CMK , чтобы создать CMK для этой организации.
12

После успешного создания CMK состояние в таблице изменится с Управление CMK рассматривается на Управление CMK.

13

В случае неудачного создания CMK отображается ошибка.

Удалить организации клиентов

Перед началом работы

После удаления пользователи клиентских организаций не смогут использовать HDS в целях шифрования, а все существующие пространства будут утрачены. Прежде чем удалить клиентские организации, обратитесь к своему партнеру Cisco или менеджеру по работе с клиентами.

1

Войдите в https://admin.webex.com.

2

В меню в левой части экрана выберите Службы.

3

В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Просмотреть все.

4

На вкладке Ресурсы щелкните кластер, из которого необходимо удалить клиентские организации.

5

На открывшейся странице щелкните Назначенные клиенты.

6

В списке отображаемых клиентских организаций щелкните ... в правой части клиентской организации, которую необходимо удалить, и щелкните Удалить из кластера.

Дальнейшие действия

Завершите процесс удаления, отозвав CMK клиентских организаций, как описано в статье Отозвать CMK клиентов, удаленных из HDS.

Отозвать CMK клиентов, удаленные из HDS.

Перед началом работы

Удалите клиентов из соответствующего кластера, как описано в разделе Удаление клиентских организаций. Запустите инструмент настройки HDS, чтобы завершить процесс удаления удаленных клиентских организаций.

  • Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора для вашей организации.

    Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.

    Описание

    Переменная

    HTTP-прокси без аутентификации

    ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТ

    HTTPS-прокси без аутентификации

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTP-прокси с аутентификацией

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

    HTTPS-прокси с аутентификацией

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

  • Созданный файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. При внесении изменений в конфигурацию вам потребуется последняя копия этого файла. Например:

    • Учетные данные базы данных

    • Обновления сертификата

    • Изменения политики авторизации

  • При планировании шифрования соединений с базой данных настройте развертывание PostgreSQL или SQL Server для TLS.

Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.

1

Введите соответствующую команду для вашей среды в командной строке компьютера.

В обычных средах:

docker rmi ciscocitg/hds-setup:stable

В средах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать.

2

Чтобы войти в реестр образов Docker, введите следующее.

docker login -u hdscustomersro
3

Введите в запросе пароля этот хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Скачайте последнюю стабильную версию образа для вашей среды.

В обычных средах:

docker pull ciscocitg/hds-setup:stable

В средах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

По завершении скачивания введите соответствующую команду для вашей среды.

  • В обычных средах без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • В обычных средах с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В обычных средах с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В средах FedRAMP без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

6

Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу.

Перейдите к локальному узлу http://127.0.0.1:8080 с помощью веб-браузера и введите имя пользователя администратора для Partner Hub в окне подсказки.

Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартную подсказку для входа в систему.

7

При отображении соответствующего запроса введите учетные данные для входа администратора Partner Hub и щелкните Войти , чтобы разрешить доступ к необходимым службам для службы безопасности данных гибридного типа.

8

На странице обзора инструмента настройки щелкните Начало работы.

9

На странице Импорт ISO щелкните Да.

10

Выберите файл ISO в браузере и загрузите его.

11

Перейдите на вкладку Управление CMK клиента , где можно найти три способа управления CMK клиента.

  • Отозвать CMK для всех ОРГАНИЗАЦИЙ или Отозвать CMK . Щелкните эту кнопку на баннере в верхней части экрана, чтобы отозвать CMK всех удаленных организаций.
  • Щелкните кнопку Управление CMK в правой части экрана и щелкните Отозвать CMK , чтобы отозвать CMK всех удаленных организаций.
  • Щелкните рядом с состоянием CMK для отзыва определенной организации в таблице и щелкните Отозвать CMK , чтобы отозвать CMK для определенной организации.
12

После успешного отзыва CMK клиентская организация больше не будет отображаться в таблице.

13

Если отзыв CMK не выполнен, отображается ошибка.

Тестирование развертывания службы безопасности данных гибридного типа

Тестирование развертывания службы безопасности данных гибридного типа

Используйте эту процедуру для тестирования сценариев шифрования безопасности данных гибридного типа с несколькими клиентами.

Перед началом работы

  • Настройте развертывание службы безопасности данных гибридного типа с несколькими клиентами.

  • Убедитесь, что у вас есть доступ к системному журналу, чтобы проверить, передаются ли запросы ключей в развертывание системы безопасности данных гибридного типа с несколькими клиентами.

1

Ключи для определенного пространства задаются создателем пространства. Войдите в приложение Webex в качестве одного из пользователей клиентской организации и создайте пространство.

Если деактивировать развертывание безопасности данных гибридного типа, контент в пространствах, созданных пользователями, больше не будет доступен после замены кэшированных клиентом копий ключей шифрования.

2

Отправить сообщения в новое пространство.

3

Проверьте вывод системного журнала, чтобы убедиться, что запросы ключей передаются в развертывание службы безопасности данных гибридного типа.

  1. Чтобы проверить, установит ли пользователь защищенный канал в KMS, отфильтруйте kms.data.method=create и kms.data.type=EPHEMERAL_KEY_COLLECTION.

    Необходимо найти следующую запись (идентификаторы, сокращенные для удобства чтения):
    2020-07-21 17:35:34.562 (+0000) KMS INFO [pool-14-thread-1] – получен [KMS:REQUEST], идентификатор устройства: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Чтобы проверить, требуется ли пользователю, запрашивающему существующий ключ из KMS, выполните фильтр в меню kms.data.method=retrieve и kms.data.type=KEY.

    Отобразится запись, аналогичная приведенной ниже.
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] – получен [KMS:REQUEST], идентификатор устройства: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Чтобы проверить, требуется ли пользователю создать новый ключ KMS, выполните фильтр в меню kms.data.method=create и kms.data.type=KEY_COLLECTION.

    Отобразится запись, аналогичная приведенной ниже.
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] – получен [KMS:REQUEST], идентификатор устройства: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Чтобы проверить, есть ли у пользователя запрос на создание нового объекта ресурса KMS (KRO) при создании пространства или другого защищенного ресурса, используйте фильтры в разделах kms.data.method=create и kms.data.type=RESOURCE_COLLECTION.

    Отобразится запись, аналогичная приведенной ниже. 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] – получен [KMS:REQUEST], идентификатор устройства: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Мониторинг работоспособности службы безопасности данных гибридного типа

Индикатор состояния в партнерском центре показывает, все ли в порядке с развертыванием службы безопасности данных гибридного типа с несколькими клиентами. Для более упреждающих предупреждений зарегистрируйтесь для получения уведомлений по электронной почте. Вы будете уведомлены о появлении сигналов, влияющих на службу, или о модернизации программного обеспечения.
1

В Partner Hub в меню в левой части экрана выберите Службы .

2

В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Редактировать настройки.

Отобразится страница "Настройки безопасности данных гибридного типа".
3

В разделе "Электронные уведомления" введите один или несколько адресов электронной почты, разделяя их запятыми, и нажмите клавишу ввода.

Управление развертыванием HDS

Управление развертыванием HDS

Для управления развертыванием службы безопасности данных гибридного типа используйте описанные здесь задачи.

Настройка графика модернизации кластера

Модернизация программного обеспечения службы безопасности данных гибридного типа выполняется автоматически на уровне кластера, что гарантирует, что на всех узлах всегда запущена одна и та же версия программного обеспечения. Модернизация выполняется в соответствии с графиком модернизации кластера. Когда модернизация программного обеспечения становится доступной, можно вручную модернизировать кластер до запланированного времени модернизации. Можно задать конкретное расписание модернизации или использовать расписание по умолчанию: 3:00 (ежедневно в США). Америка/Лос-Анджелес. При необходимости можно также отложить предстоящую модернизацию.

Чтобы настроить график модернизации, выполните указанные ниже действия.

1

Войдите в Partner Hub.

2

В меню в левой части экрана выберите Службы.

3

В разделе "Облачные службы" найдите раздел "Безопасность данных гибридного типа" и щелкните Настройка.

4

На странице "Ресурсы безопасности данных гибридного типа" выберите кластер.

5

Щелкните вкладку Настройки кластера .

6

На странице настроек кластера в разделе "График модернизации" выберите время и часовой пояс для графика модернизации.

Примечание. В часовом поясе отображаются следующие доступные дата и время модернизации. При необходимости можно отложить модернизацию на следующий день, щелкнув Отложить на 24 часа.

Изменение конфигурации узла

Иногда может потребоваться изменить конфигурацию узла безопасности данных гибридного типа по одной из причин:

  • Изменение сертификатов x.509 по истечении срока действия или по другим причинам.

    Изменение доменного имени CN сертификата не поддерживается. Домен должен совпадать с исходным доменом, использованным для регистрации кластера.

  • Обновление настроек базы данных для работы с копией базы данных PostgreSQL или Microsoft SQL Server.

    Перенос данных с PostgreSQL на Microsoft SQL Server или в обратном направлении не поддерживается. Чтобы переключить среду базы данных, начните новое развертывание службы безопасности данных гибридного типа.

  • Создание новой конфигурации для подготовки нового центра обработки данных.

Из соображений безопасности для учетных записей в службе безопасности данных гибридного типа используются пароли со сроком действия 9 месяцев. После того как инструмент настройки HDS создаст эти пароли, вам нужно будет развернуть их в каждом из своих узлов HDS в файле конфигурации ISO. При приближении даты окончания срока действия пароля команда Webex пришлет вам уведомление с запросом на сброс пароля учетной записи компьютера. (В сообщении электронной почты будет текст "Использование API учетной записи компьютера для обновления пароля".) Если срок действия паролей еще не истек, средство предоставляет два варианта.

  • Мягкий сброс. Старые и новые пароли работают в течение 10 дней. Используйте этот период для постепенной замены файла ISO на узлах.

  • Принудительный сброс: старые пароли перестают работать немедленно.

Если срок действия ваших паролей истекает без сброса, это влияет на работу вашей службы HDS. В этом случае требуется немедленный жесткий сброс и замена файла ISO на всех узлах.

Используйте эту процедуру, чтобы создать новый файл конфигурации ISO и применить его к кластеру.

Прежде чем начать

  • Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора партнера.

    Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker в 1.e. В этой таблице указаны некоторые из возможных переменных среды.

    Описание

    Переменная

    HTTP-прокси без аутентификации

    ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТ

    HTTPS-прокси без аутентификации

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTP-прокси с аутентификацией

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

    HTTPS-прокси с аутентификацией

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

  • Для создания новой конфигурации потребуется копия текущего файла конфигурации ISO. Файл ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. Файл ISO необходим для изменения конфигурации, в том числе учетных данных базы данных, обновления сертификатов или изменения политики авторизации.

1

Запустите инструмент настройки HDS, используя Docker на локальной машине.

  1. Введите соответствующую команду для вашей среды в командной строке компьютера.

    В обычных средах:

    docker rmi ciscocitg/hds-setup:stable

    В средах FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать.

  2. Чтобы войти в реестр образов Docker, введите следующее.

    docker login -u hdscustomersro

  3. Введите в запросе пароля этот хеш:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Скачайте последнюю стабильную версию образа для вашей среды.

    В обычных средах:

    docker pull ciscocitg/hds-setup:stable

    В средах FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Обязательно скачайте для этой процедуры последнюю версию инструмента настройки. В версиях инструмента, созданных до 22 февраля 2018 г., нет экранов сброса пароля.

  5. По завершении скачивания введите соответствующую команду для вашей среды.

    • В обычных средах без прокси:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • В обычных средах с HTTP-прокси:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • В обычных средах с HTTPS-прокси:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • В средах FedRAMP без прокси:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • В средах FedRAMP с HTTP-прокси:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • В средах FedRAMP с HTTPS-прокси:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

  6. Используйте браузер для подключения к localhost, http://127.0.0.1:8080.

    Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу.

  7. При отображении соответствующего запроса введите учетные данные для входа клиента партнерского центра и щелкните Принять , чтобы продолжить.

  8. Импортируйте текущий файл конфигурации ISO.

  9. Следуйте подсказкам, чтобы завершить работу с инструментом и скачать обновленный файл.

    Чтобы завершить работу инструмента настройки, нажмите CTRL+C.

  10. Создайте резервную копию обновленного файла в другом центре обработки данных.

2

Если у вас запущен только один узел HDS, создайте новую виртуальную машину узла безопасности данных гибридного типа и зарегистрируйте ее с помощью нового файла конфигурации ISO. Более подробные инструкции см. в статье Создание и регистрация дополнительных узлов.

  1. Установите OVA узла HDS.

  2. Настройте виртуальную машину HDS.

  3. Подключите обновленный файл конфигурации.

  4. Зарегистрируйте новый узел в Partner Hub.

3

Для существующих узлов HDS, в которых используется старый файл конфигурации, необходимо установить файл ISO. Выполните следующую процедуру для каждого узла по очереди, обновив каждый узел до выключения следующего узла.

  1. Выключите виртуальную машину.

  2. На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры.

  3. Щелкните Дисковод компакт-дисков и DVD-дисков 1, выберите параметр подключения из файла ISO и найдите расположение, куда вы скачали новый файл конфигурации ISO.

  4. Установите флажок Соединять при включении.

  5. Сохраните изменения и включите виртуальную машину.

4

Повторите шаг 3, чтобы заменить конфигурацию на каждом оставшемся узле со старой конфигурацией.

Отключение режима блокировки разрешения внешних DNS

При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. Если DNS-сервер узла не может разрешать общедоступные имена DNS, узел автоматически переходит в режим блокировки разрешения внешних DNS.

Если узлы могут разрешать общедоступные имена DNS через внутренние DNS-серверы, можно отключить этот режим, повторно запустив тестирование подключения к прокси на каждом узле.

Перед началом работы

Убедитесь в том, что внутренние DNS-серверы могут разрешать общедоступные имена DNS и ваши узлы могут обмениваться данными с ними.
1

В веб-браузере откройте интерфейс узла безопасности данных гибридного типа (например, IP-адрес или настройка) https://192.0.2.0/setup), введите учетные данные администратора, настроенные для узла, и щелкните Войти.

2

Перейдите к разделу Overview (Обзор) (страница по умолчанию).

Если режим включен, параметр Blocked External DNS Resolution (Блокировка разрешения внешних DNS) должен иметь значение Yes (Да).

3

Перейдите на страницу Trust Store & Proxy (Зона доверия и прокси).

4

Щелкните Check Proxy Connection (Проверить соединение с прокси).

Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу и он останется в этом режиме. В противном случае после перезапуска узла и возврата на страницу Overview (Обзор) параметр блокировки разрешения внешних DNS должен иметь значение No (Нет).

Дальнейшие действия

Повторите тестирование соединения с прокси для каждого узла кластера безопасности данных гибридного типа.

Удаление узла

Используйте эту процедуру для удаления узла безопасности данных гибридного типа из облака Webex. После удаления узла из кластера удалите виртуальную машину, чтобы предотвратить дальнейший доступ к данным безопасности.
1

С помощью клиента VMware vSphere на компьютере можно войти в виртуальный хост ESXi и выключить виртуальную машину.

2

Удалить узел:

  1. Войдите в Partner Hub и выберите Службы.

  2. На карточке безопасности данных гибридного типа щелкните Просмотреть все , чтобы отобразить страницу ресурсов безопасности данных гибридного типа.

  3. Выберите кластер, чтобы отобразить его панель "Обзор".

  4. Щелкните узел, который необходимо удалить.

  5. Щелкните Отменить регистрацию этого узла на панели справа.

  6. Кроме того, чтобы отменить регистрацию узла, щелкните ... в правой части узла и выберите Удалить этот узел.

3

В клиенте vSphere удалите виртуальную машину. (На панели навигации слева щелкните виртуальную машину правой кнопкой мыши и щелкните Удалить.)

Если виртуальная машина не удалена, не забудьте отсоединить файл конфигурации ISO. Без файла ISO вы не сможете использовать виртуальную машину для доступа к данным безопасности.

Аварийное восстановление с помощью центра обработки данных в режиме ожидания

Наиболее важной службой, предоставляемой кластером безопасности данных гибридного типа, является создание и хранение ключей, используемых для шифрования сообщений и другого контента, хранящегося в облаке Webex. Для каждого пользователя в организации, назначенного службе безопасности данных гибридного типа, запросы на создание нового ключа маршрутизируются в кластер. Кластер также отвечает за возврат созданных им ключей всем пользователям, авторизованным для их извлечения, например участникам пространства для разговора.

Поскольку кластер выполняет критически важную функцию предоставления этих ключей, необходимо, чтобы кластер продолжал работать и чтобы поддерживались соответствующие резервные копии. Потеря базы данных безопасности данных гибридного типа или конфигурации ISO, используемой для схемы, приведет к НЕОБРАТИМОЙ ПОТЕРЕ контента клиента. Для предотвращения таких потерь необходимо выполнить следующие действия:

Если из-за аварии развертывание HDS в основном центре обработки данных становится недоступным, выполните эту процедуру, чтобы вручную переключиться на резервный центр обработки данных.

Перед началом работы

Отмените регистрацию всех узлов из Partner Hub, как указано в разделе Удаление узла. Для выполнения указанной ниже процедуры отработки отказа используйте последний файл ISO, настроенный против узлов ранее активного кластера.
1

Запустите инструмент настройки HDS и выполните действия, указанные в разделе Создание ISO конфигурации для узлов HDS.

2

Завершите процесс настройки и сохраните файл ISO в удобном для поиска месте.

3

Сделайте резервную копию файла ISO в локальной системе. Обеспечьте безопасность резервного копирования. Этот файл содержит главный ключ шифрования для содержимого базы данных. Ограничьте доступ только тем администраторам службы безопасности данных гибридного типа, которые должны вносить изменения в конфигурацию.

4

На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры.

5

Щелкните Редактировать настройки >Диск CD/DVD 1 и выберите Файл хранилища данных ISO.

Убедитесь, что установлены флажки Подключено и Подключиться при включении , чтобы обновленные изменения конфигурации вступили в силу после запуска узлов.

6

Включите узел HDS и убедитесь, что сигналы отсутствуют в течение не менее 15 минут.

7

Зарегистрируйте узел в партнерском центре. См. статью Регистрация первого узла в кластере.

8

Повторите процесс для каждого узла в центре обработки данных в режиме ожидания.

Дальнейшие действия

Если после отказа основной центр обработки данных снова становится активным, отмените регистрацию узлов резервного центра обработки данных и повторите процесс настройки ISO и регистрации узлов основного центра обработки данных, как указано выше.

(Необязательно) Отсоедините ISO после настройки HDS

Стандартная конфигурация HDS выполняется с установленным ISO. Однако некоторые клиенты предпочитают не оставлять файлы ISO постоянно монтированными. После того как все узлы HDS примут новую конфигурацию, можно отсоединить файл ISO.

Для изменения конфигурации по-прежнему используются файлы ISO. При создании нового ISO или обновлении ISO с помощью инструмента настройки необходимо установить обновленный ISO на всех узлах HDS. С помощью этой процедуры можно снова отключить ISO, после того как все узлы примут изменения конфигурации.

Перед началом работы

Модернизируйте все свои узлы HDS до версии 2021.01.22.4720 или более поздней.

1

Закройте один из своих узлов HDS.

2

В vCenter Server Appliance выберите узел HDS.

3

Выберите Редактировать настройки > Привод CD/DVD и снимите флажок Файл хранилища данных ISO.

4

Включите узел HDS и убедитесь, что сигналы отсутствуют в течение не менее 20 минут.

5

Повторите эту процедуру для каждого узла HDS по очереди.

Устранение неполадок службы безопасности данных гибридного типа

Просмотр предупреждений и устранение неполадок

Развертывание службы безопасности данных гибридного типа считается недоступным, если все узлы в кластере недоступны или кластер работает настолько медленно, что истекло время ожидания. Если пользователи не могут подключиться к кластеру безопасности данных гибридного типа, у них будут следующие симптомы:

  • Не удается создать новые пространства (не удается создать новые ключи)

  • Не удалось расшифровать сообщения и заголовки пространств для:

    • Новые пользователи, добавленные в пространство (невозможно получить ключи)

    • Существующие пользователи в пространстве, использующие новый клиент (не удается получить ключи)

  • Существующие пользователи в пространстве будут продолжать успешно работать, пока в их клиентах будет сохранен кэш ключей шифрования

Важно надлежащим образом отслеживать кластер безопасности данных гибридного типа и своевременно реагировать на все предупреждения во избежание перебоев в работе службы.

Предупреждения

При возникновении проблем с настройкой безопасности данных гибридного типа партнерский центр отображает предупреждения администратору организации и отправляет электронные сообщения на настроенный адрес электронной почты. Предупреждения охватывают многие распространенные сценарии.

Таблица 1. Общие проблемы и действия по их устранению

Предупреждать

Действие

Ошибка доступа к локальной базе данных.

Проверьте наличие ошибок базы данных или проблем локальной сети.

Сбой подключения к локальной базе данных.

Убедитесь в доступности сервера базы данных и использовании правильных учетных данных учетной записи службы в конфигурации узла.

Сбой доступа к облачной службе.

Убедитесь, что узлы могут получить доступ к серверам Webex, как указано в разделе Требования к внешнему подключению.

Обновление регистрации облачной службы.

Регистрация в облачных службах прервана. Выполняется возобновление регистрации.

Регистрация для облачной службы прервана.

Регистрация в облачных службах прервана. Служба выключена.

Служба еще не активирована.

Активируйте HDS в партнерском центре.

Настроенный домен не соответствует сертификату сервера.

Убедитесь, что сертификат сервера соответствует настроенному домену активации службы.

Наиболее вероятная причина заключается в том, что CN сертификата недавно был изменен и теперь отличается от CN, использованного во время начальной настройки.

Не удалось выполнить аутентификацию в облачных службах.

Проверьте точность и возможный срок действия учетных данных службы.

Не удалось открыть файл локального хранилища ключей.

Проверка целостности и точности пароля в файле локального хранилища ключей.

Недействительный сертификат локального сервера.

Проверьте дату истечения срока действия сертификата сервера и убедитесь, что он был выдан доверенным центром сертификации.

Не удается опубликовать метрики.

Проверьте доступ локальной сети к внешним облачным службам.

Каталог /media/configdrive/hds не существует.

Проверьте конфигурацию подключения ISO на виртуальном хосте. Проверьте, существует ли файл ISO, настроен ли он для подключения при перезагрузке и успешно ли установлен.

Настройка организации клиента не завершена для добавленных организаций

Завершите настройку, создав CMK для вновь добавленных клиентских организаций с помощью инструмента настройки HDS.

Настройка организации клиента не завершена для удаленных организаций

Завершите настройку, отозвав CMK клиентских организаций, которые были удалены с помощью инструмента настройки HDS.

Устранение неполадок службы безопасности данных гибридного типа

При устранении неполадок со службой безопасности данных гибридного типа используйте приведенные ниже общие рекомендации.
1

Просмотрите в Partner Hub все предупреждения и исправьте все элементы, найденные в нем. Для справки см. изображение ниже.

2

Проверьте вывод сервера системных журналов для активности из развертывания службы безопасности данных гибридного типа. Используйте фильтр для таких слов, как "Предупреждение" и "Ошибка", чтобы помочь в устранении неполадок.

3

Обратитесь в службу поддержки Cisco.

Другие примечания

Известные проблемы безопасности данных гибридного типа

  • Если вы выключите кластер безопасности данных гибридного типа (удалив его в партнерском центре или выключив все узлы), потеряете файл конфигурации ISO или потеряете доступ к базе данных хранилища ключей, пользователи приложения Webex клиентских организаций больше не смогут использовать пространства в списке пользователей, созданных с помощью ключей из KMS. В настоящий момент для устранения этой проблемы нет обходного решения или решения. Мы настоятельно призываем вас не выключать службы HDS после обработки активных учетных записей пользователей.

  • Клиент с существующим подключением ECDH к KMS поддерживает это соединение в течение периода времени (вероятно, один час).

Использование OpenSSL для создания файла PKCS12

Перед началом работы

  • OpenSSL — это один из инструментов, который можно использовать для создания файла PKCS12 в соответствующем формате для загрузки в инструменте настройки HDS. Есть и другие способы сделать это, и мы не поддерживаем и не продвигаем друг друга.

  • Если вы решите использовать OpenSSL, мы предоставляем эту процедуру в качестве руководства для создания файла, который соответствует требованиям сертификата X.509 в разделе Требования к сертификату X.509. Прежде чем продолжить, ознакомьтесь с этими требованиями.

  • Установите OpenSSL в поддерживаемой среде. Информацию о программном обеспечении и документации см. в разделе https://www.openssl.org .

  • Создайте закрытый ключ.

  • Начните эту процедуру при получении сертификата сервера от центра сертификации (ЦС).

1

При получении сертификата сервера от ЦС сохраните его как hdsnode.pem.

2

Отобразите сертификат в виде текста и проверьте сведения.

openssl x509 -текст -noout -в hdsnode.pem

3

Используйте текстовый редактор для создания файла пакета сертификатов под названием hdsnode-bundle.pem. Пакетный файл должен включать сертификат сервера, все промежуточные сертификаты ЦС и корневые сертификаты ЦС в следующем формате:

-----BEGIN CERTIFICATE----- ### Сертификат сервера. ### -----END CERTIFICATE--------BEGIN CERTIFICATE----- ### Промежуточный сертификат ЦС. ### -----END CERTIFICATE-------BEGIN CERTIFICATE----- ### Корневой сертификат ЦС. ### -----END CERTIFICATE-----

4

Создайте файл .p12 с подходящим именем kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -в hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Проверьте сведения о сертификате сервера.

  1. openssl pkcs12 - в hdsnode.p12

  2. Введите пароль в окне запроса для шифрования закрытого ключа, чтобы он отображался в выводе. Затем убедитесь, что закрытый ключ и первый сертификат содержат строки friendlyName: kms-private-key.

    Пример.

    bash$ openssl pkcs12 -in hdsnode.p12 Введите пароль для импорта: MAC проверил атрибуты пакета "ОК" friendlyName: Идентификатор локального ключа kms-private-key : 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ключевые атрибуты:  Введите фразу пароля PEM: Проверка – введите фразу для доступа PEM: -----BEGIN ENCRYPTED PRIVATE KEY-----  -----END ENCRYPTED PRIVATE KEY------ Bag Attributes friendlyName: Идентификатор локального ключа kms-private-key : 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE-----

Дальнейшие действия

Вернитесь к разделу Выполнение предварительных требований для безопасности данных гибридного типа. Файл hdsnode.p12 и заданный для него пароль будут использоваться в разделе Создание конфигурации ISO для узлов HDS.

Эти файлы можно повторно использовать для запроса нового сертификата по истечении срока действия исходного сертификата.

Трафик между узлами HDS и облаком

Трафик сбора исходящих метрик

Узлы безопасности данных гибридного типа отправляют определенные метрики в облако Webex. К ним относятся системные метрики максимального количества подключений, использования максимального количества подключений, загрузки ЦП и количества потоков; метрики синхронных и асинхронных потоков; метрики оповещений о пороговом значении соединений шифрования, задержки или длины очереди запросов; метрики хранилища данных; и метрики подключения шифрования. Узлы отправляют зашифрованный ключ-материал по внеполосному каналу (отдельному от запроса).

Входящий трафик

Узлы безопасности данных гибридного типа получают из облака Webex следующие типы входящего трафика:

  • Запросы на шифрование от клиентов, которые маршрутизируются службой шифрования

  • Модернизация программного обеспечения узла

Настройка прокси Squid для безопасности данных гибридного типа

Невозможно выполнить подключение веб-сокетов через прокси Squid

Прокси Squid, которые проверяют трафик HTTPS, могут мешать созданию соединений веб-сокетов (wss:), которые необходимы службе безопасности данных гибридного типа. В указанных далее разделах приведены рекомендации по настройке различных версий Squid с целью игнорирования трафика wss: для обеспечения надлежащей работы служб.

Squid 4 и 5

Добавьте on_unsupported_protocol директиву в squid.conf:

on_unsupported_protocol туннель все

Squid 3.5.27

Служба безопасности данных гибридного типа успешно протестирована с указанными далее правилами, добавленными в squid.conf. Эти правила могут изменяться по мере разработки функций и обновления облака Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump соединение wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump просмотр step1 все ssl_bump просмотр step2 все ssl_bump bump3 все

Новая и измененная информация

Новая и измененная информация

В этой таблице описаны новые функции или функциональные возможности, изменения существующего контента, а также любые серьезные ошибки, исправленные в руководстве по развертыванию службы безопасности данных гибридного типа с несколькими клиентами.

Дата

Внесены изменения

8 января 2025 г.

Добавлено примечание в разделе Выполнение начальной настройки и скачивание файлов установки , в котором указано, что нажатие кнопки Настройка на карточке HDS в Partner Hub является важным этапом процесса установки.

7 января 2025 г.

Обновлены Требования к виртуальному узлу, Алгоритм выполнения задач по развертыванию службы безопасности данных гибридного типа и Установка OVA узла HDS для отображения новых требований ESXi 7.0.

13 декабря 2024 г.

Впервые опубликовано.

Деактивация службы безопасности данных гибридного типа с несколькими клиентами

Алгоритм выполнения задач по деактивации HDS с несколькими клиентами

Чтобы полностью деактивировать HDS с несколькими клиентами, выполните приведенные ниже действия.

Перед началом работы

Эту задачу должен выполнять только администратор партнера с полными правами.
1

Удалите всех клиентов из всех кластеров, как указано в разделе Удаление клиентских организаций.

2

Отозвать CMK всех клиентов, как указано в статье Отозвать CMK клиентов, удаленных из HDS.

3

Удалите все узлы из всех кластеров, как описано в разделе Удаление узла.

4

Удалите все кластеры из Partner Hub одним из следующих двух способов.

  • Щелкните кластер, который необходимо удалить, и выберите Удалить этот кластер в правом верхнем углу страницы обзора.
  • На странице "Ресурсы" щелкните ... в правой части кластера и выберите Удалить кластер.
5

Щелкните вкладку Настройки на странице обзора безопасности данных гибридного типа и щелкните Деактивировать HDS на карточке состояния HDS.

Начало работы с системой безопасности данных гибридного типа с поддержкой нескольких клиентов

Общие сведения о безопасности данных гибридного типа для нескольких клиентов

С самого начала безопасность данных была главной задачей при разработке приложения Webex. В основе этой безопасности лежит сквозное шифрование контента, которое включается клиентами приложения Webex, взаимодействующими со службой управления ключами (KMS). KMS отвечает за создание и управление криптографическими ключами, которые используются клиентами для динамического шифрования и расшифровки сообщений и файлов.

По умолчанию для всех клиентов приложения Webex обеспечивается сквозное шифрование с использованием динамических ключей, которые хранятся в облаке KMS в области безопасности Cisco. Служба безопасности данных гибридного типа перемещает KMS и другие функции безопасности в корпоративный центр обработки данных, поэтому доступ к ключам для зашифрованного контента будет только у вас.

Служба безопасности данных гибридного типа с поддержкой нескольких клиентов позволяет организациям использовать HDS через доверенного локального партнера, который может выполнять функции поставщика услуг и управлять локальным шифрованием и другими службами безопасности. Эта настройка позволяет партнерской организации осуществлять полный контроль над развертыванием ключей шифрования и управлением ими, а также обеспечивает безопасность данных пользователей клиентских организаций от внешнего доступа. Партнерские организации настраивают экземпляры HDS и при необходимости создают кластеры HDS. Каждый экземпляр может поддерживать несколько клиентских организаций, в отличие от обычного развертывания HDS, которое ограничено одной организацией.

Партнерские организации контролируют развертывание и управление, однако у них нет доступа к данным и контенту, созданным клиентами. Этот доступ ограничен клиентскими организациями и их пользователями.

Это также позволяет небольшим организациям использовать HDS, поскольку служба управления ключами и инфраструктура безопасности, например центры обработки данных, принадлежат доверенному локальному партнеру.

Как служба безопасности данных гибридного типа с несколькими клиентами обеспечивает суверенитет и управление данными

  • Созданный пользователем контент защищен от внешнего доступа, например от поставщиков облачных услуг.
  • Локальные доверенные партнеры управляют ключами шифрования клиентов, с которыми они уже установили взаимоотношения.
  • Параметр для локальной технической поддержки, если она предоставлена партнером.
  • Поддержка контента совещаний, обмена сообщениями и вызовов.

Этот документ предназначен для помощи партнерским организациям в настройке клиентов и управлении ими в системе безопасности данных гибридного типа с несколькими клиентами.

Роли в службе безопасности данных гибридного типа с несколькими клиентами

  • Администратор партнера с полными правами : может управлять настройками для всех клиентов, которыми управляет партнер. Также может назначать роли администратора существующим пользователям в организации и назначать определенных клиентов, которыми будут управлять администраторы партнера.
  • Администратор партнера . Может управлять настройками клиентов, подготовленных администратором или назначенных пользователю.
  • Администратор с полными правами . Администратор партнерской организации, уполномоченный выполнять такие задачи, как изменение настроек организации, управление лицензиями и назначение ролей.
  • Сквозная настройка HDS с несколькими клиентами и управление ими всех клиентских организаций . Требуются права администратора партнера с полными правами и администратора с полными правами.
  • Управление назначенными организациями клиента : требуются права администратора партнера и полного администратора.

Архитектура области безопасности

Облачная архитектура Webex разбивает различные типы служб на отдельные области или домены доверия, как показано ниже.

Области разделения (без службы безопасности данных гибридного типа)

Чтобы получить дополнительные сведения о безопасности данных гибридного типа, давайте сначала рассмотрим этот облачный случай, в котором компания Cisco предоставляет все функции в облачных областях. Служба удостоверений – единственное место, где пользователи могут напрямую соотнести с их персональной информацией, такой как адрес электронной почты, логически и физически отделена от области безопасности в центре обработки данных B. Обе службы в свою очередь отделены от области, в которой в конечном итоге хранится зашифрованный контент, в центре обработки данных C.

На этой схеме клиент представляет собой приложение Webex, запущенное на ноутбуке пользователя и прошедшее аутентификацию с помощью службы удостоверений. При написании пользователем сообщения для отправки в пространство выполняются следующие действия.

  1. Клиент устанавливает безопасное соединение со службой управления ключами (KMS), затем запрашивает ключ для шифрования сообщения. Защищенное соединение использует ECDH, а KMS шифрует ключ с помощью главного ключа AES-256.

  2. Сообщение шифруется до выхода из клиента. Клиент отправляет его в службу индексации, которая создает зашифрованные индексы поиска для помощи в будущих поисковых запросах контента.

  3. Зашифрованное сообщение отправляется в службу обеспечения соответствия для проверки соответствия.

  4. Зашифрованное сообщение хранится в области хранилища.

При развертывании службы безопасности данных гибридного типа функции области безопасности (KMS, индексация и соответствие требованиям) перемещаются в локальный центр обработки данных. Другие облачные службы, которые составляют Webex (включая идентификационные данные и хранилище контента), остаются в сферах Cisco.

Сотрудничество с Другими Организациями

Пользователи в вашей организации могут регулярно использовать приложение Webex для совместной работы с внешними участниками из других организаций. Когда один из пользователей запрашивает ключ для пространства, принадлежащего вашей организации (поскольку он был создан одним из пользователей), KMS отправляет ключ клиенту по защищенному каналу ECDH. Однако если ключ для пространства принадлежит другой организации, KMS перенаправляет запрос в облако Webex через отдельный канал ECDH для получения ключа от соответствующего KMS, а затем возвращает ключ пользователю в исходном канале.

Служба KMS, запущенная в организации A, проверяет подключения к KMS в других организациях с помощью сертификатов PKI x.509. Подробные сведения о создании сертификата x.509 для использования с развертыванием службы безопасности данных гибридного типа с несколькими клиентами см. в статье Подготовка среды .

Ожидания развертывания службы безопасности данных гибридного типа

Развертывание службы безопасности данных гибридного типа требует значительных обязательств и осознания рисков, связанных с хранением ключей шифрования.

Для развертывания службы безопасности данных гибридного типа необходимо предоставить:

Полная потеря конфигурации ISO, созданной для службы безопасности данных гибридного типа, или предоставленной базы данных приведет к потере ключей. Потеря ключей предотвращает расшифровку контента пространства и других зашифрованных данных в приложении Webex пользователями. В этом случае можно создать новое развертывание, однако будет отображаться только новый контент. Во избежание потери доступа к данным необходимо выполнить приведенные ниже действия.

  • Управление резервным копированием и восстановлением базы данных и конфигурации ISO.

  • Будьте готовы к быстрому аварийному восстановлению в случае аварии, например, сбою диска базы данных или сбою центра обработки данных.

Механизм для перемещения ключей обратно в облако после развертывания HDS отсутствует.

Высокоуровневый процесс настройки

В этом документе описана настройка и управление развертыванием службы безопасности данных гибридного типа с несколькими клиентами.

  • Настройка безопасности данных гибридного типа. Это включает подготовку необходимой инфраструктуры и установку программного обеспечения безопасности данных гибридного типа, создание кластера HDS, добавление клиентских организаций в кластер и управление их главными ключами клиента (CMK). Это позволит всем пользователям клиентских организаций использовать кластер безопасности данных гибридного типа для функций безопасности.

    Этапы настройки, активации и управления подробно описаны в следующих трех главах.

  • Поддержка развертывания службы безопасности данных гибридного типа: облако Webex автоматически обеспечивает непрерывную модернизацию. Ваш отдел ИТ может предоставлять поддержку первого уровня для этого развертывания и при необходимости привлекать поддержку Cisco. В Partner Hub можно использовать экранные уведомления и настроить предупреждения на основе электронной почты.

  • Общие предупреждения, действия по устранению неполадок и известные проблемы. При возникновении проблем с развертыванием или использованием службы безопасности данных гибридного типа можно определить и устранить проблему с помощью последней главы этого руководства и приложения "Известные проблемы".

Модель развертывания службы безопасности данных гибридного типа

В корпоративном центре обработки данных служба безопасности данных гибридного типа будет развернута в виде одного кластера узлов на отдельных виртуальных узлах. Узлы связываются с облаком Webex с помощью защищенных веб-сокетов и защищенного HTTP.

Во время процесса установки предоставляется файл OVA для настройки виртуального устройства на предоставленных вами виртуальных машинах. Инструмент настройки HDS используется для создания пользовательского файла конфигурации кластера ISO, который устанавливается на каждом узле. Кластер безопасности данных гибридного типа использует предоставленный сервер Syslogd и базу данных PostgreSQL или Microsoft SQL Server. (Сведения о соединении Syslogd и базы данных можно настроить в инструменте настройки HDS.)

Модель развертывания службы безопасности данных гибридного типа

Минимальное количество узлов в кластере: два. Рекомендуется не менее трех на кластер. Наличие нескольких узлов гарантирует, что во время модернизации программного обеспечения или других действий по техническому обслуживанию узла служба не будет прерываться. (Облако Webex модернизирует только один узел за раз.)

Все узлы в кластере имеют доступ к одному хранилищу данных и активности журналов на один и тот же сервер системных журналов. Сами узлы не имеют состояния и обрабатывают запросы на ключ в циклическом порядке, как направляется облаком.

Узлы становятся активными при регистрации в партнерском центре. Чтобы вывести отдельный узел из эксплуатации, можно отменить его регистрацию, а затем, при необходимости, повторно зарегистрировать его.

Резервный центр обработки данных для аварийного восстановления

Во время развертывания вы настраиваете защищенный резервный центр обработки данных. В случае аварии центра обработки данных можно вручную перенести развертывание на резервный центр обработки данных.

Перед отказом в центре обработки данных A есть активные узлы HDS и основная база данных PostgreSQL или Microsoft SQL Server, в то время как в B есть копия файла ISO с дополнительными конфигурациями, ВМ, зарегистрированные в организации, и резервная база данных. После отработки отказа центр обработки данных B имеет активные узлы HDS и основную базу данных, в то время как у A есть незарегистрированные виртуальные машины и копия файла ISO, а база данных находится в режиме ожидания.
Ручное переключение на резервный центр обработки данных

Базы данных активных и резервных центров обработки данных синхронизируются друг с другом, что позволит свести к минимуму время, затрачиваемое на выполнение отработки отказа.

Активные узлы безопасности данных гибридного типа всегда должны находиться в одном центре обработки данных с активным сервером базы данных.

Поддержка прокси

Служба безопасности данных гибридного типа поддерживает явные прокси, прозрачные прокси с проверкой и прокси без проверки. Чтобы обеспечить защиту и мониторинг трафика из сети предприятия в облако, можно связать эти прокси с развертыванием. После настройки прокси на узлах административный интерфейс платформы на узлах можно использовать для управления сертификатами и просмотра общего состояния соединений.

Узлы безопасности данных гибридного типа поддерживают указанные далее параметры прокси.

  • Нет прокси. Значение по умолчанию, если для интеграции прокси не используется конфигурация доверенного хранилища и прокси для настройки узла HDS. Обновление сертификата не требуется.

  • Прозрачный прокси без проверки. Узлы не настроены для использования адреса определенного прокси-сервера и не должны требовать каких-либо изменений для работы с прокси без проверки. Обновление сертификата не требуется.

  • Прозрачный туннелирование или прокси с проверкой. Узлы не настроены для использования адреса определенного прокси-сервера. На узлах не нужно изменять конфигурацию HTTP или HTTPS. Как бы то ни было, для обеспечения доверия прокси узлам необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже HTTPS).

  • Явный прокси. При использовании явного прокси необходимо указать прокси-сервер и схему аутентификации узлам HDS. Для настройки явного прокси на каждом узле нужно ввести следующую информацию.

    1. IP/FQDN прокси. Адрес, который можно использовать для связи с прокси-машиной.

    2. Порт прокси. Номер порта, который прокси использует для прослушивания прокси-трафика.

    3. Proxy Protocol (Протокол прокси). В зависимости от поддержки прокси-сервера выберите один из следующих протоколов.

      • HTTP – просматривает все запросы, отправляемые клиентом, и управляет этими запросами.

      • HTTPS – обеспечивает работу канала связи с сервером. Клиент получает и проверяет сертификат сервера.

    4. Тип аутентификации: выберите один из приведенных ниже типов аутентификации.

      • Нет. Дальнейшая аутентификация не требуется.

        Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.

      • Базовый: используется для агента пользователя HTTP для указания имени пользователя и пароля при совершении запроса. Использует кодировку Base64.

        Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.

        Требует ввода имени пользователя и пароля на каждом узле.

      • Дайджест. Используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети.

        Этот параметр доступен только в том случае, если в качестве протокола прокси выбран протокол HTTPS.

        Требует ввода имени пользователя и пароля на каждом узле.

Пример узлов безопасности данных гибридного типа и прокси

На этой схеме представлен пример соединения между системой безопасности данных гибридного типа, сетью и прокси. При использовании прозрачного прокси с проверкой или явного прокси с проверкой HTTPS на прокси и узлы безопасности данных гибридного типа необходимо установить один и тот же корневой сертификат.

Режим блокировки разрешения внешних DNS (конфигурации явного прокси)

При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. В развертываниях с конфигурациями явного прокси, которые не допускают разрешения внешних DNS для внутренних клиентов, если узел не может посылать запросы на DNS-серверы, он автоматически переходит в режим блокировки разрешения внешних DNS. В этом режиме можно продолжить регистрацию узла и другие тестирования подключения к прокси.

Подготовка среды

Требования к безопасности данных гибридного типа с несколькими клиентами

Требования к лицензии Cisco Webex

Развертывание службы безопасности данных гибридного типа с несколькими клиентами.

  • Партнерские организации: Обратитесь к своему партнеру Cisco или менеджеру по работе с клиентами и убедитесь, что функция "Несколько клиентов" включена.

  • Организации клиентов: Необходима профессиональная версия Cisco Webex Control Hub. См. https://www.cisco.com/go/pro-pack.

Требования к рабочему столу Docker

Перед установкой узлов HDS необходимо запустить программу настройки с помощью Docker Desktop. Docker недавно обновил свою модель лицензирования. Для вашей организации может потребоваться платная подписка на Docker Desktop. Подробности см. в записи блога Docker, " Docker обновляет и расширяет подписки на продукты".

Требования к сертификату X.509

Цепочка сертификатов должна соответствовать следующим требованиям:

Таблица 1. Требования к сертификату X.509 для развертывания системы безопасности данных гибридного типа

Требование

Подробности

  • Подписано доверенным центром сертификации (ЦС)

По умолчанию мы доверяем ЦС в списке Mozilla (за исключением WoSign и StartCom) по адресу https://wiki.mozilla.org/CA:IncludedCAs.

  • Носит доменное имя общего имени (CN), идентифицирующее развертывание службы безопасности данных гибридного типа.

  • Не является групповым сертификатом

CN не требуется, чтобы он был доступен или был организатором в режиме реального времени. Рекомендуется использовать название, отражающее вашу организацию, например hds.company.com.

CN не должен содержать * (подстановочный знак).

CN используется для проверки узлов безопасности данных гибридного типа для клиентов приложения Webex. Все узлы безопасности данных гибридного типа в кластере используют один и тот же сертификат. Ваш KMS идентифицирует себя с помощью домена CN, а не любого домена, определенного в полях SAN x.509v3.

После регистрации узла с этим сертификатом изменение доменного имени CN не поддерживается.

  • Подпись без SHA1

Программное обеспечение KMS не поддерживает подписи SHA1 для проверки подключений к KMS других организаций.

  • Отформатирован в виде файла PKCS #12, защищенного паролем

  • Используйте понятное имя kms-private-key для тегов сертификата, закрытого ключа и всех промежуточных сертификатов для загрузки.

Для изменения формата сертификата можно использовать преобразователь, например OpenSSL.

При запуске инструмента настройки HDS потребуется ввести пароль.

Программное обеспечение KMS не обеспечивает принудительное использование ключа или расширенные ограничения на его использование. Некоторые центры сертификации требуют, чтобы к каждому сертификату применялись расширенные ограничения на использование ключей, например аутентификация сервера. Использовать аутентификацию сервера или другие настройки можно.

Требования к виртуальному организатору

Виртуальные узлы, которые будут настроены в качестве узлов безопасности данных гибридного типа в кластере, имеют следующие требования:

  • По крайней мере два отдельных узла (рекомендуется 3) размещены в одном защищенном центре обработки данных

  • Установлена и запущена VMware ESXi 7.0 (или более поздняя версия).

    При наличии более ранней версии ESXi необходимо выполнить модернизацию.

  • Минимум 4 ЦП, 8 ГБ основной памяти, 30 ГБ локального жесткого диска на сервер

Требования к серверу базы данных

Создайте новую базу данных для хранилища ключей. Не используйте базу данных по умолчанию. Приложения HDS при установке создают схему базы данных.

Существует два варианта сервера баз данных. Требования для каждого из них приведены ниже.

Таблица 2. Требования к серверу базы данных в разрезе типов базы данных

PostgreSQL

Сервер Microsoft SQL

  • Установленный и запущенный PostgreSQL 14, 15 или 16.

  • Установлен SQL Server 2016, 2017 или 2019 (корпоративный или стандартный).

    Для SQL Server 2016 требуется пакет обновления 2 и накопительное обновление 2 или более поздняя версия.

Минимум 8 виртуальных ЦП, 16 ГБ основной памяти, достаточное пространство на жестком диске и мониторинг для обеспечения его отсутствия (рекомендуется 2 ТБ, если необходимо запустить базу данных в течение длительного времени без увеличения объема хранилища)

Минимум 8 виртуальных ЦП, 16 ГБ основной памяти, достаточное пространство на жестком диске и мониторинг для обеспечения его отсутствия (рекомендуется 2 ТБ, если необходимо запустить базу данных в течение длительного времени без увеличения объема хранилища)

Программное обеспечение HDS в настоящее время устанавливает следующие версии драйверов для связи с сервером базы данных:

PostgreSQL

Сервер Microsoft SQL

Драйвер JDBC Postgres 42.2.5

Драйвер JDBC 4.6 для SQL-сервера

Эта версия драйвера поддерживает SQL Server Always On (экземпляры отказоустойчивого кластера и группы доступности Always On).

Дополнительные требования для аутентификации Windows на Microsoft SQL Server

Если необходимо, чтобы узлы HDS использовали аутентификацию Windows для получения доступа к базе данных хранилища ключей на Microsoft SQL Server, в вашей среде потребуется следующая конфигурация:

  • Узлы HDS, инфраструктура Active Directory и сервер MS SQL должны быть синхронизированы с NTP.

  • Учетная запись Windows, которую вы предоставляете узлам HDS, должна иметь доступ к базе данных для чтения и записи.

  • Серверы DNS, предоставляемые узлам HDS, должны иметь возможность разрешать центр распределения ключей (KDC).

  • Экземпляр базы данных HDS можно зарегистрировать на сервере Microsoft SQL в качестве главного имени службы (SPN) в Active Directory. См. статью Регистрация имени участника службы для Kerberos Connections.

    Инструмент настройки HDS, программа запуска HDS и локальный KMS должны использовать аутентификацию Windows для доступа к базе данных хранилища ключей. Они используют сведения из конфигурации ISO для создания SPN при запросе доступа с аутентификацией Kerberos.

Требования к внешнему подключению

Настройте брандмауэр, чтобы разрешить следующее подключение для приложений HDS:

Приложение

Протокол

Порт

Направление из приложения

Адресат

Узлы безопасности данных гибридного типа

Протокол TCP

443

Исходящие HTTPS и WSS

  • Серверы Webex:

    • *.wbx2.com

    • *.ciscospark.com

  • Все хосты Common Identity

  • Другие URL-адреса, перечисленные для службы безопасности данных гибридного типа в таблице Дополнительные URL-адреса для служб гибридного типа Webex раздела Требования к сети для служб Webex

Инструмент настройки HDS

Протокол TCP

443

HTTPS для исходящих вызовов

  • *.wbx2.com

  • Все хосты Common Identity

  • hub.docker.com

Узлы безопасности данных гибридного типа работают с преобразованием сетевого доступа (NAT) или за брандмауэром, если NAT или брандмауэр допускает необходимые исходящие соединения с адресатами домена в таблице выше. Для соединений, поступающих на узлы безопасности данных гибридного типа, порты не должны отображаться из Интернета. В центре обработки данных клиентам необходим доступ к узлам безопасности данных гибридного типа на портах 443 и 22 TCP в административных целях.

URL-адреса узлов общих параметров идентификации (CI) специфичны для региона. Ниже приведены текущие узлы CI.

Регион

URL-адреса хостов общих параметров идентификации

Северная и Южная Америка

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Европейский союз

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Канада

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Сингапур

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Объединенные Арабские Эмираты

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Требования к прокси-серверу

  • Мы официально поддерживаем следующие решения для прокси, которые можно интегрировать с узлами безопасности данных гибридного типа:

  • Поддерживаются следующие комбинации типов аутентификации для явных прокси:

    • без аутентификации при использовании HTTP или HTTPS;

    • базовая аутентификация при использовании HTTP или HTTPS;

    • дайджест-аутентификация только при использовании HTTPS;

  • При наличии прозрачного прокси с проверкой или явного прокси HTTPS необходимо иметь копию корневого сертификата прокси. Инструкции по развертыванию, приведенные в этом руководстве, содержат информацию о том, как загрузить эту копию в зоны доверия узлов безопасности данных гибридного типа.

  • Сеть, в которой размещены узлы HDS, должна обеспечивать принудительную маршрутизацию исходящего трафика TCP на порте 443 через прокси.

  • Прокси, проверяющие веб-трафик, могут нарушать работу соединений веб-сокетов. Для устранения этой проблемы трафик следует направить в обход (без проверки) на wbx2.com и *.teams.webex.com.

Выполнение предварительных требований для службы безопасности данных гибридного типа

Используйте этот перечень действий, чтобы убедиться в готовности к установке и настройке кластера безопасности данных гибридного типа.
1

Убедитесь, что в партнерской организации включена функция HDS с несколькими клиентами, и получите учетные данные учетной записи с полными правами администратора партнера и полными правами администратора. Убедитесь, что для клиентской организации Webex включена профессиональная версия Cisco Webex Control Hub. Обратитесь за помощью к своему партнеру Cisco или менеджеру по работе с клиентами.

У клиентских организаций не должно быть существующего развертывания HDS.

2

Выберите имя домена для развертывания HDS (например, hds.company.com) и получите цепочку сертификатов, содержащую сертификат X.509, закрытый ключ и любые промежуточные сертификаты. Цепочка сертификатов должна соответствовать требованиям, указанным в разделе Требования к сертификатам X.509.

3

Подготовьте идентичные виртуальные узлы, которые будут настроены в качестве узлов безопасности данных гибридного типа в кластере. Необходимо разместить не менее двух отдельных организаторов (рекомендуется 3) в одном и том же защищенном центре обработки данных, который соответствует требованиям в разделе Требования к виртуальному организатору.

4

Подготовьте сервер базы данных, который будет использоваться в качестве хранилища ключевых данных для кластера в соответствии с требованиями сервера базы данных. Сервер базы данных должен быть размещен в защищенном центре обработки данных с виртуальными хостами.

  1. Создайте базу данных для хранилища ключей. (Необходимо создать эту базу данных. Не используйте базу данных по умолчанию. Приложения HDS при установке создают схему базы данных.)

  2. Соберите сведения, которые узлы будут использовать для связи с сервером базы данных.

    • имя хоста или IP-адрес (хост) и порт

    • имя базы данных (dbname) для хранилища ключей

    • имя пользователя и пароль пользователя со всеми правами в базе данных хранилища ключей

5

Для быстрого аварийного восстановления настройте резервную среду в другом центре обработки данных. Резервная среда дублирует производственную среду виртуальных машин и сервер базы данных резервного копирования. Например, если в производственной среде есть 3 виртуальных машины с узлами HDS, резервная среда должна иметь 3 виртуальных машины.

6

Настройте узел системного журнала для сбора журналов с узлов в кластере. Соберите сетевой адрес и порт системного журнала (по умолчанию UDP 514).

7

Создайте политику безопасного резервного копирования для узлов безопасности данных гибридного типа, сервера базы данных и узла системного журнала. Как минимум, чтобы предотвратить необратимую потерю данных, необходимо создать резервную копию базы данных и файла конфигурации ISO, созданного для узлов безопасности данных гибридного типа.

Поскольку узлы безопасности данных гибридного типа хранят ключи, используемые при шифровании и расшифровке контента, невыполнение оперативного развертывания приведет к НЕОБРАТИМОЙ ПОТЕРЕ этого контента.

Клиенты приложения Webex кэшируют свои ключи, поэтому сбои могут не сразу стать заметными, но со временем станут очевидными. Временные перебои невозможно предотвратить, но их можно восстановить. Однако полная потеря базы данных или файла конфигурации ISO (нет доступных резервных копий) приведет к невозможности восстановления данных клиента. Ожидается, что операторы узлов безопасности данных гибридного типа осуществляют частые резервные копии базы данных и файла конфигурации ISO и будут готовы к обновлению центра обработки данных службы безопасности данных гибридного типа в случае катастрофической ошибки.

8

Убедитесь, что конфигурация брандмауэра разрешает соединение для узлов безопасности данных гибридного типа, как описано в разделе Требования к внешнему подключению.

9

Установите Docker (https://www.docker.com) на любом локальном компьютере, на котором запущена поддерживаемая ОС (64-разрядная версия Microsoft Windows 10 Professional или Enterprise или Mac OSX Yosemite 10.10.3 или более поздняя версия) с веб-браузером, с помощью которого можно получить доступ на странице http://127.0.0.1:8080.

Экземпляр Docker используется для скачивания и запуска инструмента настройки HDS, который создает информацию локальной конфигурации для всех узлов безопасности данных гибридного типа. Вам может понадобиться лицензия Docker Desktop. Дополнительную информацию см. в статье Требования к рабочему столу Docker .

Для установки и запуска инструмента настройки HDS локальная машина должна иметь подключение, описанное в разделе Требования к внешнему подключению.

10

При интеграции прокси с системой безопасности данных гибридного типа убедитесь, что он соответствует требованиям к прокси-серверу.

Настройка кластера безопасности данных гибридного типа

Алгоритм выполнения задач по развертыванию службы безопасности данных гибридного типа

Перед началом работы

1

Выполните начальную настройку и скачайте файлы установки

Скачайте файл OVA на локальный компьютер для дальнейшего использования.

2

Создание ISO конфигурации для узлов HDS

Используйте инструмент настройки HDS для создания файла конфигурации ISO для узлов безопасности данных гибридного типа.

3

Установка файла OVA узла HDS

Создайте виртуальную машину из файла OVA и выполните начальную конфигурацию, например параметры сети.

Параметр настройки сети во время развертывания OVA протестирован с помощью ESXi 7.0. Этот параметр может быть недоступен в более ранних версиях.

4

Настройка виртуальной машины безопасности данных гибридного типа

Войдите в консоль виртуальной машины и задайте учетные данные для входа. Настройте параметры сети для узла, если они не были настроены во время развертывания файла OVA.

5

Загрузка и установка ISO конфигурации HDS

Настройте виртуальную машину из файла конфигурации ISO, созданного с помощью инструмента настройки HDS.

6

Настройка узла HDS для интеграции прокси

Если в сетевой среде требуется конфигурация прокси, укажите тип прокси, который будет использоваться для узла, и при необходимости добавьте сертификат прокси в доверенное хранилище.

7

Регистрация первого узла в кластере

Зарегистрируйте виртуальную машину в облаке Cisco Webex в качестве узла безопасности данных гибридного типа.

8

Создать и зарегистрировать другие узлы

Завершите настройку кластера.

9

Активируйте HDS с несколькими клиентами в Partner Hub.

Активируйте HDS и управляйте организациями клиентов в Partner Hub.

Выполните начальную настройку и скачайте файлы установки

В этой задаче вы скачаете файл OVA на свой компьютер (а не на серверы, настроенные в качестве узлов безопасности данных гибридного типа). Этот файл будет использован позже в процессе установки.

1

Войдите в Partner Hub и щелкните Службы.

2

В разделе облачных служб найдите карточку безопасности данных гибридного типа и щелкните Настройка.

Нажатие кнопки Настройка в партнерском центре имеет решающее значение для процесса развертывания. Не продолжайте установку без завершения этого шага.

3

Щелкните Добавить ресурс и щелкните Скачать файл OVA на карточке Установка и настройка программного обеспечения .

Более ранние версии пакета программного обеспечения (OVA) не будут совместимы с последними модернизациями безопасности данных гибридного типа. Это может привести к ошибкам во время модернизации приложения. Убедитесь, что скачано последнюю версию файла OVA.

Кроме того, файл OVA можно скачать в любой момент в разделе Справка . Щелкните Настройки > Справка > Скачать программное обеспечение безопасности данных гибридного типа.

Скачивание файла OVA начнется автоматически. Сохраните файл в местоположении на своем компьютере.
4

При необходимости щелкните Просмотреть руководство по развертыванию службы безопасности данных гибридного типа , чтобы проверить доступность более поздней версии этого руководства.

Создание ISO конфигурации для узлов HDS

Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.

Прежде чем начать
1

Введите соответствующую команду для вашей среды в командной строке компьютера.

В обычных средах:

docker rmi ciscocitg/hds-setup:stable

В средах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать.

2

Чтобы войти в реестр образов Docker, введите следующее.

docker login -u hdscustomersro
3

Введите в запросе пароля этот хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Скачайте последнюю стабильную версию образа для вашей среды.

В обычных средах:

docker pull ciscocitg/hds-setup:stable

В средах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

По завершении скачивания введите соответствующую команду для вашей среды.

  • В обычных средах без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • В обычных средах с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В обычных средах с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В средах FedRAMP без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

6

Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу.

Перейдите к локальному узлу http://127.0.0.1:8080 с помощью веб-браузера и введите имя пользователя администратора для Partner Hub в окне подсказки.

Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартную подсказку для входа в систему.

7

При отображении соответствующего запроса введите учетные данные для входа администратора Partner Hub и щелкните Войти , чтобы разрешить доступ к необходимым службам для службы безопасности данных гибридного типа.

8

На странице обзора инструмента настройки щелкните Начало работы.

9

На странице Импорт ISO доступны следующие параметры.

  • Нет. Если вы создаете первый узел HDS, у вас нет файла ISO для загрузки.
  • Да. Если вы уже создали узлы HDS, выберите файл ISO в окне просмотра и загрузите его.
10

Проверьте, соответствует ли сертификат X.509 требованиям к сертификатам X.509.

  • Если сертификат ранее не загружался, загрузите сертификат X.509, введите пароль и щелкните Продолжить.
  • Если сертификат в ОК, щелкните Продолжить.
  • Если срок действия сертификата истек или вы хотите заменить его, выберите Нет для параметра Продолжить использование цепочки сертификатов HDS и закрытого ключа из предыдущего ISO?. Загрузите новый сертификат X.509, введите пароль и щелкните Продолжить.
11

Введите адрес базы данных и учетную запись HDS для доступа к хранилищу данных ключей:

  1. Выберите Тип базы данных (PostgreSQL или Microsoft SQL Server).

    При выборе Microsoft SQL Server появится поле "Тип аутентификации".

  2. (Только Microsoft SQL Server ) Выберите Тип аутентификации.

    • Базовая аутентификация. В поле Имя пользователя необходимо указать имя учетной записи локального сервера SQL.

    • Аутентификация Windows. Необходима учетная запись Windows в формате имя_пользователя@ДОМЕН в поле Имя_пользователя .

  3. Введите адрес сервера базы данных в форме : или :.

    Пример.
    dbhost.example.org:1433 или 198.51.100.17:1433

    Если узлы не могут использовать DNS для разрешения имени узла, можно использовать IP-адрес для базовой аутентификации.

    При использовании аутентификации Windows необходимо ввести полное доменное имя в формате dbhost.example.org:1433

  4. Введите имя базы данных.

  5. Введите имя пользователя и пароль пользователя со всеми правами в базе данных хранилища ключей.

12

Выберите Режим подключения к базе данных TLS.

Mode

Описание

Предпочтительное использование TLS (параметр по умолчанию)

Узлам HDS не требуется TLS для подключения к серверу базы данных. Если на сервере базы данных включить TLS, узлы попытаются установить зашифрованное соединение.

Обязательное использование TLS

Подключение узлов HDS будет выполнено только в том случае, если сервер базы данных может согласовывать использование TLS.

Обязательное использование TLS и проверка источника подписи сертификата

Этот режим неприменим к базам данных SQL Server.

  • Подключение узлов HDS будет выполнено только в том случае, если сервер базы данных может согласовывать использование TLS.

  • После установления соединения TLS узел сравнивает подписавшего сертификат сервера базы данных с центром сертификации в корневом сертификате базы данных. При отсутствии совпадения узел разорвет соединение.

Воспользуйтесь элементом управления корневым сертификатом базы данных под раскрывающимся списком, чтобы загрузить корневой сертификат для этого параметра.

Обязательное использование TLS и проверка источника подписи сертификата и имени узла

  • Подключение узлов HDS будет выполнено только в том случае, если сервер базы данных может согласовывать использование TLS.

  • После установления соединения TLS узел сравнивает подписавшего сертификат сервера базы данных с центром сертификации в корневом сертификате базы данных. При отсутствии совпадения узел разорвет соединение.

  • Узлы также проверяют, совпадает ли имя узла в сертификате сервера с именем узла в поле Узел базы данных и порт . Необходимо точное совпадение имен. Иначе узел разорвет соединение.

Воспользуйтесь элементом управления корневым сертификатом базы данных под раскрывающимся списком, чтобы загрузить корневой сертификат для этого параметра.

При загрузке корневого сертификата (при необходимости) и нажатии Продолжить инструмент настройки HDS тестирует подключение TLS к серверу базы данных. Инструмент также выполняет проверку источника подписи сертификата и имени узла (если применимо). Если тест не будет пройден, в инструменте будет отображено сообщение об ошибке с описанием проблемы. Можно выбрать параметр игнорирования ошибки и продолжить настройку. (Из-за различий соединения узлы HDS могут установить соединение TLS, даже если машина средства настройки HDS не может успешно протестировать его.)

13

На странице «Системные журналы» настройте сервер Syslogd:

  1. Введите URL-адрес сервера системного журнала.

    Если сервер не может разрешить DNS из узлов для кластера HDS, используйте IP-адрес в URL.

    Пример.
    udp://10.92.43.23:514 означает вход в хост Syslogd 10.92.43.23 на порте UDP 514.

  2. Если вы настроили на сервере использование шифрования TLS, установите флажок Настроен ли сервер системного журнала для шифрования SSL?.

    Если установить этот флажок, необходимо ввести URL-адрес TCP, например tcp://10.92.43.23:514.

  3. В раскрывающемся списке Выберите прекращение записи системного журнала выберите соответствующую настройку для файла ISO. Выбор или новая линия используется для TCP-протокола Graylog и Rsyslog

    • Нулевой байт -- \x00

    • Новая линия -- \n: выберите этот вариант для TCP-протокола Graylog и Rsyslog.

  4. Щелкните Продолжить.

14

(Необязательно) Можно изменить значение по умолчанию для некоторых параметров подключения к базе данных в разделе Расширенные настройки. Как правило, этот параметр является единственным, который необходимо изменить:

app_datasource_connection_pool_maxРазмер: 10
15

Щелкните Продолжить на экране Сброс пароля учетных записей службы .

Срок действия паролей учетных записей службы составляет девять месяцев. Используйте этот экран, когда срок действия паролей скоро истечет или вы хотите сбросить их, чтобы сделать предыдущие файлы ISO недействительными.

16

Щелкните Скачать файл ISO. Сохраните файл в удобном для поиска местоположении.

17

Сделайте резервную копию файла ISO в локальной системе.

Обеспечьте безопасность резервного копирования. Этот файл содержит главный ключ шифрования для содержимого базы данных. Ограничьте доступ только тем администраторам службы безопасности данных гибридного типа, которые должны вносить изменения в конфигурацию.

18

Чтобы завершить работу инструмента настройки, нажмите CTRL+C.

Дальнейшие действия

Создайте резервную копию файла конфигурации ISO. Это необходимо для создания дополнительных узлов для восстановления или внесения изменений в конфигурацию. В случае утери всех копий файла ISO также был утрачен главный ключ. Невозможно восстановить ключи из базы данных PostgreSQL или Microsoft SQL Server.

У нас никогда не будет копии этого ключа, и мы не можем помочь, если вы его потеряете.

Установка файла OVA узла HDS

Используйте эту процедуру для создания виртуальной машины из файла OVA.
1

Используйте клиент VMware vSphere на компьютере для входа в виртуальный хост ESXi.

2

Выберите Файл > Развернуть шаблон OVF.

3

В мастере укажите расположение скачанного ранее файла OVA и щелкните Далее.

4

На странице Выберите имя и папку введите имя виртуальной машины для узла (например, "HDS_Node_1"), выберите местоположение, в котором может находиться развертывание узла виртуальной машины, и щелкните Далее.

5

На странице Выбор вычислительного ресурса выберите целевой вычислительный ресурс и щелкните Далее.

Выполняется проверка. По завершении отобразятся сведения о шаблоне.

6

Проверьте сведения о шаблоне и щелкните Далее.

7

При появлении запроса на выбор конфигурации ресурса на странице Конфигурация щелкните 4 ЦП , а затем щелкните Далее.

8

На странице Выбор хранилища щелкните Далее , чтобы принять формат диска по умолчанию и политику хранилища виртуальной машины.

9

На странице Выбор сетей выберите параметр сети из списка записей, чтобы обеспечить необходимое подключение к виртуальной машине.

10

На странице Настройка шаблона настройте приведенные ниже параметры сети.

  • Имя узла. Введите FQDN (имя узла и домен) или одно слово имя узла.

    • Настройка домена в соответствии с доменом, который вы использовали для получения сертификата X.509, не требуется.

    • Чтобы обеспечить успешную регистрацию в облаке, используйте только символы нижнего регистра в FQDN или имени узла, заданном для узла. В настоящее время заглавные буквы не поддерживаются.

    • Общая длина FQDN не должна превышать 64 символа.

  • IP-адрес: введите IP-адрес для внутреннего интерфейса узла.

    Узел должен иметь внутренний IP-адрес и имя DNS. DHCP не поддерживается.

  • Маска. Введите адрес маски подсети в десятичном формате. Например, 255.255.255.0.
  • Шлюз: введите IP-адрес шлюза. Шлюз — это сетевой узел, который служит точкой доступа к другой сети.
  • DNS-серверы: введите список DNS-серверов, разделенных запятыми, для обработки перевода доменных имен на числовые IP-адреса. (Разрешено до 4 записей DNS.)
  • NTP Servers (Серверы NTP). Введите сервер NTP вашей организации или другой внешний сервер NTP, который можно использовать в вашей организации. Серверы NTP по умолчанию могут работать не для всех предприятий. Для ввода нескольких NTP-серверов также можно использовать список, разделенный запятыми.

  • Разверните все узлы в одной подсети или VLAN, чтобы все узлы в кластере были доступны из клиентов вашей сети в административных целях.

При необходимости можно пропустить конфигурацию сетевых настроек и выполнить действия, описанные в разделе Настройка виртуальной машины безопасности данных гибридного типа , чтобы настроить параметры с помощью консоли узла.

Параметр настройки сети во время развертывания OVA протестирован с помощью ESXi 7.0. Этот параметр может быть недоступен в более ранних версиях.

11

Щелкните правой кнопкой мыши узел виртуальной машины и выберите Питание > Включение.

Программное обеспечение безопасности данных гибридного типа устанавливается в качестве гостя на узле виртуальной машины. Теперь вы готовы войти в консоль и настроить узел.

Рекомендации по устранению неисправностей

Контейнеры узла могут появиться через несколько минут. Во время первой загрузки на консоли отображается сообщение брандмауэра моста, в течение которого невозможно войти в систему.

Настройка виртуальной машины безопасности данных гибридного типа

Используйте эту процедуру для первого входа в консоль виртуальной машины узла безопасности данных гибридного типа и установки учетных данных для входа. Можно также использовать консоль для настройки сетевых параметров узла, если они не были настроены во время развертывания файла OVA.

1

В клиенте VMware vSphere выберите виртуальную машину узла безопасности данных гибридного типа и откройте вкладку Консоль .

Будет загружена виртуальная машина, и отобразится запрос на вход. Если запрос на вход не отображается, нажмите клавишу ввода.
2

Для входа и изменения учетных данных используйте следующие параметры входа и пароля по умолчанию:

  1. Вход: Администратор

  2. Пароль. Cisco

Поскольку вы впервые входите в свою виртуальную машину, вам необходимо изменить пароль администратора.

3

Если параметры сети уже настроены в разделе Установка OVA узла HDS, пропустите остальную процедуру. В противном случае в главном меню выберите параметр Редактировать конфигурацию .

4

Настройте статическую конфигурацию с использованием IP-адреса, маски, шлюза и информации DNS. Узел должен иметь внутренний IP-адрес и имя DNS. DHCP не поддерживается.

5

(Необязательно) Измените имя хоста, домен или NTP-серверы, если это необходимо для соответствия вашей сетевой политике.

Настройка домена в соответствии с доменом, который вы использовали для получения сертификата X.509, не требуется.

6

Сохраните конфигурацию сети и перезагрузите виртуальную машину, чтобы изменения вступили в силу.

Загрузка и установка ISO конфигурации HDS

Используйте эту процедуру для настройки виртуальной машины из файла ISO, созданного с помощью инструмента настройки HDS.

Перед началом работы

Поскольку в файле ISO содержится главный ключ, он должен быть раскрыт только по принципу «необходимо знать» для доступа виртуальных машин безопасности данных гибридного типа и всех администраторов, которым может потребоваться внести изменения. Убедитесь, что доступ к хранилищу данных могут получить только эти администраторы.

1

Загрузите файл ISO со своего компьютера.

  1. На левой панели навигации клиента VMware vSphere щелкните сервер ESXi.

  2. В списке "Оборудование" вкладки "Конфигурация" щелкните Хранилище.

  3. В списке хранилищ данных щелкните правой кнопкой мыши хранилище данных для виртуальных машин и щелкните Обзор хранилища данных.

  4. Щелкните пиктограмму "Загрузить файлы" и щелкните Загрузить файл.

  5. Перейдите в расположение, в котором скачался файл ISO на компьютер, и щелкните Открыть.

  6. Щелкните Да , чтобы принять предупреждение о загрузке или скачивании и закрыть диалоговое окно хранилища данных.

2

Установите файл ISO:

  1. На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры.

  2. Щелкните ОК , чтобы принять предупреждение об ограничении параметров редактирования.

  3. Щелкните Привод CD/DVD 1, выберите параметр подключения из файла хранилища данных ISO и перейдите в расположение, в котором был загружен файл конфигурации ISO.

  4. Установите флажки Подключено и Подключиться при включении.

  5. Сохраните изменения и перезагрузите виртуальную машину.

Дальнейшие действия

Если политика ИТ требует, после внесения изменений конфигурации на всех узлах можно отсоединить файл ISO. Подробные сведения см. в статье (необязательно) Отключение ISO после настройки HDS .

Настройка узла HDS для интеграции прокси

Если в сетевой среде необходимо использовать прокси, воспользуйтесь этой процедурой, чтобы указать тип прокси, который нужно интегрировать со службой безопасности данных гибридного типа. При выборе прозрачного прокси с проверкой или явного прокси HTTPS можно использовать интерфейс узла для загрузки и установки корневого сертификата. Кроме того, в интерфейсе можно проверять соединение с прокси и устранять неполадки.

Перед началом работы

1

Введите в веб-браузере URL-адрес для настройки узла HDS https://[IP-адрес или FQDN узла HDS]/setup, укажите учетные данные администратора, заданные вами для узла, и щелкните Sign In (Вход).

2

Откройте раздел Trust Store & Proxy (Зона доверия и прокси) и выберите один из следующих параметров.

  • Без прокси. Этот параметр используется по умолчанию перед интеграцией прокси. Обновление сертификата не требуется.
  • Прозрачный прокси без проверки. Узлы не настроены для использования адреса определенного прокси-сервера и не должны требовать каких-либо изменений для работы с прокси без проверки. Обновление сертификата не требуется.
  • Прозрачный прокси с проверкой: узлы не настроены для использования адреса определенного прокси-сервера. В развертывании службы безопасности данных гибридного типа не нужно вносить изменения в конфигурацию HTTPS, однако для обеспечения доверия прокси узлам HDS необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже HTTPS).
  • Явный прокси. При использовании явного прокси клиент (узлы HDS) определяет, какой прокси-сервер использовать. Этот параметр поддерживает несколько типов аутентификации. После выбора этого параметра необходимо ввести указанную далее информацию.

    1. IP/FQDN прокси. Адрес, который можно использовать для связи с прокси-машиной.

    2. Порт прокси. Номер порта, который прокси использует для прослушивания прокси-трафика.

    3. Proxy Protocol (Протокол прокси). Выберите http (просмотр и управление всеми запросами, полученными от клиента) или https (обеспечивает канал для сервера, а клиент получает и проверяет сертификат сервера). Выберите параметр в зависимости от того, какой протокол поддерживает используемый вами прокси-сервер.

    4. Тип аутентификации: выберите один из приведенных ниже типов аутентификации.

      • Нет. Дальнейшая аутентификация не требуется.

        Этот параметр доступен для прокси HTTP или HTTPS.

      • Базовый: используется для агента пользователя HTTP для указания имени пользователя и пароля при совершении запроса. Использует кодировку Base64.

        Этот параметр доступен для прокси HTTP или HTTPS.

        Если вы выберете этот параметр, вам понадобится ввести имя пользователя и пароль.

      • Дайджест. Используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети.

        Этот параметр доступен только для прокси HTTPS.

        Если вы выберете этот параметр, вам понадобится ввести имя пользователя и пароль.

В случае использования прозрачного прокси с проверкой, явного прокси HTTP с базовой аутентификацией или явного прокси HTTPS выполните указанные далее шаги.

3

Щелкните Upload a Root Certificate or End Entity Certificate (Загрузить корневой сертификат или сертификат конечного субъекта) и откройте меню для выбора корневого сертификата для прокси.

Сертификат будет загружен, но не установлен, поскольку для установки сертификата необходимо перезагрузить узел. Чтобы получить дополнительные сведения, щелкните стрелку-шеврон, расположенную рядом с именем издателя сертификата. Если вы допустили ошибку и хотите вновь загрузить файл, щелкните Delete (Удалить).

4

Чтобы протестировать сетевое соединение между узлом и прокси, щелкните Check Proxy Connection (Проверить соединение с прокси).

Если тестирование соединения завершится неудачей, на экране появится сообщение об ошибке, в котором будут указаны причина и способ исправления ошибки.

Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу. Такая проблема может возникнуть во многих конфигурациях явного прокси. Можно продолжить настройку, и узел будет работать в режиме блокировки разрешения внешних DNS. Если вы считаете, что это ошибка, выполните эти действия, а затем см. статью Выключение режима блокировки разрешения внешних DNS.

5

Если вы используете явный прокси, настроенный на применение исключительно https, после успешного завершения тестирования соединения включите параметр Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси (Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси). Для вступления в силу этого параметра необходимо 15 секунд.

6

Щелкните Install All Certificates Into the Trust Store (Установить все сертификаты в зоне доверия) – этот параметр отображается при использовании явного прокси HTTPS или прозрачного прокси с проверкой – или Reboot (Перезагрузить) – этот параметр отображается при использовании явного прокси HTTP. Прочитайте запрос и щелкните Install (Установить), если вы готовы к установке.

Узел перезагрузится в течение нескольких минут.

7

После перезагрузки узла повторно войдите в систему, если это необходимо, и откройте страницу Обзор, чтобы выполнить проверки соединений. Состояние всех проверок должно быть обозначено зеленым цветом.

Проверка соединения с прокси используется исключительно для тестирования поддомена webex.com. Проблемы с соединениями нередко возникают из-за того, что некоторые облачные домены, указанные в инструкциях по установке, блокируются на уровне прокси.

Регистрация первого узла в кластере

Эта задача берет общий узел, созданный в разделе Настройка виртуальной машины безопасности данных гибридного типа, регистрирует узел в облаке Webex и преобразует его в узел безопасности данных гибридного типа.

При регистрации первого узла создается кластер, которому он назначен. Кластер содержит один или несколько узлов, развернутых для резервирования.

Перед началом работы

  • После начала регистрации узла ее необходимо завершить в течение 60 минут или начать заново.

  • Убедитесь, что все блокировки всплывающих окон в браузере отключены или вы разрешаете исключение для admin.webex.com.

1

Войдите в https://admin.webex.com.

2

В меню в левой части экрана выберите Службы.

3

В разделе облачных служб найдите карточку безопасности данных гибридного типа и щелкните Настройка.

4

На открывшейся странице щелкните Добавить ресурс.

5

В первом поле карточки Добавить узел введите имя кластера, которому необходимо назначить узел безопасности данных гибридного типа.

Рекомендуется назвать кластер в зависимости от географического расположения узлов кластера. Примеры: "Сан-Франциско", "Нью-Йорк" или "Даллас"

6

Во втором поле введите внутренний IP-адрес или полное доменное имя узла и щелкните Добавить в нижней части экрана.

Этот IP-адрес или полное доменное имя должны совпадать с IP-адресом или именем хоста и доменом, которые вы использовали в разделе Настройка виртуальной машины безопасности данных гибридного типа.

Отобразится сообщение о том, что можно зарегистрировать узел в Webex.
7

Щелкните Перейти к узлу.

Через несколько секунд вы будете перенаправлены на тестирование подключения узла для служб Webex. Если все тесты будут успешными, отобразится страница "Разрешить доступ к узлу безопасности данных гибридного типа". Здесь вы подтверждаете, что хотите предоставить вашей организации Webex полномочия на доступ к узлу.

8

Установите флажок в поле Разрешить доступ к узлу безопасности данных гибридного типа и щелкните Продолжить.

Учетная запись подтверждена. В сообщении "Регистрация завершена" указано, что узел зарегистрирован в облаке Webex.
9

Щелкните ссылку или закройте вкладку, чтобы вернуться на страницу безопасности данных гибридного типа партнерского центра.

На странице Безопасность данных гибридного типа новый кластер, содержащий зарегистрированный узел, отображается на вкладке Ресурсы . Узел будет автоматически скачан новейшее программное обеспечение из облака.

Создать и зарегистрировать другие узлы

Чтобы добавить дополнительные узлы в кластер, просто создайте дополнительные виртуальные машины и подключите тот же файл конфигурации ISO, а затем зарегистрируйте узел. Рекомендуется иметь не менее 3 узлов.

Перед началом работы

  • После начала регистрации узла ее необходимо завершить в течение 60 минут или начать заново.

  • Убедитесь, что все блокировки всплывающих окон в браузере отключены или вы разрешаете исключение для admin.webex.com.

1

Создайте новую виртуальную машину из файла OVA, повторяя шаги, описанные в разделе Установка файла OVA узла HDS.

2

Настройте начальную конфигурацию новой виртуальной машины, повторяя шаги, описанные в разделе Настройка виртуальной машины безопасности данных гибридного типа.

3

В новой виртуальной машине повторите шаги, описанные в разделе Загрузка и установка ISO конфигурации HDS.

4

При настройке прокси для развертывания повторите шаги, описанные в разделе Настройка узла HDS для интеграции прокси для нового узла.

5

Зарегистрируйте узел.

  1. В https://admin.webex.com в меню в левой части экрана выберите Службы .

  2. В разделе облачных служб найдите карточку безопасности данных гибридного типа и щелкните Просмотреть все.

    Откроется страница "Ресурсы безопасности данных гибридного типа".

  3. Только что созданный кластер отобразится на странице Ресурсы .

  4. Щелкните кластер, чтобы просмотреть узлы, назначенные кластеру.

  5. Щелкните Добавить узел в правой части экрана.

  6. Введите внутренний IP-адрес или полное доменное имя узла и щелкните Добавить.

    Откроется страница с сообщением о том, что можно зарегистрировать узел в облаке Webex. Через несколько секунд вы будете перенаправлены на тестирование подключения узла для служб Webex. Если все тесты будут успешными, отобразится страница "Разрешить доступ к узлу безопасности данных гибридного типа". После этого вы подтверждаете, что хотите предоставить организации полномочия на доступ к узлу.

  7. Установите флажок в поле Разрешить доступ к узлу безопасности данных гибридного типа и щелкните Продолжить.

    Учетная запись подтверждена. В сообщении "Регистрация завершена" указано, что узел зарегистрирован в облаке Webex.

  8. Щелкните ссылку или закройте вкладку, чтобы вернуться на страницу безопасности данных гибридного типа партнерского центра.

    Всплывающее сообщение Узел добавлен также отображается в нижней части экрана в партнерском центре.

    Ваш узел зарегистрирован.

Управление организациями клиентов в службе безопасности данных гибридного типа с поддержкой нескольких клиентов

Активация HDS с несколькими клиентами в центре партнера

Эта задача позволит всем пользователям клиентских организаций начать использование HDS для локальных ключей шифрования и других служб безопасности.

Перед началом работы

Убедитесь, что настройка кластера HDS с несколькими клиентами завершена с требуемым количеством узлов.

1

Войдите в https://admin.webex.com.

2

В меню в левой части экрана выберите Службы.

3

В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Редактировать настройки.

4

Щелкните Активировать HDS на карточке Состояние HDS .

Добавить организации клиентов в Partner Hub

В этой задаче вы назначаете клиентские организации кластеру безопасности данных гибридного типа.

1

Войдите в https://admin.webex.com.

2

В меню в левой части экрана выберите Службы.

3

В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Просмотреть все.

4

Щелкните кластер, которому необходимо назначить клиента.

5

Перейдите на вкладку Назначенные клиенты .

6

Щелкните Добавить клиентов.

7

В раскрывающемся меню выберите клиента, которого необходимо добавить.

8

Щелкните Добавить, и клиент будет добавлен в кластер.

9

Чтобы добавить в кластер несколько клиентов, повторите шаги 6–8.

10

После добавления клиентов щелкните Готово в нижней части экрана.

Дальнейшие действия

Чтобы завершить процесс настройки, запустите инструмент настройки HDS, как описано в разделе Создание главных ключей клиента (CMK) с помощью инструмента настройки HDS .

Создание главных ключей клиентов (CMK) с помощью инструмента настройки HDS

Перед началом работы

Назначьте клиентов в соответствующий кластер, как описано в разделе Добавление клиентских организаций в Partner Hub. Запустите инструмент настройки HDS, чтобы завершить процесс настройки вновь добавленных клиентских организаций.

  • Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора для вашей организации.

    Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.

    Описание

    Переменная

    HTTP-прокси без аутентификации

    ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТ

    HTTPS-прокси без аутентификации

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTP-прокси с аутентификацией

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

    HTTPS-прокси с аутентификацией

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

  • Созданный файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. При внесении изменений в конфигурацию вам потребуется последняя копия этого файла. Например:

    • Учетные данные базы данных

    • Обновления сертификата

    • Изменения политики авторизации

  • При планировании шифрования соединений с базой данных настройте развертывание PostgreSQL или SQL Server для TLS.

Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.

1

Введите соответствующую команду для вашей среды в командной строке компьютера.

В обычных средах:

docker rmi ciscocitg/hds-setup:stable

В средах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать.

2

Чтобы войти в реестр образов Docker, введите следующее.

docker login -u hdscustomersro
3

Введите в запросе пароля этот хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Скачайте последнюю стабильную версию образа для вашей среды.

В обычных средах:

docker pull ciscocitg/hds-setup:stable

В средах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

По завершении скачивания введите соответствующую команду для вашей среды.

  • В обычных средах без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • В обычных средах с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В обычных средах с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В средах FedRAMP без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

6

Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу.

Перейдите к локальному узлу http://127.0.0.1:8080 с помощью веб-браузера и введите имя пользователя администратора для Partner Hub в окне подсказки.

Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартную подсказку для входа в систему.

7

При отображении соответствующего запроса введите учетные данные для входа администратора Partner Hub и щелкните Войти , чтобы разрешить доступ к необходимым службам для службы безопасности данных гибридного типа.

8

На странице обзора инструмента настройки щелкните Начало работы.

9

На странице Импорт ISO щелкните Да.

10

Выберите файл ISO в браузере и загрузите его.

Для выполнения управления CMK убедитесь в подключении к базе данных.
11

Перейдите на вкладку Управление CMK клиента , где можно найти три способа управления CMK клиента.

  • Создать CMK для всех ОРГАНИЗАЦИЙ или Создать CMK . Щелкните эту кнопку на баннере в верхней части экрана, чтобы создать CMK для всех вновь добавленных организаций.
  • Щелкните кнопку Управление CMK в правой части экрана и щелкните Создать CMK , чтобы создать CMK для всех вновь добавленных организаций.
  • Щелкните … рядом с состоянием рассмотрения управления CMK определенной организации в таблице и щелкните Создать CMK , чтобы создать CMK для этой организации.
12

После успешного создания CMK состояние в таблице изменится с Управление CMK рассматривается на Управление CMK.

13

В случае неудачного создания CMK отображается ошибка.

Удалить организации клиентов

Перед началом работы

После удаления пользователи клиентских организаций не смогут использовать HDS в целях шифрования, а все существующие пространства будут утрачены. Прежде чем удалить клиентские организации, обратитесь к своему партнеру Cisco или менеджеру по работе с клиентами.

1

Войдите в https://admin.webex.com.

2

В меню в левой части экрана выберите Службы.

3

В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Просмотреть все.

4

На вкладке Ресурсы щелкните кластер, из которого необходимо удалить клиентские организации.

5

На открывшейся странице щелкните Назначенные клиенты.

6

В списке отображаемых клиентских организаций щелкните ... в правой части клиентской организации, которую необходимо удалить, и щелкните Удалить из кластера.

Дальнейшие действия

Завершите процесс удаления, отозвав CMK клиентских организаций, как описано в статье Отозвать CMK клиентов, удаленных из HDS.

Отозвать CMK клиентов, удаленные из HDS.

Перед началом работы

Удалите клиентов из соответствующего кластера, как описано в разделе Удаление клиентских организаций. Запустите инструмент настройки HDS, чтобы завершить процесс удаления удаленных клиентских организаций.

  • Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора для вашей организации.

    Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.

    Описание

    Переменная

    HTTP-прокси без аутентификации

    ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТ

    HTTPS-прокси без аутентификации

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTP-прокси с аутентификацией

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

    HTTPS-прокси с аутентификацией

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

  • Созданный файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. При внесении изменений в конфигурацию вам потребуется последняя копия этого файла. Например:

    • Учетные данные базы данных

    • Обновления сертификата

    • Изменения политики авторизации

  • При планировании шифрования соединений с базой данных настройте развертывание PostgreSQL или SQL Server для TLS.

Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.

1

Введите соответствующую команду для вашей среды в командной строке компьютера.

В обычных средах:

docker rmi ciscocitg/hds-setup:stable

В средах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать.

2

Чтобы войти в реестр образов Docker, введите следующее.

docker login -u hdscustomersro
3

Введите в запросе пароля этот хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Скачайте последнюю стабильную версию образа для вашей среды.

В обычных средах:

docker pull ciscocitg/hds-setup:stable

В средах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

По завершении скачивания введите соответствующую команду для вашей среды.

  • В обычных средах без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • В обычных средах с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В обычных средах с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В средах FedRAMP без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

6

Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу.

Перейдите к локальному узлу http://127.0.0.1:8080 с помощью веб-браузера и введите имя пользователя администратора для Partner Hub в окне подсказки.

Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартную подсказку для входа в систему.

7

При отображении соответствующего запроса введите учетные данные для входа администратора Partner Hub и щелкните Войти , чтобы разрешить доступ к необходимым службам для службы безопасности данных гибридного типа.

8

На странице обзора инструмента настройки щелкните Начало работы.

9

На странице Импорт ISO щелкните Да.

10

Выберите файл ISO в браузере и загрузите его.

11

Перейдите на вкладку Управление CMK клиента , где можно найти три способа управления CMK клиента.

  • Отозвать CMK для всех ОРГАНИЗАЦИЙ или Отозвать CMK . Щелкните эту кнопку на баннере в верхней части экрана, чтобы отозвать CMK всех удаленных организаций.
  • Щелкните кнопку Управление CMK в правой части экрана и щелкните Отозвать CMK , чтобы отозвать CMK всех удаленных организаций.
  • Щелкните рядом с состоянием CMK для отзыва определенной организации в таблице и щелкните Отозвать CMK , чтобы отозвать CMK для определенной организации.
12

После успешного отзыва CMK клиентская организация больше не будет отображаться в таблице.

13

Если отзыв CMK не выполнен, отображается ошибка.

Тестирование развертывания службы безопасности данных гибридного типа

Тестирование развертывания службы безопасности данных гибридного типа

Используйте эту процедуру для тестирования сценариев шифрования безопасности данных гибридного типа с несколькими клиентами.

Перед началом работы

  • Настройте развертывание службы безопасности данных гибридного типа с несколькими клиентами.

  • Убедитесь, что у вас есть доступ к системному журналу, чтобы проверить, передаются ли запросы ключей в развертывание системы безопасности данных гибридного типа с несколькими клиентами.

1

Ключи для определенного пространства задаются создателем пространства. Войдите в приложение Webex в качестве одного из пользователей клиентской организации и создайте пространство.

Если деактивировать развертывание безопасности данных гибридного типа, контент в пространствах, созданных пользователями, больше не будет доступен после замены кэшированных клиентом копий ключей шифрования.

2

Отправить сообщения в новое пространство.

3

Проверьте вывод системного журнала, чтобы убедиться, что запросы ключей передаются в развертывание службы безопасности данных гибридного типа.

  1. Чтобы проверить, установит ли пользователь защищенный канал в KMS, отфильтруйте kms.data.method=create и kms.data.type=EPHEMERAL_KEY_COLLECTION.

    Необходимо найти следующую запись (идентификаторы, сокращенные для удобства чтения):
    2020-07-21 17:35:34.562 (+0000) KMS INFO [pool-14-thread-1] – получен [KMS:REQUEST], идентификатор устройства: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Чтобы проверить, требуется ли пользователю, запрашивающему существующий ключ из KMS, выполните фильтр в меню kms.data.method=retrieve и kms.data.type=KEY.

    Отобразится запись, аналогичная приведенной ниже.
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] – получен [KMS:REQUEST], идентификатор устройства: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Чтобы проверить, требуется ли пользователю создать новый ключ KMS, выполните фильтр в меню kms.data.method=create и kms.data.type=KEY_COLLECTION.

    Отобразится запись, аналогичная приведенной ниже.
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] – получен [KMS:REQUEST], идентификатор устройства: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Чтобы проверить, есть ли у пользователя запрос на создание нового объекта ресурса KMS (KRO) при создании пространства или другого защищенного ресурса, используйте фильтры в разделах kms.data.method=create и kms.data.type=RESOURCE_COLLECTION.

    Отобразится запись, аналогичная приведенной ниже. 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] – получен [KMS:REQUEST], идентификатор устройства: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Мониторинг работоспособности службы безопасности данных гибридного типа

Индикатор состояния в партнерском центре показывает, все ли в порядке с развертыванием службы безопасности данных гибридного типа с несколькими клиентами. Для более упреждающих предупреждений зарегистрируйтесь для получения уведомлений по электронной почте. Вы будете уведомлены о появлении сигналов, влияющих на службу, или о модернизации программного обеспечения.
1

В Partner Hub в меню в левой части экрана выберите Службы .

2

В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Редактировать настройки.

Отобразится страница "Настройки безопасности данных гибридного типа".
3

В разделе "Электронные уведомления" введите один или несколько адресов электронной почты, разделяя их запятыми, и нажмите клавишу ввода.

Управление развертыванием HDS

Управление развертыванием HDS

Для управления развертыванием службы безопасности данных гибридного типа используйте описанные здесь задачи.

Настройка графика модернизации кластера

Модернизация программного обеспечения службы безопасности данных гибридного типа выполняется автоматически на уровне кластера, что гарантирует, что на всех узлах всегда запущена одна и та же версия программного обеспечения. Модернизация выполняется в соответствии с графиком модернизации кластера. Когда модернизация программного обеспечения становится доступной, можно вручную модернизировать кластер до запланированного времени модернизации. Можно задать конкретное расписание модернизации или использовать расписание по умолчанию: 3:00 (ежедневно в США). Америка/Лос-Анджелес. При необходимости можно также отложить предстоящую модернизацию.

Чтобы настроить график модернизации, выполните указанные ниже действия.

1

Войдите в Partner Hub.

2

В меню в левой части экрана выберите Службы.

3

В разделе "Облачные службы" найдите раздел "Безопасность данных гибридного типа" и щелкните Настройка.

4

На странице "Ресурсы безопасности данных гибридного типа" выберите кластер.

5

Щелкните вкладку Настройки кластера .

6

На странице настроек кластера в разделе "График модернизации" выберите время и часовой пояс для графика модернизации.

Примечание. В часовом поясе отображаются следующие доступные дата и время модернизации. При необходимости можно отложить модернизацию на следующий день, щелкнув Отложить на 24 часа.

Изменение конфигурации узла

Иногда может потребоваться изменить конфигурацию узла безопасности данных гибридного типа по одной из причин:

  • Изменение сертификатов x.509 по истечении срока действия или по другим причинам.

    Изменение доменного имени CN сертификата не поддерживается. Домен должен совпадать с исходным доменом, использованным для регистрации кластера.

  • Обновление настроек базы данных для работы с копией базы данных PostgreSQL или Microsoft SQL Server.

    Перенос данных с PostgreSQL на Microsoft SQL Server или в обратном направлении не поддерживается. Чтобы переключить среду базы данных, начните новое развертывание службы безопасности данных гибридного типа.

  • Создание новой конфигурации для подготовки нового центра обработки данных.

Из соображений безопасности для учетных записей в службе безопасности данных гибридного типа используются пароли со сроком действия 9 месяцев. После того как инструмент настройки HDS создаст эти пароли, вам нужно будет развернуть их в каждом из своих узлов HDS в файле конфигурации ISO. При приближении даты окончания срока действия пароля команда Webex пришлет вам уведомление с запросом на сброс пароля учетной записи компьютера. (В сообщении электронной почты будет текст "Использование API учетной записи компьютера для обновления пароля".) Если срок действия паролей еще не истек, средство предоставляет два варианта.

  • Мягкий сброс. Старые и новые пароли работают в течение 10 дней. Используйте этот период для постепенной замены файла ISO на узлах.

  • Принудительный сброс: старые пароли перестают работать немедленно.

Если срок действия ваших паролей истекает без сброса, это влияет на работу вашей службы HDS. В этом случае требуется немедленный жесткий сброс и замена файла ISO на всех узлах.

Используйте эту процедуру, чтобы создать новый файл конфигурации ISO и применить его к кластеру.

Прежде чем начать

  • Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора партнера.

    Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker в 1.e. В этой таблице указаны некоторые из возможных переменных среды.

    Описание

    Переменная

    HTTP-прокси без аутентификации

    ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТ

    HTTPS-прокси без аутентификации

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTP-прокси с аутентификацией

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

    HTTPS-прокси с аутентификацией

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

  • Для создания новой конфигурации потребуется копия текущего файла конфигурации ISO. Файл ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. Файл ISO необходим для изменения конфигурации, в том числе учетных данных базы данных, обновления сертификатов или изменения политики авторизации.

1

Запустите инструмент настройки HDS, используя Docker на локальной машине.

  1. Введите соответствующую команду для вашей среды в командной строке компьютера.

    В обычных средах:

    docker rmi ciscocitg/hds-setup:stable

    В средах FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать.

  2. Чтобы войти в реестр образов Docker, введите следующее.

    docker login -u hdscustomersro

  3. Введите в запросе пароля этот хеш:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Скачайте последнюю стабильную версию образа для вашей среды.

    В обычных средах:

    docker pull ciscocitg/hds-setup:stable

    В средах FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Обязательно скачайте для этой процедуры последнюю версию инструмента настройки. В версиях инструмента, созданных до 22 февраля 2018 г., нет экранов сброса пароля.

  5. По завершении скачивания введите соответствующую команду для вашей среды.

    • В обычных средах без прокси:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • В обычных средах с HTTP-прокси:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • В обычных средах с HTTPS-прокси:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • В средах FedRAMP без прокси:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • В средах FedRAMP с HTTP-прокси:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • В средах FedRAMP с HTTPS-прокси:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

  6. Используйте браузер для подключения к localhost, http://127.0.0.1:8080.

    Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу.

  7. При отображении соответствующего запроса введите учетные данные для входа клиента партнерского центра и щелкните Принять , чтобы продолжить.

  8. Импортируйте текущий файл конфигурации ISO.

  9. Следуйте подсказкам, чтобы завершить работу с инструментом и скачать обновленный файл.

    Чтобы завершить работу инструмента настройки, нажмите CTRL+C.

  10. Создайте резервную копию обновленного файла в другом центре обработки данных.

2

Если у вас запущен только один узел HDS, создайте новую виртуальную машину узла безопасности данных гибридного типа и зарегистрируйте ее с помощью нового файла конфигурации ISO. Более подробные инструкции см. в статье Создание и регистрация дополнительных узлов.

  1. Установите OVA узла HDS.

  2. Настройте виртуальную машину HDS.

  3. Подключите обновленный файл конфигурации.

  4. Зарегистрируйте новый узел в Partner Hub.

3

Для существующих узлов HDS, в которых используется старый файл конфигурации, необходимо установить файл ISO. Выполните следующую процедуру для каждого узла по очереди, обновив каждый узел до выключения следующего узла.

  1. Выключите виртуальную машину.

  2. На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры.

  3. Щелкните Дисковод компакт-дисков и DVD-дисков 1, выберите параметр подключения из файла ISO и найдите расположение, куда вы скачали новый файл конфигурации ISO.

  4. Установите флажок Соединять при включении.

  5. Сохраните изменения и включите виртуальную машину.

4

Повторите шаг 3, чтобы заменить конфигурацию на каждом оставшемся узле со старой конфигурацией.

Отключение режима блокировки разрешения внешних DNS

При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. Если DNS-сервер узла не может разрешать общедоступные имена DNS, узел автоматически переходит в режим блокировки разрешения внешних DNS.

Если узлы могут разрешать общедоступные имена DNS через внутренние DNS-серверы, можно отключить этот режим, повторно запустив тестирование подключения к прокси на каждом узле.

Перед началом работы

Убедитесь в том, что внутренние DNS-серверы могут разрешать общедоступные имена DNS и ваши узлы могут обмениваться данными с ними.
1

В веб-браузере откройте интерфейс узла безопасности данных гибридного типа (например, IP-адрес или настройка) https://192.0.2.0/setup), введите учетные данные администратора, настроенные для узла, и щелкните Войти.

2

Перейдите к разделу Overview (Обзор) (страница по умолчанию).

Если режим включен, параметр Blocked External DNS Resolution (Блокировка разрешения внешних DNS) должен иметь значение Yes (Да).

3

Перейдите на страницу Trust Store & Proxy (Зона доверия и прокси).

4

Щелкните Check Proxy Connection (Проверить соединение с прокси).

Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу и он останется в этом режиме. В противном случае после перезапуска узла и возврата на страницу Overview (Обзор) параметр блокировки разрешения внешних DNS должен иметь значение No (Нет).

Дальнейшие действия

Повторите тестирование соединения с прокси для каждого узла кластера безопасности данных гибридного типа.

Удаление узла

Используйте эту процедуру для удаления узла безопасности данных гибридного типа из облака Webex. После удаления узла из кластера удалите виртуальную машину, чтобы предотвратить дальнейший доступ к данным безопасности.
1

С помощью клиента VMware vSphere на компьютере можно войти в виртуальный хост ESXi и выключить виртуальную машину.

2

Удалить узел:

  1. Войдите в Partner Hub и выберите Службы.

  2. На карточке безопасности данных гибридного типа щелкните Просмотреть все , чтобы отобразить страницу ресурсов безопасности данных гибридного типа.

  3. Выберите кластер, чтобы отобразить его панель "Обзор".

  4. Щелкните узел, который необходимо удалить.

  5. Щелкните Отменить регистрацию этого узла на панели справа.

  6. Кроме того, чтобы отменить регистрацию узла, щелкните ... в правой части узла и выберите Удалить этот узел.

3

В клиенте vSphere удалите виртуальную машину. (На панели навигации слева щелкните виртуальную машину правой кнопкой мыши и щелкните Удалить.)

Если виртуальная машина не удалена, не забудьте отсоединить файл конфигурации ISO. Без файла ISO вы не сможете использовать виртуальную машину для доступа к данным безопасности.

Аварийное восстановление с помощью центра обработки данных в режиме ожидания

Наиболее важной службой, предоставляемой кластером безопасности данных гибридного типа, является создание и хранение ключей, используемых для шифрования сообщений и другого контента, хранящегося в облаке Webex. Для каждого пользователя в организации, назначенного службе безопасности данных гибридного типа, запросы на создание нового ключа маршрутизируются в кластер. Кластер также отвечает за возврат созданных им ключей всем пользователям, авторизованным для их извлечения, например участникам пространства для разговора.

Поскольку кластер выполняет критически важную функцию предоставления этих ключей, необходимо, чтобы кластер продолжал работать и чтобы поддерживались соответствующие резервные копии. Потеря базы данных безопасности данных гибридного типа или конфигурации ISO, используемой для схемы, приведет к НЕОБРАТИМОЙ ПОТЕРЕ контента клиента. Для предотвращения таких потерь необходимо выполнить следующие действия:

Если из-за аварии развертывание HDS в основном центре обработки данных становится недоступным, выполните эту процедуру, чтобы вручную переключиться на резервный центр обработки данных.

Перед началом работы

Отмените регистрацию всех узлов из Partner Hub, как указано в разделе Удаление узла. Для выполнения указанной ниже процедуры отработки отказа используйте последний файл ISO, настроенный против узлов ранее активного кластера.
1

Запустите инструмент настройки HDS и выполните действия, указанные в разделе Создание ISO конфигурации для узлов HDS.

2

Завершите процесс настройки и сохраните файл ISO в удобном для поиска месте.

3

Сделайте резервную копию файла ISO в локальной системе. Обеспечьте безопасность резервного копирования. Этот файл содержит главный ключ шифрования для содержимого базы данных. Ограничьте доступ только тем администраторам службы безопасности данных гибридного типа, которые должны вносить изменения в конфигурацию.

4

На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры.

5

Щелкните Редактировать настройки >Диск CD/DVD 1 и выберите Файл хранилища данных ISO.

Убедитесь, что установлены флажки Подключено и Подключиться при включении , чтобы обновленные изменения конфигурации вступили в силу после запуска узлов.

6

Включите узел HDS и убедитесь, что сигналы отсутствуют в течение не менее 15 минут.

7

Зарегистрируйте узел в партнерском центре. См. статью Регистрация первого узла в кластере.

8

Повторите процесс для каждого узла в центре обработки данных в режиме ожидания.

Дальнейшие действия

Если после отказа основной центр обработки данных снова становится активным, отмените регистрацию узлов резервного центра обработки данных и повторите процесс настройки ISO и регистрации узлов основного центра обработки данных, как указано выше.

(Необязательно) Отсоедините ISO после настройки HDS

Стандартная конфигурация HDS выполняется с установленным ISO. Однако некоторые клиенты предпочитают не оставлять файлы ISO постоянно монтированными. После того как все узлы HDS примут новую конфигурацию, можно отсоединить файл ISO.

Для изменения конфигурации по-прежнему используются файлы ISO. При создании нового ISO или обновлении ISO с помощью инструмента настройки необходимо установить обновленный ISO на всех узлах HDS. С помощью этой процедуры можно снова отключить ISO, после того как все узлы примут изменения конфигурации.

Перед началом работы

Модернизируйте все свои узлы HDS до версии 2021.01.22.4720 или более поздней.

1

Закройте один из своих узлов HDS.

2

В vCenter Server Appliance выберите узел HDS.

3

Выберите Редактировать настройки > Привод CD/DVD и снимите флажок Файл хранилища данных ISO.

4

Включите узел HDS и убедитесь, что сигналы отсутствуют в течение не менее 20 минут.

5

Повторите эту процедуру для каждого узла HDS по очереди.

Устранение неполадок службы безопасности данных гибридного типа

Просмотр предупреждений и устранение неполадок

Развертывание службы безопасности данных гибридного типа считается недоступным, если все узлы в кластере недоступны или кластер работает настолько медленно, что истекло время ожидания. Если пользователи не могут подключиться к кластеру безопасности данных гибридного типа, у них будут следующие симптомы:

  • Не удается создать новые пространства (не удается создать новые ключи)

  • Не удалось расшифровать сообщения и заголовки пространств для:

    • Новые пользователи, добавленные в пространство (невозможно получить ключи)

    • Существующие пользователи в пространстве, использующие новый клиент (не удается получить ключи)

  • Существующие пользователи в пространстве будут продолжать успешно работать, пока в их клиентах будет сохранен кэш ключей шифрования

Важно надлежащим образом отслеживать кластер безопасности данных гибридного типа и своевременно реагировать на все предупреждения во избежание перебоев в работе службы.

Предупреждения

При возникновении проблем с настройкой безопасности данных гибридного типа партнерский центр отображает предупреждения администратору организации и отправляет электронные сообщения на настроенный адрес электронной почты. Предупреждения охватывают многие распространенные сценарии.

Таблица 1. Общие проблемы и действия по их устранению

Предупреждать

Действие

Ошибка доступа к локальной базе данных.

Проверьте наличие ошибок базы данных или проблем локальной сети.

Сбой подключения к локальной базе данных.

Убедитесь в доступности сервера базы данных и использовании правильных учетных данных учетной записи службы в конфигурации узла.

Сбой доступа к облачной службе.

Убедитесь, что узлы могут получить доступ к серверам Webex, как указано в разделе Требования к внешнему подключению.

Обновление регистрации облачной службы.

Регистрация в облачных службах прервана. Выполняется возобновление регистрации.

Регистрация для облачной службы прервана.

Регистрация в облачных службах прервана. Служба выключена.

Служба еще не активирована.

Активируйте HDS в партнерском центре.

Настроенный домен не соответствует сертификату сервера.

Убедитесь, что сертификат сервера соответствует настроенному домену активации службы.

Наиболее вероятная причина заключается в том, что CN сертификата недавно был изменен и теперь отличается от CN, использованного во время начальной настройки.

Не удалось выполнить аутентификацию в облачных службах.

Проверьте точность и возможный срок действия учетных данных службы.

Не удалось открыть файл локального хранилища ключей.

Проверка целостности и точности пароля в файле локального хранилища ключей.

Недействительный сертификат локального сервера.

Проверьте дату истечения срока действия сертификата сервера и убедитесь, что он был выдан доверенным центром сертификации.

Не удается опубликовать метрики.

Проверьте доступ локальной сети к внешним облачным службам.

Каталог /media/configdrive/hds не существует.

Проверьте конфигурацию подключения ISO на виртуальном хосте. Проверьте, существует ли файл ISO, настроен ли он для подключения при перезагрузке и успешно ли установлен.

Настройка организации клиента не завершена для добавленных организаций

Завершите настройку, создав CMK для вновь добавленных клиентских организаций с помощью инструмента настройки HDS.

Настройка организации клиента не завершена для удаленных организаций

Завершите настройку, отозвав CMK клиентских организаций, которые были удалены с помощью инструмента настройки HDS.

Устранение неполадок службы безопасности данных гибридного типа

При устранении неполадок со службой безопасности данных гибридного типа используйте приведенные ниже общие рекомендации.
1

Просмотрите в Partner Hub все предупреждения и исправьте все элементы, найденные в нем. Для справки см. изображение ниже.

2

Проверьте вывод сервера системных журналов для активности из развертывания службы безопасности данных гибридного типа. Используйте фильтр для таких слов, как "Предупреждение" и "Ошибка", чтобы помочь в устранении неполадок.

3

Обратитесь в службу поддержки Cisco.

Другие примечания

Известные проблемы безопасности данных гибридного типа

  • Если вы выключите кластер безопасности данных гибридного типа (удалив его в партнерском центре или выключив все узлы), потеряете файл конфигурации ISO или потеряете доступ к базе данных хранилища ключей, пользователи приложения Webex клиентских организаций больше не смогут использовать пространства в списке пользователей, созданных с помощью ключей из KMS. В настоящий момент для устранения этой проблемы нет обходного решения или решения. Мы настоятельно призываем вас не выключать службы HDS после обработки активных учетных записей пользователей.

  • Клиент с существующим подключением ECDH к KMS поддерживает это соединение в течение периода времени (вероятно, один час).

Использование OpenSSL для создания файла PKCS12

Перед началом работы

  • OpenSSL — это один из инструментов, который можно использовать для создания файла PKCS12 в соответствующем формате для загрузки в инструменте настройки HDS. Есть и другие способы сделать это, и мы не поддерживаем и не продвигаем друг друга.

  • Если вы решите использовать OpenSSL, мы предоставляем эту процедуру в качестве руководства для создания файла, который соответствует требованиям сертификата X.509 в разделе Требования к сертификату X.509. Прежде чем продолжить, ознакомьтесь с этими требованиями.

  • Установите OpenSSL в поддерживаемой среде. Информацию о программном обеспечении и документации см. в разделе https://www.openssl.org .

  • Создайте закрытый ключ.

  • Начните эту процедуру при получении сертификата сервера от центра сертификации (ЦС).

1

При получении сертификата сервера от ЦС сохраните его как hdsnode.pem.

2

Отобразите сертификат в виде текста и проверьте сведения.

openssl x509 -текст -noout -в hdsnode.pem

3

Используйте текстовый редактор для создания файла пакета сертификатов под названием hdsnode-bundle.pem. Пакетный файл должен включать сертификат сервера, все промежуточные сертификаты ЦС и корневые сертификаты ЦС в следующем формате:

-----BEGIN CERTIFICATE----- ### Сертификат сервера. ### -----END CERTIFICATE--------BEGIN CERTIFICATE----- ### Промежуточный сертификат ЦС. ### -----END CERTIFICATE-------BEGIN CERTIFICATE----- ### Корневой сертификат ЦС. ### -----END CERTIFICATE-----

4

Создайте файл .p12 с подходящим именем kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -в hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Проверьте сведения о сертификате сервера.

  1. openssl pkcs12 - в hdsnode.p12

  2. Введите пароль в окне запроса для шифрования закрытого ключа, чтобы он отображался в выводе. Затем убедитесь, что закрытый ключ и первый сертификат содержат строки friendlyName: kms-private-key.

    Пример.

    bash$ openssl pkcs12 -in hdsnode.p12 Введите пароль для импорта: MAC проверил атрибуты пакета "ОК" friendlyName: Идентификатор локального ключа kms-private-key : 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ключевые атрибуты:  Введите фразу пароля PEM: Проверка – введите фразу для доступа PEM: -----BEGIN ENCRYPTED PRIVATE KEY-----  -----END ENCRYPTED PRIVATE KEY------ Bag Attributes friendlyName: Идентификатор локального ключа kms-private-key : 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE-----

Дальнейшие действия

Вернитесь к разделу Выполнение предварительных требований для безопасности данных гибридного типа. Файл hdsnode.p12 и заданный для него пароль будут использоваться в разделе Создание конфигурации ISO для узлов HDS.

Эти файлы можно повторно использовать для запроса нового сертификата по истечении срока действия исходного сертификата.

Трафик между узлами HDS и облаком

Трафик сбора исходящих метрик

Узлы безопасности данных гибридного типа отправляют определенные метрики в облако Webex. К ним относятся системные метрики максимального количества подключений, использования максимального количества подключений, загрузки ЦП и количества потоков; метрики синхронных и асинхронных потоков; метрики оповещений о пороговом значении соединений шифрования, задержки или длины очереди запросов; метрики хранилища данных; и метрики подключения шифрования. Узлы отправляют зашифрованный ключ-материал по внеполосному каналу (отдельному от запроса).

Входящий трафик

Узлы безопасности данных гибридного типа получают из облака Webex следующие типы входящего трафика:

  • Запросы на шифрование от клиентов, которые маршрутизируются службой шифрования

  • Модернизация программного обеспечения узла

Настройка прокси Squid для безопасности данных гибридного типа

Невозможно выполнить подключение веб-сокетов через прокси Squid

Прокси Squid, которые проверяют трафик HTTPS, могут мешать созданию соединений веб-сокетов (wss:), которые необходимы службе безопасности данных гибридного типа. В указанных далее разделах приведены рекомендации по настройке различных версий Squid с целью игнорирования трафика wss: для обеспечения надлежащей работы служб.

Squid 4 и 5

Добавьте on_unsupported_protocol директиву в squid.conf:

on_unsupported_protocol туннель все

Squid 3.5.27

Служба безопасности данных гибридного типа успешно протестирована с указанными далее правилами, добавленными в squid.conf. Эти правила могут изменяться по мере разработки функций и обновления облака Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump соединение wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump просмотр step1 все ssl_bump просмотр step2 все ssl_bump bump3 все

Новая и измененная информация

Новая и измененная информация

В этой таблице описаны новые функции или функциональные возможности, изменения существующего контента, а также любые серьезные ошибки, исправленные в руководстве по развертыванию службы безопасности данных гибридного типа с несколькими клиентами.

Дата

Внесены изменения

8 января 2025 г.

Добавлено примечание в разделе Выполнение начальной настройки и скачивание файлов установки , в котором указано, что нажатие кнопки Настройка на карточке HDS в Partner Hub является важным этапом процесса установки.

7 января 2025 г.

Обновлены Требования к виртуальному узлу, Алгоритм выполнения задач по развертыванию службы безопасности данных гибридного типа и Установка OVA узла HDS для отображения новых требований ESXi 7.0.

13 декабря 2024 г.

Впервые опубликовано.

Деактивация службы безопасности данных гибридного типа с несколькими клиентами

Алгоритм выполнения задач по деактивации HDS с несколькими клиентами

Чтобы полностью деактивировать HDS с несколькими клиентами, выполните приведенные ниже действия.

Перед началом работы

Эту задачу должен выполнять только администратор партнера с полными правами.
1

Удалите всех клиентов из всех кластеров, как указано в разделе Удаление клиентских организаций.

2

Отозвать CMK всех клиентов, как указано в статье Отозвать CMK клиентов, удаленных из HDS.

3

Удалите все узлы из всех кластеров, как описано в разделе Удаление узла.

4

Удалите все кластеры из Partner Hub одним из следующих двух способов.

  • Щелкните кластер, который необходимо удалить, и выберите Удалить этот кластер в правом верхнем углу страницы обзора.
  • На странице "Ресурсы" щелкните ... в правой части кластера и выберите Удалить кластер.
5

Щелкните вкладку Настройки на странице обзора безопасности данных гибридного типа и щелкните Деактивировать HDS на карточке состояния HDS.

Начало работы с системой безопасности данных гибридного типа с поддержкой нескольких клиентов

Общие сведения о безопасности данных гибридного типа для нескольких клиентов

С самого начала безопасность данных была главной задачей при разработке приложения Webex. В основе этой безопасности лежит сквозное шифрование контента, которое включается клиентами приложения Webex, взаимодействующими со службой управления ключами (KMS). KMS отвечает за создание и управление криптографическими ключами, которые используются клиентами для динамического шифрования и расшифровки сообщений и файлов.

По умолчанию для всех клиентов приложения Webex обеспечивается сквозное шифрование с использованием динамических ключей, которые хранятся в облаке KMS в области безопасности Cisco. Служба безопасности данных гибридного типа перемещает KMS и другие функции безопасности в корпоративный центр обработки данных, поэтому доступ к ключам для зашифрованного контента будет только у вас.

Служба безопасности данных гибридного типа с поддержкой нескольких клиентов позволяет организациям использовать HDS через доверенного локального партнера, который может выполнять функции поставщика услуг и управлять локальным шифрованием и другими службами безопасности. Эта настройка позволяет партнерской организации осуществлять полный контроль над развертыванием ключей шифрования и управлением ими, а также обеспечивает безопасность данных пользователей клиентских организаций от внешнего доступа. Партнерские организации настраивают экземпляры HDS и при необходимости создают кластеры HDS. Каждый экземпляр может поддерживать несколько клиентских организаций, в отличие от обычного развертывания HDS, которое ограничено одной организацией.

Партнерские организации контролируют развертывание и управление, однако у них нет доступа к данным и контенту, созданным клиентами. Этот доступ ограничен клиентскими организациями и их пользователями.

Это также позволяет небольшим организациям использовать HDS, поскольку служба управления ключами и инфраструктура безопасности, например центры обработки данных, принадлежат доверенному локальному партнеру.

Как служба безопасности данных гибридного типа с несколькими клиентами обеспечивает суверенитет и управление данными

  • Созданный пользователем контент защищен от внешнего доступа, например от поставщиков облачных услуг.
  • Локальные доверенные партнеры управляют ключами шифрования клиентов, с которыми они уже установили взаимоотношения.
  • Параметр для локальной технической поддержки, если она предоставлена партнером.
  • Поддержка контента совещаний, обмена сообщениями и вызовов.

Этот документ предназначен для помощи партнерским организациям в настройке клиентов и управлении ими в системе безопасности данных гибридного типа с несколькими клиентами.

Роли в службе безопасности данных гибридного типа с несколькими клиентами

  • Администратор партнера с полными правами : может управлять настройками для всех клиентов, которыми управляет партнер. Также может назначать роли администратора существующим пользователям в организации и назначать определенных клиентов, которыми будут управлять администраторы партнера.
  • Администратор партнера . Может управлять настройками клиентов, подготовленных администратором или назначенных пользователю.
  • Администратор с полными правами . Администратор партнерской организации, уполномоченный выполнять такие задачи, как изменение настроек организации, управление лицензиями и назначение ролей.
  • Сквозная настройка HDS с несколькими клиентами и управление ими всех клиентских организаций . Требуются права администратора партнера с полными правами и администратора с полными правами.
  • Управление назначенными организациями клиента : требуются права администратора партнера и полного администратора.

Архитектура области безопасности

Облачная архитектура Webex разбивает различные типы служб на отдельные области или домены доверия, как показано ниже.

Области разделения (без службы безопасности данных гибридного типа)

Чтобы получить дополнительные сведения о безопасности данных гибридного типа, давайте сначала рассмотрим этот облачный случай, в котором компания Cisco предоставляет все функции в облачных областях. Служба удостоверений – единственное место, где пользователи могут напрямую соотнести с их персональной информацией, такой как адрес электронной почты, логически и физически отделена от области безопасности в центре обработки данных B. Обе службы в свою очередь отделены от области, в которой в конечном итоге хранится зашифрованный контент, в центре обработки данных C.

На этой схеме клиент представляет собой приложение Webex, запущенное на ноутбуке пользователя и прошедшее аутентификацию с помощью службы удостоверений. При написании пользователем сообщения для отправки в пространство выполняются следующие действия.

  1. Клиент устанавливает безопасное соединение со службой управления ключами (KMS), затем запрашивает ключ для шифрования сообщения. Защищенное соединение использует ECDH, а KMS шифрует ключ с помощью главного ключа AES-256.

  2. Сообщение шифруется до выхода из клиента. Клиент отправляет его в службу индексации, которая создает зашифрованные индексы поиска для помощи в будущих поисковых запросах контента.

  3. Зашифрованное сообщение отправляется в службу обеспечения соответствия для проверки соответствия.

  4. Зашифрованное сообщение хранится в области хранилища.

При развертывании службы безопасности данных гибридного типа функции области безопасности (KMS, индексация и соответствие требованиям) перемещаются в локальный центр обработки данных. Другие облачные службы, которые составляют Webex (включая идентификационные данные и хранилище контента), остаются в сферах Cisco.

Сотрудничество с Другими Организациями

Пользователи в вашей организации могут регулярно использовать приложение Webex для совместной работы с внешними участниками из других организаций. Когда один из пользователей запрашивает ключ для пространства, принадлежащего вашей организации (поскольку он был создан одним из пользователей), KMS отправляет ключ клиенту по защищенному каналу ECDH. Однако если ключ для пространства принадлежит другой организации, KMS перенаправляет запрос в облако Webex через отдельный канал ECDH для получения ключа от соответствующего KMS, а затем возвращает ключ пользователю в исходном канале.

Служба KMS, запущенная в организации A, проверяет подключения к KMS в других организациях с помощью сертификатов PKI x.509. Подробные сведения о создании сертификата x.509 для использования с развертыванием службы безопасности данных гибридного типа с несколькими клиентами см. в статье Подготовка среды .

Ожидания развертывания службы безопасности данных гибридного типа

Развертывание службы безопасности данных гибридного типа требует значительных обязательств и осознания рисков, связанных с хранением ключей шифрования.

Для развертывания службы безопасности данных гибридного типа необходимо предоставить:

Полная потеря конфигурации ISO, созданной для службы безопасности данных гибридного типа, или предоставленной базы данных приведет к потере ключей. Потеря ключей предотвращает расшифровку контента пространства и других зашифрованных данных в приложении Webex пользователями. В этом случае можно создать новое развертывание, однако будет отображаться только новый контент. Во избежание потери доступа к данным необходимо выполнить приведенные ниже действия.

  • Управление резервным копированием и восстановлением базы данных и конфигурации ISO.

  • Будьте готовы к быстрому аварийному восстановлению в случае аварии, например, сбою диска базы данных или сбою центра обработки данных.

Механизм для перемещения ключей обратно в облако после развертывания HDS отсутствует.

Высокоуровневый процесс настройки

В этом документе описана настройка и управление развертыванием службы безопасности данных гибридного типа с несколькими клиентами.

  • Настройка безопасности данных гибридного типа. Это включает подготовку необходимой инфраструктуры и установку программного обеспечения безопасности данных гибридного типа, создание кластера HDS, добавление клиентских организаций в кластер и управление их главными ключами клиента (CMK). Это позволит всем пользователям клиентских организаций использовать кластер безопасности данных гибридного типа для функций безопасности.

    Этапы настройки, активации и управления подробно описаны в следующих трех главах.

  • Поддержка развертывания службы безопасности данных гибридного типа: облако Webex автоматически обеспечивает непрерывную модернизацию. Ваш отдел ИТ может предоставлять поддержку первого уровня для этого развертывания и при необходимости привлекать поддержку Cisco. В Partner Hub можно использовать экранные уведомления и настроить предупреждения на основе электронной почты.

  • Общие предупреждения, действия по устранению неполадок и известные проблемы. При возникновении проблем с развертыванием или использованием службы безопасности данных гибридного типа можно определить и устранить проблему с помощью последней главы этого руководства и приложения "Известные проблемы".

Модель развертывания службы безопасности данных гибридного типа

В корпоративном центре обработки данных служба безопасности данных гибридного типа будет развернута в виде одного кластера узлов на отдельных виртуальных узлах. Узлы связываются с облаком Webex с помощью защищенных веб-сокетов и защищенного HTTP.

Во время процесса установки предоставляется файл OVA для настройки виртуального устройства на предоставленных вами виртуальных машинах. Инструмент настройки HDS используется для создания пользовательского файла конфигурации кластера ISO, который устанавливается на каждом узле. Кластер безопасности данных гибридного типа использует предоставленный сервер Syslogd и базу данных PostgreSQL или Microsoft SQL Server. (Сведения о соединении Syslogd и базы данных можно настроить в инструменте настройки HDS.)

Модель развертывания службы безопасности данных гибридного типа

Минимальное количество узлов в кластере: два. Рекомендуется не менее трех на кластер. Наличие нескольких узлов гарантирует, что во время модернизации программного обеспечения или других действий по техническому обслуживанию узла служба не будет прерываться. (Облако Webex модернизирует только один узел за раз.)

Все узлы в кластере имеют доступ к одному хранилищу данных и активности журналов на один и тот же сервер системных журналов. Сами узлы не имеют состояния и обрабатывают запросы на ключ в циклическом порядке, как направляется облаком.

Узлы становятся активными при регистрации в партнерском центре. Чтобы вывести отдельный узел из эксплуатации, можно отменить его регистрацию, а затем, при необходимости, повторно зарегистрировать его.

Резервный центр обработки данных для аварийного восстановления

Во время развертывания вы настраиваете защищенный резервный центр обработки данных. В случае аварии центра обработки данных можно вручную перенести развертывание на резервный центр обработки данных.

Перед отказом в центре обработки данных A есть активные узлы HDS и основная база данных PostgreSQL или Microsoft SQL Server, в то время как в B есть копия файла ISO с дополнительными конфигурациями, ВМ, зарегистрированные в организации, и резервная база данных. После отработки отказа центр обработки данных B имеет активные узлы HDS и основную базу данных, в то время как у A есть незарегистрированные виртуальные машины и копия файла ISO, а база данных находится в режиме ожидания.
Ручное переключение на резервный центр обработки данных

Базы данных активных и резервных центров обработки данных синхронизируются друг с другом, что позволит свести к минимуму время, затрачиваемое на выполнение отработки отказа.

Активные узлы безопасности данных гибридного типа всегда должны находиться в одном центре обработки данных с активным сервером базы данных.

Поддержка прокси

Служба безопасности данных гибридного типа поддерживает явные прокси, прозрачные прокси с проверкой и прокси без проверки. Чтобы обеспечить защиту и мониторинг трафика из сети предприятия в облако, можно связать эти прокси с развертыванием. После настройки прокси на узлах административный интерфейс платформы на узлах можно использовать для управления сертификатами и просмотра общего состояния соединений.

Узлы безопасности данных гибридного типа поддерживают указанные далее параметры прокси.

  • Нет прокси. Значение по умолчанию, если для интеграции прокси не используется конфигурация доверенного хранилища и прокси для настройки узла HDS. Обновление сертификата не требуется.

  • Прозрачный прокси без проверки. Узлы не настроены для использования адреса определенного прокси-сервера и не должны требовать каких-либо изменений для работы с прокси без проверки. Обновление сертификата не требуется.

  • Прозрачный туннелирование или прокси с проверкой. Узлы не настроены для использования адреса определенного прокси-сервера. На узлах не нужно изменять конфигурацию HTTP или HTTPS. Как бы то ни было, для обеспечения доверия прокси узлам необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже HTTPS).

  • Явный прокси. При использовании явного прокси необходимо указать прокси-сервер и схему аутентификации узлам HDS. Для настройки явного прокси на каждом узле нужно ввести следующую информацию.

    1. IP/FQDN прокси. Адрес, который можно использовать для связи с прокси-машиной.

    2. Порт прокси. Номер порта, который прокси использует для прослушивания прокси-трафика.

    3. Proxy Protocol (Протокол прокси). В зависимости от поддержки прокси-сервера выберите один из следующих протоколов.

      • HTTP – просматривает все запросы, отправляемые клиентом, и управляет этими запросами.

      • HTTPS – обеспечивает работу канала связи с сервером. Клиент получает и проверяет сертификат сервера.

    4. Тип аутентификации: выберите один из приведенных ниже типов аутентификации.

      • Нет. Дальнейшая аутентификация не требуется.

        Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.

      • Базовый: используется для агента пользователя HTTP для указания имени пользователя и пароля при совершении запроса. Использует кодировку Base64.

        Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.

        Требует ввода имени пользователя и пароля на каждом узле.

      • Дайджест. Используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети.

        Этот параметр доступен только в том случае, если в качестве протокола прокси выбран протокол HTTPS.

        Требует ввода имени пользователя и пароля на каждом узле.

Пример узлов безопасности данных гибридного типа и прокси

На этой схеме представлен пример соединения между системой безопасности данных гибридного типа, сетью и прокси. При использовании прозрачного прокси с проверкой или явного прокси с проверкой HTTPS на прокси и узлы безопасности данных гибридного типа необходимо установить один и тот же корневой сертификат.

Режим блокировки разрешения внешних DNS (конфигурации явного прокси)

При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. В развертываниях с конфигурациями явного прокси, которые не допускают разрешения внешних DNS для внутренних клиентов, если узел не может посылать запросы на DNS-серверы, он автоматически переходит в режим блокировки разрешения внешних DNS. В этом режиме можно продолжить регистрацию узла и другие тестирования подключения к прокси.

Подготовка среды

Требования к безопасности данных гибридного типа с несколькими клиентами

Требования к лицензии Cisco Webex

Развертывание службы безопасности данных гибридного типа с несколькими клиентами.

  • Партнерские организации: Обратитесь к своему партнеру Cisco или менеджеру по работе с клиентами и убедитесь, что функция "Несколько клиентов" включена.

  • Организации клиентов: Необходима профессиональная версия Cisco Webex Control Hub. См. https://www.cisco.com/go/pro-pack.

Требования к рабочему столу Docker

Перед установкой узлов HDS необходимо запустить программу настройки с помощью Docker Desktop. Docker недавно обновил свою модель лицензирования. Для вашей организации может потребоваться платная подписка на Docker Desktop. Подробности см. в записи блога Docker, " Docker обновляет и расширяет подписки на продукты".

Требования к сертификату X.509

Цепочка сертификатов должна соответствовать следующим требованиям:

Таблица 1. Требования к сертификату X.509 для развертывания системы безопасности данных гибридного типа

Требование

Подробности

  • Подписано доверенным центром сертификации (ЦС)

По умолчанию мы доверяем ЦС в списке Mozilla (за исключением WoSign и StartCom) по адресу https://wiki.mozilla.org/CA:IncludedCAs.

  • Носит доменное имя общего имени (CN), идентифицирующее развертывание службы безопасности данных гибридного типа.

  • Не является групповым сертификатом

CN не требуется, чтобы он был доступен или был организатором в режиме реального времени. Рекомендуется использовать название, отражающее вашу организацию, например hds.company.com.

CN не должен содержать * (подстановочный знак).

CN используется для проверки узлов безопасности данных гибридного типа для клиентов приложения Webex. Все узлы безопасности данных гибридного типа в кластере используют один и тот же сертификат. Ваш KMS идентифицирует себя с помощью домена CN, а не любого домена, определенного в полях SAN x.509v3.

После регистрации узла с этим сертификатом изменение доменного имени CN не поддерживается.

  • Подпись без SHA1

Программное обеспечение KMS не поддерживает подписи SHA1 для проверки подключений к KMS других организаций.

  • Отформатирован в виде файла PKCS #12, защищенного паролем

  • Используйте понятное имя kms-private-key для тегов сертификата, закрытого ключа и всех промежуточных сертификатов для загрузки.

Для изменения формата сертификата можно использовать преобразователь, например OpenSSL.

При запуске инструмента настройки HDS потребуется ввести пароль.

Программное обеспечение KMS не обеспечивает принудительное использование ключа или расширенные ограничения на его использование. Некоторые центры сертификации требуют, чтобы к каждому сертификату применялись расширенные ограничения на использование ключей, например аутентификация сервера. Использовать аутентификацию сервера или другие настройки можно.

Требования к виртуальному организатору

Виртуальные узлы, которые будут настроены в качестве узлов безопасности данных гибридного типа в кластере, имеют следующие требования:

  • По крайней мере два отдельных узла (рекомендуется 3) размещены в одном защищенном центре обработки данных

  • Установлена и запущена VMware ESXi 7.0 (или более поздняя версия).

    При наличии более ранней версии ESXi необходимо выполнить модернизацию.

  • Минимум 4 ЦП, 8 ГБ основной памяти, 30 ГБ локального жесткого диска на сервер

Требования к серверу базы данных

Создайте новую базу данных для хранилища ключей. Не используйте базу данных по умолчанию. Приложения HDS при установке создают схему базы данных.

Существует два варианта сервера баз данных. Требования для каждого из них приведены ниже.

Таблица 2. Требования к серверу базы данных в разрезе типов базы данных

PostgreSQL

Сервер Microsoft SQL

  • Установленный и запущенный PostgreSQL 14, 15 или 16.

  • Установлен SQL Server 2016, 2017 или 2019 (корпоративный или стандартный).

    Для SQL Server 2016 требуется пакет обновления 2 и накопительное обновление 2 или более поздняя версия.

Минимум 8 виртуальных ЦП, 16 ГБ основной памяти, достаточное пространство на жестком диске и мониторинг для обеспечения его отсутствия (рекомендуется 2 ТБ, если необходимо запустить базу данных в течение длительного времени без увеличения объема хранилища)

Минимум 8 виртуальных ЦП, 16 ГБ основной памяти, достаточное пространство на жестком диске и мониторинг для обеспечения его отсутствия (рекомендуется 2 ТБ, если необходимо запустить базу данных в течение длительного времени без увеличения объема хранилища)

Программное обеспечение HDS в настоящее время устанавливает следующие версии драйверов для связи с сервером базы данных:

PostgreSQL

Сервер Microsoft SQL

Драйвер JDBC Postgres 42.2.5

Драйвер JDBC 4.6 для SQL-сервера

Эта версия драйвера поддерживает SQL Server Always On (экземпляры отказоустойчивого кластера и группы доступности Always On).

Дополнительные требования для аутентификации Windows на Microsoft SQL Server

Если необходимо, чтобы узлы HDS использовали аутентификацию Windows для получения доступа к базе данных хранилища ключей на Microsoft SQL Server, в вашей среде потребуется следующая конфигурация:

  • Узлы HDS, инфраструктура Active Directory и сервер MS SQL должны быть синхронизированы с NTP.

  • Учетная запись Windows, которую вы предоставляете узлам HDS, должна иметь доступ к базе данных для чтения и записи.

  • Серверы DNS, предоставляемые узлам HDS, должны иметь возможность разрешать центр распределения ключей (KDC).

  • Экземпляр базы данных HDS можно зарегистрировать на сервере Microsoft SQL в качестве главного имени службы (SPN) в Active Directory. См. статью Регистрация имени участника службы для Kerberos Connections.

    Инструмент настройки HDS, программа запуска HDS и локальный KMS должны использовать аутентификацию Windows для доступа к базе данных хранилища ключей. Они используют сведения из конфигурации ISO для создания SPN при запросе доступа с аутентификацией Kerberos.

Требования к внешнему подключению

Настройте брандмауэр, чтобы разрешить следующее подключение для приложений HDS:

Приложение

Протокол

Порт

Направление из приложения

Адресат

Узлы безопасности данных гибридного типа

Протокол TCP

443

Исходящие HTTPS и WSS

  • Серверы Webex:

    • *.wbx2.com

    • *.ciscospark.com

  • Все хосты Common Identity

  • Другие URL-адреса, перечисленные для службы безопасности данных гибридного типа в таблице Дополнительные URL-адреса для служб гибридного типа Webex раздела Требования к сети для служб Webex

Инструмент настройки HDS

Протокол TCP

443

HTTPS для исходящих вызовов

  • *.wbx2.com

  • Все хосты Common Identity

  • hub.docker.com

Узлы безопасности данных гибридного типа работают с преобразованием сетевого доступа (NAT) или за брандмауэром, если NAT или брандмауэр допускает необходимые исходящие соединения с адресатами домена в таблице выше. Для соединений, поступающих на узлы безопасности данных гибридного типа, порты не должны отображаться из Интернета. В центре обработки данных клиентам необходим доступ к узлам безопасности данных гибридного типа на портах 443 и 22 TCP в административных целях.

URL-адреса узлов общих параметров идентификации (CI) специфичны для региона. Ниже приведены текущие узлы CI.

Регион

URL-адреса хостов общих параметров идентификации

Северная и Южная Америка

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Европейский союз

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Канада

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Сингапур

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Объединенные Арабские Эмираты

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Требования к прокси-серверу

  • Мы официально поддерживаем следующие решения для прокси, которые можно интегрировать с узлами безопасности данных гибридного типа:

  • Поддерживаются следующие комбинации типов аутентификации для явных прокси:

    • без аутентификации при использовании HTTP или HTTPS;

    • базовая аутентификация при использовании HTTP или HTTPS;

    • дайджест-аутентификация только при использовании HTTPS;

  • При наличии прозрачного прокси с проверкой или явного прокси HTTPS необходимо иметь копию корневого сертификата прокси. Инструкции по развертыванию, приведенные в этом руководстве, содержат информацию о том, как загрузить эту копию в зоны доверия узлов безопасности данных гибридного типа.

  • Сеть, в которой размещены узлы HDS, должна обеспечивать принудительную маршрутизацию исходящего трафика TCP на порте 443 через прокси.

  • Прокси, проверяющие веб-трафик, могут нарушать работу соединений веб-сокетов. Для устранения этой проблемы трафик следует направить в обход (без проверки) на wbx2.com и *.teams.webex.com.

Выполнение предварительных требований для службы безопасности данных гибридного типа

Используйте этот перечень действий, чтобы убедиться в готовности к установке и настройке кластера безопасности данных гибридного типа.
1

Убедитесь, что в партнерской организации включена функция HDS с несколькими клиентами, и получите учетные данные учетной записи с полными правами администратора партнера и полными правами администратора. Убедитесь, что для клиентской организации Webex включена профессиональная версия Cisco Webex Control Hub. Обратитесь за помощью к своему партнеру Cisco или менеджеру по работе с клиентами.

У клиентских организаций не должно быть существующего развертывания HDS.

2

Выберите имя домена для развертывания HDS (например, hds.company.com) и получите цепочку сертификатов, содержащую сертификат X.509, закрытый ключ и любые промежуточные сертификаты. Цепочка сертификатов должна соответствовать требованиям, указанным в разделе Требования к сертификатам X.509.

3

Подготовьте идентичные виртуальные узлы, которые будут настроены в качестве узлов безопасности данных гибридного типа в кластере. Необходимо разместить не менее двух отдельных организаторов (рекомендуется 3) в одном и том же защищенном центре обработки данных, который соответствует требованиям в разделе Требования к виртуальному организатору.

4

Подготовьте сервер базы данных, который будет использоваться в качестве хранилища ключевых данных для кластера в соответствии с требованиями сервера базы данных. Сервер базы данных должен быть размещен в защищенном центре обработки данных с виртуальными хостами.

  1. Создайте базу данных для хранилища ключей. (Необходимо создать эту базу данных. Не используйте базу данных по умолчанию. Приложения HDS при установке создают схему базы данных.)

  2. Соберите сведения, которые узлы будут использовать для связи с сервером базы данных.

    • имя хоста или IP-адрес (хост) и порт

    • имя базы данных (dbname) для хранилища ключей

    • имя пользователя и пароль пользователя со всеми правами в базе данных хранилища ключей

5

Для быстрого аварийного восстановления настройте резервную среду в другом центре обработки данных. Резервная среда дублирует производственную среду виртуальных машин и сервер базы данных резервного копирования. Например, если в производственной среде есть 3 виртуальных машины с узлами HDS, резервная среда должна иметь 3 виртуальных машины.

6

Настройте узел системного журнала для сбора журналов с узлов в кластере. Соберите сетевой адрес и порт системного журнала (по умолчанию UDP 514).

7

Создайте политику безопасного резервного копирования для узлов безопасности данных гибридного типа, сервера базы данных и узла системного журнала. Как минимум, чтобы предотвратить необратимую потерю данных, необходимо создать резервную копию базы данных и файла конфигурации ISO, созданного для узлов безопасности данных гибридного типа.

Поскольку узлы безопасности данных гибридного типа хранят ключи, используемые при шифровании и расшифровке контента, невыполнение оперативного развертывания приведет к НЕОБРАТИМОЙ ПОТЕРЕ этого контента.

Клиенты приложения Webex кэшируют свои ключи, поэтому сбои могут не сразу стать заметными, но со временем станут очевидными. Временные перебои невозможно предотвратить, но их можно восстановить. Однако полная потеря базы данных или файла конфигурации ISO (нет доступных резервных копий) приведет к невозможности восстановления данных клиента. Ожидается, что операторы узлов безопасности данных гибридного типа осуществляют частые резервные копии базы данных и файла конфигурации ISO и будут готовы к обновлению центра обработки данных службы безопасности данных гибридного типа в случае катастрофической ошибки.

8

Убедитесь, что конфигурация брандмауэра разрешает соединение для узлов безопасности данных гибридного типа, как описано в разделе Требования к внешнему подключению.

9

Установите Docker (https://www.docker.com) на любом локальном компьютере, на котором запущена поддерживаемая ОС (64-разрядная версия Microsoft Windows 10 Professional или Enterprise или Mac OSX Yosemite 10.10.3 или более поздняя версия) с веб-браузером, с помощью которого можно получить доступ на странице http://127.0.0.1:8080.

Экземпляр Docker используется для скачивания и запуска инструмента настройки HDS, который создает информацию локальной конфигурации для всех узлов безопасности данных гибридного типа. Вам может понадобиться лицензия Docker Desktop. Дополнительную информацию см. в статье Требования к рабочему столу Docker .

Для установки и запуска инструмента настройки HDS локальная машина должна иметь подключение, описанное в разделе Требования к внешнему подключению.

10

При интеграции прокси с системой безопасности данных гибридного типа убедитесь, что он соответствует требованиям к прокси-серверу.

Настройка кластера безопасности данных гибридного типа

Алгоритм выполнения задач по развертыванию службы безопасности данных гибридного типа

Перед началом работы

1

Выполните начальную настройку и скачайте файлы установки

Скачайте файл OVA на локальный компьютер для дальнейшего использования.

2

Создание ISO конфигурации для узлов HDS

Используйте инструмент настройки HDS для создания файла конфигурации ISO для узлов безопасности данных гибридного типа.

3

Установка файла OVA узла HDS

Создайте виртуальную машину из файла OVA и выполните начальную конфигурацию, например параметры сети.

Параметр настройки сети во время развертывания OVA протестирован с помощью ESXi 7.0. Этот параметр может быть недоступен в более ранних версиях.

4

Настройка виртуальной машины безопасности данных гибридного типа

Войдите в консоль виртуальной машины и задайте учетные данные для входа. Настройте параметры сети для узла, если они не были настроены во время развертывания файла OVA.

5

Загрузка и установка ISO конфигурации HDS

Настройте виртуальную машину из файла конфигурации ISO, созданного с помощью инструмента настройки HDS.

6

Настройка узла HDS для интеграции прокси

Если в сетевой среде требуется конфигурация прокси, укажите тип прокси, который будет использоваться для узла, и при необходимости добавьте сертификат прокси в доверенное хранилище.

7

Регистрация первого узла в кластере

Зарегистрируйте виртуальную машину в облаке Cisco Webex в качестве узла безопасности данных гибридного типа.

8

Создать и зарегистрировать другие узлы

Завершите настройку кластера.

9

Активируйте HDS с несколькими клиентами в Partner Hub.

Активируйте HDS и управляйте организациями клиентов в Partner Hub.

Выполните начальную настройку и скачайте файлы установки

В этой задаче вы скачаете файл OVA на свой компьютер (а не на серверы, настроенные в качестве узлов безопасности данных гибридного типа). Этот файл будет использован позже в процессе установки.

1

Войдите в Partner Hub и щелкните Службы.

2

В разделе облачных служб найдите карточку безопасности данных гибридного типа и щелкните Настройка.

Нажатие кнопки Настройка в партнерском центре имеет решающее значение для процесса развертывания. Не продолжайте установку без завершения этого шага.

3

Щелкните Добавить ресурс и щелкните Скачать файл OVA на карточке Установка и настройка программного обеспечения .

Более ранние версии пакета программного обеспечения (OVA) не будут совместимы с последними модернизациями безопасности данных гибридного типа. Это может привести к ошибкам во время модернизации приложения. Убедитесь, что скачано последнюю версию файла OVA.

Кроме того, файл OVA можно скачать в любой момент в разделе Справка . Щелкните Настройки > Справка > Скачать программное обеспечение безопасности данных гибридного типа.

Скачивание файла OVA начнется автоматически. Сохраните файл в местоположении на своем компьютере.
4

При необходимости щелкните Просмотреть руководство по развертыванию службы безопасности данных гибридного типа , чтобы проверить доступность более поздней версии этого руководства.

Создание ISO конфигурации для узлов HDS

Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.

Прежде чем начать
1

Введите соответствующую команду для вашей среды в командной строке компьютера.

В обычных средах:

docker rmi ciscocitg/hds-setup:stable

В средах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать.

2

Чтобы войти в реестр образов Docker, введите следующее.

docker login -u hdscustomersro
3

Введите в запросе пароля этот хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Скачайте последнюю стабильную версию образа для вашей среды.

В обычных средах:

docker pull ciscocitg/hds-setup:stable

В средах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

По завершении скачивания введите соответствующую команду для вашей среды.

  • В обычных средах без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • В обычных средах с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В обычных средах с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В средах FedRAMP без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

6

Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу.

Перейдите к локальному узлу http://127.0.0.1:8080 с помощью веб-браузера и введите имя пользователя администратора для Partner Hub в окне подсказки.

Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартную подсказку для входа в систему.

7

При отображении соответствующего запроса введите учетные данные для входа администратора Partner Hub и щелкните Войти , чтобы разрешить доступ к необходимым службам для службы безопасности данных гибридного типа.

8

На странице обзора инструмента настройки щелкните Начало работы.

9

На странице Импорт ISO доступны следующие параметры.

  • Нет. Если вы создаете первый узел HDS, у вас нет файла ISO для загрузки.
  • Да. Если вы уже создали узлы HDS, выберите файл ISO в окне просмотра и загрузите его.
10

Проверьте, соответствует ли сертификат X.509 требованиям к сертификатам X.509.

  • Если сертификат ранее не загружался, загрузите сертификат X.509, введите пароль и щелкните Продолжить.
  • Если сертификат в ОК, щелкните Продолжить.
  • Если срок действия сертификата истек или вы хотите заменить его, выберите Нет для параметра Продолжить использование цепочки сертификатов HDS и закрытого ключа из предыдущего ISO?. Загрузите новый сертификат X.509, введите пароль и щелкните Продолжить.
11

Введите адрес базы данных и учетную запись HDS для доступа к хранилищу данных ключей:

  1. Выберите Тип базы данных (PostgreSQL или Microsoft SQL Server).

    При выборе Microsoft SQL Server появится поле "Тип аутентификации".

  2. (Только Microsoft SQL Server ) Выберите Тип аутентификации.

    • Базовая аутентификация. В поле Имя пользователя необходимо указать имя учетной записи локального сервера SQL.

    • Аутентификация Windows. Необходима учетная запись Windows в формате имя_пользователя@ДОМЕН в поле Имя_пользователя .

  3. Введите адрес сервера базы данных в форме : или :.

    Пример.
    dbhost.example.org:1433 или 198.51.100.17:1433

    Если узлы не могут использовать DNS для разрешения имени узла, можно использовать IP-адрес для базовой аутентификации.

    При использовании аутентификации Windows необходимо ввести полное доменное имя в формате dbhost.example.org:1433

  4. Введите имя базы данных.

  5. Введите имя пользователя и пароль пользователя со всеми правами в базе данных хранилища ключей.

12

Выберите Режим подключения к базе данных TLS.

Mode

Описание

Предпочтительное использование TLS (параметр по умолчанию)

Узлам HDS не требуется TLS для подключения к серверу базы данных. Если на сервере базы данных включить TLS, узлы попытаются установить зашифрованное соединение.

Обязательное использование TLS

Подключение узлов HDS будет выполнено только в том случае, если сервер базы данных может согласовывать использование TLS.

Обязательное использование TLS и проверка источника подписи сертификата

Этот режим неприменим к базам данных SQL Server.

  • Подключение узлов HDS будет выполнено только в том случае, если сервер базы данных может согласовывать использование TLS.

  • После установления соединения TLS узел сравнивает подписавшего сертификат сервера базы данных с центром сертификации в корневом сертификате базы данных. При отсутствии совпадения узел разорвет соединение.

Воспользуйтесь элементом управления корневым сертификатом базы данных под раскрывающимся списком, чтобы загрузить корневой сертификат для этого параметра.

Обязательное использование TLS и проверка источника подписи сертификата и имени узла

  • Подключение узлов HDS будет выполнено только в том случае, если сервер базы данных может согласовывать использование TLS.

  • После установления соединения TLS узел сравнивает подписавшего сертификат сервера базы данных с центром сертификации в корневом сертификате базы данных. При отсутствии совпадения узел разорвет соединение.

  • Узлы также проверяют, совпадает ли имя узла в сертификате сервера с именем узла в поле Узел базы данных и порт . Необходимо точное совпадение имен. Иначе узел разорвет соединение.

Воспользуйтесь элементом управления корневым сертификатом базы данных под раскрывающимся списком, чтобы загрузить корневой сертификат для этого параметра.

При загрузке корневого сертификата (при необходимости) и нажатии Продолжить инструмент настройки HDS тестирует подключение TLS к серверу базы данных. Инструмент также выполняет проверку источника подписи сертификата и имени узла (если применимо). Если тест не будет пройден, в инструменте будет отображено сообщение об ошибке с описанием проблемы. Можно выбрать параметр игнорирования ошибки и продолжить настройку. (Из-за различий соединения узлы HDS могут установить соединение TLS, даже если машина средства настройки HDS не может успешно протестировать его.)

13

На странице «Системные журналы» настройте сервер Syslogd:

  1. Введите URL-адрес сервера системного журнала.

    Если сервер не может разрешить DNS из узлов для кластера HDS, используйте IP-адрес в URL.

    Пример.
    udp://10.92.43.23:514 означает вход в хост Syslogd 10.92.43.23 на порте UDP 514.

  2. Если вы настроили на сервере использование шифрования TLS, установите флажок Настроен ли сервер системного журнала для шифрования SSL?.

    Если установить этот флажок, необходимо ввести URL-адрес TCP, например tcp://10.92.43.23:514.

  3. В раскрывающемся списке Выберите прекращение записи системного журнала выберите соответствующую настройку для файла ISO. Выбор или новая линия используется для TCP-протокола Graylog и Rsyslog

    • Нулевой байт -- \x00

    • Новая линия -- \n: выберите этот вариант для TCP-протокола Graylog и Rsyslog.

  4. Щелкните Продолжить.

14

(Необязательно) Можно изменить значение по умолчанию для некоторых параметров подключения к базе данных в разделе Расширенные настройки. Как правило, этот параметр является единственным, который необходимо изменить:

app_datasource_connection_pool_maxРазмер: 10
15

Щелкните Продолжить на экране Сброс пароля учетных записей службы .

Срок действия паролей учетных записей службы составляет девять месяцев. Используйте этот экран, когда срок действия паролей скоро истечет или вы хотите сбросить их, чтобы сделать предыдущие файлы ISO недействительными.

16

Щелкните Скачать файл ISO. Сохраните файл в удобном для поиска местоположении.

17

Сделайте резервную копию файла ISO в локальной системе.

Обеспечьте безопасность резервного копирования. Этот файл содержит главный ключ шифрования для содержимого базы данных. Ограничьте доступ только тем администраторам службы безопасности данных гибридного типа, которые должны вносить изменения в конфигурацию.

18

Чтобы завершить работу инструмента настройки, нажмите CTRL+C.

Дальнейшие действия

Создайте резервную копию файла конфигурации ISO. Это необходимо для создания дополнительных узлов для восстановления или внесения изменений в конфигурацию. В случае утери всех копий файла ISO также был утрачен главный ключ. Невозможно восстановить ключи из базы данных PostgreSQL или Microsoft SQL Server.

У нас никогда не будет копии этого ключа, и мы не можем помочь, если вы его потеряете.

Установка файла OVA узла HDS

Используйте эту процедуру для создания виртуальной машины из файла OVA.
1

Используйте клиент VMware vSphere на компьютере для входа в виртуальный хост ESXi.

2

Выберите Файл > Развернуть шаблон OVF.

3

В мастере укажите расположение скачанного ранее файла OVA и щелкните Далее.

4

На странице Выберите имя и папку введите имя виртуальной машины для узла (например, "HDS_Node_1"), выберите местоположение, в котором может находиться развертывание узла виртуальной машины, и щелкните Далее.

5

На странице Выбор вычислительного ресурса выберите целевой вычислительный ресурс и щелкните Далее.

Выполняется проверка. По завершении отобразятся сведения о шаблоне.

6

Проверьте сведения о шаблоне и щелкните Далее.

7

При появлении запроса на выбор конфигурации ресурса на странице Конфигурация щелкните 4 ЦП , а затем щелкните Далее.

8

На странице Выбор хранилища щелкните Далее , чтобы принять формат диска по умолчанию и политику хранилища виртуальной машины.

9

На странице Выбор сетей выберите параметр сети из списка записей, чтобы обеспечить необходимое подключение к виртуальной машине.

10

На странице Настройка шаблона настройте приведенные ниже параметры сети.

  • Имя узла. Введите FQDN (имя узла и домен) или одно слово имя узла.

    • Настройка домена в соответствии с доменом, который вы использовали для получения сертификата X.509, не требуется.

    • Чтобы обеспечить успешную регистрацию в облаке, используйте только символы нижнего регистра в FQDN или имени узла, заданном для узла. В настоящее время заглавные буквы не поддерживаются.

    • Общая длина FQDN не должна превышать 64 символа.

  • IP-адрес: введите IP-адрес для внутреннего интерфейса узла.

    Узел должен иметь внутренний IP-адрес и имя DNS. DHCP не поддерживается.

  • Маска. Введите адрес маски подсети в десятичном формате. Например, 255.255.255.0.
  • Шлюз: введите IP-адрес шлюза. Шлюз — это сетевой узел, который служит точкой доступа к другой сети.
  • DNS-серверы: введите список DNS-серверов, разделенных запятыми, для обработки перевода доменных имен на числовые IP-адреса. (Разрешено до 4 записей DNS.)
  • NTP Servers (Серверы NTP). Введите сервер NTP вашей организации или другой внешний сервер NTP, который можно использовать в вашей организации. Серверы NTP по умолчанию могут работать не для всех предприятий. Для ввода нескольких NTP-серверов также можно использовать список, разделенный запятыми.

  • Разверните все узлы в одной подсети или VLAN, чтобы все узлы в кластере были доступны из клиентов вашей сети в административных целях.

При необходимости можно пропустить конфигурацию сетевых настроек и выполнить действия, описанные в разделе Настройка виртуальной машины безопасности данных гибридного типа , чтобы настроить параметры с помощью консоли узла.

Параметр настройки сети во время развертывания OVA протестирован с помощью ESXi 7.0. Этот параметр может быть недоступен в более ранних версиях.

11

Щелкните правой кнопкой мыши узел виртуальной машины и выберите Питание > Включение.

Программное обеспечение безопасности данных гибридного типа устанавливается в качестве гостя на узле виртуальной машины. Теперь вы готовы войти в консоль и настроить узел.

Рекомендации по устранению неисправностей

Контейнеры узла могут появиться через несколько минут. Во время первой загрузки на консоли отображается сообщение брандмауэра моста, в течение которого невозможно войти в систему.

Настройка виртуальной машины безопасности данных гибридного типа

Используйте эту процедуру для первого входа в консоль виртуальной машины узла безопасности данных гибридного типа и установки учетных данных для входа. Можно также использовать консоль для настройки сетевых параметров узла, если они не были настроены во время развертывания файла OVA.

1

В клиенте VMware vSphere выберите виртуальную машину узла безопасности данных гибридного типа и откройте вкладку Консоль .

Будет загружена виртуальная машина, и отобразится запрос на вход. Если запрос на вход не отображается, нажмите клавишу ввода.
2

Для входа и изменения учетных данных используйте следующие параметры входа и пароля по умолчанию:

  1. Вход: Администратор

  2. Пароль. Cisco

Поскольку вы впервые входите в свою виртуальную машину, вам необходимо изменить пароль администратора.

3

Если параметры сети уже настроены в разделе Установка OVA узла HDS, пропустите остальную процедуру. В противном случае в главном меню выберите параметр Редактировать конфигурацию .

4

Настройте статическую конфигурацию с использованием IP-адреса, маски, шлюза и информации DNS. Узел должен иметь внутренний IP-адрес и имя DNS. DHCP не поддерживается.

5

(Необязательно) Измените имя хоста, домен или NTP-серверы, если это необходимо для соответствия вашей сетевой политике.

Настройка домена в соответствии с доменом, который вы использовали для получения сертификата X.509, не требуется.

6

Сохраните конфигурацию сети и перезагрузите виртуальную машину, чтобы изменения вступили в силу.

Загрузка и установка ISO конфигурации HDS

Используйте эту процедуру для настройки виртуальной машины из файла ISO, созданного с помощью инструмента настройки HDS.

Перед началом работы

Поскольку в файле ISO содержится главный ключ, он должен быть раскрыт только по принципу «необходимо знать» для доступа виртуальных машин безопасности данных гибридного типа и всех администраторов, которым может потребоваться внести изменения. Убедитесь, что доступ к хранилищу данных могут получить только эти администраторы.

1

Загрузите файл ISO со своего компьютера.

  1. На левой панели навигации клиента VMware vSphere щелкните сервер ESXi.

  2. В списке "Оборудование" вкладки "Конфигурация" щелкните Хранилище.

  3. В списке хранилищ данных щелкните правой кнопкой мыши хранилище данных для виртуальных машин и щелкните Обзор хранилища данных.

  4. Щелкните пиктограмму "Загрузить файлы" и щелкните Загрузить файл.

  5. Перейдите в расположение, в котором скачался файл ISO на компьютер, и щелкните Открыть.

  6. Щелкните Да , чтобы принять предупреждение о загрузке или скачивании и закрыть диалоговое окно хранилища данных.

2

Установите файл ISO:

  1. На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры.

  2. Щелкните ОК , чтобы принять предупреждение об ограничении параметров редактирования.

  3. Щелкните Привод CD/DVD 1, выберите параметр подключения из файла хранилища данных ISO и перейдите в расположение, в котором был загружен файл конфигурации ISO.

  4. Установите флажки Подключено и Подключиться при включении.

  5. Сохраните изменения и перезагрузите виртуальную машину.

Дальнейшие действия

Если политика ИТ требует, после внесения изменений конфигурации на всех узлах можно отсоединить файл ISO. Подробные сведения см. в статье (необязательно) Отключение ISO после настройки HDS .

Настройка узла HDS для интеграции прокси

Если в сетевой среде необходимо использовать прокси, воспользуйтесь этой процедурой, чтобы указать тип прокси, который нужно интегрировать со службой безопасности данных гибридного типа. При выборе прозрачного прокси с проверкой или явного прокси HTTPS можно использовать интерфейс узла для загрузки и установки корневого сертификата. Кроме того, в интерфейсе можно проверять соединение с прокси и устранять неполадки.

Перед началом работы

1

Введите в веб-браузере URL-адрес для настройки узла HDS https://[IP-адрес или FQDN узла HDS]/setup, укажите учетные данные администратора, заданные вами для узла, и щелкните Sign In (Вход).

2

Откройте раздел Trust Store & Proxy (Зона доверия и прокси) и выберите один из следующих параметров.

  • Без прокси. Этот параметр используется по умолчанию перед интеграцией прокси. Обновление сертификата не требуется.
  • Прозрачный прокси без проверки. Узлы не настроены для использования адреса определенного прокси-сервера и не должны требовать каких-либо изменений для работы с прокси без проверки. Обновление сертификата не требуется.
  • Прозрачный прокси с проверкой: узлы не настроены для использования адреса определенного прокси-сервера. В развертывании службы безопасности данных гибридного типа не нужно вносить изменения в конфигурацию HTTPS, однако для обеспечения доверия прокси узлам HDS необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже HTTPS).
  • Явный прокси. При использовании явного прокси клиент (узлы HDS) определяет, какой прокси-сервер использовать. Этот параметр поддерживает несколько типов аутентификации. После выбора этого параметра необходимо ввести указанную далее информацию.

    1. IP/FQDN прокси. Адрес, который можно использовать для связи с прокси-машиной.

    2. Порт прокси. Номер порта, который прокси использует для прослушивания прокси-трафика.

    3. Proxy Protocol (Протокол прокси). Выберите http (просмотр и управление всеми запросами, полученными от клиента) или https (обеспечивает канал для сервера, а клиент получает и проверяет сертификат сервера). Выберите параметр в зависимости от того, какой протокол поддерживает используемый вами прокси-сервер.

    4. Тип аутентификации: выберите один из приведенных ниже типов аутентификации.

      • Нет. Дальнейшая аутентификация не требуется.

        Этот параметр доступен для прокси HTTP или HTTPS.

      • Базовый: используется для агента пользователя HTTP для указания имени пользователя и пароля при совершении запроса. Использует кодировку Base64.

        Этот параметр доступен для прокси HTTP или HTTPS.

        Если вы выберете этот параметр, вам понадобится ввести имя пользователя и пароль.

      • Дайджест. Используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети.

        Этот параметр доступен только для прокси HTTPS.

        Если вы выберете этот параметр, вам понадобится ввести имя пользователя и пароль.

В случае использования прозрачного прокси с проверкой, явного прокси HTTP с базовой аутентификацией или явного прокси HTTPS выполните указанные далее шаги.

3

Щелкните Upload a Root Certificate or End Entity Certificate (Загрузить корневой сертификат или сертификат конечного субъекта) и откройте меню для выбора корневого сертификата для прокси.

Сертификат будет загружен, но не установлен, поскольку для установки сертификата необходимо перезагрузить узел. Чтобы получить дополнительные сведения, щелкните стрелку-шеврон, расположенную рядом с именем издателя сертификата. Если вы допустили ошибку и хотите вновь загрузить файл, щелкните Delete (Удалить).

4

Чтобы протестировать сетевое соединение между узлом и прокси, щелкните Check Proxy Connection (Проверить соединение с прокси).

Если тестирование соединения завершится неудачей, на экране появится сообщение об ошибке, в котором будут указаны причина и способ исправления ошибки.

Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу. Такая проблема может возникнуть во многих конфигурациях явного прокси. Можно продолжить настройку, и узел будет работать в режиме блокировки разрешения внешних DNS. Если вы считаете, что это ошибка, выполните эти действия, а затем см. статью Выключение режима блокировки разрешения внешних DNS.

5

Если вы используете явный прокси, настроенный на применение исключительно https, после успешного завершения тестирования соединения включите параметр Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси (Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси). Для вступления в силу этого параметра необходимо 15 секунд.

6

Щелкните Install All Certificates Into the Trust Store (Установить все сертификаты в зоне доверия) – этот параметр отображается при использовании явного прокси HTTPS или прозрачного прокси с проверкой – или Reboot (Перезагрузить) – этот параметр отображается при использовании явного прокси HTTP. Прочитайте запрос и щелкните Install (Установить), если вы готовы к установке.

Узел перезагрузится в течение нескольких минут.

7

После перезагрузки узла повторно войдите в систему, если это необходимо, и откройте страницу Обзор, чтобы выполнить проверки соединений. Состояние всех проверок должно быть обозначено зеленым цветом.

Проверка соединения с прокси используется исключительно для тестирования поддомена webex.com. Проблемы с соединениями нередко возникают из-за того, что некоторые облачные домены, указанные в инструкциях по установке, блокируются на уровне прокси.

Регистрация первого узла в кластере

Эта задача берет общий узел, созданный в разделе Настройка виртуальной машины безопасности данных гибридного типа, регистрирует узел в облаке Webex и преобразует его в узел безопасности данных гибридного типа.

При регистрации первого узла создается кластер, которому он назначен. Кластер содержит один или несколько узлов, развернутых для резервирования.

Перед началом работы

  • После начала регистрации узла ее необходимо завершить в течение 60 минут или начать заново.

  • Убедитесь, что все блокировки всплывающих окон в браузере отключены или вы разрешаете исключение для admin.webex.com.

1

Войдите в https://admin.webex.com.

2

В меню в левой части экрана выберите Службы.

3

В разделе облачных служб найдите карточку безопасности данных гибридного типа и щелкните Настройка.

4

На открывшейся странице щелкните Добавить ресурс.

5

В первом поле карточки Добавить узел введите имя кластера, которому необходимо назначить узел безопасности данных гибридного типа.

Рекомендуется назвать кластер в зависимости от географического расположения узлов кластера. Примеры: "Сан-Франциско", "Нью-Йорк" или "Даллас"

6

Во втором поле введите внутренний IP-адрес или полное доменное имя узла и щелкните Добавить в нижней части экрана.

Этот IP-адрес или полное доменное имя должны совпадать с IP-адресом или именем хоста и доменом, которые вы использовали в разделе Настройка виртуальной машины безопасности данных гибридного типа.

Отобразится сообщение о том, что можно зарегистрировать узел в Webex.
7

Щелкните Перейти к узлу.

Через несколько секунд вы будете перенаправлены на тестирование подключения узла для служб Webex. Если все тесты будут успешными, отобразится страница "Разрешить доступ к узлу безопасности данных гибридного типа". Здесь вы подтверждаете, что хотите предоставить вашей организации Webex полномочия на доступ к узлу.

8

Установите флажок в поле Разрешить доступ к узлу безопасности данных гибридного типа и щелкните Продолжить.

Учетная запись подтверждена. В сообщении "Регистрация завершена" указано, что узел зарегистрирован в облаке Webex.
9

Щелкните ссылку или закройте вкладку, чтобы вернуться на страницу безопасности данных гибридного типа партнерского центра.

На странице Безопасность данных гибридного типа новый кластер, содержащий зарегистрированный узел, отображается на вкладке Ресурсы . Узел будет автоматически скачан новейшее программное обеспечение из облака.

Создать и зарегистрировать другие узлы

Чтобы добавить дополнительные узлы в кластер, просто создайте дополнительные виртуальные машины и подключите тот же файл конфигурации ISO, а затем зарегистрируйте узел. Рекомендуется иметь не менее 3 узлов.

Перед началом работы

  • После начала регистрации узла ее необходимо завершить в течение 60 минут или начать заново.

  • Убедитесь, что все блокировки всплывающих окон в браузере отключены или вы разрешаете исключение для admin.webex.com.

1

Создайте новую виртуальную машину из файла OVA, повторяя шаги, описанные в разделе Установка файла OVA узла HDS.

2

Настройте начальную конфигурацию новой виртуальной машины, повторяя шаги, описанные в разделе Настройка виртуальной машины безопасности данных гибридного типа.

3

В новой виртуальной машине повторите шаги, описанные в разделе Загрузка и установка ISO конфигурации HDS.

4

При настройке прокси для развертывания повторите шаги, описанные в разделе Настройка узла HDS для интеграции прокси для нового узла.

5

Зарегистрируйте узел.

  1. В https://admin.webex.com в меню в левой части экрана выберите Службы .

  2. В разделе облачных служб найдите карточку безопасности данных гибридного типа и щелкните Просмотреть все.

    Откроется страница "Ресурсы безопасности данных гибридного типа".

  3. Только что созданный кластер отобразится на странице Ресурсы .

  4. Щелкните кластер, чтобы просмотреть узлы, назначенные кластеру.

  5. Щелкните Добавить узел в правой части экрана.

  6. Введите внутренний IP-адрес или полное доменное имя узла и щелкните Добавить.

    Откроется страница с сообщением о том, что можно зарегистрировать узел в облаке Webex. Через несколько секунд вы будете перенаправлены на тестирование подключения узла для служб Webex. Если все тесты будут успешными, отобразится страница "Разрешить доступ к узлу безопасности данных гибридного типа". После этого вы подтверждаете, что хотите предоставить организации полномочия на доступ к узлу.

  7. Установите флажок в поле Разрешить доступ к узлу безопасности данных гибридного типа и щелкните Продолжить.

    Учетная запись подтверждена. В сообщении "Регистрация завершена" указано, что узел зарегистрирован в облаке Webex.

  8. Щелкните ссылку или закройте вкладку, чтобы вернуться на страницу безопасности данных гибридного типа партнерского центра.

    Всплывающее сообщение Узел добавлен также отображается в нижней части экрана в партнерском центре.

    Ваш узел зарегистрирован.

Управление организациями клиентов в службе безопасности данных гибридного типа с поддержкой нескольких клиентов

Активация HDS с несколькими клиентами в центре партнера

Эта задача позволит всем пользователям клиентских организаций начать использование HDS для локальных ключей шифрования и других служб безопасности.

Перед началом работы

Убедитесь, что настройка кластера HDS с несколькими клиентами завершена с требуемым количеством узлов.

1

Войдите в https://admin.webex.com.

2

В меню в левой части экрана выберите Службы.

3

В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Редактировать настройки.

4

Щелкните Активировать HDS на карточке Состояние HDS .

Добавить организации клиентов в Partner Hub

В этой задаче вы назначаете клиентские организации кластеру безопасности данных гибридного типа.

1

Войдите в https://admin.webex.com.

2

В меню в левой части экрана выберите Службы.

3

В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Просмотреть все.

4

Щелкните кластер, которому необходимо назначить клиента.

5

Перейдите на вкладку Назначенные клиенты .

6

Щелкните Добавить клиентов.

7

В раскрывающемся меню выберите клиента, которого необходимо добавить.

8

Щелкните Добавить, и клиент будет добавлен в кластер.

9

Чтобы добавить в кластер несколько клиентов, повторите шаги 6–8.

10

После добавления клиентов щелкните Готово в нижней части экрана.

Дальнейшие действия

Чтобы завершить процесс настройки, запустите инструмент настройки HDS, как описано в разделе Создание главных ключей клиента (CMK) с помощью инструмента настройки HDS .

Создание главных ключей клиентов (CMK) с помощью инструмента настройки HDS

Перед началом работы

Назначьте клиентов в соответствующий кластер, как описано в разделе Добавление клиентских организаций в Partner Hub. Запустите инструмент настройки HDS, чтобы завершить процесс настройки вновь добавленных клиентских организаций.

  • Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора для вашей организации.

    Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.

    Описание

    Переменная

    HTTP-прокси без аутентификации

    ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТ

    HTTPS-прокси без аутентификации

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTP-прокси с аутентификацией

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

    HTTPS-прокси с аутентификацией

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

  • Созданный файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. При внесении изменений в конфигурацию вам потребуется последняя копия этого файла. Например:

    • Учетные данные базы данных

    • Обновления сертификата

    • Изменения политики авторизации

  • При планировании шифрования соединений с базой данных настройте развертывание PostgreSQL или SQL Server для TLS.

Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.

1

Введите соответствующую команду для вашей среды в командной строке компьютера.

В обычных средах:

docker rmi ciscocitg/hds-setup:stable

В средах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать.

2

Чтобы войти в реестр образов Docker, введите следующее.

docker login -u hdscustomersro
3

Введите в запросе пароля этот хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Скачайте последнюю стабильную версию образа для вашей среды.

В обычных средах:

docker pull ciscocitg/hds-setup:stable

В средах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

По завершении скачивания введите соответствующую команду для вашей среды.

  • В обычных средах без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • В обычных средах с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В обычных средах с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В средах FedRAMP без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

6

Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу.

Перейдите к локальному узлу http://127.0.0.1:8080 с помощью веб-браузера и введите имя пользователя администратора для Partner Hub в окне подсказки.

Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартную подсказку для входа в систему.

7

При отображении соответствующего запроса введите учетные данные для входа администратора Partner Hub и щелкните Войти , чтобы разрешить доступ к необходимым службам для службы безопасности данных гибридного типа.

8

На странице обзора инструмента настройки щелкните Начало работы.

9

На странице Импорт ISO щелкните Да.

10

Выберите файл ISO в браузере и загрузите его.

Для выполнения управления CMK убедитесь в подключении к базе данных.
11

Перейдите на вкладку Управление CMK клиента , где можно найти три способа управления CMK клиента.

  • Создать CMK для всех ОРГАНИЗАЦИЙ или Создать CMK . Щелкните эту кнопку на баннере в верхней части экрана, чтобы создать CMK для всех вновь добавленных организаций.
  • Щелкните кнопку Управление CMK в правой части экрана и щелкните Создать CMK , чтобы создать CMK для всех вновь добавленных организаций.
  • Щелкните … рядом с состоянием рассмотрения управления CMK определенной организации в таблице и щелкните Создать CMK , чтобы создать CMK для этой организации.
12

После успешного создания CMK состояние в таблице изменится с Управление CMK рассматривается на Управление CMK.

13

В случае неудачного создания CMK отображается ошибка.

Удалить организации клиентов

Перед началом работы

После удаления пользователи клиентских организаций не смогут использовать HDS в целях шифрования, а все существующие пространства будут утрачены. Прежде чем удалить клиентские организации, обратитесь к своему партнеру Cisco или менеджеру по работе с клиентами.

1

Войдите в https://admin.webex.com.

2

В меню в левой части экрана выберите Службы.

3

В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Просмотреть все.

4

На вкладке Ресурсы щелкните кластер, из которого необходимо удалить клиентские организации.

5

На открывшейся странице щелкните Назначенные клиенты.

6

В списке отображаемых клиентских организаций щелкните ... в правой части клиентской организации, которую необходимо удалить, и щелкните Удалить из кластера.

Дальнейшие действия

Завершите процесс удаления, отозвав CMK клиентских организаций, как описано в статье Отозвать CMK клиентов, удаленных из HDS.

Отозвать CMK клиентов, удаленные из HDS.

Перед началом работы

Удалите клиентов из соответствующего кластера, как описано в разделе Удаление клиентских организаций. Запустите инструмент настройки HDS, чтобы завершить процесс удаления удаленных клиентских организаций.

  • Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора для вашей организации.

    Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.

    Описание

    Переменная

    HTTP-прокси без аутентификации

    ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТ

    HTTPS-прокси без аутентификации

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTP-прокси с аутентификацией

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

    HTTPS-прокси с аутентификацией

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

  • Созданный файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. При внесении изменений в конфигурацию вам потребуется последняя копия этого файла. Например:

    • Учетные данные базы данных

    • Обновления сертификата

    • Изменения политики авторизации

  • При планировании шифрования соединений с базой данных настройте развертывание PostgreSQL или SQL Server для TLS.

Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.

1

Введите соответствующую команду для вашей среды в командной строке компьютера.

В обычных средах:

docker rmi ciscocitg/hds-setup:stable

В средах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать.

2

Чтобы войти в реестр образов Docker, введите следующее.

docker login -u hdscustomersro
3

Введите в запросе пароля этот хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Скачайте последнюю стабильную версию образа для вашей среды.

В обычных средах:

docker pull ciscocitg/hds-setup:stable

В средах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

По завершении скачивания введите соответствующую команду для вашей среды.

  • В обычных средах без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • В обычных средах с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В обычных средах с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В средах FedRAMP без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

6

Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу.

Перейдите к локальному узлу http://127.0.0.1:8080 с помощью веб-браузера и введите имя пользователя администратора для Partner Hub в окне подсказки.

Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартную подсказку для входа в систему.

7

При отображении соответствующего запроса введите учетные данные для входа администратора Partner Hub и щелкните Войти , чтобы разрешить доступ к необходимым службам для службы безопасности данных гибридного типа.

8

На странице обзора инструмента настройки щелкните Начало работы.

9

На странице Импорт ISO щелкните Да.

10

Выберите файл ISO в браузере и загрузите его.

11

Перейдите на вкладку Управление CMK клиента , где можно найти три способа управления CMK клиента.

  • Отозвать CMK для всех ОРГАНИЗАЦИЙ или Отозвать CMK . Щелкните эту кнопку на баннере в верхней части экрана, чтобы отозвать CMK всех удаленных организаций.
  • Щелкните кнопку Управление CMK в правой части экрана и щелкните Отозвать CMK , чтобы отозвать CMK всех удаленных организаций.
  • Щелкните рядом с состоянием CMK для отзыва определенной организации в таблице и щелкните Отозвать CMK , чтобы отозвать CMK для определенной организации.
12

После успешного отзыва CMK клиентская организация больше не будет отображаться в таблице.

13

Если отзыв CMK не выполнен, отображается ошибка.

Тестирование развертывания службы безопасности данных гибридного типа

Тестирование развертывания службы безопасности данных гибридного типа

Используйте эту процедуру для тестирования сценариев шифрования безопасности данных гибридного типа с несколькими клиентами.

Перед началом работы

  • Настройте развертывание службы безопасности данных гибридного типа с несколькими клиентами.

  • Убедитесь, что у вас есть доступ к системному журналу, чтобы проверить, передаются ли запросы ключей в развертывание системы безопасности данных гибридного типа с несколькими клиентами.

1

Ключи для определенного пространства задаются создателем пространства. Войдите в приложение Webex в качестве одного из пользователей клиентской организации и создайте пространство.

Если деактивировать развертывание безопасности данных гибридного типа, контент в пространствах, созданных пользователями, больше не будет доступен после замены кэшированных клиентом копий ключей шифрования.

2

Отправить сообщения в новое пространство.

3

Проверьте вывод системного журнала, чтобы убедиться, что запросы ключей передаются в развертывание службы безопасности данных гибридного типа.

  1. Чтобы проверить, установит ли пользователь защищенный канал в KMS, отфильтруйте kms.data.method=create и kms.data.type=EPHEMERAL_KEY_COLLECTION.

    Необходимо найти следующую запись (идентификаторы, сокращенные для удобства чтения):
    2020-07-21 17:35:34.562 (+0000) KMS INFO [pool-14-thread-1] – получен [KMS:REQUEST], идентификатор устройства: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Чтобы проверить, требуется ли пользователю, запрашивающему существующий ключ из KMS, выполните фильтр в меню kms.data.method=retrieve и kms.data.type=KEY.

    Отобразится запись, аналогичная приведенной ниже.
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] – получен [KMS:REQUEST], идентификатор устройства: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Чтобы проверить, требуется ли пользователю создать новый ключ KMS, выполните фильтр в меню kms.data.method=create и kms.data.type=KEY_COLLECTION.

    Отобразится запись, аналогичная приведенной ниже.
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] – получен [KMS:REQUEST], идентификатор устройства: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Чтобы проверить, есть ли у пользователя запрос на создание нового объекта ресурса KMS (KRO) при создании пространства или другого защищенного ресурса, используйте фильтры в разделах kms.data.method=create и kms.data.type=RESOURCE_COLLECTION.

    Отобразится запись, аналогичная приведенной ниже. 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] – получен [KMS:REQUEST], идентификатор устройства: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Мониторинг работоспособности службы безопасности данных гибридного типа

Индикатор состояния в партнерском центре показывает, все ли в порядке с развертыванием службы безопасности данных гибридного типа с несколькими клиентами. Для более упреждающих предупреждений зарегистрируйтесь для получения уведомлений по электронной почте. Вы будете уведомлены о появлении сигналов, влияющих на службу, или о модернизации программного обеспечения.
1

В Partner Hub в меню в левой части экрана выберите Службы .

2

В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Редактировать настройки.

Отобразится страница "Настройки безопасности данных гибридного типа".
3

В разделе "Электронные уведомления" введите один или несколько адресов электронной почты, разделяя их запятыми, и нажмите клавишу ввода.

Управление развертыванием HDS

Управление развертыванием HDS

Для управления развертыванием службы безопасности данных гибридного типа используйте описанные здесь задачи.

Настройка графика модернизации кластера

Модернизация программного обеспечения службы безопасности данных гибридного типа выполняется автоматически на уровне кластера, что гарантирует, что на всех узлах всегда запущена одна и та же версия программного обеспечения. Модернизация выполняется в соответствии с графиком модернизации кластера. Когда модернизация программного обеспечения становится доступной, можно вручную модернизировать кластер до запланированного времени модернизации. Можно задать конкретное расписание модернизации или использовать расписание по умолчанию: 3:00 (ежедневно в США). Америка/Лос-Анджелес. При необходимости можно также отложить предстоящую модернизацию.

Чтобы настроить график модернизации, выполните указанные ниже действия.

1

Войдите в Partner Hub.

2

В меню в левой части экрана выберите Службы.

3

В разделе "Облачные службы" найдите раздел "Безопасность данных гибридного типа" и щелкните Настройка.

4

На странице "Ресурсы безопасности данных гибридного типа" выберите кластер.

5

Щелкните вкладку Настройки кластера .

6

На странице настроек кластера в разделе "График модернизации" выберите время и часовой пояс для графика модернизации.

Примечание. В часовом поясе отображаются следующие доступные дата и время модернизации. При необходимости можно отложить модернизацию на следующий день, щелкнув Отложить на 24 часа.

Изменение конфигурации узла

Иногда может потребоваться изменить конфигурацию узла безопасности данных гибридного типа по одной из причин:

  • Изменение сертификатов x.509 по истечении срока действия или по другим причинам.

    Изменение доменного имени CN сертификата не поддерживается. Домен должен совпадать с исходным доменом, использованным для регистрации кластера.

  • Обновление настроек базы данных для работы с копией базы данных PostgreSQL или Microsoft SQL Server.

    Перенос данных с PostgreSQL на Microsoft SQL Server или в обратном направлении не поддерживается. Чтобы переключить среду базы данных, начните новое развертывание службы безопасности данных гибридного типа.

  • Создание новой конфигурации для подготовки нового центра обработки данных.

Из соображений безопасности для учетных записей в службе безопасности данных гибридного типа используются пароли со сроком действия 9 месяцев. После того как инструмент настройки HDS создаст эти пароли, вам нужно будет развернуть их в каждом из своих узлов HDS в файле конфигурации ISO. При приближении даты окончания срока действия пароля команда Webex пришлет вам уведомление с запросом на сброс пароля учетной записи компьютера. (В сообщении электронной почты будет текст "Использование API учетной записи компьютера для обновления пароля".) Если срок действия паролей еще не истек, средство предоставляет два варианта.

  • Мягкий сброс. Старые и новые пароли работают в течение 10 дней. Используйте этот период для постепенной замены файла ISO на узлах.

  • Принудительный сброс: старые пароли перестают работать немедленно.

Если срок действия ваших паролей истекает без сброса, это влияет на работу вашей службы HDS. В этом случае требуется немедленный жесткий сброс и замена файла ISO на всех узлах.

Используйте эту процедуру, чтобы создать новый файл конфигурации ISO и применить его к кластеру.

Прежде чем начать

  • Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора партнера.

    Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker в 1.e. В этой таблице указаны некоторые из возможных переменных среды.

    Описание

    Переменная

    HTTP-прокси без аутентификации

    ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТ

    HTTPS-прокси без аутентификации

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTP-прокси с аутентификацией

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

    HTTPS-прокси с аутентификацией

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

  • Для создания новой конфигурации потребуется копия текущего файла конфигурации ISO. Файл ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. Файл ISO необходим для изменения конфигурации, в том числе учетных данных базы данных, обновления сертификатов или изменения политики авторизации.

1

Запустите инструмент настройки HDS, используя Docker на локальной машине.

  1. Введите соответствующую команду для вашей среды в командной строке компьютера.

    В обычных средах:

    docker rmi ciscocitg/hds-setup:stable

    В средах FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать.

  2. Чтобы войти в реестр образов Docker, введите следующее.

    docker login -u hdscustomersro

  3. Введите в запросе пароля этот хеш:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Скачайте последнюю стабильную версию образа для вашей среды.

    В обычных средах:

    docker pull ciscocitg/hds-setup:stable

    В средах FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Обязательно скачайте для этой процедуры последнюю версию инструмента настройки. В версиях инструмента, созданных до 22 февраля 2018 г., нет экранов сброса пароля.

  5. По завершении скачивания введите соответствующую команду для вашей среды.

    • В обычных средах без прокси:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • В обычных средах с HTTP-прокси:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • В обычных средах с HTTPS-прокси:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • В средах FedRAMP без прокси:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • В средах FedRAMP с HTTP-прокси:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • В средах FedRAMP с HTTPS-прокси:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

  6. Используйте браузер для подключения к localhost, http://127.0.0.1:8080.

    Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу.

  7. При отображении соответствующего запроса введите учетные данные для входа клиента партнерского центра и щелкните Принять , чтобы продолжить.

  8. Импортируйте текущий файл конфигурации ISO.

  9. Следуйте подсказкам, чтобы завершить работу с инструментом и скачать обновленный файл.

    Чтобы завершить работу инструмента настройки, нажмите CTRL+C.

  10. Создайте резервную копию обновленного файла в другом центре обработки данных.

2

Если у вас запущен только один узел HDS, создайте новую виртуальную машину узла безопасности данных гибридного типа и зарегистрируйте ее с помощью нового файла конфигурации ISO. Более подробные инструкции см. в статье Создание и регистрация дополнительных узлов.

  1. Установите OVA узла HDS.

  2. Настройте виртуальную машину HDS.

  3. Подключите обновленный файл конфигурации.

  4. Зарегистрируйте новый узел в Partner Hub.

3

Для существующих узлов HDS, в которых используется старый файл конфигурации, необходимо установить файл ISO. Выполните следующую процедуру для каждого узла по очереди, обновив каждый узел до выключения следующего узла.

  1. Выключите виртуальную машину.

  2. На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры.

  3. Щелкните Дисковод компакт-дисков и DVD-дисков 1, выберите параметр подключения из файла ISO и найдите расположение, куда вы скачали новый файл конфигурации ISO.

  4. Установите флажок Соединять при включении.

  5. Сохраните изменения и включите виртуальную машину.

4

Повторите шаг 3, чтобы заменить конфигурацию на каждом оставшемся узле со старой конфигурацией.

Отключение режима блокировки разрешения внешних DNS

При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. Если DNS-сервер узла не может разрешать общедоступные имена DNS, узел автоматически переходит в режим блокировки разрешения внешних DNS.

Если узлы могут разрешать общедоступные имена DNS через внутренние DNS-серверы, можно отключить этот режим, повторно запустив тестирование подключения к прокси на каждом узле.

Перед началом работы

Убедитесь в том, что внутренние DNS-серверы могут разрешать общедоступные имена DNS и ваши узлы могут обмениваться данными с ними.
1

В веб-браузере откройте интерфейс узла безопасности данных гибридного типа (например, IP-адрес или настройка) https://192.0.2.0/setup), введите учетные данные администратора, настроенные для узла, и щелкните Войти.

2

Перейдите к разделу Overview (Обзор) (страница по умолчанию).

Если режим включен, параметр Blocked External DNS Resolution (Блокировка разрешения внешних DNS) должен иметь значение Yes (Да).

3

Перейдите на страницу Trust Store & Proxy (Зона доверия и прокси).

4

Щелкните Check Proxy Connection (Проверить соединение с прокси).

Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу и он останется в этом режиме. В противном случае после перезапуска узла и возврата на страницу Overview (Обзор) параметр блокировки разрешения внешних DNS должен иметь значение No (Нет).

Дальнейшие действия

Повторите тестирование соединения с прокси для каждого узла кластера безопасности данных гибридного типа.

Удаление узла

Используйте эту процедуру для удаления узла безопасности данных гибридного типа из облака Webex. После удаления узла из кластера удалите виртуальную машину, чтобы предотвратить дальнейший доступ к данным безопасности.
1

С помощью клиента VMware vSphere на компьютере можно войти в виртуальный хост ESXi и выключить виртуальную машину.

2

Удалить узел:

  1. Войдите в Partner Hub и выберите Службы.

  2. На карточке безопасности данных гибридного типа щелкните Просмотреть все , чтобы отобразить страницу ресурсов безопасности данных гибридного типа.

  3. Выберите кластер, чтобы отобразить его панель "Обзор".

  4. Щелкните узел, который необходимо удалить.

  5. Щелкните Отменить регистрацию этого узла на панели справа.

  6. Кроме того, чтобы отменить регистрацию узла, щелкните ... в правой части узла и выберите Удалить этот узел.

3

В клиенте vSphere удалите виртуальную машину. (На панели навигации слева щелкните виртуальную машину правой кнопкой мыши и щелкните Удалить.)

Если виртуальная машина не удалена, не забудьте отсоединить файл конфигурации ISO. Без файла ISO вы не сможете использовать виртуальную машину для доступа к данным безопасности.

Аварийное восстановление с помощью центра обработки данных в режиме ожидания

Наиболее важной службой, предоставляемой кластером безопасности данных гибридного типа, является создание и хранение ключей, используемых для шифрования сообщений и другого контента, хранящегося в облаке Webex. Для каждого пользователя в организации, назначенного службе безопасности данных гибридного типа, запросы на создание нового ключа маршрутизируются в кластер. Кластер также отвечает за возврат созданных им ключей всем пользователям, авторизованным для их извлечения, например участникам пространства для разговора.

Поскольку кластер выполняет критически важную функцию предоставления этих ключей, необходимо, чтобы кластер продолжал работать и чтобы поддерживались соответствующие резервные копии. Потеря базы данных безопасности данных гибридного типа или конфигурации ISO, используемой для схемы, приведет к НЕОБРАТИМОЙ ПОТЕРЕ контента клиента. Для предотвращения таких потерь необходимо выполнить следующие действия:

Если из-за аварии развертывание HDS в основном центре обработки данных становится недоступным, выполните эту процедуру, чтобы вручную переключиться на резервный центр обработки данных.

Перед началом работы

Отмените регистрацию всех узлов из Partner Hub, как указано в разделе Удаление узла. Для выполнения указанной ниже процедуры отработки отказа используйте последний файл ISO, настроенный против узлов ранее активного кластера.
1

Запустите инструмент настройки HDS и выполните действия, указанные в разделе Создание ISO конфигурации для узлов HDS.

2

Завершите процесс настройки и сохраните файл ISO в удобном для поиска месте.

3

Сделайте резервную копию файла ISO в локальной системе. Обеспечьте безопасность резервного копирования. Этот файл содержит главный ключ шифрования для содержимого базы данных. Ограничьте доступ только тем администраторам службы безопасности данных гибридного типа, которые должны вносить изменения в конфигурацию.

4

На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры.

5

Щелкните Редактировать настройки >Диск CD/DVD 1 и выберите Файл хранилища данных ISO.

Убедитесь, что установлены флажки Подключено и Подключиться при включении , чтобы обновленные изменения конфигурации вступили в силу после запуска узлов.

6

Включите узел HDS и убедитесь, что сигналы отсутствуют в течение не менее 15 минут.

7

Зарегистрируйте узел в партнерском центре. См. статью Регистрация первого узла в кластере.

8

Повторите процесс для каждого узла в центре обработки данных в режиме ожидания.

Дальнейшие действия

Если после отказа основной центр обработки данных снова становится активным, отмените регистрацию узлов резервного центра обработки данных и повторите процесс настройки ISO и регистрации узлов основного центра обработки данных, как указано выше.

(Необязательно) Отсоедините ISO после настройки HDS

Стандартная конфигурация HDS выполняется с установленным ISO. Однако некоторые клиенты предпочитают не оставлять файлы ISO постоянно монтированными. После того как все узлы HDS примут новую конфигурацию, можно отсоединить файл ISO.

Для изменения конфигурации по-прежнему используются файлы ISO. При создании нового ISO или обновлении ISO с помощью инструмента настройки необходимо установить обновленный ISO на всех узлах HDS. С помощью этой процедуры можно снова отключить ISO, после того как все узлы примут изменения конфигурации.

Перед началом работы

Модернизируйте все свои узлы HDS до версии 2021.01.22.4720 или более поздней.

1

Закройте один из своих узлов HDS.

2

В vCenter Server Appliance выберите узел HDS.

3

Выберите Редактировать настройки > Привод CD/DVD и снимите флажок Файл хранилища данных ISO.

4

Включите узел HDS и убедитесь, что сигналы отсутствуют в течение не менее 20 минут.

5

Повторите эту процедуру для каждого узла HDS по очереди.

Устранение неполадок службы безопасности данных гибридного типа

Просмотр предупреждений и устранение неполадок

Развертывание службы безопасности данных гибридного типа считается недоступным, если все узлы в кластере недоступны или кластер работает настолько медленно, что истекло время ожидания. Если пользователи не могут подключиться к кластеру безопасности данных гибридного типа, у них будут следующие симптомы:

  • Не удается создать новые пространства (не удается создать новые ключи)

  • Не удалось расшифровать сообщения и заголовки пространств для:

    • Новые пользователи, добавленные в пространство (невозможно получить ключи)

    • Существующие пользователи в пространстве, использующие новый клиент (не удается получить ключи)

  • Существующие пользователи в пространстве будут продолжать успешно работать, пока в их клиентах будет сохранен кэш ключей шифрования

Важно надлежащим образом отслеживать кластер безопасности данных гибридного типа и своевременно реагировать на все предупреждения во избежание перебоев в работе службы.

Предупреждения

При возникновении проблем с настройкой безопасности данных гибридного типа партнерский центр отображает предупреждения администратору организации и отправляет электронные сообщения на настроенный адрес электронной почты. Предупреждения охватывают многие распространенные сценарии.

Таблица 1. Общие проблемы и действия по их устранению

Предупреждать

Действие

Ошибка доступа к локальной базе данных.

Проверьте наличие ошибок базы данных или проблем локальной сети.

Сбой подключения к локальной базе данных.

Убедитесь в доступности сервера базы данных и использовании правильных учетных данных учетной записи службы в конфигурации узла.

Сбой доступа к облачной службе.

Убедитесь, что узлы могут получить доступ к серверам Webex, как указано в разделе Требования к внешнему подключению.

Обновление регистрации облачной службы.

Регистрация в облачных службах прервана. Выполняется возобновление регистрации.

Регистрация для облачной службы прервана.

Регистрация в облачных службах прервана. Служба выключена.

Служба еще не активирована.

Активируйте HDS в партнерском центре.

Настроенный домен не соответствует сертификату сервера.

Убедитесь, что сертификат сервера соответствует настроенному домену активации службы.

Наиболее вероятная причина заключается в том, что CN сертификата недавно был изменен и теперь отличается от CN, использованного во время начальной настройки.

Не удалось выполнить аутентификацию в облачных службах.

Проверьте точность и возможный срок действия учетных данных службы.

Не удалось открыть файл локального хранилища ключей.

Проверка целостности и точности пароля в файле локального хранилища ключей.

Недействительный сертификат локального сервера.

Проверьте дату истечения срока действия сертификата сервера и убедитесь, что он был выдан доверенным центром сертификации.

Не удается опубликовать метрики.

Проверьте доступ локальной сети к внешним облачным службам.

Каталог /media/configdrive/hds не существует.

Проверьте конфигурацию подключения ISO на виртуальном хосте. Проверьте, существует ли файл ISO, настроен ли он для подключения при перезагрузке и успешно ли установлен.

Настройка организации клиента не завершена для добавленных организаций

Завершите настройку, создав CMK для вновь добавленных клиентских организаций с помощью инструмента настройки HDS.

Настройка организации клиента не завершена для удаленных организаций

Завершите настройку, отозвав CMK клиентских организаций, которые были удалены с помощью инструмента настройки HDS.

Устранение неполадок службы безопасности данных гибридного типа

При устранении неполадок со службой безопасности данных гибридного типа используйте приведенные ниже общие рекомендации.
1

Просмотрите в Partner Hub все предупреждения и исправьте все элементы, найденные в нем. Для справки см. изображение ниже.

2

Проверьте вывод сервера системных журналов для активности из развертывания службы безопасности данных гибридного типа. Используйте фильтр для таких слов, как "Предупреждение" и "Ошибка", чтобы помочь в устранении неполадок.

3

Обратитесь в службу поддержки Cisco.

Другие примечания

Известные проблемы безопасности данных гибридного типа

  • Если вы выключите кластер безопасности данных гибридного типа (удалив его в партнерском центре или выключив все узлы), потеряете файл конфигурации ISO или потеряете доступ к базе данных хранилища ключей, пользователи приложения Webex клиентских организаций больше не смогут использовать пространства в списке пользователей, созданных с помощью ключей из KMS. В настоящий момент для устранения этой проблемы нет обходного решения или решения. Мы настоятельно призываем вас не выключать службы HDS после обработки активных учетных записей пользователей.

  • Клиент с существующим подключением ECDH к KMS поддерживает это соединение в течение периода времени (вероятно, один час).

Использование OpenSSL для создания файла PKCS12

Перед началом работы

  • OpenSSL — это один из инструментов, который можно использовать для создания файла PKCS12 в соответствующем формате для загрузки в инструменте настройки HDS. Есть и другие способы сделать это, и мы не поддерживаем и не продвигаем друг друга.

  • Если вы решите использовать OpenSSL, мы предоставляем эту процедуру в качестве руководства для создания файла, который соответствует требованиям сертификата X.509 в разделе Требования к сертификату X.509. Прежде чем продолжить, ознакомьтесь с этими требованиями.

  • Установите OpenSSL в поддерживаемой среде. Информацию о программном обеспечении и документации см. в разделе https://www.openssl.org .

  • Создайте закрытый ключ.

  • Начните эту процедуру при получении сертификата сервера от центра сертификации (ЦС).

1

При получении сертификата сервера от ЦС сохраните его как hdsnode.pem.

2

Отобразите сертификат в виде текста и проверьте сведения.

openssl x509 -текст -noout -в hdsnode.pem

3

Используйте текстовый редактор для создания файла пакета сертификатов под названием hdsnode-bundle.pem. Пакетный файл должен включать сертификат сервера, все промежуточные сертификаты ЦС и корневые сертификаты ЦС в следующем формате:

-----BEGIN CERTIFICATE----- ### Сертификат сервера. ### -----END CERTIFICATE--------BEGIN CERTIFICATE----- ### Промежуточный сертификат ЦС. ### -----END CERTIFICATE-------BEGIN CERTIFICATE----- ### Корневой сертификат ЦС. ### -----END CERTIFICATE-----

4

Создайте файл .p12 с подходящим именем kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -в hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Проверьте сведения о сертификате сервера.

  1. openssl pkcs12 - в hdsnode.p12

  2. Введите пароль в окне запроса для шифрования закрытого ключа, чтобы он отображался в выводе. Затем убедитесь, что закрытый ключ и первый сертификат содержат строки friendlyName: kms-private-key.

    Пример.

    bash$ openssl pkcs12 -in hdsnode.p12 Введите пароль для импорта: MAC проверил атрибуты пакета "ОК" friendlyName: Идентификатор локального ключа kms-private-key : 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ключевые атрибуты:  Введите фразу пароля PEM: Проверка – введите фразу для доступа PEM: -----BEGIN ENCRYPTED PRIVATE KEY-----  -----END ENCRYPTED PRIVATE KEY------ Bag Attributes friendlyName: Идентификатор локального ключа kms-private-key : 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE-----

Дальнейшие действия

Вернитесь к разделу Выполнение предварительных требований для безопасности данных гибридного типа. Файл hdsnode.p12 и заданный для него пароль будут использоваться в разделе Создание конфигурации ISO для узлов HDS.

Эти файлы можно повторно использовать для запроса нового сертификата по истечении срока действия исходного сертификата.

Трафик между узлами HDS и облаком

Трафик сбора исходящих метрик

Узлы безопасности данных гибридного типа отправляют определенные метрики в облако Webex. К ним относятся системные метрики максимального количества подключений, использования максимального количества подключений, загрузки ЦП и количества потоков; метрики синхронных и асинхронных потоков; метрики оповещений о пороговом значении соединений шифрования, задержки или длины очереди запросов; метрики хранилища данных; и метрики подключения шифрования. Узлы отправляют зашифрованный ключ-материал по внеполосному каналу (отдельному от запроса).

Входящий трафик

Узлы безопасности данных гибридного типа получают из облака Webex следующие типы входящего трафика:

  • Запросы на шифрование от клиентов, которые маршрутизируются службой шифрования

  • Модернизация программного обеспечения узла

Настройка прокси Squid для безопасности данных гибридного типа

Невозможно выполнить подключение веб-сокетов через прокси Squid

Прокси Squid, которые проверяют трафик HTTPS, могут мешать созданию соединений веб-сокетов (wss:), которые необходимы службе безопасности данных гибридного типа. В указанных далее разделах приведены рекомендации по настройке различных версий Squid с целью игнорирования трафика wss: для обеспечения надлежащей работы служб.

Squid 4 и 5

Добавьте on_unsupported_protocol директиву в squid.conf:

on_unsupported_protocol туннель все

Squid 3.5.27

Служба безопасности данных гибридного типа успешно протестирована с указанными далее правилами, добавленными в squid.conf. Эти правила могут изменяться по мере разработки функций и обновления облака Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump соединение wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump просмотр step1 все ssl_bump просмотр step2 все ssl_bump bump3 все

Новая и измененная информация

Новая и измененная информация

В этой таблице описаны новые функции или функциональные возможности, изменения существующего контента, а также любые серьезные ошибки, исправленные в руководстве по развертыванию службы безопасности данных гибридного типа с несколькими клиентами.

Дата

Внесены изменения

15 января 2025 г.

Добавлены ограничения безопасности данных гибридного типа с несколькими клиентами.

8 января 2025 г.

Добавлено примечание в разделе Выполнение начальной настройки и скачивание файлов установки , в котором указано, что нажатие кнопки Настройка на карточке HDS в Partner Hub является важным этапом процесса установки.

7 января 2025 г.

Обновлены Требования к виртуальному узлу, Алгоритм выполнения задач по развертыванию службы безопасности данных гибридного типа и Установка OVA узла HDS для отображения новых требований ESXi 7.0.

13 декабря 2024 г.

Впервые опубликовано.

Деактивация службы безопасности данных гибридного типа с несколькими клиентами

Алгоритм выполнения задач по деактивации HDS с несколькими клиентами

Чтобы полностью деактивировать HDS с несколькими клиентами, выполните приведенные ниже действия.

Перед началом работы

Эту задачу должен выполнять только администратор партнера с полными правами.
1

Удалите всех клиентов из всех кластеров, как указано в разделе Удаление клиентских организаций.

2

Отозвать CMK всех клиентов, как указано в статье Отозвать CMK клиентов, удаленных из HDS.

3

Удалите все узлы из всех кластеров, как описано в разделе Удаление узла.

4

Удалите все кластеры из Partner Hub одним из следующих двух способов.

  • Щелкните кластер, который необходимо удалить, и выберите Удалить этот кластер в правом верхнем углу страницы обзора.
  • На странице "Ресурсы" щелкните ... в правой части кластера и выберите Удалить кластер.
5

Щелкните вкладку Настройки на странице обзора безопасности данных гибридного типа и щелкните Деактивировать HDS на карточке состояния HDS.

Начало работы с системой безопасности данных гибридного типа с поддержкой нескольких клиентов

Общие сведения о безопасности данных гибридного типа для нескольких клиентов

С самого начала безопасность данных была главной задачей при разработке приложения Webex. В основе этой безопасности лежит сквозное шифрование контента, которое включается клиентами приложения Webex, взаимодействующими со службой управления ключами (KMS). KMS отвечает за создание и управление криптографическими ключами, которые используются клиентами для динамического шифрования и расшифровки сообщений и файлов.

По умолчанию для всех клиентов приложения Webex обеспечивается сквозное шифрование с использованием динамических ключей, которые хранятся в облаке KMS в области безопасности Cisco. Служба безопасности данных гибридного типа перемещает KMS и другие функции безопасности в корпоративный центр обработки данных, поэтому доступ к ключам для зашифрованного контента будет только у вас.

Служба безопасности данных гибридного типа с поддержкой нескольких клиентов позволяет организациям использовать HDS через доверенного локального партнера, который может выполнять функции поставщика услуг и управлять локальным шифрованием и другими службами безопасности. Эта настройка позволяет партнерской организации осуществлять полный контроль над развертыванием ключей шифрования и управлением ими, а также обеспечивает безопасность данных пользователей клиентских организаций от внешнего доступа. Партнерские организации настраивают экземпляры HDS и при необходимости создают кластеры HDS. Каждый экземпляр может поддерживать несколько клиентских организаций, в отличие от обычного развертывания HDS, которое ограничено одной организацией.

Партнерские организации контролируют развертывание и управление, однако у них нет доступа к данным и контенту, созданным клиентами. Этот доступ ограничен клиентскими организациями и их пользователями.

Это также позволяет небольшим организациям использовать HDS, поскольку служба управления ключами и инфраструктура безопасности, например центры обработки данных, принадлежат доверенному локальному партнеру.

Как служба безопасности данных гибридного типа с несколькими клиентами обеспечивает суверенитет и управление данными

  • Созданный пользователем контент защищен от внешнего доступа, например от поставщиков облачных услуг.
  • Локальные доверенные партнеры управляют ключами шифрования клиентов, с которыми они уже установили взаимоотношения.
  • Параметр для локальной технической поддержки, если она предоставлена партнером.
  • Поддержка контента совещаний, обмена сообщениями и вызовов.

Этот документ предназначен для помощи партнерским организациям в настройке клиентов и управлении ими в системе безопасности данных гибридного типа с несколькими клиентами.

Ограничения службы безопасности данных гибридного типа с несколькими клиентами

  • Партнерские организации не должны иметь существующее развертывание HDS, активное в Control Hub.
  • Клиентские или клиентские организации, которым необходимо управлять партнером, не должны иметь существующее развертывание HDS в Control Hub.
  • После развертывания партнером HDS с несколькими клиентами все пользователи клиентских организаций, а также пользователи партнерской организации начинают использовать HDS с несколькими клиентами для своих служб шифрования.

    Партнерская организация и клиентские организации, которыми они управляют, будут развертываться в одном развертывании HDS с несколькими клиентами.

    После развертывания HDS с несколькими клиентами партнерская организация больше не будет использовать облачную службу KMS.

  • Механизм для перемещения ключей обратно в облачную службу KMS после развертывания HDS отсутствует.
  • В настоящее время каждое развертывание HDS с несколькими клиентами может иметь только один кластер с несколькими узлами под ним.
  • Роли администраторов имеют определенные ограничения. Подробности см. в разделе ниже.

Роли в службе безопасности данных гибридного типа с несколькими клиентами

  • Администратор партнера с полными правами : может управлять настройками для всех клиентов, которыми управляет партнер. Также может назначать роли администратора существующим пользователям в организации и назначать определенных клиентов, которыми будут управлять администраторы партнера.
  • Администратор партнера . Может управлять настройками клиентов, подготовленных администратором или назначенных пользователю.
  • Администратор с полными правами . Администратор партнерской организации, уполномоченный выполнять такие задачи, как изменение настроек организации, управление лицензиями и назначение ролей.
  • Сквозная настройка HDS с несколькими клиентами и управление ими всех клиентских организаций . Требуются права администратора партнера с полными правами и администратора с полными правами.
  • Управление назначенными организациями клиента : требуются права администратора партнера и полного администратора.

Архитектура области безопасности

Облачная архитектура Webex разбивает различные типы служб на отдельные области или домены доверия, как показано ниже.

Области разделения (без службы безопасности данных гибридного типа)

Чтобы получить дополнительные сведения о безопасности данных гибридного типа, давайте сначала рассмотрим этот облачный случай, в котором компания Cisco предоставляет все функции в облачных областях. Служба удостоверений – единственное место, где пользователи могут напрямую соотнести с их персональной информацией, такой как адрес электронной почты, логически и физически отделена от области безопасности в центре обработки данных B. Обе службы в свою очередь отделены от области, в которой в конечном итоге хранится зашифрованный контент, в центре обработки данных C.

На этой схеме клиент представляет собой приложение Webex, запущенное на ноутбуке пользователя и прошедшее аутентификацию с помощью службы удостоверений. При написании пользователем сообщения для отправки в пространство выполняются следующие действия.

  1. Клиент устанавливает безопасное соединение со службой управления ключами (KMS), затем запрашивает ключ для шифрования сообщения. Защищенное соединение использует ECDH, а KMS шифрует ключ с помощью главного ключа AES-256.

  2. Сообщение шифруется до выхода из клиента. Клиент отправляет его в службу индексации, которая создает зашифрованные индексы поиска для помощи в будущих поисковых запросах контента.

  3. Зашифрованное сообщение отправляется в службу обеспечения соответствия для проверки соответствия.

  4. Зашифрованное сообщение хранится в области хранилища.

При развертывании службы безопасности данных гибридного типа функции области безопасности (KMS, индексация и соответствие требованиям) перемещаются в локальный центр обработки данных. Другие облачные службы, которые составляют Webex (включая идентификационные данные и хранилище контента), остаются в сферах Cisco.

Сотрудничество с Другими Организациями

Пользователи в вашей организации могут регулярно использовать приложение Webex для совместной работы с внешними участниками из других организаций. Когда один из пользователей запрашивает ключ для пространства, принадлежащего вашей организации (поскольку он был создан одним из пользователей), KMS отправляет ключ клиенту по защищенному каналу ECDH. Однако если ключ для пространства принадлежит другой организации, KMS перенаправляет запрос в облако Webex через отдельный канал ECDH для получения ключа от соответствующего KMS, а затем возвращает ключ пользователю в исходном канале.

Служба KMS, запущенная в организации A, проверяет подключения к KMS в других организациях с помощью сертификатов PKI x.509. Подробные сведения о создании сертификата x.509 для использования с развертыванием службы безопасности данных гибридного типа с несколькими клиентами см. в статье Подготовка среды .

Ожидания развертывания службы безопасности данных гибридного типа

Развертывание службы безопасности данных гибридного типа требует значительных обязательств и осознания рисков, связанных с хранением ключей шифрования.

Для развертывания службы безопасности данных гибридного типа необходимо предоставить:

Полная потеря конфигурации ISO, созданной для службы безопасности данных гибридного типа, или предоставленной базы данных приведет к потере ключей. Потеря ключей предотвращает расшифровку контента пространства и других зашифрованных данных в приложении Webex пользователями. В этом случае можно создать новое развертывание, однако будет отображаться только новый контент. Во избежание потери доступа к данным необходимо выполнить приведенные ниже действия.

  • Управление резервным копированием и восстановлением базы данных и конфигурации ISO.

  • Будьте готовы к быстрому аварийному восстановлению в случае аварии, например, сбою диска базы данных или сбою центра обработки данных.

Механизм для перемещения ключей обратно в облако после развертывания HDS отсутствует.

Высокоуровневый процесс настройки

В этом документе описана настройка и управление развертыванием службы безопасности данных гибридного типа с несколькими клиентами.

  • Настройка безопасности данных гибридного типа. Это включает подготовку необходимой инфраструктуры и установку программного обеспечения безопасности данных гибридного типа, создание кластера HDS, добавление клиентских организаций в кластер и управление их главными ключами клиента (CMK). Это позволит всем пользователям клиентских организаций использовать кластер безопасности данных гибридного типа для функций безопасности.

    Этапы настройки, активации и управления подробно описаны в следующих трех главах.

  • Поддержка развертывания службы безопасности данных гибридного типа: облако Webex автоматически обеспечивает непрерывную модернизацию. Ваш отдел ИТ может предоставлять поддержку первого уровня для этого развертывания и при необходимости привлекать поддержку Cisco. В Partner Hub можно использовать экранные уведомления и настроить предупреждения на основе электронной почты.

  • Общие предупреждения, действия по устранению неполадок и известные проблемы. При возникновении проблем с развертыванием или использованием службы безопасности данных гибридного типа можно определить и устранить проблему с помощью последней главы этого руководства и приложения "Известные проблемы".

Модель развертывания службы безопасности данных гибридного типа

В корпоративном центре обработки данных служба безопасности данных гибридного типа будет развернута в виде одного кластера узлов на отдельных виртуальных узлах. Узлы связываются с облаком Webex с помощью защищенных веб-сокетов и защищенного HTTP.

Во время процесса установки предоставляется файл OVA для настройки виртуального устройства на предоставленных вами виртуальных машинах. Инструмент настройки HDS используется для создания пользовательского файла конфигурации кластера ISO, который устанавливается на каждом узле. Кластер безопасности данных гибридного типа использует предоставленный сервер Syslogd и базу данных PostgreSQL или Microsoft SQL Server. (Сведения о соединении Syslogd и базы данных можно настроить в инструменте настройки HDS.)

Модель развертывания службы безопасности данных гибридного типа

Минимальное количество узлов в кластере: два. Рекомендуется не менее трех на кластер. Наличие нескольких узлов гарантирует, что во время модернизации программного обеспечения или других действий по техническому обслуживанию узла служба не будет прерываться. (Облако Webex модернизирует только один узел за раз.)

Все узлы в кластере имеют доступ к одному хранилищу данных и активности журналов на один и тот же сервер системных журналов. Сами узлы не имеют состояния и обрабатывают запросы на ключ в циклическом порядке, как направляется облаком.

Узлы становятся активными при регистрации в партнерском центре. Чтобы вывести отдельный узел из эксплуатации, можно отменить его регистрацию, а затем, при необходимости, повторно зарегистрировать его.

Резервный центр обработки данных для аварийного восстановления

Во время развертывания вы настраиваете защищенный резервный центр обработки данных. В случае аварии центра обработки данных можно вручную перенести развертывание на резервный центр обработки данных.

Перед отказом в центре обработки данных A есть активные узлы HDS и основная база данных PostgreSQL или Microsoft SQL Server, в то время как в B есть копия файла ISO с дополнительными конфигурациями, ВМ, зарегистрированные в организации, и резервная база данных. После отработки отказа центр обработки данных B имеет активные узлы HDS и основную базу данных, в то время как у A есть незарегистрированные виртуальные машины и копия файла ISO, а база данных находится в режиме ожидания.
Ручное переключение на резервный центр обработки данных

Базы данных активных и резервных центров обработки данных синхронизируются друг с другом, что позволит свести к минимуму время, затрачиваемое на выполнение отработки отказа.

Активные узлы безопасности данных гибридного типа всегда должны находиться в одном центре обработки данных с активным сервером базы данных.

Поддержка прокси

Служба безопасности данных гибридного типа поддерживает явные прокси, прозрачные прокси с проверкой и прокси без проверки. Чтобы обеспечить защиту и мониторинг трафика из сети предприятия в облако, можно связать эти прокси с развертыванием. После настройки прокси на узлах административный интерфейс платформы на узлах можно использовать для управления сертификатами и просмотра общего состояния соединений.

Узлы безопасности данных гибридного типа поддерживают указанные далее параметры прокси.

  • Нет прокси. Значение по умолчанию, если для интеграции прокси не используется конфигурация доверенного хранилища и прокси для настройки узла HDS. Обновление сертификата не требуется.

  • Прозрачный прокси без проверки. Узлы не настроены для использования адреса определенного прокси-сервера и не должны требовать каких-либо изменений для работы с прокси без проверки. Обновление сертификата не требуется.

  • Прозрачный туннелирование или прокси с проверкой. Узлы не настроены для использования адреса определенного прокси-сервера. На узлах не нужно изменять конфигурацию HTTP или HTTPS. Как бы то ни было, для обеспечения доверия прокси узлам необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже HTTPS).

  • Явный прокси. При использовании явного прокси необходимо указать прокси-сервер и схему аутентификации узлам HDS. Для настройки явного прокси на каждом узле нужно ввести следующую информацию.

    1. IP/FQDN прокси. Адрес, который можно использовать для связи с прокси-машиной.

    2. Порт прокси. Номер порта, который прокси использует для прослушивания прокси-трафика.

    3. Proxy Protocol (Протокол прокси). В зависимости от поддержки прокси-сервера выберите один из следующих протоколов.

      • HTTP – просматривает все запросы, отправляемые клиентом, и управляет этими запросами.

      • HTTPS – обеспечивает работу канала связи с сервером. Клиент получает и проверяет сертификат сервера.

    4. Тип аутентификации: выберите один из приведенных ниже типов аутентификации.

      • Нет. Дальнейшая аутентификация не требуется.

        Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.

      • Базовый: используется для агента пользователя HTTP для указания имени пользователя и пароля при совершении запроса. Использует кодировку Base64.

        Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.

        Требует ввода имени пользователя и пароля на каждом узле.

      • Дайджест. Используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети.

        Этот параметр доступен только в том случае, если в качестве протокола прокси выбран протокол HTTPS.

        Требует ввода имени пользователя и пароля на каждом узле.

Пример узлов безопасности данных гибридного типа и прокси

На этой схеме представлен пример соединения между системой безопасности данных гибридного типа, сетью и прокси. При использовании прозрачного прокси с проверкой или явного прокси с проверкой HTTPS на прокси и узлы безопасности данных гибридного типа необходимо установить один и тот же корневой сертификат.

Режим блокировки разрешения внешних DNS (конфигурации явного прокси)

При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. В развертываниях с конфигурациями явного прокси, которые не допускают разрешения внешних DNS для внутренних клиентов, если узел не может посылать запросы на DNS-серверы, он автоматически переходит в режим блокировки разрешения внешних DNS. В этом режиме можно продолжить регистрацию узла и другие тестирования подключения к прокси.

Подготовка среды

Требования к безопасности данных гибридного типа с несколькими клиентами

Требования к лицензии Cisco Webex

Развертывание службы безопасности данных гибридного типа с несколькими клиентами.

  • Партнерские организации: Обратитесь к своему партнеру Cisco или менеджеру по работе с клиентами и убедитесь, что функция "Несколько клиентов" включена.

  • Организации клиентов: Необходима профессиональная версия Cisco Webex Control Hub. См. https://www.cisco.com/go/pro-pack.

Требования к рабочему столу Docker

Перед установкой узлов HDS необходимо запустить программу настройки с помощью Docker Desktop. Docker недавно обновил свою модель лицензирования. Для вашей организации может потребоваться платная подписка на Docker Desktop. Подробности см. в записи блога Docker, " Docker обновляет и расширяет подписки на продукты".

Требования к сертификату X.509

Цепочка сертификатов должна соответствовать следующим требованиям:

Таблица 1. Требования к сертификату X.509 для развертывания системы безопасности данных гибридного типа

Требование

Подробности

  • Подписано доверенным центром сертификации (ЦС)

По умолчанию мы доверяем ЦС в списке Mozilla (за исключением WoSign и StartCom) по адресу https://wiki.mozilla.org/CA:IncludedCAs.

  • Носит доменное имя общего имени (CN), идентифицирующее развертывание службы безопасности данных гибридного типа.

  • Не является групповым сертификатом

CN не требуется, чтобы он был доступен или был организатором в режиме реального времени. Рекомендуется использовать название, отражающее вашу организацию, например hds.company.com.

CN не должен содержать * (подстановочный знак).

CN используется для проверки узлов безопасности данных гибридного типа для клиентов приложения Webex. Все узлы безопасности данных гибридного типа в кластере используют один и тот же сертификат. Ваш KMS идентифицирует себя с помощью домена CN, а не любого домена, определенного в полях SAN x.509v3.

После регистрации узла с этим сертификатом изменение доменного имени CN не поддерживается.

  • Подпись без SHA1

Программное обеспечение KMS не поддерживает подписи SHA1 для проверки подключений к KMS других организаций.

  • Отформатирован в виде файла PKCS #12, защищенного паролем

  • Используйте понятное имя kms-private-key для тегов сертификата, закрытого ключа и всех промежуточных сертификатов для загрузки.

Для изменения формата сертификата можно использовать преобразователь, например OpenSSL.

При запуске инструмента настройки HDS потребуется ввести пароль.

Программное обеспечение KMS не обеспечивает принудительное использование ключа или расширенные ограничения на его использование. Некоторые центры сертификации требуют, чтобы к каждому сертификату применялись расширенные ограничения на использование ключей, например аутентификация сервера. Использовать аутентификацию сервера или другие настройки можно.

Требования к виртуальному организатору

Виртуальные узлы, которые будут настроены в качестве узлов безопасности данных гибридного типа в кластере, имеют следующие требования:

  • По крайней мере два отдельных узла (рекомендуется 3) размещены в одном защищенном центре обработки данных

  • Установлена и запущена VMware ESXi 7.0 (или более поздняя версия).

    При наличии более ранней версии ESXi необходимо выполнить модернизацию.

  • Минимум 4 ЦП, 8 ГБ основной памяти, 30 ГБ локального жесткого диска на сервер

Требования к серверу базы данных

Создайте новую базу данных для хранилища ключей. Не используйте базу данных по умолчанию. Приложения HDS при установке создают схему базы данных.

Существует два варианта сервера баз данных. Требования для каждого из них приведены ниже.

Таблица 2. Требования к серверу базы данных в разрезе типов базы данных

PostgreSQL

Сервер Microsoft SQL

  • Установленный и запущенный PostgreSQL 14, 15 или 16.

  • Установлен SQL Server 2016, 2017 или 2019 (корпоративный или стандартный).

    Для SQL Server 2016 требуется пакет обновления 2 и накопительное обновление 2 или более поздняя версия.

Минимум 8 виртуальных ЦП, 16 ГБ основной памяти, достаточное пространство на жестком диске и мониторинг для обеспечения его отсутствия (рекомендуется 2 ТБ, если необходимо запустить базу данных в течение длительного времени без увеличения объема хранилища)

Минимум 8 виртуальных ЦП, 16 ГБ основной памяти, достаточное пространство на жестком диске и мониторинг для обеспечения его отсутствия (рекомендуется 2 ТБ, если необходимо запустить базу данных в течение длительного времени без увеличения объема хранилища)

Программное обеспечение HDS в настоящее время устанавливает следующие версии драйверов для связи с сервером базы данных:

PostgreSQL

Сервер Microsoft SQL

Драйвер JDBC Postgres 42.2.5

Драйвер JDBC 4.6 для SQL-сервера

Эта версия драйвера поддерживает SQL Server Always On (экземпляры отказоустойчивого кластера и группы доступности Always On).

Дополнительные требования для аутентификации Windows на Microsoft SQL Server

Если необходимо, чтобы узлы HDS использовали аутентификацию Windows для получения доступа к базе данных хранилища ключей на Microsoft SQL Server, в вашей среде потребуется следующая конфигурация:

  • Узлы HDS, инфраструктура Active Directory и сервер MS SQL должны быть синхронизированы с NTP.

  • Учетная запись Windows, которую вы предоставляете узлам HDS, должна иметь доступ к базе данных для чтения и записи.

  • Серверы DNS, предоставляемые узлам HDS, должны иметь возможность разрешать центр распределения ключей (KDC).

  • Экземпляр базы данных HDS можно зарегистрировать на сервере Microsoft SQL в качестве главного имени службы (SPN) в Active Directory. См. статью Регистрация имени участника службы для Kerberos Connections.

    Инструмент настройки HDS, программа запуска HDS и локальный KMS должны использовать аутентификацию Windows для доступа к базе данных хранилища ключей. Они используют сведения из конфигурации ISO для создания SPN при запросе доступа с аутентификацией Kerberos.

Требования к внешнему подключению

Настройте брандмауэр, чтобы разрешить следующее подключение для приложений HDS:

Приложение

Протокол

Порт

Направление из приложения

Адресат

Узлы безопасности данных гибридного типа

Протокол TCP

443

Исходящие HTTPS и WSS

  • Серверы Webex:

    • *.wbx2.com

    • *.ciscospark.com

  • Все хосты Common Identity

  • Другие URL-адреса, перечисленные для службы безопасности данных гибридного типа в таблице Дополнительные URL-адреса для служб гибридного типа Webex раздела Требования к сети для служб Webex

Инструмент настройки HDS

Протокол TCP

443

HTTPS для исходящих вызовов

  • *.wbx2.com

  • Все хосты Common Identity

  • hub.docker.com

Узлы безопасности данных гибридного типа работают с преобразованием сетевого доступа (NAT) или за брандмауэром, если NAT или брандмауэр допускает необходимые исходящие соединения с адресатами домена в таблице выше. Для соединений, поступающих на узлы безопасности данных гибридного типа, порты не должны отображаться из Интернета. В центре обработки данных клиентам необходим доступ к узлам безопасности данных гибридного типа на портах 443 и 22 TCP в административных целях.

URL-адреса узлов общих параметров идентификации (CI) специфичны для региона. Ниже приведены текущие узлы CI.

Регион

URL-адреса хостов общих параметров идентификации

Северная и Южная Америка

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Европейский союз

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Канада

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Сингапур

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Объединенные Арабские Эмираты

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Требования к прокси-серверу

  • Мы официально поддерживаем следующие решения для прокси, которые можно интегрировать с узлами безопасности данных гибридного типа:

  • Поддерживаются следующие комбинации типов аутентификации для явных прокси:

    • без аутентификации при использовании HTTP или HTTPS;

    • базовая аутентификация при использовании HTTP или HTTPS;

    • дайджест-аутентификация только при использовании HTTPS;

  • При наличии прозрачного прокси с проверкой или явного прокси HTTPS необходимо иметь копию корневого сертификата прокси. Инструкции по развертыванию, приведенные в этом руководстве, содержат информацию о том, как загрузить эту копию в зоны доверия узлов безопасности данных гибридного типа.

  • Сеть, в которой размещены узлы HDS, должна обеспечивать принудительную маршрутизацию исходящего трафика TCP на порте 443 через прокси.

  • Прокси, проверяющие веб-трафик, могут нарушать работу соединений веб-сокетов. Для устранения этой проблемы трафик следует направить в обход (без проверки) на wbx2.com и *.teams.webex.com.

Выполнение предварительных требований для службы безопасности данных гибридного типа

Используйте этот перечень действий, чтобы убедиться в готовности к установке и настройке кластера безопасности данных гибридного типа.
1

Убедитесь, что в партнерской организации включена функция HDS с несколькими клиентами, и получите учетные данные учетной записи с полными правами администратора партнера и полными правами администратора. Убедитесь, что для клиентской организации Webex включена профессиональная версия Cisco Webex Control Hub. Обратитесь за помощью к своему партнеру Cisco или менеджеру по работе с клиентами.

У клиентских организаций не должно быть существующего развертывания HDS.

2

Выберите имя домена для развертывания HDS (например, hds.company.com) и получите цепочку сертификатов, содержащую сертификат X.509, закрытый ключ и любые промежуточные сертификаты. Цепочка сертификатов должна соответствовать требованиям, указанным в разделе Требования к сертификатам X.509.

3

Подготовьте идентичные виртуальные узлы, которые будут настроены в качестве узлов безопасности данных гибридного типа в кластере. Необходимо разместить не менее двух отдельных организаторов (рекомендуется 3) в одном и том же защищенном центре обработки данных, который соответствует требованиям в разделе Требования к виртуальному организатору.

4

Подготовьте сервер базы данных, который будет использоваться в качестве хранилища ключевых данных для кластера в соответствии с требованиями сервера базы данных. Сервер базы данных должен быть размещен в защищенном центре обработки данных с виртуальными хостами.

  1. Создайте базу данных для хранилища ключей. (Необходимо создать эту базу данных. Не используйте базу данных по умолчанию. Приложения HDS при установке создают схему базы данных.)

  2. Соберите сведения, которые узлы будут использовать для связи с сервером базы данных.

    • имя хоста или IP-адрес (хост) и порт

    • имя базы данных (dbname) для хранилища ключей

    • имя пользователя и пароль пользователя со всеми правами в базе данных хранилища ключей

5

Для быстрого аварийного восстановления настройте резервную среду в другом центре обработки данных. Резервная среда дублирует производственную среду виртуальных машин и сервер базы данных резервного копирования. Например, если в производственной среде есть 3 виртуальных машины с узлами HDS, резервная среда должна иметь 3 виртуальных машины.

6

Настройте узел системного журнала для сбора журналов с узлов в кластере. Соберите сетевой адрес и порт системного журнала (по умолчанию UDP 514).

7

Создайте политику безопасного резервного копирования для узлов безопасности данных гибридного типа, сервера базы данных и узла системного журнала. Как минимум, чтобы предотвратить необратимую потерю данных, необходимо создать резервную копию базы данных и файла конфигурации ISO, созданного для узлов безопасности данных гибридного типа.

Поскольку узлы безопасности данных гибридного типа хранят ключи, используемые при шифровании и расшифровке контента, невыполнение оперативного развертывания приведет к НЕОБРАТИМОЙ ПОТЕРЕ этого контента.

Клиенты приложения Webex кэшируют свои ключи, поэтому сбои могут не сразу стать заметными, но со временем станут очевидными. Временные перебои невозможно предотвратить, но их можно восстановить. Однако полная потеря базы данных или файла конфигурации ISO (нет доступных резервных копий) приведет к невозможности восстановления данных клиента. Ожидается, что операторы узлов безопасности данных гибридного типа осуществляют частые резервные копии базы данных и файла конфигурации ISO и будут готовы к обновлению центра обработки данных службы безопасности данных гибридного типа в случае катастрофической ошибки.

8

Убедитесь, что конфигурация брандмауэра разрешает соединение для узлов безопасности данных гибридного типа, как описано в разделе Требования к внешнему подключению.

9

Установите Docker (https://www.docker.com) на любом локальном компьютере, на котором запущена поддерживаемая ОС (64-разрядная версия Microsoft Windows 10 Professional или Enterprise или Mac OSX Yosemite 10.10.3 или более поздняя версия) с веб-браузером, с помощью которого можно получить доступ на странице http://127.0.0.1:8080.

Экземпляр Docker используется для скачивания и запуска инструмента настройки HDS, который создает информацию локальной конфигурации для всех узлов безопасности данных гибридного типа. Вам может понадобиться лицензия Docker Desktop. Дополнительную информацию см. в статье Требования к рабочему столу Docker .

Для установки и запуска инструмента настройки HDS локальная машина должна иметь подключение, описанное в разделе Требования к внешнему подключению.

10

При интеграции прокси с системой безопасности данных гибридного типа убедитесь, что он соответствует требованиям к прокси-серверу.

Настройка кластера безопасности данных гибридного типа

Алгоритм выполнения задач по развертыванию службы безопасности данных гибридного типа

Перед началом работы

1

Выполните начальную настройку и скачайте файлы установки

Скачайте файл OVA на локальный компьютер для дальнейшего использования.

2

Создание ISO конфигурации для узлов HDS

Используйте инструмент настройки HDS для создания файла конфигурации ISO для узлов безопасности данных гибридного типа.

3

Установка файла OVA узла HDS

Создайте виртуальную машину из файла OVA и выполните начальную конфигурацию, например параметры сети.

Параметр настройки сети во время развертывания OVA протестирован с помощью ESXi 7.0. Этот параметр может быть недоступен в более ранних версиях.

4

Настройка виртуальной машины безопасности данных гибридного типа

Войдите в консоль виртуальной машины и задайте учетные данные для входа. Настройте параметры сети для узла, если они не были настроены во время развертывания файла OVA.

5

Загрузка и установка ISO конфигурации HDS

Настройте виртуальную машину из файла конфигурации ISO, созданного с помощью инструмента настройки HDS.

6

Настройка узла HDS для интеграции прокси

Если в сетевой среде требуется конфигурация прокси, укажите тип прокси, который будет использоваться для узла, и при необходимости добавьте сертификат прокси в доверенное хранилище.

7

Регистрация первого узла в кластере

Зарегистрируйте виртуальную машину в облаке Cisco Webex в качестве узла безопасности данных гибридного типа.

8

Создать и зарегистрировать другие узлы

Завершите настройку кластера.

9

Активируйте HDS с несколькими клиентами в Partner Hub.

Активируйте HDS и управляйте организациями клиентов в Partner Hub.

Выполните начальную настройку и скачайте файлы установки

В этой задаче вы скачаете файл OVA на свой компьютер (а не на серверы, настроенные в качестве узлов безопасности данных гибридного типа). Этот файл будет использован позже в процессе установки.

1

Войдите в Partner Hub и щелкните Службы.

2

В разделе облачных служб найдите карточку безопасности данных гибридного типа и щелкните Настройка.

Нажатие кнопки Настройка в партнерском центре имеет решающее значение для процесса развертывания. Не продолжайте установку без завершения этого шага.

3

Щелкните Добавить ресурс и щелкните Скачать файл OVA на карточке Установка и настройка программного обеспечения .

Более ранние версии пакета программного обеспечения (OVA) не будут совместимы с последними модернизациями безопасности данных гибридного типа. Это может привести к ошибкам во время модернизации приложения. Убедитесь, что скачано последнюю версию файла OVA.

Кроме того, файл OVA можно скачать в любой момент в разделе Справка . Щелкните Настройки > Справка > Скачать программное обеспечение безопасности данных гибридного типа.

Скачивание файла OVA начнется автоматически. Сохраните файл в местоположении на своем компьютере.
4

При необходимости щелкните Просмотреть руководство по развертыванию службы безопасности данных гибридного типа , чтобы проверить доступность более поздней версии этого руководства.

Создание ISO конфигурации для узлов HDS

Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.

Прежде чем начать
1

Введите соответствующую команду для вашей среды в командной строке компьютера.

В обычных средах:

docker rmi ciscocitg/hds-setup:stable

В средах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать.

2

Чтобы войти в реестр образов Docker, введите следующее.

docker login -u hdscustomersro
3

Введите в запросе пароля этот хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Скачайте последнюю стабильную версию образа для вашей среды.

В обычных средах:

docker pull ciscocitg/hds-setup:stable

В средах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

По завершении скачивания введите соответствующую команду для вашей среды.

  • В обычных средах без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • В обычных средах с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В обычных средах с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В средах FedRAMP без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

6

Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу.

Перейдите к локальному узлу http://127.0.0.1:8080 с помощью веб-браузера и введите имя пользователя администратора для Partner Hub в окне подсказки.

Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартную подсказку для входа в систему.

7

При отображении соответствующего запроса введите учетные данные для входа администратора Partner Hub и щелкните Войти , чтобы разрешить доступ к необходимым службам для службы безопасности данных гибридного типа.

8

На странице обзора инструмента настройки щелкните Начало работы.

9

На странице Импорт ISO доступны следующие параметры.

  • Нет. Если вы создаете первый узел HDS, у вас нет файла ISO для загрузки.
  • Да. Если вы уже создали узлы HDS, выберите файл ISO в окне просмотра и загрузите его.
10

Проверьте, соответствует ли сертификат X.509 требованиям к сертификатам X.509.

  • Если сертификат ранее не загружался, загрузите сертификат X.509, введите пароль и щелкните Продолжить.
  • Если сертификат в ОК, щелкните Продолжить.
  • Если срок действия сертификата истек или вы хотите заменить его, выберите Нет для параметра Продолжить использование цепочки сертификатов HDS и закрытого ключа из предыдущего ISO?. Загрузите новый сертификат X.509, введите пароль и щелкните Продолжить.
11

Введите адрес базы данных и учетную запись HDS для доступа к хранилищу данных ключей:

  1. Выберите Тип базы данных (PostgreSQL или Microsoft SQL Server).

    При выборе Microsoft SQL Server появится поле "Тип аутентификации".

  2. (Только Microsoft SQL Server ) Выберите Тип аутентификации.

    • Базовая аутентификация. В поле Имя пользователя необходимо указать имя учетной записи локального сервера SQL.

    • Аутентификация Windows. Необходима учетная запись Windows в формате имя_пользователя@ДОМЕН в поле Имя_пользователя .

  3. Введите адрес сервера базы данных в форме : или :.

    Пример.
    dbhost.example.org:1433 или 198.51.100.17:1433

    Если узлы не могут использовать DNS для разрешения имени узла, можно использовать IP-адрес для базовой аутентификации.

    При использовании аутентификации Windows необходимо ввести полное доменное имя в формате dbhost.example.org:1433

  4. Введите имя базы данных.

  5. Введите имя пользователя и пароль пользователя со всеми правами в базе данных хранилища ключей.

12

Выберите Режим подключения к базе данных TLS.

Mode

Описание

Предпочтительное использование TLS (параметр по умолчанию)

Узлам HDS не требуется TLS для подключения к серверу базы данных. Если на сервере базы данных включить TLS, узлы попытаются установить зашифрованное соединение.

Обязательное использование TLS

Подключение узлов HDS будет выполнено только в том случае, если сервер базы данных может согласовывать использование TLS.

Обязательное использование TLS и проверка источника подписи сертификата

Этот режим неприменим к базам данных SQL Server.

  • Подключение узлов HDS будет выполнено только в том случае, если сервер базы данных может согласовывать использование TLS.

  • После установления соединения TLS узел сравнивает подписавшего сертификат сервера базы данных с центром сертификации в корневом сертификате базы данных. При отсутствии совпадения узел разорвет соединение.

Воспользуйтесь элементом управления корневым сертификатом базы данных под раскрывающимся списком, чтобы загрузить корневой сертификат для этого параметра.

Обязательное использование TLS и проверка источника подписи сертификата и имени узла

  • Подключение узлов HDS будет выполнено только в том случае, если сервер базы данных может согласовывать использование TLS.

  • После установления соединения TLS узел сравнивает подписавшего сертификат сервера базы данных с центром сертификации в корневом сертификате базы данных. При отсутствии совпадения узел разорвет соединение.

  • Узлы также проверяют, совпадает ли имя узла в сертификате сервера с именем узла в поле Узел базы данных и порт . Необходимо точное совпадение имен. Иначе узел разорвет соединение.

Воспользуйтесь элементом управления корневым сертификатом базы данных под раскрывающимся списком, чтобы загрузить корневой сертификат для этого параметра.

При загрузке корневого сертификата (при необходимости) и нажатии Продолжить инструмент настройки HDS тестирует подключение TLS к серверу базы данных. Инструмент также выполняет проверку источника подписи сертификата и имени узла (если применимо). Если тест не будет пройден, в инструменте будет отображено сообщение об ошибке с описанием проблемы. Можно выбрать параметр игнорирования ошибки и продолжить настройку. (Из-за различий соединения узлы HDS могут установить соединение TLS, даже если машина средства настройки HDS не может успешно протестировать его.)

13

На странице «Системные журналы» настройте сервер Syslogd:

  1. Введите URL-адрес сервера системного журнала.

    Если сервер не может разрешить DNS из узлов для кластера HDS, используйте IP-адрес в URL.

    Пример.
    udp://10.92.43.23:514 означает вход в хост Syslogd 10.92.43.23 на порте UDP 514.

  2. Если вы настроили на сервере использование шифрования TLS, установите флажок Настроен ли сервер системного журнала для шифрования SSL?.

    Если установить этот флажок, необходимо ввести URL-адрес TCP, например tcp://10.92.43.23:514.

  3. В раскрывающемся списке Выберите прекращение записи системного журнала выберите соответствующую настройку для файла ISO. Выбор или новая линия используется для TCP-протокола Graylog и Rsyslog

    • Нулевой байт -- \x00

    • Новая линия -- \n: выберите этот вариант для TCP-протокола Graylog и Rsyslog.

  4. Щелкните Продолжить.

14

(Необязательно) Можно изменить значение по умолчанию для некоторых параметров подключения к базе данных в разделе Расширенные настройки. Как правило, этот параметр является единственным, который необходимо изменить:

app_datasource_connection_pool_maxРазмер: 10
15

Щелкните Продолжить на экране Сброс пароля учетных записей службы .

Срок действия паролей учетных записей службы составляет девять месяцев. Используйте этот экран, когда срок действия паролей скоро истечет или вы хотите сбросить их, чтобы сделать предыдущие файлы ISO недействительными.

16

Щелкните Скачать файл ISO. Сохраните файл в удобном для поиска местоположении.

17

Сделайте резервную копию файла ISO в локальной системе.

Обеспечьте безопасность резервного копирования. Этот файл содержит главный ключ шифрования для содержимого базы данных. Ограничьте доступ только тем администраторам службы безопасности данных гибридного типа, которые должны вносить изменения в конфигурацию.

18

Чтобы завершить работу инструмента настройки, нажмите CTRL+C.

Дальнейшие действия

Создайте резервную копию файла конфигурации ISO. Это необходимо для создания дополнительных узлов для восстановления или внесения изменений в конфигурацию. В случае утери всех копий файла ISO также был утрачен главный ключ. Невозможно восстановить ключи из базы данных PostgreSQL или Microsoft SQL Server.

У нас никогда не будет копии этого ключа, и мы не можем помочь, если вы его потеряете.

Установка файла OVA узла HDS

Используйте эту процедуру для создания виртуальной машины из файла OVA.
1

Используйте клиент VMware vSphere на компьютере для входа в виртуальный хост ESXi.

2

Выберите Файл > Развернуть шаблон OVF.

3

В мастере укажите расположение скачанного ранее файла OVA и щелкните Далее.

4

На странице Выберите имя и папку введите имя виртуальной машины для узла (например, "HDS_Node_1"), выберите местоположение, в котором может находиться развертывание узла виртуальной машины, и щелкните Далее.

5

На странице Выбор вычислительного ресурса выберите целевой вычислительный ресурс и щелкните Далее.

Выполняется проверка. По завершении отобразятся сведения о шаблоне.

6

Проверьте сведения о шаблоне и щелкните Далее.

7

При появлении запроса на выбор конфигурации ресурса на странице Конфигурация щелкните 4 ЦП , а затем щелкните Далее.

8

На странице Выбор хранилища щелкните Далее , чтобы принять формат диска по умолчанию и политику хранилища виртуальной машины.

9

На странице Выбор сетей выберите параметр сети из списка записей, чтобы обеспечить необходимое подключение к виртуальной машине.

10

На странице Настройка шаблона настройте приведенные ниже параметры сети.

  • Имя узла. Введите FQDN (имя узла и домен) или одно слово имя узла.

    • Настройка домена в соответствии с доменом, который вы использовали для получения сертификата X.509, не требуется.

    • Чтобы обеспечить успешную регистрацию в облаке, используйте только символы нижнего регистра в FQDN или имени узла, заданном для узла. В настоящее время заглавные буквы не поддерживаются.

    • Общая длина FQDN не должна превышать 64 символа.

  • IP-адрес: введите IP-адрес для внутреннего интерфейса узла.

    Узел должен иметь внутренний IP-адрес и имя DNS. DHCP не поддерживается.

  • Маска. Введите адрес маски подсети в десятичном формате. Например, 255.255.255.0.
  • Шлюз: введите IP-адрес шлюза. Шлюз — это сетевой узел, который служит точкой доступа к другой сети.
  • DNS-серверы: введите список DNS-серверов, разделенных запятыми, для обработки перевода доменных имен на числовые IP-адреса. (Разрешено до 4 записей DNS.)
  • NTP Servers (Серверы NTP). Введите сервер NTP вашей организации или другой внешний сервер NTP, который можно использовать в вашей организации. Серверы NTP по умолчанию могут работать не для всех предприятий. Для ввода нескольких NTP-серверов также можно использовать список, разделенный запятыми.

  • Разверните все узлы в одной подсети или VLAN, чтобы все узлы в кластере были доступны из клиентов вашей сети в административных целях.

При необходимости можно пропустить конфигурацию сетевых настроек и выполнить действия, описанные в разделе Настройка виртуальной машины безопасности данных гибридного типа , чтобы настроить параметры с помощью консоли узла.

Параметр настройки сети во время развертывания OVA протестирован с помощью ESXi 7.0. Этот параметр может быть недоступен в более ранних версиях.

11

Щелкните правой кнопкой мыши узел виртуальной машины и выберите Питание > Включение.

Программное обеспечение безопасности данных гибридного типа устанавливается в качестве гостя на узле виртуальной машины. Теперь вы готовы войти в консоль и настроить узел.

Рекомендации по устранению неисправностей

Контейнеры узла могут появиться через несколько минут. Во время первой загрузки на консоли отображается сообщение брандмауэра моста, в течение которого невозможно войти в систему.

Настройка виртуальной машины безопасности данных гибридного типа

Используйте эту процедуру для первого входа в консоль виртуальной машины узла безопасности данных гибридного типа и установки учетных данных для входа. Можно также использовать консоль для настройки сетевых параметров узла, если они не были настроены во время развертывания файла OVA.

1

В клиенте VMware vSphere выберите виртуальную машину узла безопасности данных гибридного типа и откройте вкладку Консоль .

Будет загружена виртуальная машина, и отобразится запрос на вход. Если запрос на вход не отображается, нажмите клавишу ввода.
2

Для входа и изменения учетных данных используйте следующие параметры входа и пароля по умолчанию:

  1. Вход: Администратор

  2. Пароль. Cisco

Поскольку вы впервые входите в свою виртуальную машину, вам необходимо изменить пароль администратора.

3

Если параметры сети уже настроены в разделе Установка OVA узла HDS, пропустите остальную процедуру. В противном случае в главном меню выберите параметр Редактировать конфигурацию .

4

Настройте статическую конфигурацию с использованием IP-адреса, маски, шлюза и информации DNS. Узел должен иметь внутренний IP-адрес и имя DNS. DHCP не поддерживается.

5

(Необязательно) Измените имя хоста, домен или NTP-серверы, если это необходимо для соответствия вашей сетевой политике.

Настройка домена в соответствии с доменом, который вы использовали для получения сертификата X.509, не требуется.

6

Сохраните конфигурацию сети и перезагрузите виртуальную машину, чтобы изменения вступили в силу.

Загрузка и установка ISO конфигурации HDS

Используйте эту процедуру для настройки виртуальной машины из файла ISO, созданного с помощью инструмента настройки HDS.

Перед началом работы

Поскольку в файле ISO содержится главный ключ, он должен быть раскрыт только по принципу «необходимо знать» для доступа виртуальных машин безопасности данных гибридного типа и всех администраторов, которым может потребоваться внести изменения. Убедитесь, что доступ к хранилищу данных могут получить только эти администраторы.

1

Загрузите файл ISO со своего компьютера.

  1. На левой панели навигации клиента VMware vSphere щелкните сервер ESXi.

  2. В списке "Оборудование" вкладки "Конфигурация" щелкните Хранилище.

  3. В списке хранилищ данных щелкните правой кнопкой мыши хранилище данных для виртуальных машин и щелкните Обзор хранилища данных.

  4. Щелкните пиктограмму "Загрузить файлы" и щелкните Загрузить файл.

  5. Перейдите в расположение, в котором скачался файл ISO на компьютер, и щелкните Открыть.

  6. Щелкните Да , чтобы принять предупреждение о загрузке или скачивании и закрыть диалоговое окно хранилища данных.

2

Установите файл ISO:

  1. На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры.

  2. Щелкните ОК , чтобы принять предупреждение об ограничении параметров редактирования.

  3. Щелкните Привод CD/DVD 1, выберите параметр подключения из файла хранилища данных ISO и перейдите в расположение, в котором был загружен файл конфигурации ISO.

  4. Установите флажки Подключено и Подключиться при включении.

  5. Сохраните изменения и перезагрузите виртуальную машину.

Дальнейшие действия

Если политика ИТ требует, после внесения изменений конфигурации на всех узлах можно отсоединить файл ISO. Подробные сведения см. в статье (необязательно) Отключение ISO после настройки HDS .

Настройка узла HDS для интеграции прокси

Если в сетевой среде необходимо использовать прокси, воспользуйтесь этой процедурой, чтобы указать тип прокси, который нужно интегрировать со службой безопасности данных гибридного типа. При выборе прозрачного прокси с проверкой или явного прокси HTTPS можно использовать интерфейс узла для загрузки и установки корневого сертификата. Кроме того, в интерфейсе можно проверять соединение с прокси и устранять неполадки.

Перед началом работы

1

Введите в веб-браузере URL-адрес для настройки узла HDS https://[IP-адрес или FQDN узла HDS]/setup, укажите учетные данные администратора, заданные вами для узла, и щелкните Sign In (Вход).

2

Откройте раздел Trust Store & Proxy (Зона доверия и прокси) и выберите один из следующих параметров.

  • Без прокси. Этот параметр используется по умолчанию перед интеграцией прокси. Обновление сертификата не требуется.
  • Прозрачный прокси без проверки. Узлы не настроены для использования адреса определенного прокси-сервера и не должны требовать каких-либо изменений для работы с прокси без проверки. Обновление сертификата не требуется.
  • Прозрачный прокси с проверкой: узлы не настроены для использования адреса определенного прокси-сервера. В развертывании службы безопасности данных гибридного типа не нужно вносить изменения в конфигурацию HTTPS, однако для обеспечения доверия прокси узлам HDS необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже HTTPS).
  • Явный прокси. При использовании явного прокси клиент (узлы HDS) определяет, какой прокси-сервер использовать. Этот параметр поддерживает несколько типов аутентификации. После выбора этого параметра необходимо ввести указанную далее информацию.

    1. IP/FQDN прокси. Адрес, который можно использовать для связи с прокси-машиной.

    2. Порт прокси. Номер порта, который прокси использует для прослушивания прокси-трафика.

    3. Proxy Protocol (Протокол прокси). Выберите http (просмотр и управление всеми запросами, полученными от клиента) или https (обеспечивает канал для сервера, а клиент получает и проверяет сертификат сервера). Выберите параметр в зависимости от того, какой протокол поддерживает используемый вами прокси-сервер.

    4. Тип аутентификации: выберите один из приведенных ниже типов аутентификации.

      • Нет. Дальнейшая аутентификация не требуется.

        Этот параметр доступен для прокси HTTP или HTTPS.

      • Базовый: используется для агента пользователя HTTP для указания имени пользователя и пароля при совершении запроса. Использует кодировку Base64.

        Этот параметр доступен для прокси HTTP или HTTPS.

        Если вы выберете этот параметр, вам понадобится ввести имя пользователя и пароль.

      • Дайджест. Используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети.

        Этот параметр доступен только для прокси HTTPS.

        Если вы выберете этот параметр, вам понадобится ввести имя пользователя и пароль.

В случае использования прозрачного прокси с проверкой, явного прокси HTTP с базовой аутентификацией или явного прокси HTTPS выполните указанные далее шаги.

3

Щелкните Upload a Root Certificate or End Entity Certificate (Загрузить корневой сертификат или сертификат конечного субъекта) и откройте меню для выбора корневого сертификата для прокси.

Сертификат будет загружен, но не установлен, поскольку для установки сертификата необходимо перезагрузить узел. Чтобы получить дополнительные сведения, щелкните стрелку-шеврон, расположенную рядом с именем издателя сертификата. Если вы допустили ошибку и хотите вновь загрузить файл, щелкните Delete (Удалить).

4

Чтобы протестировать сетевое соединение между узлом и прокси, щелкните Check Proxy Connection (Проверить соединение с прокси).

Если тестирование соединения завершится неудачей, на экране появится сообщение об ошибке, в котором будут указаны причина и способ исправления ошибки.

Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу. Такая проблема может возникнуть во многих конфигурациях явного прокси. Можно продолжить настройку, и узел будет работать в режиме блокировки разрешения внешних DNS. Если вы считаете, что это ошибка, выполните эти действия, а затем см. статью Выключение режима блокировки разрешения внешних DNS.

5

Если вы используете явный прокси, настроенный на применение исключительно https, после успешного завершения тестирования соединения включите параметр Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси (Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси). Для вступления в силу этого параметра необходимо 15 секунд.

6

Щелкните Install All Certificates Into the Trust Store (Установить все сертификаты в зоне доверия) – этот параметр отображается при использовании явного прокси HTTPS или прозрачного прокси с проверкой – или Reboot (Перезагрузить) – этот параметр отображается при использовании явного прокси HTTP. Прочитайте запрос и щелкните Install (Установить), если вы готовы к установке.

Узел перезагрузится в течение нескольких минут.

7

После перезагрузки узла повторно войдите в систему, если это необходимо, и откройте страницу Обзор, чтобы выполнить проверки соединений. Состояние всех проверок должно быть обозначено зеленым цветом.

Проверка соединения с прокси используется исключительно для тестирования поддомена webex.com. Проблемы с соединениями нередко возникают из-за того, что некоторые облачные домены, указанные в инструкциях по установке, блокируются на уровне прокси.

Регистрация первого узла в кластере

Эта задача берет общий узел, созданный в разделе Настройка виртуальной машины безопасности данных гибридного типа, регистрирует узел в облаке Webex и преобразует его в узел безопасности данных гибридного типа.

При регистрации первого узла создается кластер, которому он назначен. Кластер содержит один или несколько узлов, развернутых для резервирования.

Перед началом работы

  • После начала регистрации узла ее необходимо завершить в течение 60 минут или начать заново.

  • Убедитесь, что все блокировки всплывающих окон в браузере отключены или вы разрешаете исключение для admin.webex.com.

1

Войдите в https://admin.webex.com.

2

В меню в левой части экрана выберите Службы.

3

В разделе облачных служб найдите карточку безопасности данных гибридного типа и щелкните Настройка.

4

На открывшейся странице щелкните Добавить ресурс.

5

В первом поле карточки Добавить узел введите имя кластера, которому необходимо назначить узел безопасности данных гибридного типа.

Рекомендуется назвать кластер в зависимости от географического расположения узлов кластера. Примеры: "Сан-Франциско", "Нью-Йорк" или "Даллас"

6

Во втором поле введите внутренний IP-адрес или полное доменное имя узла и щелкните Добавить в нижней части экрана.

Этот IP-адрес или полное доменное имя должны совпадать с IP-адресом или именем хоста и доменом, которые вы использовали в разделе Настройка виртуальной машины безопасности данных гибридного типа.

Отобразится сообщение о том, что можно зарегистрировать узел в Webex.
7

Щелкните Перейти к узлу.

Через несколько секунд вы будете перенаправлены на тестирование подключения узла для служб Webex. Если все тесты будут успешными, отобразится страница "Разрешить доступ к узлу безопасности данных гибридного типа". Здесь вы подтверждаете, что хотите предоставить вашей организации Webex полномочия на доступ к узлу.

8

Установите флажок в поле Разрешить доступ к узлу безопасности данных гибридного типа и щелкните Продолжить.

Учетная запись подтверждена. В сообщении "Регистрация завершена" указано, что узел зарегистрирован в облаке Webex.
9

Щелкните ссылку или закройте вкладку, чтобы вернуться на страницу безопасности данных гибридного типа партнерского центра.

На странице Безопасность данных гибридного типа новый кластер, содержащий зарегистрированный узел, отображается на вкладке Ресурсы . Узел будет автоматически скачан новейшее программное обеспечение из облака.

Создать и зарегистрировать другие узлы

Чтобы добавить дополнительные узлы в кластер, просто создайте дополнительные виртуальные машины и подключите тот же файл конфигурации ISO, а затем зарегистрируйте узел. Рекомендуется иметь не менее 3 узлов.

Перед началом работы

  • После начала регистрации узла ее необходимо завершить в течение 60 минут или начать заново.

  • Убедитесь, что все блокировки всплывающих окон в браузере отключены или вы разрешаете исключение для admin.webex.com.

1

Создайте новую виртуальную машину из файла OVA, повторяя шаги, описанные в разделе Установка файла OVA узла HDS.

2

Настройте начальную конфигурацию новой виртуальной машины, повторяя шаги, описанные в разделе Настройка виртуальной машины безопасности данных гибридного типа.

3

В новой виртуальной машине повторите шаги, описанные в разделе Загрузка и установка ISO конфигурации HDS.

4

При настройке прокси для развертывания повторите шаги, описанные в разделе Настройка узла HDS для интеграции прокси для нового узла.

5

Зарегистрируйте узел.

  1. В https://admin.webex.com в меню в левой части экрана выберите Службы .

  2. В разделе облачных служб найдите карточку безопасности данных гибридного типа и щелкните Просмотреть все.

    Откроется страница "Ресурсы безопасности данных гибридного типа".

  3. Только что созданный кластер отобразится на странице Ресурсы .

  4. Щелкните кластер, чтобы просмотреть узлы, назначенные кластеру.

  5. Щелкните Добавить узел в правой части экрана.

  6. Введите внутренний IP-адрес или полное доменное имя узла и щелкните Добавить.

    Откроется страница с сообщением о том, что можно зарегистрировать узел в облаке Webex. Через несколько секунд вы будете перенаправлены на тестирование подключения узла для служб Webex. Если все тесты будут успешными, отобразится страница "Разрешить доступ к узлу безопасности данных гибридного типа". После этого вы подтверждаете, что хотите предоставить организации полномочия на доступ к узлу.

  7. Установите флажок в поле Разрешить доступ к узлу безопасности данных гибридного типа и щелкните Продолжить.

    Учетная запись подтверждена. В сообщении "Регистрация завершена" указано, что узел зарегистрирован в облаке Webex.

  8. Щелкните ссылку или закройте вкладку, чтобы вернуться на страницу безопасности данных гибридного типа партнерского центра.

    Всплывающее сообщение Узел добавлен также отображается в нижней части экрана в партнерском центре.

    Ваш узел зарегистрирован.

Управление организациями клиентов в службе безопасности данных гибридного типа с поддержкой нескольких клиентов

Активация HDS с несколькими клиентами в центре партнера

Эта задача позволит всем пользователям клиентских организаций начать использование HDS для локальных ключей шифрования и других служб безопасности.

Перед началом работы

Убедитесь, что настройка кластера HDS с несколькими клиентами завершена с требуемым количеством узлов.

1

Войдите в https://admin.webex.com.

2

В меню в левой части экрана выберите Службы.

3

В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Редактировать настройки.

4

Щелкните Активировать HDS на карточке Состояние HDS .

Добавить организации клиентов в Partner Hub

В этой задаче вы назначаете клиентские организации кластеру безопасности данных гибридного типа.

1

Войдите в https://admin.webex.com.

2

В меню в левой части экрана выберите Службы.

3

В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Просмотреть все.

4

Щелкните кластер, которому необходимо назначить клиента.

5

Перейдите на вкладку Назначенные клиенты .

6

Щелкните Добавить клиентов.

7

В раскрывающемся меню выберите клиента, которого необходимо добавить.

8

Щелкните Добавить, и клиент будет добавлен в кластер.

9

Чтобы добавить в кластер несколько клиентов, повторите шаги 6–8.

10

После добавления клиентов щелкните Готово в нижней части экрана.

Дальнейшие действия

Чтобы завершить процесс настройки, запустите инструмент настройки HDS, как описано в разделе Создание главных ключей клиента (CMK) с помощью инструмента настройки HDS .

Создание главных ключей клиентов (CMK) с помощью инструмента настройки HDS

Перед началом работы

Назначьте клиентов в соответствующий кластер, как описано в разделе Добавление клиентских организаций в Partner Hub. Запустите инструмент настройки HDS, чтобы завершить процесс настройки вновь добавленных клиентских организаций.

  • Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора для вашей организации.

    Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.

    Описание

    Переменная

    HTTP-прокси без аутентификации

    ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТ

    HTTPS-прокси без аутентификации

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTP-прокси с аутентификацией

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

    HTTPS-прокси с аутентификацией

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

  • Созданный файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. При внесении изменений в конфигурацию вам потребуется последняя копия этого файла. Например:

    • Учетные данные базы данных

    • Обновления сертификата

    • Изменения политики авторизации

  • При планировании шифрования соединений с базой данных настройте развертывание PostgreSQL или SQL Server для TLS.

Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.

1

Введите соответствующую команду для вашей среды в командной строке компьютера.

В обычных средах:

docker rmi ciscocitg/hds-setup:stable

В средах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать.

2

Чтобы войти в реестр образов Docker, введите следующее.

docker login -u hdscustomersro
3

Введите в запросе пароля этот хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Скачайте последнюю стабильную версию образа для вашей среды.

В обычных средах:

docker pull ciscocitg/hds-setup:stable

В средах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

По завершении скачивания введите соответствующую команду для вашей среды.

  • В обычных средах без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • В обычных средах с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В обычных средах с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В средах FedRAMP без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

6

Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу.

Перейдите к локальному узлу http://127.0.0.1:8080 с помощью веб-браузера и введите имя пользователя администратора для Partner Hub в окне подсказки.

Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартную подсказку для входа в систему.

7

При отображении соответствующего запроса введите учетные данные для входа администратора Partner Hub и щелкните Войти , чтобы разрешить доступ к необходимым службам для службы безопасности данных гибридного типа.

8

На странице обзора инструмента настройки щелкните Начало работы.

9

На странице Импорт ISO щелкните Да.

10

Выберите файл ISO в браузере и загрузите его.

Для выполнения управления CMK убедитесь в подключении к базе данных.
11

Перейдите на вкладку Управление CMK клиента , где можно найти три способа управления CMK клиента.

  • Создать CMK для всех ОРГАНИЗАЦИЙ или Создать CMK . Щелкните эту кнопку на баннере в верхней части экрана, чтобы создать CMK для всех вновь добавленных организаций.
  • Щелкните кнопку Управление CMK в правой части экрана и щелкните Создать CMK , чтобы создать CMK для всех вновь добавленных организаций.
  • Щелкните … рядом с состоянием рассмотрения управления CMK определенной организации в таблице и щелкните Создать CMK , чтобы создать CMK для этой организации.
12

После успешного создания CMK состояние в таблице изменится с Управление CMK рассматривается на Управление CMK.

13

В случае неудачного создания CMK отображается ошибка.

Удалить организации клиентов

Перед началом работы

После удаления пользователи клиентских организаций не смогут использовать HDS в целях шифрования, а все существующие пространства будут утрачены. Прежде чем удалить клиентские организации, обратитесь к своему партнеру Cisco или менеджеру по работе с клиентами.

1

Войдите в https://admin.webex.com.

2

В меню в левой части экрана выберите Службы.

3

В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Просмотреть все.

4

На вкладке Ресурсы щелкните кластер, из которого необходимо удалить клиентские организации.

5

На открывшейся странице щелкните Назначенные клиенты.

6

В списке отображаемых клиентских организаций щелкните ... в правой части клиентской организации, которую необходимо удалить, и щелкните Удалить из кластера.

Дальнейшие действия

Завершите процесс удаления, отозвав CMK клиентских организаций, как описано в статье Отозвать CMK клиентов, удаленных из HDS.

Отозвать CMK клиентов, удаленные из HDS.

Перед началом работы

Удалите клиентов из соответствующего кластера, как описано в разделе Удаление клиентских организаций. Запустите инструмент настройки HDS, чтобы завершить процесс удаления удаленных клиентских организаций.

  • Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора для вашей организации.

    Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.

    Описание

    Переменная

    HTTP-прокси без аутентификации

    ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТ

    HTTPS-прокси без аутентификации

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTP-прокси с аутентификацией

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

    HTTPS-прокси с аутентификацией

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

  • Созданный файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. При внесении изменений в конфигурацию вам потребуется последняя копия этого файла. Например:

    • Учетные данные базы данных

    • Обновления сертификата

    • Изменения политики авторизации

  • При планировании шифрования соединений с базой данных настройте развертывание PostgreSQL или SQL Server для TLS.

Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.

1

Введите соответствующую команду для вашей среды в командной строке компьютера.

В обычных средах:

docker rmi ciscocitg/hds-setup:stable

В средах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать.

2

Чтобы войти в реестр образов Docker, введите следующее.

docker login -u hdscustomersro
3

Введите в запросе пароля этот хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Скачайте последнюю стабильную версию образа для вашей среды.

В обычных средах:

docker pull ciscocitg/hds-setup:stable

В средах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

По завершении скачивания введите соответствующую команду для вашей среды.

  • В обычных средах без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • В обычных средах с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В обычных средах с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В средах FedRAMP без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

6

Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу.

Перейдите к локальному узлу http://127.0.0.1:8080 с помощью веб-браузера и введите имя пользователя администратора для Partner Hub в окне подсказки.

Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартную подсказку для входа в систему.

7

При отображении соответствующего запроса введите учетные данные для входа администратора Partner Hub и щелкните Войти , чтобы разрешить доступ к необходимым службам для службы безопасности данных гибридного типа.

8

На странице обзора инструмента настройки щелкните Начало работы.

9

На странице Импорт ISO щелкните Да.

10

Выберите файл ISO в браузере и загрузите его.

11

Перейдите на вкладку Управление CMK клиента , где можно найти три способа управления CMK клиента.

  • Отозвать CMK для всех ОРГАНИЗАЦИЙ или Отозвать CMK . Щелкните эту кнопку на баннере в верхней части экрана, чтобы отозвать CMK всех удаленных организаций.
  • Щелкните кнопку Управление CMK в правой части экрана и щелкните Отозвать CMK , чтобы отозвать CMK всех удаленных организаций.
  • Щелкните рядом с состоянием CMK для отзыва определенной организации в таблице и щелкните Отозвать CMK , чтобы отозвать CMK для определенной организации.
12

После успешного отзыва CMK клиентская организация больше не будет отображаться в таблице.

13

Если отзыв CMK не выполнен, отображается ошибка.

Тестирование развертывания службы безопасности данных гибридного типа

Тестирование развертывания службы безопасности данных гибридного типа

Используйте эту процедуру для тестирования сценариев шифрования безопасности данных гибридного типа с несколькими клиентами.

Перед началом работы

  • Настройте развертывание службы безопасности данных гибридного типа с несколькими клиентами.

  • Убедитесь, что у вас есть доступ к системному журналу, чтобы проверить, передаются ли запросы ключей в развертывание системы безопасности данных гибридного типа с несколькими клиентами.

1

Ключи для определенного пространства задаются создателем пространства. Войдите в приложение Webex в качестве одного из пользователей клиентской организации и создайте пространство.

Если деактивировать развертывание безопасности данных гибридного типа, контент в пространствах, созданных пользователями, больше не будет доступен после замены кэшированных клиентом копий ключей шифрования.

2

Отправить сообщения в новое пространство.

3

Проверьте вывод системного журнала, чтобы убедиться, что запросы ключей передаются в развертывание службы безопасности данных гибридного типа.

  1. Чтобы проверить, установит ли пользователь защищенный канал в KMS, отфильтруйте kms.data.method=create и kms.data.type=EPHEMERAL_KEY_COLLECTION.

    Необходимо найти следующую запись (идентификаторы, сокращенные для удобства чтения):
    2020-07-21 17:35:34.562 (+0000) KMS INFO [pool-14-thread-1] – получен [KMS:REQUEST], идентификатор устройства: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Чтобы проверить, требуется ли пользователю, запрашивающему существующий ключ из KMS, выполните фильтр в меню kms.data.method=retrieve и kms.data.type=KEY.

    Отобразится запись, аналогичная приведенной ниже.
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] – получен [KMS:REQUEST], идентификатор устройства: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Чтобы проверить, требуется ли пользователю создать новый ключ KMS, выполните фильтр в меню kms.data.method=create и kms.data.type=KEY_COLLECTION.

    Отобразится запись, аналогичная приведенной ниже.
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] – получен [KMS:REQUEST], идентификатор устройства: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Чтобы проверить, есть ли у пользователя запрос на создание нового объекта ресурса KMS (KRO) при создании пространства или другого защищенного ресурса, используйте фильтры в разделах kms.data.method=create и kms.data.type=RESOURCE_COLLECTION.

    Отобразится запись, аналогичная приведенной ниже. 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] – получен [KMS:REQUEST], идентификатор устройства: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Мониторинг работоспособности службы безопасности данных гибридного типа

Индикатор состояния в партнерском центре показывает, все ли в порядке с развертыванием службы безопасности данных гибридного типа с несколькими клиентами. Для более упреждающих предупреждений зарегистрируйтесь для получения уведомлений по электронной почте. Вы будете уведомлены о появлении сигналов, влияющих на службу, или о модернизации программного обеспечения.
1

В Partner Hub в меню в левой части экрана выберите Службы .

2

В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Редактировать настройки.

Отобразится страница "Настройки безопасности данных гибридного типа".
3

В разделе "Электронные уведомления" введите один или несколько адресов электронной почты, разделяя их запятыми, и нажмите клавишу ввода.

Управление развертыванием HDS

Управление развертыванием HDS

Для управления развертыванием службы безопасности данных гибридного типа используйте описанные здесь задачи.

Настройка графика модернизации кластера

Модернизация программного обеспечения службы безопасности данных гибридного типа выполняется автоматически на уровне кластера, что гарантирует, что на всех узлах всегда запущена одна и та же версия программного обеспечения. Модернизация выполняется в соответствии с графиком модернизации кластера. Когда модернизация программного обеспечения становится доступной, можно вручную модернизировать кластер до запланированного времени модернизации. Можно задать конкретное расписание модернизации или использовать расписание по умолчанию: 3:00 (ежедневно в США). Америка/Лос-Анджелес. При необходимости можно также отложить предстоящую модернизацию.

Чтобы настроить график модернизации, выполните указанные ниже действия.

1

Войдите в Partner Hub.

2

В меню в левой части экрана выберите Службы.

3

В разделе "Облачные службы" найдите раздел "Безопасность данных гибридного типа" и щелкните Настройка.

4

На странице "Ресурсы безопасности данных гибридного типа" выберите кластер.

5

Щелкните вкладку Настройки кластера .

6

На странице настроек кластера в разделе "График модернизации" выберите время и часовой пояс для графика модернизации.

Примечание. В часовом поясе отображаются следующие доступные дата и время модернизации. При необходимости можно отложить модернизацию на следующий день, щелкнув Отложить на 24 часа.

Изменение конфигурации узла

Иногда может потребоваться изменить конфигурацию узла безопасности данных гибридного типа по одной из причин:

  • Изменение сертификатов x.509 по истечении срока действия или по другим причинам.

    Изменение доменного имени CN сертификата не поддерживается. Домен должен совпадать с исходным доменом, использованным для регистрации кластера.

  • Обновление настроек базы данных для работы с копией базы данных PostgreSQL или Microsoft SQL Server.

    Перенос данных с PostgreSQL на Microsoft SQL Server или в обратном направлении не поддерживается. Чтобы переключить среду базы данных, начните новое развертывание службы безопасности данных гибридного типа.

  • Создание новой конфигурации для подготовки нового центра обработки данных.

Из соображений безопасности для учетных записей в службе безопасности данных гибридного типа используются пароли со сроком действия 9 месяцев. После того как инструмент настройки HDS создаст эти пароли, вам нужно будет развернуть их в каждом из своих узлов HDS в файле конфигурации ISO. При приближении даты окончания срока действия пароля команда Webex пришлет вам уведомление с запросом на сброс пароля учетной записи компьютера. (В сообщении электронной почты будет текст "Использование API учетной записи компьютера для обновления пароля".) Если срок действия паролей еще не истек, средство предоставляет два варианта.

  • Мягкий сброс. Старые и новые пароли работают в течение 10 дней. Используйте этот период для постепенной замены файла ISO на узлах.

  • Принудительный сброс: старые пароли перестают работать немедленно.

Если срок действия ваших паролей истекает без сброса, это влияет на работу вашей службы HDS. В этом случае требуется немедленный жесткий сброс и замена файла ISO на всех узлах.

Используйте эту процедуру, чтобы создать новый файл конфигурации ISO и применить его к кластеру.

Прежде чем начать

  • Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора партнера.

    Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker в 1.e. В этой таблице указаны некоторые из возможных переменных среды.

    Описание

    Переменная

    HTTP-прокси без аутентификации

    ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТ

    HTTPS-прокси без аутентификации

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTP-прокси с аутентификацией

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

    HTTPS-прокси с аутентификацией

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

  • Для создания новой конфигурации потребуется копия текущего файла конфигурации ISO. Файл ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. Файл ISO необходим для изменения конфигурации, в том числе учетных данных базы данных, обновления сертификатов или изменения политики авторизации.

1

Запустите инструмент настройки HDS, используя Docker на локальной машине.

  1. Введите соответствующую команду для вашей среды в командной строке компьютера.

    В обычных средах:

    docker rmi ciscocitg/hds-setup:stable

    В средах FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать.

  2. Чтобы войти в реестр образов Docker, введите следующее.

    docker login -u hdscustomersro

  3. Введите в запросе пароля этот хеш:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Скачайте последнюю стабильную версию образа для вашей среды.

    В обычных средах:

    docker pull ciscocitg/hds-setup:stable

    В средах FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Обязательно скачайте для этой процедуры последнюю версию инструмента настройки. В версиях инструмента, созданных до 22 февраля 2018 г., нет экранов сброса пароля.

  5. По завершении скачивания введите соответствующую команду для вашей среды.

    • В обычных средах без прокси:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • В обычных средах с HTTP-прокси:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • В обычных средах с HTTPS-прокси:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • В средах FedRAMP без прокси:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • В средах FedRAMP с HTTP-прокси:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • В средах FedRAMP с HTTPS-прокси:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

  6. Используйте браузер для подключения к localhost, http://127.0.0.1:8080.

    Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу.

  7. При отображении соответствующего запроса введите учетные данные для входа клиента партнерского центра и щелкните Принять , чтобы продолжить.

  8. Импортируйте текущий файл конфигурации ISO.

  9. Следуйте подсказкам, чтобы завершить работу с инструментом и скачать обновленный файл.

    Чтобы завершить работу инструмента настройки, нажмите CTRL+C.

  10. Создайте резервную копию обновленного файла в другом центре обработки данных.

2

Если у вас запущен только один узел HDS, создайте новую виртуальную машину узла безопасности данных гибридного типа и зарегистрируйте ее с помощью нового файла конфигурации ISO. Более подробные инструкции см. в статье Создание и регистрация дополнительных узлов.

  1. Установите OVA узла HDS.

  2. Настройте виртуальную машину HDS.

  3. Подключите обновленный файл конфигурации.

  4. Зарегистрируйте новый узел в Partner Hub.

3

Для существующих узлов HDS, в которых используется старый файл конфигурации, необходимо установить файл ISO. Выполните следующую процедуру для каждого узла по очереди, обновив каждый узел до выключения следующего узла.

  1. Выключите виртуальную машину.

  2. На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры.

  3. Щелкните Дисковод компакт-дисков и DVD-дисков 1, выберите параметр подключения из файла ISO и найдите расположение, куда вы скачали новый файл конфигурации ISO.

  4. Установите флажок Соединять при включении.

  5. Сохраните изменения и включите виртуальную машину.

4

Повторите шаг 3, чтобы заменить конфигурацию на каждом оставшемся узле со старой конфигурацией.

Отключение режима блокировки разрешения внешних DNS

При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. Если DNS-сервер узла не может разрешать общедоступные имена DNS, узел автоматически переходит в режим блокировки разрешения внешних DNS.

Если узлы могут разрешать общедоступные имена DNS через внутренние DNS-серверы, можно отключить этот режим, повторно запустив тестирование подключения к прокси на каждом узле.

Перед началом работы

Убедитесь в том, что внутренние DNS-серверы могут разрешать общедоступные имена DNS и ваши узлы могут обмениваться данными с ними.
1

В веб-браузере откройте интерфейс узла безопасности данных гибридного типа (например, IP-адрес или настройка) https://192.0.2.0/setup), введите учетные данные администратора, настроенные для узла, и щелкните Войти.

2

Перейдите к разделу Overview (Обзор) (страница по умолчанию).

Если режим включен, параметр Blocked External DNS Resolution (Блокировка разрешения внешних DNS) должен иметь значение Yes (Да).

3

Перейдите на страницу Trust Store & Proxy (Зона доверия и прокси).

4

Щелкните Check Proxy Connection (Проверить соединение с прокси).

Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу и он останется в этом режиме. В противном случае после перезапуска узла и возврата на страницу Overview (Обзор) параметр блокировки разрешения внешних DNS должен иметь значение No (Нет).

Дальнейшие действия

Повторите тестирование соединения с прокси для каждого узла кластера безопасности данных гибридного типа.

Удаление узла

Используйте эту процедуру для удаления узла безопасности данных гибридного типа из облака Webex. После удаления узла из кластера удалите виртуальную машину, чтобы предотвратить дальнейший доступ к данным безопасности.
1

С помощью клиента VMware vSphere на компьютере можно войти в виртуальный хост ESXi и выключить виртуальную машину.

2

Удалить узел:

  1. Войдите в Partner Hub и выберите Службы.

  2. На карточке безопасности данных гибридного типа щелкните Просмотреть все , чтобы отобразить страницу ресурсов безопасности данных гибридного типа.

  3. Выберите кластер, чтобы отобразить его панель "Обзор".

  4. Щелкните узел, который необходимо удалить.

  5. Щелкните Отменить регистрацию этого узла на панели справа.

  6. Кроме того, чтобы отменить регистрацию узла, щелкните ... в правой части узла и выберите Удалить этот узел.

3

В клиенте vSphere удалите виртуальную машину. (На панели навигации слева щелкните виртуальную машину правой кнопкой мыши и щелкните Удалить.)

Если виртуальная машина не удалена, не забудьте отсоединить файл конфигурации ISO. Без файла ISO вы не сможете использовать виртуальную машину для доступа к данным безопасности.

Аварийное восстановление с помощью центра обработки данных в режиме ожидания

Наиболее важной службой, предоставляемой кластером безопасности данных гибридного типа, является создание и хранение ключей, используемых для шифрования сообщений и другого контента, хранящегося в облаке Webex. Для каждого пользователя в организации, назначенного службе безопасности данных гибридного типа, запросы на создание нового ключа маршрутизируются в кластер. Кластер также отвечает за возврат созданных им ключей всем пользователям, авторизованным для их извлечения, например участникам пространства для разговора.

Поскольку кластер выполняет критически важную функцию предоставления этих ключей, необходимо, чтобы кластер продолжал работать и чтобы поддерживались соответствующие резервные копии. Потеря базы данных безопасности данных гибридного типа или конфигурации ISO, используемой для схемы, приведет к НЕОБРАТИМОЙ ПОТЕРЕ контента клиента. Для предотвращения таких потерь необходимо выполнить следующие действия:

Если из-за аварии развертывание HDS в основном центре обработки данных становится недоступным, выполните эту процедуру, чтобы вручную переключиться на резервный центр обработки данных.

Перед началом работы

Отмените регистрацию всех узлов из Partner Hub, как указано в разделе Удаление узла. Для выполнения указанной ниже процедуры отработки отказа используйте последний файл ISO, настроенный против узлов ранее активного кластера.
1

Запустите инструмент настройки HDS и выполните действия, указанные в разделе Создание ISO конфигурации для узлов HDS.

2

Завершите процесс настройки и сохраните файл ISO в удобном для поиска месте.

3

Сделайте резервную копию файла ISO в локальной системе. Обеспечьте безопасность резервного копирования. Этот файл содержит главный ключ шифрования для содержимого базы данных. Ограничьте доступ только тем администраторам службы безопасности данных гибридного типа, которые должны вносить изменения в конфигурацию.

4

На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры.

5

Щелкните Редактировать настройки >Диск CD/DVD 1 и выберите Файл хранилища данных ISO.

Убедитесь, что установлены флажки Подключено и Подключиться при включении , чтобы обновленные изменения конфигурации вступили в силу после запуска узлов.

6

Включите узел HDS и убедитесь, что сигналы отсутствуют в течение не менее 15 минут.

7

Зарегистрируйте узел в партнерском центре. См. статью Регистрация первого узла в кластере.

8

Повторите процесс для каждого узла в центре обработки данных в режиме ожидания.

Дальнейшие действия

Если после отказа основной центр обработки данных снова становится активным, отмените регистрацию узлов резервного центра обработки данных и повторите процесс настройки ISO и регистрации узлов основного центра обработки данных, как указано выше.

(Необязательно) Отсоедините ISO после настройки HDS

Стандартная конфигурация HDS выполняется с установленным ISO. Однако некоторые клиенты предпочитают не оставлять файлы ISO постоянно монтированными. После того как все узлы HDS примут новую конфигурацию, можно отсоединить файл ISO.

Для изменения конфигурации по-прежнему используются файлы ISO. При создании нового ISO или обновлении ISO с помощью инструмента настройки необходимо установить обновленный ISO на всех узлах HDS. С помощью этой процедуры можно снова отключить ISO, после того как все узлы примут изменения конфигурации.

Перед началом работы

Модернизируйте все свои узлы HDS до версии 2021.01.22.4720 или более поздней.

1

Закройте один из своих узлов HDS.

2

В vCenter Server Appliance выберите узел HDS.

3

Выберите Редактировать настройки > Привод CD/DVD и снимите флажок Файл хранилища данных ISO.

4

Включите узел HDS и убедитесь, что сигналы отсутствуют в течение не менее 20 минут.

5

Повторите эту процедуру для каждого узла HDS по очереди.

Устранение неполадок службы безопасности данных гибридного типа

Просмотр предупреждений и устранение неполадок

Развертывание службы безопасности данных гибридного типа считается недоступным, если все узлы в кластере недоступны или кластер работает настолько медленно, что истекло время ожидания. Если пользователи не могут подключиться к кластеру безопасности данных гибридного типа, у них будут следующие симптомы:

  • Не удается создать новые пространства (не удается создать новые ключи)

  • Не удалось расшифровать сообщения и заголовки пространств для:

    • Новые пользователи, добавленные в пространство (невозможно получить ключи)

    • Существующие пользователи в пространстве, использующие новый клиент (не удается получить ключи)

  • Существующие пользователи в пространстве будут продолжать успешно работать, пока в их клиентах будет сохранен кэш ключей шифрования

Важно надлежащим образом отслеживать кластер безопасности данных гибридного типа и своевременно реагировать на все предупреждения во избежание перебоев в работе службы.

Предупреждения

При возникновении проблем с настройкой безопасности данных гибридного типа партнерский центр отображает предупреждения администратору организации и отправляет электронные сообщения на настроенный адрес электронной почты. Предупреждения охватывают многие распространенные сценарии.

Таблица 1. Общие проблемы и действия по их устранению

Предупреждать

Действие

Ошибка доступа к локальной базе данных.

Проверьте наличие ошибок базы данных или проблем локальной сети.

Сбой подключения к локальной базе данных.

Убедитесь в доступности сервера базы данных и использовании правильных учетных данных учетной записи службы в конфигурации узла.

Сбой доступа к облачной службе.

Убедитесь, что узлы могут получить доступ к серверам Webex, как указано в разделе Требования к внешнему подключению.

Обновление регистрации облачной службы.

Регистрация в облачных службах прервана. Выполняется возобновление регистрации.

Регистрация для облачной службы прервана.

Регистрация в облачных службах прервана. Служба выключена.

Служба еще не активирована.

Активируйте HDS в партнерском центре.

Настроенный домен не соответствует сертификату сервера.

Убедитесь, что сертификат сервера соответствует настроенному домену активации службы.

Наиболее вероятная причина заключается в том, что CN сертификата недавно был изменен и теперь отличается от CN, использованного во время начальной настройки.

Не удалось выполнить аутентификацию в облачных службах.

Проверьте точность и возможный срок действия учетных данных службы.

Не удалось открыть файл локального хранилища ключей.

Проверка целостности и точности пароля в файле локального хранилища ключей.

Недействительный сертификат локального сервера.

Проверьте дату истечения срока действия сертификата сервера и убедитесь, что он был выдан доверенным центром сертификации.

Не удается опубликовать метрики.

Проверьте доступ локальной сети к внешним облачным службам.

Каталог /media/configdrive/hds не существует.

Проверьте конфигурацию подключения ISO на виртуальном хосте. Проверьте, существует ли файл ISO, настроен ли он для подключения при перезагрузке и успешно ли установлен.

Настройка организации клиента не завершена для добавленных организаций

Завершите настройку, создав CMK для вновь добавленных клиентских организаций с помощью инструмента настройки HDS.

Настройка организации клиента не завершена для удаленных организаций

Завершите настройку, отозвав CMK клиентских организаций, которые были удалены с помощью инструмента настройки HDS.

Устранение неполадок службы безопасности данных гибридного типа

При устранении неполадок со службой безопасности данных гибридного типа используйте приведенные ниже общие рекомендации.
1

Просмотрите в Partner Hub все предупреждения и исправьте все элементы, найденные в нем. Для справки см. изображение ниже.

2

Проверьте вывод сервера системных журналов для активности из развертывания службы безопасности данных гибридного типа. Используйте фильтр для таких слов, как "Предупреждение" и "Ошибка", чтобы помочь в устранении неполадок.

3

Обратитесь в службу поддержки Cisco.

Другие примечания

Известные проблемы безопасности данных гибридного типа

  • Если вы выключите кластер безопасности данных гибридного типа (удалив его в партнерском центре или выключив все узлы), потеряете файл конфигурации ISO или потеряете доступ к базе данных хранилища ключей, пользователи приложения Webex клиентских организаций больше не смогут использовать пространства в списке пользователей, созданных с помощью ключей из KMS. В настоящий момент для устранения этой проблемы нет обходного решения или решения. Мы настоятельно призываем вас не выключать службы HDS после обработки активных учетных записей пользователей.

  • Клиент с существующим подключением ECDH к KMS поддерживает это соединение в течение периода времени (вероятно, один час).

Использование OpenSSL для создания файла PKCS12

Перед началом работы

  • OpenSSL — это один из инструментов, который можно использовать для создания файла PKCS12 в соответствующем формате для загрузки в инструменте настройки HDS. Есть и другие способы сделать это, и мы не поддерживаем и не продвигаем друг друга.

  • Если вы решите использовать OpenSSL, мы предоставляем эту процедуру в качестве руководства для создания файла, который соответствует требованиям сертификата X.509 в разделе Требования к сертификату X.509. Прежде чем продолжить, ознакомьтесь с этими требованиями.

  • Установите OpenSSL в поддерживаемой среде. Информацию о программном обеспечении и документации см. в разделе https://www.openssl.org .

  • Создайте закрытый ключ.

  • Начните эту процедуру при получении сертификата сервера от центра сертификации (ЦС).

1

При получении сертификата сервера от ЦС сохраните его как hdsnode.pem.

2

Отобразите сертификат в виде текста и проверьте сведения.

openssl x509 -текст -noout -в hdsnode.pem

3

Используйте текстовый редактор для создания файла пакета сертификатов под названием hdsnode-bundle.pem. Пакетный файл должен включать сертификат сервера, все промежуточные сертификаты ЦС и корневые сертификаты ЦС в следующем формате:

-----BEGIN CERTIFICATE----- ### Сертификат сервера. ### -----END CERTIFICATE--------BEGIN CERTIFICATE----- ### Промежуточный сертификат ЦС. ### -----END CERTIFICATE-------BEGIN CERTIFICATE----- ### Корневой сертификат ЦС. ### -----END CERTIFICATE-----

4

Создайте файл .p12 с подходящим именем kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -в hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Проверьте сведения о сертификате сервера.

  1. openssl pkcs12 - в hdsnode.p12

  2. Введите пароль в окне запроса для шифрования закрытого ключа, чтобы он отображался в выводе. Затем убедитесь, что закрытый ключ и первый сертификат содержат строки friendlyName: kms-private-key.

    Пример.

    bash$ openssl pkcs12 -in hdsnode.p12 Введите пароль для импорта: MAC проверил атрибуты пакета "ОК" friendlyName: Идентификатор локального ключа kms-private-key : 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ключевые атрибуты:  Введите фразу пароля PEM: Проверка – введите фразу для доступа PEM: -----BEGIN ENCRYPTED PRIVATE KEY-----  -----END ENCRYPTED PRIVATE KEY------ Bag Attributes friendlyName: Идентификатор локального ключа kms-private-key : 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE-----

Дальнейшие действия

Вернитесь к разделу Выполнение предварительных требований для безопасности данных гибридного типа. Файл hdsnode.p12 и заданный для него пароль будут использоваться в разделе Создание конфигурации ISO для узлов HDS.

Эти файлы можно повторно использовать для запроса нового сертификата по истечении срока действия исходного сертификата.

Трафик между узлами HDS и облаком

Трафик сбора исходящих метрик

Узлы безопасности данных гибридного типа отправляют определенные метрики в облако Webex. К ним относятся системные метрики максимального количества подключений, использования максимального количества подключений, загрузки ЦП и количества потоков; метрики синхронных и асинхронных потоков; метрики оповещений о пороговом значении соединений шифрования, задержки или длины очереди запросов; метрики хранилища данных; и метрики подключения шифрования. Узлы отправляют зашифрованный ключ-материал по внеполосному каналу (отдельному от запроса).

Входящий трафик

Узлы безопасности данных гибридного типа получают из облака Webex следующие типы входящего трафика:

  • Запросы на шифрование от клиентов, которые маршрутизируются службой шифрования

  • Модернизация программного обеспечения узла

Настройка прокси Squid для безопасности данных гибридного типа

Невозможно выполнить подключение веб-сокетов через прокси Squid

Прокси Squid, которые проверяют трафик HTTPS, могут мешать созданию соединений веб-сокетов (wss:), которые необходимы службе безопасности данных гибридного типа. В указанных далее разделах приведены рекомендации по настройке различных версий Squid с целью игнорирования трафика wss: для обеспечения надлежащей работы служб.

Squid 4 и 5

Добавьте on_unsupported_protocol директиву в squid.conf:

on_unsupported_protocol туннель все

Squid 3.5.27

Служба безопасности данных гибридного типа успешно протестирована с указанными далее правилами, добавленными в squid.conf. Эти правила могут изменяться по мере разработки функций и обновления облака Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump соединение wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump просмотр step1 все ssl_bump просмотр step2 все ssl_bump bump3 все

Новая и измененная информация

Новая и измененная информация

В этой таблице описаны новые функции или функциональные возможности, изменения существующего контента, а также любые серьезные ошибки, исправленные в руководстве по развертыванию службы безопасности данных гибридного типа с несколькими клиентами.

Дата

Внесены изменения

30 января 2025 г.

Добавлен сервер SQL версии 2022 в список поддерживаемых серверов SQL в разделе Требования к серверу базы данных.

15 января 2025 г.

Добавлены ограничения безопасности данных гибридного типа с несколькими клиентами.

8 января 2025 г.

Добавлено примечание в разделе Выполнение начальной настройки и скачивание файлов установки , в котором указано, что нажатие кнопки Настройка на карточке HDS в Partner Hub является важным этапом процесса установки.

7 января 2025 г.

Обновлены Требования к виртуальному узлу, Алгоритм выполнения задач по развертыванию службы безопасности данных гибридного типа и Установка OVA узла HDS для отображения новых требований ESXi 7.0.

13 декабря 2024 г.

Впервые опубликовано.

Деактивация службы безопасности данных гибридного типа с несколькими клиентами

Алгоритм выполнения задач по деактивации HDS с несколькими клиентами

Чтобы полностью деактивировать HDS с несколькими клиентами, выполните приведенные ниже действия.

Перед началом работы

Эту задачу должен выполнять только администратор партнера с полными правами.
1

Удалите всех клиентов из всех кластеров, как указано в разделе Удаление клиентских организаций.

2

Отозвать CMK всех клиентов, как указано в статье Отозвать CMK клиентов, удаленных из HDS.

3

Удалите все узлы из всех кластеров, как описано в разделе Удаление узла.

4

Удалите все кластеры из Partner Hub одним из следующих двух способов.

  • Щелкните кластер, который необходимо удалить, и выберите Удалить этот кластер в правом верхнем углу страницы обзора.
  • На странице "Ресурсы" щелкните ... в правой части кластера и выберите Удалить кластер.
5

Щелкните вкладку Настройки на странице обзора безопасности данных гибридного типа и щелкните Деактивировать HDS на карточке состояния HDS.

Начало работы с системой безопасности данных гибридного типа с поддержкой нескольких клиентов

Общие сведения о безопасности данных гибридного типа для нескольких клиентов

С самого начала безопасность данных была главной задачей при разработке приложения Webex. В основе этой безопасности лежит сквозное шифрование контента, которое включается клиентами приложения Webex, взаимодействующими со службой управления ключами (KMS). KMS отвечает за создание и управление криптографическими ключами, которые используются клиентами для динамического шифрования и расшифровки сообщений и файлов.

По умолчанию для всех клиентов приложения Webex обеспечивается сквозное шифрование с использованием динамических ключей, которые хранятся в облаке KMS в области безопасности Cisco. Служба безопасности данных гибридного типа перемещает KMS и другие функции безопасности в корпоративный центр обработки данных, поэтому доступ к ключам для зашифрованного контента будет только у вас.

Служба безопасности данных гибридного типа с поддержкой нескольких клиентов позволяет организациям использовать HDS через доверенного локального партнера, который может выполнять функции поставщика услуг и управлять локальным шифрованием и другими службами безопасности. Эта настройка позволяет партнерской организации осуществлять полный контроль над развертыванием ключей шифрования и управлением ими, а также обеспечивает безопасность данных пользователей клиентских организаций от внешнего доступа. Партнерские организации настраивают экземпляры HDS и при необходимости создают кластеры HDS. Каждый экземпляр может поддерживать несколько клиентских организаций, в отличие от обычного развертывания HDS, которое ограничено одной организацией.

Партнерские организации контролируют развертывание и управление, однако у них нет доступа к данным и контенту, созданным клиентами. Этот доступ ограничен клиентскими организациями и их пользователями.

Это также позволяет небольшим организациям использовать HDS, поскольку служба управления ключами и инфраструктура безопасности, например центры обработки данных, принадлежат доверенному локальному партнеру.

Как служба безопасности данных гибридного типа с несколькими клиентами обеспечивает суверенитет и управление данными

  • Созданный пользователем контент защищен от внешнего доступа, например от поставщиков облачных услуг.
  • Локальные доверенные партнеры управляют ключами шифрования клиентов, с которыми они уже установили взаимоотношения.
  • Параметр для локальной технической поддержки, если она предоставлена партнером.
  • Поддержка контента совещаний, обмена сообщениями и вызовов.

Этот документ предназначен для помощи партнерским организациям в настройке клиентов и управлении ими в системе безопасности данных гибридного типа с несколькими клиентами.

Ограничения службы безопасности данных гибридного типа с несколькими клиентами

  • Партнерские организации не должны иметь существующее развертывание HDS, активное в Control Hub.
  • Клиентские или клиентские организации, которым необходимо управлять партнером, не должны иметь существующее развертывание HDS в Control Hub.
  • После развертывания партнером HDS с несколькими клиентами все пользователи клиентских организаций, а также пользователи партнерской организации начинают использовать HDS с несколькими клиентами для своих служб шифрования.

    Партнерская организация и клиентские организации, которыми они управляют, будут развертываться в одном развертывании HDS с несколькими клиентами.

    После развертывания HDS с несколькими клиентами партнерская организация больше не будет использовать облачную службу KMS.

  • Механизм для перемещения ключей обратно в облачную службу KMS после развертывания HDS отсутствует.
  • В настоящее время каждое развертывание HDS с несколькими клиентами может иметь только один кластер с несколькими узлами под ним.
  • Роли администраторов имеют определенные ограничения. Подробности см. в разделе ниже.

Роли в службе безопасности данных гибридного типа с несколькими клиентами

  • Администратор партнера с полными правами : может управлять настройками для всех клиентов, которыми управляет партнер. Также может назначать роли администратора существующим пользователям в организации и назначать определенных клиентов, которыми будут управлять администраторы партнера.
  • Администратор партнера . Может управлять настройками клиентов, подготовленных администратором или назначенных пользователю.
  • Администратор с полными правами . Администратор партнерской организации, уполномоченный выполнять такие задачи, как изменение настроек организации, управление лицензиями и назначение ролей.
  • Сквозная настройка HDS с несколькими клиентами и управление ими всех клиентских организаций . Требуются права администратора партнера с полными правами и администратора с полными правами.
  • Управление назначенными организациями клиента : требуются права администратора партнера и полного администратора.

Архитектура области безопасности

Облачная архитектура Webex разбивает различные типы служб на отдельные области или домены доверия, как показано ниже.

Области разделения (без службы безопасности данных гибридного типа)

Чтобы получить дополнительные сведения о безопасности данных гибридного типа, давайте сначала рассмотрим этот облачный случай, в котором компания Cisco предоставляет все функции в облачных областях. Служба удостоверений – единственное место, где пользователи могут напрямую соотнести с их персональной информацией, такой как адрес электронной почты, логически и физически отделена от области безопасности в центре обработки данных B. Обе службы в свою очередь отделены от области, в которой в конечном итоге хранится зашифрованный контент, в центре обработки данных C.

На этой схеме клиент представляет собой приложение Webex, запущенное на ноутбуке пользователя и прошедшее аутентификацию с помощью службы удостоверений. При написании пользователем сообщения для отправки в пространство выполняются следующие действия.

  1. Клиент устанавливает безопасное соединение со службой управления ключами (KMS), затем запрашивает ключ для шифрования сообщения. Защищенное соединение использует ECDH, а KMS шифрует ключ с помощью главного ключа AES-256.

  2. Сообщение шифруется до выхода из клиента. Клиент отправляет его в службу индексации, которая создает зашифрованные индексы поиска для помощи в будущих поисковых запросах контента.

  3. Зашифрованное сообщение отправляется в службу обеспечения соответствия для проверки соответствия.

  4. Зашифрованное сообщение хранится в области хранилища.

При развертывании службы безопасности данных гибридного типа функции области безопасности (KMS, индексация и соответствие требованиям) перемещаются в локальный центр обработки данных. Другие облачные службы, которые составляют Webex (включая идентификационные данные и хранилище контента), остаются в сферах Cisco.

Сотрудничество с Другими Организациями

Пользователи в вашей организации могут регулярно использовать приложение Webex для совместной работы с внешними участниками из других организаций. Когда один из пользователей запрашивает ключ для пространства, принадлежащего вашей организации (поскольку он был создан одним из пользователей), KMS отправляет ключ клиенту по защищенному каналу ECDH. Однако если ключ для пространства принадлежит другой организации, KMS перенаправляет запрос в облако Webex через отдельный канал ECDH для получения ключа от соответствующего KMS, а затем возвращает ключ пользователю в исходном канале.

Служба KMS, запущенная в организации A, проверяет подключения к KMS в других организациях с помощью сертификатов PKI x.509. Подробные сведения о создании сертификата x.509 для использования с развертыванием службы безопасности данных гибридного типа с несколькими клиентами см. в статье Подготовка среды .

Ожидания развертывания службы безопасности данных гибридного типа

Развертывание службы безопасности данных гибридного типа требует значительных обязательств и осознания рисков, связанных с хранением ключей шифрования.

Для развертывания службы безопасности данных гибридного типа необходимо предоставить:

Полная потеря конфигурации ISO, созданной для службы безопасности данных гибридного типа, или предоставленной базы данных приведет к потере ключей. Потеря ключей предотвращает расшифровку контента пространства и других зашифрованных данных в приложении Webex пользователями. В этом случае можно создать новое развертывание, однако будет отображаться только новый контент. Во избежание потери доступа к данным необходимо выполнить приведенные ниже действия.

  • Управление резервным копированием и восстановлением базы данных и конфигурации ISO.

  • Будьте готовы к быстрому аварийному восстановлению в случае аварии, например, сбою диска базы данных или сбою центра обработки данных.

Механизм для перемещения ключей обратно в облако после развертывания HDS отсутствует.

Высокоуровневый процесс настройки

В этом документе описана настройка и управление развертыванием службы безопасности данных гибридного типа с несколькими клиентами.

  • Настройка безопасности данных гибридного типа. Это включает подготовку необходимой инфраструктуры и установку программного обеспечения безопасности данных гибридного типа, создание кластера HDS, добавление клиентских организаций в кластер и управление их главными ключами клиента (CMK). Это позволит всем пользователям клиентских организаций использовать кластер безопасности данных гибридного типа для функций безопасности.

    Этапы настройки, активации и управления подробно описаны в следующих трех главах.

  • Поддержка развертывания службы безопасности данных гибридного типа: облако Webex автоматически обеспечивает непрерывную модернизацию. Ваш отдел ИТ может предоставлять поддержку первого уровня для этого развертывания и при необходимости привлекать поддержку Cisco. В Partner Hub можно использовать экранные уведомления и настроить предупреждения на основе электронной почты.

  • Общие предупреждения, действия по устранению неполадок и известные проблемы. При возникновении проблем с развертыванием или использованием службы безопасности данных гибридного типа можно определить и устранить проблему с помощью последней главы этого руководства и приложения "Известные проблемы".

Модель развертывания службы безопасности данных гибридного типа

В корпоративном центре обработки данных служба безопасности данных гибридного типа будет развернута в виде одного кластера узлов на отдельных виртуальных узлах. Узлы связываются с облаком Webex с помощью защищенных веб-сокетов и защищенного HTTP.

Во время процесса установки предоставляется файл OVA для настройки виртуального устройства на предоставленных вами виртуальных машинах. Инструмент настройки HDS используется для создания пользовательского файла конфигурации кластера ISO, который устанавливается на каждом узле. Кластер безопасности данных гибридного типа использует предоставленный сервер Syslogd и базу данных PostgreSQL или Microsoft SQL Server. (Сведения о соединении Syslogd и базы данных можно настроить в инструменте настройки HDS.)

Модель развертывания службы безопасности данных гибридного типа

Минимальное количество узлов в кластере: два. Рекомендуется не менее трех на кластер. Наличие нескольких узлов гарантирует, что во время модернизации программного обеспечения или других действий по техническому обслуживанию узла служба не будет прерываться. (Облако Webex модернизирует только один узел за раз.)

Все узлы в кластере имеют доступ к одному хранилищу данных и активности журналов на один и тот же сервер системных журналов. Сами узлы не имеют состояния и обрабатывают запросы на ключ в циклическом порядке, как направляется облаком.

Узлы становятся активными при регистрации в партнерском центре. Чтобы вывести отдельный узел из эксплуатации, можно отменить его регистрацию, а затем, при необходимости, повторно зарегистрировать его.

Резервный центр обработки данных для аварийного восстановления

Во время развертывания вы настраиваете защищенный резервный центр обработки данных. В случае аварии центра обработки данных можно вручную перенести развертывание на резервный центр обработки данных.

Перед отказом в центре обработки данных A есть активные узлы HDS и основная база данных PostgreSQL или Microsoft SQL Server, в то время как в B есть копия файла ISO с дополнительными конфигурациями, ВМ, зарегистрированные в организации, и резервная база данных. После отработки отказа центр обработки данных B имеет активные узлы HDS и основную базу данных, в то время как у A есть незарегистрированные виртуальные машины и копия файла ISO, а база данных находится в режиме ожидания.
Ручное переключение на резервный центр обработки данных

Базы данных активных и резервных центров обработки данных синхронизируются друг с другом, что позволит свести к минимуму время, затрачиваемое на выполнение отработки отказа.

Активные узлы безопасности данных гибридного типа всегда должны находиться в одном центре обработки данных с активным сервером базы данных.

Поддержка прокси

Служба безопасности данных гибридного типа поддерживает явные прокси, прозрачные прокси с проверкой и прокси без проверки. Чтобы обеспечить защиту и мониторинг трафика из сети предприятия в облако, можно связать эти прокси с развертыванием. После настройки прокси на узлах административный интерфейс платформы на узлах можно использовать для управления сертификатами и просмотра общего состояния соединений.

Узлы безопасности данных гибридного типа поддерживают указанные далее параметры прокси.

  • Нет прокси. Значение по умолчанию, если для интеграции прокси не используется конфигурация доверенного хранилища и прокси для настройки узла HDS. Обновление сертификата не требуется.

  • Прозрачный прокси без проверки. Узлы не настроены для использования адреса определенного прокси-сервера и не должны требовать каких-либо изменений для работы с прокси без проверки. Обновление сертификата не требуется.

  • Прозрачный туннелирование или прокси с проверкой. Узлы не настроены для использования адреса определенного прокси-сервера. На узлах не нужно изменять конфигурацию HTTP или HTTPS. Как бы то ни было, для обеспечения доверия прокси узлам необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже HTTPS).

  • Явный прокси. При использовании явного прокси необходимо указать прокси-сервер и схему аутентификации узлам HDS. Для настройки явного прокси на каждом узле нужно ввести следующую информацию.

    1. IP/FQDN прокси. Адрес, который можно использовать для связи с прокси-машиной.

    2. Порт прокси. Номер порта, который прокси использует для прослушивания прокси-трафика.

    3. Proxy Protocol (Протокол прокси). В зависимости от поддержки прокси-сервера выберите один из следующих протоколов.

      • HTTP – просматривает все запросы, отправляемые клиентом, и управляет этими запросами.

      • HTTPS – обеспечивает работу канала связи с сервером. Клиент получает и проверяет сертификат сервера.

    4. Тип аутентификации: выберите один из приведенных ниже типов аутентификации.

      • Нет. Дальнейшая аутентификация не требуется.

        Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.

      • Базовый: используется для агента пользователя HTTP для указания имени пользователя и пароля при совершении запроса. Использует кодировку Base64.

        Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.

        Требует ввода имени пользователя и пароля на каждом узле.

      • Дайджест. Используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети.

        Этот параметр доступен только в том случае, если в качестве протокола прокси выбран протокол HTTPS.

        Требует ввода имени пользователя и пароля на каждом узле.

Пример узлов безопасности данных гибридного типа и прокси

На этой схеме представлен пример соединения между системой безопасности данных гибридного типа, сетью и прокси. При использовании прозрачного прокси с проверкой или явного прокси с проверкой HTTPS на прокси и узлы безопасности данных гибридного типа необходимо установить один и тот же корневой сертификат.

Режим блокировки разрешения внешних DNS (конфигурации явного прокси)

При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. В развертываниях с конфигурациями явного прокси, которые не допускают разрешения внешних DNS для внутренних клиентов, если узел не может посылать запросы на DNS-серверы, он автоматически переходит в режим блокировки разрешения внешних DNS. В этом режиме можно продолжить регистрацию узла и другие тестирования подключения к прокси.

Подготовка среды

Требования к безопасности данных гибридного типа с несколькими клиентами

Требования к лицензии Cisco Webex

Развертывание службы безопасности данных гибридного типа с несколькими клиентами.

  • Партнерские организации: Обратитесь к своему партнеру Cisco или менеджеру по работе с клиентами и убедитесь, что функция "Несколько клиентов" включена.

  • Организации клиентов: Необходима профессиональная версия Cisco Webex Control Hub. См. https://www.cisco.com/go/pro-pack.

Требования к рабочему столу Docker

Перед установкой узлов HDS необходимо запустить программу настройки с помощью Docker Desktop. Docker недавно обновил свою модель лицензирования. Для вашей организации может потребоваться платная подписка на Docker Desktop. Подробности см. в записи блога Docker, " Docker обновляет и расширяет подписки на продукты".

Требования к сертификату X.509

Цепочка сертификатов должна соответствовать следующим требованиям:

Таблица 1. Требования к сертификату X.509 для развертывания системы безопасности данных гибридного типа

Требование

Подробности

  • Подписано доверенным центром сертификации (ЦС)

По умолчанию мы доверяем ЦС в списке Mozilla (за исключением WoSign и StartCom) по адресу https://wiki.mozilla.org/CA:IncludedCAs.

  • Носит доменное имя общего имени (CN), идентифицирующее развертывание службы безопасности данных гибридного типа.

  • Не является групповым сертификатом

CN не требуется, чтобы он был доступен или был организатором в режиме реального времени. Рекомендуется использовать название, отражающее вашу организацию, например hds.company.com.

CN не должен содержать * (подстановочный знак).

CN используется для проверки узлов безопасности данных гибридного типа для клиентов приложения Webex. Все узлы безопасности данных гибридного типа в кластере используют один и тот же сертификат. Ваш KMS идентифицирует себя с помощью домена CN, а не любого домена, определенного в полях SAN x.509v3.

После регистрации узла с этим сертификатом изменение доменного имени CN не поддерживается.

  • Подпись без SHA1

Программное обеспечение KMS не поддерживает подписи SHA1 для проверки подключений к KMS других организаций.

  • Отформатирован в виде файла PKCS #12, защищенного паролем

  • Используйте понятное имя kms-private-key для тегов сертификата, закрытого ключа и всех промежуточных сертификатов для загрузки.

Для изменения формата сертификата можно использовать преобразователь, например OpenSSL.

При запуске инструмента настройки HDS потребуется ввести пароль.

Программное обеспечение KMS не обеспечивает принудительное использование ключа или расширенные ограничения на его использование. Некоторые центры сертификации требуют, чтобы к каждому сертификату применялись расширенные ограничения на использование ключей, например аутентификация сервера. Использовать аутентификацию сервера или другие настройки можно.

Требования к виртуальному организатору

Виртуальные узлы, которые будут настроены в качестве узлов безопасности данных гибридного типа в кластере, имеют следующие требования:

  • По крайней мере два отдельных узла (рекомендуется 3) размещены в одном защищенном центре обработки данных

  • Установлена и запущена VMware ESXi 7.0 (или более поздняя версия).

    При наличии более ранней версии ESXi необходимо выполнить модернизацию.

  • Минимум 4 ЦП, 8 ГБ основной памяти, 30 ГБ локального жесткого диска на сервер

Требования к серверу базы данных

Создайте новую базу данных для хранилища ключей. Не используйте базу данных по умолчанию. Приложения HDS при установке создают схему базы данных.

Существует два варианта сервера баз данных. Требования для каждого из них приведены ниже.

Таблица 2. Требования к серверу базы данных в разрезе типов базы данных

PostgreSQL

Сервер Microsoft SQL

  • Установленный и запущенный PostgreSQL 14, 15 или 16.

  • Установлен SQL Server 2016, 2017, 2019 или 2022 (корпоративный или стандартный).

    Для SQL Server 2016 требуется пакет обновления 2 и накопительное обновление 2 или более поздняя версия.

Минимум 8 виртуальных ЦП, 16 ГБ основной памяти, достаточное пространство на жестком диске и мониторинг для обеспечения его отсутствия (рекомендуется 2 ТБ, если необходимо запустить базу данных в течение длительного времени без увеличения объема хранилища)

Минимум 8 виртуальных ЦП, 16 ГБ основной памяти, достаточное пространство на жестком диске и мониторинг для обеспечения его отсутствия (рекомендуется 2 ТБ, если необходимо запустить базу данных в течение длительного времени без увеличения объема хранилища)

Программное обеспечение HDS в настоящее время устанавливает следующие версии драйверов для связи с сервером базы данных:

PostgreSQL

Сервер Microsoft SQL

Драйвер JDBC Postgres 42.2.5

Драйвер JDBC 4.6 для SQL-сервера

Эта версия драйвера поддерживает SQL Server Always On (экземпляры отказоустойчивого кластера и группы доступности Always On).

Дополнительные требования для аутентификации Windows на Microsoft SQL Server

Если необходимо, чтобы узлы HDS использовали аутентификацию Windows для получения доступа к базе данных хранилища ключей на Microsoft SQL Server, в вашей среде потребуется следующая конфигурация:

  • Узлы HDS, инфраструктура Active Directory и сервер MS SQL должны быть синхронизированы с NTP.

  • Учетная запись Windows, которую вы предоставляете узлам HDS, должна иметь доступ к базе данных для чтения и записи.

  • Серверы DNS, предоставляемые узлам HDS, должны иметь возможность разрешать центр распределения ключей (KDC).

  • Экземпляр базы данных HDS можно зарегистрировать на сервере Microsoft SQL в качестве главного имени службы (SPN) в Active Directory. См. статью Регистрация имени участника службы для Kerberos Connections.

    Инструмент настройки HDS, программа запуска HDS и локальный KMS должны использовать аутентификацию Windows для доступа к базе данных хранилища ключей. Они используют сведения из конфигурации ISO для создания SPN при запросе доступа с аутентификацией Kerberos.

Требования к внешнему подключению

Настройте брандмауэр, чтобы разрешить следующее подключение для приложений HDS:

Приложение

Протокол

Порт

Направление из приложения

Адресат

Узлы безопасности данных гибридного типа

Протокол TCP

443

Исходящие HTTPS и WSS

  • Серверы Webex:

    • *.wbx2.com

    • *.ciscospark.com

  • Все хосты Common Identity

  • Другие URL-адреса, перечисленные для службы безопасности данных гибридного типа в таблице Дополнительные URL-адреса для служб гибридного типа Webex раздела Требования к сети для служб Webex

Инструмент настройки HDS

Протокол TCP

443

HTTPS для исходящих вызовов

  • *.wbx2.com

  • Все хосты Common Identity

  • hub.docker.com

Узлы безопасности данных гибридного типа работают с преобразованием сетевого доступа (NAT) или за брандмауэром, если NAT или брандмауэр допускает необходимые исходящие соединения с адресатами домена в таблице выше. Для соединений, поступающих на узлы безопасности данных гибридного типа, порты не должны отображаться из Интернета. В центре обработки данных клиентам необходим доступ к узлам безопасности данных гибридного типа на портах 443 и 22 TCP в административных целях.

URL-адреса узлов общих параметров идентификации (CI) специфичны для региона. Ниже приведены текущие узлы CI.

Регион

URL-адреса хостов общих параметров идентификации

Северная и Южная Америка

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Европейский союз

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Канада

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Сингапур

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Объединенные Арабские Эмираты

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Требования к прокси-серверу

  • Мы официально поддерживаем следующие решения для прокси, которые можно интегрировать с узлами безопасности данных гибридного типа:

  • Поддерживаются следующие комбинации типов аутентификации для явных прокси:

    • без аутентификации при использовании HTTP или HTTPS;

    • базовая аутентификация при использовании HTTP или HTTPS;

    • дайджест-аутентификация только при использовании HTTPS;

  • При наличии прозрачного прокси с проверкой или явного прокси HTTPS необходимо иметь копию корневого сертификата прокси. Инструкции по развертыванию, приведенные в этом руководстве, содержат информацию о том, как загрузить эту копию в зоны доверия узлов безопасности данных гибридного типа.

  • Сеть, в которой размещены узлы HDS, должна обеспечивать принудительную маршрутизацию исходящего трафика TCP на порте 443 через прокси.

  • Прокси, проверяющие веб-трафик, могут нарушать работу соединений веб-сокетов. Для устранения этой проблемы трафик следует направить в обход (без проверки) на wbx2.com и *.teams.webex.com.

Выполнение предварительных требований для службы безопасности данных гибридного типа

Используйте этот перечень действий, чтобы убедиться в готовности к установке и настройке кластера безопасности данных гибридного типа.
1

Убедитесь, что в партнерской организации включена функция HDS с несколькими клиентами, и получите учетные данные учетной записи с полными правами администратора партнера и полными правами администратора. Убедитесь, что для клиентской организации Webex включена профессиональная версия Cisco Webex Control Hub. Обратитесь за помощью к своему партнеру Cisco или менеджеру по работе с клиентами.

У клиентских организаций не должно быть существующего развертывания HDS.

2

Выберите имя домена для развертывания HDS (например, hds.company.com) и получите цепочку сертификатов, содержащую сертификат X.509, закрытый ключ и любые промежуточные сертификаты. Цепочка сертификатов должна соответствовать требованиям, указанным в разделе Требования к сертификатам X.509.

3

Подготовьте идентичные виртуальные узлы, которые будут настроены в качестве узлов безопасности данных гибридного типа в кластере. Необходимо разместить не менее двух отдельных организаторов (рекомендуется 3) в одном и том же защищенном центре обработки данных, который соответствует требованиям в разделе Требования к виртуальному организатору.

4

Подготовьте сервер базы данных, который будет использоваться в качестве хранилища ключевых данных для кластера в соответствии с требованиями сервера базы данных. Сервер базы данных должен быть размещен в защищенном центре обработки данных с виртуальными хостами.

  1. Создайте базу данных для хранилища ключей. (Необходимо создать эту базу данных. Не используйте базу данных по умолчанию. Приложения HDS при установке создают схему базы данных.)

  2. Соберите сведения, которые узлы будут использовать для связи с сервером базы данных.

    • имя хоста или IP-адрес (хост) и порт

    • имя базы данных (dbname) для хранилища ключей

    • имя пользователя и пароль пользователя со всеми правами в базе данных хранилища ключей

5

Для быстрого аварийного восстановления настройте резервную среду в другом центре обработки данных. Резервная среда дублирует производственную среду виртуальных машин и сервер базы данных резервного копирования. Например, если в производственной среде есть 3 виртуальных машины с узлами HDS, резервная среда должна иметь 3 виртуальных машины.

6

Настройте узел системного журнала для сбора журналов с узлов в кластере. Соберите сетевой адрес и порт системного журнала (по умолчанию UDP 514).

7

Создайте политику безопасного резервного копирования для узлов безопасности данных гибридного типа, сервера базы данных и узла системного журнала. Как минимум, чтобы предотвратить необратимую потерю данных, необходимо создать резервную копию базы данных и файла конфигурации ISO, созданного для узлов безопасности данных гибридного типа.

Поскольку узлы безопасности данных гибридного типа хранят ключи, используемые при шифровании и расшифровке контента, невыполнение оперативного развертывания приведет к НЕОБРАТИМОЙ ПОТЕРЕ этого контента.

Клиенты приложения Webex кэшируют свои ключи, поэтому сбои могут не сразу стать заметными, но со временем станут очевидными. Временные перебои невозможно предотвратить, но их можно восстановить. Однако полная потеря базы данных или файла конфигурации ISO (нет доступных резервных копий) приведет к невозможности восстановления данных клиента. Ожидается, что операторы узлов безопасности данных гибридного типа осуществляют частые резервные копии базы данных и файла конфигурации ISO и будут готовы к обновлению центра обработки данных службы безопасности данных гибридного типа в случае катастрофической ошибки.

8

Убедитесь, что конфигурация брандмауэра разрешает соединение для узлов безопасности данных гибридного типа, как описано в разделе Требования к внешнему подключению.

9

Установите Docker (https://www.docker.com) на любом локальном компьютере, на котором запущена поддерживаемая ОС (64-разрядная версия Microsoft Windows 10 Professional или Enterprise или Mac OSX Yosemite 10.10.3 или более поздняя версия) с веб-браузером, с помощью которого можно получить доступ на странице http://127.0.0.1:8080.

Экземпляр Docker используется для скачивания и запуска инструмента настройки HDS, который создает информацию локальной конфигурации для всех узлов безопасности данных гибридного типа. Вам может понадобиться лицензия Docker Desktop. Дополнительную информацию см. в статье Требования к рабочему столу Docker .

Для установки и запуска инструмента настройки HDS локальная машина должна иметь подключение, описанное в разделе Требования к внешнему подключению.

10

При интеграции прокси с системой безопасности данных гибридного типа убедитесь, что он соответствует требованиям к прокси-серверу.

Настройка кластера безопасности данных гибридного типа

Алгоритм выполнения задач по развертыванию службы безопасности данных гибридного типа

Перед началом работы

1

Выполните начальную настройку и скачайте файлы установки

Скачайте файл OVA на локальный компьютер для дальнейшего использования.

2

Создание ISO конфигурации для узлов HDS

Используйте инструмент настройки HDS для создания файла конфигурации ISO для узлов безопасности данных гибридного типа.

3

Установка файла OVA узла HDS

Создайте виртуальную машину из файла OVA и выполните начальную конфигурацию, например параметры сети.

Параметр настройки сети во время развертывания OVA протестирован с помощью ESXi 7.0. Этот параметр может быть недоступен в более ранних версиях.

4

Настройка виртуальной машины безопасности данных гибридного типа

Войдите в консоль виртуальной машины и задайте учетные данные для входа. Настройте параметры сети для узла, если они не были настроены во время развертывания файла OVA.

5

Загрузка и установка ISO конфигурации HDS

Настройте виртуальную машину из файла конфигурации ISO, созданного с помощью инструмента настройки HDS.

6

Настройка узла HDS для интеграции прокси

Если в сетевой среде требуется конфигурация прокси, укажите тип прокси, который будет использоваться для узла, и при необходимости добавьте сертификат прокси в доверенное хранилище.

7

Регистрация первого узла в кластере

Зарегистрируйте виртуальную машину в облаке Cisco Webex в качестве узла безопасности данных гибридного типа.

8

Создать и зарегистрировать другие узлы

Завершите настройку кластера.

9

Активируйте HDS с несколькими клиентами в Partner Hub.

Активируйте HDS и управляйте организациями клиентов в Partner Hub.

Выполните начальную настройку и скачайте файлы установки

В этой задаче вы скачаете файл OVA на свой компьютер (а не на серверы, настроенные в качестве узлов безопасности данных гибридного типа). Этот файл будет использован позже в процессе установки.

1

Войдите в Partner Hub и щелкните Службы.

2

В разделе облачных служб найдите карточку безопасности данных гибридного типа и щелкните Настройка.

Нажатие кнопки Настройка в партнерском центре имеет решающее значение для процесса развертывания. Не продолжайте установку без завершения этого шага.

3

Щелкните Добавить ресурс и щелкните Скачать файл OVA на карточке Установка и настройка программного обеспечения .

Более ранние версии пакета программного обеспечения (OVA) не будут совместимы с последними модернизациями безопасности данных гибридного типа. Это может привести к ошибкам во время модернизации приложения. Убедитесь, что скачано последнюю версию файла OVA.

Кроме того, файл OVA можно скачать в любой момент в разделе Справка . Щелкните Настройки > Справка > Скачать программное обеспечение безопасности данных гибридного типа.

Скачивание файла OVA начнется автоматически. Сохраните файл в местоположении на своем компьютере.
4

При необходимости щелкните Просмотреть руководство по развертыванию службы безопасности данных гибридного типа , чтобы проверить доступность более поздней версии этого руководства.

Создание ISO конфигурации для узлов HDS

Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.

Прежде чем начать
1

Введите соответствующую команду для вашей среды в командной строке компьютера.

В обычных средах:

docker rmi ciscocitg/hds-setup:stable

В средах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать.

2

Чтобы войти в реестр образов Docker, введите следующее.

docker login -u hdscustomersro
3

Введите в запросе пароля этот хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Скачайте последнюю стабильную версию образа для вашей среды.

В обычных средах:

docker pull ciscocitg/hds-setup:stable

В средах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

По завершении скачивания введите соответствующую команду для вашей среды.

  • В обычных средах без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • В обычных средах с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В обычных средах с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В средах FedRAMP без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

6

Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу.

Перейдите к локальному узлу http://127.0.0.1:8080 с помощью веб-браузера и введите имя пользователя администратора для Partner Hub в окне подсказки.

Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартную подсказку для входа в систему.

7

При отображении соответствующего запроса введите учетные данные для входа администратора Partner Hub и щелкните Войти , чтобы разрешить доступ к необходимым службам для службы безопасности данных гибридного типа.

8

На странице обзора инструмента настройки щелкните Начало работы.

9

На странице Импорт ISO доступны следующие параметры.

  • Нет. Если вы создаете первый узел HDS, у вас нет файла ISO для загрузки.
  • Да. Если вы уже создали узлы HDS, выберите файл ISO в окне просмотра и загрузите его.
10

Проверьте, соответствует ли сертификат X.509 требованиям к сертификатам X.509.

  • Если сертификат ранее не загружался, загрузите сертификат X.509, введите пароль и щелкните Продолжить.
  • Если сертификат в ОК, щелкните Продолжить.
  • Если срок действия сертификата истек или вы хотите заменить его, выберите Нет для параметра Продолжить использование цепочки сертификатов HDS и закрытого ключа из предыдущего ISO?. Загрузите новый сертификат X.509, введите пароль и щелкните Продолжить.
11

Введите адрес базы данных и учетную запись HDS для доступа к хранилищу данных ключей:

  1. Выберите Тип базы данных (PostgreSQL или Microsoft SQL Server).

    При выборе Microsoft SQL Server появится поле "Тип аутентификации".

  2. (Только Microsoft SQL Server ) Выберите Тип аутентификации.

    • Базовая аутентификация. В поле Имя пользователя необходимо указать имя учетной записи локального сервера SQL.

    • Аутентификация Windows. Необходима учетная запись Windows в формате имя_пользователя@ДОМЕН в поле Имя_пользователя .

  3. Введите адрес сервера базы данных в форме : или :.

    Пример:
    dbhost.example.org:1433 или 198.51.100.17:1433

    Если узлы не могут использовать DNS для разрешения имени узла, можно использовать IP-адрес для базовой аутентификации.

    При использовании аутентификации Windows необходимо ввести полное доменное имя в формате dbhost.example.org:1433

  4. Введите имя базы данных.

  5. Введите имя пользователя и пароль пользователя со всеми правами в базе данных хранилища ключей.

12

Выберите Режим подключения к базе данных TLS.

Mode

Описание

Предпочтительное использование TLS (параметр по умолчанию)

Узлам HDS не требуется TLS для подключения к серверу базы данных. Если на сервере базы данных включить TLS, узлы попытаются установить зашифрованное соединение.

Обязательное использование TLS

Подключение узлов HDS будет выполнено только в том случае, если сервер базы данных может согласовывать использование TLS.

Обязательное использование TLS и проверка источника подписи сертификата

Этот режим неприменим к базам данных SQL Server.

  • Подключение узлов HDS будет выполнено только в том случае, если сервер базы данных может согласовывать использование TLS.

  • После установления соединения TLS узел сравнивает подписавшего сертификат сервера базы данных с центром сертификации в корневом сертификате базы данных. При отсутствии совпадения узел разорвет соединение.

Воспользуйтесь элементом управления корневым сертификатом базы данных под раскрывающимся списком, чтобы загрузить корневой сертификат для этого параметра.

Обязательное использование TLS и проверка источника подписи сертификата и имени узла

  • Подключение узлов HDS будет выполнено только в том случае, если сервер базы данных может согласовывать использование TLS.

  • После установления соединения TLS узел сравнивает подписавшего сертификат сервера базы данных с центром сертификации в корневом сертификате базы данных. При отсутствии совпадения узел разорвет соединение.

  • Узлы также проверяют, совпадает ли имя узла в сертификате сервера с именем узла в поле Узел базы данных и порт . Необходимо точное совпадение имен. Иначе узел разорвет соединение.

Воспользуйтесь элементом управления корневым сертификатом базы данных под раскрывающимся списком, чтобы загрузить корневой сертификат для этого параметра.

При загрузке корневого сертификата (при необходимости) и нажатии Продолжить инструмент настройки HDS тестирует подключение TLS к серверу базы данных. Инструмент также выполняет проверку источника подписи сертификата и имени узла (если применимо). Если тест не будет пройден, в инструменте будет отображено сообщение об ошибке с описанием проблемы. Можно выбрать параметр игнорирования ошибки и продолжить настройку. (Из-за различий соединения узлы HDS могут установить соединение TLS, даже если машина средства настройки HDS не может успешно протестировать его.)

13

На странице «Системные журналы» настройте сервер Syslogd:

  1. Введите URL-адрес сервера системного журнала.

    Если сервер не может разрешить DNS из узлов для кластера HDS, используйте IP-адрес в URL.

    Пример:
    udp://10.92.43.23:514 означает вход в хост Syslogd 10.92.43.23 на порте UDP 514.

  2. Если вы настроили на сервере использование шифрования TLS, установите флажок Настроен ли сервер системного журнала для шифрования SSL?.

    Если установить этот флажок, необходимо ввести URL-адрес TCP, например tcp://10.92.43.23:514.

  3. В раскрывающемся списке Выберите прекращение записи системного журнала выберите соответствующую настройку для файла ISO. Выбор или новая линия используется для TCP-протокола Graylog и Rsyslog

    • Нулевой байт -- \x00

    • Новая линия -- \n: выберите этот вариант для TCP-протокола Graylog и Rsyslog.

  4. Щелкните Продолжить.

14

(Необязательно) Можно изменить значение по умолчанию для некоторых параметров подключения к базе данных в разделе Расширенные настройки. Как правило, этот параметр является единственным, который необходимо изменить:

app_datasource_connection_pool_maxРазмер: 10
15

Щелкните Продолжить на экране Сброс пароля учетных записей службы .

Срок действия паролей учетных записей службы составляет девять месяцев. Используйте этот экран, когда срок действия паролей скоро истечет или вы хотите сбросить их, чтобы сделать предыдущие файлы ISO недействительными.

16

Щелкните Скачать файл ISO. Сохраните файл в удобном для поиска местоположении.

17

Сделайте резервную копию файла ISO в локальной системе.

Обеспечьте безопасность резервного копирования. Этот файл содержит главный ключ шифрования для содержимого базы данных. Ограничьте доступ только тем администраторам службы безопасности данных гибридного типа, которые должны вносить изменения в конфигурацию.

18

Чтобы завершить работу инструмента настройки, нажмите CTRL+C.

Дальнейшие действия

Создайте резервную копию файла конфигурации ISO. Это необходимо для создания дополнительных узлов для восстановления или внесения изменений в конфигурацию. В случае утери всех копий файла ISO также был утрачен главный ключ. Невозможно восстановить ключи из базы данных PostgreSQL или Microsoft SQL Server.

У нас никогда не будет копии этого ключа, и мы не можем помочь, если вы его потеряете.

Установка файла OVA узла HDS

Используйте эту процедуру для создания виртуальной машины из файла OVA.
1

Используйте клиент VMware vSphere на компьютере для входа в виртуальный хост ESXi.

2

Выберите Файл > Развернуть шаблон OVF.

3

В мастере укажите расположение скачанного ранее файла OVA и щелкните Далее.

4

На странице Выберите имя и папку введите имя виртуальной машины для узла (например, "HDS_Node_1"), выберите местоположение, в котором может находиться развертывание узла виртуальной машины, и щелкните Далее.

5

На странице Выбор вычислительного ресурса выберите целевой вычислительный ресурс и щелкните Далее.

Выполняется проверка. По завершении отобразятся сведения о шаблоне.

6

Проверьте сведения о шаблоне и щелкните Далее.

7

При появлении запроса на выбор конфигурации ресурса на странице Конфигурация щелкните 4 ЦП , а затем щелкните Далее.

8

На странице Выбор хранилища щелкните Далее , чтобы принять формат диска по умолчанию и политику хранилища виртуальной машины.

9

На странице Выбор сетей выберите параметр сети из списка записей, чтобы обеспечить необходимое подключение к виртуальной машине.

10

На странице Настройка шаблона настройте приведенные ниже параметры сети.

  • Имя узла. Введите FQDN (имя узла и домен) или одно слово имя узла.

    • Настройка домена в соответствии с доменом, который вы использовали для получения сертификата X.509, не требуется.

    • Чтобы обеспечить успешную регистрацию в облаке, используйте только символы нижнего регистра в FQDN или имени узла, заданном для узла. В настоящее время заглавные буквы не поддерживаются.

    • Общая длина FQDN не должна превышать 64 символа.

  • IP-адрес: введите IP-адрес для внутреннего интерфейса узла.

    Узел должен иметь внутренний IP-адрес и имя DNS. DHCP не поддерживается.

  • Маска. Введите адрес маски подсети в десятичном формате. Например, 255.255.255.0.
  • Шлюз: введите IP-адрес шлюза. Шлюз — это сетевой узел, который служит точкой доступа к другой сети.
  • DNS-серверы: введите список DNS-серверов, разделенных запятыми, для обработки перевода доменных имен на числовые IP-адреса. (Разрешено до 4 записей DNS.)
  • NTP Servers (Серверы NTP). Введите сервер NTP вашей организации или другой внешний сервер NTP, который можно использовать в вашей организации. Серверы NTP по умолчанию могут работать не для всех предприятий. Для ввода нескольких NTP-серверов также можно использовать список, разделенный запятыми.

  • Разверните все узлы в одной подсети или VLAN, чтобы все узлы в кластере были доступны из клиентов вашей сети в административных целях.

При необходимости можно пропустить конфигурацию сетевых настроек и выполнить действия, описанные в разделе Настройка виртуальной машины безопасности данных гибридного типа , чтобы настроить параметры с помощью консоли узла.

Параметр настройки сети во время развертывания OVA протестирован с помощью ESXi 7.0. Этот параметр может быть недоступен в более ранних версиях.

11

Щелкните правой кнопкой мыши узел виртуальной машины и выберите Питание > Включение.

Программное обеспечение безопасности данных гибридного типа устанавливается в качестве гостя на узле виртуальной машины. Теперь вы готовы войти в консоль и настроить узел.

Рекомендации по устранению неисправностей

Контейнеры узла могут появиться через несколько минут. Во время первой загрузки на консоли отображается сообщение брандмауэра моста, в течение которого невозможно войти в систему.

Настройка виртуальной машины безопасности данных гибридного типа

Используйте эту процедуру для первого входа в консоль виртуальной машины узла безопасности данных гибридного типа и установки учетных данных для входа. Можно также использовать консоль для настройки сетевых параметров узла, если они не были настроены во время развертывания файла OVA.

1

В клиенте VMware vSphere выберите виртуальную машину узла безопасности данных гибридного типа и откройте вкладку Консоль .

Будет загружена виртуальная машина, и отобразится запрос на вход. Если запрос на вход не отображается, нажмите клавишу ввода.
2

Для входа и изменения учетных данных используйте следующие параметры входа и пароля по умолчанию:

  1. Вход: Администратор

  2. Пароль. Cisco

Поскольку вы впервые входите в свою виртуальную машину, вам необходимо изменить пароль администратора.

3

Если параметры сети уже настроены в разделе Установка OVA узла HDS, пропустите остальную процедуру. В противном случае в главном меню выберите параметр Редактировать конфигурацию .

4

Настройте статическую конфигурацию с использованием IP-адреса, маски, шлюза и информации DNS. Узел должен иметь внутренний IP-адрес и имя DNS. DHCP не поддерживается.

5

(Необязательно) Измените имя хоста, домен или NTP-серверы, если это необходимо для соответствия вашей сетевой политике.

Настройка домена в соответствии с доменом, который вы использовали для получения сертификата X.509, не требуется.

6

Сохраните конфигурацию сети и перезагрузите виртуальную машину, чтобы изменения вступили в силу.

Загрузка и установка ISO конфигурации HDS

Используйте эту процедуру для настройки виртуальной машины из файла ISO, созданного с помощью инструмента настройки HDS.

Перед началом работы

Поскольку в файле ISO содержится главный ключ, он должен быть раскрыт только по принципу «необходимо знать» для доступа виртуальных машин безопасности данных гибридного типа и всех администраторов, которым может потребоваться внести изменения. Убедитесь, что доступ к хранилищу данных могут получить только эти администраторы.

1

Загрузите файл ISO со своего компьютера.

  1. На левой панели навигации клиента VMware vSphere щелкните сервер ESXi.

  2. В списке "Оборудование" вкладки "Конфигурация" щелкните Хранилище.

  3. В списке хранилищ данных щелкните правой кнопкой мыши хранилище данных для виртуальных машин и щелкните Обзор хранилища данных.

  4. Щелкните пиктограмму "Загрузить файлы" и щелкните Загрузить файл.

  5. Перейдите в расположение, в котором скачался файл ISO на компьютер, и щелкните Открыть.

  6. Щелкните Да , чтобы принять предупреждение о загрузке или скачивании и закрыть диалоговое окно хранилища данных.

2

Установите файл ISO:

  1. На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры.

  2. Щелкните ОК , чтобы принять предупреждение об ограничении параметров редактирования.

  3. Щелкните Привод CD/DVD 1, выберите параметр подключения из файла хранилища данных ISO и перейдите в расположение, в котором был загружен файл конфигурации ISO.

  4. Установите флажки Подключено и Подключиться при включении.

  5. Сохраните изменения и перезагрузите виртуальную машину.

Дальнейшие действия

Если политика ИТ требует, после внесения изменений конфигурации на всех узлах можно отсоединить файл ISO. Подробные сведения см. в статье (необязательно) Отключение ISO после настройки HDS .

Настройка узла HDS для интеграции прокси

Если в сетевой среде необходимо использовать прокси, воспользуйтесь этой процедурой, чтобы указать тип прокси, который нужно интегрировать со службой безопасности данных гибридного типа. При выборе прозрачного прокси с проверкой или явного прокси HTTPS можно использовать интерфейс узла для загрузки и установки корневого сертификата. Кроме того, в интерфейсе можно проверять соединение с прокси и устранять неполадки.

Перед началом работы

1

Введите в веб-браузере URL-адрес для настройки узла HDS https://[IP-адрес или FQDN узла HDS]/setup, укажите учетные данные администратора, заданные вами для узла, и щелкните Sign In (Вход).

2

Откройте раздел Trust Store & Proxy (Зона доверия и прокси) и выберите один из следующих параметров.

  • Без прокси. Этот параметр используется по умолчанию перед интеграцией прокси. Обновление сертификата не требуется.
  • Прозрачный прокси без проверки. Узлы не настроены для использования адреса определенного прокси-сервера и не должны требовать каких-либо изменений для работы с прокси без проверки. Обновление сертификата не требуется.
  • Прозрачный прокси с проверкой: узлы не настроены для использования адреса определенного прокси-сервера. В развертывании службы безопасности данных гибридного типа не нужно вносить изменения в конфигурацию HTTPS, однако для обеспечения доверия прокси узлам HDS необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже HTTPS).
  • Явный прокси. При использовании явного прокси клиент (узлы HDS) определяет, какой прокси-сервер использовать. Этот параметр поддерживает несколько типов аутентификации. После выбора этого параметра необходимо ввести указанную далее информацию.

    1. IP/FQDN прокси. Адрес, который можно использовать для связи с прокси-машиной.

    2. Порт прокси. Номер порта, который прокси использует для прослушивания прокси-трафика.

    3. Proxy Protocol (Протокол прокси). Выберите http (просмотр и управление всеми запросами, полученными от клиента) или https (обеспечивает канал для сервера, а клиент получает и проверяет сертификат сервера). Выберите параметр в зависимости от того, какой протокол поддерживает используемый вами прокси-сервер.

    4. Тип аутентификации: выберите один из приведенных ниже типов аутентификации.

      • Нет. Дальнейшая аутентификация не требуется.

        Этот параметр доступен для прокси HTTP или HTTPS.

      • Базовый: используется для агента пользователя HTTP для указания имени пользователя и пароля при совершении запроса. Использует кодировку Base64.

        Этот параметр доступен для прокси HTTP или HTTPS.

        Если вы выберете этот параметр, вам понадобится ввести имя пользователя и пароль.

      • Дайджест. Используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети.

        Этот параметр доступен только для прокси HTTPS.

        Если вы выберете этот параметр, вам понадобится ввести имя пользователя и пароль.

В случае использования прозрачного прокси с проверкой, явного прокси HTTP с базовой аутентификацией или явного прокси HTTPS выполните указанные далее шаги.

3

Щелкните Upload a Root Certificate or End Entity Certificate (Загрузить корневой сертификат или сертификат конечного субъекта) и откройте меню для выбора корневого сертификата для прокси.

Сертификат будет загружен, но не установлен, поскольку для установки сертификата необходимо перезагрузить узел. Чтобы получить дополнительные сведения, щелкните стрелку-шеврон, расположенную рядом с именем издателя сертификата. Если вы допустили ошибку и хотите вновь загрузить файл, щелкните Delete (Удалить).

4

Чтобы протестировать сетевое соединение между узлом и прокси, щелкните Check Proxy Connection (Проверить соединение с прокси).

Если тестирование соединения завершится неудачей, на экране появится сообщение об ошибке, в котором будут указаны причина и способ исправления ошибки.

Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу. Такая проблема может возникнуть во многих конфигурациях явного прокси. Можно продолжить настройку, и узел будет работать в режиме блокировки разрешения внешних DNS. Если вы считаете, что это ошибка, выполните эти действия, а затем см. статью Выключение режима блокировки разрешения внешних DNS.

5

Если вы используете явный прокси, настроенный на применение исключительно https, после успешного завершения тестирования соединения включите параметр Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси (Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси). Для вступления в силу этого параметра необходимо 15 секунд.

6

Щелкните Install All Certificates Into the Trust Store (Установить все сертификаты в зоне доверия) – этот параметр отображается при использовании явного прокси HTTPS или прозрачного прокси с проверкой – или Reboot (Перезагрузить) – этот параметр отображается при использовании явного прокси HTTP. Прочитайте запрос и щелкните Install (Установить), если вы готовы к установке.

Узел перезагрузится в течение нескольких минут.

7

После перезагрузки узла повторно войдите в систему, если это необходимо, и откройте страницу Обзор, чтобы выполнить проверки соединений. Состояние всех проверок должно быть обозначено зеленым цветом.

Проверка соединения с прокси используется исключительно для тестирования поддомена webex.com. Проблемы с соединениями нередко возникают из-за того, что некоторые облачные домены, указанные в инструкциях по установке, блокируются на уровне прокси.

Регистрация первого узла в кластере

Эта задача берет общий узел, созданный в разделе Настройка виртуальной машины безопасности данных гибридного типа, регистрирует узел в облаке Webex и преобразует его в узел безопасности данных гибридного типа.

При регистрации первого узла создается кластер, которому он назначен. Кластер содержит один или несколько узлов, развернутых для резервирования.

Перед началом работы

  • После начала регистрации узла ее необходимо завершить в течение 60 минут или начать заново.

  • Убедитесь, что все блокировки всплывающих окон в браузере отключены или вы разрешаете исключение для admin.webex.com.

1

Войдите в https://admin.webex.com.

2

В меню в левой части экрана выберите Службы.

3

В разделе облачных служб найдите карточку безопасности данных гибридного типа и щелкните Настройка.

4

На открывшейся странице щелкните Добавить ресурс.

5

В первом поле карточки Добавить узел введите имя кластера, которому необходимо назначить узел безопасности данных гибридного типа.

Рекомендуется назвать кластер в зависимости от географического расположения узлов кластера. Примеры: "Сан-Франциско", "Нью-Йорк" или "Даллас"

6

Во втором поле введите внутренний IP-адрес или полное доменное имя узла и щелкните Добавить в нижней части экрана.

Этот IP-адрес или полное доменное имя должны совпадать с IP-адресом или именем хоста и доменом, которые вы использовали в разделе Настройка виртуальной машины безопасности данных гибридного типа.

Отобразится сообщение о том, что можно зарегистрировать узел в Webex.
7

Щелкните Перейти к узлу.

Через несколько секунд вы будете перенаправлены на тестирование подключения узла для служб Webex. Если все тесты будут успешными, отобразится страница "Разрешить доступ к узлу безопасности данных гибридного типа". Здесь вы подтверждаете, что хотите предоставить вашей организации Webex полномочия на доступ к узлу.

8

Установите флажок в поле Разрешить доступ к узлу безопасности данных гибридного типа и щелкните Продолжить.

Учетная запись подтверждена. В сообщении "Регистрация завершена" указано, что узел зарегистрирован в облаке Webex.
9

Щелкните ссылку или закройте вкладку, чтобы вернуться на страницу безопасности данных гибридного типа партнерского центра.

На странице Безопасность данных гибридного типа новый кластер, содержащий зарегистрированный узел, отображается на вкладке Ресурсы . Узел будет автоматически скачан новейшее программное обеспечение из облака.

Создать и зарегистрировать другие узлы

Чтобы добавить дополнительные узлы в кластер, просто создайте дополнительные виртуальные машины и подключите тот же файл конфигурации ISO, а затем зарегистрируйте узел. Рекомендуется иметь не менее 3 узлов.

Перед началом работы

  • После начала регистрации узла ее необходимо завершить в течение 60 минут или начать заново.

  • Убедитесь, что все блокировки всплывающих окон в браузере отключены или вы разрешаете исключение для admin.webex.com.

1

Создайте новую виртуальную машину из файла OVA, повторяя шаги, описанные в разделе Установка файла OVA узла HDS.

2

Настройте начальную конфигурацию новой виртуальной машины, повторяя шаги, описанные в разделе Настройка виртуальной машины безопасности данных гибридного типа.

3

В новой виртуальной машине повторите шаги, описанные в разделе Загрузка и установка ISO конфигурации HDS.

4

При настройке прокси для развертывания повторите шаги, описанные в разделе Настройка узла HDS для интеграции прокси для нового узла.

5

Зарегистрируйте узел.

  1. В https://admin.webex.com в меню в левой части экрана выберите Службы .

  2. В разделе облачных служб найдите карточку безопасности данных гибридного типа и щелкните Просмотреть все.

    Откроется страница "Ресурсы безопасности данных гибридного типа".

  3. Только что созданный кластер отобразится на странице Ресурсы .

  4. Щелкните кластер, чтобы просмотреть узлы, назначенные кластеру.

  5. Щелкните Добавить узел в правой части экрана.

  6. Введите внутренний IP-адрес или полное доменное имя узла и щелкните Добавить.

    Откроется страница с сообщением о том, что можно зарегистрировать узел в облаке Webex. Через несколько секунд вы будете перенаправлены на тестирование подключения узла для служб Webex. Если все тесты будут успешными, отобразится страница "Разрешить доступ к узлу безопасности данных гибридного типа". После этого вы подтверждаете, что хотите предоставить организации полномочия на доступ к узлу.

  7. Установите флажок в поле Разрешить доступ к узлу безопасности данных гибридного типа и щелкните Продолжить.

    Учетная запись подтверждена. В сообщении "Регистрация завершена" указано, что узел зарегистрирован в облаке Webex.

  8. Щелкните ссылку или закройте вкладку, чтобы вернуться на страницу безопасности данных гибридного типа партнерского центра.

    Всплывающее сообщение Узел добавлен также отображается в нижней части экрана в партнерском центре.

    Ваш узел зарегистрирован.

Управление организациями клиентов в службе безопасности данных гибридного типа с поддержкой нескольких клиентов

Активация HDS с несколькими клиентами в центре партнера

Эта задача позволит всем пользователям клиентских организаций начать использование HDS для локальных ключей шифрования и других служб безопасности.

Перед началом работы

Убедитесь, что настройка кластера HDS с несколькими клиентами завершена с требуемым количеством узлов.

1

Войдите в https://admin.webex.com.

2

В меню в левой части экрана выберите Службы.

3

В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Редактировать настройки.

4

Щелкните Активировать HDS на карточке Состояние HDS .

Добавить организации клиентов в Partner Hub

В этой задаче вы назначаете клиентские организации кластеру безопасности данных гибридного типа.

1

Войдите в https://admin.webex.com.

2

В меню в левой части экрана выберите Службы.

3

В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Просмотреть все.

4

Щелкните кластер, которому необходимо назначить клиента.

5

Перейдите на вкладку Назначенные клиенты .

6

Щелкните Добавить клиентов.

7

В раскрывающемся меню выберите клиента, которого необходимо добавить.

8

Щелкните Добавить, и клиент будет добавлен в кластер.

9

Чтобы добавить в кластер несколько клиентов, повторите шаги 6–8.

10

После добавления клиентов щелкните Готово в нижней части экрана.

Дальнейшие действия

Чтобы завершить процесс настройки, запустите инструмент настройки HDS, как описано в разделе Создание главных ключей клиента (CMK) с помощью инструмента настройки HDS .

Создание главных ключей клиентов (CMK) с помощью инструмента настройки HDS

Перед началом работы

Назначьте клиентов в соответствующий кластер, как описано в разделе Добавление клиентских организаций в Partner Hub. Запустите инструмент настройки HDS, чтобы завершить процесс настройки вновь добавленных клиентских организаций.

  • Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора для вашей организации.

    Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.

    Описание

    Переменная

    HTTP-прокси без аутентификации

    ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТ

    HTTPS-прокси без аутентификации

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTP-прокси с аутентификацией

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

    HTTPS-прокси с аутентификацией

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

  • Созданный файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. При внесении изменений в конфигурацию вам потребуется последняя копия этого файла. Например:

    • Учетные данные базы данных

    • Обновления сертификата

    • Изменения политики авторизации

  • При планировании шифрования соединений с базой данных настройте развертывание PostgreSQL или SQL Server для TLS.

Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.

1

Введите соответствующую команду для вашей среды в командной строке компьютера.

В обычных средах:

docker rmi ciscocitg/hds-setup:stable

В средах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать.

2

Чтобы войти в реестр образов Docker, введите следующее.

docker login -u hdscustomersro
3

Введите в запросе пароля этот хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Скачайте последнюю стабильную версию образа для вашей среды.

В обычных средах:

docker pull ciscocitg/hds-setup:stable

В средах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

По завершении скачивания введите соответствующую команду для вашей среды.

  • В обычных средах без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • В обычных средах с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В обычных средах с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В средах FedRAMP без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

6

Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу.

Перейдите к локальному узлу http://127.0.0.1:8080 с помощью веб-браузера и введите имя пользователя администратора для Partner Hub в окне подсказки.

Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартную подсказку для входа в систему.

7

При отображении соответствующего запроса введите учетные данные для входа администратора Partner Hub и щелкните Войти , чтобы разрешить доступ к необходимым службам для службы безопасности данных гибридного типа.

8

На странице обзора инструмента настройки щелкните Начало работы.

9

На странице Импорт ISO щелкните Да.

10

Выберите файл ISO в браузере и загрузите его.

Для выполнения управления CMK убедитесь в подключении к базе данных.
11

Перейдите на вкладку Управление CMK клиента , где можно найти три способа управления CMK клиента.

  • Создать CMK для всех ОРГАНИЗАЦИЙ или Создать CMK . Щелкните эту кнопку на баннере в верхней части экрана, чтобы создать CMK для всех вновь добавленных организаций.
  • Щелкните кнопку Управление CMK в правой части экрана и щелкните Создать CMK , чтобы создать CMK для всех вновь добавленных организаций.
  • Щелкните … рядом с состоянием рассмотрения управления CMK определенной организации в таблице и щелкните Создать CMK , чтобы создать CMK для этой организации.
12

После успешного создания CMK состояние в таблице изменится с Управление CMK рассматривается на Управление CMK.

13

В случае неудачного создания CMK отображается ошибка.

Удалить организации клиентов

Перед началом работы

После удаления пользователи клиентских организаций не смогут использовать HDS в целях шифрования, а все существующие пространства будут утрачены. Прежде чем удалить клиентские организации, обратитесь к своему партнеру Cisco или менеджеру по работе с клиентами.

1

Войдите в https://admin.webex.com.

2

В меню в левой части экрана выберите Службы.

3

В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Просмотреть все.

4

На вкладке Ресурсы щелкните кластер, из которого необходимо удалить клиентские организации.

5

На открывшейся странице щелкните Назначенные клиенты.

6

В списке отображаемых клиентских организаций щелкните ... в правой части клиентской организации, которую необходимо удалить, и щелкните Удалить из кластера.

Дальнейшие действия

Завершите процесс удаления, отозвав CMK клиентских организаций, как описано в статье Отозвать CMK клиентов, удаленных из HDS.

Отозвать CMK клиентов, удаленные из HDS.

Перед началом работы

Удалите клиентов из соответствующего кластера, как описано в разделе Удаление клиентских организаций. Запустите инструмент настройки HDS, чтобы завершить процесс удаления удаленных клиентских организаций.

  • Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора для вашей организации.

    Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.

    Описание

    Переменная

    HTTP-прокси без аутентификации

    ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТ

    HTTPS-прокси без аутентификации

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTP-прокси с аутентификацией

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

    HTTPS-прокси с аутентификацией

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

  • Созданный файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. При внесении изменений в конфигурацию вам потребуется последняя копия этого файла. Например:

    • Учетные данные базы данных

    • Обновления сертификата

    • Изменения политики авторизации

  • При планировании шифрования соединений с базой данных настройте развертывание PostgreSQL или SQL Server для TLS.

Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.

1

Введите соответствующую команду для вашей среды в командной строке компьютера.

В обычных средах:

docker rmi ciscocitg/hds-setup:stable

В средах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать.

2

Чтобы войти в реестр образов Docker, введите следующее.

docker login -u hdscustomersro
3

Введите в запросе пароля этот хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Скачайте последнюю стабильную версию образа для вашей среды.

В обычных средах:

docker pull ciscocitg/hds-setup:stable

В средах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

По завершении скачивания введите соответствующую команду для вашей среды.

  • В обычных средах без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • В обычных средах с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В обычных средах с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В средах FedRAMP без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

6

Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу.

Перейдите к локальному узлу http://127.0.0.1:8080 с помощью веб-браузера и введите имя пользователя администратора для Partner Hub в окне подсказки.

Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартную подсказку для входа в систему.

7

При отображении соответствующего запроса введите учетные данные для входа администратора Partner Hub и щелкните Войти , чтобы разрешить доступ к необходимым службам для службы безопасности данных гибридного типа.

8

На странице обзора инструмента настройки щелкните Начало работы.

9

На странице Импорт ISO щелкните Да.

10

Выберите файл ISO в браузере и загрузите его.

11

Перейдите на вкладку Управление CMK клиента , где можно найти три способа управления CMK клиента.

  • Отозвать CMK для всех ОРГАНИЗАЦИЙ или Отозвать CMK . Щелкните эту кнопку на баннере в верхней части экрана, чтобы отозвать CMK всех удаленных организаций.
  • Щелкните кнопку Управление CMK в правой части экрана и щелкните Отозвать CMK , чтобы отозвать CMK всех удаленных организаций.
  • Щелкните рядом с состоянием CMK для отзыва определенной организации в таблице и щелкните Отозвать CMK , чтобы отозвать CMK для определенной организации.
12

После успешного отзыва CMK клиентская организация больше не будет отображаться в таблице.

13

Если отзыв CMK не выполнен, отображается ошибка.

Тестирование развертывания службы безопасности данных гибридного типа

Тестирование развертывания службы безопасности данных гибридного типа

Используйте эту процедуру для тестирования сценариев шифрования безопасности данных гибридного типа с несколькими клиентами.

Перед началом работы

  • Настройте развертывание службы безопасности данных гибридного типа с несколькими клиентами.

  • Убедитесь, что у вас есть доступ к системному журналу, чтобы проверить, передаются ли запросы ключей в развертывание системы безопасности данных гибридного типа с несколькими клиентами.

1

Ключи для определенного пространства задаются создателем пространства. Войдите в приложение Webex в качестве одного из пользователей клиентской организации и создайте пространство.

Если деактивировать развертывание безопасности данных гибридного типа, контент в пространствах, созданных пользователями, больше не будет доступен после замены кэшированных клиентом копий ключей шифрования.

2

Отправить сообщения в новое пространство.

3

Проверьте вывод системного журнала, чтобы убедиться, что запросы ключей передаются в развертывание службы безопасности данных гибридного типа.

  1. Чтобы проверить, установит ли пользователь защищенный канал в KMS, отфильтруйте kms.data.method=create и kms.data.type=EPHEMERAL_KEY_COLLECTION.

    Необходимо найти следующую запись (идентификаторы, сокращенные для удобства чтения):
    2020-07-21 17:35:34.562 (+0000) KMS INFO [pool-14-thread-1] – получен [KMS:REQUEST], идентификатор устройства: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Чтобы проверить, требуется ли пользователю, запрашивающему существующий ключ из KMS, выполните фильтр в меню kms.data.method=retrieve и kms.data.type=KEY.

    Отобразится запись, аналогичная приведенной ниже.
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] – получен [KMS:REQUEST], идентификатор устройства: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Чтобы проверить, требуется ли пользователю создать новый ключ KMS, выполните фильтр в меню kms.data.method=create и kms.data.type=KEY_COLLECTION.

    Отобразится запись, аналогичная приведенной ниже.
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] – получен [KMS:REQUEST], идентификатор устройства: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Чтобы проверить, есть ли у пользователя запрос на создание нового объекта ресурса KMS (KRO) при создании пространства или другого защищенного ресурса, используйте фильтры в разделах kms.data.method=create и kms.data.type=RESOURCE_COLLECTION.

    Отобразится запись, аналогичная приведенной ниже. 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] – получен [KMS:REQUEST], идентификатор устройства: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Мониторинг работоспособности службы безопасности данных гибридного типа

Индикатор состояния в партнерском центре показывает, все ли в порядке с развертыванием службы безопасности данных гибридного типа с несколькими клиентами. Для более упреждающих предупреждений зарегистрируйтесь для получения уведомлений по электронной почте. Вы будете уведомлены о появлении сигналов, влияющих на службу, или о модернизации программного обеспечения.
1

В Partner Hub в меню в левой части экрана выберите Службы .

2

В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Редактировать настройки.

Отобразится страница "Настройки безопасности данных гибридного типа".
3

В разделе "Электронные уведомления" введите один или несколько адресов электронной почты, разделяя их запятыми, и нажмите клавишу ввода.

Управление развертыванием HDS

Управление развертыванием HDS

Для управления развертыванием службы безопасности данных гибридного типа используйте описанные здесь задачи.

Настройка графика модернизации кластера

Модернизация программного обеспечения службы безопасности данных гибридного типа выполняется автоматически на уровне кластера, что гарантирует, что на всех узлах всегда запущена одна и та же версия программного обеспечения. Модернизация выполняется в соответствии с графиком модернизации кластера. Когда модернизация программного обеспечения становится доступной, можно вручную модернизировать кластер до запланированного времени модернизации. Можно задать конкретное расписание модернизации или использовать расписание по умолчанию: 3:00 (ежедневно в США). Америка/Лос-Анджелес. При необходимости можно также отложить предстоящую модернизацию.

Чтобы настроить график модернизации, выполните указанные ниже действия.

1

Войдите в Partner Hub.

2

В меню в левой части экрана выберите Службы.

3

В разделе "Облачные службы" найдите раздел "Безопасность данных гибридного типа" и щелкните Настройка.

4

На странице "Ресурсы безопасности данных гибридного типа" выберите кластер.

5

Щелкните вкладку Настройки кластера .

6

На странице настроек кластера в разделе "График модернизации" выберите время и часовой пояс для графика модернизации.

Примечание. В часовом поясе отображаются следующие доступные дата и время модернизации. При необходимости можно отложить модернизацию на следующий день, щелкнув Отложить на 24 часа.

Изменение конфигурации узла

Иногда может потребоваться изменить конфигурацию узла безопасности данных гибридного типа по одной из причин:

  • Изменение сертификатов x.509 по истечении срока действия или по другим причинам.

    Изменение доменного имени CN сертификата не поддерживается. Домен должен совпадать с исходным доменом, использованным для регистрации кластера.

  • Обновление настроек базы данных для работы с копией базы данных PostgreSQL или Microsoft SQL Server.

    Перенос данных с PostgreSQL на Microsoft SQL Server или в обратном направлении не поддерживается. Чтобы переключить среду базы данных, начните новое развертывание службы безопасности данных гибридного типа.

  • Создание новой конфигурации для подготовки нового центра обработки данных.

Из соображений безопасности для учетных записей в службе безопасности данных гибридного типа используются пароли со сроком действия 9 месяцев. После того как инструмент настройки HDS создаст эти пароли, вам нужно будет развернуть их в каждом из своих узлов HDS в файле конфигурации ISO. При приближении даты окончания срока действия пароля команда Webex пришлет вам уведомление с запросом на сброс пароля учетной записи компьютера. (В сообщении электронной почты будет текст "Использование API учетной записи компьютера для обновления пароля".) Если срок действия паролей еще не истек, средство предоставляет два варианта.

  • Мягкий сброс. Старые и новые пароли работают в течение 10 дней. Используйте этот период для постепенной замены файла ISO на узлах.

  • Принудительный сброс: старые пароли перестают работать немедленно.

Если срок действия ваших паролей истекает без сброса, это влияет на работу вашей службы HDS. В этом случае требуется немедленный жесткий сброс и замена файла ISO на всех узлах.

Используйте эту процедуру, чтобы создать новый файл конфигурации ISO и применить его к кластеру.

Прежде чем начать

  • Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора партнера.

    Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker в 1.e. В этой таблице указаны некоторые из возможных переменных среды.

    Описание

    Переменная

    HTTP-прокси без аутентификации

    ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТ

    HTTPS-прокси без аутентификации

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTP-прокси с аутентификацией

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

    HTTPS-прокси с аутентификацией

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

  • Для создания новой конфигурации потребуется копия текущего файла конфигурации ISO. Файл ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. Файл ISO необходим для изменения конфигурации, в том числе учетных данных базы данных, обновления сертификатов или изменения политики авторизации.

1

Запустите инструмент настройки HDS, используя Docker на локальной машине.

  1. Введите соответствующую команду для вашей среды в командной строке компьютера.

    В обычных средах:

    docker rmi ciscocitg/hds-setup:stable

    В средах FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать.

  2. Чтобы войти в реестр образов Docker, введите следующее.

    docker login -u hdscustomersro

  3. Введите в запросе пароля этот хеш:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Скачайте последнюю стабильную версию образа для вашей среды.

    В обычных средах:

    docker pull ciscocitg/hds-setup:stable

    В средах FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Обязательно скачайте для этой процедуры последнюю версию инструмента настройки. В версиях инструмента, созданных до 22 февраля 2018 г., нет экранов сброса пароля.

  5. По завершении скачивания введите соответствующую команду для вашей среды.

    • В обычных средах без прокси:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • В обычных средах с HTTP-прокси:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • В обычных средах с HTTPS-прокси:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • В средах FedRAMP без прокси:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • В средах FedRAMP с HTTP-прокси:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • В средах FedRAMP с HTTPS-прокси:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

  6. Используйте браузер для подключения к localhost, http://127.0.0.1:8080.

    Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу.

  7. При отображении соответствующего запроса введите учетные данные для входа клиента партнерского центра и щелкните Принять , чтобы продолжить.

  8. Импортируйте текущий файл конфигурации ISO.

  9. Следуйте подсказкам, чтобы завершить работу с инструментом и скачать обновленный файл.

    Чтобы завершить работу инструмента настройки, нажмите CTRL+C.

  10. Создайте резервную копию обновленного файла в другом центре обработки данных.

2

Если у вас запущен только один узел HDS, создайте новую виртуальную машину узла безопасности данных гибридного типа и зарегистрируйте ее с помощью нового файла конфигурации ISO. Более подробные инструкции см. в статье Создание и регистрация дополнительных узлов.

  1. Установите OVA узла HDS.

  2. Настройте виртуальную машину HDS.

  3. Подключите обновленный файл конфигурации.

  4. Зарегистрируйте новый узел в Partner Hub.

3

Для существующих узлов HDS, в которых используется старый файл конфигурации, необходимо установить файл ISO. Выполните следующую процедуру для каждого узла по очереди, обновив каждый узел до выключения следующего узла.

  1. Выключите виртуальную машину.

  2. На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры.

  3. Щелкните Дисковод компакт-дисков и DVD-дисков 1, выберите параметр подключения из файла ISO и найдите расположение, куда вы скачали новый файл конфигурации ISO.

  4. Установите флажок Соединять при включении.

  5. Сохраните изменения и включите виртуальную машину.

4

Повторите шаг 3, чтобы заменить конфигурацию на каждом оставшемся узле со старой конфигурацией.

Отключение режима блокировки разрешения внешних DNS

При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. Если DNS-сервер узла не может разрешать общедоступные имена DNS, узел автоматически переходит в режим блокировки разрешения внешних DNS.

Если узлы могут разрешать общедоступные имена DNS через внутренние DNS-серверы, можно отключить этот режим, повторно запустив тестирование подключения к прокси на каждом узле.

Перед началом работы

Убедитесь в том, что внутренние DNS-серверы могут разрешать общедоступные имена DNS и ваши узлы могут обмениваться данными с ними.
1

В веб-браузере откройте интерфейс узла безопасности данных гибридного типа (например, IP-адрес или настройка) https://192.0.2.0/setup), введите учетные данные администратора, настроенные для узла, и щелкните Войти.

2

Перейдите к разделу Overview (Обзор) (страница по умолчанию).

Если режим включен, параметр Blocked External DNS Resolution (Блокировка разрешения внешних DNS) должен иметь значение Yes (Да).

3

Перейдите на страницу Trust Store & Proxy (Зона доверия и прокси).

4

Щелкните Check Proxy Connection (Проверить соединение с прокси).

Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу и он останется в этом режиме. В противном случае после перезапуска узла и возврата на страницу Overview (Обзор) параметр блокировки разрешения внешних DNS должен иметь значение No (Нет).

Дальнейшие действия

Повторите тестирование соединения с прокси для каждого узла кластера безопасности данных гибридного типа.

Удаление узла

Используйте эту процедуру для удаления узла безопасности данных гибридного типа из облака Webex. После удаления узла из кластера удалите виртуальную машину, чтобы предотвратить дальнейший доступ к данным безопасности.
1

С помощью клиента VMware vSphere на компьютере можно войти в виртуальный хост ESXi и выключить виртуальную машину.

2

Удалить узел:

  1. Войдите в Partner Hub и выберите Службы.

  2. На карточке безопасности данных гибридного типа щелкните Просмотреть все , чтобы отобразить страницу ресурсов безопасности данных гибридного типа.

  3. Выберите кластер, чтобы отобразить его панель "Обзор".

  4. Щелкните узел, который необходимо удалить.

  5. Щелкните Отменить регистрацию этого узла на панели справа.

  6. Кроме того, чтобы отменить регистрацию узла, щелкните ... в правой части узла и выберите Удалить этот узел.

3

В клиенте vSphere удалите виртуальную машину. (На панели навигации слева щелкните виртуальную машину правой кнопкой мыши и щелкните Удалить.)

Если виртуальная машина не удалена, не забудьте отсоединить файл конфигурации ISO. Без файла ISO вы не сможете использовать виртуальную машину для доступа к данным безопасности.

Аварийное восстановление с помощью центра обработки данных в режиме ожидания

Наиболее важной службой, предоставляемой кластером безопасности данных гибридного типа, является создание и хранение ключей, используемых для шифрования сообщений и другого контента, хранящегося в облаке Webex. Для каждого пользователя в организации, назначенного службе безопасности данных гибридного типа, запросы на создание нового ключа маршрутизируются в кластер. Кластер также отвечает за возврат созданных им ключей всем пользователям, авторизованным для их извлечения, например участникам пространства для разговора.

Поскольку кластер выполняет критически важную функцию предоставления этих ключей, необходимо, чтобы кластер продолжал работать и чтобы поддерживались соответствующие резервные копии. Потеря базы данных безопасности данных гибридного типа или конфигурации ISO, используемой для схемы, приведет к НЕОБРАТИМОЙ ПОТЕРЕ контента клиента. Для предотвращения таких потерь необходимо выполнить следующие действия:

Если из-за аварии развертывание HDS в основном центре обработки данных становится недоступным, выполните эту процедуру, чтобы вручную переключиться на резервный центр обработки данных.

Перед началом работы

Отмените регистрацию всех узлов из Partner Hub, как указано в разделе Удаление узла. Для выполнения указанной ниже процедуры отработки отказа используйте последний файл ISO, настроенный против узлов ранее активного кластера.
1

Запустите инструмент настройки HDS и выполните действия, указанные в разделе Создание ISO конфигурации для узлов HDS.

2

Завершите процесс настройки и сохраните файл ISO в удобном для поиска месте.

3

Сделайте резервную копию файла ISO в локальной системе. Обеспечьте безопасность резервного копирования. Этот файл содержит главный ключ шифрования для содержимого базы данных. Ограничьте доступ только тем администраторам службы безопасности данных гибридного типа, которые должны вносить изменения в конфигурацию.

4

На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры.

5

Щелкните Редактировать настройки >Диск CD/DVD 1 и выберите Файл хранилища данных ISO.

Убедитесь, что установлены флажки Подключено и Подключиться при включении , чтобы обновленные изменения конфигурации вступили в силу после запуска узлов.

6

Включите узел HDS и убедитесь, что сигналы отсутствуют в течение не менее 15 минут.

7

Зарегистрируйте узел в партнерском центре. См. статью Регистрация первого узла в кластере.

8

Повторите процесс для каждого узла в центре обработки данных в режиме ожидания.

Дальнейшие действия

Если после отказа основной центр обработки данных снова становится активным, отмените регистрацию узлов резервного центра обработки данных и повторите процесс настройки ISO и регистрации узлов основного центра обработки данных, как указано выше.

(Необязательно) Отсоедините ISO после настройки HDS

Стандартная конфигурация HDS выполняется с установленным ISO. Однако некоторые клиенты предпочитают не оставлять файлы ISO постоянно монтированными. После того как все узлы HDS примут новую конфигурацию, можно отсоединить файл ISO.

Для изменения конфигурации по-прежнему используются файлы ISO. При создании нового ISO или обновлении ISO с помощью инструмента настройки необходимо установить обновленный ISO на всех узлах HDS. С помощью этой процедуры можно снова отключить ISO, после того как все узлы примут изменения конфигурации.

Перед началом работы

Модернизируйте все свои узлы HDS до версии 2021.01.22.4720 или более поздней.

1

Закройте один из своих узлов HDS.

2

В vCenter Server Appliance выберите узел HDS.

3

Выберите Редактировать настройки > Привод CD/DVD и снимите флажок Файл хранилища данных ISO.

4

Включите узел HDS и убедитесь, что сигналы отсутствуют в течение не менее 20 минут.

5

Повторите эту процедуру для каждого узла HDS по очереди.

Устранение неполадок службы безопасности данных гибридного типа

Просмотр предупреждений и устранение неполадок

Развертывание службы безопасности данных гибридного типа считается недоступным, если все узлы в кластере недоступны или кластер работает настолько медленно, что истекло время ожидания. Если пользователи не могут подключиться к кластеру безопасности данных гибридного типа, у них будут следующие симптомы:

  • Не удается создать новые пространства (не удается создать новые ключи)

  • Не удалось расшифровать сообщения и заголовки пространств для:

    • Новые пользователи, добавленные в пространство (невозможно получить ключи)

    • Существующие пользователи в пространстве, использующие новый клиент (не удается получить ключи)

  • Существующие пользователи в пространстве будут продолжать успешно работать, пока в их клиентах будет сохранен кэш ключей шифрования

Важно надлежащим образом отслеживать кластер безопасности данных гибридного типа и своевременно реагировать на все предупреждения во избежание перебоев в работе службы.

Предупреждения

При возникновении проблем с настройкой безопасности данных гибридного типа партнерский центр отображает предупреждения администратору организации и отправляет электронные сообщения на настроенный адрес электронной почты. Предупреждения охватывают многие распространенные сценарии.

Таблица 1. Общие проблемы и действия по их устранению

Предупреждать

Действие

Ошибка доступа к локальной базе данных.

Проверьте наличие ошибок базы данных или проблем локальной сети.

Сбой подключения к локальной базе данных.

Убедитесь в доступности сервера базы данных и использовании правильных учетных данных учетной записи службы в конфигурации узла.

Сбой доступа к облачной службе.

Убедитесь, что узлы могут получить доступ к серверам Webex, как указано в разделе Требования к внешнему подключению.

Обновление регистрации облачной службы.

Регистрация в облачных службах прервана. Выполняется возобновление регистрации.

Регистрация для облачной службы прервана.

Регистрация в облачных службах прервана. Служба выключена.

Служба еще не активирована.

Активируйте HDS в партнерском центре.

Настроенный домен не соответствует сертификату сервера.

Убедитесь, что сертификат сервера соответствует настроенному домену активации службы.

Наиболее вероятная причина заключается в том, что CN сертификата недавно был изменен и теперь отличается от CN, использованного во время начальной настройки.

Не удалось выполнить аутентификацию в облачных службах.

Проверьте точность и возможный срок действия учетных данных службы.

Не удалось открыть файл локального хранилища ключей.

Проверка целостности и точности пароля в файле локального хранилища ключей.

Недействительный сертификат локального сервера.

Проверьте дату истечения срока действия сертификата сервера и убедитесь, что он был выдан доверенным центром сертификации.

Не удается опубликовать метрики.

Проверьте доступ локальной сети к внешним облачным службам.

Каталог /media/configdrive/hds не существует.

Проверьте конфигурацию подключения ISO на виртуальном хосте. Проверьте, существует ли файл ISO, настроен ли он для подключения при перезагрузке и успешно ли установлен.

Настройка организации клиента не завершена для добавленных организаций

Завершите настройку, создав CMK для вновь добавленных клиентских организаций с помощью инструмента настройки HDS.

Настройка организации клиента не завершена для удаленных организаций

Завершите настройку, отозвав CMK клиентских организаций, которые были удалены с помощью инструмента настройки HDS.

Устранение неполадок службы безопасности данных гибридного типа

При устранении неполадок со службой безопасности данных гибридного типа используйте приведенные ниже общие рекомендации.
1

Просмотрите в Partner Hub все предупреждения и исправьте все элементы, найденные в нем. Для справки см. изображение ниже.

2

Проверьте вывод сервера системных журналов для активности из развертывания службы безопасности данных гибридного типа. Используйте фильтр для таких слов, как "Предупреждение" и "Ошибка", чтобы помочь в устранении неполадок.

3

Обратитесь в службу поддержки Cisco.

Другие примечания

Известные проблемы безопасности данных гибридного типа

  • Если вы выключите кластер безопасности данных гибридного типа (удалив его в партнерском центре или выключив все узлы), потеряете файл конфигурации ISO или потеряете доступ к базе данных хранилища ключей, пользователи приложения Webex клиентских организаций больше не смогут использовать пространства в списке пользователей, созданных с помощью ключей из KMS. В настоящий момент для устранения этой проблемы нет обходного решения или решения. Мы настоятельно призываем вас не выключать службы HDS после обработки активных учетных записей пользователей.

  • Клиент с существующим подключением ECDH к KMS поддерживает это соединение в течение периода времени (вероятно, один час).

Использование OpenSSL для создания файла PKCS12

Перед началом работы

  • OpenSSL — это один из инструментов, который можно использовать для создания файла PKCS12 в соответствующем формате для загрузки в инструменте настройки HDS. Есть и другие способы сделать это, и мы не поддерживаем и не продвигаем друг друга.

  • Если вы решите использовать OpenSSL, мы предоставляем эту процедуру в качестве руководства для создания файла, который соответствует требованиям сертификата X.509 в разделе Требования к сертификату X.509. Прежде чем продолжить, ознакомьтесь с этими требованиями.

  • Установите OpenSSL в поддерживаемой среде. Информацию о программном обеспечении и документации см. в разделе https://www.openssl.org .

  • Создайте закрытый ключ.

  • Начните эту процедуру при получении сертификата сервера от центра сертификации (ЦС).

1

При получении сертификата сервера от ЦС сохраните его как hdsnode.pem.

2

Отобразите сертификат в виде текста и проверьте сведения.

openssl x509 -текст -noout -в hdsnode.pem

3

Используйте текстовый редактор для создания файла пакета сертификатов под названием hdsnode-bundle.pem. Пакетный файл должен включать сертификат сервера, все промежуточные сертификаты ЦС и корневые сертификаты ЦС в следующем формате:

-----BEGIN CERTIFICATE----- ### Сертификат сервера. ### -----END CERTIFICATE--------BEGIN CERTIFICATE----- ### Промежуточный сертификат ЦС. ### -----END CERTIFICATE-------BEGIN CERTIFICATE----- ### Корневой сертификат ЦС. ### -----END CERTIFICATE-----

4

Создайте файл .p12 с подходящим именем kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -в hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Проверьте сведения о сертификате сервера.

  1. openssl pkcs12 - в hdsnode.p12

  2. Введите пароль в окне запроса для шифрования закрытого ключа, чтобы он отображался в выводе. Затем убедитесь, что закрытый ключ и первый сертификат содержат строки friendlyName: kms-private-key.

    Пример:

    bash$ openssl pkcs12 -in hdsnode.p12 Введите пароль для импорта: MAC проверил атрибуты пакета "ОК" friendlyName: Идентификатор локального ключа kms-private-key : 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ключевые атрибуты:  Введите фразу пароля PEM: Проверка – введите фразу для доступа PEM: -----BEGIN ENCRYPTED PRIVATE KEY-----  -----END ENCRYPTED PRIVATE KEY------ Bag Attributes friendlyName: Идентификатор локального ключа kms-private-key : 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE-----

Дальнейшие действия

Вернитесь к разделу Выполнение предварительных требований для безопасности данных гибридного типа. Файл hdsnode.p12 и заданный для него пароль будут использоваться в разделе Создание конфигурации ISO для узлов HDS.

Эти файлы можно повторно использовать для запроса нового сертификата по истечении срока действия исходного сертификата.

Трафик между узлами HDS и облаком

Трафик сбора исходящих метрик

Узлы безопасности данных гибридного типа отправляют определенные метрики в облако Webex. К ним относятся системные метрики максимального количества подключений, использования максимального количества подключений, загрузки ЦП и количества потоков; метрики синхронных и асинхронных потоков; метрики оповещений о пороговом значении соединений шифрования, задержки или длины очереди запросов; метрики хранилища данных; и метрики подключения шифрования. Узлы отправляют зашифрованный ключ-материал по внеполосному каналу (отдельному от запроса).

Входящий трафик

Узлы безопасности данных гибридного типа получают из облака Webex следующие типы входящего трафика:

  • Запросы на шифрование от клиентов, которые маршрутизируются службой шифрования

  • Модернизация программного обеспечения узла

Настройка прокси Squid для безопасности данных гибридного типа

Невозможно выполнить подключение веб-сокетов через прокси Squid

Прокси Squid, которые проверяют трафик HTTPS, могут мешать созданию соединений веб-сокетов (wss:), которые необходимы службе безопасности данных гибридного типа. В указанных далее разделах приведены рекомендации по настройке различных версий Squid с целью игнорирования трафика wss: для обеспечения надлежащей работы служб.

Squid 4 и 5

Добавьте on_unsupported_protocol директиву в squid.conf:

on_unsupported_protocol туннель все

Squid 3.5.27

Служба безопасности данных гибридного типа успешно протестирована с указанными далее правилами, добавленными в squid.conf. Эти правила могут изменяться по мере разработки функций и обновления облака Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump соединение wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump просмотр step1 все ssl_bump просмотр step2 все ssl_bump bump3 все

Новая и измененная информация

Новая и измененная информация

В этой таблице описаны новые функции или функциональные возможности, изменения существующего контента, а также любые серьезные ошибки, исправленные в руководстве по развертыванию службы безопасности данных гибридного типа с несколькими клиентами.

Дата

Внесены изменения

30 января 2025 г.

Добавлен сервер SQL версии 2022 в список поддерживаемых серверов SQL в разделе Требования к серверу базы данных.

15 января 2025 г.

Добавлены ограничения безопасности данных гибридного типа с несколькими клиентами.

8 января 2025 г.

Добавлено примечание в разделе Выполнение начальной настройки и скачивание файлов установки , в котором указано, что нажатие кнопки Настройка на карточке HDS в Partner Hub является важным этапом процесса установки.

7 января 2025 г.

Обновлены Требования к виртуальному узлу, Алгоритм выполнения задач по развертыванию службы безопасности данных гибридного типа и Установка OVA узла HDS для отображения новых требований ESXi 7.0.

13 декабря 2024 г.

Впервые опубликовано.

Деактивация службы безопасности данных гибридного типа с несколькими клиентами

Алгоритм выполнения задач по деактивации HDS с несколькими клиентами

Чтобы полностью деактивировать HDS с несколькими клиентами, выполните приведенные ниже действия.

Перед началом работы

Эту задачу должен выполнять только администратор партнера с полными правами.
1

Удалите всех клиентов из всех кластеров, как указано в разделе Удаление клиентских организаций.

2

Отозвать CMK всех клиентов, как указано в статье Отозвать CMK клиентов, удаленных из HDS.

3

Удалите все узлы из всех кластеров, как описано в разделе Удаление узла.

4

Удалите все кластеры из Partner Hub одним из следующих двух способов.

  • Щелкните кластер, который необходимо удалить, и выберите Удалить этот кластер в правом верхнем углу страницы обзора.
  • На странице "Ресурсы" щелкните ... в правой части кластера и выберите Удалить кластер.
5

Щелкните вкладку Настройки на странице обзора безопасности данных гибридного типа и щелкните Деактивировать HDS на карточке состояния HDS.

Начало работы с системой безопасности данных гибридного типа с поддержкой нескольких клиентов

Общие сведения о безопасности данных гибридного типа для нескольких клиентов

С самого начала безопасность данных была главной задачей при разработке приложения Webex. В основе этой безопасности лежит сквозное шифрование контента, которое включается клиентами приложения Webex, взаимодействующими со службой управления ключами (KMS). KMS отвечает за создание и управление криптографическими ключами, которые используются клиентами для динамического шифрования и расшифровки сообщений и файлов.

По умолчанию для всех клиентов приложения Webex обеспечивается сквозное шифрование с использованием динамических ключей, которые хранятся в облаке KMS в области безопасности Cisco. Служба безопасности данных гибридного типа перемещает KMS и другие функции безопасности в корпоративный центр обработки данных, поэтому доступ к ключам для зашифрованного контента будет только у вас.

Служба безопасности данных гибридного типа с поддержкой нескольких клиентов позволяет организациям использовать HDS через доверенного локального партнера, который может выполнять функции поставщика услуг и управлять локальным шифрованием и другими службами безопасности. Эта настройка позволяет партнерской организации осуществлять полный контроль над развертыванием ключей шифрования и управлением ими, а также обеспечивает безопасность данных пользователей клиентских организаций от внешнего доступа. Партнерские организации настраивают экземпляры HDS и при необходимости создают кластеры HDS. Каждый экземпляр может поддерживать несколько клиентских организаций, в отличие от обычного развертывания HDS, которое ограничено одной организацией.

Партнерские организации контролируют развертывание и управление, однако у них нет доступа к данным и контенту, созданным клиентами. Этот доступ ограничен клиентскими организациями и их пользователями.

Это также позволяет небольшим организациям использовать HDS, поскольку служба управления ключами и инфраструктура безопасности, например центры обработки данных, принадлежат доверенному локальному партнеру.

Как служба безопасности данных гибридного типа с несколькими клиентами обеспечивает суверенитет и управление данными

  • Созданный пользователем контент защищен от внешнего доступа, например от поставщиков облачных услуг.
  • Локальные доверенные партнеры управляют ключами шифрования клиентов, с которыми они уже установили взаимоотношения.
  • Параметр для локальной технической поддержки, если она предоставлена партнером.
  • Поддержка контента совещаний, обмена сообщениями и вызовов.

Этот документ предназначен для помощи партнерским организациям в настройке клиентов и управлении ими в системе безопасности данных гибридного типа с несколькими клиентами.

Ограничения службы безопасности данных гибридного типа с несколькими клиентами

  • Партнерские организации не должны иметь существующее развертывание HDS, активное в Control Hub.
  • Клиентские или клиентские организации, которым необходимо управлять партнером, не должны иметь существующее развертывание HDS в Control Hub.
  • После развертывания партнером HDS с несколькими клиентами все пользователи клиентских организаций, а также пользователи партнерской организации начинают использовать HDS с несколькими клиентами для своих служб шифрования.

    Партнерская организация и клиентские организации, которыми они управляют, будут развертываться в одном развертывании HDS с несколькими клиентами.

    После развертывания HDS с несколькими клиентами партнерская организация больше не будет использовать облачную службу KMS.

  • Механизм для перемещения ключей обратно в облачную службу KMS после развертывания HDS отсутствует.
  • В настоящее время каждое развертывание HDS с несколькими клиентами может иметь только один кластер с несколькими узлами под ним.
  • Роли администраторов имеют определенные ограничения. Подробности см. в разделе ниже.

Роли в службе безопасности данных гибридного типа с несколькими клиентами

  • Администратор партнера с полными правами : может управлять настройками для всех клиентов, которыми управляет партнер. Также может назначать роли администратора существующим пользователям в организации и назначать определенных клиентов, которыми будут управлять администраторы партнера.
  • Администратор партнера . Может управлять настройками клиентов, подготовленных администратором или назначенных пользователю.
  • Администратор с полными правами . Администратор партнерской организации, уполномоченный выполнять такие задачи, как изменение настроек организации, управление лицензиями и назначение ролей.
  • Сквозная настройка HDS с несколькими клиентами и управление ими всех клиентских организаций . Требуются права администратора партнера с полными правами и администратора с полными правами.
  • Управление назначенными организациями клиента : требуются права администратора партнера и полного администратора.

Архитектура области безопасности

Облачная архитектура Webex разбивает различные типы служб на отдельные области или домены доверия, как показано ниже.

Области разделения (без службы безопасности данных гибридного типа)

Чтобы получить дополнительные сведения о безопасности данных гибридного типа, давайте сначала рассмотрим этот облачный случай, в котором компания Cisco предоставляет все функции в облачных областях. Служба удостоверений – единственное место, где пользователи могут напрямую соотнести с их персональной информацией, такой как адрес электронной почты, логически и физически отделена от области безопасности в центре обработки данных B. Обе службы в свою очередь отделены от области, в которой в конечном итоге хранится зашифрованный контент, в центре обработки данных C.

На этой схеме клиент представляет собой приложение Webex, запущенное на ноутбуке пользователя и прошедшее аутентификацию с помощью службы удостоверений. При написании пользователем сообщения для отправки в пространство выполняются следующие действия.

  1. Клиент устанавливает безопасное соединение со службой управления ключами (KMS), затем запрашивает ключ для шифрования сообщения. Защищенное соединение использует ECDH, а KMS шифрует ключ с помощью главного ключа AES-256.

  2. Сообщение шифруется до выхода из клиента. Клиент отправляет его в службу индексации, которая создает зашифрованные индексы поиска для помощи в будущих поисковых запросах контента.

  3. Зашифрованное сообщение отправляется в службу обеспечения соответствия для проверки соответствия.

  4. Зашифрованное сообщение хранится в области хранилища.

При развертывании службы безопасности данных гибридного типа функции области безопасности (KMS, индексация и соответствие требованиям) перемещаются в локальный центр обработки данных. Другие облачные службы, которые составляют Webex (включая идентификационные данные и хранилище контента), остаются в сферах Cisco.

Сотрудничество с Другими Организациями

Пользователи в вашей организации могут регулярно использовать приложение Webex для совместной работы с внешними участниками из других организаций. Когда один из пользователей запрашивает ключ для пространства, принадлежащего вашей организации (поскольку он был создан одним из пользователей), KMS отправляет ключ клиенту по защищенному каналу ECDH. Однако если ключ для пространства принадлежит другой организации, KMS перенаправляет запрос в облако Webex через отдельный канал ECDH для получения ключа от соответствующего KMS, а затем возвращает ключ пользователю в исходном канале.

Служба KMS, запущенная в организации A, проверяет подключения к KMS в других организациях с помощью сертификатов PKI x.509. Подробные сведения о создании сертификата x.509 для использования с развертыванием службы безопасности данных гибридного типа с несколькими клиентами см. в статье Подготовка среды .

Ожидания развертывания службы безопасности данных гибридного типа

Развертывание службы безопасности данных гибридного типа требует значительных обязательств и осознания рисков, связанных с хранением ключей шифрования.

Для развертывания службы безопасности данных гибридного типа необходимо предоставить:

Полная потеря конфигурации ISO, созданной для службы безопасности данных гибридного типа, или предоставленной базы данных приведет к потере ключей. Потеря ключей предотвращает расшифровку контента пространства и других зашифрованных данных в приложении Webex пользователями. В этом случае можно создать новое развертывание, однако будет отображаться только новый контент. Во избежание потери доступа к данным необходимо выполнить приведенные ниже действия.

  • Управление резервным копированием и восстановлением базы данных и конфигурации ISO.

  • Будьте готовы к быстрому аварийному восстановлению в случае аварии, например, сбою диска базы данных или сбою центра обработки данных.

Механизм для перемещения ключей обратно в облако после развертывания HDS отсутствует.

Высокоуровневый процесс настройки

В этом документе описана настройка и управление развертыванием службы безопасности данных гибридного типа с несколькими клиентами.

  • Настройка безопасности данных гибридного типа. Это включает подготовку необходимой инфраструктуры и установку программного обеспечения безопасности данных гибридного типа, создание кластера HDS, добавление клиентских организаций в кластер и управление их главными ключами клиента (CMK). Это позволит всем пользователям клиентских организаций использовать кластер безопасности данных гибридного типа для функций безопасности.

    Этапы настройки, активации и управления подробно описаны в следующих трех главах.

  • Поддержка развертывания службы безопасности данных гибридного типа: облако Webex автоматически обеспечивает непрерывную модернизацию. Ваш отдел ИТ может предоставлять поддержку первого уровня для этого развертывания и при необходимости привлекать поддержку Cisco. В Partner Hub можно использовать экранные уведомления и настроить предупреждения на основе электронной почты.

  • Общие предупреждения, действия по устранению неполадок и известные проблемы. При возникновении проблем с развертыванием или использованием службы безопасности данных гибридного типа можно определить и устранить проблему с помощью последней главы этого руководства и приложения "Известные проблемы".

Модель развертывания службы безопасности данных гибридного типа

В корпоративном центре обработки данных служба безопасности данных гибридного типа будет развернута в виде одного кластера узлов на отдельных виртуальных узлах. Узлы связываются с облаком Webex с помощью защищенных веб-сокетов и защищенного HTTP.

Во время процесса установки предоставляется файл OVA для настройки виртуального устройства на предоставленных вами виртуальных машинах. Инструмент настройки HDS используется для создания пользовательского файла конфигурации кластера ISO, который устанавливается на каждом узле. Кластер безопасности данных гибридного типа использует предоставленный сервер Syslogd и базу данных PostgreSQL или Microsoft SQL Server. (Сведения о соединении Syslogd и базы данных можно настроить в инструменте настройки HDS.)

Модель развертывания службы безопасности данных гибридного типа

Минимальное количество узлов в кластере: два. Рекомендуется не менее трех на кластер. Наличие нескольких узлов гарантирует, что во время модернизации программного обеспечения или других действий по техническому обслуживанию узла служба не будет прерываться. (Облако Webex модернизирует только один узел за раз.)

Все узлы в кластере имеют доступ к одному хранилищу данных и активности журналов на один и тот же сервер системных журналов. Сами узлы не имеют состояния и обрабатывают запросы на ключ в циклическом порядке, как направляется облаком.

Узлы становятся активными при регистрации в партнерском центре. Чтобы вывести отдельный узел из эксплуатации, можно отменить его регистрацию, а затем, при необходимости, повторно зарегистрировать его.

Резервный центр обработки данных для аварийного восстановления

Во время развертывания вы настраиваете защищенный резервный центр обработки данных. В случае аварии центра обработки данных можно вручную перенести развертывание на резервный центр обработки данных.

Перед отказом в центре обработки данных A есть активные узлы HDS и основная база данных PostgreSQL или Microsoft SQL Server, в то время как в B есть копия файла ISO с дополнительными конфигурациями, ВМ, зарегистрированные в организации, и резервная база данных. После отработки отказа центр обработки данных B имеет активные узлы HDS и основную базу данных, в то время как у A есть незарегистрированные виртуальные машины и копия файла ISO, а база данных находится в режиме ожидания.
Ручное переключение на резервный центр обработки данных

Базы данных активных и резервных центров обработки данных синхронизируются друг с другом, что позволит свести к минимуму время, затрачиваемое на выполнение отработки отказа.

Активные узлы безопасности данных гибридного типа всегда должны находиться в одном центре обработки данных с активным сервером базы данных.

Поддержка прокси

Служба безопасности данных гибридного типа поддерживает явные прокси, прозрачные прокси с проверкой и прокси без проверки. Чтобы обеспечить защиту и мониторинг трафика из сети предприятия в облако, можно связать эти прокси с развертыванием. После настройки прокси на узлах административный интерфейс платформы на узлах можно использовать для управления сертификатами и просмотра общего состояния соединений.

Узлы безопасности данных гибридного типа поддерживают указанные далее параметры прокси.

  • Нет прокси. Значение по умолчанию, если для интеграции прокси не используется конфигурация доверенного хранилища и прокси для настройки узла HDS. Обновление сертификата не требуется.

  • Прозрачный прокси без проверки. Узлы не настроены для использования адреса определенного прокси-сервера и не должны требовать каких-либо изменений для работы с прокси без проверки. Обновление сертификата не требуется.

  • Прозрачный туннелирование или прокси с проверкой. Узлы не настроены для использования адреса определенного прокси-сервера. На узлах не нужно изменять конфигурацию HTTP или HTTPS. Как бы то ни было, для обеспечения доверия прокси узлам необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже HTTPS).

  • Явный прокси. При использовании явного прокси необходимо указать прокси-сервер и схему аутентификации узлам HDS. Для настройки явного прокси на каждом узле нужно ввести следующую информацию.

    1. IP/FQDN прокси. Адрес, который можно использовать для связи с прокси-машиной.

    2. Порт прокси. Номер порта, который прокси использует для прослушивания прокси-трафика.

    3. Proxy Protocol (Протокол прокси). В зависимости от поддержки прокси-сервера выберите один из следующих протоколов.

      • HTTP – просматривает все запросы, отправляемые клиентом, и управляет этими запросами.

      • HTTPS – обеспечивает работу канала связи с сервером. Клиент получает и проверяет сертификат сервера.

    4. Тип аутентификации: выберите один из приведенных ниже типов аутентификации.

      • Нет. Дальнейшая аутентификация не требуется.

        Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.

      • Базовый: используется для агента пользователя HTTP для указания имени пользователя и пароля при совершении запроса. Использует кодировку Base64.

        Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.

        Требует ввода имени пользователя и пароля на каждом узле.

      • Дайджест. Используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети.

        Этот параметр доступен только в том случае, если в качестве протокола прокси выбран протокол HTTPS.

        Требует ввода имени пользователя и пароля на каждом узле.

Пример узлов безопасности данных гибридного типа и прокси

На этой схеме представлен пример соединения между системой безопасности данных гибридного типа, сетью и прокси. При использовании прозрачного прокси с проверкой или явного прокси с проверкой HTTPS на прокси и узлы безопасности данных гибридного типа необходимо установить один и тот же корневой сертификат.

Режим блокировки разрешения внешних DNS (конфигурации явного прокси)

При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. В развертываниях с конфигурациями явного прокси, которые не допускают разрешения внешних DNS для внутренних клиентов, если узел не может посылать запросы на DNS-серверы, он автоматически переходит в режим блокировки разрешения внешних DNS. В этом режиме можно продолжить регистрацию узла и другие тестирования подключения к прокси.

Подготовка среды

Требования к безопасности данных гибридного типа с несколькими клиентами

Требования к лицензии Cisco Webex

Развертывание службы безопасности данных гибридного типа с несколькими клиентами.

  • Партнерские организации: Обратитесь к своему партнеру Cisco или менеджеру по работе с клиентами и убедитесь, что функция "Несколько клиентов" включена.

  • Организации клиентов: Необходима профессиональная версия Cisco Webex Control Hub. См. https://www.cisco.com/go/pro-pack.

Требования к рабочему столу Docker

Перед установкой узлов HDS необходимо запустить программу настройки с помощью Docker Desktop. Docker недавно обновил свою модель лицензирования. Для вашей организации может потребоваться платная подписка на Docker Desktop. Подробности см. в записи блога Docker, " Docker обновляет и расширяет подписки на продукты".

Требования к сертификату X.509

Цепочка сертификатов должна соответствовать следующим требованиям:

Таблица 1. Требования к сертификату X.509 для развертывания системы безопасности данных гибридного типа

Требование

Подробности

  • Подписано доверенным центром сертификации (ЦС)

По умолчанию мы доверяем ЦС в списке Mozilla (за исключением WoSign и StartCom) по адресу https://wiki.mozilla.org/CA:IncludedCAs.

  • Носит доменное имя общего имени (CN), идентифицирующее развертывание службы безопасности данных гибридного типа.

  • Не является групповым сертификатом

CN не требуется, чтобы он был доступен или был организатором в режиме реального времени. Рекомендуется использовать название, отражающее вашу организацию, например hds.company.com.

CN не должен содержать * (подстановочный знак).

CN используется для проверки узлов безопасности данных гибридного типа для клиентов приложения Webex. Все узлы безопасности данных гибридного типа в кластере используют один и тот же сертификат. Ваш KMS идентифицирует себя с помощью домена CN, а не любого домена, определенного в полях SAN x.509v3.

После регистрации узла с этим сертификатом изменение доменного имени CN не поддерживается.

  • Подпись без SHA1

Программное обеспечение KMS не поддерживает подписи SHA1 для проверки подключений к KMS других организаций.

  • Отформатирован в виде файла PKCS #12, защищенного паролем

  • Используйте понятное имя kms-private-key для тегов сертификата, закрытого ключа и всех промежуточных сертификатов для загрузки.

Для изменения формата сертификата можно использовать преобразователь, например OpenSSL.

При запуске инструмента настройки HDS потребуется ввести пароль.

Программное обеспечение KMS не обеспечивает принудительное использование ключа или расширенные ограничения на его использование. Некоторые центры сертификации требуют, чтобы к каждому сертификату применялись расширенные ограничения на использование ключей, например аутентификация сервера. Использовать аутентификацию сервера или другие настройки можно.

Требования к виртуальному организатору

Виртуальные узлы, которые будут настроены в качестве узлов безопасности данных гибридного типа в кластере, имеют следующие требования:

  • По крайней мере два отдельных узла (рекомендуется 3) размещены в одном защищенном центре обработки данных

  • Установлена и запущена VMware ESXi 7.0 (или более поздняя версия).

    При наличии более ранней версии ESXi необходимо выполнить модернизацию.

  • Минимум 4 ЦП, 8 ГБ основной памяти, 30 ГБ локального жесткого диска на сервер

Требования к серверу базы данных

Создайте новую базу данных для хранилища ключей. Не используйте базу данных по умолчанию. Приложения HDS при установке создают схему базы данных.

Существует два варианта сервера баз данных. Требования для каждого из них приведены ниже.

Таблица 2. Требования к серверу базы данных в разрезе типов базы данных

PostgreSQL

Сервер Microsoft SQL

  • Установленный и запущенный PostgreSQL 14, 15 или 16.

  • Установлен SQL Server 2016, 2017, 2019 или 2022 (корпоративный или стандартный).

    Для SQL Server 2016 требуется пакет обновления 2 и накопительное обновление 2 или более поздняя версия.

Минимум 8 виртуальных ЦП, 16 ГБ основной памяти, достаточное пространство на жестком диске и мониторинг для обеспечения его отсутствия (рекомендуется 2 ТБ, если необходимо запустить базу данных в течение длительного времени без увеличения объема хранилища)

Минимум 8 виртуальных ЦП, 16 ГБ основной памяти, достаточное пространство на жестком диске и мониторинг для обеспечения его отсутствия (рекомендуется 2 ТБ, если необходимо запустить базу данных в течение длительного времени без увеличения объема хранилища)

Программное обеспечение HDS в настоящее время устанавливает следующие версии драйверов для связи с сервером базы данных:

PostgreSQL

Сервер Microsoft SQL

Драйвер JDBC Postgres 42.2.5

Драйвер JDBC 4.6 для SQL-сервера

Эта версия драйвера поддерживает SQL Server Always On (экземпляры отказоустойчивого кластера и группы доступности Always On).

Дополнительные требования для аутентификации Windows на Microsoft SQL Server

Если необходимо, чтобы узлы HDS использовали аутентификацию Windows для получения доступа к базе данных хранилища ключей на Microsoft SQL Server, в вашей среде потребуется следующая конфигурация:

  • Узлы HDS, инфраструктура Active Directory и сервер MS SQL должны быть синхронизированы с NTP.

  • Учетная запись Windows, которую вы предоставляете узлам HDS, должна иметь доступ к базе данных для чтения и записи.

  • Серверы DNS, предоставляемые узлам HDS, должны иметь возможность разрешать центр распределения ключей (KDC).

  • Экземпляр базы данных HDS можно зарегистрировать на сервере Microsoft SQL в качестве главного имени службы (SPN) в Active Directory. См. статью Регистрация имени участника службы для Kerberos Connections.

    Инструмент настройки HDS, программа запуска HDS и локальный KMS должны использовать аутентификацию Windows для доступа к базе данных хранилища ключей. Они используют сведения из конфигурации ISO для создания SPN при запросе доступа с аутентификацией Kerberos.

Требования к внешнему подключению

Настройте брандмауэр, чтобы разрешить следующее подключение для приложений HDS:

Приложение

Протокол

Порт

Направление из приложения

Адресат

Узлы безопасности данных гибридного типа

Протокол TCP

443

Исходящие HTTPS и WSS

  • Серверы Webex:

    • *.wbx2.com

    • *.ciscospark.com

  • Все хосты Common Identity

  • Другие URL-адреса, перечисленные для службы безопасности данных гибридного типа в таблице Дополнительные URL-адреса для служб гибридного типа Webex раздела Требования к сети для служб Webex

Инструмент настройки HDS

Протокол TCP

443

HTTPS для исходящих вызовов

  • *.wbx2.com

  • Все хосты Common Identity

  • hub.docker.com

Узлы безопасности данных гибридного типа работают с преобразованием сетевого доступа (NAT) или за брандмауэром, если NAT или брандмауэр допускает необходимые исходящие соединения с адресатами домена в таблице выше. Для соединений, поступающих на узлы безопасности данных гибридного типа, порты не должны отображаться из Интернета. В центре обработки данных клиентам необходим доступ к узлам безопасности данных гибридного типа на портах 443 и 22 TCP в административных целях.

URL-адреса узлов общих параметров идентификации (CI) специфичны для региона. Ниже приведены текущие узлы CI.

Регион

URL-адреса хостов общих параметров идентификации

Северная и Южная Америка

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Европейский союз

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Канада

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Сингапур

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Объединенные Арабские Эмираты

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Требования к прокси-серверу

  • Мы официально поддерживаем следующие решения для прокси, которые можно интегрировать с узлами безопасности данных гибридного типа:

  • Поддерживаются следующие комбинации типов аутентификации для явных прокси:

    • без аутентификации при использовании HTTP или HTTPS;

    • базовая аутентификация при использовании HTTP или HTTPS;

    • дайджест-аутентификация только при использовании HTTPS;

  • При наличии прозрачного прокси с проверкой или явного прокси HTTPS необходимо иметь копию корневого сертификата прокси. Инструкции по развертыванию, приведенные в этом руководстве, содержат информацию о том, как загрузить эту копию в зоны доверия узлов безопасности данных гибридного типа.

  • Сеть, в которой размещены узлы HDS, должна обеспечивать принудительную маршрутизацию исходящего трафика TCP на порте 443 через прокси.

  • Прокси, проверяющие веб-трафик, могут нарушать работу соединений веб-сокетов. Для устранения этой проблемы трафик следует направить в обход (без проверки) на wbx2.com и *.teams.webex.com.

Выполнение предварительных требований для службы безопасности данных гибридного типа

Используйте этот перечень действий, чтобы убедиться в готовности к установке и настройке кластера безопасности данных гибридного типа.
1

Убедитесь, что в партнерской организации включена функция HDS с несколькими клиентами, и получите учетные данные учетной записи с полными правами администратора партнера и полными правами администратора. Убедитесь, что для клиентской организации Webex включена профессиональная версия Cisco Webex Control Hub. Обратитесь за помощью к своему партнеру Cisco или менеджеру по работе с клиентами.

У клиентских организаций не должно быть существующего развертывания HDS.

2

Выберите имя домена для развертывания HDS (например, hds.company.com) и получите цепочку сертификатов, содержащую сертификат X.509, закрытый ключ и любые промежуточные сертификаты. Цепочка сертификатов должна соответствовать требованиям, указанным в разделе Требования к сертификатам X.509.

3

Подготовьте идентичные виртуальные узлы, которые будут настроены в качестве узлов безопасности данных гибридного типа в кластере. Необходимо разместить не менее двух отдельных организаторов (рекомендуется 3) в одном и том же защищенном центре обработки данных, который соответствует требованиям в разделе Требования к виртуальному организатору.

4

Подготовьте сервер базы данных, который будет использоваться в качестве хранилища ключевых данных для кластера в соответствии с требованиями сервера базы данных. Сервер базы данных должен быть размещен в защищенном центре обработки данных с виртуальными хостами.

  1. Создайте базу данных для хранилища ключей. (Необходимо создать эту базу данных. Не используйте базу данных по умолчанию. Приложения HDS при установке создают схему базы данных.)

  2. Соберите сведения, которые узлы будут использовать для связи с сервером базы данных.

    • имя хоста или IP-адрес (хост) и порт

    • имя базы данных (dbname) для хранилища ключей

    • имя пользователя и пароль пользователя со всеми правами в базе данных хранилища ключей

5

Для быстрого аварийного восстановления настройте резервную среду в другом центре обработки данных. Резервная среда дублирует производственную среду виртуальных машин и сервер базы данных резервного копирования. Например, если в производственной среде есть 3 виртуальных машины с узлами HDS, резервная среда должна иметь 3 виртуальных машины.

6

Настройте узел системного журнала для сбора журналов с узлов в кластере. Соберите сетевой адрес и порт системного журнала (по умолчанию UDP 514).

7

Создайте политику безопасного резервного копирования для узлов безопасности данных гибридного типа, сервера базы данных и узла системного журнала. Как минимум, чтобы предотвратить необратимую потерю данных, необходимо создать резервную копию базы данных и файла конфигурации ISO, созданного для узлов безопасности данных гибридного типа.

Поскольку узлы безопасности данных гибридного типа хранят ключи, используемые при шифровании и расшифровке контента, невыполнение оперативного развертывания приведет к НЕОБРАТИМОЙ ПОТЕРЕ этого контента.

Клиенты приложения Webex кэшируют свои ключи, поэтому сбои могут не сразу стать заметными, но со временем станут очевидными. Временные перебои невозможно предотвратить, но их можно восстановить. Однако полная потеря базы данных или файла конфигурации ISO (нет доступных резервных копий) приведет к невозможности восстановления данных клиента. Ожидается, что операторы узлов безопасности данных гибридного типа осуществляют частые резервные копии базы данных и файла конфигурации ISO и будут готовы к обновлению центра обработки данных службы безопасности данных гибридного типа в случае катастрофической ошибки.

8

Убедитесь, что конфигурация брандмауэра разрешает соединение для узлов безопасности данных гибридного типа, как описано в разделе Требования к внешнему подключению.

9

Установите Docker (https://www.docker.com) на любом локальном компьютере, на котором запущена поддерживаемая ОС (64-разрядная версия Microsoft Windows 10 Professional или Enterprise или Mac OSX Yosemite 10.10.3 или более поздняя версия) с веб-браузером, с помощью которого можно получить доступ на странице http://127.0.0.1:8080.

Экземпляр Docker используется для скачивания и запуска инструмента настройки HDS, который создает информацию локальной конфигурации для всех узлов безопасности данных гибридного типа. Вам может понадобиться лицензия Docker Desktop. Дополнительную информацию см. в статье Требования к рабочему столу Docker .

Для установки и запуска инструмента настройки HDS локальная машина должна иметь подключение, описанное в разделе Требования к внешнему подключению.

10

При интеграции прокси с системой безопасности данных гибридного типа убедитесь, что он соответствует требованиям к прокси-серверу.

Настройка кластера безопасности данных гибридного типа

Алгоритм выполнения задач по развертыванию службы безопасности данных гибридного типа

Перед началом работы

1

Выполните начальную настройку и скачайте файлы установки

Скачайте файл OVA на локальный компьютер для дальнейшего использования.

2

Создание ISO конфигурации для узлов HDS

Используйте инструмент настройки HDS для создания файла конфигурации ISO для узлов безопасности данных гибридного типа.

3

Установка файла OVA узла HDS

Создайте виртуальную машину из файла OVA и выполните начальную конфигурацию, например параметры сети.

Параметр настройки сети во время развертывания OVA протестирован с помощью ESXi 7.0. Этот параметр может быть недоступен в более ранних версиях.

4

Настройка виртуальной машины безопасности данных гибридного типа

Войдите в консоль виртуальной машины и задайте учетные данные для входа. Настройте параметры сети для узла, если они не были настроены во время развертывания файла OVA.

5

Загрузка и установка ISO конфигурации HDS

Настройте виртуальную машину из файла конфигурации ISO, созданного с помощью инструмента настройки HDS.

6

Настройка узла HDS для интеграции прокси

Если в сетевой среде требуется конфигурация прокси, укажите тип прокси, который будет использоваться для узла, и при необходимости добавьте сертификат прокси в доверенное хранилище.

7

Регистрация первого узла в кластере

Зарегистрируйте виртуальную машину в облаке Cisco Webex в качестве узла безопасности данных гибридного типа.

8

Создать и зарегистрировать другие узлы

Завершите настройку кластера.

9

Активируйте HDS с несколькими клиентами в Partner Hub.

Активируйте HDS и управляйте организациями клиентов в Partner Hub.

Выполните начальную настройку и скачайте файлы установки

В этой задаче вы скачаете файл OVA на свой компьютер (а не на серверы, настроенные в качестве узлов безопасности данных гибридного типа). Этот файл будет использован позже в процессе установки.

1

Войдите в Partner Hub и щелкните Службы.

2

В разделе облачных служб найдите карточку безопасности данных гибридного типа и щелкните Настройка.

Нажатие кнопки Настройка в партнерском центре имеет решающее значение для процесса развертывания. Не продолжайте установку без завершения этого шага.

3

Щелкните Добавить ресурс и щелкните Скачать файл OVA на карточке Установка и настройка программного обеспечения .

Более ранние версии пакета программного обеспечения (OVA) не будут совместимы с последними модернизациями безопасности данных гибридного типа. Это может привести к ошибкам во время модернизации приложения. Убедитесь, что скачано последнюю версию файла OVA.

Кроме того, файл OVA можно скачать в любой момент в разделе Справка . Щелкните Настройки > Справка > Скачать программное обеспечение безопасности данных гибридного типа.

Скачивание файла OVA начнется автоматически. Сохраните файл в местоположении на своем компьютере.
4

При необходимости щелкните Просмотреть руководство по развертыванию службы безопасности данных гибридного типа , чтобы проверить доступность более поздней версии этого руководства.

Создание ISO конфигурации для узлов HDS

Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.

Прежде чем начать
1

Введите соответствующую команду для вашей среды в командной строке компьютера.

В обычных средах:

docker rmi ciscocitg/hds-setup:stable

В средах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать.

2

Чтобы войти в реестр образов Docker, введите следующее.

docker login -u hdscustomersro
3

Введите в запросе пароля этот хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Скачайте последнюю стабильную версию образа для вашей среды.

В обычных средах:

docker pull ciscocitg/hds-setup:stable

В средах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

По завершении скачивания введите соответствующую команду для вашей среды.

  • В обычных средах без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • В обычных средах с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В обычных средах с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В средах FedRAMP без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

6

Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу.

Перейдите к локальному узлу http://127.0.0.1:8080 с помощью веб-браузера и введите имя пользователя администратора для Partner Hub в окне подсказки.

Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартную подсказку для входа в систему.

7

При отображении соответствующего запроса введите учетные данные для входа администратора Partner Hub и щелкните Войти , чтобы разрешить доступ к необходимым службам для службы безопасности данных гибридного типа.

8

На странице обзора инструмента настройки щелкните Начало работы.

9

На странице Импорт ISO доступны следующие параметры.

  • Нет. Если вы создаете первый узел HDS, у вас нет файла ISO для загрузки.
  • Да. Если вы уже создали узлы HDS, выберите файл ISO в окне просмотра и загрузите его.
10

Проверьте, соответствует ли сертификат X.509 требованиям к сертификатам X.509.

  • Если сертификат ранее не загружался, загрузите сертификат X.509, введите пароль и щелкните Продолжить.
  • Если сертификат в ОК, щелкните Продолжить.
  • Если срок действия сертификата истек или вы хотите заменить его, выберите Нет для параметра Продолжить использование цепочки сертификатов HDS и закрытого ключа из предыдущего ISO?. Загрузите новый сертификат X.509, введите пароль и щелкните Продолжить.
11

Введите адрес базы данных и учетную запись HDS для доступа к хранилищу данных ключей:

  1. Выберите Тип базы данных (PostgreSQL или Microsoft SQL Server).

    При выборе Microsoft SQL Server появится поле "Тип аутентификации".

  2. (Только Microsoft SQL Server ) Выберите Тип аутентификации.

    • Базовая аутентификация. В поле Имя пользователя необходимо указать имя учетной записи локального сервера SQL.

    • Аутентификация Windows. Необходима учетная запись Windows в формате имя_пользователя@ДОМЕН в поле Имя_пользователя .

  3. Введите адрес сервера базы данных в форме : или :.

    Пример:
    dbhost.example.org:1433 или 198.51.100.17:1433

    Если узлы не могут использовать DNS для разрешения имени узла, можно использовать IP-адрес для базовой аутентификации.

    При использовании аутентификации Windows необходимо ввести полное доменное имя в формате dbhost.example.org:1433

  4. Введите имя базы данных.

  5. Введите имя пользователя и пароль пользователя со всеми правами в базе данных хранилища ключей.

12

Выберите Режим подключения к базе данных TLS.

Mode

Описание

Предпочтительное использование TLS (параметр по умолчанию)

Узлам HDS не требуется TLS для подключения к серверу базы данных. Если на сервере базы данных включить TLS, узлы попытаются установить зашифрованное соединение.

Обязательное использование TLS

Подключение узлов HDS будет выполнено только в том случае, если сервер базы данных может согласовывать использование TLS.

Обязательное использование TLS и проверка источника подписи сертификата

Этот режим неприменим к базам данных SQL Server.

  • Подключение узлов HDS будет выполнено только в том случае, если сервер базы данных может согласовывать использование TLS.

  • После установления соединения TLS узел сравнивает подписавшего сертификат сервера базы данных с центром сертификации в корневом сертификате базы данных. При отсутствии совпадения узел разорвет соединение.

Воспользуйтесь элементом управления корневым сертификатом базы данных под раскрывающимся списком, чтобы загрузить корневой сертификат для этого параметра.

Обязательное использование TLS и проверка источника подписи сертификата и имени узла

  • Подключение узлов HDS будет выполнено только в том случае, если сервер базы данных может согласовывать использование TLS.

  • После установления соединения TLS узел сравнивает подписавшего сертификат сервера базы данных с центром сертификации в корневом сертификате базы данных. При отсутствии совпадения узел разорвет соединение.

  • Узлы также проверяют, совпадает ли имя узла в сертификате сервера с именем узла в поле Узел базы данных и порт . Необходимо точное совпадение имен. Иначе узел разорвет соединение.

Воспользуйтесь элементом управления корневым сертификатом базы данных под раскрывающимся списком, чтобы загрузить корневой сертификат для этого параметра.

При загрузке корневого сертификата (при необходимости) и нажатии Продолжить инструмент настройки HDS тестирует подключение TLS к серверу базы данных. Инструмент также выполняет проверку источника подписи сертификата и имени узла (если применимо). Если тест не будет пройден, в инструменте будет отображено сообщение об ошибке с описанием проблемы. Можно выбрать параметр игнорирования ошибки и продолжить настройку. (Из-за различий соединения узлы HDS могут установить соединение TLS, даже если машина средства настройки HDS не может успешно протестировать его.)

13

На странице «Системные журналы» настройте сервер Syslogd:

  1. Введите URL-адрес сервера системного журнала.

    Если сервер не может разрешить DNS из узлов для кластера HDS, используйте IP-адрес в URL.

    Пример:
    udp://10.92.43.23:514 означает вход в хост Syslogd 10.92.43.23 на порте UDP 514.

  2. Если вы настроили на сервере использование шифрования TLS, установите флажок Настроен ли сервер системного журнала для шифрования SSL?.

    Если установить этот флажок, необходимо ввести URL-адрес TCP, например tcp://10.92.43.23:514.

  3. В раскрывающемся списке Выберите прекращение записи системного журнала выберите соответствующую настройку для файла ISO. Выбор или новая линия используется для TCP-протокола Graylog и Rsyslog

    • Нулевой байт -- \x00

    • Новая линия -- \n: выберите этот вариант для TCP-протокола Graylog и Rsyslog.

  4. Щелкните Продолжить.

14

(Необязательно) Можно изменить значение по умолчанию для некоторых параметров подключения к базе данных в разделе Расширенные настройки. Как правило, этот параметр является единственным, который необходимо изменить:

app_datasource_connection_pool_maxРазмер: 10
15

Щелкните Продолжить на экране Сброс пароля учетных записей службы .

Срок действия паролей учетных записей службы составляет девять месяцев. Используйте этот экран, когда срок действия паролей скоро истечет или вы хотите сбросить их, чтобы сделать предыдущие файлы ISO недействительными.

16

Щелкните Скачать файл ISO. Сохраните файл в удобном для поиска местоположении.

17

Сделайте резервную копию файла ISO в локальной системе.

Обеспечьте безопасность резервного копирования. Этот файл содержит главный ключ шифрования для содержимого базы данных. Ограничьте доступ только тем администраторам службы безопасности данных гибридного типа, которые должны вносить изменения в конфигурацию.

18

Чтобы завершить работу инструмента настройки, нажмите CTRL+C.

Дальнейшие действия

Создайте резервную копию файла конфигурации ISO. Это необходимо для создания дополнительных узлов для восстановления или внесения изменений в конфигурацию. В случае утери всех копий файла ISO также был утрачен главный ключ. Невозможно восстановить ключи из базы данных PostgreSQL или Microsoft SQL Server.

У нас никогда не будет копии этого ключа, и мы не можем помочь, если вы его потеряете.

Установка файла OVA узла HDS

Используйте эту процедуру для создания виртуальной машины из файла OVA.
1

Используйте клиент VMware vSphere на компьютере для входа в виртуальный хост ESXi.

2

Выберите Файл > Развернуть шаблон OVF.

3

В мастере укажите расположение скачанного ранее файла OVA и щелкните Далее.

4

На странице Выберите имя и папку введите имя виртуальной машины для узла (например, "HDS_Node_1"), выберите местоположение, в котором может находиться развертывание узла виртуальной машины, и щелкните Далее.

5

На странице Выбор вычислительного ресурса выберите целевой вычислительный ресурс и щелкните Далее.

Выполняется проверка. По завершении отобразятся сведения о шаблоне.

6

Проверьте сведения о шаблоне и щелкните Далее.

7

При появлении запроса на выбор конфигурации ресурса на странице Конфигурация щелкните 4 ЦП , а затем щелкните Далее.

8

На странице Выбор хранилища щелкните Далее , чтобы принять формат диска по умолчанию и политику хранилища виртуальной машины.

9

На странице Выбор сетей выберите параметр сети из списка записей, чтобы обеспечить необходимое подключение к виртуальной машине.

10

На странице Настройка шаблона настройте приведенные ниже параметры сети.

  • Имя узла. Введите FQDN (имя узла и домен) или одно слово имя узла.

    • Настройка домена в соответствии с доменом, который вы использовали для получения сертификата X.509, не требуется.

    • Чтобы обеспечить успешную регистрацию в облаке, используйте только символы нижнего регистра в FQDN или имени узла, заданном для узла. В настоящее время заглавные буквы не поддерживаются.

    • Общая длина FQDN не должна превышать 64 символа.

  • IP-адрес: введите IP-адрес для внутреннего интерфейса узла.

    Узел должен иметь внутренний IP-адрес и имя DNS. DHCP не поддерживается.

  • Маска. Введите адрес маски подсети в десятичном формате. Например, 255.255.255.0.
  • Шлюз: введите IP-адрес шлюза. Шлюз — это сетевой узел, который служит точкой доступа к другой сети.
  • DNS-серверы: введите список DNS-серверов, разделенных запятыми, для обработки перевода доменных имен на числовые IP-адреса. (Разрешено до 4 записей DNS.)
  • NTP Servers (Серверы NTP). Введите сервер NTP вашей организации или другой внешний сервер NTP, который можно использовать в вашей организации. Серверы NTP по умолчанию могут работать не для всех предприятий. Для ввода нескольких NTP-серверов также можно использовать список, разделенный запятыми.

  • Разверните все узлы в одной подсети или VLAN, чтобы все узлы в кластере были доступны из клиентов вашей сети в административных целях.

При необходимости можно пропустить конфигурацию сетевых настроек и выполнить действия, описанные в разделе Настройка виртуальной машины безопасности данных гибридного типа , чтобы настроить параметры с помощью консоли узла.

Параметр настройки сети во время развертывания OVA протестирован с помощью ESXi 7.0. Этот параметр может быть недоступен в более ранних версиях.

11

Щелкните правой кнопкой мыши узел виртуальной машины и выберите Питание > Включение.

Программное обеспечение безопасности данных гибридного типа устанавливается в качестве гостя на узле виртуальной машины. Теперь вы готовы войти в консоль и настроить узел.

Рекомендации по устранению неисправностей

Контейнеры узла могут появиться через несколько минут. Во время первой загрузки на консоли отображается сообщение брандмауэра моста, в течение которого невозможно войти в систему.

Настройка виртуальной машины безопасности данных гибридного типа

Используйте эту процедуру для первого входа в консоль виртуальной машины узла безопасности данных гибридного типа и установки учетных данных для входа. Можно также использовать консоль для настройки сетевых параметров узла, если они не были настроены во время развертывания файла OVA.

1

В клиенте VMware vSphere выберите виртуальную машину узла безопасности данных гибридного типа и откройте вкладку Консоль .

Будет загружена виртуальная машина, и отобразится запрос на вход. Если запрос на вход не отображается, нажмите клавишу ввода.
2

Для входа и изменения учетных данных используйте следующие параметры входа и пароля по умолчанию:

  1. Вход: Администратор

  2. Пароль. Cisco

Поскольку вы впервые входите в свою виртуальную машину, вам необходимо изменить пароль администратора.

3

Если параметры сети уже настроены в разделе Установка OVA узла HDS, пропустите остальную процедуру. В противном случае в главном меню выберите параметр Редактировать конфигурацию .

4

Настройте статическую конфигурацию с использованием IP-адреса, маски, шлюза и информации DNS. Узел должен иметь внутренний IP-адрес и имя DNS. DHCP не поддерживается.

5

(Необязательно) Измените имя хоста, домен или NTP-серверы, если это необходимо для соответствия вашей сетевой политике.

Настройка домена в соответствии с доменом, который вы использовали для получения сертификата X.509, не требуется.

6

Сохраните конфигурацию сети и перезагрузите виртуальную машину, чтобы изменения вступили в силу.

Загрузка и установка ISO конфигурации HDS

Используйте эту процедуру для настройки виртуальной машины из файла ISO, созданного с помощью инструмента настройки HDS.

Перед началом работы

Поскольку в файле ISO содержится главный ключ, он должен быть раскрыт только по принципу «необходимо знать» для доступа виртуальных машин безопасности данных гибридного типа и всех администраторов, которым может потребоваться внести изменения. Убедитесь, что доступ к хранилищу данных могут получить только эти администраторы.

1

Загрузите файл ISO со своего компьютера.

  1. На левой панели навигации клиента VMware vSphere щелкните сервер ESXi.

  2. В списке "Оборудование" вкладки "Конфигурация" щелкните Хранилище.

  3. В списке хранилищ данных щелкните правой кнопкой мыши хранилище данных для виртуальных машин и щелкните Обзор хранилища данных.

  4. Щелкните пиктограмму "Загрузить файлы" и щелкните Загрузить файл.

  5. Перейдите в расположение, в котором скачался файл ISO на компьютер, и щелкните Открыть.

  6. Щелкните Да , чтобы принять предупреждение о загрузке или скачивании и закрыть диалоговое окно хранилища данных.

2

Установите файл ISO:

  1. На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры.

  2. Щелкните ОК , чтобы принять предупреждение об ограничении параметров редактирования.

  3. Щелкните Привод CD/DVD 1, выберите параметр подключения из файла хранилища данных ISO и перейдите в расположение, в котором был загружен файл конфигурации ISO.

  4. Установите флажки Подключено и Подключиться при включении.

  5. Сохраните изменения и перезагрузите виртуальную машину.

Дальнейшие действия

Если политика ИТ требует, после внесения изменений конфигурации на всех узлах можно отсоединить файл ISO. Подробные сведения см. в статье (необязательно) Отключение ISO после настройки HDS .

Настройка узла HDS для интеграции прокси

Если в сетевой среде необходимо использовать прокси, воспользуйтесь этой процедурой, чтобы указать тип прокси, который нужно интегрировать со службой безопасности данных гибридного типа. При выборе прозрачного прокси с проверкой или явного прокси HTTPS можно использовать интерфейс узла для загрузки и установки корневого сертификата. Кроме того, в интерфейсе можно проверять соединение с прокси и устранять неполадки.

Перед началом работы

1

Введите в веб-браузере URL-адрес для настройки узла HDS https://[IP-адрес или FQDN узла HDS]/setup, укажите учетные данные администратора, заданные вами для узла, и щелкните Sign In (Вход).

2

Откройте раздел Trust Store & Proxy (Зона доверия и прокси) и выберите один из следующих параметров.

  • Без прокси. Этот параметр используется по умолчанию перед интеграцией прокси. Обновление сертификата не требуется.
  • Прозрачный прокси без проверки. Узлы не настроены для использования адреса определенного прокси-сервера и не должны требовать каких-либо изменений для работы с прокси без проверки. Обновление сертификата не требуется.
  • Прозрачный прокси с проверкой: узлы не настроены для использования адреса определенного прокси-сервера. В развертывании службы безопасности данных гибридного типа не нужно вносить изменения в конфигурацию HTTPS, однако для обеспечения доверия прокси узлам HDS необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже HTTPS).
  • Явный прокси. При использовании явного прокси клиент (узлы HDS) определяет, какой прокси-сервер использовать. Этот параметр поддерживает несколько типов аутентификации. После выбора этого параметра необходимо ввести указанную далее информацию.

    1. IP/FQDN прокси. Адрес, который можно использовать для связи с прокси-машиной.

    2. Порт прокси. Номер порта, который прокси использует для прослушивания прокси-трафика.

    3. Proxy Protocol (Протокол прокси). Выберите http (просмотр и управление всеми запросами, полученными от клиента) или https (обеспечивает канал для сервера, а клиент получает и проверяет сертификат сервера). Выберите параметр в зависимости от того, какой протокол поддерживает используемый вами прокси-сервер.

    4. Тип аутентификации: выберите один из приведенных ниже типов аутентификации.

      • Нет. Дальнейшая аутентификация не требуется.

        Этот параметр доступен для прокси HTTP или HTTPS.

      • Базовый: используется для агента пользователя HTTP для указания имени пользователя и пароля при совершении запроса. Использует кодировку Base64.

        Этот параметр доступен для прокси HTTP или HTTPS.

        Если вы выберете этот параметр, вам понадобится ввести имя пользователя и пароль.

      • Дайджест. Используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети.

        Этот параметр доступен только для прокси HTTPS.

        Если вы выберете этот параметр, вам понадобится ввести имя пользователя и пароль.

В случае использования прозрачного прокси с проверкой, явного прокси HTTP с базовой аутентификацией или явного прокси HTTPS выполните указанные далее шаги.

3

Щелкните Upload a Root Certificate or End Entity Certificate (Загрузить корневой сертификат или сертификат конечного субъекта) и откройте меню для выбора корневого сертификата для прокси.

Сертификат будет загружен, но не установлен, поскольку для установки сертификата необходимо перезагрузить узел. Чтобы получить дополнительные сведения, щелкните стрелку-шеврон, расположенную рядом с именем издателя сертификата. Если вы допустили ошибку и хотите вновь загрузить файл, щелкните Delete (Удалить).

4

Чтобы протестировать сетевое соединение между узлом и прокси, щелкните Check Proxy Connection (Проверить соединение с прокси).

Если тестирование соединения завершится неудачей, на экране появится сообщение об ошибке, в котором будут указаны причина и способ исправления ошибки.

Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу. Такая проблема может возникнуть во многих конфигурациях явного прокси. Можно продолжить настройку, и узел будет работать в режиме блокировки разрешения внешних DNS. Если вы считаете, что это ошибка, выполните эти действия, а затем см. статью Выключение режима блокировки разрешения внешних DNS.

5

Если вы используете явный прокси, настроенный на применение исключительно https, после успешного завершения тестирования соединения включите параметр Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси (Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси). Для вступления в силу этого параметра необходимо 15 секунд.

6

Щелкните Install All Certificates Into the Trust Store (Установить все сертификаты в зоне доверия) – этот параметр отображается при использовании явного прокси HTTPS или прозрачного прокси с проверкой – или Reboot (Перезагрузить) – этот параметр отображается при использовании явного прокси HTTP. Прочитайте запрос и щелкните Install (Установить), если вы готовы к установке.

Узел перезагрузится в течение нескольких минут.

7

После перезагрузки узла повторно войдите в систему, если это необходимо, и откройте страницу Обзор, чтобы выполнить проверки соединений. Состояние всех проверок должно быть обозначено зеленым цветом.

Проверка соединения с прокси используется исключительно для тестирования поддомена webex.com. Проблемы с соединениями нередко возникают из-за того, что некоторые облачные домены, указанные в инструкциях по установке, блокируются на уровне прокси.

Регистрация первого узла в кластере

Эта задача берет общий узел, созданный в разделе Настройка виртуальной машины безопасности данных гибридного типа, регистрирует узел в облаке Webex и преобразует его в узел безопасности данных гибридного типа.

При регистрации первого узла создается кластер, которому он назначен. Кластер содержит один или несколько узлов, развернутых для резервирования.

Перед началом работы

  • После начала регистрации узла ее необходимо завершить в течение 60 минут или начать заново.

  • Убедитесь, что все блокировки всплывающих окон в браузере отключены или вы разрешаете исключение для admin.webex.com.

1

Войдите в https://admin.webex.com.

2

В меню в левой части экрана выберите Службы.

3

В разделе облачных служб найдите карточку безопасности данных гибридного типа и щелкните Настройка.

4

На открывшейся странице щелкните Добавить ресурс.

5

В первом поле карточки Добавить узел введите имя кластера, которому необходимо назначить узел безопасности данных гибридного типа.

Рекомендуется назвать кластер в зависимости от географического расположения узлов кластера. Примеры: "Сан-Франциско", "Нью-Йорк" или "Даллас"

6

Во втором поле введите внутренний IP-адрес или полное доменное имя узла и щелкните Добавить в нижней части экрана.

Этот IP-адрес или полное доменное имя должны совпадать с IP-адресом или именем хоста и доменом, которые вы использовали в разделе Настройка виртуальной машины безопасности данных гибридного типа.

Отобразится сообщение о том, что можно зарегистрировать узел в Webex.
7

Щелкните Перейти к узлу.

Через несколько секунд вы будете перенаправлены на тестирование подключения узла для служб Webex. Если все тесты будут успешными, отобразится страница "Разрешить доступ к узлу безопасности данных гибридного типа". Здесь вы подтверждаете, что хотите предоставить вашей организации Webex полномочия на доступ к узлу.

8

Установите флажок в поле Разрешить доступ к узлу безопасности данных гибридного типа и щелкните Продолжить.

Учетная запись подтверждена. В сообщении "Регистрация завершена" указано, что узел зарегистрирован в облаке Webex.
9

Щелкните ссылку или закройте вкладку, чтобы вернуться на страницу безопасности данных гибридного типа партнерского центра.

На странице Безопасность данных гибридного типа новый кластер, содержащий зарегистрированный узел, отображается на вкладке Ресурсы . Узел будет автоматически скачан новейшее программное обеспечение из облака.

Создать и зарегистрировать другие узлы

Чтобы добавить дополнительные узлы в кластер, просто создайте дополнительные виртуальные машины и подключите тот же файл конфигурации ISO, а затем зарегистрируйте узел. Рекомендуется иметь не менее 3 узлов.

Перед началом работы

  • После начала регистрации узла ее необходимо завершить в течение 60 минут или начать заново.

  • Убедитесь, что все блокировки всплывающих окон в браузере отключены или вы разрешаете исключение для admin.webex.com.

1

Создайте новую виртуальную машину из файла OVA, повторяя шаги, описанные в разделе Установка файла OVA узла HDS.

2

Настройте начальную конфигурацию новой виртуальной машины, повторяя шаги, описанные в разделе Настройка виртуальной машины безопасности данных гибридного типа.

3

В новой виртуальной машине повторите шаги, описанные в разделе Загрузка и установка ISO конфигурации HDS.

4

При настройке прокси для развертывания повторите шаги, описанные в разделе Настройка узла HDS для интеграции прокси для нового узла.

5

Зарегистрируйте узел.

  1. В https://admin.webex.com в меню в левой части экрана выберите Службы .

  2. В разделе облачных служб найдите карточку безопасности данных гибридного типа и щелкните Просмотреть все.

    Откроется страница "Ресурсы безопасности данных гибридного типа".

  3. Только что созданный кластер отобразится на странице Ресурсы .

  4. Щелкните кластер, чтобы просмотреть узлы, назначенные кластеру.

  5. Щелкните Добавить узел в правой части экрана.

  6. Введите внутренний IP-адрес или полное доменное имя узла и щелкните Добавить.

    Откроется страница с сообщением о том, что можно зарегистрировать узел в облаке Webex. Через несколько секунд вы будете перенаправлены на тестирование подключения узла для служб Webex. Если все тесты будут успешными, отобразится страница "Разрешить доступ к узлу безопасности данных гибридного типа". После этого вы подтверждаете, что хотите предоставить организации полномочия на доступ к узлу.

  7. Установите флажок в поле Разрешить доступ к узлу безопасности данных гибридного типа и щелкните Продолжить.

    Учетная запись подтверждена. В сообщении "Регистрация завершена" указано, что узел зарегистрирован в облаке Webex.

  8. Щелкните ссылку или закройте вкладку, чтобы вернуться на страницу безопасности данных гибридного типа партнерского центра.

    Всплывающее сообщение Узел добавлен также отображается в нижней части экрана в партнерском центре.

    Ваш узел зарегистрирован.

Управление организациями клиентов в службе безопасности данных гибридного типа с поддержкой нескольких клиентов

Активация HDS с несколькими клиентами в центре партнера

Эта задача позволит всем пользователям клиентских организаций начать использование HDS для локальных ключей шифрования и других служб безопасности.

Перед началом работы

Убедитесь, что настройка кластера HDS с несколькими клиентами завершена с требуемым количеством узлов.

1

Войдите в https://admin.webex.com.

2

В меню в левой части экрана выберите Службы.

3

В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Редактировать настройки.

4

Щелкните Активировать HDS на карточке Состояние HDS .

Добавить организации клиентов в Partner Hub

В этой задаче вы назначаете клиентские организации кластеру безопасности данных гибридного типа.

1

Войдите в https://admin.webex.com.

2

В меню в левой части экрана выберите Службы.

3

В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Просмотреть все.

4

Щелкните кластер, которому необходимо назначить клиента.

5

Перейдите на вкладку Назначенные клиенты .

6

Щелкните Добавить клиентов.

7

В раскрывающемся меню выберите клиента, которого необходимо добавить.

8

Щелкните Добавить, и клиент будет добавлен в кластер.

9

Чтобы добавить в кластер несколько клиентов, повторите шаги 6–8.

10

После добавления клиентов щелкните Готово в нижней части экрана.

Дальнейшие действия

Чтобы завершить процесс настройки, запустите инструмент настройки HDS, как описано в разделе Создание главных ключей клиента (CMK) с помощью инструмента настройки HDS .

Создание главных ключей клиентов (CMK) с помощью инструмента настройки HDS

Перед началом работы

Назначьте клиентов в соответствующий кластер, как описано в разделе Добавление клиентских организаций в Partner Hub. Запустите инструмент настройки HDS, чтобы завершить процесс настройки вновь добавленных клиентских организаций.

  • Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора для вашей организации.

    Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.

    Описание

    Переменная

    HTTP-прокси без аутентификации

    ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТ

    HTTPS-прокси без аутентификации

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTP-прокси с аутентификацией

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

    HTTPS-прокси с аутентификацией

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

  • Созданный файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. При внесении изменений в конфигурацию вам потребуется последняя копия этого файла. Например:

    • Учетные данные базы данных

    • Обновления сертификата

    • Изменения политики авторизации

  • При планировании шифрования соединений с базой данных настройте развертывание PostgreSQL или SQL Server для TLS.

Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.

1

Введите соответствующую команду для вашей среды в командной строке компьютера.

В обычных средах:

docker rmi ciscocitg/hds-setup:stable

В средах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать.

2

Чтобы войти в реестр образов Docker, введите следующее.

docker login -u hdscustomersro
3

Введите в запросе пароля этот хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Скачайте последнюю стабильную версию образа для вашей среды.

В обычных средах:

docker pull ciscocitg/hds-setup:stable

В средах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

По завершении скачивания введите соответствующую команду для вашей среды.

  • В обычных средах без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • В обычных средах с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В обычных средах с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В средах FedRAMP без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

6

Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу.

Перейдите к локальному узлу http://127.0.0.1:8080 с помощью веб-браузера и введите имя пользователя администратора для Partner Hub в окне подсказки.

Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартную подсказку для входа в систему.

7

При отображении соответствующего запроса введите учетные данные для входа администратора Partner Hub и щелкните Войти , чтобы разрешить доступ к необходимым службам для службы безопасности данных гибридного типа.

8

На странице обзора инструмента настройки щелкните Начало работы.

9

На странице Импорт ISO щелкните Да.

10

Выберите файл ISO в браузере и загрузите его.

Для выполнения управления CMK убедитесь в подключении к базе данных.
11

Перейдите на вкладку Управление CMK клиента , где можно найти три способа управления CMK клиента.

  • Создать CMK для всех ОРГАНИЗАЦИЙ или Создать CMK . Щелкните эту кнопку на баннере в верхней части экрана, чтобы создать CMK для всех вновь добавленных организаций.
  • Щелкните кнопку Управление CMK в правой части экрана и щелкните Создать CMK , чтобы создать CMK для всех вновь добавленных организаций.
  • Щелкните … рядом с состоянием рассмотрения управления CMK определенной организации в таблице и щелкните Создать CMK , чтобы создать CMK для этой организации.
12

После успешного создания CMK состояние в таблице изменится с Управление CMK рассматривается на Управление CMK.

13

В случае неудачного создания CMK отображается ошибка.

Удалить организации клиентов

Перед началом работы

После удаления пользователи клиентских организаций не смогут использовать HDS в целях шифрования, а все существующие пространства будут утрачены. Прежде чем удалить клиентские организации, обратитесь к своему партнеру Cisco или менеджеру по работе с клиентами.

1

Войдите в https://admin.webex.com.

2

В меню в левой части экрана выберите Службы.

3

В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Просмотреть все.

4

На вкладке Ресурсы щелкните кластер, из которого необходимо удалить клиентские организации.

5

На открывшейся странице щелкните Назначенные клиенты.

6

В списке отображаемых клиентских организаций щелкните ... в правой части клиентской организации, которую необходимо удалить, и щелкните Удалить из кластера.

Дальнейшие действия

Завершите процесс удаления, отозвав CMK клиентских организаций, как описано в статье Отозвать CMK клиентов, удаленных из HDS.

Отозвать CMK клиентов, удаленные из HDS.

Перед началом работы

Удалите клиентов из соответствующего кластера, как описано в разделе Удаление клиентских организаций. Запустите инструмент настройки HDS, чтобы завершить процесс удаления удаленных клиентских организаций.

  • Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора для вашей организации.

    Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.

    Описание

    Переменная

    HTTP-прокси без аутентификации

    ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТ

    HTTPS-прокси без аутентификации

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTP-прокси с аутентификацией

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

    HTTPS-прокси с аутентификацией

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

  • Созданный файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. При внесении изменений в конфигурацию вам потребуется последняя копия этого файла. Например:

    • Учетные данные базы данных

    • Обновления сертификата

    • Изменения политики авторизации

  • При планировании шифрования соединений с базой данных настройте развертывание PostgreSQL или SQL Server для TLS.

Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.

1

Введите соответствующую команду для вашей среды в командной строке компьютера.

В обычных средах:

docker rmi ciscocitg/hds-setup:stable

В средах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать.

2

Чтобы войти в реестр образов Docker, введите следующее.

docker login -u hdscustomersro
3

Введите в запросе пароля этот хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Скачайте последнюю стабильную версию образа для вашей среды.

В обычных средах:

docker pull ciscocitg/hds-setup:stable

В средах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

По завершении скачивания введите соответствующую команду для вашей среды.

  • В обычных средах без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • В обычных средах с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В обычных средах с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В средах FedRAMP без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

6

Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу.

Перейдите к локальному узлу http://127.0.0.1:8080 с помощью веб-браузера и введите имя пользователя администратора для Partner Hub в окне подсказки.

Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартную подсказку для входа в систему.

7

При отображении соответствующего запроса введите учетные данные для входа администратора Partner Hub и щелкните Войти , чтобы разрешить доступ к необходимым службам для службы безопасности данных гибридного типа.

8

На странице обзора инструмента настройки щелкните Начало работы.

9

На странице Импорт ISO щелкните Да.

10

Выберите файл ISO в браузере и загрузите его.

11

Перейдите на вкладку Управление CMK клиента , где можно найти три способа управления CMK клиента.

  • Отозвать CMK для всех ОРГАНИЗАЦИЙ или Отозвать CMK . Щелкните эту кнопку на баннере в верхней части экрана, чтобы отозвать CMK всех удаленных организаций.
  • Щелкните кнопку Управление CMK в правой части экрана и щелкните Отозвать CMK , чтобы отозвать CMK всех удаленных организаций.
  • Щелкните рядом с состоянием CMK для отзыва определенной организации в таблице и щелкните Отозвать CMK , чтобы отозвать CMK для определенной организации.
12

После успешного отзыва CMK клиентская организация больше не будет отображаться в таблице.

13

Если отзыв CMK не выполнен, отображается ошибка.

Тестирование развертывания службы безопасности данных гибридного типа

Тестирование развертывания службы безопасности данных гибридного типа

Используйте эту процедуру для тестирования сценариев шифрования безопасности данных гибридного типа с несколькими клиентами.

Перед началом работы

  • Настройте развертывание службы безопасности данных гибридного типа с несколькими клиентами.

  • Убедитесь, что у вас есть доступ к системному журналу, чтобы проверить, передаются ли запросы ключей в развертывание системы безопасности данных гибридного типа с несколькими клиентами.

1

Ключи для определенного пространства задаются создателем пространства. Войдите в приложение Webex в качестве одного из пользователей клиентской организации и создайте пространство.

Если деактивировать развертывание безопасности данных гибридного типа, контент в пространствах, созданных пользователями, больше не будет доступен после замены кэшированных клиентом копий ключей шифрования.

2

Отправить сообщения в новое пространство.

3

Проверьте вывод системного журнала, чтобы убедиться, что запросы ключей передаются в развертывание службы безопасности данных гибридного типа.

  1. Чтобы проверить, установит ли пользователь защищенный канал в KMS, отфильтруйте kms.data.method=create и kms.data.type=EPHEMERAL_KEY_COLLECTION.

    Необходимо найти следующую запись (идентификаторы, сокращенные для удобства чтения):
    2020-07-21 17:35:34.562 (+0000) KMS INFO [pool-14-thread-1] – получен [KMS:REQUEST], идентификатор устройства: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Чтобы проверить, требуется ли пользователю, запрашивающему существующий ключ из KMS, выполните фильтр в меню kms.data.method=retrieve и kms.data.type=KEY.

    Отобразится запись, аналогичная приведенной ниже.
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] – получен [KMS:REQUEST], идентификатор устройства: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Чтобы проверить, требуется ли пользователю создать новый ключ KMS, выполните фильтр в меню kms.data.method=create и kms.data.type=KEY_COLLECTION.

    Отобразится запись, аналогичная приведенной ниже.
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] – получен [KMS:REQUEST], идентификатор устройства: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Чтобы проверить, есть ли у пользователя запрос на создание нового объекта ресурса KMS (KRO) при создании пространства или другого защищенного ресурса, используйте фильтры в разделах kms.data.method=create и kms.data.type=RESOURCE_COLLECTION.

    Отобразится запись, аналогичная приведенной ниже. 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] – получен [KMS:REQUEST], идентификатор устройства: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Мониторинг работоспособности службы безопасности данных гибридного типа

Индикатор состояния в партнерском центре показывает, все ли в порядке с развертыванием службы безопасности данных гибридного типа с несколькими клиентами. Для более упреждающих предупреждений зарегистрируйтесь для получения уведомлений по электронной почте. Вы будете уведомлены о появлении сигналов, влияющих на службу, или о модернизации программного обеспечения.
1

В Partner Hub в меню в левой части экрана выберите Службы .

2

В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Редактировать настройки.

Отобразится страница "Настройки безопасности данных гибридного типа".
3

В разделе "Электронные уведомления" введите один или несколько адресов электронной почты, разделяя их запятыми, и нажмите клавишу ввода.

Управление развертыванием HDS

Управление развертыванием HDS

Для управления развертыванием службы безопасности данных гибридного типа используйте описанные здесь задачи.

Настройка графика модернизации кластера

Модернизация программного обеспечения службы безопасности данных гибридного типа выполняется автоматически на уровне кластера, что гарантирует, что на всех узлах всегда запущена одна и та же версия программного обеспечения. Модернизация выполняется в соответствии с графиком модернизации кластера. Когда модернизация программного обеспечения становится доступной, можно вручную модернизировать кластер до запланированного времени модернизации. Можно задать конкретное расписание модернизации или использовать расписание по умолчанию: 3:00 (ежедневно в США). Америка/Лос-Анджелес. При необходимости можно также отложить предстоящую модернизацию.

Чтобы настроить график модернизации, выполните указанные ниже действия.

1

Войдите в Partner Hub.

2

В меню в левой части экрана выберите Службы.

3

В разделе "Облачные службы" найдите раздел "Безопасность данных гибридного типа" и щелкните Настройка.

4

На странице "Ресурсы безопасности данных гибридного типа" выберите кластер.

5

Щелкните вкладку Настройки кластера .

6

На странице настроек кластера в разделе "График модернизации" выберите время и часовой пояс для графика модернизации.

Примечание. В часовом поясе отображаются следующие доступные дата и время модернизации. При необходимости можно отложить модернизацию на следующий день, щелкнув Отложить на 24 часа.

Изменение конфигурации узла

Иногда может потребоваться изменить конфигурацию узла безопасности данных гибридного типа по одной из причин:

  • Изменение сертификатов x.509 по истечении срока действия или по другим причинам.

    Изменение доменного имени CN сертификата не поддерживается. Домен должен совпадать с исходным доменом, использованным для регистрации кластера.

  • Обновление настроек базы данных для работы с копией базы данных PostgreSQL или Microsoft SQL Server.

    Перенос данных с PostgreSQL на Microsoft SQL Server или в обратном направлении не поддерживается. Чтобы переключить среду базы данных, начните новое развертывание службы безопасности данных гибридного типа.

  • Создание новой конфигурации для подготовки нового центра обработки данных.

Из соображений безопасности для учетных записей в службе безопасности данных гибридного типа используются пароли со сроком действия 9 месяцев. После того как инструмент настройки HDS создаст эти пароли, вам нужно будет развернуть их в каждом из своих узлов HDS в файле конфигурации ISO. При приближении даты окончания срока действия пароля команда Webex пришлет вам уведомление с запросом на сброс пароля учетной записи компьютера. (В сообщении электронной почты будет текст "Использование API учетной записи компьютера для обновления пароля".) Если срок действия паролей еще не истек, средство предоставляет два варианта.

  • Мягкий сброс. Старые и новые пароли работают в течение 10 дней. Используйте этот период для постепенной замены файла ISO на узлах.

  • Принудительный сброс: старые пароли перестают работать немедленно.

Если срок действия ваших паролей истекает без сброса, это влияет на работу вашей службы HDS. В этом случае требуется немедленный жесткий сброс и замена файла ISO на всех узлах.

Используйте эту процедуру, чтобы создать новый файл конфигурации ISO и применить его к кластеру.

Прежде чем начать

  • Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора партнера.

    Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker в 1.e. В этой таблице указаны некоторые из возможных переменных среды.

    Описание

    Переменная

    HTTP-прокси без аутентификации

    ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТ

    HTTPS-прокси без аутентификации

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTP-прокси с аутентификацией

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

    HTTPS-прокси с аутентификацией

    ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

  • Для создания новой конфигурации потребуется копия текущего файла конфигурации ISO. Файл ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. Файл ISO необходим для изменения конфигурации, в том числе учетных данных базы данных, обновления сертификатов или изменения политики авторизации.

1

Запустите инструмент настройки HDS, используя Docker на локальной машине.

  1. Введите соответствующую команду для вашей среды в командной строке компьютера.

    В обычных средах:

    docker rmi ciscocitg/hds-setup:stable

    В средах FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать.

  2. Чтобы войти в реестр образов Docker, введите следующее.

    docker login -u hdscustomersro

  3. Введите в запросе пароля этот хеш:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Скачайте последнюю стабильную версию образа для вашей среды.

    В обычных средах:

    docker pull ciscocitg/hds-setup:stable

    В средах FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Обязательно скачайте для этой процедуры последнюю версию инструмента настройки. В версиях инструмента, созданных до 22 февраля 2018 г., нет экранов сброса пароля.

  5. По завершении скачивания введите соответствующую команду для вашей среды.

    • В обычных средах без прокси:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • В обычных средах с HTTP-прокси:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • В обычных средах с HTTPS-прокси:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • В средах FedRAMP без прокси:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • В средах FedRAMP с HTTP-прокси:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • В средах FedRAMP с HTTPS-прокси:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

  6. Используйте браузер для подключения к localhost, http://127.0.0.1:8080.

    Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу.

  7. При отображении соответствующего запроса введите учетные данные для входа клиента партнерского центра и щелкните Принять , чтобы продолжить.

  8. Импортируйте текущий файл конфигурации ISO.

  9. Следуйте подсказкам, чтобы завершить работу с инструментом и скачать обновленный файл.

    Чтобы завершить работу инструмента настройки, нажмите CTRL+C.

  10. Создайте резервную копию обновленного файла в другом центре обработки данных.

2

Если у вас запущен только один узел HDS, создайте новую виртуальную машину узла безопасности данных гибридного типа и зарегистрируйте ее с помощью нового файла конфигурации ISO. Более подробные инструкции см. в статье Создание и регистрация дополнительных узлов.

  1. Установите OVA узла HDS.

  2. Настройте виртуальную машину HDS.

  3. Подключите обновленный файл конфигурации.

  4. Зарегистрируйте новый узел в Partner Hub.

3

Для существующих узлов HDS, в которых используется старый файл конфигурации, необходимо установить файл ISO. Выполните следующую процедуру для каждого узла по очереди, обновив каждый узел до выключения следующего узла.

  1. Выключите виртуальную машину.

  2. На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры.

  3. Щелкните Дисковод компакт-дисков и DVD-дисков 1, выберите параметр подключения из файла ISO и найдите расположение, куда вы скачали новый файл конфигурации ISO.

  4. Установите флажок Соединять при включении.

  5. Сохраните изменения и включите виртуальную машину.

4

Повторите шаг 3, чтобы заменить конфигурацию на каждом оставшемся узле со старой конфигурацией.

Отключение режима блокировки разрешения внешних DNS

При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. Если DNS-сервер узла не может разрешать общедоступные имена DNS, узел автоматически переходит в режим блокировки разрешения внешних DNS.

Если узлы могут разрешать общедоступные имена DNS через внутренние DNS-серверы, можно отключить этот режим, повторно запустив тестирование подключения к прокси на каждом узле.

Перед началом работы

Убедитесь в том, что внутренние DNS-серверы могут разрешать общедоступные имена DNS и ваши узлы могут обмениваться данными с ними.
1

В веб-браузере откройте интерфейс узла безопасности данных гибридного типа (например, IP-адрес или настройка) https://192.0.2.0/setup), введите учетные данные администратора, настроенные для узла, и щелкните Войти.

2

Перейдите к разделу Overview (Обзор) (страница по умолчанию).

Если режим включен, параметр Blocked External DNS Resolution (Блокировка разрешения внешних DNS) должен иметь значение Yes (Да).

3

Перейдите на страницу Trust Store & Proxy (Зона доверия и прокси).

4

Щелкните Check Proxy Connection (Проверить соединение с прокси).

Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу и он останется в этом режиме. В противном случае после перезапуска узла и возврата на страницу Overview (Обзор) параметр блокировки разрешения внешних DNS должен иметь значение No (Нет).

Дальнейшие действия

Повторите тестирование соединения с прокси для каждого узла кластера безопасности данных гибридного типа.

Удаление узла

Используйте эту процедуру для удаления узла безопасности данных гибридного типа из облака Webex. После удаления узла из кластера удалите виртуальную машину, чтобы предотвратить дальнейший доступ к данным безопасности.
1

С помощью клиента VMware vSphere на компьютере можно войти в виртуальный хост ESXi и выключить виртуальную машину.

2

Удалить узел:

  1. Войдите в Partner Hub и выберите Службы.

  2. На карточке безопасности данных гибридного типа щелкните Просмотреть все , чтобы отобразить страницу ресурсов безопасности данных гибридного типа.

  3. Выберите кластер, чтобы отобразить его панель "Обзор".

  4. Щелкните узел, который необходимо удалить.

  5. Щелкните Отменить регистрацию этого узла на панели справа.

  6. Кроме того, чтобы отменить регистрацию узла, щелкните ... в правой части узла и выберите Удалить этот узел.

3

В клиенте vSphere удалите виртуальную машину. (На панели навигации слева щелкните виртуальную машину правой кнопкой мыши и щелкните Удалить.)

Если виртуальная машина не удалена, не забудьте отсоединить файл конфигурации ISO. Без файла ISO вы не сможете использовать виртуальную машину для доступа к данным безопасности.

Аварийное восстановление с помощью центра обработки данных в режиме ожидания

Наиболее важной службой, предоставляемой кластером безопасности данных гибридного типа, является создание и хранение ключей, используемых для шифрования сообщений и другого контента, хранящегося в облаке Webex. Для каждого пользователя в организации, назначенного службе безопасности данных гибридного типа, запросы на создание нового ключа маршрутизируются в кластер. Кластер также отвечает за возврат созданных им ключей всем пользователям, авторизованным для их извлечения, например участникам пространства для разговора.

Поскольку кластер выполняет критически важную функцию предоставления этих ключей, необходимо, чтобы кластер продолжал работать и чтобы поддерживались соответствующие резервные копии. Потеря базы данных безопасности данных гибридного типа или конфигурации ISO, используемой для схемы, приведет к НЕОБРАТИМОЙ ПОТЕРЕ контента клиента. Для предотвращения таких потерь необходимо выполнить следующие действия:

Если из-за аварии развертывание HDS в основном центре обработки данных становится недоступным, выполните эту процедуру, чтобы вручную переключиться на резервный центр обработки данных.

Перед началом работы

Отмените регистрацию всех узлов из Partner Hub, как указано в разделе Удаление узла. Для выполнения указанной ниже процедуры отработки отказа используйте последний файл ISO, настроенный против узлов ранее активного кластера.
1

Запустите инструмент настройки HDS и выполните действия, указанные в разделе Создание ISO конфигурации для узлов HDS.

2

Завершите процесс настройки и сохраните файл ISO в удобном для поиска месте.

3

Сделайте резервную копию файла ISO в локальной системе. Обеспечьте безопасность резервного копирования. Этот файл содержит главный ключ шифрования для содержимого базы данных. Ограничьте доступ только тем администраторам службы безопасности данных гибридного типа, которые должны вносить изменения в конфигурацию.

4

На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры.

5

Щелкните Редактировать настройки >Диск CD/DVD 1 и выберите Файл хранилища данных ISO.

Убедитесь, что установлены флажки Подключено и Подключиться при включении , чтобы обновленные изменения конфигурации вступили в силу после запуска узлов.

6

Включите узел HDS и убедитесь, что сигналы отсутствуют в течение не менее 15 минут.

7

Зарегистрируйте узел в партнерском центре. См. статью Регистрация первого узла в кластере.

8

Повторите процесс для каждого узла в центре обработки данных в режиме ожидания.

Дальнейшие действия

Если после отказа основной центр обработки данных снова становится активным, отмените регистрацию узлов резервного центра обработки данных и повторите процесс настройки ISO и регистрации узлов основного центра обработки данных, как указано выше.

(Необязательно) Отсоедините ISO после настройки HDS

Стандартная конфигурация HDS выполняется с установленным ISO. Однако некоторые клиенты предпочитают не оставлять файлы ISO постоянно монтированными. После того как все узлы HDS примут новую конфигурацию, можно отсоединить файл ISO.

Для изменения конфигурации по-прежнему используются файлы ISO. При создании нового ISO или обновлении ISO с помощью инструмента настройки необходимо установить обновленный ISO на всех узлах HDS. С помощью этой процедуры можно снова отключить ISO, после того как все узлы примут изменения конфигурации.

Перед началом работы

Модернизируйте все свои узлы HDS до версии 2021.01.22.4720 или более поздней.

1

Закройте один из своих узлов HDS.

2

В vCenter Server Appliance выберите узел HDS.

3

Выберите Редактировать настройки > Привод CD/DVD и снимите флажок Файл хранилища данных ISO.

4

Включите узел HDS и убедитесь, что сигналы отсутствуют в течение не менее 20 минут.

5

Повторите эту процедуру для каждого узла HDS по очереди.

Устранение неполадок службы безопасности данных гибридного типа

Просмотр предупреждений и устранение неполадок

Развертывание службы безопасности данных гибридного типа считается недоступным, если все узлы в кластере недоступны или кластер работает настолько медленно, что истекло время ожидания. Если пользователи не могут подключиться к кластеру безопасности данных гибридного типа, у них будут следующие симптомы:

  • Не удается создать новые пространства (не удается создать новые ключи)

  • Не удалось расшифровать сообщения и заголовки пространств для:

    • Новые пользователи, добавленные в пространство (невозможно получить ключи)

    • Существующие пользователи в пространстве, использующие новый клиент (не удается получить ключи)

  • Существующие пользователи в пространстве будут продолжать успешно работать, пока в их клиентах будет сохранен кэш ключей шифрования

Важно надлежащим образом отслеживать кластер безопасности данных гибридного типа и своевременно реагировать на все предупреждения во избежание перебоев в работе службы.

Предупреждения

При возникновении проблем с настройкой безопасности данных гибридного типа партнерский центр отображает предупреждения администратору организации и отправляет электронные сообщения на настроенный адрес электронной почты. Предупреждения охватывают многие распространенные сценарии.

Таблица 1. Общие проблемы и действия по их устранению

Предупреждать

Действие

Ошибка доступа к локальной базе данных.

Проверьте наличие ошибок базы данных или проблем локальной сети.

Сбой подключения к локальной базе данных.

Убедитесь в доступности сервера базы данных и использовании правильных учетных данных учетной записи службы в конфигурации узла.

Сбой доступа к облачной службе.

Убедитесь, что узлы могут получить доступ к серверам Webex, как указано в разделе Требования к внешнему подключению.

Обновление регистрации облачной службы.

Регистрация в облачных службах прервана. Выполняется возобновление регистрации.

Регистрация для облачной службы прервана.

Регистрация в облачных службах прервана. Служба выключена.

Служба еще не активирована.

Активируйте HDS в партнерском центре.

Настроенный домен не соответствует сертификату сервера.

Убедитесь, что сертификат сервера соответствует настроенному домену активации службы.

Наиболее вероятная причина заключается в том, что CN сертификата недавно был изменен и теперь отличается от CN, использованного во время начальной настройки.

Не удалось выполнить аутентификацию в облачных службах.

Проверьте точность и возможный срок действия учетных данных службы.

Не удалось открыть файл локального хранилища ключей.

Проверка целостности и точности пароля в файле локального хранилища ключей.

Недействительный сертификат локального сервера.

Проверьте дату истечения срока действия сертификата сервера и убедитесь, что он был выдан доверенным центром сертификации.

Не удается опубликовать метрики.

Проверьте доступ локальной сети к внешним облачным службам.

Каталог /media/configdrive/hds не существует.

Проверьте конфигурацию подключения ISO на виртуальном хосте. Проверьте, существует ли файл ISO, настроен ли он для подключения при перезагрузке и успешно ли установлен.

Настройка организации клиента не завершена для добавленных организаций

Завершите настройку, создав CMK для вновь добавленных клиентских организаций с помощью инструмента настройки HDS.

Настройка организации клиента не завершена для удаленных организаций

Завершите настройку, отозвав CMK клиентских организаций, которые были удалены с помощью инструмента настройки HDS.

Устранение неполадок службы безопасности данных гибридного типа

При устранении неполадок со службой безопасности данных гибридного типа используйте приведенные ниже общие рекомендации.
1

Просмотрите в Partner Hub все предупреждения и исправьте все элементы, найденные в нем. Для справки см. изображение ниже.

2

Проверьте вывод сервера системных журналов для активности из развертывания службы безопасности данных гибридного типа. Используйте фильтр для таких слов, как "Предупреждение" и "Ошибка", чтобы помочь в устранении неполадок.

3

Обратитесь в службу поддержки Cisco.

Другие примечания

Известные проблемы безопасности данных гибридного типа

  • Если вы выключите кластер безопасности данных гибридного типа (удалив его в партнерском центре или выключив все узлы), потеряете файл конфигурации ISO или потеряете доступ к базе данных хранилища ключей, пользователи приложения Webex клиентских организаций больше не смогут использовать пространства в списке пользователей, созданных с помощью ключей из KMS. В настоящий момент для устранения этой проблемы нет обходного решения или решения. Мы настоятельно призываем вас не выключать службы HDS после обработки активных учетных записей пользователей.

  • Клиент с существующим подключением ECDH к KMS поддерживает это соединение в течение периода времени (вероятно, один час).

Использование OpenSSL для создания файла PKCS12

Перед началом работы

  • OpenSSL — это один из инструментов, который можно использовать для создания файла PKCS12 в соответствующем формате для загрузки в инструменте настройки HDS. Есть и другие способы сделать это, и мы не поддерживаем и не продвигаем друг друга.

  • Если вы решите использовать OpenSSL, мы предоставляем эту процедуру в качестве руководства для создания файла, который соответствует требованиям сертификата X.509 в разделе Требования к сертификату X.509. Прежде чем продолжить, ознакомьтесь с этими требованиями.

  • Установите OpenSSL в поддерживаемой среде. Информацию о программном обеспечении и документации см. в разделе https://www.openssl.org .

  • Создайте закрытый ключ.

  • Начните эту процедуру при получении сертификата сервера от центра сертификации (ЦС).

1

При получении сертификата сервера от ЦС сохраните его как hdsnode.pem.

2

Отобразите сертификат в виде текста и проверьте сведения.

openssl x509 -текст -noout -в hdsnode.pem

3

Используйте текстовый редактор для создания файла пакета сертификатов под названием hdsnode-bundle.pem. Пакетный файл должен включать сертификат сервера, все промежуточные сертификаты ЦС и корневые сертификаты ЦС в следующем формате:

-----BEGIN CERTIFICATE----- ### Сертификат сервера. ### -----END CERTIFICATE--------BEGIN CERTIFICATE----- ### Промежуточный сертификат ЦС. ### -----END CERTIFICATE-------BEGIN CERTIFICATE----- ### Корневой сертификат ЦС. ### -----END CERTIFICATE-----

4

Создайте файл .p12 с подходящим именем kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -в hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Проверьте сведения о сертификате сервера.

  1. openssl pkcs12 - в hdsnode.p12

  2. Введите пароль в окне запроса для шифрования закрытого ключа, чтобы он отображался в выводе. Затем убедитесь, что закрытый ключ и первый сертификат содержат строки friendlyName: kms-private-key.

    Пример:

    bash$ openssl pkcs12 -in hdsnode.p12 Введите пароль для импорта: MAC проверил атрибуты пакета "ОК" friendlyName: Идентификатор локального ключа kms-private-key : 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ключевые атрибуты:  Введите фразу пароля PEM: Проверка – введите фразу для доступа PEM: -----BEGIN ENCRYPTED PRIVATE KEY-----  -----END ENCRYPTED PRIVATE KEY------ Bag Attributes friendlyName: Идентификатор локального ключа kms-private-key : 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE-----

Дальнейшие действия

Вернитесь к разделу Выполнение предварительных требований для безопасности данных гибридного типа. Файл hdsnode.p12 и заданный для него пароль будут использоваться в разделе Создание конфигурации ISO для узлов HDS.

Эти файлы можно повторно использовать для запроса нового сертификата по истечении срока действия исходного сертификата.

Трафик между узлами HDS и облаком

Трафик сбора исходящих метрик

Узлы безопасности данных гибридного типа отправляют определенные метрики в облако Webex. К ним относятся системные метрики максимального количества подключений, использования максимального количества подключений, загрузки ЦП и количества потоков; метрики синхронных и асинхронных потоков; метрики оповещений о пороговом значении соединений шифрования, задержки или длины очереди запросов; метрики хранилища данных; и метрики подключения шифрования. Узлы отправляют зашифрованный ключ-материал по внеполосному каналу (отдельному от запроса).

Входящий трафик

Узлы безопасности данных гибридного типа получают из облака Webex следующие типы входящего трафика:

  • Запросы на шифрование от клиентов, которые маршрутизируются службой шифрования

  • Модернизация программного обеспечения узла

Настройка прокси Squid для безопасности данных гибридного типа

Невозможно выполнить подключение веб-сокетов через прокси Squid

Прокси Squid, которые проверяют трафик HTTPS, могут мешать созданию соединений веб-сокетов (wss:), которые необходимы службе безопасности данных гибридного типа. В указанных далее разделах приведены рекомендации по настройке различных версий Squid с целью игнорирования трафика wss: для обеспечения надлежащей работы служб.

Squid 4 и 5

Добавьте on_unsupported_protocol директиву в squid.conf:

on_unsupported_protocol туннель все

Squid 3.5.27

Служба безопасности данных гибридного типа успешно протестирована с указанными далее правилами, добавленными в squid.conf. Эти правила могут изменяться по мере разработки функций и обновления облака Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump соединение wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump просмотр step1 все ssl_bump просмотр step2 все ssl_bump bump3 все

Новая и измененная информация

Новая и измененная информация

В этой таблице описаны новые функции или функциональные возможности, изменения существующего контента, а также любые серьезные ошибки, исправленные в руководстве по развертыванию службы безопасности данных гибридного типа с несколькими клиентами.

Дата

Внесены изменения

04 марта 2025 г.

30 января 2025 г.

Добавлен сервер SQL версии 2022 в список поддерживаемых серверов SQL в разделе Требования к серверу базы данных.

15 января 2025 г.

Добавлены ограничения безопасности данных гибридного типа с несколькими клиентами.

8 января 2025 г.

Добавлено примечание в разделе Выполнение начальной настройки и скачивание файлов установки , в котором указано, что нажатие кнопки Настройка на карточке HDS в Partner Hub является важным этапом процесса установки.

7 января 2025 г.

Обновлены Требования к виртуальному узлу, Алгоритм выполнения задач по развертыванию службы безопасности данных гибридного типа и Установка OVA узла HDS для отображения новых требований ESXi 7.0.

13 декабря 2024 г.

Впервые опубликовано.

Деактивация службы безопасности данных гибридного типа с несколькими клиентами

Алгоритм выполнения задач по деактивации HDS с несколькими клиентами

Чтобы полностью деактивировать HDS с несколькими клиентами, выполните приведенные ниже действия.

Перед началом работы

Эту задачу должен выполнять только администратор партнера с полными правами.
1

Удалите всех клиентов из всех кластеров, как указано в разделе Удаление клиентских организаций.

2

Отозвать CMK всех клиентов, как указано в статье Отозвать CMK клиентов, удаленных из HDS.

3

Удалите все узлы из всех кластеров, как описано в разделе Удаление узла.

4

Удалите все кластеры из Partner Hub одним из следующих двух способов.

  • Щелкните кластер, который необходимо удалить, и выберите Удалить этот кластер в правом верхнем углу страницы обзора.
  • На странице "Ресурсы" щелкните ... в правой части кластера и выберите Удалить кластер.
5

Щелкните вкладку Настройки на странице обзора безопасности данных гибридного типа и щелкните Деактивировать HDS на карточке состояния HDS.

Начало работы с системой безопасности данных гибридного типа с поддержкой нескольких клиентов

Общие сведения о безопасности данных гибридного типа для нескольких клиентов

С самого начала безопасность данных была главной задачей при разработке приложения Webex. В основе этой безопасности лежит сквозное шифрование контента, которое включается клиентами приложения Webex, взаимодействующими со службой управления ключами (KMS). KMS отвечает за создание и управление криптографическими ключами, которые используются клиентами для динамического шифрования и расшифровки сообщений и файлов.

По умолчанию для всех клиентов приложения Webex обеспечивается сквозное шифрование с использованием динамических ключей, которые хранятся в облаке KMS в области безопасности Cisco. Служба безопасности данных гибридного типа перемещает KMS и другие функции безопасности в корпоративный центр обработки данных, поэтому доступ к ключам для зашифрованного контента будет только у вас.

Служба безопасности данных гибридного типа с поддержкой нескольких клиентов позволяет организациям использовать HDS через доверенного локального партнера, который может выполнять функции поставщика услуг и управлять локальным шифрованием и другими службами безопасности. Эта настройка позволяет партнерской организации осуществлять полный контроль над развертыванием ключей шифрования и управлением ими, а также обеспечивает безопасность данных пользователей клиентских организаций от внешнего доступа. Партнерские организации настраивают экземпляры HDS и при необходимости создают кластеры HDS. Каждый экземпляр может поддерживать несколько клиентских организаций, в отличие от обычного развертывания HDS, которое ограничено одной организацией.

Партнерские организации контролируют развертывание и управление, однако у них нет доступа к данным и контенту, созданным клиентами. Этот доступ ограничен клиентскими организациями и их пользователями.

Это также позволяет небольшим организациям использовать HDS, поскольку служба управления ключами и инфраструктура безопасности, например центры обработки данных, принадлежат доверенному локальному партнеру.

Как служба безопасности данных гибридного типа с несколькими клиентами обеспечивает суверенитет и управление данными

  • Созданный пользователем контент защищен от внешнего доступа, например от поставщиков облачных услуг.
  • Локальные доверенные партнеры управляют ключами шифрования клиентов, с которыми они уже установили взаимоотношения.
  • Параметр для локальной технической поддержки, если она предоставлена партнером.
  • Поддержка контента совещаний, обмена сообщениями и вызовов.

Этот документ предназначен для помощи партнерским организациям в настройке клиентов и управлении ими в системе безопасности данных гибридного типа с несколькими клиентами.

Ограничения службы безопасности данных гибридного типа с несколькими клиентами

  • Партнерские организации не должны иметь существующее развертывание HDS, активное в Control Hub.
  • Клиентские или клиентские организации, которым необходимо управлять партнером, не должны иметь существующее развертывание HDS в Control Hub.
  • После развертывания партнером HDS с несколькими клиентами все пользователи клиентских организаций, а также пользователи партнерской организации начинают использовать HDS с несколькими клиентами для своих служб шифрования.

    Партнерская организация и клиентские организации, которыми они управляют, будут развертываться в одном развертывании HDS с несколькими клиентами.

    После развертывания HDS с несколькими клиентами партнерская организация больше не будет использовать облачную службу KMS.

  • Механизм для перемещения ключей обратно в облачную службу KMS после развертывания HDS отсутствует.
  • В настоящее время каждое развертывание HDS с несколькими клиентами может иметь только один кластер с несколькими узлами под ним.
  • Роли администраторов имеют определенные ограничения. Подробности см. в разделе ниже.

Роли в службе безопасности данных гибридного типа с несколькими клиентами

  • Администратор партнера с полными правами : может управлять настройками для всех клиентов, которыми управляет партнер. Также может назначать роли администратора существующим пользователям в организации и назначать определенных клиентов, которыми будут управлять администраторы партнера.
  • Администратор партнера . Может управлять настройками клиентов, подготовленных администратором или назначенных пользователю.
  • Администратор с полными правами . Администратор партнерской организации, уполномоченный выполнять такие задачи, как изменение настроек организации, управление лицензиями и назначение ролей.
  • Сквозная настройка HDS с несколькими клиентами и управление ими всех клиентских организаций . Требуются права администратора партнера с полными правами и администратора с полными правами.
  • Управление назначенными организациями клиента : требуются права администратора партнера и полного администратора.

Архитектура области безопасности

Облачная архитектура Webex разбивает различные типы служб на отдельные области или домены доверия, как показано ниже.

Области разделения (без службы безопасности данных гибридного типа)

Чтобы получить дополнительные сведения о безопасности данных гибридного типа, давайте сначала рассмотрим этот облачный случай, в котором компания Cisco предоставляет все функции в облачных областях. Служба удостоверений – единственное место, где пользователи могут напрямую соотнести с их персональной информацией, такой как адрес электронной почты, логически и физически отделена от области безопасности в центре обработки данных B. Обе службы в свою очередь отделены от области, в которой в конечном итоге хранится зашифрованный контент, в центре обработки данных C.

На этой схеме клиент представляет собой приложение Webex, запущенное на ноутбуке пользователя и прошедшее аутентификацию с помощью службы удостоверений. При написании пользователем сообщения для отправки в пространство выполняются следующие действия.

  1. Клиент устанавливает безопасное соединение со службой управления ключами (KMS), затем запрашивает ключ для шифрования сообщения. Защищенное соединение использует ECDH, а KMS шифрует ключ с помощью главного ключа AES-256.

  2. Сообщение шифруется до выхода из клиента. Клиент отправляет его в службу индексации, которая создает зашифрованные индексы поиска для помощи в будущих поисковых запросах контента.

  3. Зашифрованное сообщение отправляется в службу обеспечения соответствия для проверки соответствия.

  4. Зашифрованное сообщение хранится в области хранилища.

При развертывании службы безопасности данных гибридного типа функции области безопасности (KMS, индексация и соответствие требованиям) перемещаются в локальный центр обработки данных. Другие облачные службы, которые составляют Webex (включая идентификационные данные и хранилище контента), остаются в сферах Cisco.

Сотрудничество с Другими Организациями

Пользователи в вашей организации могут регулярно использовать приложение Webex для совместной работы с внешними участниками из других организаций. Когда один из пользователей запрашивает ключ для пространства, принадлежащего вашей организации (поскольку он был создан одним из пользователей), KMS отправляет ключ клиенту по защищенному каналу ECDH. Однако если ключ для пространства принадлежит другой организации, KMS перенаправляет запрос в облако Webex через отдельный канал ECDH для получения ключа от соответствующего KMS, а затем возвращает ключ пользователю в исходном канале.

Служба KMS, запущенная в организации A, проверяет подключения к KMS в других организациях с помощью сертификатов PKI x.509. Подробные сведения о создании сертификата x.509 для использования с развертыванием службы безопасности данных гибридного типа с несколькими клиентами см. в статье Подготовка среды .

Ожидания развертывания службы безопасности данных гибридного типа

Развертывание службы безопасности данных гибридного типа требует значительных обязательств и осознания рисков, связанных с хранением ключей шифрования.

Для развертывания службы безопасности данных гибридного типа необходимо предоставить:

Полная потеря конфигурации ISO, созданной для службы безопасности данных гибридного типа, или предоставленной базы данных приведет к потере ключей. Потеря ключей предотвращает расшифровку контента пространства и других зашифрованных данных в приложении Webex пользователями. В этом случае можно создать новое развертывание, однако будет отображаться только новый контент. Во избежание потери доступа к данным необходимо выполнить приведенные ниже действия.

  • Управление резервным копированием и восстановлением базы данных и конфигурации ISO.

  • Будьте готовы к быстрому аварийному восстановлению в случае аварии, например, сбою диска базы данных или сбою центра обработки данных.

Механизм для перемещения ключей обратно в облако после развертывания HDS отсутствует.

Высокоуровневый процесс настройки

В этом документе описана настройка и управление развертыванием службы безопасности данных гибридного типа с несколькими клиентами.

  • Настройка безопасности данных гибридного типа. Это включает подготовку необходимой инфраструктуры и установку программного обеспечения безопасности данных гибридного типа, создание кластера HDS, добавление клиентских организаций в кластер и управление их главными ключами клиента (CMK). Это позволит всем пользователям клиентских организаций использовать кластер безопасности данных гибридного типа для функций безопасности.

    Этапы настройки, активации и управления подробно описаны в следующих трех главах.

  • Поддержка развертывания службы безопасности данных гибридного типа: облако Webex автоматически обеспечивает непрерывную модернизацию. Ваш отдел ИТ может предоставлять поддержку первого уровня для этого развертывания и при необходимости привлекать поддержку Cisco. В Partner Hub можно использовать экранные уведомления и настроить предупреждения на основе электронной почты.

  • Общие предупреждения, действия по устранению неполадок и известные проблемы. При возникновении проблем с развертыванием или использованием службы безопасности данных гибридного типа можно определить и устранить проблему с помощью последней главы этого руководства и приложения "Известные проблемы".

Модель развертывания службы безопасности данных гибридного типа

В корпоративном центре обработки данных служба безопасности данных гибридного типа будет развернута в виде одного кластера узлов на отдельных виртуальных узлах. Узлы связываются с облаком Webex с помощью защищенных веб-сокетов и защищенного HTTP.

Во время процесса установки предоставляется файл OVA для настройки виртуального устройства на предоставленных вами виртуальных машинах. Инструмент настройки HDS используется для создания пользовательского файла конфигурации кластера ISO, который устанавливается на каждом узле. Кластер безопасности данных гибридного типа использует предоставленный сервер Syslogd и базу данных PostgreSQL или Microsoft SQL Server. (Сведения о соединении Syslogd и базы данных можно настроить в инструменте настройки HDS.)

Модель развертывания службы безопасности данных гибридного типа

Минимальное количество узлов в кластере: два. Рекомендуется не менее трех на кластер. Наличие нескольких узлов гарантирует, что во время модернизации программного обеспечения или других действий по техническому обслуживанию узла служба не будет прерываться. (Облако Webex модернизирует только один узел за раз.)

Все узлы в кластере имеют доступ к одному хранилищу данных и активности журналов на один и тот же сервер системных журналов. Сами узлы не имеют состояния и обрабатывают запросы на ключ в циклическом порядке, как направляется облаком.

Узлы становятся активными при регистрации в партнерском центре. Чтобы вывести отдельный узел из эксплуатации, можно отменить его регистрацию, а затем, при необходимости, повторно зарегистрировать его.

Резервный центр обработки данных для аварийного восстановления

Во время развертывания вы настраиваете защищенный резервный центр обработки данных. В случае аварии центра обработки данных можно вручную перенести развертывание на резервный центр обработки данных.

Перед отказом в центре обработки данных A есть активные узлы HDS и основная база данных PostgreSQL или Microsoft SQL Server, в то время как в B есть копия файла ISO с дополнительными конфигурациями, ВМ, зарегистрированные в организации, и резервная база данных. После отработки отказа центр обработки данных B имеет активные узлы HDS и основную базу данных, в то время как у A есть незарегистрированные виртуальные машины и копия файла ISO, а база данных находится в режиме ожидания.
Ручное переключение на резервный центр обработки данных

Базы данных активных и резервных центров обработки данных синхронизируются друг с другом, что позволит свести к минимуму время, затрачиваемое на выполнение отработки отказа.

Активные узлы безопасности данных гибридного типа всегда должны находиться в одном центре обработки данных с активным сервером базы данных.

Поддержка прокси

Служба безопасности данных гибридного типа поддерживает явные прокси, прозрачные прокси с проверкой и прокси без проверки. Чтобы обеспечить защиту и мониторинг трафика из сети предприятия в облако, можно связать эти прокси с развертыванием. После настройки прокси на узлах административный интерфейс платформы на узлах можно использовать для управления сертификатами и просмотра общего состояния соединений.

Узлы безопасности данных гибридного типа поддерживают указанные далее параметры прокси.

  • Нет прокси. Значение по умолчанию, если для интеграции прокси не используется конфигурация доверенного хранилища и прокси для настройки узла HDS. Обновление сертификата не требуется.

  • Прозрачный прокси без проверки. Узлы не настроены для использования адреса определенного прокси-сервера и не должны требовать каких-либо изменений для работы с прокси без проверки. Обновление сертификата не требуется.

  • Прозрачный туннелирование или прокси с проверкой. Узлы не настроены для использования адреса определенного прокси-сервера. На узлах не нужно изменять конфигурацию HTTP или HTTPS. Как бы то ни было, для обеспечения доверия прокси узлам необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже HTTPS).

  • Явный прокси. При использовании явного прокси необходимо указать прокси-сервер и схему аутентификации узлам HDS. Для настройки явного прокси на каждом узле нужно ввести следующую информацию.

    1. IP/FQDN прокси. Адрес, который можно использовать для связи с прокси-машиной.

    2. Порт прокси. Номер порта, который прокси использует для прослушивания прокси-трафика.

    3. Proxy Protocol (Протокол прокси). В зависимости от поддержки прокси-сервера выберите один из следующих протоколов.

      • HTTP – просматривает все запросы, отправляемые клиентом, и управляет этими запросами.

      • HTTPS – обеспечивает работу канала связи с сервером. Клиент получает и проверяет сертификат сервера.

    4. Тип аутентификации: выберите один из приведенных ниже типов аутентификации.

      • Нет. Дальнейшая аутентификация не требуется.

        Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.

      • Базовый: используется для агента пользователя HTTP для указания имени пользователя и пароля при совершении запроса. Использует кодировку Base64.

        Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.

        Требует ввода имени пользователя и пароля на каждом узле.

      • Дайджест. Используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети.

        Этот параметр доступен только в том случае, если в качестве протокола прокси выбран протокол HTTPS.

        Требует ввода имени пользователя и пароля на каждом узле.

Пример узлов безопасности данных гибридного типа и прокси

На этой схеме представлен пример соединения между системой безопасности данных гибридного типа, сетью и прокси. При использовании прозрачного прокси с проверкой или явного прокси с проверкой HTTPS на прокси и узлы безопасности данных гибридного типа необходимо установить один и тот же корневой сертификат.

Режим блокировки разрешения внешних DNS (конфигурации явного прокси)

При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. В развертываниях с конфигурациями явного прокси, которые не допускают разрешения внешних DNS для внутренних клиентов, если узел не может посылать запросы на DNS-серверы, он автоматически переходит в режим блокировки разрешения внешних DNS. В этом режиме можно продолжить регистрацию узла и другие тестирования подключения к прокси.

Подготовка среды

Требования к безопасности данных гибридного типа с несколькими клиентами

Требования к лицензии Cisco Webex

Развертывание службы безопасности данных гибридного типа с несколькими клиентами.

  • Партнерские организации: Обратитесь к своему партнеру Cisco или менеджеру по работе с клиентами и убедитесь, что функция "Несколько клиентов" включена.

  • Организации клиентов: Необходима профессиональная версия Cisco Webex Control Hub. См. https://www.cisco.com/go/pro-pack.

Требования к рабочему столу Docker

Перед установкой узлов HDS необходимо запустить программу настройки с помощью Docker Desktop. Docker недавно обновил свою модель лицензирования. Для вашей организации может потребоваться платная подписка на Docker Desktop. Подробности см. в записи блога Docker, " Docker обновляет и расширяет подписки на продукты".

Клиенты без лицензии Docker Desktop могут использовать инструмент управления контейнерами с открытым исходным кодом, например Podman Desktop, для запуска, управления и создания контейнеров. Подробные сведения см. в статье Запуск инструмента настройки HDS с помощью рабочего стола Podman .

Требования к сертификату X.509

Цепочка сертификатов должна соответствовать следующим требованиям:

Таблица 1. Требования к сертификату X.509 для развертывания системы безопасности данных гибридного типа

Требование

Подробности

  • Подписано доверенным центром сертификации (ЦС)

По умолчанию мы доверяем ЦС в списке Mozilla (за исключением WoSign и StartCom) по адресу https://wiki.mozilla.org/CA:IncludedCAs.

  • Носит доменное имя общего имени (CN), идентифицирующее развертывание службы безопасности данных гибридного типа.

  • Не является групповым сертификатом

CN не требуется, чтобы он был доступен или был организатором в режиме реального времени. Рекомендуется использовать название, которое отражает вашу организацию, например hds.company.com.

CN не должен содержать * (подстановочный знак).

CN используется для проверки узлов безопасности данных гибридного типа для клиентов приложения Webex. Все узлы безопасности данных гибридного типа в кластере используют один и тот же сертификат. Ваш KMS идентифицирует себя с помощью домена CN, а не любого домена, определенного в полях SAN x.509v3.

После регистрации узла с этим сертификатом изменение доменного имени CN не поддерживается.

  • Подпись без SHA1

Программное обеспечение KMS не поддерживает подписи SHA1 для проверки подключений к KMS других организаций.

  • Отформатирован в виде файла PKCS #12, защищенного паролем

  • Используйте дружественное имя kms-private-key для тегов сертификата, закрытого ключа и всех промежуточных сертификатов для загрузки.

Для изменения формата сертификата можно использовать преобразователь, например OpenSSL.

При запуске инструмента настройки HDS потребуется ввести пароль.

Программное обеспечение KMS не обеспечивает принудительное использование ключа или расширенные ограничения на его использование. Некоторые центры сертификации требуют, чтобы к каждому сертификату применялись расширенные ограничения на использование ключей, например аутентификация сервера. Использовать аутентификацию сервера или другие настройки можно.

Требования к виртуальному организатору

Виртуальные узлы, которые будут настроены в качестве узлов безопасности данных гибридного типа в кластере, имеют следующие требования:

  • По крайней мере два отдельных узла (рекомендуется 3) размещены в одном защищенном центре обработки данных

  • Установлена и запущена VMware ESXi 7.0 (или более поздняя версия).

    При наличии более ранней версии ESXi необходимо выполнить модернизацию.

  • Минимум 4 ЦП, 8 ГБ основной памяти, 30 ГБ локального жесткого диска на сервер

Требования к серверу базы данных

Создайте новую базу данных для хранилища ключей. Не используйте базу данных по умолчанию. Приложения HDS при установке создают схему базы данных.

Существует два варианта сервера баз данных. Требования для каждого из них приведены ниже.

Таблица 2. Требования к серверу базы данных в разрезе типов базы данных

PostgreSQL

Сервер Microsoft SQL

  • Установленный и запущенный PostgreSQL 14, 15 или 16.

  • Установлен SQL Server 2016, 2017, 2019 или 2022 (корпоративный или стандартный).

    Для SQL Server 2016 требуется пакет обновления 2 и накопительное обновление 2 или более поздняя версия.

Минимум 8 виртуальных ЦП, 16 ГБ основной памяти, достаточное пространство на жестком диске и мониторинг для обеспечения его отсутствия (рекомендуется 2 ТБ, если необходимо запустить базу данных в течение длительного времени без увеличения объема хранилища)

Минимум 8 виртуальных ЦП, 16 ГБ основной памяти, достаточное пространство на жестком диске и мониторинг для обеспечения его отсутствия (рекомендуется 2 ТБ, если необходимо запустить базу данных в течение длительного времени без увеличения объема хранилища)

Программное обеспечение HDS в настоящее время устанавливает следующие версии драйверов для связи с сервером базы данных:

PostgreSQL

Сервер Microsoft SQL

Драйвер JDBC Postgres 42.2.5

Драйвер JDBC 4.6 для SQL-сервера

Эта версия драйвера поддерживает SQL Server Always On (экземпляры отказоустойчивого кластера и группы доступности Always On).

Дополнительные требования для аутентификации Windows на Microsoft SQL Server

Если необходимо, чтобы узлы HDS использовали аутентификацию Windows для получения доступа к базе данных хранилища ключей на Microsoft SQL Server, в вашей среде потребуется следующая конфигурация:

  • Узлы HDS, инфраструктура Active Directory и сервер MS SQL должны быть синхронизированы с NTP.

  • Учетная запись Windows, которую вы предоставляете узлам HDS, должна иметь доступ к базе данных для чтения и записи.

  • Серверы DNS, предоставляемые узлам HDS, должны иметь возможность разрешать центр распределения ключей (KDC).

  • Экземпляр базы данных HDS можно зарегистрировать на сервере Microsoft SQL в качестве главного имени службы (SPN) в Active Directory. См. статью Регистрация имени участника службы для Kerberos Connections.

    Инструмент настройки HDS, программа запуска HDS и локальный KMS должны использовать аутентификацию Windows для доступа к базе данных хранилища ключей. Они используют сведения из конфигурации ISO для создания SPN при запросе доступа с аутентификацией Kerberos.

Требования к внешнему подключению

Настройте брандмауэр, чтобы разрешить следующее подключение для приложений HDS:

Приложение

Протокол

Порт

Направление из приложения

Адресат

Узлы безопасности данных гибридного типа

Протокол TCP

443

Исходящие HTTPS и WSS

  • Серверы Webex:

    • *.wbx2.com

    • *.ciscospark.com

  • Все хосты Common Identity

  • Другие URL-адреса, перечисленные для службы безопасности данных гибридного типа в таблице Дополнительные URL-адреса для служб гибридного типа Webex раздела Требования к сети для служб Webex

Инструмент настройки HDS

Протокол TCP

443

HTTPS для исходящих вызовов

  • *.wbx2.com

  • Все хосты Common Identity

  • hub.docker.com

Узлы безопасности данных гибридного типа работают с преобразованием сетевого доступа (NAT) или за брандмауэром, если NAT или брандмауэр допускает необходимые исходящие соединения с адресатами домена в таблице выше. Для соединений, поступающих на узлы безопасности данных гибридного типа, порты не должны отображаться из Интернета. В центре обработки данных клиентам необходим доступ к узлам безопасности данных гибридного типа на портах 443 и 22 TCP в административных целях.

URL-адреса узлов общих параметров идентификации (CI) специфичны для региона. Ниже приведены текущие узлы CI.

Регион

URL-адреса хостов общих параметров идентификации

Северная и Южная Америка

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Европейский союз

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Канада

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Сингапур

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Объединенные Арабские Эмираты

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Требования к прокси-серверу

  • Мы официально поддерживаем следующие решения для прокси, которые можно интегрировать с узлами безопасности данных гибридного типа:

  • Поддерживаются следующие комбинации типов аутентификации для явных прокси:

    • без аутентификации при использовании HTTP или HTTPS;

    • базовая аутентификация при использовании HTTP или HTTPS;

    • дайджест-аутентификация только при использовании HTTPS;

  • При наличии прозрачного прокси с проверкой или явного прокси HTTPS необходимо иметь копию корневого сертификата прокси. Инструкции по развертыванию, приведенные в этом руководстве, содержат информацию о том, как загрузить эту копию в зоны доверия узлов безопасности данных гибридного типа.

  • Сеть, в которой размещены узлы HDS, должна обеспечивать принудительную маршрутизацию исходящего трафика TCP на порте 443 через прокси.

  • Прокси, проверяющие веб-трафик, могут нарушать работу соединений веб-сокетов. При возникновении этой проблемы обход (без проверки) трафика к wbx2.com и ciscospark.com решит проблему.

Выполнение предварительных требований для службы безопасности данных гибридного типа

Используйте этот перечень действий, чтобы убедиться в готовности к установке и настройке кластера безопасности данных гибридного типа.
1

Убедитесь, что в партнерской организации включена функция HDS с несколькими клиентами, и получите учетные данные учетной записи с полными правами администратора партнера и полными правами администратора. Убедитесь, что для клиентской организации Webex включена профессиональная версия Cisco Webex Control Hub. Обратитесь за помощью к своему партнеру Cisco или менеджеру по работе с клиентами.

У клиентских организаций не должно быть существующего развертывания HDS.

2

Выберите имя домена для развертывания HDS (например, hds.company.com) и получите цепочку сертификатов, содержащую сертификат X.509, закрытый ключ и любые промежуточные сертификаты. Цепочка сертификатов должна соответствовать требованиям, указанным в разделе Требования к сертификатам X.509.

3

Подготовьте идентичные виртуальные узлы, которые будут настроены в качестве узлов безопасности данных гибридного типа в кластере. Необходимо разместить не менее двух отдельных организаторов (рекомендуется 3) в одном и том же защищенном центре обработки данных, который соответствует требованиям в разделе Требования к виртуальному организатору.

4

Подготовьте сервер базы данных, который будет использоваться в качестве хранилища ключевых данных для кластера в соответствии с требованиями сервера базы данных. Сервер базы данных должен быть размещен в защищенном центре обработки данных с виртуальными хостами.

  1. Создайте базу данных для хранилища ключей. (Необходимо создать эту базу данных. Не используйте базу данных по умолчанию. Приложения HDS при установке создают схему базы данных.)

  2. Соберите сведения, которые узлы будут использовать для связи с сервером базы данных.

    • имя хоста или IP-адрес (хост) и порт

    • имя базы данных (dbname) для хранилища ключей

    • имя пользователя и пароль пользователя со всеми правами в базе данных хранилища ключей

5

Для быстрого аварийного восстановления настройте резервную среду в другом центре обработки данных. Резервная среда дублирует производственную среду виртуальных машин и сервер базы данных резервного копирования. Например, если в производственной среде есть 3 виртуальных машины с узлами HDS, резервная среда должна иметь 3 виртуальных машины.

6

Настройте узел системного журнала для сбора журналов с узлов в кластере. Соберите сетевой адрес и порт системного журнала (по умолчанию UDP 514).

7

Создайте политику безопасного резервного копирования для узлов безопасности данных гибридного типа, сервера базы данных и узла системного журнала. Как минимум, чтобы предотвратить необратимую потерю данных, необходимо создать резервную копию базы данных и файла конфигурации ISO, созданного для узлов безопасности данных гибридного типа.

Поскольку узлы безопасности данных гибридного типа хранят ключи, используемые при шифровании и расшифровке контента, невыполнение оперативного развертывания приведет к НЕОБРАТИМОЙ ПОТЕРЕ этого контента.

Клиенты приложения Webex кэшируют свои ключи, поэтому сбои могут не сразу стать заметными, но со временем станут очевидными. Временные перебои невозможно предотвратить, но их можно восстановить. Однако полная потеря базы данных или файла конфигурации ISO (нет доступных резервных копий) приведет к невозможности восстановления данных клиента. Ожидается, что операторы узлов безопасности данных гибридного типа осуществляют частые резервные копии базы данных и файла конфигурации ISO и будут готовы к обновлению центра обработки данных службы безопасности данных гибридного типа в случае катастрофической ошибки.

8

Убедитесь, что конфигурация брандмауэра разрешает соединение для узлов безопасности данных гибридного типа, как описано в разделе Требования к внешнему подключению.

9

Установите Docker (https://www.docker.com) на любом локальном компьютере, на котором запущена поддерживаемая ОС (64-разрядная версия Microsoft Windows 10 Professional или Enterprise или Mac OSX Yosemite 10.10.3 или более поздняя версия) с веб-браузером, с помощью которого можно получить доступ на странице http://127.0.0.1:8080.

Экземпляр Docker используется для скачивания и запуска инструмента настройки HDS, который создает информацию локальной конфигурации для всех узлов безопасности данных гибридного типа. Вам может понадобиться лицензия Docker Desktop. Дополнительную информацию см. в статье Требования к рабочему столу Docker .

Для установки и запуска инструмента настройки HDS локальная машина должна иметь подключение, описанное в разделе Требования к внешнему подключению.

10

При интеграции прокси с системой безопасности данных гибридного типа убедитесь, что он соответствует требованиям к прокси-серверу.

Настройка кластера безопасности данных гибридного типа

Алгоритм выполнения задач по развертыванию службы безопасности данных гибридного типа

Перед началом работы

1

Выполните начальную настройку и скачайте файлы установки

Скачайте файл OVA на локальный компьютер для дальнейшего использования.

2

Создание ISO конфигурации для узлов HDS

Используйте инструмент настройки HDS для создания файла конфигурации ISO для узлов безопасности данных гибридного типа.

3

Установка файла OVA узла HDS

Создайте виртуальную машину из файла OVA и выполните начальную конфигурацию, например параметры сети.

Параметр настройки сети во время развертывания OVA протестирован с помощью ESXi 7.0. Этот параметр может быть недоступен в более ранних версиях.

4

Настройка виртуальной машины безопасности данных гибридного типа

Войдите в консоль виртуальной машины и задайте учетные данные для входа. Настройте параметры сети для узла, если они не были настроены во время развертывания файла OVA.

5

Загрузка и установка ISO конфигурации HDS

Настройте виртуальную машину из файла конфигурации ISO, созданного с помощью инструмента настройки HDS.

6

Настройка узла HDS для интеграции прокси

Если в сетевой среде требуется конфигурация прокси, укажите тип прокси, который будет использоваться для узла, и при необходимости добавьте сертификат прокси в доверенное хранилище.

7

Регистрация первого узла в кластере

Зарегистрируйте виртуальную машину в облаке Cisco Webex в качестве узла безопасности данных гибридного типа.

8

Создать и зарегистрировать другие узлы

Завершите настройку кластера.

9

Активируйте HDS с несколькими клиентами в Partner Hub.

Активируйте HDS и управляйте организациями клиентов в Partner Hub.

Выполните начальную настройку и скачайте файлы установки

В этой задаче вы скачаете файл OVA на свой компьютер (а не на серверы, настроенные в качестве узлов безопасности данных гибридного типа). Этот файл будет использован позже в процессе установки.

1

Войдите в Partner Hub и щелкните Службы.

2

В разделе облачных служб найдите карточку безопасности данных гибридного типа и щелкните Настройка.

Нажатие кнопки Настройка в партнерском центре имеет решающее значение для процесса развертывания. Не продолжайте установку без завершения этого шага.

3

Щелкните Добавить ресурс и щелкните Скачать файл OVA на карточке Установка и настройка программного обеспечения .

Более ранние версии пакета программного обеспечения (OVA) не будут совместимы с последними модернизациями безопасности данных гибридного типа. Это может привести к ошибкам во время модернизации приложения. Убедитесь, что скачано последнюю версию файла OVA.

Кроме того, файл OVA можно скачать в любой момент в разделе Справка . Щелкните Настройки > Справка > Скачать программное обеспечение безопасности данных гибридного типа.

Скачивание файла OVA начнется автоматически. Сохраните файл в местоположении на своем компьютере.
4

При необходимости щелкните Просмотреть руководство по развертыванию службы безопасности данных гибридного типа , чтобы проверить доступность более поздней версии этого руководства.

Создание ISO конфигурации для узлов HDS

Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.

Прежде чем начать
1

Введите соответствующую команду для вашей среды в командной строке компьютера.

В обычных средах:

docker rmi ciscocitg/hds-setup:stable

В средах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать.

2

Чтобы войти в реестр образов Docker, введите следующее.

docker login -u hdscustomersro
3

Введите в запросе пароля этот хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Скачайте последнюю стабильную версию образа для вашей среды.

В обычных средах:

docker pull ciscocitg/hds-setup:stable

В средах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

По завершении скачивания введите соответствующую команду для вашей среды.

  • В обычных средах без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • В обычных средах с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В обычных средах с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В средах FedRAMP без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

6

Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу.

Перейдите к локальному узлу http://127.0.0.1:8080 с помощью веб-браузера и введите имя пользователя администратора для Partner Hub в окне подсказки.

Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартную подсказку для входа в систему.

7

При отображении соответствующего запроса введите учетные данные для входа администратора Partner Hub и щелкните Войти , чтобы разрешить доступ к необходимым службам для службы безопасности данных гибридного типа.

8

На странице обзора инструмента настройки щелкните Начало работы.

9

На странице Импорт ISO доступны следующие параметры.

  • Нет. Если вы создаете первый узел HDS, у вас нет файла ISO для загрузки.
  • Да. Если вы уже создали узлы HDS, выберите файл ISO в окне просмотра и загрузите его.
10

Проверьте, соответствует ли сертификат X.509 требованиям к сертификатам X.509.

  • Если сертификат ранее не загружался, загрузите сертификат X.509, введите пароль и щелкните Продолжить.
  • Если сертификат в ОК, щелкните Продолжить.
  • Если срок действия сертификата истек или вы хотите заменить его, выберите Нет для параметра Продолжить использование цепочки сертификатов HDS и закрытого ключа из предыдущего ISO?. Загрузите новый сертификат X.509, введите пароль и щелкните Продолжить.
11

Введите адрес базы данных и учетную запись HDS для доступа к хранилищу данных ключей:

  1. Выберите Тип базы данных (PostgreSQL или Microsoft SQL Server).

    При выборе Microsoft SQL Server появится поле "Тип аутентификации".

  2. (Только Microsoft SQL Server ) Выберите Тип аутентификации.

    • Базовая аутентификация. В поле Имя пользователя необходимо указать имя учетной записи локального сервера SQL.

    • Аутентификация Windows. Необходима учетная запись Windows в формате username@DOMAIN в поле Имя пользователя .

  3. Введите адрес сервера базы данных в форме : или :.

    Пример:
    dbhost.example.org:1433 или 198.51.100.17:1433

    Если узлы не могут использовать DNS для разрешения имени узла, можно использовать IP-адрес для базовой аутентификации.

    При использовании аутентификации Windows необходимо ввести полное доменное имя в формате dbhost.example.org:1433

  4. Введите имя базы данных.

  5. Введите имя пользователя и пароль пользователя со всеми правами в базе данных хранилища ключей.

12

Выберите Режим подключения к базе данных TLS.

Mode

Описание

Предпочтительное использование TLS (параметр по умолчанию)

Узлам HDS не требуется TLS для подключения к серверу базы данных. Если на сервере базы данных включить TLS, узлы попытаются установить зашифрованное соединение.

Обязательное использование TLS

Подключение узлов HDS будет выполнено только в том случае, если сервер базы данных может согласовывать использование TLS.

Обязательное использование TLS и проверка источника подписи сертификата

Этот режим неприменим к базам данных SQL Server.

  • Подключение узлов HDS будет выполнено только в том случае, если сервер базы данных может согласовывать использование TLS.

  • После установления соединения TLS узел сравнивает подписавшего сертификат сервера базы данных с центром сертификации в корневом сертификате базы данных. При отсутствии совпадения узел разорвет соединение.

Воспользуйтесь элементом управления корневым сертификатом базы данных под раскрывающимся списком, чтобы загрузить корневой сертификат для этого параметра.

Обязательное использование TLS и проверка источника подписи сертификата и имени узла

  • Подключение узлов HDS будет выполнено только в том случае, если сервер базы данных может согласовывать использование TLS.

  • После установления соединения TLS узел сравнивает подписавшего сертификат сервера базы данных с центром сертификации в корневом сертификате базы данных. При отсутствии совпадения узел разорвет соединение.

  • Узлы также проверяют, совпадает ли имя узла в сертификате сервера с именем узла в поле Узел базы данных и порт . Необходимо точное совпадение имен. Иначе узел разорвет соединение.

Воспользуйтесь элементом управления корневым сертификатом базы данных под раскрывающимся списком, чтобы загрузить корневой сертификат для этого параметра.

При загрузке корневого сертификата (при необходимости) и нажатии Продолжить инструмент настройки HDS тестирует подключение TLS к серверу базы данных. Инструмент также выполняет проверку источника подписи сертификата и имени узла (если применимо). Если тест не будет пройден, в инструменте будет отображено сообщение об ошибке с описанием проблемы. Можно выбрать параметр игнорирования ошибки и продолжить настройку. (Из-за различий соединения узлы HDS могут установить соединение TLS, даже если машина средства настройки HDS не может успешно протестировать его.)

13

На странице «Системные журналы» настройте сервер Syslogd:

  1. Введите URL-адрес сервера системного журнала.

    Если сервер не может разрешить DNS из узлов для кластера HDS, используйте IP-адрес в URL.

    Пример:
    udp://10.92.43.23:514 указывает на вход в хост Syslogd 10.92.43.23 на порте UDP 514.

  2. Если вы настроили на сервере использование шифрования TLS, установите флажок Настроен ли сервер системного журнала для шифрования SSL?.

    Если установить этот флажок, убедитесь, что введен URL-адрес TCP, например tcp://10.92.43.23:514.

  3. В раскрывающемся списке Выберите прекращение записи системного журнала выберите соответствующую настройку для файла ISO. Выбор или новая линия используется для TCP-протокола Graylog и Rsyslog

    • Нулевой байт -- \x00

    • Новая линия -- \n: выберите этот вариант для TCP-протокола Graylog и Rsyslog.

  4. Щелкните Продолжить.

14

(Необязательно) Можно изменить значение по умолчанию для некоторых параметров подключения к базе данных в разделе Расширенные настройки. Как правило, этот параметр является единственным, который необходимо изменить:

app_datasource_connection_pool_maxSize: 10
15

Щелкните Продолжить на экране Сброс пароля учетных записей службы .

Срок действия паролей учетных записей службы составляет девять месяцев. Используйте этот экран, когда срок действия паролей скоро истечет или вы хотите сбросить их, чтобы сделать предыдущие файлы ISO недействительными.

16

Щелкните Скачать файл ISO. Сохраните файл в удобном для поиска местоположении.

17

Сделайте резервную копию файла ISO в локальной системе.

Обеспечьте безопасность резервного копирования. Этот файл содержит главный ключ шифрования для содержимого базы данных. Ограничьте доступ только тем администраторам службы безопасности данных гибридного типа, которые должны вносить изменения в конфигурацию.

18

Чтобы выключить инструмент настройки, введите CTRL+C.

Дальнейшие действия

Создайте резервную копию файла конфигурации ISO. Это необходимо для создания дополнительных узлов для восстановления или внесения изменений в конфигурацию. В случае утери всех копий файла ISO также был утрачен главный ключ. Невозможно восстановить ключи из базы данных PostgreSQL или Microsoft SQL Server.

У нас никогда не будет копии этого ключа, и мы не можем помочь, если вы его потеряете.

Установка файла OVA узла HDS

Используйте эту процедуру для создания виртуальной машины из файла OVA.
1

Используйте клиент VMware vSphere на компьютере для входа в виртуальный хост ESXi.

2

Выберите Файл > Развернуть шаблон OVF.

3

В мастере укажите расположение скачанного ранее файла OVA и щелкните Далее.

4

На странице Выберите имя и папку введите имя виртуальной машины для узла (например, "HDS_Node_1"), выберите местоположение, в котором может находиться развертывание узла виртуальной машины, и щелкните Далее.

5

На странице Выбор вычислительного ресурса выберите целевой вычислительный ресурс и щелкните Далее.

Выполняется проверка. По завершении отобразятся сведения о шаблоне.

6

Проверьте сведения о шаблоне и щелкните Далее.

7

При появлении запроса на выбор конфигурации ресурса на странице Конфигурация щелкните 4 ЦП , а затем щелкните Далее.

8

На странице Выбор хранилища щелкните Далее , чтобы принять формат диска по умолчанию и политику хранилища виртуальной машины.

9

На странице Выбор сетей выберите параметр сети из списка записей, чтобы обеспечить необходимое подключение к виртуальной машине.

10

На странице Настройка шаблона настройте приведенные ниже параметры сети.

  • Имя узла. Введите FQDN (имя узла и домен) или одно слово имя узла.

    • Настройка домена в соответствии с доменом, который вы использовали для получения сертификата X.509, не требуется.

    • Чтобы обеспечить успешную регистрацию в облаке, используйте только символы нижнего регистра в FQDN или имени узла, заданном для узла. В настоящее время заглавные буквы не поддерживаются.

    • Общая длина FQDN не должна превышать 64 символа.

  • IP-адрес: введите IP-адрес для внутреннего интерфейса узла.

    Узел должен иметь внутренний IP-адрес и имя DNS. DHCP не поддерживается.

  • Маска. Введите адрес маски подсети в десятичном формате. Например, 255.255.255.0.
  • Шлюз: введите IP-адрес шлюза. Шлюз — это сетевой узел, который служит точкой доступа к другой сети.
  • DNS-серверы: введите список DNS-серверов, разделенных запятыми, для обработки перевода доменных имен на числовые IP-адреса. (Разрешено до 4 записей DNS.)
  • NTP Servers (Серверы NTP). Введите сервер NTP вашей организации или другой внешний сервер NTP, который можно использовать в вашей организации. Серверы NTP по умолчанию могут работать не для всех предприятий. Для ввода нескольких NTP-серверов также можно использовать список, разделенный запятыми.

  • Разверните все узлы в одной подсети или VLAN, чтобы все узлы в кластере были доступны из клиентов вашей сети в административных целях.

При необходимости можно пропустить конфигурацию сетевых настроек и выполнить действия, описанные в разделе Настройка виртуальной машины безопасности данных гибридного типа , чтобы настроить параметры с помощью консоли узла.

Параметр настройки сети во время развертывания OVA протестирован с помощью ESXi 7.0. Этот параметр может быть недоступен в более ранних версиях.

11

Щелкните правой кнопкой мыши узел виртуальной машины и выберите Питание > Включение.

Программное обеспечение безопасности данных гибридного типа устанавливается в качестве гостя на узле виртуальной машины. Теперь вы готовы войти в консоль и настроить узел.

Рекомендации по устранению неисправностей

Контейнеры узла могут появиться через несколько минут. Во время первой загрузки на консоли отображается сообщение брандмауэра моста, в течение которого невозможно войти в систему.

Настройка виртуальной машины безопасности данных гибридного типа

Используйте эту процедуру для первого входа в консоль виртуальной машины узла безопасности данных гибридного типа и установки учетных данных для входа. Можно также использовать консоль для настройки сетевых параметров узла, если они не были настроены во время развертывания файла OVA.

1

В клиенте VMware vSphere выберите виртуальную машину узла безопасности данных гибридного типа и откройте вкладку Консоль .

Будет загружена виртуальная машина, и отобразится запрос на вход. Если запрос на вход не отображается, нажмите клавишу ввода.
2

Для входа и изменения учетных данных используйте следующие параметры входа и пароля по умолчанию:

  1. Вход: admin

  2. Пароль. cisco

Поскольку вы впервые входите в свою виртуальную машину, вам необходимо изменить пароль администратора.

3

Если параметры сети уже настроены в разделе Установка OVA узла HDS, пропустите остальную процедуру. В противном случае в главном меню выберите параметр Редактировать конфигурацию .

4

Настройте статическую конфигурацию с использованием IP-адреса, маски, шлюза и информации DNS. Узел должен иметь внутренний IP-адрес и имя DNS. DHCP не поддерживается.

5

(Необязательно) Измените имя хоста, домен или NTP-серверы, если это необходимо для соответствия вашей сетевой политике.

Настройка домена в соответствии с доменом, который вы использовали для получения сертификата X.509, не требуется.

6

Сохраните конфигурацию сети и перезагрузите виртуальную машину, чтобы изменения вступили в силу.

Загрузка и установка ISO конфигурации HDS

Используйте эту процедуру для настройки виртуальной машины из файла ISO, созданного с помощью инструмента настройки HDS.

Перед началом работы

Поскольку в файле ISO содержится главный ключ, он должен быть раскрыт только по принципу «необходимо знать» для доступа виртуальных машин безопасности данных гибридного типа и всех администраторов, которым может потребоваться внести изменения. Убедитесь, что доступ к хранилищу данных могут получить только эти администраторы.

1

Загрузите файл ISO со своего компьютера.

  1. На левой панели навигации клиента VMware vSphere щелкните сервер ESXi.

  2. В списке "Оборудование" вкладки "Конфигурация" щелкните Хранилище.

  3. В списке хранилищ данных щелкните правой кнопкой мыши хранилище данных для виртуальных машин и щелкните Обзор хранилища данных.

  4. Щелкните пиктограмму "Загрузить файлы" и щелкните Загрузить файл.

  5. Перейдите в расположение, в котором скачался файл ISO на компьютер, и щелкните Открыть.

  6. Щелкните Да , чтобы принять предупреждение о загрузке или скачивании и закрыть диалоговое окно хранилища данных.

2

Установите файл ISO:

  1. На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры.

  2. Щелкните ОК , чтобы принять предупреждение об ограничении параметров редактирования.

  3. Щелкните CD/DVD Drive 1, выберите параметр подключения из файла хранилища данных ISO и перейдите в расположение, в котором был загружен файл конфигурации ISO.

  4. Установите флажки Подключено и Подключиться при включении.

  5. Сохраните изменения и перезагрузите виртуальную машину.

Дальнейшие действия

Если политика ИТ требует, после внесения изменений конфигурации на всех узлах можно отсоединить файл ISO. Подробные сведения см. в статье (необязательно) Отключение ISO после настройки HDS .

Настройка узла HDS для интеграции прокси

Если в сетевой среде необходимо использовать прокси, воспользуйтесь этой процедурой, чтобы указать тип прокси, который нужно интегрировать со службой безопасности данных гибридного типа. При выборе прозрачного прокси с проверкой или явного прокси HTTPS можно использовать интерфейс узла для загрузки и установки корневого сертификата. Кроме того, в интерфейсе можно проверять соединение с прокси и устранять неполадки.

Перед началом работы

1

Введите URL-адрес настройки узла HDS https://[HDS Node IP or FQDN]/setup в веб-браузере, введите учетные данные администратора, настроенные для узла, и щелкните Вход.

2

Откройте раздел Trust Store & Proxy (Зона доверия и прокси) и выберите один из следующих параметров.

  • Без прокси. Этот параметр используется по умолчанию перед интеграцией прокси. Обновление сертификата не требуется.
  • Прозрачный прокси без проверки. Узлы не настроены для использования адреса определенного прокси-сервера и не должны требовать каких-либо изменений для работы с прокси без проверки. Обновление сертификата не требуется.
  • Прозрачный прокси с проверкой: узлы не настроены для использования адреса определенного прокси-сервера. В развертывании службы безопасности данных гибридного типа не нужно вносить изменения в конфигурацию HTTPS, однако для обеспечения доверия прокси узлам HDS необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже HTTPS).
  • Явный прокси. При использовании явного прокси клиент (узлы HDS) определяет, какой прокси-сервер использовать. Этот параметр поддерживает несколько типов аутентификации. После выбора этого параметра необходимо ввести указанную далее информацию.

    1. IP/FQDN прокси. Адрес, который можно использовать для связи с прокси-машиной.

    2. Порт прокси. Номер порта, который прокси использует для прослушивания прокси-трафика.

    3. Proxy Protocol (Протокол прокси). Выберите http (просмотр и управление всеми запросами, полученными от клиента) или https (обеспечивает канал для сервера, а клиент получает и проверяет сертификат сервера). Выберите параметр в зависимости от того, какой протокол поддерживает используемый вами прокси-сервер.

    4. Тип аутентификации: выберите один из приведенных ниже типов аутентификации.

      • Нет. Дальнейшая аутентификация не требуется.

        Этот параметр доступен для прокси HTTP или HTTPS.

      • Базовый: используется для агента пользователя HTTP для указания имени пользователя и пароля при совершении запроса. Использует кодировку Base64.

        Этот параметр доступен для прокси HTTP или HTTPS.

        Если вы выберете этот параметр, вам понадобится ввести имя пользователя и пароль.

      • Дайджест. Используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети.

        Этот параметр доступен только для прокси HTTPS.

        Если вы выберете этот параметр, вам понадобится ввести имя пользователя и пароль.

В случае использования прозрачного прокси с проверкой, явного прокси HTTP с базовой аутентификацией или явного прокси HTTPS выполните указанные далее шаги.

3

Щелкните Upload a Root Certificate or End Entity Certificate (Загрузить корневой сертификат или сертификат конечного субъекта) и откройте меню для выбора корневого сертификата для прокси.

Сертификат будет загружен, но не установлен, поскольку для установки сертификата необходимо перезагрузить узел. Чтобы получить дополнительные сведения, щелкните стрелку-шеврон, расположенную рядом с именем издателя сертификата. Если вы допустили ошибку и хотите вновь загрузить файл, щелкните Delete (Удалить).

4

Чтобы протестировать сетевое соединение между узлом и прокси, щелкните Check Proxy Connection (Проверить соединение с прокси).

Если тестирование соединения завершится неудачей, на экране появится сообщение об ошибке, в котором будут указаны причина и способ исправления ошибки.

Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу. Такая проблема может возникнуть во многих конфигурациях явного прокси. Можно продолжить настройку, и узел будет работать в режиме блокировки разрешения внешних DNS. Если вы считаете, что это ошибка, выполните эти действия, а затем см. статью Выключение режима блокировки разрешения внешних DNS.

5

Если вы используете явный прокси, настроенный на применение исключительно https, после успешного завершения тестирования соединения включите параметр Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси (Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси). Для вступления в силу этого параметра необходимо 15 секунд.

6

Щелкните Install All Certificates Into the Trust Store (Установить все сертификаты в зоне доверия) – этот параметр отображается при использовании явного прокси HTTPS или прозрачного прокси с проверкой – или Reboot (Перезагрузить) – этот параметр отображается при использовании явного прокси HTTP. Прочитайте запрос и щелкните Install (Установить), если вы готовы к установке.

Узел перезагрузится в течение нескольких минут.

7

После перезагрузки узла повторно войдите в систему, если это необходимо, и откройте страницу Обзор, чтобы выполнить проверки соединений. Состояние всех проверок должно быть обозначено зеленым цветом.

Проверка соединения с прокси используется исключительно для тестирования поддомена webex.com. Проблемы с соединениями нередко возникают из-за того, что некоторые облачные домены, указанные в инструкциях по установке, блокируются на уровне прокси.

Регистрация первого узла в кластере

Эта задача берет общий узел, созданный в разделе Настройка виртуальной машины безопасности данных гибридного типа, регистрирует узел в облаке Webex и преобразует его в узел безопасности данных гибридного типа.

При регистрации первого узла создается кластер, которому он назначен. Кластер содержит один или несколько узлов, развернутых для резервирования.

Перед началом работы

  • После начала регистрации узла ее необходимо завершить в течение 60 минут или начать заново.

  • Убедитесь, что все блокировки всплывающих окон в браузере отключены или вы разрешаете исключение для admin.webex.com.

1

Войдите в https://admin.webex.com.

2

В меню в левой части экрана выберите Службы.

3

В разделе облачных служб найдите карточку безопасности данных гибридного типа и щелкните Настройка.

4

На открывшейся странице щелкните Добавить ресурс.

5

В первом поле карточки Добавить узел введите имя кластера, которому необходимо назначить узел безопасности данных гибридного типа.

Рекомендуется назвать кластер в зависимости от географического расположения узлов кластера. Примеры: "Сан-Франциско", "Нью-Йорк" или "Даллас"

6

Во втором поле введите внутренний IP-адрес или полное доменное имя узла и щелкните Добавить в нижней части экрана.

Этот IP-адрес или полное доменное имя должны совпадать с IP-адресом или именем хоста и доменом, которые вы использовали в разделе Настройка виртуальной машины безопасности данных гибридного типа.

Отобразится сообщение о том, что можно зарегистрировать узел в Webex.
7

Щелкните Перейти к узлу.

Через несколько секунд вы будете перенаправлены на тестирование подключения узла для служб Webex. Если все тесты будут успешными, отобразится страница "Разрешить доступ к узлу безопасности данных гибридного типа". Здесь вы подтверждаете, что хотите предоставить вашей организации Webex полномочия на доступ к узлу.

8

Установите флажок в поле Разрешить доступ к узлу безопасности данных гибридного типа и щелкните Продолжить.

Учетная запись подтверждена. В сообщении "Регистрация завершена" указано, что узел зарегистрирован в облаке Webex.
9

Щелкните ссылку или закройте вкладку, чтобы вернуться на страницу безопасности данных гибридного типа партнерского центра.

На странице Безопасность данных гибридного типа новый кластер, содержащий зарегистрированный узел, отображается на вкладке Ресурсы . Узел будет автоматически скачан новейшее программное обеспечение из облака.

Создать и зарегистрировать другие узлы

Чтобы добавить дополнительные узлы в кластер, просто создайте дополнительные виртуальные машины и подключите тот же файл конфигурации ISO, а затем зарегистрируйте узел. Рекомендуется иметь не менее 3 узлов.

Перед началом работы

  • После начала регистрации узла ее необходимо завершить в течение 60 минут или начать заново.

  • Убедитесь, что все блокировки всплывающих окон в браузере отключены или вы разрешаете исключение для admin.webex.com.

1

Создайте новую виртуальную машину из файла OVA, повторяя шаги, описанные в разделе Установка файла OVA узла HDS.

2

Настройте начальную конфигурацию новой виртуальной машины, повторяя шаги, описанные в разделе Настройка виртуальной машины безопасности данных гибридного типа.

3

В новой виртуальной машине повторите шаги, описанные в разделе Загрузка и установка ISO конфигурации HDS.

4

При настройке прокси для развертывания повторите шаги, описанные в разделе Настройка узла HDS для интеграции прокси для нового узла.

5

Зарегистрируйте узел.

  1. В https://admin.webex.com в меню в левой части экрана выберите Службы .

  2. В разделе облачных служб найдите карточку безопасности данных гибридного типа и щелкните Просмотреть все.

    Откроется страница "Ресурсы безопасности данных гибридного типа".

  3. Только что созданный кластер отобразится на странице Ресурсы .

  4. Щелкните кластер, чтобы просмотреть узлы, назначенные кластеру.

  5. Щелкните Добавить узел в правой части экрана.

  6. Введите внутренний IP-адрес или полное доменное имя узла и щелкните Добавить.

    Откроется страница с сообщением о том, что можно зарегистрировать узел в облаке Webex. Через несколько секунд вы будете перенаправлены на тестирование подключения узла для служб Webex. Если все тесты будут успешными, отобразится страница "Разрешить доступ к узлу безопасности данных гибридного типа". После этого вы подтверждаете, что хотите предоставить организации полномочия на доступ к узлу.

  7. Установите флажок в поле Разрешить доступ к узлу безопасности данных гибридного типа и щелкните Продолжить.

    Учетная запись подтверждена. В сообщении "Регистрация завершена" указано, что узел зарегистрирован в облаке Webex.

  8. Щелкните ссылку или закройте вкладку, чтобы вернуться на страницу безопасности данных гибридного типа партнерского центра.

    Всплывающее сообщение Узел добавлен также отображается в нижней части экрана в партнерском центре.

    Ваш узел зарегистрирован.

Управление организациями клиентов в службе безопасности данных гибридного типа с поддержкой нескольких клиентов

Активация HDS с несколькими клиентами в центре партнера

Эта задача позволит всем пользователям клиентских организаций начать использование HDS для локальных ключей шифрования и других служб безопасности.

Перед началом работы

Убедитесь, что настройка кластера HDS с несколькими клиентами завершена с требуемым количеством узлов.

1

Войдите в https://admin.webex.com.

2

В меню в левой части экрана выберите Службы.

3

В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Редактировать настройки.

4

Щелкните Активировать HDS на карточке Состояние HDS .

Добавить организации клиентов в Partner Hub

В этой задаче вы назначаете клиентские организации кластеру безопасности данных гибридного типа.

1

Войдите в https://admin.webex.com.

2

В меню в левой части экрана выберите Службы.

3

В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Просмотреть все.

4

Щелкните кластер, которому необходимо назначить клиента.

5

Перейдите на вкладку Назначенные клиенты .

6

Щелкните Добавить клиентов.

7

В раскрывающемся меню выберите клиента, которого необходимо добавить.

8

Щелкните Добавить, и клиент будет добавлен в кластер.

9

Чтобы добавить в кластер несколько клиентов, повторите шаги 6–8.

10

После добавления клиентов щелкните Готово в нижней части экрана.

Дальнейшие действия

Чтобы завершить процесс настройки, запустите инструмент настройки HDS, как описано в разделе Создание главных ключей клиента (CMK) с помощью инструмента настройки HDS .

Создание главных ключей клиентов (CMK) с помощью инструмента настройки HDS

Перед началом работы

Назначьте клиентов в соответствующий кластер, как описано в разделе Добавление клиентских организаций в Partner Hub. Запустите инструмент настройки HDS, чтобы завершить процесс настройки вновь добавленных клиентских организаций.

  • Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора для вашей организации.

    Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.

    Описание

    Переменная

    HTTP-прокси без аутентификации

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-прокси без аутентификации

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-прокси с аутентификацией

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-прокси с аутентификацией

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Созданный файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. При внесении изменений в конфигурацию вам потребуется последняя копия этого файла. Например:

    • Учетные данные базы данных

    • Обновления сертификата

    • Изменения политики авторизации

  • При планировании шифрования соединений с базой данных настройте развертывание PostgreSQL или SQL Server для TLS.

Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.

1

Введите соответствующую команду для вашей среды в командной строке компьютера.

В обычных средах:

docker rmi ciscocitg/hds-setup:stable

В средах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать.

2

Чтобы войти в реестр образов Docker, введите следующее.

docker login -u hdscustomersro
3

Введите в запросе пароля этот хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Скачайте последнюю стабильную версию образа для вашей среды.

В обычных средах:

docker pull ciscocitg/hds-setup:stable

В средах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

По завершении скачивания введите соответствующую команду для вашей среды.

  • В обычных средах без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • В обычных средах с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В обычных средах с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В средах FedRAMP без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

6

Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу.

Перейдите к локальному узлу http://127.0.0.1:8080 с помощью веб-браузера и введите имя пользователя администратора для Partner Hub в окне подсказки.

Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартную подсказку для входа в систему.

7

При отображении соответствующего запроса введите учетные данные для входа администратора Partner Hub и щелкните Войти , чтобы разрешить доступ к необходимым службам для службы безопасности данных гибридного типа.

8

На странице обзора инструмента настройки щелкните Начало работы.

9

На странице Импорт ISO щелкните Да.

10

Выберите файл ISO в браузере и загрузите его.

Для выполнения управления CMK убедитесь в подключении к базе данных.
11

Перейдите на вкладку Управление CMK клиента , где можно найти три способа управления CMK клиента.

  • Создать CMK для всех ОРГАНИЗАЦИЙ или Создать CMK . Щелкните эту кнопку на баннере в верхней части экрана, чтобы создать CMK для всех вновь добавленных организаций.
  • Щелкните кнопку Управление CMK в правой части экрана и щелкните Создать CMK , чтобы создать CMK для всех вновь добавленных организаций.
  • Щелкните … рядом с состоянием рассмотрения управления CMK определенной организации в таблице и щелкните Создать CMK , чтобы создать CMK для этой организации.
12

После успешного создания CMK состояние в таблице изменится с Управление CMK рассматривается на Управление CMK.

13

В случае неудачного создания CMK отображается ошибка.

Удалить организации клиентов

Перед началом работы

После удаления пользователи клиентских организаций не смогут использовать HDS в целях шифрования, а все существующие пространства будут утрачены. Прежде чем удалить клиентские организации, обратитесь к своему партнеру Cisco или менеджеру по работе с клиентами.

1

Войдите в https://admin.webex.com.

2

В меню в левой части экрана выберите Службы.

3

В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Просмотреть все.

4

На вкладке Ресурсы щелкните кластер, из которого необходимо удалить клиентские организации.

5

На открывшейся странице щелкните Назначенные клиенты.

6

В списке отображаемых клиентских организаций щелкните ... в правой части клиентской организации, которую необходимо удалить, и щелкните Удалить из кластера.

Дальнейшие действия

Завершите процесс удаления, отозвав CMK клиентских организаций, как описано в статье Отозвать CMK клиентов, удаленных из HDS.

Отозвать CMK клиентов, удаленные из HDS.

Перед началом работы

Удалите клиентов из соответствующего кластера, как описано в разделе Удаление клиентских организаций. Запустите инструмент настройки HDS, чтобы завершить процесс удаления удаленных клиентских организаций.

  • Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора для вашей организации.

    Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.

    Описание

    Переменная

    HTTP-прокси без аутентификации

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-прокси без аутентификации

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-прокси с аутентификацией

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-прокси с аутентификацией

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Созданный файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. При внесении изменений в конфигурацию вам потребуется последняя копия этого файла. Например:

    • Учетные данные базы данных

    • Обновления сертификата

    • Изменения политики авторизации

  • При планировании шифрования соединений с базой данных настройте развертывание PostgreSQL или SQL Server для TLS.

Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.

1

Введите соответствующую команду для вашей среды в командной строке компьютера.

В обычных средах:

docker rmi ciscocitg/hds-setup:stable

В средах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать.

2

Чтобы войти в реестр образов Docker, введите следующее.

docker login -u hdscustomersro
3

Введите в запросе пароля этот хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Скачайте последнюю стабильную версию образа для вашей среды.

В обычных средах:

docker pull ciscocitg/hds-setup:stable

В средах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

По завершении скачивания введите соответствующую команду для вашей среды.

  • В обычных средах без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • В обычных средах с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В обычных средах с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В средах FedRAMP без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

6

Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу.

Перейдите к локальному узлу http://127.0.0.1:8080 с помощью веб-браузера и введите имя пользователя администратора для Partner Hub в окне подсказки.

Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартную подсказку для входа в систему.

7

При отображении соответствующего запроса введите учетные данные для входа администратора Partner Hub и щелкните Войти , чтобы разрешить доступ к необходимым службам для службы безопасности данных гибридного типа.

8

На странице обзора инструмента настройки щелкните Начало работы.

9

На странице Импорт ISO щелкните Да.

10

Выберите файл ISO в браузере и загрузите его.

11

Перейдите на вкладку Управление CMK клиента , где можно найти три способа управления CMK клиента.

  • Отозвать CMK для всех ОРГАНИЗАЦИЙ или Отозвать CMK . Щелкните эту кнопку на баннере в верхней части экрана, чтобы отозвать CMK всех удаленных организаций.
  • Щелкните кнопку Управление CMK в правой части экрана и щелкните Отозвать CMK , чтобы отозвать CMK всех удаленных организаций.
  • Щелкните рядом с состоянием CMK для отзыва определенной организации в таблице и щелкните Отозвать CMK , чтобы отозвать CMK для определенной организации.
12

После успешного отзыва CMK клиентская организация больше не будет отображаться в таблице.

13

Если отзыв CMK не выполнен, отображается ошибка.

Тестирование развертывания службы безопасности данных гибридного типа

Тестирование развертывания службы безопасности данных гибридного типа

Используйте эту процедуру для тестирования сценариев шифрования безопасности данных гибридного типа с несколькими клиентами.

Перед началом работы

  • Настройте развертывание службы безопасности данных гибридного типа с несколькими клиентами.

  • Убедитесь, что у вас есть доступ к системному журналу, чтобы проверить, передаются ли запросы ключей в развертывание системы безопасности данных гибридного типа с несколькими клиентами.

1

Ключи для определенного пространства задаются создателем пространства. Войдите в приложение Webex в качестве одного из пользователей клиентской организации и создайте пространство.

Если деактивировать развертывание безопасности данных гибридного типа, контент в пространствах, созданных пользователями, больше не будет доступен после замены кэшированных клиентом копий ключей шифрования.

2

Отправить сообщения в новое пространство.

3

Проверьте вывод системного журнала, чтобы убедиться, что запросы ключей передаются в развертывание службы безопасности данных гибридного типа.

  1. Чтобы проверить, установит ли пользователь защищенный канал в KMS сначала, выполните фильтр в kms.data.method=create и kms.data.type=EPHEMERAL_KEY_COLLECTION.

    Необходимо найти следующую запись (идентификаторы, сокращенные для удобства чтения):
    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Чтобы проверить, запрашивает ли пользователь существующий ключ из KMS, выполните фильтр в kms.data.method=retrieve и kms.data.type=KEY.

    Отобразится запись, аналогичная приведенной ниже.
    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Чтобы проверить, есть ли у пользователя запрос на создание нового ключа KMS, выполните фильтр в kms.data.method=create и kms.data.type=KEY_COLLECTION.

    Отобразится запись, аналогичная приведенной ниже.
    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Чтобы проверить, есть ли у пользователя запрос на создание нового объекта ресурса KMS (KRO) при создании пространства или другого защищенного ресурса, отфильтруйте kms.data.method=create и kms.data.type=RESOURCE_COLLECTION:

    Отобразится запись, аналогичная приведенной ниже. 
    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Мониторинг работоспособности службы безопасности данных гибридного типа

Индикатор состояния в партнерском центре показывает, все ли в порядке с развертыванием службы безопасности данных гибридного типа с несколькими клиентами. Для более упреждающих предупреждений зарегистрируйтесь для получения уведомлений по электронной почте. Вы будете уведомлены о появлении сигналов, влияющих на службу, или о модернизации программного обеспечения.
1

В Partner Hub в меню в левой части экрана выберите Службы .

2

В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Редактировать настройки.

Отобразится страница "Настройки безопасности данных гибридного типа".
3

В разделе "Электронные уведомления" введите один или несколько адресов электронной почты, разделяя их запятыми, и нажмите клавишу ввода.

Управление развертыванием HDS

Управление развертыванием HDS

Для управления развертыванием службы безопасности данных гибридного типа используйте описанные здесь задачи.

Настройка графика модернизации кластера

Модернизация программного обеспечения службы безопасности данных гибридного типа выполняется автоматически на уровне кластера, что гарантирует, что на всех узлах всегда запущена одна и та же версия программного обеспечения. Модернизация выполняется в соответствии с графиком модернизации кластера. Когда модернизация программного обеспечения становится доступной, можно вручную модернизировать кластер до запланированного времени модернизации. Можно задать конкретное расписание модернизации или использовать расписание по умолчанию: 3:00 (ежедневно в США). Америка/Лос-Анджелес. При необходимости можно также отложить предстоящую модернизацию.

Чтобы настроить график модернизации, выполните указанные ниже действия.

1

Войдите в Partner Hub.

2

В меню в левой части экрана выберите Службы.

3

В разделе "Облачные службы" найдите раздел "Безопасность данных гибридного типа" и щелкните Настройка.

4

На странице "Ресурсы безопасности данных гибридного типа" выберите кластер.

5

Щелкните вкладку Настройки кластера .

6

На странице настроек кластера в разделе "График модернизации" выберите время и часовой пояс для графика модернизации.

Примечание. В часовом поясе отображаются следующие доступные дата и время модернизации. При необходимости можно отложить модернизацию на следующий день, щелкнув Отложить на 24 часа.

Изменение конфигурации узла

Иногда может потребоваться изменить конфигурацию узла безопасности данных гибридного типа по одной из причин:

  • Изменение сертификатов x.509 по истечении срока действия или по другим причинам.

    Изменение доменного имени CN сертификата не поддерживается. Домен должен совпадать с исходным доменом, использованным для регистрации кластера.

  • Обновление настроек базы данных для работы с копией базы данных PostgreSQL или Microsoft SQL Server.

    Перенос данных с PostgreSQL на Microsoft SQL Server или в обратном направлении не поддерживается. Чтобы переключить среду базы данных, начните новое развертывание службы безопасности данных гибридного типа.

  • Создание новой конфигурации для подготовки нового центра обработки данных.

Из соображений безопасности для учетных записей в службе безопасности данных гибридного типа используются пароли со сроком действия 9 месяцев. После того как инструмент настройки HDS создаст эти пароли, вам нужно будет развернуть их в каждом из своих узлов HDS в файле конфигурации ISO. При приближении даты окончания срока действия пароля команда Webex пришлет вам уведомление с запросом на сброс пароля учетной записи компьютера. (В сообщении электронной почты будет текст "Использование API учетной записи компьютера для обновления пароля".) Если срок действия паролей еще не истек, средство предоставляет два варианта.

  • Мягкий сброс. Старые и новые пароли работают в течение 10 дней. Используйте этот период для постепенной замены файла ISO на узлах.

  • Принудительный сброс: старые пароли перестают работать немедленно.

Если срок действия ваших паролей истекает без сброса, это влияет на работу вашей службы HDS. В этом случае требуется немедленный жесткий сброс и замена файла ISO на всех узлах.

Используйте эту процедуру, чтобы создать новый файл конфигурации ISO и применить его к кластеру.

Прежде чем начать

  • Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора партнера.

    Если у вас нет лицензии на рабочий стол Docker, вы можете использовать рабочий стол Podman для запуска инструмента настройки HDS для выполнения шагов 1.a–1.e в процедуре ниже. Подробные сведения см. в статье Запуск инструмента настройки HDS с помощью рабочего стола Podman .

    Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker в 1.e. В этой таблице указаны некоторые из возможных переменных среды.

    Описание

    Переменная

    HTTP-прокси без аутентификации

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-прокси без аутентификации

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-прокси с аутентификацией

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-прокси с аутентификацией

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Для создания новой конфигурации потребуется копия текущего файла конфигурации ISO. Файл ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. Файл ISO необходим для изменения конфигурации, в том числе учетных данных базы данных, обновления сертификатов или изменения политики авторизации.

1

Запустите инструмент настройки HDS, используя Docker на локальной машине.

  1. Введите соответствующую команду для вашей среды в командной строке компьютера.

    В обычных средах:

    docker rmi ciscocitg/hds-setup:stable

    В средах FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать.

  2. Чтобы войти в реестр образов Docker, введите следующее.

    docker login -u hdscustomersro

  3. Введите в запросе пароля этот хеш:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Скачайте последнюю стабильную версию образа для вашей среды.

    В обычных средах:

    docker pull ciscocitg/hds-setup:stable

    В средах FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Обязательно скачайте для этой процедуры последнюю версию инструмента настройки. В версиях инструмента, созданных до 22 февраля 2018 г., нет экранов сброса пароля.

  5. По завершении скачивания введите соответствующую команду для вашей среды.

    • В обычных средах без прокси:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • В обычных средах с HTTP-прокси:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • В обычных средах с HTTPS-прокси:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • В средах FedRAMP без прокси:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • В средах FedRAMP с HTTP-прокси:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • В средах FedRAMP с HTTPS-прокси:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

  6. Используйте браузер для подключения к localhost, http://127.0.0.1:8080.

    Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу.

  7. При отображении соответствующего запроса введите учетные данные для входа клиента партнерского центра и щелкните Принять , чтобы продолжить.

  8. Импортируйте текущий файл конфигурации ISO.

  9. Следуйте подсказкам, чтобы завершить работу с инструментом и скачать обновленный файл.

    Чтобы выключить инструмент настройки, введите CTRL+C.

  10. Создайте резервную копию обновленного файла в другом центре обработки данных.

2

Если у вас запущен только один узел HDS, создайте новую виртуальную машину узла безопасности данных гибридного типа и зарегистрируйте ее с помощью нового файла конфигурации ISO. Более подробные инструкции см. в статье Создание и регистрация дополнительных узлов.

  1. Установите OVA узла HDS.

  2. Настройте виртуальную машину HDS.

  3. Подключите обновленный файл конфигурации.

  4. Зарегистрируйте новый узел в Partner Hub.

3

Для существующих узлов HDS, в которых используется старый файл конфигурации, необходимо установить файл ISO. Выполните следующую процедуру для каждого узла по очереди, обновив каждый узел до выключения следующего узла.

  1. Выключите виртуальную машину.

  2. На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры.

  3. Щелкните CD/DVD Drive 1, выберите параметр подключения из файла ISO и перейдите в расположение, в котором был скачан новый файл конфигурации ISO.

  4. Установите флажок Соединять при включении.

  5. Сохраните изменения и включите виртуальную машину.

4

Повторите шаг 3, чтобы заменить конфигурацию на каждом оставшемся узле со старой конфигурацией.

Отключение режима блокировки разрешения внешних DNS

При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. Если DNS-сервер узла не может разрешать общедоступные имена DNS, узел автоматически переходит в режим блокировки разрешения внешних DNS.

Если узлы могут разрешать общедоступные имена DNS через внутренние DNS-серверы, можно отключить этот режим, повторно запустив тестирование подключения к прокси на каждом узле.

Перед началом работы

Убедитесь в том, что внутренние DNS-серверы могут разрешать общедоступные имена DNS и ваши узлы могут обмениваться данными с ними.
1

В веб-браузере откройте интерфейс узла безопасности данных гибридного типа (например, IP-адрес или настройка) https://192.0.2.0/setup), введите учетные данные администратора, настроенные для узла, и щелкните Войти.

2

Перейдите к разделу Overview (Обзор) (страница по умолчанию).

Если режим включен, параметр Blocked External DNS Resolution (Блокировка разрешения внешних DNS) должен иметь значение Yes (Да).

3

Перейдите на страницу Trust Store & Proxy (Зона доверия и прокси).

4

Щелкните Check Proxy Connection (Проверить соединение с прокси).

Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу и он останется в этом режиме. В противном случае после перезапуска узла и возврата на страницу Overview (Обзор) параметр блокировки разрешения внешних DNS должен иметь значение No (Нет).

Дальнейшие действия

Повторите тестирование соединения с прокси для каждого узла кластера безопасности данных гибридного типа.

Удаление узла

Используйте эту процедуру для удаления узла безопасности данных гибридного типа из облака Webex. После удаления узла из кластера удалите виртуальную машину, чтобы предотвратить дальнейший доступ к данным безопасности.
1

С помощью клиента VMware vSphere на компьютере можно войти в виртуальный хост ESXi и выключить виртуальную машину.

2

Удалить узел:

  1. Войдите в Partner Hub и выберите Службы.

  2. На карточке безопасности данных гибридного типа щелкните Просмотреть все , чтобы отобразить страницу ресурсов безопасности данных гибридного типа.

  3. Выберите кластер, чтобы отобразить его панель "Обзор".

  4. Щелкните узел, который необходимо удалить.

  5. Щелкните Отменить регистрацию этого узла на панели справа.

  6. Кроме того, чтобы отменить регистрацию узла, щелкните ... в правой части узла и выберите Удалить этот узел.

3

В клиенте vSphere удалите виртуальную машину. (На панели навигации слева щелкните виртуальную машину правой кнопкой мыши и щелкните Удалить.)

Если виртуальная машина не удалена, не забудьте отсоединить файл конфигурации ISO. Без файла ISO вы не сможете использовать виртуальную машину для доступа к данным безопасности.

Аварийное восстановление с помощью центра обработки данных в режиме ожидания

Наиболее важной службой, предоставляемой кластером безопасности данных гибридного типа, является создание и хранение ключей, используемых для шифрования сообщений и другого контента, хранящегося в облаке Webex. Для каждого пользователя в организации, назначенного службе безопасности данных гибридного типа, запросы на создание нового ключа маршрутизируются в кластер. Кластер также отвечает за возврат созданных им ключей всем пользователям, авторизованным для их извлечения, например участникам пространства для разговора.

Поскольку кластер выполняет критически важную функцию предоставления этих ключей, необходимо, чтобы кластер продолжал работать и чтобы поддерживались соответствующие резервные копии. Потеря базы данных безопасности данных гибридного типа или конфигурации ISO, используемой для схемы, приведет к НЕОБРАТИМОЙ ПОТЕРЕ контента клиента. Для предотвращения таких потерь необходимо выполнить следующие действия:

Если из-за аварии развертывание HDS в основном центре обработки данных становится недоступным, выполните эту процедуру, чтобы вручную переключиться на резервный центр обработки данных.

Перед началом работы

Отмените регистрацию всех узлов из Partner Hub, как указано в разделе Удаление узла. Для выполнения указанной ниже процедуры отработки отказа используйте последний файл ISO, настроенный против узлов ранее активного кластера.
1

Запустите инструмент настройки HDS и выполните действия, указанные в разделе Создание ISO конфигурации для узлов HDS.

2

Завершите процесс настройки и сохраните файл ISO в удобном для поиска месте.

3

Сделайте резервную копию файла ISO в локальной системе. Обеспечьте безопасность резервного копирования. Этот файл содержит главный ключ шифрования для содержимого базы данных. Ограничьте доступ только тем администраторам службы безопасности данных гибридного типа, которые должны вносить изменения в конфигурацию.

4

На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры.

5

Щелкните Редактировать настройки >Диск CD/DVD 1 и выберите Файл хранилища данных ISO.

Убедитесь, что установлены флажки Подключено и Подключиться при включении , чтобы обновленные изменения конфигурации вступили в силу после запуска узлов.

6

Включите узел HDS и убедитесь, что сигналы отсутствуют в течение не менее 15 минут.

7

Зарегистрируйте узел в партнерском центре. См. статью Регистрация первого узла в кластере.

8

Повторите процесс для каждого узла в центре обработки данных в режиме ожидания.

Дальнейшие действия

Если после отказа основной центр обработки данных снова становится активным, отмените регистрацию узлов резервного центра обработки данных и повторите процесс настройки ISO и регистрации узлов основного центра обработки данных, как указано выше.

(Необязательно) Отсоедините ISO после настройки HDS

Стандартная конфигурация HDS выполняется с установленным ISO. Однако некоторые клиенты предпочитают не оставлять файлы ISO постоянно монтированными. После того как все узлы HDS примут новую конфигурацию, можно отсоединить файл ISO.

Для изменения конфигурации по-прежнему используются файлы ISO. При создании нового ISO или обновлении ISO с помощью инструмента настройки необходимо установить обновленный ISO на всех узлах HDS. С помощью этой процедуры можно снова отключить ISO, после того как все узлы примут изменения конфигурации.

Перед началом работы

Модернизируйте все свои узлы HDS до версии 2021.01.22.4720 или более поздней.

1

Закройте один из своих узлов HDS.

2

В vCenter Server Appliance выберите узел HDS.

3

Выберите Редактировать настройки > Привод CD/DVD и снимите флажок Файл хранилища данных ISO.

4

Включите узел HDS и убедитесь, что сигналы отсутствуют в течение не менее 20 минут.

5

Повторите эту процедуру для каждого узла HDS по очереди.

Устранение неполадок службы безопасности данных гибридного типа

Просмотр предупреждений и устранение неполадок

Развертывание службы безопасности данных гибридного типа считается недоступным, если все узлы в кластере недоступны или кластер работает настолько медленно, что истекло время ожидания. Если пользователи не могут подключиться к кластеру безопасности данных гибридного типа, у них будут следующие симптомы:

  • Не удается создать новые пространства (не удается создать новые ключи)

  • Не удалось расшифровать сообщения и заголовки пространств для:

    • Новые пользователи, добавленные в пространство (невозможно получить ключи)

    • Существующие пользователи в пространстве, использующие новый клиент (не удается получить ключи)

  • Существующие пользователи в пространстве будут продолжать успешно работать, пока в их клиентах будет сохранен кэш ключей шифрования

Важно надлежащим образом отслеживать кластер безопасности данных гибридного типа и своевременно реагировать на все предупреждения во избежание перебоев в работе службы.

Предупреждения

При возникновении проблем с настройкой безопасности данных гибридного типа партнерский центр отображает предупреждения администратору организации и отправляет электронные сообщения на настроенный адрес электронной почты. Предупреждения охватывают многие распространенные сценарии.

Таблица 1. Общие проблемы и действия по их устранению

Предупреждать

Действие

Ошибка доступа к локальной базе данных.

Проверьте наличие ошибок базы данных или проблем локальной сети.

Сбой подключения к локальной базе данных.

Убедитесь в доступности сервера базы данных и использовании правильных учетных данных учетной записи службы в конфигурации узла.

Сбой доступа к облачной службе.

Убедитесь, что узлы могут получить доступ к серверам Webex, как указано в разделе Требования к внешнему подключению.

Обновление регистрации облачной службы.

Регистрация в облачных службах прервана. Выполняется возобновление регистрации.

Регистрация для облачной службы прервана.

Регистрация в облачных службах прервана. Служба выключена.

Служба еще не активирована.

Активируйте HDS в партнерском центре.

Настроенный домен не соответствует сертификату сервера.

Убедитесь, что сертификат сервера соответствует настроенному домену активации службы.

Наиболее вероятная причина заключается в том, что CN сертификата недавно был изменен и теперь отличается от CN, использованного во время начальной настройки.

Не удалось выполнить аутентификацию в облачных службах.

Проверьте точность и возможный срок действия учетных данных службы.

Не удалось открыть файл локального хранилища ключей.

Проверка целостности и точности пароля в файле локального хранилища ключей.

Недействительный сертификат локального сервера.

Проверьте дату истечения срока действия сертификата сервера и убедитесь, что он был выдан доверенным центром сертификации.

Не удается опубликовать метрики.

Проверьте доступ локальной сети к внешним облачным службам.

Каталог /media/configdrive/hds не существует.

Проверьте конфигурацию подключения ISO на виртуальном хосте. Проверьте, существует ли файл ISO, настроен ли он для подключения при перезагрузке и успешно ли установлен.

Настройка организации клиента не завершена для добавленных организаций

Завершите настройку, создав CMK для вновь добавленных клиентских организаций с помощью инструмента настройки HDS.

Настройка организации клиента не завершена для удаленных организаций

Завершите настройку, отозвав CMK клиентских организаций, которые были удалены с помощью инструмента настройки HDS.

Устранение неполадок службы безопасности данных гибридного типа

При устранении неполадок со службой безопасности данных гибридного типа используйте приведенные ниже общие рекомендации.
1

Просмотрите в Partner Hub все предупреждения и исправьте все элементы, найденные в нем. Для справки см. изображение ниже.

2

Проверьте вывод сервера системных журналов для активности из развертывания службы безопасности данных гибридного типа. Используйте фильтр для таких слов, как "Предупреждение" и "Ошибка", чтобы помочь в устранении неполадок.

3

Обратитесь в службу поддержки Cisco.

Другие примечания

Известные проблемы безопасности данных гибридного типа

  • Если вы выключите кластер безопасности данных гибридного типа (удалив его в партнерском центре или выключив все узлы), потеряете файл конфигурации ISO или потеряете доступ к базе данных хранилища ключей, пользователи приложения Webex клиентских организаций больше не смогут использовать пространства в списке пользователей, созданных с помощью ключей из KMS. В настоящий момент для устранения этой проблемы нет обходного решения или решения. Мы настоятельно призываем вас не выключать службы HDS после обработки активных учетных записей пользователей.

  • Клиент с существующим подключением ECDH к KMS поддерживает это соединение в течение периода времени (вероятно, один час).

Запуск инструмента настройки HDS с помощью рабочего стола Podman

Podman — это бесплатный инструмент управления контейнерами с открытым исходным кодом, который предоставляет способ запуска, управления и создания контейнеров. Рабочий стол Podman можно скачать из https://podman-desktop.io/downloads.

  • Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ к нему, скачайте и запустите Podman на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Control Hub с полными правами администратора вашей организации.

    Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.

    Описание

    Переменная

    HTTP-прокси без аутентификации

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-прокси без аутентификации

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-прокси с аутентификацией

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-прокси с аутентификацией

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Созданный файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. При внесении изменений в конфигурацию вам потребуется последняя копия этого файла. Например:

    • Учетные данные базы данных

    • Обновления сертификата

    • Изменения политики авторизации

  • При планировании шифрования соединений с базой данных настройте развертывание PostgreSQL или SQL Server для TLS.

Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.

1

Введите соответствующую команду для вашей среды в командной строке компьютера.

В обычных средах:

podman rmi ciscocitg/hds-setup:stable

В средах FedRAMP:

podman rmi ciscocitg/hds-setup-fedramp:stable

На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать.

2

Чтобы войти в реестр образов Docker, введите следующее.

podman login docker.io -u hdscustomersro
3

Введите в запросе пароля этот хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Скачайте последнюю стабильную версию образа для вашей среды.

В обычных средах:

podman pull ciscocitg/hds-setup:stable

В средах FedRAMP:

podman pull ciscocitg/hds-setup-fedramp:stable
5

По завершении скачивания введите соответствующую команду для вашей среды.

  • В обычных средах без прокси:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • В обычных средах с HTTP-прокси:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В обычных средах с HTTPS-прокси:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В средах FedRAMP без прокси:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTP-прокси:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTPS-прокси:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

Дальнейшие действия

Чтобы создать или изменить конфигурацию ISO, выполните оставшиеся шаги в разделах Создание конфигурации ISO для узлов HDS или Изменение конфигурации узла .

Использование OpenSSL для создания файла PKCS12

Перед началом работы

  • OpenSSL — это один из инструментов, который можно использовать для создания файла PKCS12 в соответствующем формате для загрузки в инструменте настройки HDS. Есть и другие способы сделать это, и мы не поддерживаем и не продвигаем друг друга.

  • Если вы решите использовать OpenSSL, мы предоставляем эту процедуру в качестве руководства для создания файла, который соответствует требованиям сертификата X.509 в разделе Требования к сертификату X.509. Прежде чем продолжить, ознакомьтесь с этими требованиями.

  • Установите OpenSSL в поддерживаемой среде. Информацию о программном обеспечении и документации см. в разделе https://www.openssl.org .

  • Создайте закрытый ключ.

  • Начните эту процедуру при получении сертификата сервера от центра сертификации (ЦС).

1

При получении сертификата сервера от ЦС сохраните его как hdsnode.pem.

2

Отобразите сертификат в виде текста и проверьте сведения.

openssl x509 -text -noout -in hdsnode.pem

3

Используйте текстовый редактор, чтобы создать файл пакета сертификатов под названием hdsnode-bundle.pem. Пакетный файл должен включать сертификат сервера, все промежуточные сертификаты ЦС и корневые сертификаты ЦС в следующем формате:

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----

4

Создайте файл .p12 с подходящим именем kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Проверьте сведения о сертификате сервера.

  1. openssl pkcs12 -in hdsnode.p12

  2. Введите пароль в окне запроса для шифрования закрытого ключа, чтобы он отображался в выводе. Затем убедитесь, что закрытый ключ и первый сертификат включают линии friendlyName: kms-private-key.

    Пример:

    bash$ openssl pkcs12 -in hdsnode.p12
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
Key Attributes: 
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----

-----END ENCRYPTED PRIVATE KEY-----
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
subject=/CN=hds1.org6.portun.us
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
Bag Attributes
    friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

Дальнейшие действия

Вернитесь к разделу Выполнение предварительных требований для безопасности данных гибридного типа. Вы будете использовать hdsnode.p12 файл и заданный для него пароль в разделе Создание конфигурации ISO для узлов HDS.

Эти файлы можно повторно использовать для запроса нового сертификата по истечении срока действия исходного сертификата.

Трафик между узлами HDS и облаком

Трафик сбора исходящих метрик

Узлы безопасности данных гибридного типа отправляют определенные метрики в облако Webex. К ним относятся системные метрики максимального количества подключений, использования максимального количества подключений, загрузки ЦП и количества потоков; метрики синхронных и асинхронных потоков; метрики оповещений о пороговом значении соединений шифрования, задержки или длины очереди запросов; метрики хранилища данных; и метрики подключения шифрования. Узлы отправляют зашифрованный ключ-материал по внеполосному каналу (отдельному от запроса).

Входящий трафик

Узлы безопасности данных гибридного типа получают из облака Webex следующие типы входящего трафика:

  • Запросы на шифрование от клиентов, которые маршрутизируются службой шифрования

  • Модернизация программного обеспечения узла

Настройка прокси Squid для безопасности данных гибридного типа

Невозможно выполнить подключение веб-сокетов через прокси Squid

Прокси Squid, которые проверяют трафик HTTPS, могут мешать созданию соединений веб-сокетов (wss:), которые требуются службе безопасности данных гибридного типа. В этих разделах приведены рекомендации по настройке различных версий Squid для игнорирования wss: трафика для надлежащей работы служб.

Squid 4 и 5

Добавьте on_unsupported_protocol директиву в squid.conf.

on_unsupported_protocol tunnel all

Squid 3.5.27

Служба безопасности данных гибридного типа успешно протестирована с приведенными ниже правилами, добавленными в squid.conf. Эти правила могут изменяться по мере разработки функций и обновления облака Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Новая и измененная информация

Новая и измененная информация

В этой таблице описаны новые функции или возможности, изменения существующего контента и любые серьезные ошибки, которые были исправлены в Руководстве по развертыванию многопользовательской гибридной системы безопасности данных.

Дата

Изменения внесены

08 мая 2025 г.
04 марта 2025 г.

30 января 2025 г.

В список поддерживаемых серверов SQL в Требования к серверу базы данныхдобавлен сервер SQL версии 2022.

15 января 2025 г.

Добавлены Ограничения многопользовательской гибридной безопасности данных.

08 января 2025 г.

Добавлено примечание в Выполнение первоначальной настройки и загрузка установочных файлов, в котором указано, что нажатие Настроить на карте HDS в Partner Hub является важным шагом процесса установки.

07 января 2025 г.

Обновлены Требования к виртуальному хосту, Поток задач развертывания гибридной системы безопасности данныхи Установка OVA хоста HDS, чтобы отобразить новые требования ESXi 7.0.

13 декабря 2024 г.

Впервые опубликовано.

Деактивировать многопользовательскую гибридную защиту данных

Поток задач деактивации многопользовательского HDS

Чтобы полностью деактивировать Multi-Tenant HDS, выполните следующие действия.

Прежде чем начать

Эту задачу должен выполнять только полноправный администратор партнера.
1

Удалите всех клиентов из всех ваших кластеров, как указано в Удаление организаций-арендаторов.

2

Отозвать CMK всех клиентов, как указано в Отозвать CMK арендаторов, удаленных из HDS..

3

Удалите все узлы из всех кластеров, как указано в Удаление узла.

4

Удалите все свои кластеры из Partner Hub, используя один из следующих двух методов.

  • Нажмите на кластер, который вы хотите удалить, и выберите Удалить этот кластер в правом верхнем углу страницы обзора.
  • На странице «Ресурсы» нажмите … справа от кластера и выберите Удалить кластер.
5

Нажмите на вкладку Настройки на странице обзора гибридной безопасности данных и нажмите Деактивировать HDS на карточке состояния HDS.

Начните работу с многопользовательской гибридной системой безопасности данных

Обзор многопользовательской гибридной безопасности данных

С самого начала при разработке приложения Webex основное внимание уделялось безопасности данных. Краеугольным камнем этой безопасности является сквозное шифрование контента, которое обеспечивается клиентами приложения Webex, взаимодействующими со службой управления ключами (KMS). KMS отвечает за создание и управление криптографическими ключами, которые используются клиентами для динамического шифрования и расшифровки сообщений и файлов.

По умолчанию все клиенты приложения Webex получают сквозное шифрование с динамическими ключами, хранящимися в облачной системе KMS в сфере безопасности Cisco. Служба безопасности данных гибридного типа перемещает KMS и другие функции безопасности в корпоративный центр обработки данных, поэтому доступ к ключам для зашифрованного контента будет только у вас.

Многопользовательская гибридная защита данных позволяет организациям использовать HDS через доверенного локального партнера, который может выступать в качестве поставщика услуг и управлять локальным шифрованием и другими службами безопасности. Такая настройка позволяет партнерской организации иметь полный контроль над развертыванием и управлением ключами шифрования, а также обеспечивает защиту пользовательских данных организаций-клиентов от внешнего доступа. Партнерские организации настраивают экземпляры HDS и создают кластеры HDS по мере необходимости. Каждый экземпляр может поддерживать несколько организаций-клиентов, в отличие от обычного развертывания HDS, которое ограничено одной организацией.

Хотя партнерские организации контролируют развертывание и управление, у них нет доступа к данным и контенту, созданным клиентами. Этот доступ ограничен организациями-клиентами и их пользователями.

Это также позволяет небольшим организациям использовать HDS, поскольку служба управления ключами и инфраструктура безопасности, такая как центры обработки данных, принадлежат доверенному локальному партнеру.

Как многопользовательская гибридная система безопасности данных обеспечивает суверенитет данных и контроль над ними

  • Пользовательский контент защищен от внешнего доступа, например от поставщиков облачных сервисов.
  • Местные доверенные партнеры управляют ключами шифрования клиентов, с которыми у них уже установлены налаженные отношения.
  • Возможность получения локальной технической поддержки, если она предоставляется партнером.
  • Поддерживает контент встреч, обмена сообщениями и звонков.

Целью настоящего документа является оказание помощи партнерским организациям в настройке и управлении клиентами в рамках многопользовательской гибридной системы безопасности данных.

Ограничения многопользовательской гибридной безопасности данных

  • У организаций-партнеров не должно быть активных развертываний HDS в Control Hub.
  • Организации арендаторов или клиентов, желающие, чтобы ими управлял партнер, не должны иметь никаких существующих развертываний HDS в Control Hub.
  • После развертывания партнером Multi-Tenant HDS все пользователи организаций-клиентов, а также пользователи организации-партнера начинают использовать Multi-Tenant HDS для своих служб шифрования.

    Партнерская организация и организации-клиенты, которыми они управляют, будут использовать одну и ту же многопользовательскую среду HDS.

    Партнерская организация больше не будет использовать облачный KMS после развертывания Multi-Tenant HDS.

  • Механизма переноса ключей обратно в Cloud KMS после развертывания HDS не предусмотрено.
  • В настоящее время каждое развертывание Multi-Tenant HDS может иметь только один кластер с несколькими узлами в нем.
  • Роли администратора имеют определенные ограничения; подробности см. в разделе ниже.

Роли в многопользовательской гибридной безопасности данных

  • Партнер с полными правами администратора — Может управлять настройками для всех клиентов, которыми управляет партнер. Также может назначать роли администратора существующим пользователям в организации и назначать определенных клиентов, которыми будут управлять администраторы партнера.
  • Администратор партнера — Может управлять настройками для клиентов, предоставленных администратором или назначенных пользователю.
  • Полный администратор — администратор партнерской организации, уполномоченный выполнять такие задачи, как изменение настроек организации, управление лицензиями и назначение ролей.
  • Сквозная настройка многопользовательской HDS-системы и управление всеми организациями клиентов - Требуются права полного администратора и полного администратора для партнера.
  • Управление назначенными организациями арендаторов - требуются права администратора-партнера и полные права администратора.

Архитектура сферы безопасности

Облачная архитектура Webex разделяет различные типы сервисов на отдельные области или домены доверия, как показано ниже.

Разделение сфер (без гибридной защиты данных)

Чтобы лучше понять гибридную безопасность данных, давайте сначала рассмотрим чисто облачный случай, в котором Cisco предоставляет все функции в своих облачных средах. Служба идентификации, единственное место, где пользователи могут быть напрямую соотнесены с их личной информацией, такой как адрес электронной почты, логически и физически отделена от области безопасности в центре обработки данных B. В свою очередь, обе они отделены от области, где в конечном итоге хранится зашифрованный контент, в центре обработки данных C.

На этой схеме клиентом является приложение Webex, работающее на ноутбуке пользователя и прошедшее аутентификацию в службе идентификации. Когда пользователь составляет сообщение для отправки в пространство, выполняются следующие шаги:

  1. Клиент устанавливает защищенное соединение со службой управления ключами (KMS), затем запрашивает ключ для шифрования сообщения. Защищенное соединение использует ECDH, а KMS шифрует ключ с помощью главного ключа AES-256.

  2. Сообщение шифруется перед отправкой клиенту. Клиент отправляет его в службу индексирования, которая создает зашифрованные поисковые индексы для облегчения будущих поисков контента.

  3. Зашифрованное сообщение отправляется в службу соответствия для проверки соответствия.

  4. Зашифрованное сообщение сохраняется в области хранения.

При развертывании гибридной системы безопасности данных вы переносите функции безопасности (KMS, индексирование и соответствие) в локальный центр обработки данных. Другие облачные сервисы, входящие в состав Webex (включая хранилище идентификаторов и контента), остаются в ведении Cisco.

Сотрудничество с другими организациями

Пользователи в вашей организации могут регулярно использовать приложение Webex для совместной работы с внешними участниками в других организациях. Когда один из ваших пользователей запрашивает ключ для пространства, принадлежащего вашей организации (поскольку оно было создано одним из ваших пользователей), ваша KMS отправляет ключ клиенту по защищенному каналу ECDH. Однако если ключом к пространству владеет другая организация, ваша KMS направляет запрос в облако Webex через отдельный канал ECDH для получения ключа от соответствующей KMS, а затем возвращает ключ вашему пользователю по исходному каналу.

Служба KMS, работающая в организации A, проверяет подключения к KMS в других организациях, используя сертификаты x.509 PKI. Подробную информацию о создании сертификата x.509 для использования с вашим развертыванием многопользовательской гибридной системы безопасности данных см. в разделе Подготовка среды.

Ожидания от развертывания гибридной системы безопасности данных

Развертывание гибридной системы безопасности данных требует значительной приверженности и понимания рисков, связанных с владением ключами шифрования.

Для развертывания гибридной защиты данных необходимо предоставить:

  • Защищенный центр обработки данных в стране, которая является поддерживаемым местоположением для планов Cisco Webex Teams.

  • Оборудование, программное обеспечение и сетевой доступ, описанные в разделе Подготовка среды.

Полная потеря либо ISO-образа конфигурации, который вы создаете для гибридной безопасности данных, либо предоставленной вами базы данных приведет к потере ключей. Потеря ключа не позволяет пользователям расшифровывать контент пространства и другие зашифрованные данные в приложении Webex. Если это произойдет, вы можете создать новое развертывание, но виден будет только новый контент. Чтобы избежать потери доступа к данным, необходимо:

  • Управляйте резервным копированием и восстановлением базы данных и ISO-образа конфигурации.

  • Будьте готовы выполнить быстрое аварийное восстановление в случае возникновения катастрофы, например, отказа диска базы данных или аварии центра обработки данных.

Механизма перемещения ключей обратно в облако после развертывания HDS не предусмотрено.

Процесс настройки высокого уровня

В этом документе описывается настройка и управление развертыванием многопользовательской гибридной системы безопасности данных:

  • Настройка гибридной защиты данных— сюда входит подготовка необходимой инфраструктуры и установка программного обеспечения гибридной защиты данных, построение кластера HDS, добавление организаций-арендаторов в кластер и управление их основными ключами клиентов (CMK). Это позволит всем пользователям ваших организаций-клиентов использовать ваш кластер гибридной безопасности данных для выполнения функций безопасности.

    Фазы настройки, активации и управления подробно рассматриваются в следующих трех главах.

  • Поддерживайте развертывание гибридной системы безопасности данных— Облако Webex автоматически предоставляет постоянные обновления. Ваш ИТ-отдел может обеспечить поддержку первого уровня для этого развертывания и при необходимости обратиться за поддержкой Cisco. В Partner Hub вы можете использовать уведомления на экране и настраивать оповещения по электронной почте.

  • Ознакомьтесь с распространенными оповещениями, шагами по устранению неполадок и известными проблемами— Если у вас возникли проблемы при развертывании или использовании гибридной защиты данных, последняя глава этого руководства и приложение «Известные проблемы» могут помочь вам определить и устранить проблему.

Гибридная модель развертывания безопасности данных

В вашем корпоративном центре обработки данных вы развертываете гибридную систему безопасности данных как единый кластер узлов на отдельных виртуальных хостах. Узлы взаимодействуют с облаком Webex через защищенные веб-сокеты и защищенный HTTP.

В процессе установки мы предоставляем вам OVA-файл для настройки виртуального устройства на предоставленных вами виртуальных машинах. С помощью инструмента настройки HDS вы создаете ISO-файл конфигурации кластера, который монтируете на каждом узле. Кластер гибридной безопасности данных использует предоставленный вами сервер Syslogd и базу данных PostgreSQL или Microsoft SQL Server. (Настройка Syslogd и параметров подключения к базе данных выполняется в инструменте настройки HDS.)

Гибридная модель развертывания безопасности данных

Минимальное количество узлов в кластере — два. Мы рекомендуем не менее трех на кластер. Наличие нескольких узлов гарантирует, что обслуживание не будет прерываться во время обновления программного обеспечения или других работ по техническому обслуживанию на узле. (Облако Webex обновляет только один узел за раз.)

Все узлы в кластере имеют доступ к одному и тому же хранилищу ключевых данных и регистрируют активность на одном и том же сервере системного журнала. Сами узлы не имеют состояния и обрабатывают ключевые запросы по принципу циклического перебора в соответствии с указаниями облака.

Узлы становятся активными после их регистрации в Partner Hub. Чтобы вывести отдельный узел из эксплуатации, вы можете отменить его регистрацию, а затем при необходимости зарегистрировать его повторно.

Резервный центр обработки данных для аварийного восстановления

Во время развертывания вы создаете безопасный резервный центр обработки данных. В случае аварии в центре обработки данных вы можете вручную перенести развертывание в резервный центр обработки данных.

Перед аварийным переключением центр обработки данных A имеет активные узлы HDS и основную базу данных PostgreSQL или Microsoft SQL Server, а центр обработки данных B имеет копию ISO-файла с дополнительными конфигурациями, виртуальные машины, зарегистрированные в организации, и резервную базу данных. После аварийного переключения в центре обработки данных B имеются активные узлы HDS и основная база данных, а в центре обработки данных A имеются незарегистрированные виртуальные машины и копия файла ISO, а база данных находится в режиме ожидания.
Ручное переключение на резервный центр обработки данных

Базы данных активного и резервного центров обработки данных синхронизированы друг с другом, что позволяет минимизировать время, необходимое для выполнения аварийного переключения.

Активные узлы гибридной защиты данных всегда должны находиться в том же центре обработки данных, что и активный сервер базы данных.

Поддержка прокси

Служба безопасности данных гибридного типа поддерживает явные прокси, прозрачные прокси с проверкой и прокси без проверки. Чтобы обеспечить защиту и мониторинг трафика из сети предприятия в облако, можно связать эти прокси с развертыванием. После настройки прокси на узлах административный интерфейс платформы на узлах можно использовать для управления сертификатами и просмотра общего состояния соединений.

Узлы безопасности данных гибридного типа поддерживают указанные далее параметры прокси.

  • Без прокси— по умолчанию, если вы не используете настройку узла HDS Trust Store & Конфигурация прокси для интеграции прокси. Обновление сертификата не требуется.

  • Прозрачный непроверяющий прокси-сервер— Узлы не настроены на использование определенного адреса прокси-сервера и не должны требовать никаких изменений для работы с непроверяющим прокси-сервером. Обновление сертификата не требуется.

  • Прозрачное туннелирование или проверка прокси-сервера— Узлы не настроены на использование определенного адреса прокси-сервера. На узлах не нужно изменять конфигурацию HTTP или HTTPS. Как бы то ни было, для обеспечения доверия прокси узлам необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже HTTPS).

  • Явный прокси— При использовании явного прокси вы указываете узлам HDS, какой прокси-сервер и схему аутентификации использовать. Для настройки явного прокси на каждом узле нужно ввести следующую информацию.

    1. Прокси IP/FQDN— Адрес, который можно использовать для доступа к прокси-машине.

    2. Порт прокси-сервера— номер порта, который прокси-сервер использует для прослушивания прокси-трафика.

    3. Протокол прокси-сервера— В зависимости от того, что поддерживает ваш прокси-сервер, выберите один из следующих протоколов:

      • HTTP – просматривает все запросы, отправляемые клиентом, и управляет этими запросами.

      • HTTPS – обеспечивает работу канала связи с сервером. Клиент получает и проверяет сертификат сервера.

    4. Тип аутентификации— Выберите один из следующих типов аутентификации:

      • Нет— Дальнейшая аутентификация не требуется.

        Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.

      • Базовый— используется для предоставления HTTP-агенту пользователя имени пользователя и пароля при выполнении запроса. Использует кодировку Base64.

        Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.

        Требует ввода имени пользователя и пароля на каждом узле.

      • Дайджест— используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети.

        Этот параметр доступен только в том случае, если в качестве протокола прокси выбран протокол HTTPS.

        Требует ввода имени пользователя и пароля на каждом узле.

Пример узлов безопасности данных гибридного типа и прокси

На этой схеме представлен пример соединения между системой безопасности данных гибридного типа, сетью и прокси. При использовании прозрачного прокси с проверкой или явного прокси с проверкой HTTPS на прокси и узлы безопасности данных гибридного типа необходимо установить один и тот же корневой сертификат.

Режим блокировки разрешения внешних DNS (конфигурации явного прокси)

При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. В развертываниях с конфигурациями явного прокси, которые не допускают разрешения внешних DNS для внутренних клиентов, если узел не может посылать запросы на DNS-серверы, он автоматически переходит в режим блокировки разрешения внешних DNS. В этом режиме можно продолжить регистрацию узла и другие тестирования подключения к прокси.

Подготовка среды

Требования к безопасности многопользовательских гибридных данных

Требования к лицензии Cisco Webex

Для развертывания многопользовательской гибридной системы безопасности данных:

  • Партнерские организации: Обратитесь к своему партнеру Cisco или менеджеру по работе с клиентами и убедитесь, что функция Multi-Tenant включена.

  • Организации арендаторов: У вас должен быть Pro Pack для Cisco Webex Control Hub. См. https://www.cisco.com/go/pro-pack.

Требования к рабочему столу Docker

Перед установкой узлов HDS вам понадобится Docker Desktop для запуска программы установки. Недавно Docker обновил свою модель лицензирования. Для вашей организации может потребоваться платная подписка на Docker Desktop. Подробности см. в записи блога Docker, " Docker обновляет и расширяет подписки на продукты".

Клиенты без лицензии Docker Desktop могут использовать инструмент управления контейнерами с открытым исходным кодом, такой как Podman Desktop, для запуска, управления и создания контейнеров. Подробную информацию см. в разделе Запуск средства настройки HDS с помощью Podman Desktop.

Требования к сертификату X.509

Цепочка сертификатов должна соответствовать следующим требованиям:

Таблица 1. Требования к сертификату X.509 для развертывания гибридной системы безопасности данных

Требование

Подробности

  • Подписано доверенным центром сертификации (CA)

По умолчанию мы доверяем центрам сертификации из списка Mozilla (за исключением WoSign и StartCom) по адресу https://wiki.mozilla.org/CA:IncludedCAs.

  • Имеет доменное имя Common Name (CN), которое идентифицирует ваше развертывание гибридной системы безопасности данных.

  • Не является универсальным сертификатом

CN не обязательно должен быть доступен или представлять собой работающий хост. Мы рекомендуем вам использовать название, отражающее название вашей организации, например, hds.company.com.

CN не должен содержать * (подстановочный знак).

CN используется для проверки узлов безопасности гибридных данных для клиентов приложения Webex. Все узлы гибридной безопасности данных в вашем кластере используют один и тот же сертификат. Ваш KMS идентифицирует себя с помощью домена CN, а не любого домена, определенного в полях SAN x.509v3.

После регистрации узла с этим сертификатом мы не поддерживаем изменение доменного имени CN.

  • Подпись не-SHA1

Программное обеспечение KMS не поддерживает подписи SHA1 для проверки подключений к KMS других организаций.

  • Отформатирован как защищенный паролем PKCS #12 файл

  • Используйте понятное имя kms-private-key, чтобы пометить сертификат, закрытый ключ и любые промежуточные сертификаты для загрузки.

Для изменения формата сертификата вы можете использовать конвертер, например OpenSSL.

Вам потребуется ввести пароль при запуске HDS Setup Tool.

Программное обеспечение KMS не устанавливает жестких ограничений на использование ключей или расширенных ограничений на использование ключей. Некоторые центры сертификации требуют, чтобы к каждому сертификату применялись расширенные ограничения использования ключа, например, аутентификация сервера. Можно использовать аутентификацию сервера или другие настройки.

Требования к виртуальному хосту

Виртуальные хосты, которые вы настроите в качестве узлов гибридной безопасности данных в своем кластере, имеют следующие требования:

  • Не менее двух отдельных хостов (рекомендуется 3), размещенных в одном защищенном центре обработки данных

  • Установленный и работающий VMware ESXi 7.0 или 8.0.

    Если у вас более ранняя версия ESXi, вам необходимо выполнить обновление.

  • Минимум 4 виртуальных ЦП, 8 ГБ основной памяти, 30 ГБ локального жесткого диска на сервер

Требования к серверу базы данных

Создайте новую базу данных для хранения ключей. Не используйте базу данных по умолчанию. Приложения HDS после установки создают схему базы данных.

Существует два варианта сервера базы данных. Требования к каждому из них следующие:

Таблица 2. Требования к серверу базы данных по типу базы данных

PostgreSQL

Microsoft SQL-сервер

  • PostgreSQL 14, 15 или 16 установлен и запущен.

  • Установлен SQL Server 2016, 2017, 2019 или 2022 (Enterprise или Standard).

    Для SQL Server 2016 требуются пакет обновления 2 и накопительное обновление 2 или более поздней версии.

Минимум 8 виртуальных ЦП, 16 ГБ основной памяти, достаточное пространство на жестком диске и мониторинг, чтобы гарантировать, что оно не будет превышено (рекомендуется 2 ТБ, если вы хотите, чтобы база данных работала в течение длительного времени без необходимости увеличения хранилища)

Минимум 8 виртуальных ЦП, 16 ГБ основной памяти, достаточное пространство на жестком диске и мониторинг, чтобы гарантировать, что оно не будет превышено (рекомендуется 2 ТБ, если вы хотите, чтобы база данных работала в течение длительного времени без необходимости увеличения хранилища)

В настоящее время программное обеспечение HDS устанавливает следующие версии драйверов для связи с сервером базы данных:

PostgreSQL

Microsoft SQL-сервер

Драйвер Postgres JDBC 42.2.5

Драйвер JDBC SQL Server 4.6

Эта версия драйвера поддерживает SQL Server Always On ( экземпляры отказоустойчивого кластера Always On и группы доступности Always On).

Дополнительные требования к аутентификации Windows на Microsoft SQL Server

Если вы хотите, чтобы узлы HDS использовали аутентификацию Windows для доступа к базе данных хранилища ключей на Microsoft SQL Server, вам потребуется следующая конфигурация в вашей среде:

  • Узлы HDS, инфраструктура Active Directory и MS SQL Server должны быть синхронизированы с NTP.

  • Учетная запись Windows, которую вы предоставляете узлам HDS, должна иметь read/write доступ к базе данных.

  • DNS-серверы, которые вы предоставляете узлам HDS, должны иметь возможность разрешать ваш центр распространения ключей (KDC).

  • Вы можете зарегистрировать экземпляр базы данных HDS на вашем сервере Microsoft SQL Server в качестве имени участника службы (SPN) в вашем Active Directory. См. Регистрация имени участника службы для подключений Kerberos.

    Инструмент настройки HDS, средство запуска HDS и локальный KMS должны использовать аутентификацию Windows для доступа к базе данных хранилища ключей. Они используют данные из вашей конфигурации ISO для создания SPN при запросе доступа с аутентификацией Kerberos.

Требования к внешнему подключению

Настройте брандмауэр так, чтобы разрешить следующие подключения для приложений HDS:

Приложение

Протокол

Порт

Направление из приложения

Назначение

Гибридные узлы безопасности данных

Протокол TCP

443

Исходящий HTTPS и WSS

  • Серверы Webex:

    • *.wbx2.com

    • *.ciscospark.com

  • Все хосты Common Identity

  • Другие URL-адреса, перечисленные для гибридной безопасности данных в таблице Дополнительные URL-адреса для гибридных служб WebexТребования к сети для служб Webex

Инструмент настройки HDS

Протокол TCP

443

Исходящий HTTPS

  • *.wbx2.com

  • Все хосты Common Identity

  • hub.docker.com

Узлы гибридной защиты данных работают с трансляцией сетевого доступа (NAT) или за брандмауэром, при условии, что NAT или брандмауэр разрешают требуемые исходящие соединения с доменами назначения, указанными в предыдущей таблице. Для входящих подключений к узлам гибридной защиты данных ни один порт не должен быть виден из Интернета. В вашем центре обработки данных клиентам необходим доступ к узлам гибридной безопасности данных на TCP-портах 443 и 22 для административных целей.

URL-адреса хостов Common Identity (CI) зависят от региона. Текущие хосты CI:

Регион

URL-адреса хостов общей идентификации

Северная и Южная Америка

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Европейский союз

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Канада

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Сингапур

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Объединенные Арабские Эмираты

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Требования к прокси-серверу

  • Мы официально поддерживаем следующие решения для прокси, которые можно интегрировать с узлами безопасности данных гибридного типа:

  • Поддерживаются следующие комбинации типов аутентификации для явных прокси:

    • без аутентификации при использовании HTTP или HTTPS;

    • базовая аутентификация при использовании HTTP или HTTPS;

    • дайджест-аутентификация только при использовании HTTPS;

  • При наличии прозрачного прокси с проверкой или явного прокси HTTPS необходимо иметь копию корневого сертификата прокси. Инструкции по развертыванию, приведенные в этом руководстве, содержат информацию о том, как загрузить эту копию в зоны доверия узлов безопасности данных гибридного типа.

  • Сеть, в которой размещены узлы HDS, должна обеспечивать принудительную маршрутизацию исходящего трафика TCP на порте 443 через прокси.

  • Прокси, проверяющие веб-трафик, могут нарушать работу соединений веб-сокетов. Если возникла эта проблема, обход (без проверки) трафика в wbx2.com и ciscospark.com решит ее.

Выполните предварительные условия для гибридной безопасности данных

Используйте этот контрольный список, чтобы убедиться, что вы готовы установить и настроить кластер гибридной защиты данных.
1

Убедитесь, что в вашей партнерской организации включена функция Multi-Tenant HDS, и получите учетные данные учетной записи с правами полного администратора партнера. Убедитесь, что в вашей организации клиентов Webex включен Pro Pack для Cisco Webex Control Hub. Обратитесь за помощью в этом процессе к своему партнеру Cisco или менеджеру по работе с клиентами.

У организаций-клиентов не должно быть никаких существующих развертываний HDS.

2

Выберите доменное имя для развертывания HDS (например, hds.company.com) и получите цепочку сертификатов, содержащую сертификат X.509, закрытый ключ и любые промежуточные сертификаты. Цепочка сертификатов должна соответствовать требованиям, изложенным в Требованиях к сертификатам X.509.

3

Подготовьте идентичные виртуальные хосты, которые вы настроите в качестве узлов гибридной безопасности данных в своем кластере. Вам необходимо разместить как минимум два отдельных хоста (рекомендуется 3), размещенных в одном защищенном центре обработки данных, которые соответствуют требованиям, изложенным в Требованиях к виртуальному хосту.

4

Подготовьте сервер базы данных, который будет выступать в качестве ключевого хранилища данных для кластера, в соответствии с Требованиями к серверу базы данных. Сервер базы данных должен быть размещен в защищенном центре обработки данных вместе с виртуальными хостами.

  1. Создайте базу данных для хранения ключей. (Вы должны создать эту базу данных — не используйте базу данных по умолчанию. Приложения HDS после установки создают схему базы данных.)

  2. Соберите данные, которые узлы будут использовать для связи с сервером базы данных:

    • имя хоста или IP-адрес (хост) и порт

    • имя базы данных (dbname) для хранения ключей

    • имя пользователя и пароль пользователя со всеми привилегиями в базе данных хранилища ключей

5

Для быстрого восстановления после сбоя создайте резервную среду в другом центре обработки данных. Среда резервного копирования отражает производственную среду виртуальных машин и сервера резервной базы данных. Например, если в производственной среде имеется 3 виртуальные машины, на которых запущены узлы HDS, в резервной среде должно быть 3 виртуальные машины.

6

Настройте хост syslog для сбора журналов с узлов в кластере. Получите его сетевой адрес и порт системного журнала (по умолчанию UDP 514).

7

Создайте безопасную политику резервного копирования для узлов гибридной безопасности данных, сервера базы данных и хоста системного журнала. Как минимум, чтобы предотвратить невосстановимую потерю данных, необходимо создать резервную копию базы данных и файла конфигурации ISO, созданного для узлов гибридной безопасности данных.

Поскольку узлы гибридной защиты данных хранят ключи, используемые для шифрования и дешифрования контента, невозможность поддержания оперативного развертывания приведет к НЕВОССТАНОВИМОЙ ПОТЕРЕ этого контента.

Клиенты приложения Webex кэшируют свои ключи, поэтому сбой может быть не заметен сразу, но станет очевидным со временем. Хотя временные перебои в электроснабжении предотвратить невозможно, их можно устранить. Однако полная потеря (отсутствие резервных копий) базы данных или файла конфигурации ISO приведет к невозможности восстановления данных клиента. Операторы узлов гибридной безопасности данных должны регулярно выполнять резервное копирование базы данных и файла конфигурации ISO, а также быть готовыми к восстановлению центра обработки данных гибридной безопасности данных в случае возникновения катастрофического сбоя.

8

Убедитесь, что конфигурация вашего брандмауэра допускает подключение для ваших узлов гибридной защиты данных, как указано в Требованиях к внешнему подключению.

9

Установите Docker ( https://www.docker.com) на любой локальный компьютер под управлением поддерживаемой ОС (Microsoft Windows 10 Professional или Enterprise 64-bit, или Mac OSX Yosemite 10.10.3 или выше) с веб-браузером, который может получить к нему доступ по адресу http://127.0.0.1:8080.

Экземпляр Docker используется для загрузки и запуска инструмента настройки HDS, который создает локальную информацию о конфигурации для всех узлов гибридной безопасности данных. Вам может потребоваться лицензия Docker Desktop. Более подробную информацию см. в разделе Требования к рабочему столу Docker.

Для установки и запуска HDS Setup Tool локальный компьютер должен иметь подключение, описанное в Требованиях к внешнему подключению.

10

Если вы интегрируете прокси-сервер с гибридной защитой данных, убедитесь, что он соответствует Требованиям к прокси-серверу.

Настройте гибридный кластер безопасности данных

Поток задач по развертыванию гибридной системы безопасности данных

Перед началом работы

1

Выполните первоначальную настройку и загрузите установочные файлы.

Загрузите файл OVA на свой локальный компьютер для дальнейшего использования.

2

Создайте ISO-образ конфигурации для хостов HDS

Используйте HDS Setup Tool для создания файла конфигурации ISO для узлов гибридной безопасности данных.

3

Установка HDS Host OVA

Создайте виртуальную машину из файла OVA и выполните первоначальную настройку, например, сетевые параметры.

Возможность настройки сетевых параметров во время развертывания OVA была протестирована с ESXi 7.0 и 8.0. В более ранних версиях эта опция может быть недоступна.

4

Настройка гибридной виртуальной машины безопасности данных

Войдите в консоль виртуальной машины и задайте учетные данные для входа. Настройте сетевые параметры узла, если вы не настроили их во время развертывания OVA.

5

Загрузите и смонтируйте ISO-образ конфигурации HDS

Настройте виртуальную машину с помощью файла конфигурации ISO, созданного с помощью HDS Setup Tool.

6

Настройка узла HDS для интеграции прокси

Если сетевая среда требует настройки прокси-сервера, укажите тип прокси-сервера, который вы будете использовать для узла, и при необходимости добавьте сертификат прокси-сервера в хранилище доверенных сертификатов.

7

Зарегистрируйте первый узел в кластере

Зарегистрируйте виртуальную машину в облаке Cisco Webex как узел гибридной безопасности данных.

8

Создайте и зарегистрируйте больше узлов

Завершите настройку кластера.

9

Активируйте Multi-Tenant HDS на Partner Hub.

Активируйте HDS и управляйте организациями арендаторов в Partner Hub.

Выполните первоначальную настройку и загрузите установочные файлы.

В этой задаче вы загружаете OVA-файл на свой компьютер (а не на серверы, которые вы настроили в качестве узлов гибридной безопасности данных). Этот файл вам понадобится позже в процессе установки.

1

Войдите в Partner Hub, а затем нажмите Услуги.

2

В разделе «Облачные сервисы» найдите карточку «Гибридная безопасность данных», а затем нажмите Настроить.

Нажатие кнопки Настроить в Partner Hub имеет решающее значение для процесса развертывания. Не продолжайте установку, не выполнив этот шаг.

3

Нажмите Добавить ресурс и нажмите Загрузить файл .OVA на карточке Установить и настроить программное обеспечение.

Более старые версии программного пакета (OVA) не будут совместимы с последними обновлениями гибридной безопасности данных. Это может привести к проблемам при обновлении приложения. Убедитесь, что вы загрузили последнюю версию файла OVA.

Вы также можете загрузить OVA в любое время из раздела Помощь. Нажмите Настройки > Помощь > Загрузите программное обеспечение для гибридной защиты данных.

Начнется автоматическая загрузка OVA-файла. Сохраните файл в определенном месте на вашем компьютере.
4

При желании нажмите См. руководство по развертыванию гибридной системы безопасности данных, чтобы проверить, доступна ли более поздняя версия этого руководства.

Создайте ISO-образ конфигурации для хостов HDS

В процессе настройки гибридной защиты данных создается ISO-файл. Затем вы используете ISO для настройки хоста гибридной безопасности данных.

Прежде чем начать
1

Введите соответствующую команду для вашей среды в командной строке компьютера.

В обычных средах:

docker rmi ciscocitg/hds-setup:stable

В средах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать.

2

Чтобы войти в реестр образов Docker, введите следующее.

docker login -u hdscustomersro
3

Введите в запросе пароля этот хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Скачайте последнюю стабильную версию образа для вашей среды.

В обычных средах:

docker pull ciscocitg/hds-setup:stable

В средах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

По завершении скачивания введите соответствующую команду для вашей среды.

  • В обычных средах без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • В обычных средах с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В обычных средах с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В средах FedRAMP без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

6

Инструмент настройки не поддерживает подключение к локальному хосту через http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному хосту.

Используйте веб-браузер, чтобы перейти на локальный хост, http://127.0.0.1:8080и ввести имя пользователя администратора для Partner Hub в командной строке.

Инструмент использует эту первую запись имени пользователя, чтобы задать правильную среду для этой учетной записи. Затем инструмент отображает стандартное приглашение для входа в систему.

7

При появлении соответствующего запроса введите учетные данные администратора Partner Hub, а затем нажмите Войти, чтобы разрешить доступ к требуемым службам для гибридной безопасности данных.

8

На странице обзора инструмента настройки нажмите Начать.

9

На странице Импорт ISO у вас есть следующие параметры:

  • Нет— Если вы создаете свой первый узел HDS, у вас нет файла ISO для загрузки.
  • Да— Если вы уже создали узлы HDS, то вы выбираете свой ISO-файл в браузере и загружаете его.
10

Убедитесь, что ваш сертификат X.509 соответствует требованиям, изложенным в Требованиях к сертификату X.509.

  • Если вы никогда ранее не загружали сертификат, загрузите сертификат X.509, введите пароль и нажмите Продолжить.
  • Если ваш сертификат в порядке, нажмите Продолжить.
  • Если срок действия вашего сертификата истек или вы хотите заменить его, выберите Нет для Продолжить использовать цепочку сертификатов HDS и закрытый ключ из предыдущего ISO?. Загрузите новый сертификат X.509, введите пароль и нажмите Продолжить.
11

Введите адрес базы данных и учетную запись HDS для доступа к вашему ключевому хранилищу данных:

  1. Выберите Тип базы данных (PostgreSQL или Microsoft SQL Server).

    Если вы выберете Microsoft SQL Server, вы получите поле «Тип аутентификации».

  2. (Microsoft SQL Server только) Выберите Тип аутентификации:

    • Базовая аутентификация: В поле Имя пользователя необходимо указать имя локальной учетной записи SQL Server.

    • Аутентификация Windows: Вам понадобится учетная запись Windows в формате username@DOMAIN в поле Имя пользователя.

  3. Введите адрес сервера базы данных в форме : или :.

    Пример.
    dbhost.example.org:1433 или 198.51.100.17:1433

    Если узлы не могут использовать DNS для разрешения имени хоста, для базовой аутентификации можно использовать IP-адрес.

    Если вы используете аутентификацию Windows, вам необходимо ввести полное доменное имя в формате dbhost.example.org:1433

  4. Введите Имя базы данных.

  5. Введите Имя пользователя и Пароль пользователя со всеми привилегиями в базе данных хранилища ключей.

12

Выберите режим подключения к базе данных TLS:

Mode

Описание

Предпочитать TLS (параметр по умолчанию)

Узлам HDS не требуется TLS для подключения к серверу базы данных. Если вы включите TLS на сервере базы данных, узлы попытаются установить зашифрованное соединение.

Обязательное использование TLS

Подключение узлов HDS будет выполнено только в том случае, если сервер базы данных может согласовывать использование TLS.

Обязательное использование TLS и проверка источника подписи сертификата

Этот режим неприменим для баз данных SQL Server.

  • Подключение узлов HDS будет выполнено только в том случае, если сервер базы данных может согласовывать использование TLS.

  • После установления TLS-соединения узел сравнивает подписавшего сертификат с сервера базы данных с центром сертификации в корневом сертификате базы данных. При отсутствии совпадения узел разорвет соединение.

Воспользуйтесь элементом управления корневым сертификатом базы данных под раскрывающимся списком, чтобы загрузить корневой сертификат для этого параметра.

Обязательное использование TLS и проверка источника подписи сертификата и имени узла

  • Подключение узлов HDS будет выполнено только в том случае, если сервер базы данных может согласовывать использование TLS.

  • После установления TLS-соединения узел сравнивает подписавшего сертификат с сервера базы данных с центром сертификации в корневом сертификате базы данных. При отсутствии совпадения узел разорвет соединение.

  • Узлы также проверяют, совпадает ли имя хоста в сертификате сервера с именем хоста в поле Хост и порт базы данных. Необходимо точное совпадение имен. Иначе узел разорвет соединение.

Воспользуйтесь элементом управления корневым сертификатом базы данных под раскрывающимся списком, чтобы загрузить корневой сертификат для этого параметра.

Когда вы загружаете корневой сертификат (при необходимости) и нажимаете Продолжить, HDS Setup Tool проверяет TLS-соединение с сервером базы данных. Инструмент также выполняет проверку источника подписи сертификата и имени узла (если применимо). Если тест не будет пройден, в инструменте будет отображено сообщение об ошибке с описанием проблемы. Можно выбрать параметр игнорирования ошибки и продолжить настройку. (Из-за различий в подключении узлы HDS могут установить соединение TLS, даже если компьютер с инструментом настройки HDS не сможет успешно его протестировать.)

13

На странице «Системные журналы» настройте сервер Syslogd:

  1. Введите URL-адрес сервера системного журнала.

    Если сервер не распознается DNS-сервером из узлов вашего кластера HDS, используйте IP-адрес в URL-адресе.

    Пример.
    udp://10.92.43.23:514 указывает на регистрацию на хосте Syslogd 10.92.43.23 на UDP-порту 514.

  2. Если вы настроили свой сервер на использование шифрования TLS, проверьте Настроен ли ваш сервер syslog на использование шифрования SSL?.

    Если вы установите этот флажок, обязательно введите TCP URL, например tcp://10.92.43.23:514.

  3. В раскрывающемся списке Выберите прекращение записи syslog выберите соответствующую настройку для вашего ISO-файла: Выберите или используйте Newline для Graylog и Rsyslog TCP

    • Нулевой байт -- \x00

    • Новая строка -- \n— Выберите этот вариант для Graylog и Rsyslog TCP.

  4. Щелкните Продолжить.

14

(Необязательно) Вы можете изменить значение по умолчанию для некоторых параметров подключения к базе данных в Расширенных настройках. Как правило, это единственный параметр, который вам может понадобиться изменить:

app_datasource_connection_pool_maxSize: 10
15

Нажмите Продолжить на экране Сброс пароля учетных записей служб.

Срок действия паролей учетных записей служб составляет девять месяцев. Используйте этот экран, когда срок действия ваших паролей приближается к концу или вы хотите сбросить их, чтобы сделать предыдущие файлы ISO недействительными.

16

Нажмите Загрузить файл ISO. Сохраните файл в месте, которое легко найти.

17

Создайте резервную копию ISO-файла на локальной системе.

Сохраните резервную копию в надежном месте. Этот файл содержит главный ключ шифрования содержимого базы данных. Ограничьте доступ только тем администраторам гибридной безопасности данных, которые должны вносить изменения в конфигурацию.

18

Чтобы закрыть средство настройки, введите CTRL+C.

Дальнейшие действия

Создайте резервную копию ISO-файла конфигурации. Он вам понадобится для создания дополнительных узлов для восстановления или для внесения изменений в конфигурацию. Если вы потеряете все копии ISO-файла, вы также потеряете главный ключ. Восстановление ключей из базы данных PostgreSQL или Microsoft SQL Server невозможно.

У нас никогда не было копии этого ключа, и мы не сможем вам помочь, если вы его потеряете.

Установка HDS Host OVA

Используйте эту процедуру для создания виртуальной машины из файла OVA.
1

Используйте клиент VMware vSphere на своем компьютере для входа в виртуальный хост ESXi.

2

Выбрать Файл > Развернуть шаблон OVF.

3

В мастере укажите местоположение файла OVA, который вы скачали ранее, а затем нажмите Далее.

4

На странице Выберите имя и папку введите Имя виртуальной машины для узла (например, «HDS_Node_1»), выберите место, где может находиться развертывание узла виртуальной машины, а затем нажмите Далее.

5

На странице Выбор вычислительного ресурса выберите целевой вычислительный ресурс, а затем нажмите Далее.

Проводится проверка достоверности. После его завершения появятся сведения о шаблоне.

6

Проверьте данные шаблона и нажмите Далее.

7

Если вам будет предложено выбрать конфигурацию ресурсов на странице Конфигурация, нажмите 4 ЦП, а затем нажмите Далее.

8

На странице Выбор хранилища нажмите Далее, чтобы принять формат диска по умолчанию и политику хранения виртуальной машины.

9

На странице Выбор сетей выберите сетевой параметр из списка записей, чтобы обеспечить желаемое подключение к виртуальной машине.

10

На странице Настроить шаблон настройте следующие параметры сети:

  • Имя хоста— введите полное доменное имя (имя хоста и домен) или имя хоста из одного слова для узла.

    • Вам не нужно указывать домен, совпадающий с доменом, который вы использовали для получения сертификата X.509.

    • Чтобы обеспечить успешную регистрацию в облаке, используйте только строчные символы в полном доменном имени или имени хоста, заданном для узла. В настоящее время заглавные буквы не поддерживаются.

    • Общая длина полного доменного имени не должна превышать 64 символа.

  • IP-адрес— Введите IP-адрес для внутреннего интерфейса узла.

    Ваш узел должен иметь внутренний IP-адрес и DNS-имя. DHCP не поддерживается.

  • Маска— введите адрес маски подсети в десятичном формате с разделительными точками. Например, 255.255.255.0.
  • Шлюз— введите IP-адрес шлюза. Шлюз — это сетевой узел, который служит точкой доступа к другой сети.
  • DNS-серверы— введите разделенный запятыми список DNS-серверов, которые выполняют преобразование доменных имен в числовые IP-адреса. (Допускается до 4 записей DNS.)
  • NTP-серверы— введите NTP-сервер вашей организации или другой внешний NTP-сервер, который может использоваться в вашей организации. NTP-серверы по умолчанию могут не работать на всех предприятиях. Вы также можете использовать список, разделенный запятыми, для ввода нескольких NTP-серверов.

  • Разверните все узлы в одной подсети или VLAN, чтобы все узлы в кластере были доступны клиентам в вашей сети для административных целей.

При желании вы можете пропустить настройку сетевых параметров и выполнить действия, описанные в разделе Настройка гибридной виртуальной машины безопасности данных, чтобы настроить параметры из консоли узла.

Возможность настройки сетевых параметров во время развертывания OVA была протестирована с ESXi 7.0 и 8.0. В более ранних версиях эта опция может быть недоступна.

11

Щелкните правой кнопкой мыши узел виртуальной машины, а затем выберите Питание > Включение питания.

Программное обеспечение Hybrid Data Security устанавливается в качестве гостя на хосте виртуальной машины. Теперь вы готовы войти в консоль и настроить узел.

Рекомендации по устранению неисправностей

Возможна задержка в несколько минут перед запуском контейнеров узлов. Во время первой загрузки на консоли появляется сообщение о брандмауэре моста, во время которого вы не можете войти в систему.

Настройка гибридной виртуальной машины безопасности данных

Используйте эту процедуру для первого входа в консоль виртуальной машины узла Hybrid Data Security и установки учетных данных для входа. Вы также можете использовать консоль для настройки сетевых параметров узла, если вы не настроили их во время развертывания OVA.

1

В клиенте VMware vSphere выберите виртуальную машину узла Hybrid Data Security и выберите вкладку Консоль.

Виртуальная машина загрузится и появится приглашение на вход в систему. Если приглашение на вход не отображается, нажмите Enter.
2

Для входа в систему и изменения учетных данных используйте следующие логин и пароль по умолчанию:

  1. Авторизоваться: admin

  2. Пароль. cisco

Поскольку вы впервые входите в свою виртуальную машину, вам необходимо сменить пароль администратора.

3

Если вы уже настроили параметры сети в Установка HDS Host OVA, пропустите оставшуюся часть этой процедуры. В противном случае в главном меню выберите опцию Изменить конфигурацию.

4

Настройте статическую конфигурацию с IP-адресом, маской, шлюзом и информацией о DNS. Ваш узел должен иметь внутренний IP-адрес и DNS-имя. DHCP не поддерживается.

5

(Необязательно) При необходимости измените имя хоста, домен или сервер(ы) NTP в соответствии с вашей сетевой политикой.

Вам не нужно указывать домен, совпадающий с доменом, который вы использовали для получения сертификата X.509.

6

Сохраните конфигурацию сети и перезагрузите виртуальную машину, чтобы изменения вступили в силу.

Загрузите и смонтируйте ISO-образ конфигурации HDS

Используйте эту процедуру для настройки виртуальной машины из ISO-файла, созданного с помощью HDS Setup Tool.

Прежде чем начать

Поскольку файл ISO содержит главный ключ, его следует предоставлять только по принципу «служебной необходимости» для доступа к виртуальным машинам гибридной безопасности данных и любым администраторам, которым может потребоваться внести изменения. Убедитесь, что доступ к хранилищу данных имеют только эти администраторы.

1

Загрузите ISO-файл со своего компьютера:

  1. В левой навигационной панели клиента VMware vSphere щелкните сервер ESXi.

  2. В списке оборудования на вкладке «Конфигурация» нажмите Хранилище.

  3. В списке хранилищ данных щелкните правой кнопкой мыши хранилище данных для ваших виртуальных машин и выберите Обзор хранилища данных.

  4. Нажмите на значок «Загрузить файл», а затем нажмите Загрузить файл.

  5. Перейдите к месту, куда вы загрузили ISO-файл на своем компьютере, и нажмите Открыть.

  6. Нажмите Да, чтобы принять upload/download предупреждение об операции и закройте диалоговое окно хранилища данных.

2

Смонтируйте ISO-файл:

  1. На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры.

  2. Нажмите ОК, чтобы принять предупреждение об ограниченных параметрах редактирования.

  3. Нажмите CD/DVD Drive 1, выберите вариант монтирования из ISO-файла хранилища данных и перейдите в папку, куда вы загрузили ISO-файл конфигурации.

  4. Проверьте Подключено и Подключиться при включении питания.

  5. Сохраните изменения и перезагрузите виртуальную машину.

Дальнейшие действия

Если того требует ваша ИТ-политика, вы можете при желании размонтировать ISO-файл после того, как все ваши узлы примут изменения конфигурации. Подробную информацию см. в разделе (Необязательно) Размонтирование ISO после настройки HDS.

Настройка узла HDS для интеграции прокси

Если в сетевой среде необходимо использовать прокси, воспользуйтесь этой процедурой, чтобы указать тип прокси, который нужно интегрировать со службой безопасности данных гибридного типа. При выборе прозрачного прокси с проверкой или явного прокси HTTPS можно использовать интерфейс узла для загрузки и установки корневого сертификата. Кроме того, в интерфейсе можно проверять соединение с прокси и устранять неполадки.

Прежде чем начать

1

Введите URL-адрес настройки узла HDS https://[HDS Node IP or FQDN]/setup в веб-браузере, введите учетные данные администратора, которые вы настроили для узла, а затем нажмите Войти.

2

Откройте раздел Trust Store & Proxy (Зона доверия и прокси) и выберите один из следующих параметров.

  • Без прокси— опция по умолчанию до интеграции прокси. Обновление сертификата не требуется.
  • Прозрачный непроверяющий прокси-сервер— Узлы не настроены на использование определенного адреса прокси-сервера и не должны требовать никаких изменений для работы с непроверяющим прокси-сервером. Обновление сертификата не требуется.
  • Прозрачный инспекционный прокси-сервер— Узлы не настроены на использование определенного адреса прокси-сервера. В развертывании службы безопасности данных гибридного типа не нужно вносить изменения в конфигурацию HTTPS, однако для обеспечения доверия прокси узлам HDS необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже HTTPS).
  • Явный прокси— При использовании явного прокси вы сообщаете клиенту (узлам HDS), какой прокси-сервер использовать, и эта опция поддерживает несколько типов аутентификации. После выбора этого параметра необходимо ввести указанную далее информацию.

    1. Прокси IP/FQDN— Адрес, который можно использовать для доступа к прокси-машине.

    2. Порт прокси-сервера— номер порта, который прокси-сервер использует для прослушивания прокси-трафика.

    3. Протокол прокси-сервера— выберите http (просматривает и контролирует все запросы, полученные от клиента) или https (предоставляет канал к серверу, а клиент получает и проверяет сертификат сервера). Выберите параметр в зависимости от того, какой протокол поддерживает используемый вами прокси-сервер.

    4. Тип аутентификации— Выберите один из следующих типов аутентификации:

      • Нет— Дальнейшая аутентификация не требуется.

        Этот параметр доступен для прокси HTTP или HTTPS.

      • Базовый— используется для предоставления HTTP-агенту пользователя имени пользователя и пароля при выполнении запроса. Использует кодировку Base64.

        Этот параметр доступен для прокси HTTP или HTTPS.

        Если вы выберете этот параметр, вам понадобится ввести имя пользователя и пароль.

      • Дайджест— используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети.

        Этот параметр доступен только для прокси HTTPS.

        Если вы выберете этот параметр, вам понадобится ввести имя пользователя и пароль.

В случае использования прозрачного прокси с проверкой, явного прокси HTTP с базовой аутентификацией или явного прокси HTTPS выполните указанные далее шаги.

3

Щелкните Upload a Root Certificate or End Entity Certificate (Загрузить корневой сертификат или сертификат конечного субъекта) и откройте меню для выбора корневого сертификата для прокси.

Сертификат будет загружен, но не установлен, поскольку для установки сертификата необходимо перезагрузить узел. Чтобы получить дополнительные сведения, щелкните стрелку-шеврон, расположенную рядом с именем издателя сертификата. Если вы допустили ошибку и хотите вновь загрузить файл, щелкните Delete (Удалить).

4

Чтобы протестировать сетевое соединение между узлом и прокси, щелкните Check Proxy Connection (Проверить соединение с прокси).

Если тестирование соединения завершится неудачей, на экране появится сообщение об ошибке, в котором будут указаны причина и способ исправления ошибки.

Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу. Такая проблема может возникнуть во многих конфигурациях явного прокси. Можно продолжить настройку, и узел будет работать в режиме блокировки разрешения внешних DNS. Если вы считаете, что это ошибка, выполните эти шаги, а затем см. Отключение заблокированного внешнего режима разрешения DNS.

5

Если вы используете явный прокси, настроенный на применение исключительно https, после успешного завершения тестирования соединения включите параметр Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси (Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси). Для вступления в силу этого параметра необходимо 15 секунд.

6

Щелкните Install All Certificates Into the Trust Store (Установить все сертификаты в зоне доверия) – этот параметр отображается при использовании явного прокси HTTPS или прозрачного прокси с проверкой – или Reboot (Перезагрузить) – этот параметр отображается при использовании явного прокси HTTP. Прочитайте запрос и щелкните Install (Установить), если вы готовы к установке.

Узел перезагрузится в течение нескольких минут.

7

После перезагрузки узла повторно войдите в систему, если это необходимо, и откройте страницу Обзор, чтобы выполнить проверки соединений. Состояние всех проверок должно быть обозначено зеленым цветом.

Проверка соединения с прокси используется исключительно для тестирования поддомена webex.com. Проблемы с соединениями нередко возникают из-за того, что некоторые облачные домены, указанные в инструкциях по установке, блокируются на уровне прокси.

Зарегистрируйте первый узел в кластере

Эта задача берет общий узел, созданный вами в Настройка виртуальной машины гибридной безопасности данных, регистрирует узел в облаке Webex и превращает его в узел гибридной безопасности данных.

При регистрации первого узла вы создаете кластер, к которому этот узел относится. Кластер содержит один или несколько узлов, развернутых для обеспечения избыточности.

Прежде чем начать

  • Начав регистрацию узла, вы должны завершить ее в течение 60 минут, иначе вам придется начинать заново.

  • Убедитесь, что в вашем браузере отключены все блокировщики всплывающих окон или разрешены исключения для admin.webex.com.

1

Войдите в https://admin.webex.com.

2

В меню в левой части экрана выберите Услуги.

3

В разделе «Облачные сервисы» найдите карточку «Гибридная безопасность данных» и нажмите Настроить.

4

На открывшейся странице нажмите Добавить ресурс.

5

В первом поле карточки Добавить узел введите имя кластера, которому вы хотите назначить свой узел гибридной безопасности данных.

Мы рекомендуем вам называть кластер на основе географического расположения узлов кластера. Примеры: «Сан-Франциско» или «Нью-Йорк» или «Даллас».

6

Во втором поле введите внутренний IP-адрес или полное доменное имя (FQDN) вашего узла и нажмите Добавить в нижней части экрана.

Этот IP-адрес или полное доменное имя должны совпадать с IP-адресом или именем хоста и доменом, которые вы использовали в Настройка гибридной виртуальной машины безопасности данных.

Появится сообщение о том, что вы можете зарегистрировать свой узел в Webex.
7

Нажмите Перейти к узлу.

Через несколько секунд вы будете перенаправлены на страницу проверки подключения узлов для служб Webex. Если все тесты пройдены успешно, откроется страница «Разрешить доступ к узлу безопасности гибридных данных». Там вы подтверждаете, что хотите предоставить своей организации Webex разрешения на доступ к вашему узлу.

8

Установите флажок Разрешить доступ к вашему гибридному узлу безопасности данных, а затем нажмите Продолжить.

Ваша учетная запись проверена, и сообщение «Регистрация завершена» указывает на то, что ваш узел теперь зарегистрирован в облаке Webex.
9

Нажмите на ссылку или закройте вкладку, чтобы вернуться на страницу безопасности гибридных данных Partner Hub.

На странице Гибридная безопасность данных новый кластер, содержащий зарегистрированный вами узел, отображается на вкладке Ресурсы. Узел автоматически загрузит последнюю версию программного обеспечения из облака.

Создайте и зарегистрируйте больше узлов

Чтобы добавить дополнительные узлы в кластер, вам просто нужно создать дополнительные виртуальные машины и смонтировать тот же файл конфигурации ISO, а затем зарегистрировать узел. Мы рекомендуем иметь не менее 3 узлов.

Прежде чем начать

  • Начав регистрацию узла, вы должны завершить ее в течение 60 минут, иначе вам придется начинать заново.

  • Убедитесь, что в вашем браузере отключены все блокировщики всплывающих окон или разрешены исключения для admin.webex.com.

1

Создайте новую виртуальную машину из OVA, повторив шаги в Установка OVA хоста HDS.

2

Настройте начальную конфигурацию новой виртуальной машины, повторив шаги из раздела Настройка гибридной виртуальной машины безопасности данных.

3

На новой виртуальной машине повторите шаги из раздела Загрузка и монтирование ISO-образа конфигурации HDS.

4

Если вы настраиваете прокси-сервер для своего развертывания, повторите шаги в разделе Настройка узла HDS для интеграции прокси-сервера по мере необходимости для нового узла.

5

Зарегистрируйте узел.

  1. В https://admin.webex.comвыберите Услуги в меню в левой части экрана.

  2. В разделе «Облачные сервисы» найдите карточку «Гибридная безопасность данных» и нажмите Просмотреть все.

    Откроется страница «Ресурсы по безопасности гибридных данных».

  3. Вновь созданный кластер появится на странице Ресурсы.

  4. Щелкните по кластеру, чтобы просмотреть узлы, назначенные этому кластеру.

  5. Нажмите Добавить узел в правой части экрана.

  6. Введите внутренний IP-адрес или полное доменное имя (FQDN) вашего узла и нажмите Добавить.

    Откроется страница с сообщением о том, что вы можете зарегистрировать свой узел в облаке Webex. Через несколько секунд вы будете перенаправлены на страницу проверки подключения узлов для служб Webex. Если все тесты пройдены успешно, откроется страница «Разрешить доступ к узлу безопасности гибридных данных». Там вы подтверждаете, что хотите предоставить своей организации разрешения на доступ к вашему узлу.

  7. Установите флажок Разрешить доступ к вашему гибридному узлу безопасности данных, а затем нажмите Продолжить.

    Ваша учетная запись проверена, и сообщение «Регистрация завершена» указывает на то, что ваш узел теперь зарегистрирован в облаке Webex.

  8. Нажмите на ссылку или закройте вкладку, чтобы вернуться на страницу безопасности гибридных данных Partner Hub.

    Узел добавлен Всплывающее сообщение также появляется в нижней части экрана в Partner Hub.

    Ваш узел зарегистрирован.

Управление организациями арендаторов в многопользовательской гибридной системе безопасности данных

Активируйте Multi-Tenant HDS на Partner Hub

Эта задача гарантирует, что все пользователи организаций-клиентов смогут начать использовать HDS для локальных ключей шифрования и других служб безопасности.

Прежде чем начать

Убедитесь, что вы завершили настройку многопользовательского кластера HDS с необходимым количеством узлов.

1

Войдите в https://admin.webex.com.

2

В меню в левой части экрана выберите Услуги.

3

В разделе «Облачные сервисы» найдите пункт «Гибридная безопасность данных» и нажмите «Изменить настройки» .

4

Нажмите Активировать HDS на карте Статус HDS.

Добавьте организации-арендаторы в Partner Hub

В этой задаче вы назначаете организации клиентов в свой гибридный кластер безопасности данных.

1

Войдите в https://admin.webex.com.

2

В меню в левой части экрана выберите Услуги.

3

В разделе «Облачные сервисы» найдите «Гибридная безопасность данных» и нажмите Просмотреть все.

4

Нажмите на кластер, к которому вы хотите отнести клиента.

5

Перейдите на вкладку Назначенные клиенты.

6

Нажмите Добавить клиентов.

7

Выберите клиента, которого вы хотите добавить, из выпадающего меню.

8

Нажмите Добавить, клиент будет добавлен в кластер.

9

Повторите шаги 6–8, чтобы добавить в кластер нескольких клиентов.

10

После добавления клиентов нажмите Готово в нижней части экрана.

Дальнейшие действия

Запустите инструмент настройки HDS, как описано в разделе Создание основных ключей клиента (CMK) с помощью инструмента настройки HDS, чтобы завершить процесс настройки.

Создайте основные ключи клиента (CMK) с помощью инструмента настройки HDS

Прежде чем начать

Назначьте клиентов в соответствующий кластер, как подробно описано в разделе Добавление организаций-арендаторов в Partner Hub. Запустите инструмент настройки HDS, чтобы завершить процесс настройки для вновь добавленных организаций-клиентов.

  • Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются данные учетной записи Partner Hub с полными правами администратора вашей организации.

    Если в вашей среде инструмент настройки HDS работает через прокси-сервер, укажите параметры прокси-сервера (сервер, порт, учетные данные) через переменные среды Docker при запуске контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.

    Описание

    Переменная

    HTTP-прокси без аутентификации

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-прокси без аутентификации

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-прокси с аутентификацией

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-прокси с аутентификацией

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Создаваемый вами файл конфигурации ISO содержит главный ключ, шифрующий базу данных PostgreSQL или Microsoft SQL Server. Последняя копия этого файла необходима вам всякий раз, когда вы вносите изменения в конфигурацию, например:

    • Учетные данные базы данных

    • Обновления сертификатов

    • Изменения в политике авторизации

  • Если вы планируете шифровать соединения с базой данных, настройте развертывание PostgreSQL или SQL Server для TLS.

В процессе настройки гибридной защиты данных создается ISO-файл. Затем вы используете ISO для настройки хоста гибридной безопасности данных.

1

Введите соответствующую команду для вашей среды в командной строке компьютера.

В обычных средах:

docker rmi ciscocitg/hds-setup:stable

В средах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать.

2

Чтобы войти в реестр образов Docker, введите следующее.

docker login -u hdscustomersro
3

Введите в запросе пароля этот хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Скачайте последнюю стабильную версию образа для вашей среды.

В обычных средах:

docker pull ciscocitg/hds-setup:stable

В средах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

По завершении скачивания введите соответствующую команду для вашей среды.

  • В обычных средах без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • В обычных средах с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В обычных средах с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В средах FedRAMP без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

6

Инструмент настройки не поддерживает подключение к локальному хосту через http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному хосту.

Используйте веб-браузер, чтобы перейти на локальный хост, http://127.0.0.1:8080и ввести имя пользователя администратора для Partner Hub в командной строке.

Инструмент использует эту первую запись имени пользователя, чтобы задать правильную среду для этой учетной записи. Затем инструмент отображает стандартное приглашение для входа в систему.

7

При появлении соответствующего запроса введите учетные данные администратора Partner Hub, а затем нажмите Войти, чтобы разрешить доступ к требуемым службам для гибридной безопасности данных.

8

На странице обзора инструмента настройки нажмите Начать.

9

На странице Импорт ISO нажмите Да.

10

Выберите ваш ISO-файл в браузере и загрузите его.

Обеспечьте подключение к вашей базе данных для управления CMK.
11

Перейдите на вкладку Управление CMK-клиентами, где вы найдете следующие три способа управления CMK-клиентами.

  • Создать CMK для всех ORG или Создать CMK — Нажмите эту кнопку на баннере в верхней части экрана, чтобы создать CMK для всех новых добавленных организаций.
  • Нажмите кнопку Управление CMK в правой части экрана и нажмите Создать CMK, чтобы создать CMK для всех новых добавленных организаций.
  • Нажмите … рядом со статусом ожидания управления CMK для конкретной организации в таблице и нажмите Создать CMK, чтобы создать CMK для этой организации.
12

После успешного создания CMK статус в таблице изменится с Ожидается управление CMK на Управляется CMK.

13

Если создание CMK не удалось, будет выведено сообщение об ошибке.

Удалить организации-арендаторы

Прежде чем начать

После удаления пользователи организаций-клиентов не смогут использовать HDS для своих нужд шифрования и потеряют все существующие пространства. Прежде чем удалять организации клиентов, обратитесь к своему партнеру Cisco или менеджеру по работе с клиентами.

1

Войдите в https://admin.webex.com.

2

В меню в левой части экрана выберите Услуги.

3

В разделе «Облачные сервисы» найдите «Гибридная безопасность данных» и нажмите Просмотреть все.

4

На вкладке Ресурсы щелкните кластер, из которого вы хотите удалить организации клиентов.

5

На открывшейся странице нажмите Назначенные клиенты.

6

В списке отображаемых организаций-клиентов нажмите ... справа от организации-клиента, которую вы хотите удалить, и нажмите Удалить из кластера.

Дальнейшие действия

Завершите процесс удаления, отозвав CMK организаций-клиентов, как подробно описано в Отозвать CMK арендаторов, удаленных из HDS.

Отозвать CMK арендаторов, исключенных из HDS.

Прежде чем начать

Удалите клиентов из соответствующего кластера, как подробно описано в разделе Удаление организаций-арендаторов. Запустите инструмент настройки HDS, чтобы завершить процесс удаления для удаленных организаций клиентов.

  • Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются данные учетной записи Partner Hub с полными правами администратора вашей организации.

    Если в вашей среде инструмент настройки HDS работает через прокси-сервер, укажите параметры прокси-сервера (сервер, порт, учетные данные) через переменные среды Docker при запуске контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.

    Описание

    Переменная

    HTTP-прокси без аутентификации

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-прокси без аутентификации

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-прокси с аутентификацией

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-прокси с аутентификацией

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Создаваемый вами файл конфигурации ISO содержит главный ключ, шифрующий базу данных PostgreSQL или Microsoft SQL Server. Последняя копия этого файла необходима вам всякий раз, когда вы вносите изменения в конфигурацию, например:

    • Учетные данные базы данных

    • Обновления сертификатов

    • Изменения в политике авторизации

  • Если вы планируете шифровать соединения с базой данных, настройте развертывание PostgreSQL или SQL Server для TLS.

В процессе настройки гибридной защиты данных создается ISO-файл. Затем вы используете ISO для настройки хоста гибридной безопасности данных.

1

Введите соответствующую команду для вашей среды в командной строке компьютера.

В обычных средах:

docker rmi ciscocitg/hds-setup:stable

В средах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать.

2

Чтобы войти в реестр образов Docker, введите следующее.

docker login -u hdscustomersro
3

Введите в запросе пароля этот хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Скачайте последнюю стабильную версию образа для вашей среды.

В обычных средах:

docker pull ciscocitg/hds-setup:stable

В средах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

По завершении скачивания введите соответствующую команду для вашей среды.

  • В обычных средах без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • В обычных средах с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В обычных средах с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В средах FedRAMP без прокси:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTP-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTPS-прокси:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

6

Инструмент настройки не поддерживает подключение к локальному хосту через http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному хосту.

Используйте веб-браузер, чтобы перейти на локальный хост, http://127.0.0.1:8080и ввести имя пользователя администратора для Partner Hub в командной строке.

Инструмент использует эту первую запись имени пользователя, чтобы задать правильную среду для этой учетной записи. Затем инструмент отображает стандартное приглашение для входа в систему.

7

При появлении соответствующего запроса введите учетные данные администратора Partner Hub, а затем нажмите Войти, чтобы разрешить доступ к требуемым службам для гибридной безопасности данных.

8

На странице обзора инструмента настройки нажмите Начать.

9

На странице Импорт ISO нажмите Да.

10

Выберите ваш ISO-файл в браузере и загрузите его.

11

Перейдите на вкладку Управление CMK-клиентами, где вы найдете следующие три способа управления CMK-клиентами.

  • Отозвать CMK для всех ORG или Отозвать CMK - Нажмите эту кнопку на баннере в верхней части экрана, чтобы отозвать CMK всех организаций, которые были удалены.
  • Нажмите кнопку Управление CMK в правой части экрана и нажмите Отозвать CMK, чтобы отозвать CMK всех организаций, которые были удалены.
  • Нажмите рядом со статусом CMK для отзыва конкретной организации в таблице и нажмите Отозвать CMK, чтобы отозвать CMK для этой конкретной организации.
12

После успешного отзыва CMK организация-клиент больше не будет отображаться в таблице.

13

Если отзыв CMK не удался, появится сообщение об ошибке.

Протестируйте развертывание гибридной системы безопасности данных

Протестируйте свое гибридное развертывание системы безопасности данных

Используйте эту процедуру для тестирования сценариев шифрования многопользовательской гибридной безопасности данных.

Прежде чем начать

  • Настройте развертывание многопользовательской гибридной системы безопасности данных.

  • Убедитесь, что у вас есть доступ к системному журналу, чтобы убедиться, что ключевые запросы передаются в ваше развертывание многопользовательской гибридной системы безопасности данных.

1

Ключи для конкретного пространства устанавливаются создателем пространства. Войдите в приложение Webex как один из пользователей клиентской организации, а затем создайте пространство.

Если вы деактивируете развертывание гибридной защиты данных, содержимое в пространствах, созданных пользователями, больше не будет доступно после замены кэшированных клиентом копий ключей шифрования.

2

Отправляйте сообщения в новое пространство.

3

Проверьте вывод системного журнала, чтобы убедиться, что ключевые запросы передаются в ваше развертывание гибридной системы безопасности данных.

Если пользователь недавно добавленной организации клиента выполняет какие-либо действия, в журналах появляется идентификатор организации, который можно использовать для проверки того, использует ли организация Multi-Tenant HDS. Проверьте значение kms.data.orgId в системных журналах.

  1. Чтобы проверить, установил ли пользователь безопасный канал с KMS, отфильтруйте по kms.data.method=create и kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Вы должны найти запись, подобную следующей (идентификаторы сокращены для удобства чтения):
    2025-04-10 04:38:20.208 (+0000) INFO  KMS [pool-19-thread-13] - [KMS:REQUEST] received, deviceId: 
https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5 ecdheKid: kms://collabdemoorg.cisco.com/statickeys/8[~]3 
clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]6,
 kms.data.method=create, kms.merc.id=d[~]7, kms.merc.sync=false, kms.data.uriHost=collabdemoorg.cisco.com, 
kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=1[~]f, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/ecdhe, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

  2. Чтобы проверить пользователя, запрашивающего существующий ключ из KMS, отфильтруйте по kms.data.method=retrieve и kms.data.type=KEY:

    Отобразится запись, аналогичная приведенной ниже.
    2025-04-10 04:38:24.144 (+0000) INFO  KMS [pool-19-thread-26] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558)
 WEBEX_TRACKINGID=webex-web-client_0[~]0, kms.data.method=retrieve, kms.merc.id=5[~]3, kms.merc.sync=false,
 kms.data.uriHost=collabdemoorg.cisco.com, kms.data.type=KEY, kms.data.requestId=4[~]7, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/keys/2[~]e, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

  3. Чтобы проверить пользователя, запрашивающего создание нового ключа KMS, отфильтруйте по kms.data.method=create и kms.data.type=KEY_COLLECTION:

    Отобразится запись, аналогичная приведенной ниже.
    2025-04-10 04:42:22.739 (+0000) INFO  KMS [pool-19-thread-29] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::7 orgId: 2[~]b
 (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]3, kms.data.method=create, 
kms.merc.id=6[~]4, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, 
kms.data.orgId=2[~]b, kms.data.uri=/keys, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

  4. Чтобы проверить пользователя, запрашивающего создание нового объекта ресурса KMS (KRO) при создании пространства или другого защищенного ресурса, отфильтруйте по kms.data.method=create и kms.data.type=RESOURCE_COLLECTION:

    Отобразится запись, аналогичная приведенной ниже. 
    2025-04-10 04:42:23.690 (+0000) INFO  KMS [pool-19-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/3[~]6 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 
clusterConnection: prodachm::1 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]2,
 kms.data.method=create, kms.merc.id=3[~]0, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=5[~]8, kms.data.orgId=2[~]b, kms.data.uri=/resources, kms.data.userId=1[~]f, kms.data.httpUserAgent=conversation

Мониторинг состояния безопасности гибридных данных

Индикатор состояния в Partner Hub показывает, все ли в порядке с развертыванием многопользовательской гибридной системы безопасности данных. Для более заблаговременного оповещения подпишитесь на уведомления по электронной почте. Вы будете уведомлены о сигналах тревоги или обновлениях программного обеспечения, влияющих на работу службы.
1

В Partner Hubвыберите Services в меню в левой части экрана.

2

В разделе «Облачные сервисы» найдите пункт «Гибридная безопасность данных» и нажмите «Изменить настройки» .

Откроется страница настроек безопасности гибридных данных.
3

В разделе «Уведомления по электронной почте» введите один или несколько адресов электронной почты, разделенных запятыми, и нажмите Enter.

Управляйте развертыванием HDS

Управление развертыванием HDS

Используйте описанные здесь задачи для управления развертыванием гибридной системы безопасности данных.

Установить график обновления кластера

Обновления программного обеспечения для гибридной защиты данных выполняются автоматически на уровне кластера, что гарантирует, что на всех узлах всегда будет использоваться одна и та же версия программного обеспечения. Обновления выполняются в соответствии с графиком обновлений кластера. Когда обновление программного обеспечения станет доступным, у вас будет возможность вручную обновить кластер до запланированного времени обновления. Вы можете установить определенный график обновлений или использовать график по умолчанию 3:00 AM Daily Соединенные Штаты: America/Los Анджелес. При необходимости вы также можете отложить предстоящее обновление.

Чтобы настроить расписание обновлений:

1

Войдите в Partner Hub.

2

В меню в левой части экрана выберите Услуги.

3

В разделе «Облачные сервисы» найдите «Гибридная безопасность данных» и нажмите «Настроить»

4

На странице «Ресурсы безопасности гибридных данных» выберите кластер.

5

Нажмите на вкладку Параметры кластера.

6

На странице «Параметры кластера» в разделе «Расписание обновлений» выберите время и часовой пояс для расписания обновлений.

Примечание. Под часовым поясом отображается дата и время следующего доступного обновления. При необходимости вы можете отложить обновление на следующий день, нажав Отложить на 24 часа.

Изменить конфигурацию узла

Иногда может потребоваться изменить конфигурацию узла безопасности данных гибридного типа по одной из причин:

  • Изменение сертификатов x.509 по истечении срока действия или по другим причинам.

    Изменение доменного имени CN сертификата не поддерживается. Домен должен совпадать с исходным доменом, использованным для регистрации кластера.

  • Обновление настроек базы данных для работы с копией базы данных PostgreSQL или Microsoft SQL Server.

    Перенос данных с PostgreSQL на Microsoft SQL Server или в обратном направлении не поддерживается. Чтобы переключить среду базы данных, начните новое развертывание службы безопасности данных гибридного типа.

  • Создание новой конфигурации для подготовки нового центра обработки данных.

Из соображений безопасности для учетных записей в службе безопасности данных гибридного типа используются пароли со сроком действия 9 месяцев. После того как инструмент настройки HDS создаст эти пароли, вам нужно будет развернуть их в каждом из своих узлов HDS в файле конфигурации ISO. При приближении даты окончания срока действия пароля команда Webex пришлет вам уведомление с запросом на сброс пароля учетной записи компьютера. (В сообщении электронной почты будет текст "Использование API учетной записи компьютера для обновления пароля".) Если срок действия паролей еще не истек, средство предоставляет два варианта.

  • Мягкий сброс— Старый и новый пароли действуют до 10 дней. Используйте этот период для постепенной замены файла ISO на узлах.

  • Жесткий сброс— Старые пароли немедленно перестают работать.

Если срок действия ваших паролей истекает без сброса, это влияет на работу вашей службы HDS. В этом случае требуется немедленный жесткий сброс и замена файла ISO на всех узлах.

Используйте эту процедуру, чтобы создать новый файл конфигурации ISO и применить его к кластеру.

Прежде чем начать

  • Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора партнера.

    Если у вас нет лицензии Docker Desktop, вы можете использовать Podman Desktop для запуска инструмента настройки HDS для шагов 1.a–1.e в приведенной ниже процедуре. Подробную информацию см. в разделе Запуск средства настройки HDS с помощью Podman Desktop.

    Если в вашей среде инструмент настройки HDS работает через прокси-сервер, укажите параметры прокси-сервера (сервер, порт, учетные данные) через переменные среды Docker при запуске контейнера Docker в 1.e. В этой таблице указаны некоторые из возможных переменных среды.

    Описание

    Переменная

    HTTP-прокси без аутентификации

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-прокси без аутентификации

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-прокси с аутентификацией

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-прокси с аутентификацией

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Для создания новой конфигурации потребуется копия текущего файла конфигурации ISO. Файл ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. Файл ISO необходим для изменения конфигурации, в том числе учетных данных базы данных, обновления сертификатов или изменения политики авторизации.

1

Запустите инструмент настройки HDS, используя Docker на локальной машине.

  1. Введите соответствующую команду для вашей среды в командной строке компьютера.

    В обычных средах:

    docker rmi ciscocitg/hds-setup:stable

    В средах FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать.

  2. Чтобы войти в реестр образов Docker, введите следующее.

    docker login -u hdscustomersro

  3. Введите в запросе пароля этот хеш:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Скачайте последнюю стабильную версию образа для вашей среды.

    В обычных средах:

    docker pull ciscocitg/hds-setup:stable

    В средах FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Обязательно скачайте для этой процедуры последнюю версию инструмента настройки. В версиях инструмента, созданных до 22 февраля 2018 г., нет экранов сброса пароля.

  5. По завершении скачивания введите соответствующую команду для вашей среды.

    • В обычных средах без прокси:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • В обычных средах с HTTP-прокси:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • В обычных средах с HTTPS-прокси:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • В средах FedRAMP без прокси:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • В средах FedRAMP с HTTP-прокси:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • В средах FedRAMP с HTTPS-прокси:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

  6. Используйте браузер для подключения к localhost, http://127.0.0.1:8080.

    Инструмент настройки не поддерживает подключение к локальному хосту через http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному хосту.

  7. При появлении соответствующего запроса введите учетные данные клиента Partner Hub, а затем нажмите Принять, чтобы продолжить.

  8. Импортируйте текущий файл конфигурации ISO.

  9. Следуйте подсказкам, чтобы завершить работу с инструментом и скачать обновленный файл.

    Чтобы закрыть средство настройки, введите CTRL+C.

  10. Создайте резервную копию обновленного файла в другом центре обработки данных.

2

Если у вас запущен только один узел HDS, создайте новую виртуальную машину узла Hybrid Data Security и зарегистрируйте ее с помощью нового файла конфигурации ISO. Более подробные инструкции см. в разделе Создание и регистрация дополнительных узлов.

  1. Установите OVA узла HDS.

  2. Настройте виртуальную машину HDS.

  3. Подключите обновленный файл конфигурации.

  4. Зарегистрируйте новый узел в Partner Hub.

3

Для существующих узлов HDS, в которых используется старый файл конфигурации, необходимо установить файл ISO. Выполните следующую процедуру для каждого узла по очереди, обновив каждый узел до выключения следующего узла.

  1. Выключите виртуальную машину.

  2. На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры.

  3. Нажмите CD/DVD Drive 1, выберите вариант монтирования из ISO-файла и перейдите в папку, куда вы загрузили новый ISO-файл конфигурации.

  4. Установите флажок Соединять при включении.

  5. Сохраните изменения и включите виртуальную машину.

4

Повторите шаг 3, чтобы заменить конфигурацию на каждом оставшемся узле со старой конфигурацией.

Отключение режима блокировки разрешения внешних DNS

При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. Если DNS-сервер узла не может разрешать общедоступные имена DNS, узел автоматически переходит в режим блокировки разрешения внешних DNS.

Если узлы могут разрешать общедоступные имена DNS через внутренние DNS-серверы, можно отключить этот режим, повторно запустив тестирование подключения к прокси на каждом узле.

Прежде чем начать

Убедитесь в том, что внутренние DNS-серверы могут разрешать общедоступные имена DNS и ваши узлы могут обмениваться данными с ними.
1

В веб-браузере откройте интерфейс узла Hybrid Data Security (IP-адрес). address/setup, например, https://192.0.2.0/setup), введите учетные данные администратора, которые вы настроили для узла, а затем нажмите Войти.

2

Перейдите к разделу Overview (Обзор) (страница по умолчанию).

Если режим включен, параметр Blocked External DNS Resolution (Блокировка разрешения внешних DNS) должен иметь значение Yes (Да).

3

Перейдите на страницу Trust Store & Proxy (Зона доверия и прокси).

4

Щелкните Check Proxy Connection (Проверить соединение с прокси).

Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу и он останется в этом режиме. В противном случае после перезапуска узла и возврата на страницу Overview (Обзор) параметр блокировки разрешения внешних DNS должен иметь значение No (Нет).

Дальнейшие действия

Повторите тестирование соединения с прокси для каждого узла кластера безопасности данных гибридного типа.

Удалить узел

Используйте эту процедуру для удаления узла гибридной безопасности данных из облака Webex. После удаления узла из кластера удалите виртуальную машину, чтобы предотвратить дальнейший доступ к вашим данным безопасности.
1

Используйте клиент VMware vSphere на своем компьютере для входа в виртуальный хост ESXi и выключения виртуальной машины.

2

Удалить узел:

  1. Войдите в Partner Hub, а затем выберите Услуги.

  2. На карточке «Безопасность гибридных данных» нажмите Просмотреть все, чтобы отобразить страницу «Ресурсы безопасности гибридных данных».

  3. Выберите кластер, чтобы отобразить его панель обзора.

  4. Щелкните по узлу, который вы хотите удалить.

  5. Нажмите Отменить регистрацию этого узла на панели, которая появляется справа.

  6. Вы также можете отменить регистрацию узла, нажав … справа от узла и выбрав Удалить этот узел.

3

В клиенте vSphere удалите виртуальную машину. (В левой навигационной панели щелкните правой кнопкой мыши виртуальную машину и выберите Удалить.)

Если вы не удаляете виртуальную машину, не забудьте размонтировать ISO-файл конфигурации. Без ISO-файла вы не сможете использовать виртуальную машину для доступа к данным безопасности.

Аварийное восстановление с использованием резервного центра обработки данных

Самая важная услуга, которую предоставляет ваш кластер гибридной безопасности данных, — это создание и хранение ключей, используемых для шифрования сообщений и другого контента, хранящегося в облаке Webex. Для каждого пользователя в организации, которому назначена гибридная безопасность данных, новые запросы на создание ключей направляются в кластер. Кластер также отвечает за возврат созданных им ключей всем пользователям, имеющим право их извлекать, например, участникам чата.

Поскольку кластер выполняет важнейшую функцию предоставления этих ключей, крайне важно, чтобы кластер продолжал работать и чтобы поддерживались надлежащие резервные копии. Потеря базы данных гибридной безопасности данных или конфигурации ISO, используемой для схемы, приведет к НЕВОССТАНОВИМОЙ ПОТЕРЕ клиентского контента. Для предотвращения таких потерь обязательны следующие меры:

Если в результате аварии развертывание HDS в основном центре обработки данных станет недоступно, выполните следующую процедуру, чтобы вручную выполнить аварийное переключение на резервный центр обработки данных.

Прежде чем начать

Отмените регистрацию всех узлов в Partner Hub, как указано в Удаление узла. Используйте последний ISO-файл, настроенный для узлов кластера, который ранее был активен, для выполнения процедуры переключения при отказе, описанной ниже.
1

Запустите средство настройки HDS и следуйте инструкциям в разделе Создание ISO-образа конфигурации для хостов HDS.

2

Завершите процесс настройки и сохраните ISO-файл в месте, которое будет легко найти.

3

Создайте резервную копию ISO-файла на локальной системе. Сохраните резервную копию в надежном месте. Этот файл содержит главный ключ шифрования содержимого базы данных. Ограничьте доступ только тем администраторам гибридной безопасности данных, которые должны вносить изменения в конфигурацию.

4

На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры.

5

Нажмите Изменить настройки. >CD/DVD Диск 1 и выберите файл ISO хранилища данных.

Убедитесь, что флажки Подключено и Подключаться при включении питания установлены, чтобы обновленные изменения конфигурации вступили в силу после запуска узлов.

6

Включите узел HDS и убедитесь, что в течение как минимум 15 минут не будет никаких сигналов тревоги.

7

Зарегистрируйте узел в партнерском хабе. Ссылка Зарегистрируйте первый узел в кластере.

8

Повторите процесс для каждого узла в резервном центре обработки данных.

Дальнейшие действия

Если после аварийного переключения основной центр обработки данных снова станет активным, отмените регистрацию узлов резервного центра обработки данных и повторите процесс настройки ISO и регистрации узлов основного центра обработки данных, как указано выше.

(Необязательно) Размонтируйте ISO после настройки HDS

Стандартная конфигурация HDS работает с смонтированным ISO-образом. Однако некоторые клиенты предпочитают не оставлять ISO-файлы постоянно подключенными. Вы сможете размонтировать ISO-файл после того, как все узлы HDS примут новую конфигурацию.

Для внесения изменений в конфигурацию по-прежнему используются файлы ISO. При создании нового ISO-образа или обновлении ISO-образа с помощью инструмента настройки необходимо смонтировать обновленный ISO-образ на всех узлах HDS. После того, как все ваши узлы примут изменения конфигурации, вы можете снова размонтировать ISO-образ, выполнив эту процедуру.

Прежде чем начать

Обновите все ваши узлы HDS до версии 2021.01.22.4720 или более поздней.

1

Отключите один из узлов HDS.

2

В vCenter Server Appliance выберите узел HDS.

3

Выберите Изменить настройки > CD/DVD диск и снимите флажок Файл ISO хранилища данных.

4

Включите узел HDS и убедитесь, что в течение как минимум 20 минут не будет никаких сигналов тревоги.

5

Повторите эти действия для каждого узла HDS по очереди.

Устранение неполадок безопасности гибридных данных

Просмотр оповещений и устранение неполадок

Развертывание гибридной системы безопасности данных считается недоступным, если все узлы в кластере недоступны или кластер работает настолько медленно, что запросы обрабатываются с задержкой. Если пользователи не могут получить доступ к вашему кластеру гибридной безопасности данных, они испытывают следующие симптомы:

  • Новые пространства не могут быть созданы (невозможно создать новые ключи)

  • Сообщения и заголовки пространств не расшифровываются для:

    • Новые пользователи добавлены в пространство (невозможно получить ключи)

    • Существующие пользователи в пространстве используют новый клиент (невозможно получить ключи)

  • Существующие пользователи в пространстве будут продолжать успешно работать до тех пор, пока у их клиентов есть кэш ключей шифрования.

Важно, чтобы вы надлежащим образом контролировали свой кластер гибридной безопасности данных и оперативно реагировали на любые оповещения, чтобы избежать перебоев в обслуживании.

Предупреждения

Если возникают проблемы с настройкой гибридной безопасности данных, Partner Hub отображает оповещения администратору организации и отправляет электронные письма на настроенный адрес электронной почты. Оповещения охватывают множество распространенных сценариев.

Таблица 1. Распространенные проблемы и шаги по их решению

Предупреждать

Действие

Ошибка доступа к локальной базе данных.

Проверьте наличие ошибок базы данных или проблем с локальной сетью.

Ошибка подключения к локальной базе данных.

Проверьте, доступен ли сервер базы данных и использовались ли правильные учетные данные учетной записи службы при настройке узла.

Ошибка доступа к облачному сервису.

Проверьте, могут ли узлы получить доступ к серверам Webex, как указано в Требованиях к внешнему подключению.

Продление регистрации облачного сервиса.

Регистрация в облачных сервисах прекращена. Продление регистрации находится в процессе.

Регистрация облачного сервиса прекращена.

Регистрация в облачных сервисах прекращена. Сервис закрывается.

Услуга еще не активирована.

Активируйте HDS в Partner Hub.

Настроенный домен не соответствует сертификату сервера.

Убедитесь, что сертификат вашего сервера соответствует настроенному домену активации службы.

Наиболее вероятная причина заключается в том, что CN-номер сертификата был недавно изменен и теперь отличается от CN, который использовался при первоначальной настройке.

Не удалось выполнить аутентификацию в облачных сервисах.

Проверьте точность и возможный срок действия учетных данных сервисной учетной записи.

Не удалось открыть локальный файл хранилища ключей.

Проверьте целостность и правильность пароля в локальном файле хранилища ключей.

Сертификат локального сервера недействителен.

Проверьте дату истечения срока действия сертификата сервера и убедитесь, что он был выдан доверенным центром сертификации.

Невозможно опубликовать метрики.

Проверьте доступ локальной сети к внешним облачным сервисам.

/media/configdrive/hds каталог не существует.

Проверьте конфигурацию монтирования ISO на виртуальном хосте. Убедитесь, что файл ISO существует, настроен на монтирование при перезагрузке и успешно монтируется.

Настройка организации-арендатора не завершена для добавленных организаций

Завершите настройку, создав CMK для новых организаций-арендаторов с помощью инструмента настройки HDS.

Настройка организации-арендатора не завершена для удаленных организаций

Завершите настройку, отозвав CMK организаций-арендаторов, которые были удалены с помощью инструмента настройки HDS.

Устранение неполадок безопасности гибридных данных

При устранении неполадок, связанных с гибридной безопасностью данных, используйте следующие общие рекомендации.
1

Проверьте Partner Hub на наличие оповещений и исправьте все обнаруженные там ошибки. Для справки смотрите изображение ниже.

2

Проверьте выходные данные сервера syslog на предмет активности развертывания гибридной системы безопасности данных. Фильтруйте по таким словам, как «Предупреждение» и «Ошибка», чтобы облегчить устранение неполадок.

3

Обратитесь в службу поддержки Cisco.

Другие заметки

Известные проблемы безопасности гибридных данных

  • Если вы отключите кластер гибридной безопасности данных (удалив его в Partner Hub или отключив все узлы), потеряете файл конфигурации ISO или потеряете доступ к базе данных хранилища ключей, пользователи приложения Webex из организаций клиентов больше не смогут использовать пространства в своем списке людей, созданные с помощью ключей из вашего KMS. В настоящее время у нас нет способа обойти или исправить эту проблему, и мы настоятельно рекомендуем вам не отключать службы HDS, пока они обрабатывают активные учетные записи пользователей.

  • Клиент, имеющий существующее подключение ECDH к KMS, поддерживает это подключение в течение определенного периода времени (вероятно, одного часа).

Запустите средство настройки HDS с помощью Podman Desktop

Podman — это бесплатный инструмент управления контейнерами с открытым исходным кодом, который позволяет запускать, управлять и создавать контейнеры. Podman Desktop можно загрузить с https://podman-desktop.io/downloads.

  • Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить к нему доступ, загрузите и запустите Podman на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Control Hub с полными правами администратора вашей организации.

    Если в вашей среде инструмент настройки HDS работает через прокси-сервер, укажите параметры прокси-сервера (сервер, порт, учетные данные) через переменные среды Docker при запуске контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.

    Описание

    Переменная

    HTTP-прокси без аутентификации

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-прокси без аутентификации

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-прокси с аутентификацией

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-прокси с аутентификацией

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Создаваемый вами файл конфигурации ISO содержит главный ключ, шифрующий базу данных PostgreSQL или Microsoft SQL Server. Последняя копия этого файла необходима вам всякий раз, когда вы вносите изменения в конфигурацию, например:

    • Учетные данные базы данных

    • Обновления сертификатов

    • Изменения в политике авторизации

  • Если вы планируете шифровать соединения с базой данных, настройте развертывание PostgreSQL или SQL Server для TLS.

В процессе настройки гибридной защиты данных создается ISO-файл. Затем вы используете ISO для настройки хоста гибридной безопасности данных.

1

Введите соответствующую команду для вашей среды в командной строке компьютера.

В обычных средах:

podman rmi ciscocitg/hds-setup:stable

В средах FedRAMP:

podman rmi ciscocitg/hds-setup-fedramp:stable

На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать.

2

Чтобы войти в реестр образов Docker, введите следующее.

podman login docker.io -u hdscustomersro
3

Введите в запросе пароля этот хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Скачайте последнюю стабильную версию образа для вашей среды.

В обычных средах:

podman pull ciscocitg/hds-setup:stable

В средах FedRAMP:

podman pull ciscocitg/hds-setup-fedramp:stable
5

По завершении скачивания введите соответствующую команду для вашей среды.

  • В обычных средах без прокси:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • В обычных средах с HTTP-прокси:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В обычных средах с HTTPS-прокси:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • В средах FedRAMP без прокси:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTP-прокси:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • В средах FedRAMP с HTTPS-прокси:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

Дальнейшие действия

Выполните оставшиеся шаги в разделе Создание ISO-образа конфигурации для хостов HDS или Изменение конфигурации узла, чтобы создать или изменить конфигурацию ISO.

Переместите существующее развертывание однопользовательской HDS партнерской организации в Control Hub в многопользовательскую настройку HDS в Partner Hub.

Преобразование существующего однопользовательского развертывания HDS партнерской организации, управляемого в Control Hub, в многопользовательское развертывание HDS, управляемое в Partner Hub, в первую очередь включает деактивацию службы HDS в Control Hub, отмену регистрации узлов и удаление кластера. Затем вы можете войти в Partner Hub, зарегистрировать узлы, активировать Multi-Tenant HDS и добавить клиентов в свой кластер.

Термин «однопользовательская» просто относится к существующему развертыванию HDS в Control Hub.

Деактивируйте HDS, отмените регистрацию узлов и удалите кластер в Control Hub

1

Войдите в Control Hub. На левой панели нажмите Гибрид. На карте «Безопасность гибридных данных» нажмите Изменить настройки.

2

На странице настроек прокрутите страницу вниз до раздела «Деактивировать» и нажмите Деактивировать.

3

После деактивации нажмите на вкладку Ресурсы.

4

На странице Ресурсы перечислены кластеры в вашем развертывании HDS. При нажатии на кластер открывается страница со всеми узлами этого кластера.

5

Нажмите ... справа и нажмите Отменить регистрацию узла. Повторите процесс для всех узлов кластера.

6

Если в вашем развертывании имеется несколько кластеров, повторяйте шаги 4 и 5, пока все узлы не будут отменены.

7

Нажмите Настройки кластера. > Удалять.

8

Нажмите Подтвердить удаление, чтобы отменить регистрацию кластера.

9

Повторите процесс для всех кластеров в вашем развертывании HDS.

После деактивации HDS, отмены регистрации узлов и удаления кластеров на карте гибридной службы данных на Control Hub внизу будет отображаться сообщение Настройка не завершена.

Активируйте Multi-Tenant HDS для партнерской организации в Partner Hub и добавьте клиентов

Прежде чем начать

Все предварительные условия, упомянутые в Требованиях к безопасности многопользовательских гибридных данных, применимы и здесь. Кроме того, убедитесь, что при переходе на Multi-Tenant HDS используются те же база данных и сертификаты.

1

Войдите в партнерский центр. Нажмите Услуги на левой панели.

Для настройки узлов используйте тот же ISO-образ из предыдущего развертывания HDS. Это гарантирует, что сообщения и контент, созданные пользователями в предыдущем развертывании HDS, по-прежнему будут доступны в новой многопользовательской настройке.

2

В разделе «Облачные сервисы» найдите карточку «Гибридная безопасность данных» и нажмите Настроить.

3

На открывшейся странице нажмите Добавить ресурс.

4

В первом поле карточки Добавить узел введите имя кластера, которому вы хотите назначить свой узел гибридной безопасности данных.

Мы рекомендуем вам называть кластер на основе географического расположения узлов кластера. Примеры: «Сан-Франциско» или «Нью-Йорк» или «Даллас».

5

Во втором поле введите внутренний IP-адрес или полное доменное имя (FQDN) вашего узла и нажмите Добавить в нижней части экрана.

Этот IP-адрес или полное доменное имя должны совпадать с IP-адресом или именем хоста и доменом, которые вы использовали в Настройка гибридной виртуальной машины безопасности данных.

Появится сообщение о том, что вы можете зарегистрировать свой узел в Webex.
6

Нажмите Перейти к узлу.

Через несколько секунд вы будете перенаправлены на страницу проверки подключения узлов для служб Webex. Если все тесты пройдены успешно, откроется страница «Разрешить доступ к узлу безопасности гибридных данных». Там вы подтверждаете, что хотите предоставить своей организации Webex разрешения на доступ к вашему узлу.

7

Установите флажок Разрешить доступ к вашему гибридному узлу безопасности данных, а затем нажмите Продолжить.

Ваша учетная запись проверена, и сообщение «Регистрация завершена» указывает на то, что ваш узел теперь зарегистрирован в облаке Webex. На странице Гибридная безопасность данных новый кластер, содержащий зарегистрированный вами узел, отображается на вкладке Ресурсы. Узел автоматически загрузит последнюю версию программного обеспечения из облака.
8

Перейдите на вкладку Настройки и нажмите Активировать на карточке состояния HDS.

В нижней части экрана появится сообщение об активации HDS.
9

В разделе Ресурсыщелкните по недавно созданному кластеру.

10

На открывшейся странице нажмите на вкладку Назначенные клиенты.

11

Нажмите Добавить клиентов.

12

Выберите клиента, которого вы хотите добавить, из выпадающего меню.

13

Нажмите Добавить, клиент будет добавлен в кластер.

14

Повторите шаги 11–13, чтобы добавить в кластер нескольких клиентов.

15

После добавления клиентов нажмите Готово в нижней части экрана.

Дальнейшие действия

Запустите инструмент настройки HDS, как описано в разделе Создание основных ключей клиента (CMK) с помощью инструмента настройки HDS, чтобы завершить процесс настройки.

Используйте OpenSSL для создания файла PKCS12

Прежде чем начать

  • OpenSSL — это один из инструментов, который можно использовать для создания файла PKCS12 в нужном формате для загрузки в HDS Setup Tool. Существуют и другие способы сделать это, и мы не поддерживаем и не продвигаем какой-либо один способ в ущерб другому.

  • Если вы все же решите использовать OpenSSL, мы предлагаем вам эту процедуру в качестве руководства, которое поможет вам создать файл, отвечающий требованиям сертификата X.509, изложенным в Требованиях к сертификату X.509. Прежде чем продолжить, ознакомьтесь с этими требованиями.

  • Установите OpenSSL в поддерживаемой среде. Программное обеспечение и документацию см. в https://www.openssl.org.

  • Создайте закрытый ключ.

  • Начните эту процедуру после получения сертификата сервера от вашего центра сертификации (CA).

1

Получив сертификат сервера от вашего центра сертификации, сохраните его как hdsnode.pem.

2

Отобразите сертификат в виде текста и проверьте данные.

openssl x509 -text -noout -in hdsnode.pem

3

Используйте текстовый редактор для создания файла пакета сертификатов с именем hdsnode-bundle.pem. Файл пакета должен включать сертификат сервера, все промежуточные сертификаты CA и сертификаты корневого CA в следующем формате:

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----

4

Создайте файл . p12 с понятным именем kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Проверьте данные сертификата сервера.

  1. openssl pkcs12 -in hdsnode.p12

  2. Введите пароль в ответ на запрос, чтобы зашифровать закрытый ключ и отобразить его в выходных данных. Затем убедитесь, что закрытый ключ и первый сертификат включают строки friendlyName: kms-private-key.

    Пример.

    bash$ openssl pkcs12 -in hdsnode.p12
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
Key Attributes: 
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----

-----END ENCRYPTED PRIVATE KEY-----
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
subject=/CN=hds1.org6.portun.us
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
Bag Attributes
    friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

Дальнейшие действия

Вернуться к Выполните предварительные условия для гибридной безопасности данных. Файл hdsnode.p12 и установленный для него пароль будут использоваться в Создание ISO-образа конфигурации для хостов HDS.

Вы можете повторно использовать эти файлы для запроса нового сертификата по истечении срока действия исходного сертификата.

Трафик между узлами HDS и облаком

Сбор исходящих метрик Трафик

Узлы гибридной безопасности данных отправляют определенные показатели в облако Webex. К ним относятся системные метрики для максимального объема кучи, используемой кучи, загрузки ЦП и количества потоков; метрики синхронных и асинхронных потоков; метрики оповещений, включающих пороговое значение шифрованных соединений, задержку или длину очереди запросов; метрики хранилища данных; и метрики шифрованных соединений. Узлы отправляют зашифрованный ключевой материал по внеполосному (отдельному от запроса) каналу.

Входящий трафик

Узлы гибридной безопасности данных получают следующие типы входящего трафика из облака Webex:

  • Запросы на шифрование от клиентов, которые маршрутизируются службой шифрования

  • Обновления программного обеспечения узла

Настройка прокси Squid для безопасности данных гибридного типа

Невозможно выполнить подключение веб-сокетов через прокси Squid

Прокси-серверы Squid, проверяющие трафик HTTPS, могут мешать установлению соединений websocket (wss:), необходимых для гибридной безопасности данных. В этих разделах приводятся рекомендации по настройке различных версий Squid для игнорирования wss: трафика для правильной работы служб.

Squid 4 и 5

Добавьте директиву on_unsupported_protocol к squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

Мы успешно протестировали гибридную безопасность данных, добавив следующие правила в squid.conf. Эти правила могут изменяться по мере разработки функций и обновления облака Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Была ли статья полезной?
Была ли статья полезной?
ЦеныПриложение WebexСовещанияCallingСообщенияСовместный доступ к экрану
Webex SuiteCallingСовещанияСообщенияSlidoВебинарыEventsКонтакт-центрCPaaSБезопасностьControl Hub
гарнитурыКамерыСерия DeskСерия RoomСерия BoardСерия PhoneПринадлежности
ОбразованиеЗдравоохранениеГосударственный сектор"Финансы";Спорт и шоу-бизнесРабота с клиентамиНекоммерческие организацииСтартапыРабота в гибридном режиме
СкачиванияПрисоединиться к тестовому совещаниюОнлайн-урокиИнтеграцииСпециальные возможностиИнклюзивностьВебинары в режиме реального времени и по запросуСообщество WebexРазработчики WebexНовости и инновации
CiscoОбратиться в службу поддержкиСвязаться с отделом продажWebex BlogНоваторские идеи WebexМагазин брендированной продукции WebexВакансии
  • X
  • LinkedIn
  • Facebook
  • Youtube
  • Instagram
Условия и положенияЗаявление о конфиденциальностиФайлы cookieТоварные знаки
©2025 Cisco и/или филиалы компании. Все права защищены.
Условия и положенияЗаявление о конфиденциальностиФайлы cookieТоварные знаки