- Главная
- /
- Статья
Благодарим вас за обратную связь.
Руководство по развертыванию гибридной многопользовательской системы защиты данных (HDS)
В этой статье
Отправить обратную связь?Новая и измененная информация
Новая и измененная информация
В этой таблице описаны новые функции или возможности, изменения в существующем контенте, а также любые основные ошибки, исправленные в Руководстве по развертыванию многопользовательской гибридной системы защиты данных.
|
Дата |
Внесены изменения |
|---|---|
| 25 марта 2026 г. |
|
|
5 декабря 2025 г. |
|
|
21 ноября 2025 г. |
|
|
8 мая 2025 г. |
|
| 4 марта 2025 г. |
|
|
30 января 2025 г. |
В список поддерживаемых серверов SQL в Требования к серверу базы данныхдобавлена версия SQL Server 2022. |
|
15 января 2025 г. |
Добавлены ограничения многопользовательской гибридной защиты данных. |
|
8 января 2025 г. |
Добавлено примечание в Выполнить первоначальную настройку и загрузить установочные файлы, указывающее на то, что нажатие Настроить на карте HDS в Partner Hub является важным шагом в процессе установки. |
|
7 января 2025 г. |
Обновлены Требования к виртуальному хосту, Схема развертывания гибридной системы защиты данных, и Установите образ HDS Host OVA, чтобы отобразить новые требования ESXi 7.0. |
|
13 декабря 2024 г. |
Впервые опубликовано. |
Отключить гибридную защиту данных для многопользовательского режима
Схема выполнения задачи деактивации HDS в многопользовательском режиме
Выполните следующие шаги, чтобы полностью деактивировать Multi-Tenant HDS.
Прежде чем начать
| 1 |
Удалите всех клиентов из всех ваших кластеров, как указано в Удаление организаций арендаторов. |
| 2 |
Отозвать CMK всех клиентов, как указано в Отозвать CMK арендаторов, удаленных из HDS.. |
| 3 |
Удалите все узлы из всех ваших кластеров, как указано в Удаление узла. |
| 4 |
Удалите все свои кластеры из Partner Hub, используя один из следующих двух способов.
|
| 5 |
На странице обзора Hybrid Data Security нажмите вкладку Настройки и на карточке состояния HDS нажмите Деактивировать HDS |
Вопросы и ответы
Вопросы и ответы
В: Хранятся ли ключи CMK и главный ключ на ISO-образе или в базе данных?
О. Основные ключи клиентов (CMK) хранятся в базе данных и шифруются с помощью мастер-ключа, который хранится в ISO-образе.
В: Используется ли один ключ для шифрования всех данных организаций-клиентов?
О. Нет. Данные каждой организации-клиента шифруются с помощью собственного CMK (главного ключа клиента).
В: Что произойдет, если я отключу HDS в Partner Hub?
О. Некоторые операции, такие как создание рабочего пространства и планирование встреч, будут затронуты немедленно. Существующий контент в пространствах будет доступен до истечения срока действия локального кэша. Через 24 часа пользователи, управляемые партнером, перейдут на облачную систему управления ключами (Cloud KMS), и могут возникнуть проблемы с ранее созданными пространствами и индивидуальными пространствами.
В: После генерации ключа CMK для клиентской организации с помощью инструмента настройки HDS, начинают ли пользователи клиентской организации немедленно использовать многопользовательский режим HDS?
О. Задержка обновления облачного кэша может составлять до 24 часов.
В: Почему при нажатии на кнопку «Добавить клиентов» в Partner Hub я не вижу список клиентов?
О. Обычно это означает, что нет клиентских организаций, которые соответствуют требованиям к лицензированию Cisco Webex.
В: Каковы последствия отключения всех узлов HDS или возникновения проблем в сети, затрагивающих все узлы HDS?
О. Такие операции, как создание рабочих мест и планирование встреч, немедленно подвергаются изменениям. Доступ к существующему контенту возможен только до истечения срока действия локального кэша.
В: Зашифрованы ли пользовательские данные организации-партнера с помощью главного ключа, сгенерированного во время создания ISO-образа?
О. Да. В настоящее время пользовательские данные партнерской организации шифруются с помощью главного ключа. В будущем партнерские организации будут иметь ключи, специфичные для каждого партнера, аналогичные ключам CMK клиентов.
В: Могут ли партнерские организации и организации-арендаторы находиться в разных регионах (например, в США и ЕС)?
О. Да. Партнерские и арендные организации могут располагаться в разных географических регионах.
В: Существует ли какой-либо механизм для переноса ключей обратно в Cloud KMS?
О. Механизма для перемещения ключей обратно в облако после развертывания HDS не существует.
В: Может ли партнер продолжать использовать Cloud KMS и использовать Multi-Tenant HDS исключительно для управления клиентами?
О. Нет, в настоящее время это не поддерживается. Поддержка этой функциональности планируется в будущем.
В: Как партнер может убедиться, что его организация использует многопользовательский HDS для шифрования?
О. Войдите в Партнерский центр. Перейти к Услуги > Гибридная защита данных > Настройки . Если статус HDS активирован, пользователи партнерской организации, а также назначенные клиенты используют многопользовательский режим HDS.
В качестве альтернативы вы можете проверить системные журналы, чтобы убедиться, что HDS активирован. См. Тестирование развертывания гибридной системы защиты данных.
В: Существует ли альтернатива Docker Desktop для запуска инструмента настройки HDS?
О. Да. Pod man Desktop — это альтернатива Docker Desktop с открытым исходным кодом. См. Запуск инструмента HDS Setup с помощью Podman Desktop.
В: Сколько узлов можно развернуть в многопользовательском кластере HDS?
О. Мы рекомендуем использовать минимум два узла и максимум 1000.
В: Какие сетевые требования необходимы для настройки многопользовательской системы HDS?
В: Является ли пакет Pro Pack для Control Hub обязательным требованием для партнерских организаций?
О. Нет. Пакет Pro Pack не является обязательным для партнерских организаций. Для получения помощи в настройке многопользовательской системы HDS обратитесь к своему партнеру Cisco или менеджеру по работе с клиентами.
В: Поддерживается ли HSM в многопользовательской системе HDS?
О. Нет, в настоящее время Multi-Tenant HDS не поддерживает HSM.
В: Можно ли протестировать многопользовательский режим HDS с помощью самоподписанного сертификата?
О. Нет. Для работы многопользовательской системы HDS требуется сертификат, полученный от доверенного центра сертификации, который соответствует всем требованиям, указанным в Требования к сертификатам X.509.
В: Нужно ли каждый раз монтировать ISO-образ при добавлении нового клиента в Partner Hub?
О. Нет. ISO-образ нужно монтировать только при изменении конфигурации ISO-образа. При добавлении нового клиента в Partner Hub убедитесь, что вы можете создавать ключи CMK с помощью инструмента настройки HDS. См. Создание основных ключей клиента (CMK) с помощью инструмента настройки HDS.
В: После развертывания Multi-Tenant HDS на Partner Hub, начинают ли пользователи партнерской организации использовать локальную систему управления ключами (KMS) для управления ключами?
О. Пользователи начнут использовать локальную систему управления ключами (KMS) для управления ключами только после активации HDS в Partner Hub.
Начните работу с гибридной многопользовательской защитой данных.
Обзор гибридной системы безопасности данных для многопользовательского режима
С самого начала при разработке приложения Webex основное внимание уделялось безопасности данных. Основой этой безопасности является сквозное шифрование контента, обеспечиваемое взаимодействием клиентов Webex App со службой управления ключами (KMS). KMS отвечает за создание и управление криптографическими ключами, которые используются клиентами для динамического шифрования и расшифровки сообщений и файлов.
По умолчанию все клиенты Webex App получают сквозное шифрование с динамическими ключами, хранящимися в облачном KMS, в среде безопасности Cisco. Служба безопасности данных гибридного типа перемещает KMS и другие функции безопасности в корпоративный центр обработки данных, поэтому доступ к ключам для зашифрованного контента будет только у вас.
Многопользовательская гибридная защита данных позволяет организациям использовать HDS через доверенного локального партнера, который может выступать в качестве поставщика услуг и управлять локальным шифрованием и другими службами безопасности. Такая конфигурация позволяет партнерской организации полностью контролировать развертывание и управление ключами шифрования, а также гарантирует защиту пользовательских данных организаций-заказчиков от внешнего доступа. Партнерские организации настраивают экземпляры HDS и создают кластеры HDS по мере необходимости. В отличие от стандартного развертывания HDS, которое ограничено одной организацией, каждый экземпляр может поддерживать несколько клиентских организаций.
Это также позволяет небольшим организациям использовать HDS, поскольку служба управления ключами и инфраструктура безопасности, такая как центры обработки данных, принадлежат доверенному местному партнеру.
Как гибридная защита данных в многопользовательском режиме обеспечивает суверенитет и контроль над данными
- Контент, созданный пользователями, защищен от внешнего доступа, например, со стороны поставщиков облачных услуг.
- Местные проверенные партнеры управляют ключами шифрования клиентов, с которыми у них уже налажены отношения.
- Возможность получения местной технической поддержки, если она предоставляется партнером.
- Поддерживает контент для совещаний, обмена сообщениями и звонков.
Данный документ призван помочь партнерским организациям в настройке и управлении клиентами в рамках многопользовательской гибридной системы защиты данных.
Ограничения гибридной защиты данных в многопользовательских средах
- У организаций-партнеров не должно быть активных развертываний HDS в Control Hub.
- Организации-арендаторы или клиенты, желающие, чтобы управление ими осуществлял партнер, не должны иметь существующей развертывания HDS в Control Hub.
- После развертывания партнером многопользовательской системы HDS все пользователи клиентских организаций, а также пользователи партнерской организации начинают использовать многопользовательскую систему HDS для своих услуг шифрования.
Партнерская организация и организации-клиенты, которыми они управляют, будут использовать одну и ту же многопользовательскую конфигурацию HDS.
После развертывания Multi-Tenant HDS партнерская организация больше не будет использовать облачную систему управления знаниями (KMS).
- Механизма для перемещения ключей обратно в Cloud KMS после развертывания HDS не существует.
- Роли администратора имеют определенные ограничения; подробности см. в разделе ниже.
Роли в обеспечении безопасности данных в многопользовательских гибридных средах
- Полноправный администратор партнера - Может управлять настройками для всех клиентов, которыми управляет партнер. Также может назначать роли администратора существующим пользователям в организации и назначать определенных клиентов, которыми будут управлять администраторы партнера.
- Администратор партнера - Может управлять настройками для клиентов, которых администратор создал или которые были назначены пользователю.
- Полный администратор - Администратор партнерской организации, уполномоченный выполнять такие задачи, как изменение настроек организации, управление лицензиями и назначение ролей.
- Комплексная настройка и управление многопользовательской системой HDS для всех клиентских организаций - Требуются права полного администратора партнера и права полного администратора.
- Управление назначенными организациями арендаторов - Требуются права администратора-партнера и права полного администратора.
Архитектура области безопасности
Облачная архитектура Webex разделяет различные типы услуг на отдельные области, или домены доверия, как показано ниже.
Чтобы лучше понять концепцию гибридной защиты данных, давайте сначала рассмотрим чисто облачный вариант, где Cisco предоставляет все функции в своих облачных средах. Служба идентификации, единственное место, где можно напрямую связать пользователей с их личной информацией, такой как адрес электронной почты, логически и физически отделена от зоны безопасности в центре обработки данных B. Обе эти зоны, в свою очередь, отделены от зоны, где в конечном итоге хранится зашифрованный контент, в центре обработки данных C.
На этой диаграмме клиентом является приложение Webex, работающее на ноутбуке пользователя и прошедшее аутентификацию в службе идентификации. Когда пользователь составляет сообщение для отправки в пространство, происходят следующие шаги:
-
Клиент устанавливает защищенное соединение со службой управления ключами (KMS), а затем запрашивает ключ для шифрования сообщения. В защищенном соединении используется протокол ECDH, а KMS шифрует ключ с помощью мастер-ключа AES-256.
-
Сообщение шифруется перед отправкой с клиентского компьютера. Клиент отправляет данные в службу индексирования, которая создает зашифрованные поисковые индексы для облегчения поиска контента в будущем.
-
Зашифрованное сообщение отправляется в службу проверки соответствия для проведения соответствующих проверок.
-
Зашифрованное сообщение хранится в области хранения.
При развертывании гибридной системы защиты данных вы переносите функции обеспечения безопасности (KMS, индексирование и соответствие требованиям) в свой локальный центр обработки данных. Остальные облачные сервисы, входящие в состав Webex (включая хранение идентификационных данных и контента), остаются в ведении Cisco.
Сотрудничество с другими организациями
Пользователи в вашей организации могут регулярно использовать приложение Webex для совместной работы с внешними участниками из других организаций. Когда один из ваших пользователей запрашивает ключ для пространства, принадлежащего вашей организации (поскольку оно было создано одним из ваших пользователей), ваша система управления ключами (KMS) отправляет ключ клиенту по защищенному каналу ECDH. Однако, если ключ для пространства принадлежит другой организации, ваша система управления ключами (KMS) перенаправляет запрос в облако Webex через отдельный канал ECDH, чтобы получить ключ от соответствующей системы KMS, а затем возвращает ключ вашему пользователю по исходному каналу.
Служба KMS, работающая в организации A, проверяет соединения с KMS в других организациях, используя сертификаты PKI x.509. См. Подготовка среды для получения подробной информации о создании сертификата x.509 для использования в развертывании гибридной многопользовательской системы защиты данных.
Ожидания от развертывания гибридной системы защиты данных
Внедрение гибридной системы защиты данных требует значительных усилий и осознания рисков, связанных с владением ключами шифрования.
Для развертывания гибридной системы защиты данных необходимо предоставить следующие данные:
-
Защищенный центр обработки данных в стране, которая является поддерживаемым местоположением для планов Cisco Webex Teams .
-
Оборудование, программное обеспечение и сетевой доступ, описанные в Подготовка вашей среды.
Полная потеря либо созданного вами ISO-образа конфигурации для Hybrid Data Security, либо предоставленной вами базы данных приведет к потере ключей. Потеря ключа препятствует расшифровке содержимого пространства и других зашифрованных данных в приложении Webex. В этом случае вы можете создать новое развертывание, но будет виден только новый контент. Во избежание потери доступа к данным необходимо:
-
Обеспечьте резервное копирование и восстановление базы данных и конфигурационного ISO-образа.
-
Будьте готовы к быстрому восстановлению после катастрофы, например, в случае сбоя диска в базе данных или аварии в центре обработки данных.
Механизма для перемещения ключей обратно в облако после развертывания HDS не существует.
Процесс настройки высокого уровня
В данном документе описываются настройка и управление развертыванием гибридной системы защиты данных в многопользовательском режиме:
-
Настройка гибридной защиты данных— Это включает подготовку необходимой инфраструктуры и установку программного обеспечения для гибридной защиты данных, создание кластера HDS, добавление организаций-арендаторов в кластер и управление их основными ключами клиентов (CMK). Это позволит всем пользователям ваших клиентских организаций использовать ваш кластер гибридной защиты данных для выполнения функций безопасности.
Этапы настройки, активации и управления подробно описаны в следующих трех главах.
-
Поддерживайте работоспособность вашей гибридной системы защиты данных— Облако Webex автоматически обеспечивает постоянные обновления. Ваш ИТ-отдел может обеспечить поддержку первого уровня для этого развертывания и, при необходимости, привлечь поддержку Cisco. В Partner Hub вы можете использовать уведомления на экране и настроить оповещения по электронной почте.
-
Ознакомьтесь с распространенными оповещениями, шагами по устранению неполадок и известными проблемами— Если у вас возникли проблемы с развертыванием или использованием Hybrid Data Security, последняя глава этого руководства и приложение «Известные проблемы» могут помочь вам определить и устранить проблему.
Гибридная модель развертывания системы защиты данных
В корпоративном центре обработки данных вы развертываете Hybrid Data Security как единый кластер узлов на отдельных виртуальных хостах. Узлы взаимодействуют с облаком Webex через защищенные веб-сокеты и защищенный HTTP-протокол.
В процессе установки мы предоставляем вам OVA-файл для настройки виртуального устройства на предоставленных вами виртуальных машинах. С помощью инструмента HDS Setup Tool вы создадите пользовательский ISO-файл конфигурации кластера, который будете монтировать на каждом узле. Кластер Hybrid Data Security использует предоставленный вами сервер Syslogd и базу данных PostgreSQL или Microsoft SQL Server. (Параметры подключения к Syslogd и базе данных настраиваются в инструменте настройки HDS.)
Минимальное количество узлов, которое может быть в кластере, составляет два. Мы рекомендуем не менее трех таких кластеров на каждый. Наличие нескольких узлов гарантирует бесперебойную работу сервиса во время обновления программного обеспечения или других работ по техническому обслуживанию узла. (Облачная платформа Webex обновляет только один узел за раз.)
Все узлы в кластере обращаются к одному и тому же хранилищу ключей и регистрируют активность на одном и том же сервере syslog. Сами узлы не сохраняют состояние и обрабатывают ключевые запросы поочередно, в соответствии с указаниями облака.
Узлы становятся активными после их регистрации в Partner Hub. Чтобы вывести отдельный узел из эксплуатации, вы можете отменить его регистрацию, а затем, при необходимости, зарегистрировать его заново.
Резервный центр обработки данных для аварийного восстановления
В процессе развертывания вы создаете защищенный резервный центр обработки данных. В случае аварии в центре обработки данных вы можете вручную переключить развертывание на резервный центр обработки данных.
Базы данных активного и резервного центров обработки данных синхронизированы друг с другом, что позволит минимизировать время, необходимое для переключения на резервный сервер.
Активные узлы гибридной системы защиты данных всегда должны находиться в том же центре обработки данных, что и активный сервер базы данных.
Создайте резервный центр обработки данных для восстановления после катастрофы.
Выполните следующие шаги для настройки ISO-файла резервного центра обработки данных:
Прежде чем начать
-
Резервный центр обработки данных должен имитировать производственную среду, состоящую из виртуальных машин и резервной базы данных PostgreSQL или Microsoft SQL Server. Например, если в производственной среде запущено 3 виртуальные машины с узлами HDS, то в среде резервного копирования должно быть 3 виртуальные машины. (См. Резервный центр обработки данных для аварийного восстановления для обзора этой модели переключения при сбое.)
-
Убедитесь, что синхронизация баз данных включена между базами данных активных и пассивных узлов кластера.
| 1 |
Запустите инструмент настройки HDS и выполните действия, указанные в Создание ISO-образа конфигурации для хостов HDS. ISO-файл должен представлять собой копию исходного ISO-файла основного центра обработки данных, в который необходимо внести следующие обновления конфигурации. |
| 2 |
После настройки сервера Syslogd нажмите Расширенные настройки |
| 3 |
На странице Расширенные настройки добавьте приведенную ниже конфигурацию, чтобы перевести узел в пассивный режим. В этом режиме узел будет зарегистрирован в организации и подключен к облаку, но не будет обрабатывать трафик.
|
| 4 |
Завершите процесс настройки и сохраните ISO-файл в легкодоступном месте. |
| 5 |
Создайте резервную копию ISO-файла на своем локальном компьютере. Сохраните резервную копию в надежном месте. Этот файл содержит главный ключ шифрования для содержимого базы данных. Ограничьте доступ только для тех администраторов Hybrid Data Security, которым разрешено вносить изменения в конфигурацию. |
| 6 |
В левой панели навигации клиента VMware vSphere щелкните правой кнопкой мыши по виртуальной машине и выберите Редактировать параметры.. |
| 7 |
Нажмите Редактировать настройки >CD/DVD Диск 1 и выберите ISO-файл хранилища данных. Убедитесь, что установлены флажки Connected и Connect at power on, чтобы обновленные изменения конфигурации вступили в силу после запуска узлов. |
| 8 |
Включите узел HDS и убедитесь, что в течение как минимум 15 минут не поступает никаких сигналов тревоги. |
| 9 |
Повторите этот процесс для каждого узла в резервном центре обработки данных. Проверьте системные журналы, чтобы убедиться, что узлы находятся в пассивном режиме. В системных журналах должно отображаться сообщение «KMS настроен в пассивном режиме». |
Дальнейшие действия
После настройки passiveMode в ISO-файле и его сохранения вы можете создать еще одну копию ISO-файла без настройки passiveMode и сохранить ее в безопасном месте. Эта копия ISO-файла без настроенных passiveMode может помочь в быстром процессе переключения на резервный сервер во время аварийного восстановления. См. Восстановление после сбоя с использованием резервного центра обработки данных для получения подробной информации о процедуре переключения на резервный сервер.
Поддержка прокси
Служба безопасности данных гибридного типа поддерживает явные прокси, прозрачные прокси с проверкой и прокси без проверки. Чтобы обеспечить защиту и мониторинг трафика из сети предприятия в облако, можно связать эти прокси с развертыванием. После настройки прокси на узлах административный интерфейс платформы на узлах можно использовать для управления сертификатами и просмотра общего состояния соединений.
Узлы безопасности данных гибридного типа поддерживают указанные далее параметры прокси.
-
Без прокси— Значение по умолчанию, если вы не используете хранилище доверенных сертификатов для настройки узла HDS & Настройка прокси-сервера для интеграции прокси. Обновление сертификата не требуется.
-
Прозрачный прокси-сервер без проверки— Узлы не настроены на использование конкретного адреса прокси-сервера и не должны требовать каких-либо изменений для работы с прокси-сервером без проверки. Обновление сертификата не требуется.
-
Прозрачное туннелирование или проверка прокси-сервера— Узлы не настроены на использование конкретного адреса прокси-сервера. На узлах не нужно изменять конфигурацию HTTP или HTTPS. Как бы то ни было, для обеспечения доверия прокси узлам необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже HTTPS).
-
Явный прокси— При использовании явного прокси вы указываете узлам HDS, какой прокси-сервер и схему аутентификации использовать. Для настройки явного прокси на каждом узле нужно ввести следующую информацию.
-
Прокси IP/FQDN— Адрес, который можно использовать для доступа к прокси-серверу.
-
Порт прокси— Номер порта, который прокси использует для прослушивания трафика, передаваемого через прокси.
-
Протокол прокси— В зависимости от того, какие протоколы поддерживает ваш прокси-сервер, выберите один из следующих:
-
HTTP – просматривает все запросы, отправляемые клиентом, и управляет этими запросами.
-
HTTPS – обеспечивает работу канала связи с сервером. Клиент получает и проверяет сертификат сервера.
-
-
Тип аутентификации— Выберите один из следующих типов аутентификации:
-
Нет— Дополнительная аутентификация не требуется.
Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.
-
Базовый— Используется HTTP-агентом пользователя для предоставления имени пользователя и пароля при отправке запроса. Использует кодировку Base64.
Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.
Требует ввода имени пользователя и пароля на каждом узле.
-
Дайджест— Используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети.
Этот параметр доступен только в том случае, если в качестве протокола прокси выбран протокол HTTPS.
Требует ввода имени пользователя и пароля на каждом узле.
-
-
Пример узлов безопасности данных гибридного типа и прокси
На этой схеме представлен пример соединения между системой безопасности данных гибридного типа, сетью и прокси. При использовании прозрачного прокси с проверкой или явного прокси с проверкой HTTPS на прокси и узлы безопасности данных гибридного типа необходимо установить один и тот же корневой сертификат.
Режим блокировки разрешения внешних DNS (конфигурации явного прокси)
При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. В развертываниях с конфигурациями явного прокси, которые не допускают разрешения внешних DNS для внутренних клиентов, если узел не может посылать запросы на DNS-серверы, он автоматически переходит в режим блокировки разрешения внешних DNS. В этом режиме можно продолжить регистрацию узла и другие тестирования подключения к прокси.
Подготовка среды
Требования к обеспечению безопасности данных в гибридных средах с многопользовательским доступом
Требования к лицензиям Cisco Webex
Для развертывания гибридной многопользовательской системы защиты данных:
-
Партнерские организации: Свяжитесь со своим партнером Cisco или менеджером по работе с клиентами и убедитесь, что функция многопользовательского режима включена.
-
Организации арендаторов: Для работы Cisco Webex Control Hub необходим пакет Pro Pack. См. https://www.cisco.com/go/pro-pack.
Требования к Docker Desktop
Перед установкой узлов HDS вам потребуется Docker Desktop для запуска программы установки. Компания Docker недавно обновила свою модель лицензирования. Для вашей организации может потребоваться платная подписка на Docker Desktop. Подробности см. в записи блога Docker, " Docker обновляет и расширяет подписки на продукты".
Клиенты, не имеющие лицензии Docker Desktop, могут использовать инструмент управления контейнерами с открытым исходным кодом, такой как Podman Desktop, для запуска, управления и создания контейнеров. См. Запуск инструмента HDS Setup с помощью Podman Desktop для получения подробной информации.
Требования к сертификату X.509
Цепочка сертификатов должна соответствовать следующим требованиям:
|
Требование |
Подробности |
|---|---|
|
По умолчанию мы доверяем центрам сертификации из списка Mozilla (за исключением WoSign и StartCom) по адресу https://wiki.mozilla.org/CA:IncludedCAs. |
|
CN не обязательно должен быть доступен или являться действующим хостом. Мы рекомендуем использовать название, отражающее вашу организацию, например, В коде CN не должно содержаться * (подстановочный знак). CN используется для проверки узлов Hybrid Data Security перед клиентами Webex App. Все узлы Hybrid Data Security в вашем кластере используют один и тот же сертификат. Ваш KMS идентифицирует себя, используя домен CN, а не какой-либо домен, определенный в полях SAN x.509v3. После регистрации узла с этим сертификатом мы не поддерживаем изменение доменного имени CN. |
|
Программное обеспечение KMS не поддерживает подписи SHA1 для проверки соединений с KMS других организаций. |
|
Для изменения формата сертификата можно использовать конвертер, например OpenSSL. Пароль потребуется ввести при запуске программы установки HDS. |
Программное обеспечение KMS не обеспечивает соблюдение ограничений на использование ключей или расширенных ограничений на использование ключей. Некоторые центры сертификации требуют применения расширенных ограничений на использование ключей к каждому сертификату, например, при аутентификации сервера. Допускается использование аутентификации на сервере или других настроек.
Требования к виртуальному хосту
Виртуальные хосты, которые вы будете настраивать в качестве узлов гибридной защиты данных в вашем кластере, должны соответствовать следующим требованиям:
-
По меньшей мере два отдельных хоста (рекомендуется 3), размещенных в одном защищенном центре обработки данных.
-
Установлена и запущена VMware ESXi 7.0 или 8.0.
Если у вас установлена более ранняя версия ESXi, вам необходимо обновить её.
-
Минимум 4 виртуальных процессора, 8 ГБ оперативной памяти, 30 ГБ локального дискового пространства на сервер.
Требования к серверу базы данных
Создайте новую базу данных для хранения ключей. Не используйте базу данных по умолчанию. При установке приложения HDS создается схема базы данных.
Существует два варианта сервера базы данных. Требования к каждому из них следующие:
|
PostgreSQL |
Microsoft SQL Server |
|---|---|
|
|
|
Минимум 8 виртуальных процессоров, 16 ГБ оперативной памяти, достаточно места на жестком диске и мониторинг для обеспечения его бесперебойной работы (рекомендуется 2 ТБ, если вы хотите долгое время использовать базу данных без необходимости увеличения объема хранилища). |
Минимум 8 виртуальных процессоров, 16 ГБ оперативной памяти, достаточно места на жестком диске и мониторинг для обеспечения его бесперебойной работы (рекомендуется 2 ТБ, если вы хотите долгое время использовать базу данных без необходимости увеличения объема хранилища). |
В настоящее время программное обеспечение HDS устанавливает следующие версии драйверов для связи с сервером базы данных:
|
PostgreSQL |
Microsoft SQL Server |
|---|---|
|
JDBC-драйвер PostgreSQL версии 42.2.5 |
Драйвер SQL Server JDBC 4.6 Данная версия драйвера поддерживает SQL Server Always On ( экземпляры отказоустойчивого кластера Always On и группы доступности Always On) . |
Дополнительные требования к аутентификации Windows при работе с Microsoft SQL Server.
Если вы хотите, чтобы узлы HDS использовали аутентификацию Windows для доступа к базе данных хранилища ключей на сервере Microsoft SQL Server, вам потребуется следующая конфигурация в вашей среде:
-
Узлы HDS, инфраструктура Active Directory и MS SQL Server должны быть синхронизированы по протоколу NTP.
-
Учетная запись Windows, которую вы предоставляете узлам HDS, должна иметь read/write доступ к базе данных.
-
DNS-серверы, которые вы предоставляете узлам HDS, должны иметь возможность разрешать ваш центр распространения ключей (KDC).
-
Вы можете зарегистрировать экземпляр базы данных HDS на вашем сервере Microsoft SQL Server в качестве имени участника службы (SPN) в вашей службе Active Directory. См. Регистрация имени участника службы для соединений Kerberos.
Для доступа к базе данных хранилища ключей инструменту установки HDS, программе запуска HDS и локальному KMS необходимо использовать аутентификацию Windows. Они используют данные из вашей конфигурации ISO для построения SPN при запросе доступа с использованием аутентификации Kerberos.
Требования к внешнему подключению
Настройте брандмауэр таким образом, чтобы разрешить приложениям HDS следующие типы подключения:
|
Приложение |
Протокол |
Порт |
Направления из приложения |
Назначение |
|---|---|---|---|---|
|
Гибридные узлы защиты данных |
Протокол TCP |
443 |
Исходящие HTTPS и WSS |
|
|
Инструмент настройки HDS |
Протокол TCP |
443 |
Исходящий HTTPS |
|
Узлы Hybrid Data Security работают либо с трансляцией сетевого доступа (NAT), либо за брандмауэром, при условии, что NAT или брандмауэр разрешают необходимые исходящие соединения с доменными адресами, указанными в предыдущей таблице. Для входящих соединений с узлами Hybrid Data Security никакие порты не должны быть видны из интернета. Внутри вашего центра обработки данных клиентам необходим доступ к узлам Hybrid Data Security через TCP-порты 443 и 22 для административных целей.
URL-адреса хостов Common Identity (CI) зависят от региона. В настоящее время используются следующие хосты CI:
|
Регион |
URL-адреса хостов Common Identity |
|---|---|
|
Северная и Южная Америка |
|
|
Европейский союз |
|
|
Канада |
|
| Сингапур |
|
| Объединенные Арабские Эмираты |
|
Требования к прокси-серверу
-
Мы официально поддерживаем следующие решения для прокси, которые можно интегрировать с узлами безопасности данных гибридного типа:
-
для прозрачных прокси – Cisco Web Security Appliance (WSA);
-
для явных прокси – Squid.
Прокси-серверы Squid, проверяющие HTTPS-трафик, могут препятствовать установлению соединения WebSocket. (wss:) связи. Для решения этой проблемы см. Настройка прокси-серверов Squid для обеспечения безопасности гибридных данных.
-
-
Поддерживаются следующие комбинации типов аутентификации для явных прокси:
-
без аутентификации при использовании HTTP или HTTPS;
-
базовая аутентификация при использовании HTTP или HTTPS;
-
дайджест-аутентификация только при использовании HTTPS;
-
-
При наличии прозрачного прокси с проверкой или явного прокси HTTPS необходимо иметь копию корневого сертификата прокси. Инструкции по развертыванию, приведенные в этом руководстве, содержат информацию о том, как загрузить эту копию в зоны доверия узлов безопасности данных гибридного типа.
-
Сеть, в которой размещены узлы HDS, должна обеспечивать принудительную маршрутизацию исходящего трафика TCP на порте 443 через прокси.
-
Прокси, проверяющие веб-трафик, могут нарушать работу соединений веб-сокетов. Если возникнет эта проблема, обход (отказ от проверки) трафика к
wbx2.comиciscospark.comрешит проблему.
Выполните предварительные условия для обеспечения гибридной защиты данных.
| 1 |
Убедитесь, что в вашей партнерской организации включена функция многопользовательского HDS, и получите учетные данные учетной записи с правами полного администратора партнерской организации и полными правами администратора. Убедитесь, что для вашей организации-клиента Webex включен пакет Pro Pack для Cisco Webex Control Hub. Для получения помощи в этом процессе обратитесь к своему партнеру Cisco или менеджеру по работе с клиентами. У организаций-заказчиков не должно быть уже развернутой системы HDS. |
| 2 |
Выберите доменное имя для развертывания HDS (например, |
| 3 |
Подготовьте идентичные виртуальные хосты, которые вы настроите в качестве узлов гибридной защиты данных в вашем кластере. Вам потребуется как минимум два отдельных хоста (рекомендуется 3), размещенных в одном защищенном центре обработки данных и отвечающих требованиям, указанным в Требования к виртуальным хостам. |
| 4 |
Подготовьте сервер базы данных, который будет выступать в качестве хранилища ключевых данных для кластера, в соответствии с требованиями к серверу базы данных. Сервер базы данных должен располагаться в защищенном центре обработки данных вместе с виртуальными хостами. |
| 5 |
Для быстрого восстановления после катастрофы создайте резервную среду в другом центре обработки данных. Резервная среда имитирует производственную среду, включающую виртуальные машины и резервный сервер базы данных. Например, если в производственной среде запущено 3 виртуальные машины с узлами HDS, то в среде резервного копирования должно быть 3 виртуальные машины. |
| 6 |
Настройте хост syslog для сбора журналов с узлов кластера. Получите сетевой адрес и порт syslog (по умолчанию UDP 514). |
| 7 |
Создайте надежную политику резервного копирования для узлов Hybrid Data Security, сервера базы данных и хоста syslog. Как минимум, чтобы предотвратить невосстановимую потерю данных, необходимо создать резервную копию базы данных и ISO-файла конфигурации, сгенерированного для узлов Hybrid Data Security. Поскольку узлы гибридной защиты данных хранят ключи, используемые для шифрования и дешифрования контента, несоблюдение требований к работоспособности развертывания приведет к НЕВОССТАНОВИМОЙ [] потере этого контента. Клиенты Webex App кэшируют свои ключи, поэтому сбой может быть не сразу заметен, но проявится со временем. Хотя предотвратить временные сбои невозможно, их можно устранить. Однако полная потеря (отсутствие резервных копий) базы данных или ISO-файла конфигурации приведет к невосстановимости данных клиентов. Операторы узлов Hybrid Data Security должны регулярно создавать резервные копии базы данных и ISO-файла конфигурации, а также быть готовыми к восстановлению центра обработки данных Hybrid Data Security в случае катастрофического сбоя. |
| 8 |
Убедитесь, что конфигурация вашего брандмауэра разрешает подключение узлов гибридной системы защиты данных, как указано в Требования к внешнему подключению. |
| 9 |
Установите Docker ( https://www.docker.com) на любой локальной машине под управлением поддерживаемой ОС (Microsoft Windows 10 Professional или Enterprise 64-бит, или Mac OSX Yosemite 10.10.3 или выше) с веб-браузером, который может получить к нему доступ по адресу http://127.0.0.1:8080. Для загрузки и запуска инструмента настройки HDS Setup Tool, который формирует локальную конфигурационную информацию для всех узлов Hybrid Data Security, используется экземпляр Docker. Возможно, вам потребуется лицензия Docker Desktop. См. Требования к Docker Desktop для получения дополнительной информации. Для установки и запуска инструмента настройки HDS локальный компьютер должен иметь подключение, описанное в Требования к внешнему подключению. |
| 10 |
Если вы интегрируете прокси-сервер с Hybrid Data Security, убедитесь, что он соответствует требованиям к прокси-серверу. |
Настройте гибридный кластер защиты данных.
Схема развертывания гибридной системы защиты данных
| 1 |
Выполните первоначальную настройку и загрузите установочные файлы. Загрузите OVA-файл на свой локальный компьютер для дальнейшего использования. |
| 2 |
Создайте ISO-образ конфигурации для хостов HDS. Используйте инструмент настройки HDS для создания ISO-файла конфигурации для узлов Hybrid Data Security. |
| 3 |
Установите образ HDS Host OVA. Создайте виртуальную машину из OVA-файла и выполните начальную настройку, например, параметры сети. Возможность настройки сетевых параметров во время развертывания OVA была протестирована на ESXi 7.0 и 8.0. В более ранних версиях эта опция может быть недоступна. |
| 4 |
Настройка виртуальной машины Hybrid Data Security Войдите в консоль виртуальной машины и укажите учетные данные для входа. Если вы не настроили параметры сети для узла во время развертывания OVA-файла, настройте их соответствующим образом. |
| 5 |
Загрузите и смонтируйте ISO-образ конфигурации HDS. Настройте виртуальную машину, используя конфигурационный файл ISO, созданный с помощью инструмента настройки HDS. |
| 6 |
Настройка узла HDS для интеграции прокси Если сетевая среда требует настройки прокси-сервера, укажите тип прокси-сервера, который вы будете использовать для узла, и при необходимости добавьте сертификат прокси-сервера в хранилище доверенных сертификатов. |
| 7 |
Зарегистрируйте первый узел в кластере. Зарегистрируйте виртуальную машину в облаке Cisco Webex в качестве узла гибридной защиты данных. |
| 8 |
Создайте и зарегистрируйте больше узлов. Завершите настройку кластера. |
| 9 |
Активируйте многопользовательский режим HDS в партнерском центре. Активируйте HDS и управляйте организациями арендаторов в Partner Hub. |
Выполните первоначальную настройку и загрузите установочные файлы.
В этом задании вам нужно загрузить файл OVA на свой компьютер (а не на серверы, которые вы настроили как узлы гибридной защиты данных). Этот файл понадобится вам позже в процессе установки.
| 1 |
Войдите в Partner Hub, а затем нажмите Услуги. |
| 2 |
В разделе «Гибридный режим» найдите карточку «Гибридная защита данных», а затем нажмите Настроить. Нажатие на Настройка в Partner Hub имеет решающее значение для процесса развертывания. Не продолжайте установку, не выполнив этот шаг. |
| 3 |
Нажмите Добавить ресурс и нажмите Загрузить файл .OVA на вкладке Установка и настройка программного обеспечения. Более старые версии программного пакета (OVA) не будут совместимы с последними обновлениями Hybrid Data Security. Это может привести к проблемам при обновлении приложения. Убедитесь, что вы скачали последнюю версию файла OVA. Вы также можете скачать OVA-файл в любое время из раздела Помощь. Нажмите . Загрузка OVA-файла начинается автоматически. Сохраните файл в папку на вашем компьютере.
|
Создайте ISO-образ конфигурации для хостов HDS.
В процессе установки Hybrid Data Security создается ISO-файл. Затем вы используете ISO-образ для настройки хоста Hybrid Data Security.
Прежде чем начать
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные аккаунта Partner Hub с полными правами администратора.
Если у вас нет лицензии Docker Desktop, вы можете использовать Podman Desktop для запуска инструмента настройки HDS, выполнив шаги с 1 по 5 в описанной ниже процедуре. См. Запуск инструмента HDS Setup с помощью Podman Desktop для получения подробной информации.
Если инструмент HDS Setup работает за прокси-сервером в вашей среде, укажите параметры прокси (сервер, порт, учетные данные) через переменные среды Docker при запуске контейнера Docker на шаге 5 ниже. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-прокси без аутентификации
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-прокси с аутентификацией
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS-прокси с аутентификацией
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Созданный вами ISO-файл конфигурации содержит главный ключ для шифрования базы данных PostgreSQL или Microsoft SQL Server. Вам потребуется самая актуальная версия этого файла при каждом внесении изменений в конфигурацию, например, таких:
-
Учетные данные базы данных
-
Обновления сертификатов
-
Изменения в политике авторизации
-
-
Если вы планируете шифровать соединения с базой данных, настройте развертывание PostgreSQL или SQL Server для работы с TLS.
| 1 |
Введите соответствующую команду для вашей среды в командной строке компьютера. В обычных средах: В средах FedRAMP: На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать. | ||||||||||
| 2 |
Чтобы войти в реестр образов Docker, введите следующее. | ||||||||||
| 3 |
Введите в запросе пароля этот хеш: | ||||||||||
| 4 |
Скачайте последнюю стабильную версию образа для вашей среды. В обычных средах: В средах FedRAMP: | ||||||||||
| 5 |
По завершении скачивания введите соответствующую команду для вашей среды.
Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080". | ||||||||||
| 6 |
Инструмент настройки не поддерживает подключение к localhost через http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к localhost. Перейдите в веб-браузере по адресу localhost, Инструмент использует первую запись имени пользователя для установки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартное окно для входа в систему. | ||||||||||
| 7 |
При появлении запроса введите свои учетные данные администратора Partner Hub, а затем нажмите Войти, чтобы разрешить доступ к необходимым сервисам для Hybrid Data Security. | ||||||||||
| 8 |
На странице обзора инструмента настройки нажмите Начать. | ||||||||||
| 9 |
На странице Импорт ISO доступны следующие параметры:
| ||||||||||
| 10 |
Убедитесь, что ваш сертификат X.509 соответствует требованиям, указанным в Требования к сертификату X.509.
| ||||||||||
| 11 |
Введите адрес базы данных и учетную запись, чтобы HDS мог получить доступ к вашему хранилищу ключей: | ||||||||||
| 12 |
Выберите Режим подключения к базе данных TLS:
После загрузки корневого сертификата (при необходимости) и нажатия Продолжитьинструмент настройки HDS проверяет TLS-соединение с сервером базы данных. Инструмент также выполняет проверку источника подписи сертификата и имени узла (если применимо). Если тест не будет пройден, в инструменте будет отображено сообщение об ошибке с описанием проблемы. Можно выбрать параметр игнорирования ошибки и продолжить настройку. (Из-за различий в возможностях подключения узлы HDS могут установить TLS-соединение, даже если машина, использующая инструмент настройки HDS, не сможет успешно его проверить.) | ||||||||||
| 13 |
На странице «Системные журналы» настройте сервер Syslogd: | ||||||||||
| 14 |
(Необязательно) Вы можете изменить значение по умолчанию для некоторых параметров подключения к базе данных в Расширенные настройки. Как правило, это единственный параметр, который вам может понадобиться изменить: | ||||||||||
| 15 |
Нажмите Продолжить на экране Сброс пароля учетных записей служб. Срок действия паролей учетных записей служб составляет девять месяцев. Этот экран следует использовать, если срок действия ваших паролей подходит к концу или вы хотите сбросить их, чтобы аннулировать предыдущие ISO-файлы. | ||||||||||
| 16 |
Нажмите Скачать ISO-файл. Сохраните файл в легкодоступном месте. | ||||||||||
| 17 |
Создайте резервную копию ISO-файла на своем локальном компьютере. Сохраните резервную копию в надежном месте. Этот файл содержит главный ключ шифрования для содержимого базы данных. Ограничьте доступ только для тех администраторов Hybrid Data Security, которым разрешено вносить изменения в конфигурацию. | ||||||||||
| 18 |
Чтобы закрыть программу установки, введите |
Дальнейшие действия
Создайте резервную копию ISO-файла конфигурации. Это необходимо для создания дополнительных узлов для восстановления или для внесения изменений в конфигурацию. Если вы потеряете все копии ISO-файла, вы потеряете и главный ключ. Восстановить ключи из базы данных PostgreSQL или Microsoft SQL Server невозможно.
У нас никогда не бывает копии этого ключа, и мы ничем не сможем помочь, если вы его потеряете.
Установите образ HDS Host OVA.
| 1 |
Для входа в виртуальный хост ESXi используйте клиент VMware vSphere на своем компьютере. |
| 2 |
Выберите Файл > Развернуть шаблон OVF. |
| 3 |
В мастере укажите местоположение загруженного ранее файла OVA, а затем нажмите Далее. |
| 4 |
На странице Выберите имя и папку введите имя виртуальной машины для узла (например, "HDS_Node_1"), выберите место, где может располагаться развернутый узел виртуальной машины, а затем нажмите Далее. |
| 5 |
На странице Выберите вычислительный ресурс выберите целевой вычислительный ресурс, а затем нажмите Далее. Выполняется проверка достоверности. После завершения процесса отобразятся подробные сведения о шаблоне. |
| 6 |
Проверьте данные шаблона, а затем нажмите Далее. |
| 7 |
Если на странице Конфигурация вас попросят выбрать конфигурацию ресурсов, нажмите 4 ЦП и затем нажмите Далее. |
| 8 |
На странице Выбор хранилища нажмите Далее для принятия формата диска по умолчанию и политики хранения виртуальных машин. |
| 9 |
На странице Выбор сетей выберите параметр сети из списка, чтобы обеспечить желаемое подключение к виртуальной машине. |
| 10 |
На странице Настройка шаблона настройте следующие параметры сети:
При желании вы можете пропустить настройку сетевых параметров и выполнить действия, описанные в Настройка виртуальной машины Hybrid Data Security, чтобы настроить параметры из консоли узла. Возможность настройки сетевых параметров во время развертывания OVA была протестирована на ESXi 7.0 и 8.0. В более ранних версиях эта опция может быть недоступна. |
| 11 |
Щелкните правой кнопкой мыши по виртуальной машине узла, затем выберите . Программное обеспечение Hybrid Data Security устанавливается в качестве гостевой системы на хост-машине. Теперь вы готовы войти в консоль и настроить узел. Рекомендации по устранению неисправностей Перед запуском контейнеров узлов может наблюдаться задержка в несколько минут. При первой загрузке на консоли появляется сообщение о межсетевом экране, в течение которого невозможно войти в систему. |
Настройка виртуальной машины Hybrid Data Security
Выполните эту процедуру для первого входа в консоль виртуальной машины узла Hybrid Data Security и установки учетных данных для входа. Также вы можете использовать консоль для настройки сетевых параметров узла, если вы не настроили их во время развертывания OVA-файла.
| 1 |
В клиенте VMware vSphere выберите виртуальную машину узла Hybrid Data Security и перейдите на вкладку Консоль. Виртуальная машина загружается, и появляется запрос на вход в систему. Если приглашение к входу в систему не отображается, нажмите Enter.
|
| 2 |
Для входа в систему и изменения учетных данных используйте следующие логин и пароль по умолчанию: Поскольку вы впервые входите в свою виртуальную машину, вам необходимо изменить пароль администратора. |
| 3 |
Если вы уже настроили параметры сети в Установите HDS Host OVA, пропустите остальную часть этой процедуры. В противном случае, в главном меню выберите пункт Редактировать конфигурацию. |
| 4 |
Настройте статическую конфигурацию, указав IP-адрес, маску подсети, шлюз и DNS-сервер. У вашего узла должен быть внутренний IP-адрес и DNS-имя. Поддержка DHCP отсутствует. |
| 5 |
(Необязательно) При необходимости измените имя хоста, домен или NTP-сервер(ы) в соответствии с политикой вашей сети. Нет необходимости устанавливать домен таким образом, чтобы он совпадал с доменом, который вы использовали для получения сертификата X.509. |
| 6 |
Сохраните сетевые настройки и перезагрузите виртуальную машину, чтобы изменения вступили в силу. |
Загрузите и смонтируйте ISO-образ конфигурации HDS.
Прежде чем начать
Поскольку ISO-файл содержит главный ключ, его следует предоставлять в открытый доступ только тем, кому это необходимо знать, — виртуальным машинам Hybrid Data Security и любым администраторам, которым может потребоваться внести изменения. Убедитесь, что доступ к хранилищу данных имеют только администраторы.
| 1 |
Загрузите ISO-файл со своего компьютера: |
| 2 |
Смонтируйте ISO-файл: |
Дальнейшие действия
Если этого требует ваша ИТ-политика, вы можете дополнительно отмонтировать ISO-файл после того, как все ваши узлы получат изменения конфигурации. См. (Необязательно) Отключение ISO-образа после настройки HDS для получения подробной информации.
Настройка узла HDS для интеграции прокси
Если в сетевой среде необходимо использовать прокси, воспользуйтесь этой процедурой, чтобы указать тип прокси, который нужно интегрировать со службой безопасности данных гибридного типа. При выборе прозрачного прокси с проверкой или явного прокси HTTPS можно использовать интерфейс узла для загрузки и установки корневого сертификата. Кроме того, в интерфейсе можно проверять соединение с прокси и устранять неполадки.
Прежде чем начать
-
См. Поддержка прокси для обзора поддерживаемых параметров прокси.
| 1 |
Введите URL-адрес настройки узла HDS |
| 2 |
Откройте раздел Trust Store & Proxy (Зона доверия и прокси) и выберите один из следующих параметров.
В случае использования прозрачного прокси с проверкой, явного прокси HTTP с базовой аутентификацией или явного прокси HTTPS выполните указанные далее шаги. |
| 3 |
Щелкните Upload a Root Certificate or End Entity Certificate (Загрузить корневой сертификат или сертификат конечного субъекта) и откройте меню для выбора корневого сертификата для прокси. Сертификат будет загружен, но не установлен, поскольку для установки сертификата необходимо перезагрузить узел. Чтобы получить дополнительные сведения, щелкните стрелку-шеврон, расположенную рядом с именем издателя сертификата. Если вы допустили ошибку и хотите вновь загрузить файл, щелкните Delete (Удалить). |
| 4 |
Чтобы протестировать сетевое соединение между узлом и прокси, щелкните Check Proxy Connection (Проверить соединение с прокси). Если тестирование соединения завершится неудачей, на экране появится сообщение об ошибке, в котором будут указаны причина и способ исправления ошибки. Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу. Такая проблема может возникнуть во многих конфигурациях явного прокси. Можно продолжить настройку, и узел будет работать в режиме блокировки разрешения внешних DNS. Если вы считаете, что это ошибка, выполните следующие шаги, а затем см. Отключение режима блокировки внешнего разрешения DNS. |
| 5 |
Если вы используете явный прокси, настроенный на применение исключительно https, после успешного завершения тестирования соединения включите параметр Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси (Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси). Для вступления в силу этого параметра необходимо 15 секунд. |
| 6 |
Щелкните Install All Certificates Into the Trust Store (Установить все сертификаты в зоне доверия) – этот параметр отображается при использовании явного прокси HTTPS или прозрачного прокси с проверкой – или Reboot (Перезагрузить) – этот параметр отображается при использовании явного прокси HTTP. Прочитайте запрос и щелкните Install (Установить), если вы готовы к установке. Узел перезагрузится в течение нескольких минут. |
| 7 |
После перезагрузки узла повторно войдите в систему, если это необходимо, и откройте страницу Обзор, чтобы выполнить проверки соединений. Состояние всех проверок должно быть обозначено зеленым цветом. Проверка соединения с прокси используется исключительно для тестирования поддомена webex.com. Проблемы с соединениями нередко возникают из-за того, что некоторые облачные домены, указанные в инструкциях по установке, блокируются на уровне прокси. |
Зарегистрируйте первый узел в кластере.
При регистрации первого узла вы создаете кластер, к которому этот узел и назначается. Кластер содержит один или несколько узлов, развернутых для обеспечения избыточности.
Прежде чем начать
-
После начала регистрации узла необходимо завершить ее в течение 60 минут, иначе придется начинать заново.
-
Убедитесь, что в вашем браузере отключены все блокировщики всплывающих окон или что вы разрешили доступ к admin.webex.com.
| 1 |
Войдите в https://admin.webex.com. |
| 2 |
В меню в левой части экрана выберите Услуги. |
| 3 |
В разделе «Гибридный» найдите карточку «Гибридная защита данных» и нажмите «Настроить» . |
| 4 |
На открывшейся странице нажмите Добавить ресурс. |
| 5 |
В первом поле карточки Создать новый кластер введите имя кластера, к которому вы хотите привязать узел Hybrid Data Security. Мы рекомендуем присваивать кластеру имя, исходя из географического расположения его узлов. Примеры: «Сан-Франциско», «Нью-Йорк» или «Даллас». |
| 6 |
Во втором поле введите внутренний IP-адрес или полное доменное имя (FQDN) вашего узла и нажмите Добавить внизу экрана. Этот IP-адрес или полное доменное имя должно совпадать с IP-адресом или именем хоста и доменом, которые вы использовали в Настройка виртуальной машины Hybrid Data Security. Появляется сообщение, указывающее на возможность регистрации вашего узла в Webex.
|
| 7 |
Нажмите Перейти к узлу. Через несколько мгновений вы будете перенаправлены на страницу проверки подключения узлов к сервисам Webex. Если все проверки пройдут успешно, появится страница «Разрешить доступ к узлу гибридной защиты данных». Там вы подтверждаете, что хотите предоставить вашей организации Webex права доступа к вашему узлу. |
| 8 |
Установите флажок Разрешить доступ к узлу гибридной защиты данных и затем нажмите Продолжить. Ваша учетная запись подтверждена, и сообщение «Регистрация завершена» указывает на то, что ваш узел теперь зарегистрирован в облаке Webex.
|
| 9 |
Нажмите на ссылку или закройте вкладку, чтобы вернуться на страницу «Партнерский центр по гибридной безопасности данных». На странице Гибридная безопасность данных новый кластер, содержащий зарегистрированный вами узел, отображается на вкладке Ресурсы. Узел автоматически загрузит последнюю версию программного обеспечения из облака.
|
Создайте и зарегистрируйте больше узлов.
Прежде чем начать
-
После начала регистрации узла необходимо завершить ее в течение 60 минут, иначе придется начинать заново.
-
Убедитесь, что в вашем браузере отключены все блокировщики всплывающих окон или что вы разрешили доступ к admin.webex.com.
| 1 |
Создайте новую виртуальную машину из OVA-файла, повторив шаги, описанные в Установите OVA-файл хоста HDS. |
| 2 |
Выполните начальную настройку новой виртуальной машины, повторив шаги, описанные в Настройка виртуальной машины Hybrid Data Security. |
| 3 |
На новой виртуальной машине повторите шаги, описанные в Загрузка и монтирование ISO-образа конфигурации HDS. |
| 4 |
Если вы настраиваете прокси-сервер для развертывания, повторите шаги в Настройка узла HDS для интеграции с прокси-сервером по мере необходимости для нового узла. |
| 5 |
Зарегистрируйте узел. |
Дальнейшие действия
Управление организациями арендаторов в многопользовательской гибридной системе защиты данных.
Активируйте многопользовательский HDS в партнерском центре.
Эта задача гарантирует, что все пользователи организаций-заказчиков смогут начать использовать HDS для локальных ключей шифрования и других служб безопасности.
Прежде чем начать
Убедитесь, что вы завершили настройку многопользовательского кластера HDS с необходимым количеством узлов.
| 1 |
Войдите в https://admin.webex.com. |
| 2 |
В меню в левой части экрана выберите Услуги. |
| 3 |
В разделе «Гибридный режим» найдите «Гибридная защита данных» и нажмите Редактировать настройки. |
| 4 |
Нажмите Активировать HDS на карточке Статус HDS. |
Добавьте организации-арендаторы в Партнерский центр.
В этом задании вам необходимо назначить клиентские организации вашему гибридному кластеру безопасности данных.
| 1 |
Войдите в https://admin.webex.com. |
| 2 |
В меню в левой части экрана выберите Услуги. |
| 3 |
В разделе «Гибридные решения» найдите «Гибридная защита данных» и нажмите Просмотреть все. |
| 4 |
Перейдите на вкладку Назначенные клиенты. Вкладка « Назначенные клиенты » не будет отображаться до тех пор, пока вы не создадите кластер. |
| 5 |
Нажмите Добавить клиентов. |
| 6 |
Выберите из выпадающего меню клиента, которого хотите добавить. |
| 7 |
Нажмите Добавить, и клиент будет добавлен в кластер. |
| 8 |
Повторите шаги с 5 по 7, чтобы добавить несколько клиентов в ваш кластер. |
| 9 |
После добавления клиентов нажмите Готово внизу экрана. Добавленные клиенты будут синхронизированы во всех доступных кластерах. |
Дальнейшие действия
Создайте основные ключи клиента (CMK) с помощью инструмента настройки HDS.
Прежде чем начать
Назначьте клиентов, как указано в Добавьте организации арендаторов в Partner Hub. Запустите инструмент настройки HDS, чтобы завершить процесс настройки для недавно добавленных клиентских организаций.
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные партнерской программы Partner Hub с полными правами администратора вашей организации.
Если инструмент настройки HDS работает за прокси-сервером в вашей среде, укажите параметры прокси (сервер, порт, учетные данные) через переменные среды Docker при запуске контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-прокси без аутентификации
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-прокси с аутентификацией
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS-прокси с аутентификацией
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Созданный вами ISO-файл конфигурации содержит главный ключ для шифрования базы данных PostgreSQL или Microsoft SQL Server. Вам потребуется самая актуальная версия этого файла при каждом внесении изменений в конфигурацию, например, таких:
-
Учетные данные базы данных
-
Обновления сертификатов
-
Изменения в политике авторизации
-
-
Если вы планируете шифровать соединения с базой данных, настройте развертывание PostgreSQL или SQL Server для работы с TLS.
В процессе установки Hybrid Data Security создается ISO-файл. Затем вы используете ISO-образ для настройки хоста Hybrid Data Security.
| 1 |
Введите соответствующую команду для вашей среды в командной строке компьютера. В обычных средах: В средах FedRAMP: На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать. |
| 2 |
Чтобы войти в реестр образов Docker, введите следующее. |
| 3 |
Введите в запросе пароля этот хеш: |
| 4 |
Скачайте последнюю стабильную версию образа для вашей среды. В обычных средах: В средах FedRAMP: |
| 5 |
По завершении скачивания введите соответствующую команду для вашей среды.
Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080". |
| 6 |
Инструмент настройки не поддерживает подключение к localhost через http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к localhost. Перейдите в веб-браузере по адресу localhost, Инструмент использует первую запись имени пользователя для установки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартное окно для входа в систему. |
| 7 |
При появлении запроса введите свои учетные данные администратора Partner Hub, а затем нажмите Войти, чтобы разрешить доступ к необходимым сервисам для Hybrid Data Security. |
| 8 |
На странице обзора инструмента настройки нажмите Начать. |
| 9 |
На странице Импорт ISO нажмите Да. |
| 10 |
Выберите свой ISO-файл в браузере и загрузите его. Для управления ключами CMK обеспечьте подключение к вашей базе данных. |
| 11 |
Перейдите на вкладку Управление ключами доступа арендаторов, где вы найдете следующие три способа управления ключами доступа арендаторов.
|
| 12 |
После успешного создания ключа CMK статус в таблице изменится с Ожидание управления ключом CMK на Ключ CMK управляется. |
| 13 |
Если создание ключа CMK не удастся, отобразится ошибка. |
Удалить организации арендаторов
Прежде чем начать
После удаления пользователи клиентских организаций не смогут использовать HDS для своих нужд шифрования и потеряют все существующие пространства. Прежде чем удалять организации клиентов, пожалуйста, свяжитесь со своим партнером Cisco или менеджером по работе с клиентами.
| 1 |
Войдите в https://admin.webex.com. |
| 2 |
В меню в левой части экрана выберите Услуги. |
| 3 |
В разделе «Гибридные решения» найдите «Гибридная защита данных» и нажмите Просмотреть все. |
| 4 |
На открывшейся странице нажмите вкладку Назначенные клиенты. |
| 5 |
В отображаемом списке клиентских организаций нажмите |
Дальнейшие действия
Завершите процесс удаления, отозвав ключи CMK клиентских организаций, как описано в Отзыв ключей CMK арендаторов, удаленных из HDS.
Отозвать ключи доступа (CMK) у арендаторов, исключенных из системы HDS.
Прежде чем начать
Удалите клиентов, как указано в Удалите организации арендаторов. Запустите инструмент HDS Setup, чтобы завершить процесс удаления для удаленных клиентских организаций.
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные партнерской программы Partner Hub с полными правами администратора вашей организации.
Если инструмент настройки HDS работает за прокси-сервером в вашей среде, укажите параметры прокси (сервер, порт, учетные данные) через переменные среды Docker при запуске контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-прокси без аутентификации
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-прокси с аутентификацией
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS-прокси с аутентификацией
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Созданный вами ISO-файл конфигурации содержит главный ключ для шифрования базы данных PostgreSQL или Microsoft SQL Server. Вам потребуется самая актуальная версия этого файла при каждом внесении изменений в конфигурацию, например, таких:
-
Учетные данные базы данных
-
Обновления сертификатов
-
Изменения в политике авторизации
-
-
Если вы планируете шифровать соединения с базой данных, настройте развертывание PostgreSQL или SQL Server для работы с TLS.
В процессе установки Hybrid Data Security создается ISO-файл. Затем вы используете ISO-образ для настройки хоста Hybrid Data Security.
| 1 |
Введите соответствующую команду для вашей среды в командной строке компьютера. В обычных средах: В средах FedRAMP: На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать. |
| 2 |
Чтобы войти в реестр образов Docker, введите следующее. |
| 3 |
Введите в запросе пароля этот хеш: |
| 4 |
Скачайте последнюю стабильную версию образа для вашей среды. В обычных средах: В средах FedRAMP: |
| 5 |
По завершении скачивания введите соответствующую команду для вашей среды.
Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080". |
| 6 |
Инструмент настройки не поддерживает подключение к localhost через http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к localhost. Перейдите в веб-браузере по адресу localhost, Инструмент использует первую запись имени пользователя для установки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартное окно для входа в систему. |
| 7 |
При появлении запроса введите свои учетные данные администратора Partner Hub, а затем нажмите Войти, чтобы разрешить доступ к необходимым сервисам для Hybrid Data Security. |
| 8 |
На странице обзора инструмента настройки нажмите Начать. |
| 9 |
На странице Импорт ISO нажмите Да. |
| 10 |
Выберите свой ISO-файл в браузере и загрузите его. |
| 11 |
Перейдите на вкладку Управление ключами доступа арендаторов, где вы найдете следующие три способа управления ключами доступа арендаторов.
|
| 12 |
После успешного отзыва ключа CMK организация-клиент больше не будет отображаться в таблице. |
| 13 |
Если аннулирование ключа CMK не удастся, отобразится ошибка. |
Протестируйте развертывание гибридной системы защиты данных.
Протестируйте свою гибридную систему защиты данных.
Прежде чем начать
-
Настройте развертывание гибридной системы защиты данных для нескольких пользователей.
-
Убедитесь, что у вас есть доступ к системному журналу (syslog), чтобы проверить, передаются ли ключевые запросы в вашу многопользовательскую гибридную систему защиты данных.
| 1 |
Ключи для данного пространства устанавливаются его создателем. Войдите в приложение Webex как один из пользователей организации-клиента, а затем создайте пространство. Если вы отключите развертывание гибридной защиты данных, контент в созданных пользователями пространствах станет недоступным после замены кэшированных на стороне клиента копий ключей шифрования. |
| 2 |
Отправляйте сообщения в новое пространство. |
| 3 |
Проверьте вывод системного журнала (syslog), чтобы убедиться, что ключевые запросы передаются в вашу систему гибридной защиты данных (Hybrid Data Security). Если пользователь недавно добавленной клиентской организации выполняет какое-либо действие, идентификатор организации (Org ID) отобразится в журналах, и это можно использовать для проверки того, использует ли организация многопользовательскую архитектуру HDS. Проверьте значение |
Мониторинг состояния гибридной безопасности данных
| 1 |
В Партнерский центрвыберите Услуги в меню в левой части экрана. |
| 2 |
В разделе «Гибридный режим» найдите «Гибридная защита данных» и нажмите Редактировать настройки. Открывается страница «Настройки гибридной защиты данных».
|
| 3 |
В разделе «Уведомления по электронной почте» введите один или несколько адресов электронной почты, разделенных запятыми, и нажмите Enter. |
Управление развертыванием HDS
Управление развертыванием HDS
Используйте описанные здесь задачи для управления развертыванием гибридной системы защиты данных.
Установить расписание обновления кластера
Чтобы установить расписание обновления:
| 1 |
Войдите в Partner Hub. |
| 2 |
В меню в левой части экрана выберите Услуги. |
| 3 |
В разделе «Гибридный режим» найдите «Гибридная защита данных» и нажмите «Настроить» |
| 4 |
На странице «Ресурсы по гибридной безопасности данных» выберите кластер. |
| 5 |
Нажмите на вкладку Настройки кластера. |
| 6 |
На странице «Настройки кластера» в разделе «Расписание обновления» выберите время и часовой пояс для расписания обновления. Примечание. Под указанием часового пояса отображается дата и время следующего доступного обновления. При необходимости вы можете отложить обновление на следующий день, нажав Отложить на 24 часа. |
Изменение конфигурации узла
-
Изменение сертификатов x.509 по истечении срока действия или по другим причинам.
Изменение доменного имени CN сертификата не поддерживается. Домен должен совпадать с исходным доменом, использованным для регистрации кластера.
-
Обновление настроек базы данных для работы с копией базы данных PostgreSQL или Microsoft SQL Server.
Перенос данных с PostgreSQL на Microsoft SQL Server или в обратном направлении не поддерживается. Чтобы переключить среду базы данных, начните новое развертывание службы безопасности данных гибридного типа.
-
Создание новой конфигурации для подготовки нового центра обработки данных.
Из соображений безопасности для учетных записей в службе безопасности данных гибридного типа используются пароли со сроком действия 9 месяцев. После того как инструмент настройки HDS создаст эти пароли, вам нужно будет развернуть их в каждом из своих узлов HDS в файле конфигурации ISO. При приближении даты окончания срока действия пароля команда Webex пришлет вам уведомление с запросом на сброс пароля учетной записи компьютера. (В сообщении электронной почты будет текст "Использование API учетной записи компьютера для обновления пароля".) Если срок действия паролей еще не истек, средство предоставляет два варианта.
-
Мягкий сброс— Старый и новый пароли действуют до 10 дней. Используйте этот период для постепенной замены файла ISO на узлах.
-
Жесткая перезагрузка— Старые пароли перестают работать немедленно.
Если срок действия ваших паролей истекает без сброса, это влияет на работу вашей службы HDS. В этом случае требуется немедленный жесткий сброс и замена файла ISO на всех узлах.
Используйте эту процедуру, чтобы создать новый файл конфигурации ISO и применить его к кластеру.
Прежде чем начать
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные аккаунта Partner Hub с полными правами администратора партнерской программы.
Если у вас нет лицензии Docker Desktop, вы можете использовать Podman Desktop для запуска инструмента настройки HDS, следуя шагам 1.a–1.e в описанной ниже процедуре. См. Запуск инструмента HDS Setup с помощью Podman Desktop для получения подробной информации.
Если инструмент настройки HDS работает за прокси-сервером в вашей среде, укажите параметры прокси (сервер, порт, учетные данные) через переменные среды Docker при запуске контейнера Docker в 1.e. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-прокси без аутентификации
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-прокси с аутентификацией
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS-прокси с аутентификацией
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Для создания новой конфигурации потребуется копия текущего файла конфигурации ISO. Файл ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. Файл ISO необходим для изменения конфигурации, в том числе учетных данных базы данных, обновления сертификатов или изменения политики авторизации.
| 1 |
Запустите инструмент настройки HDS, используя Docker на локальной машине. |
| 2 |
Если у вас запущен только один узел HDS, создайте новую виртуальную машину узла Hybrid Data Security и зарегистрируйте ее, используя новый конфигурационный ISO-файл. Для получения более подробных инструкций см. Создание и регистрация дополнительных узлов. |
| 3 |
Для существующих узлов HDS, в которых используется старый файл конфигурации, необходимо установить файл ISO. Выполните следующую процедуру для каждого узла по очереди, обновив каждый узел до выключения следующего узла. |
| 4 |
Повторите шаг 3, чтобы заменить конфигурацию на каждом оставшемся узле со старой конфигурацией. |
Отключение режима блокировки разрешения внешних DNS
При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. Если DNS-сервер узла не может разрешать общедоступные имена DNS, узел автоматически переходит в режим блокировки разрешения внешних DNS.
Если узлы могут разрешать общедоступные имена DNS через внутренние DNS-серверы, можно отключить этот режим, повторно запустив тестирование подключения к прокси на каждом узле.
Прежде чем начать
| 1 |
В веб-браузере откройте интерфейс узла Hybrid Data Security (IP-адрес). address/setup, Например, https://192.0.2.0/setup), введите учетные данные администратора, которые вы настроили для узла, а затем нажмите Войти. |
| 2 |
Перейдите к разделу Overview (Обзор) (страница по умолчанию). Если режим включен, параметр Blocked External DNS Resolution (Блокировка разрешения внешних DNS) должен иметь значение Yes (Да). |
| 3 |
Перейдите на страницу Trust Store & Proxy (Зона доверия и прокси). |
| 4 |
Щелкните Check Proxy Connection (Проверить соединение с прокси). Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу и он останется в этом режиме. В противном случае после перезапуска узла и возврата на страницу Overview (Обзор) параметр блокировки разрешения внешних DNS должен иметь значение No (Нет). |
Дальнейшие действия
Удаление узла
| 1 |
Используйте клиент VMware vSphere на своем компьютере, чтобы войти в виртуальный хост ESXi и выключить виртуальную машину. |
| 2 |
Удалите узел: |
| 3 |
В клиенте vSphere удалите виртуальную машину. (В левой панели навигации щелкните правой кнопкой мыши по виртуальной машине и выберите Удалить.) Если вы не удаляете виртуальную машину, не забудьте отмонтировать ISO-файл с конфигурацией. Без ISO-файла вы не сможете использовать виртуальную машину для доступа к своим данным безопасности. |
Восстановление после сбоев с использованием резервного центра обработки данных
Наиболее важная услуга, которую предоставляет ваш кластер гибридной защиты данных, — это создание и хранение ключей, используемых для шифрования сообщений и другого контента, хранящегося в облаке Webex. Для каждого пользователя в организации, которому назначена гибридная система защиты данных, запросы на создание новых ключей направляются в кластер. Кластер также отвечает за возврат созданных им ключей всем пользователям, имеющим на них право, например, участникам чата.
Поскольку кластер выполняет важнейшую функцию предоставления этих ключей, крайне важно, чтобы кластер продолжал работать и чтобы существовали надлежащие резервные копии. Потеря базы данных Hybrid Data Security или конфигурационного ISO-образа, используемого для схемы, приведет к НЕВОССТАНОВИМОЙ ПОТЕРЕ клиентского контента. Для предотвращения подобных потерь обязательны следующие меры:
Если в результате аварии развертывание HDS в основном центре обработки данных станет недоступным, выполните следующие действия для ручного переключения на резервный центр обработки данных.
Прежде чем начать
| 1 |
Запустите инструмент настройки HDS и выполните действия, указанные в Создание ISO-образа конфигурации для хостов HDS. |
| 2 |
После настройки сервера Syslogd нажмите Расширенные настройки |
| 3 |
На странице Расширенные настройки добавьте приведенную ниже конфигурацию или удалите конфигурацию
|
| 4 |
Завершите процесс настройки и сохраните ISO-файл в легкодоступном месте. |
| 5 |
Создайте резервную копию ISO-файла на своем локальном компьютере. Сохраните резервную копию в надежном месте. Этот файл содержит главный ключ шифрования для содержимого базы данных. Ограничьте доступ только для тех администраторов Hybrid Data Security, которым разрешено вносить изменения в конфигурацию. |
| 6 |
В левой панели навигации клиента VMware vSphere щелкните правой кнопкой мыши по виртуальной машине и выберите Редактировать параметры.. |
| 7 |
Нажмите Редактировать настройки >CD/DVD Диск 1 и выберите ISO-файл хранилища данных. Убедитесь, что установлены флажки Connected и Connect at power on, чтобы обновленные изменения конфигурации вступили в силу после запуска узлов. |
| 8 |
Включите узел HDS и убедитесь, что в течение как минимум 15 минут не поступает никаких сигналов тревоги. |
| 9 |
Повторите этот процесс для каждого узла в резервном центре обработки данных. Проверьте вывод системного журнала (syslog), чтобы убедиться, что узлы резервного центра обработки данных не находятся в пассивном режиме. Сообщения типа «KMS настроен в пассивном режиме» не должны появляться в системных журналах. |
Дальнейшие действия
(Необязательно) Отмонтируйте ISO-образ после настройки HDS
Стандартная конфигурация HDS работает с подключенным ISO-образом. Однако некоторые клиенты предпочитают не оставлять ISO-файлы постоянно смонтированными. После того, как все узлы HDS подхватят новую конфигурацию, вы можете отмонтировать ISO-файл.
Для внесения изменений в конфигурацию по-прежнему используются ISO-файлы. При создании нового ISO-образа или обновлении существующего ISO-образа с помощью инструмента установки необходимо смонтировать обновленный ISO-образ на всех узлах HDS. После того как все ваши узлы получат изменения конфигурации, вы можете снова отмонтировать ISO-образ, выполнив эту процедуру.
Прежде чем начать
Обновите все узлы HDS до версии 2025.06.02.6983 или более поздней.
| 1 |
Отключите один из узлов HDS. |
| 2 |
В виртуальном устройстве vCenter Server выберите узел HDS. |
| 3 |
Выберите и снимите флажок Файл ISO хранилища данных. |
| 4 |
Включите узел HDS и убедитесь, что в течение как минимум 20 минут не поступает никаких сигналов тревоги. |
| 5 |
Повторите эти действия для каждого узла HDS по очереди. |
Устранение неполадок в гибридной системе защиты данных
Просмотр оповещений и устранение неполадок
Развертывание гибридной системы защиты данных считается недоступным, если все узлы в кластере недоступны или кластер работает настолько медленно, что запросы истекают по таймауту. Если пользователи не могут подключиться к вашему кластеру Hybrid Data Security, они сталкиваются со следующими симптомами:
-
Невозможно создать новые пространства (невозможно создать новые ключи).
-
Сообщения и заголовки пространств не расшифровываются для:
-
В пространство добавлены новые пользователи (не удалось получить ключи).
-
Существующие пользователи в пространстве используют новый клиент (не удается получить ключи).
-
-
Существующие пользователи в данном пространстве будут продолжать успешно работать до тех пор, пока их клиенты имеют кэш ключей шифрования.
Важно надлежащим образом отслеживать состояние кластера Hybrid Data Security и оперативно реагировать на любые оповещения, чтобы избежать сбоев в работе сервиса.
Предупреждения
В случае возникновения проблем с настройкой гибридной системы защиты данных, Partner Hub отображает оповещения администратору организации и отправляет электронные письма на указанный адрес электронной почты. Предупреждения охватывают множество распространенных сценариев.
|
Предупреждать |
Действие |
|---|---|
|
Ошибка доступа к локальной базе данных. |
Проверьте наличие ошибок в базе данных или проблем с локальной сетью. |
|
Сбой подключения к локальной базе данных. |
Убедитесь, что сервер базы данных доступен и что при настройке узла использовались правильные учетные данные сервисной учетной записи. |
|
Сбой доступа к облачному сервису. |
Убедитесь, что узлы могут получить доступ к серверам Webex в соответствии с требованиями к внешнему подключению. |
|
Продление регистрации облачного сервиса. |
Регистрация в облачных сервисах была отменена. Процесс обновления регистрации продолжается. |
|
Регистрация в облачных сервисах прекращена. |
Регистрация в облачных сервисах прекращена. Работа сервиса прекращается. |
|
Услуга еще не активирована. |
Активируйте HDS в партнерском центре. |
|
Настроенный домен не соответствует сертификату сервера. |
Убедитесь, что сертификат вашего сервера соответствует домену активации настроенной службы. Наиболее вероятная причина заключается в том, что CN сертификата был недавно изменен и теперь отличается от CN, который использовался при первоначальной настройке. |
|
Не удалось пройти аутентификацию в облачных сервисах. |
Проверьте правильность и возможное истечение срока действия учетных данных сервисной учетной записи. |
|
Не удалось открыть локальный файл хранилища ключей. |
Проверьте целостность и правильность пароля в локальном файле хранилища ключей. |
|
Сертификат локального сервера недействителен. |
Проверьте срок действия сертификата сервера и убедитесь, что он был выдан доверенным центром сертификации. |
|
Не удалось отправить метрики. |
Проверьте доступ к внешним облачным сервисам через локальную сеть. |
|
/media/configdrive/hds Каталог не существует. |
Проверьте конфигурацию монтирования ISO-образа на виртуальном хосте. Убедитесь, что ISO-файл существует, что он настроен на монтирование при перезагрузке и что монтирование проходит успешно. |
|
Настройка организационной структуры арендатора не завершена для добавленных организаций. |
Завершите настройку, создав ключи CMK для вновь добавленных организаций-арендаторов с помощью инструмента настройки HDS. |
|
Настройка организации арендатора не завершена для удаленных организаций. |
Завершите настройку, отозвав ключи CMK организаций-арендаторов, которые были удалены с помощью инструмента настройки HDS. |
Устранение неполадок в гибридной системе защиты данных
| 1 |
Войдите в Partner Hub. |
| 2 |
В меню в левой части экрана выберите Услуги. |
| 3 |
В разделе «Гибридные системы» найдите «Гибридная защита данных» и нажмите События. |
| 4 |
Просмотрите страницу истории событий на наличие предупреждений и исправьте все обнаруженные там ошибки. Для наглядности смотрите изображение ниже. |
| 5 |
Просмотрите вывод syslog-сервера на предмет активности, связанной с развертыванием гибридной системы защиты данных. Для облегчения поиска и устранения неисправностей используйте фильтры по таким словам, как «Предупреждение» и «Ошибка». |
| 6 |
Другие примечания
Известные проблемы безопасности гибридных данных
-
Если вы отключите все активные кластеры Hybrid Data Security (удалив их в Partner Hub или отключив все узлы), потеряете файл конфигурации ISO или доступ к базе данных хранилища ключей, пользователи Webex App из клиентских организаций больше не смогут использовать пространства в своих списках пользователей, созданные с помощью ключей из вашего KMS. В настоящее время у нас нет обходного пути или решения этой проблемы, и мы настоятельно рекомендуем вам не отключать службы HDS, как только они начнут обрабатывать активные учетные записи пользователей.
-
Клиент, имеющий существующее соединение ECDH с KMS, поддерживает это соединение в течение определенного периода времени (вероятно, одного часа).
Запустите инструмент настройки HDS с помощью Podman Desktop.
Podman — это бесплатный инструмент управления контейнерами с открытым исходным кодом, который позволяет запускать, управлять и создавать контейнеры. Podman Desktop можно скачать по ссылке https://podman-desktop.io/downloads.
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Для доступа к нему загрузите и запустите Podman на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Control Hub с полными правами администратора вашей организации.
Если инструмент настройки HDS работает за прокси-сервером в вашей среде, укажите параметры прокси (сервер, порт, учетные данные) через переменные среды Docker при запуске контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-прокси без аутентификации
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-прокси с аутентификацией
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS-прокси с аутентификацией
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Созданный вами ISO-файл конфигурации содержит главный ключ для шифрования базы данных PostgreSQL или Microsoft SQL Server. Вам потребуется самая актуальная версия этого файла при каждом внесении изменений в конфигурацию, например, таких:
-
Учетные данные базы данных
-
Обновления сертификатов
-
Изменения в политике авторизации
-
-
Если вы планируете шифровать соединения с базой данных, настройте развертывание PostgreSQL или SQL Server для работы с TLS.
В процессе установки Hybrid Data Security создается ISO-файл. Затем вы используете ISO-образ для настройки хоста Hybrid Data Security.
| 1 |
Введите соответствующую команду для вашей среды в командной строке компьютера. В обычных средах: В средах FedRAMP: На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать. |
| 2 |
Чтобы войти в реестр образов Docker, введите следующее. |
| 3 |
Введите в запросе пароля этот хеш: |
| 4 |
Скачайте последнюю стабильную версию образа для вашей среды. В обычных средах: В средах FedRAMP: |
| 5 |
По завершении скачивания введите соответствующую команду для вашей среды.
Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080". |
Дальнейшие действия
Перенесите существующую однопользовательскую конфигурацию HDS партнерской организации в Control Hub в многопользовательскую конфигурацию HDS в Partner Hub.
Переход от существующей однопользовательской конфигурации HDS, управляемой партнерской организацией в Control Hub, к многопользовательской конфигурации HDS, управляемой в Partner Hub, в основном включает в себя деактивацию службы HDS в Control Hub, отмену регистрации узлов и удаление кластера. Затем вы можете войти в Partner Hub, зарегистрировать узлы, активировать Multi-Tenant HDS и добавить клиентов в свой кластер.
Термин «однопользовательская среда» просто обозначает существующее развертывание HDS в Control Hub.
Отключите HDS, отмените регистрацию узлов и удалите все кластеры в Control Hub.
| 1 |
Войдите в Control Hub. В левой панели нажмите Гибрид. На вкладке «Гибридная защита данных» нажмите Редактировать настройки. |
| 2 |
На странице настроек прокрутите вниз до раздела «Деактивировать» и нажмите Деактивировать. |
| 3 |
После деактивации нажмите на вкладку Ресурсы. |
| 4 |
На странице Ресурсы представлен список кластеров в вашей системе HDS. При нажатии на кластер откроется страница со всеми узлами, входящими в этот кластер. |
| 5 |
Нажмите |
| 6 |
Если в вашей системе развернуто несколько кластеров, повторяйте шаги 4 и 5 до тех пор, пока все узлы не будут отменены. |
| 7 |
Нажмите Настройки кластера > Удалять. |
| 8 |
Нажмите Подтвердить удаление, чтобы отменить регистрацию кластера. |
| 9 |
Повторите процесс для всех кластеров в вашей системе развертывания HDS. После деактивации HDS, отмены регистрации узлов и удаления кластеров, в нижней части карточки Hybrid Data Service на Control Hub будет отображаться Настройка не завершена. |
Активируйте многопользовательский режим HDS для партнерской организации в Partner Hub и добавьте клиентов.
Прежде чем начать
Все предварительные условия, указанные в Требованиях к гибридной многопользовательской системе защиты данных, применимы и здесь. Кроме того, убедитесь, что при переходе на многопользовательскую среду HDS используются одна и та же база данных и сертификаты.
| 1 |
Войдите в Партнерский центр. Нажмите Службы в левой панели. Для настройки узлов используйте тот же ISO-образ, что и в предыдущем развертывании HDS. Это обеспечит доступность сообщений и контента, созданных пользователями в предыдущей версии HDS, и в новой многопользовательской конфигурации. |
| 2 |
В разделе «Гибридный» найдите карточку «Гибридная защита данных» и нажмите «Настроить» . |
| 3 |
На открывшейся странице нажмите Добавить ресурс. |
| 4 |
В первом поле карточки Создать кластер введите имя кластера, к которому вы хотите привязать узел Hybrid Data Security. Мы рекомендуем присваивать кластеру имя, исходя из географического расположения его узлов. Примеры: «Сан-Франциско», «Нью-Йорк» или «Даллас». |
| 5 |
Во втором поле введите внутренний IP-адрес или полное доменное имя (FQDN) вашего узла и нажмите Добавить внизу экрана. Этот IP-адрес или полное доменное имя должно совпадать с IP-адресом или именем хоста и доменом, которые вы использовали в Настройка виртуальной машины Hybrid Data Security. Появляется сообщение, указывающее на возможность регистрации вашего узла в Webex.
|
| 6 |
Нажмите Перейти к узлу. Через несколько мгновений вы будете перенаправлены на страницу проверки подключения узлов к сервисам Webex. Если все проверки пройдут успешно, появится страница «Разрешить доступ к узлу гибридной защиты данных». Там вы подтверждаете, что хотите предоставить вашей организации Webex права доступа к вашему узлу. |
| 7 |
Установите флажок Разрешить доступ к узлу гибридной защиты данных и затем нажмите Продолжить. Ваша учетная запись подтверждена, и сообщение «Регистрация завершена» указывает на то, что ваш узел теперь зарегистрирован в облаке Webex. На странице Гибридная безопасность данных новый кластер, содержащий зарегистрированный вами узел, отображается на вкладке Ресурсы. Узел автоматически загрузит последнюю версию программного обеспечения из облака.
|
| 8 |
Перейдите на вкладку Настройки и нажмите Активировать на карточке состояния HDS. Сообщение Активировано HDS" появится внизу экрана.
|
| 9 |
Нажмите на вкладку Назначенные клиенты. |
| 10 |
Нажмите Добавить клиентов. |
| 11 |
Выберите из выпадающего меню клиента, которого хотите добавить. |
| 12 |
Нажмите Добавить, и клиент будет добавлен в кластер. |
| 13 |
Повторите шаги с 11 по 13, чтобы добавить несколько клиентов в ваш кластер. |
| 14 |
После добавления клиентов нажмите Готово внизу экрана. |
Дальнейшие действия
Используйте OpenSSL для генерации файла PKCS12.
Прежде чем начать
-
OpenSSL — это один из инструментов, который можно использовать для придания файлу PKCS12 правильного формата для загрузки в HDS Setup Tool. Существуют и другие способы сделать это, и мы не поддерживаем и не отдаем предпочтение какому-либо одному способу перед другим.
-
Если вы все же решите использовать OpenSSL, мы предоставляем эту процедуру в качестве руководства, которое поможет вам создать файл, соответствующий требованиям к сертификатам X.509, указанным в Требования к сертификатам X.509. Ознакомьтесь с этими требованиями, прежде чем продолжить.
-
Установите OpenSSL в поддерживаемой среде. Программное обеспечение и документацию см. в https://www.openssl.org.
-
Создайте закрытый ключ.
-
Начните эту процедуру после получения сертификата сервера от вашего центра сертификации (ЦС).
| 1 |
После получения сертификата сервера от вашего центра сертификации сохраните его как |
| 2 |
Отобразите сертификат в текстовом виде и проверьте его данные.
|
| 3 |
Используйте текстовый редактор для создания файла пакета сертификатов с именем
|
| 4 |
Создайте файл .p12 с понятным именем
|
| 5 |
Проверьте данные сертификата сервера. |
Дальнейшие действия
Вернуться к Завершите выполнение предварительных условий для гибридной защиты данных. Вы будете использовать файл hdsnode.p12 и установленный для него пароль в Создание ISO-образа конфигурации для хостов HDS.
Вы можете повторно использовать эти файлы для запроса нового сертификата по истечении срока действия исходного.
Обмен данными между узлами HDS и облаком.
Сбор исходящих метрик трафика
Узлы гибридной защиты данных отправляют определенные метрики в облако Webex. К ним относятся системные метрики: максимальный размер кучи, используемая куча, загрузка ЦП и количество потоков; метрики синхронных и асинхронных потоков; метрики оповещений, связанных с пороговым значением количества соединений шифрования, задержкой или длиной очереди запросов; метрики хранилища данных; и метрики соединений шифрования. Узлы передают зашифрованные ключевые данные по внеполосному (отдельному от запроса) каналу.
Входящий трафик
Узлы гибридной защиты данных получают следующие типы входящего трафика из облака Webex:
-
Запросы на шифрование от клиентов, маршрутизируемые службой шифрования.
-
Обновления программного обеспечения узла
Настройка прокси Squid для безопасности данных гибридного типа
Невозможно выполнить подключение веб-сокетов через прокси Squid
Прокси-серверы Squid, проверяющие HTTPS-трафик, могут препятствовать установлению соединений WebSocket (wss:), необходимых для обеспечения безопасности гибридных данных. В этих разделах приведены рекомендации по настройке различных версий Squid для игнорирования трафика wss: для корректной работы сервисов.
Squid 4 и 5
Добавьте директиву on_unsupported_protocol к squid.conf:
on_unsupported_protocol tunnel allSquid 3.5.27
Мы успешно протестировали гибридную защиту данных, добавив следующие правила в squid.conf. Эти правила могут изменяться по мере разработки функций и обновления облака Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allНовая и измененная информация
Новая и измененная информация
В этой таблице описаны новые функции или функциональные возможности, изменения существующего контента, а также любые серьезные ошибки, исправленные в руководстве по развертыванию службы безопасности данных гибридного типа с несколькими клиентами.
|
Дата |
Внесены изменения |
|---|---|
|
13 декабря 2024 г. |
Первый выпуск. |
Деактивация службы безопасности данных гибридного типа с несколькими клиентами
Алгоритм выполнения задач по деактивации HDS с несколькими клиентами
Чтобы полностью деактивировать HDS с несколькими клиентами, выполните приведенные ниже действия.
Перед началом работы
| 1 |
Удалите всех клиентов из всех кластеров, как указано в разделе Удаление клиентских организаций. |
| 2 |
Отозвать CMK всех клиентов, как указано в статье Отозвать CMK клиентов, удаленных из HDS. |
| 3 |
Удалите все узлы из всех кластеров, как описано в разделе Удаление узла. |
| 4 |
Удалите все кластеры из Partner Hub одним из следующих двух способов.
|
| 5 |
Щелкните вкладку Настройки на странице обзора безопасности данных гибридного типа и щелкните Деактивировать HDS на карточке состояния HDS. |
Начало работы с системой безопасности данных гибридного типа с поддержкой нескольких клиентов
Общие сведения о безопасности данных гибридного типа для нескольких клиентов
С самого начала безопасность данных была главной задачей при разработке приложения Webex. В основе этой безопасности лежит сквозное шифрование контента, которое обеспечивается клиентами приложения Webex, взаимодействующими со службой управления ключами (KMS). KMS отвечает за создание и управление криптографическими ключами, которые используются клиентами для динамического шифрования и расшифровки сообщений и файлов.
По умолчанию для всех клиентов приложения Webex обеспечивается сквозное шифрование с использованием динамических ключей, которые хранятся в облаке KMS в области безопасности Cisco. Служба безопасности данных гибридного типа перемещает KMS и другие функции безопасности в корпоративный центр обработки данных, поэтому доступ к ключам для зашифрованного контента будет только у вас.
Служба безопасности данных гибридного типа с поддержкой нескольких клиентов позволяет организациям использовать HDS через доверенного локального партнера, который может выполнять функции поставщика услуг и управлять локальным шифрованием и другими службами безопасности. Эта настройка позволяет партнерской организации осуществлять полный контроль над развертыванием ключей шифрования и управлением ими, а также обеспечивает безопасность данных пользователей клиентских организаций от внешнего доступа. Партнерские организации настраивают экземпляры HDS и при необходимости создают кластеры HDS. Каждый экземпляр может поддерживать несколько клиентских организаций, в отличие от обычного развертывания HDS, которое ограничено одной организацией.
Это также позволяет небольшим организациям использовать HDS, поскольку служба управления ключами и инфраструктура безопасности, например центры обработки данных, принадлежат доверенному локальному партнеру.
Как служба безопасности данных гибридного типа с несколькими клиентами обеспечивает суверенитет и управление данными
- Созданный пользователем контент защищен от внешнего доступа, например от поставщиков облачных услуг.
- Локальные доверенные партнеры управляют ключами шифрования клиентов, с которыми они уже установили взаимоотношения.
- Параметр для локальной технической поддержки, если она предоставлена партнером.
- Поддержка контента совещаний, обмена сообщениями и вызовов.
Этот документ предназначен для помощи партнерским организациям в настройке клиентов и управлении ими в системе безопасности данных гибридного типа с несколькими клиентами.
Роли в службе безопасности данных гибридного типа с несколькими клиентами
- Администратор партнера с полными правами : может управлять настройками для всех клиентов, которыми управляет партнер. Также может назначать роли администратора существующим пользователям в организации и назначать определенных клиентов, которыми будут управлять администраторы партнера.
- Администратор партнера . Может управлять настройками клиентов, подготовленных администратором или назначенных пользователю.
- Администратор с полными правами . Администратор партнерской организации, уполномоченный выполнять такие задачи, как изменение настроек организации, управление лицензиями и назначение ролей.
- Сквозная настройка HDS с несколькими клиентами и управление ими всех клиентских организаций . Требуются права администратора партнера с полными правами и администратора с полными правами.
- Управление назначенными организациями клиента : требуются права администратора партнера и полного администратора.
Архитектура области безопасности
Облачная архитектура Webex разбивает различные типы служб на отдельные области или домены доверия, как показано ниже.
Чтобы получить дополнительные сведения о безопасности данных гибридного типа, давайте сначала рассмотрим этот облачный случай, в котором компания Cisco предоставляет все функции в облачных областях. Служба удостоверений – единственное место, где пользователи могут напрямую соотнести с их персональной информацией, такой как адрес электронной почты, логически и физически отделена от области безопасности в центре обработки данных B. Обе службы в свою очередь отделены от области, в которой в конечном итоге хранится зашифрованный контент, в центре обработки данных C.
На этой схеме клиент представляет собой приложение Webex, запущенное на ноутбуке пользователя и прошедшее аутентификацию с помощью службы удостоверений. При написании пользователем сообщения для отправки в пространство выполняются следующие действия.
-
Клиент устанавливает безопасное соединение со службой управления ключами (KMS), затем запрашивает ключ для шифрования сообщения. Защищенное соединение использует ECDH, а KMS шифрует ключ с помощью главного ключа AES-256.
-
Сообщение шифруется до выхода из клиента. Клиент отправляет его в службу индексации, которая создает зашифрованные индексы поиска для помощи в будущих поисковых запросах контента.
-
Зашифрованное сообщение отправляется в службу обеспечения соответствия для проверки соответствия.
-
Зашифрованное сообщение хранится в области хранилища.
При развертывании службы безопасности данных гибридного типа функции области безопасности (KMS, индексация и соответствие требованиям) перемещаются в локальный центр обработки данных. Другие облачные службы, которые составляют Webex (включая идентификационные данные и хранилище контента), остаются в сферах Cisco.
Сотрудничество с Другими Организациями
Пользователи в вашей организации могут регулярно использовать приложение Webex для совместной работы с внешними участниками из других организаций. Когда один из пользователей запрашивает ключ для пространства, принадлежащего вашей организации (поскольку он был создан одним из пользователей), KMS отправляет ключ клиенту по защищенному каналу ECDH. Однако если ключ для пространства принадлежит другой организации, KMS перенаправляет запрос в облако Webex через отдельный канал ECDH для получения ключа от соответствующего KMS, а затем возвращает ключ пользователю в исходном канале.
Служба KMS, запущенная в организации A, проверяет подключения к KMS в других организациях с помощью сертификатов PKI x.509. Подробные сведения о создании сертификата x.509 для использования с развертыванием службы безопасности данных гибридного типа с несколькими клиентами см. в статье Подготовка среды .
Ожидания развертывания службы безопасности данных гибридного типа
Развертывание службы безопасности данных гибридного типа требует значительных обязательств и осознания рисков, связанных с хранением ключей шифрования.
Для развертывания службы безопасности данных гибридного типа необходимо предоставить:
-
Защищенный центр обработки данных в стране, которая является местоположением, поддерживаемым планами Cisco Webex Teams.
-
Оборудование, программное обеспечение и доступ к сети, описанные в разделе Подготовка среды.
Полная потеря конфигурации ISO, созданной для службы безопасности данных гибридного типа, или предоставленной базы данных приведет к потере ключей. Потеря ключей предотвращает расшифровку контента пространства и других зашифрованных данных в приложении Webex пользователями. В этом случае можно создать новое развертывание, однако будет отображаться только новый контент. Во избежание потери доступа к данным необходимо выполнить приведенные ниже действия.
-
Управление резервным копированием и восстановлением базы данных и конфигурации ISO.
-
Будьте готовы к быстрому аварийному восстановлению в случае аварии, например, сбою диска базы данных или сбою центра обработки данных.
Механизм для перемещения ключей обратно в облако после развертывания HDS отсутствует.
Высокоуровневый процесс настройки
В этом документе описана настройка и управление развертыванием службы безопасности данных гибридного типа с несколькими клиентами.
-
Настройка безопасности данных гибридного типа. Это включает подготовку необходимой инфраструктуры и установку программного обеспечения безопасности данных гибридного типа, создание кластера HDS, добавление клиентских организаций в кластер и управление их главными ключами клиента (CMK). Это позволит всем пользователям клиентских организаций использовать кластер безопасности данных гибридного типа для функций безопасности.
Этапы настройки, активации и управления подробно описаны в следующих трех главах.
-
Поддержка развертывания службы безопасности данных гибридного типа: облако Webex автоматически обеспечивает непрерывную модернизацию. Ваш отдел ИТ может предоставлять поддержку первого уровня для этого развертывания и при необходимости привлекать поддержку Cisco. В Partner Hub можно использовать экранные уведомления и настроить предупреждения на основе электронной почты.
-
Общие предупреждения, действия по устранению неполадок и известные проблемы. При возникновении проблем с развертыванием или использованием службы безопасности данных гибридного типа можно определить и устранить проблему с помощью последней главы этого руководства и приложения "Известные проблемы".
Модель развертывания службы безопасности данных гибридного типа
В корпоративном центре обработки данных служба безопасности данных гибридного типа будет развернута в виде одного кластера узлов на отдельных виртуальных узлах. Узлы связываются с облаком Webex с помощью защищенных веб-сокетов и защищенного HTTP.
Во время процесса установки предоставляется файл OVA для настройки виртуального устройства на предоставленных вами виртуальных машинах. Инструмент настройки HDS используется для создания пользовательского файла конфигурации кластера ISO, который устанавливается на каждом узле. Кластер безопасности данных гибридного типа использует предоставленный сервер Syslogd и базу данных PostgreSQL или Microsoft SQL Server. (Сведения о соединении Syslogd и базы данных можно настроить в инструменте настройки HDS.)
Минимальное количество узлов в кластере: два. Рекомендуется не менее трех на кластер. Наличие нескольких узлов гарантирует, что во время модернизации программного обеспечения или других действий по техническому обслуживанию узла служба не будет прерываться. (Облако Webex модернизирует только один узел за раз.)
Все узлы в кластере имеют доступ к одному хранилищу данных и активности журналов на один и тот же сервер системных журналов. Сами узлы не имеют состояния и обрабатывают запросы на ключ в циклическом порядке, как направляется облаком.
Узлы становятся активными при регистрации в партнерском центре. Чтобы вывести отдельный узел из эксплуатации, можно отменить его регистрацию, а затем, при необходимости, повторно зарегистрировать его.
Резервный центр обработки данных для аварийного восстановления
Во время развертывания вы настраиваете защищенный резервный центр обработки данных. В случае аварии центра обработки данных можно вручную перенести развертывание на резервный центр обработки данных.
Базы данных активных и резервных центров обработки данных синхронизируются друг с другом, что позволит свести к минимуму время, затрачиваемое на выполнение отработки отказа.
Активные узлы безопасности данных гибридного типа всегда должны находиться в одном центре обработки данных с активным сервером базы данных.
Поддержка прокси
Служба безопасности данных гибридного типа поддерживает явные прокси, прозрачные прокси с проверкой и прокси без проверки. Чтобы обеспечить защиту и мониторинг трафика из сети предприятия в облако, можно связать эти прокси с развертыванием. После настройки прокси на узлах административный интерфейс платформы на узлах можно использовать для управления сертификатами и просмотра общего состояния соединений.
Узлы безопасности данных гибридного типа поддерживают указанные далее параметры прокси.
-
Нет прокси. Значение по умолчанию, если для интеграции прокси не используется конфигурация доверенного хранилища и прокси для настройки узла HDS. Обновление сертификата не требуется.
-
Прозрачный прокси без проверки. Узлы не настроены для использования адреса определенного прокси-сервера и не должны требовать каких-либо изменений для работы с прокси без проверки. Обновление сертификата не требуется.
-
Прозрачный туннелирование или прокси с проверкой. Узлы не настроены для использования адреса определенного прокси-сервера. На узлах не нужно изменять конфигурацию HTTP или HTTPS. Как бы то ни было, для обеспечения доверия прокси узлам необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже HTTPS).
-
Явный прокси. При использовании явного прокси необходимо указать прокси-сервер и схему аутентификации узлам HDS. Для настройки явного прокси на каждом узле нужно ввести следующую информацию.
-
IP/FQDN прокси. Адрес, который можно использовать для связи с прокси-машиной.
-
Порт прокси. Номер порта, который прокси использует для прослушивания прокси-трафика.
-
Proxy Protocol (Протокол прокси). В зависимости от поддержки прокси-сервера выберите один из следующих протоколов.
-
HTTP – просматривает все запросы, отправляемые клиентом, и управляет этими запросами.
-
HTTPS – обеспечивает работу канала связи с сервером. Клиент получает и проверяет сертификат сервера.
-
-
Тип аутентификации: выберите один из приведенных ниже типов аутентификации.
-
Нет. Дальнейшая аутентификация не требуется.
Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.
-
Базовый: используется для агента пользователя HTTP для указания имени пользователя и пароля при совершении запроса. Использует кодировку Base64.
Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.
Требует ввода имени пользователя и пароля на каждом узле.
-
Дайджест. Используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети.
Этот параметр доступен только в том случае, если в качестве протокола прокси выбран протокол HTTPS.
Требует ввода имени пользователя и пароля на каждом узле.
-
-
Пример узлов безопасности данных гибридного типа и прокси
На этой схеме представлен пример соединения между системой безопасности данных гибридного типа, сетью и прокси. При использовании прозрачного прокси с проверкой или явного прокси с проверкой HTTPS на прокси и узлы безопасности данных гибридного типа необходимо установить один и тот же корневой сертификат.
Режим блокировки разрешения внешних DNS (конфигурации явного прокси)
При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. В развертываниях с конфигурациями явного прокси, которые не допускают разрешения внешних DNS для внутренних клиентов, если узел не может посылать запросы на DNS-серверы, он автоматически переходит в режим блокировки разрешения внешних DNS. В этом режиме можно продолжить регистрацию узла и другие тестирования подключения к прокси.
Подготовка среды
Требования к безопасности данных гибридного типа с несколькими клиентами
Требования к лицензии Cisco Webex
Развертывание службы безопасности данных гибридного типа с несколькими клиентами.
-
Партнерские организации: Обратитесь к своему партнеру Cisco или менеджеру по работе с клиентами и убедитесь, что функция "Несколько клиентов" включена.
-
Организации клиентов: Необходима профессиональная версия Cisco Webex Control Hub. См. https://www.cisco.com/go/pro-pack.
Требования к рабочему столу Docker
Перед установкой узлов HDS необходимо запустить программу настройки с помощью Docker Desktop. Docker недавно обновил свою модель лицензирования. Для вашей организации может потребоваться платная подписка на Docker Desktop. Подробности см. в записи блога Docker, " Docker обновляет и расширяет подписки на продукты".
Требования к сертификату X.509
Цепочка сертификатов должна соответствовать следующим требованиям:
|
Требование |
Подробности |
|---|---|
|
По умолчанию мы доверяем ЦС в списке Mozilla (за исключением WoSign и StartCom) по адресу https://wiki.mozilla.org/CA:IncludedCAs. |
|
CN не требуется, чтобы он был доступен или был организатором в режиме реального времени. Рекомендуется использовать название, отражающее вашу организацию, например CN не должен содержать * (подстановочный знак). CN используется для проверки узлов безопасности данных гибридного типа для клиентов приложения Webex. Все узлы безопасности данных гибридного типа в кластере используют один и тот же сертификат. Ваш KMS идентифицирует себя с помощью домена CN, а не любого домена, определенного в полях SAN x.509v3. После регистрации узла с этим сертификатом изменение доменного имени CN не поддерживается. |
|
Программное обеспечение KMS не поддерживает подписи SHA1 для проверки подключений к KMS других организаций. |
|
Для изменения формата сертификата можно использовать преобразователь, например OpenSSL. При запуске инструмента настройки HDS потребуется ввести пароль. |
Программное обеспечение KMS не обеспечивает принудительное использование ключа или расширенные ограничения на его использование. Некоторые центры сертификации требуют, чтобы к каждому сертификату применялись расширенные ограничения на использование ключей, например аутентификация сервера. Использовать аутентификацию сервера или другие настройки можно.
Требования к виртуальному организатору
Виртуальные узлы, которые будут настроены в качестве узлов безопасности данных гибридного типа в кластере, имеют следующие требования:
-
По крайней мере два отдельных узла (рекомендуется 3) размещены в одном защищенном центре обработки данных
-
Установлена и запущена VMware ESXi 6.5 (или более поздняя версия).
При наличии более ранней версии ESXi необходимо выполнить модернизацию.
-
Минимум 4 ЦП, 8 ГБ основной памяти, 30 ГБ локального жесткого диска на сервер
Требования к серверу базы данных
Создайте новую базу данных для хранилища ключей. Не используйте базу данных по умолчанию. Приложения HDS при установке создают схему базы данных.
Существует два варианта сервера баз данных. Требования для каждого из них приведены ниже.
|
PostgreSQL |
Сервер Microsoft SQL |
|---|---|
|
|
|
Минимум 8 виртуальных ЦП, 16 ГБ основной памяти, достаточное пространство на жестком диске и мониторинг для обеспечения его отсутствия (рекомендуется 2 ТБ, если необходимо запустить базу данных в течение длительного времени без увеличения объема хранилища) |
Минимум 8 виртуальных ЦП, 16 ГБ основной памяти, достаточное пространство на жестком диске и мониторинг для обеспечения его отсутствия (рекомендуется 2 ТБ, если необходимо запустить базу данных в течение длительного времени без увеличения объема хранилища) |
Программное обеспечение HDS в настоящее время устанавливает следующие версии драйверов для связи с сервером базы данных:
|
PostgreSQL |
Сервер Microsoft SQL |
|---|---|
|
Драйвер JDBC Postgres 42.2.5 |
Драйвер JDBC 4.6 для SQL-сервера Эта версия драйвера поддерживает SQL Server Always On (экземпляры отказоустойчивого кластера и группы доступности Always On). |
Дополнительные требования для аутентификации Windows на Microsoft SQL Server
Если необходимо, чтобы узлы HDS использовали аутентификацию Windows для получения доступа к базе данных хранилища ключей на Microsoft SQL Server, в вашей среде потребуется следующая конфигурация:
-
Узлы HDS, инфраструктура Active Directory и сервер MS SQL должны быть синхронизированы с NTP.
-
Учетная запись Windows, которую вы предоставляете узлам HDS, должна иметь доступ к базе данных для чтения и записи.
-
Серверы DNS, предоставляемые узлам HDS, должны иметь возможность разрешать центр распределения ключей (KDC).
-
Экземпляр базы данных HDS можно зарегистрировать на сервере Microsoft SQL в качестве главного имени службы (SPN) в Active Directory. См. статью Регистрация имени участника службы для Kerberos Connections.
Инструмент настройки HDS, программа запуска HDS и локальный KMS должны использовать аутентификацию Windows для доступа к базе данных хранилища ключей. Они используют сведения из конфигурации ISO для создания SPN при запросе доступа с аутентификацией Kerberos.
Требования к внешнему подключению
Настройте брандмауэр, чтобы разрешить следующее подключение для приложений HDS:
|
Приложение |
Протокол |
Порт |
Направление из приложения |
Адресат |
|---|---|---|---|---|
|
Узлы безопасности данных гибридного типа |
Протокол TCP |
443 |
Исходящие HTTPS и WSS |
|
|
Инструмент настройки HDS |
Протокол TCP |
443 |
HTTPS для исходящих вызовов |
|
Узлы безопасности данных гибридного типа работают с преобразованием сетевого доступа (NAT) или за брандмауэром, если NAT или брандмауэр допускает необходимые исходящие соединения с адресатами домена в таблице выше. Для соединений, поступающих на узлы безопасности данных гибридного типа, порты не должны отображаться из Интернета. В центре обработки данных клиентам необходим доступ к узлам безопасности данных гибридного типа на портах 443 и 22 TCP в административных целях.
URL-адреса узлов общих параметров идентификации (CI) специфичны для региона. Ниже приведены текущие узлы CI.
|
Регион |
URL-адреса хостов общих параметров идентификации |
|---|---|
|
Северная и Южная Америка |
|
|
Европейский союз |
|
|
Канада |
|
| Сингапур |
|
| Объединенные Арабские Эмираты |
|
Требования к прокси-серверу
-
Мы официально поддерживаем следующие решения для прокси, которые можно интегрировать с узлами безопасности данных гибридного типа:
-
для прозрачных прокси – Cisco Web Security Appliance (WSA);
-
для явных прокси – Squid.
Прокси Squid, которые проверяют трафик HTTPS, могут мешать созданию соединений веб-сокетов (wss:). Чтобы устранить эту проблему, см. статью Настройка прокси Squid для безопасности данных гибридного типа.
-
-
Поддерживаются следующие комбинации типов аутентификации для явных прокси:
-
без аутентификации при использовании HTTP или HTTPS;
-
базовая аутентификация при использовании HTTP или HTTPS;
-
дайджест-аутентификация только при использовании HTTPS;
-
-
При наличии прозрачного прокси с проверкой или явного прокси HTTPS необходимо иметь копию корневого сертификата прокси. Инструкции по развертыванию, приведенные в этом руководстве, содержат информацию о том, как загрузить эту копию в зоны доверия узлов безопасности данных гибридного типа.
-
Сеть, в которой размещены узлы HDS, должна обеспечивать принудительную маршрутизацию исходящего трафика TCP на порте 443 через прокси.
-
Прокси, проверяющие веб-трафик, могут нарушать работу соединений веб-сокетов. Для устранения этой проблемы трафик следует направить в обход (без проверки) на
wbx2.comи*.teams.webex.com.
Выполнение предварительных требований для службы безопасности данных гибридного типа
| 1 |
Убедитесь, что в партнерской организации включена функция HDS с несколькими клиентами, и получите учетные данные учетной записи с полными правами администратора партнера и полными правами администратора. Убедитесь, что для клиентской организации Webex включена профессиональная версия Cisco Webex Control Hub. Обратитесь за помощью к своему партнеру Cisco или менеджеру по работе с клиентами. У клиентских организаций не должно быть существующего развертывания HDS. |
| 2 |
Выберите имя домена для развертывания HDS (например, |
| 3 |
Подготовьте идентичные виртуальные узлы, которые будут настроены в качестве узлов безопасности данных гибридного типа в кластере. Необходимо разместить не менее двух отдельных организаторов (рекомендуется 3) в одном и том же защищенном центре обработки данных, который соответствует требованиям в разделе Требования к виртуальному организатору. |
| 4 |
Подготовьте сервер базы данных, который будет использоваться в качестве хранилища ключевых данных для кластера в соответствии с требованиями сервера базы данных. Сервер базы данных должен быть размещен в защищенном центре обработки данных с виртуальными хостами. |
| 5 |
Для быстрого аварийного восстановления настройте резервную среду в другом центре обработки данных. Резервная среда дублирует производственную среду виртуальных машин и сервер базы данных резервного копирования. Например, если в производственной среде есть 3 виртуальных машины с узлами HDS, резервная среда должна иметь 3 виртуальных машины. |
| 6 |
Настройте узел системного журнала для сбора журналов с узлов в кластере. Соберите сетевой адрес и порт системного журнала (по умолчанию UDP 514). |
| 7 |
Создайте политику безопасного резервного копирования для узлов безопасности данных гибридного типа, сервера базы данных и узла системного журнала. Как минимум, чтобы предотвратить необратимую потерю данных, необходимо создать резервную копию базы данных и файла конфигурации ISO, созданного для узлов безопасности данных гибридного типа. Поскольку узлы безопасности данных гибридного типа хранят ключи, используемые при шифровании и расшифровке контента, невыполнение оперативного развертывания приведет к НЕОБРАТИМОЙ ПОТЕРЕ этого контента. Клиенты приложения Webex кэшируют свои ключи, поэтому сбои могут не сразу стать заметными, но со временем станут очевидными. Временные перебои невозможно предотвратить, но их можно восстановить. Однако полная потеря базы данных или файла конфигурации ISO (нет доступных резервных копий) приведет к невозможности восстановления данных клиента. Ожидается, что операторы узлов безопасности данных гибридного типа осуществляют частые резервные копии базы данных и файла конфигурации ISO и будут готовы к обновлению центра обработки данных службы безопасности данных гибридного типа в случае катастрофической ошибки. |
| 8 |
Убедитесь, что конфигурация брандмауэра разрешает соединение для узлов безопасности данных гибридного типа, как описано в разделе Требования к внешнему подключению. |
| 9 |
Установите Docker (https://www.docker.com) на любом локальном компьютере, на котором запущена поддерживаемая ОС (64-разрядная версия Microsoft Windows 10 Professional или Enterprise или Mac OSX Yosemite 10.10.3 или более поздняя версия) с веб-браузером, с помощью которого можно получить доступ на странице http://127.0.0.1:8080. Экземпляр Docker используется для скачивания и запуска инструмента настройки HDS, который создает информацию локальной конфигурации для всех узлов безопасности данных гибридного типа. Вам может понадобиться лицензия Docker Desktop. Дополнительную информацию см. в статье Требования к рабочему столу Docker . Для установки и запуска инструмента настройки HDS локальная машина должна иметь подключение, описанное в разделе Требования к внешнему подключению. |
| 10 |
При интеграции прокси с системой безопасности данных гибридного типа убедитесь, что он соответствует требованиям к прокси-серверу. |
Настройка кластера безопасности данных гибридного типа
Алгоритм выполнения задач по развертыванию службы безопасности данных гибридного типа
| 1 |
Выполните начальную настройку и скачайте файлы установки Скачайте файл OVA на локальный компьютер для дальнейшего использования. |
| 2 |
Создание ISO конфигурации для узлов HDS Используйте инструмент настройки HDS для создания файла конфигурации ISO для узлов безопасности данных гибридного типа. |
| 3 |
Создайте виртуальную машину из файла OVA и выполните начальную конфигурацию, например параметры сети. Параметр настройки сети во время развертывания OVA протестирован в ESXi 6.5. Этот параметр может быть недоступен в более ранних версиях. |
| 4 |
Настройка виртуальной машины безопасности данных гибридного типа Войдите в консоль виртуальной машины и задайте учетные данные для входа. Настройте параметры сети для узла, если они не были настроены во время развертывания файла OVA. |
| 5 |
Загрузка и установка ISO конфигурации HDS Настройте виртуальную машину из файла конфигурации ISO, созданного с помощью инструмента настройки HDS. |
| 6 |
Настройка узла HDS для интеграции прокси Если в сетевой среде требуется конфигурация прокси, укажите тип прокси, который будет использоваться для узла, и при необходимости добавьте сертификат прокси в доверенное хранилище. |
| 7 |
Регистрация первого узла в кластере Зарегистрируйте виртуальную машину в облаке Cisco Webex в качестве узла безопасности данных гибридного типа. |
| 8 |
Создать и зарегистрировать другие узлы Завершите настройку кластера. |
| 9 |
Активируйте HDS с несколькими клиентами в Partner Hub. Активируйте HDS и управляйте организациями клиентов в Partner Hub. |
Выполните начальную настройку и скачайте файлы установки
В этой задаче вы скачаете файл OVA на свой компьютер (а не на серверы, настроенные в качестве узлов безопасности данных гибридного типа). Этот файл будет использован позже в процессе установки.
| 1 |
Войдите в Partner Hub и щелкните Службы. |
| 2 |
В разделе облачных служб найдите карточку безопасности данных гибридного типа и щелкните Настройка. |
| 3 |
Щелкните Добавить ресурс и щелкните Скачать файл OVA на карточке Установка и настройка программного обеспечения . Более ранние версии пакета программного обеспечения (OVA) не будут совместимы с последними модернизациями безопасности данных гибридного типа. Это может привести к ошибкам во время модернизации приложения. Убедитесь, что скачано последнюю версию файла OVA. Кроме того, файл OVA можно скачать в любой момент в разделе Справка . Щелкните . Скачивание файла OVA начнется автоматически. Сохраните файл в местоположении на своем компьютере.
|
| 4 |
При необходимости щелкните Просмотреть руководство по развертыванию службы безопасности данных гибридного типа , чтобы проверить доступность более поздней версии этого руководства. |
Создание ISO конфигурации для узлов HDS
Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.
Прежде чем начать
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора.
Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker на шаге 5 ниже. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТHTTPS-прокси без аутентификации
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТHTTP-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТHTTPS-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ -
Созданный файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. При внесении изменений в конфигурацию вам потребуется последняя копия этого файла. Например:
-
Учетные данные базы данных
-
Обновления сертификата
-
Изменения политики авторизации
-
-
При планировании шифрования соединений с базой данных настройте развертывание PostgreSQL или SQL Server для TLS.
| 1 |
Введите соответствующую команду для вашей среды в командной строке компьютера. В обычных средах: В средах FedRAMP: На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать. | ||||||||||
| 2 |
Чтобы войти в реестр образов Docker, введите следующее. | ||||||||||
| 3 |
Введите в запросе пароля этот хеш: | ||||||||||
| 4 |
Скачайте последнюю стабильную версию образа для вашей среды. В обычных средах: В средах FedRAMP: | ||||||||||
| 5 |
По завершении скачивания введите соответствующую команду для вашей среды.
Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080". | ||||||||||
| 6 |
Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу. Перейдите к локальному узлу Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартную подсказку для входа в систему. | ||||||||||
| 7 |
При отображении соответствующего запроса введите учетные данные для входа администратора Partner Hub и щелкните Войти , чтобы разрешить доступ к необходимым службам для службы безопасности данных гибридного типа. | ||||||||||
| 8 |
На странице обзора инструмента настройки щелкните Начало работы. | ||||||||||
| 9 |
На странице Импорт ISO доступны следующие параметры.
| ||||||||||
| 10 |
Проверьте, соответствует ли сертификат X.509 требованиям к сертификатам X.509.
| ||||||||||
| 11 |
Введите адрес базы данных и учетную запись HDS для доступа к хранилищу данных ключей: | ||||||||||
| 12 |
Выберите Режим подключения к базе данных TLS.
При загрузке корневого сертификата (при необходимости) и нажатии Продолжить инструмент настройки HDS тестирует подключение TLS к серверу базы данных. Инструмент также выполняет проверку источника подписи сертификата и имени узла (если применимо). Если тест не будет пройден, в инструменте будет отображено сообщение об ошибке с описанием проблемы. Можно выбрать параметр игнорирования ошибки и продолжить настройку. (Из-за различий соединения узлы HDS могут установить соединение TLS, даже если машина средства настройки HDS не может успешно протестировать его.) | ||||||||||
| 13 |
На странице «Системные журналы» настройте сервер Syslogd: | ||||||||||
| 14 |
(Необязательно) Можно изменить значение по умолчанию для некоторых параметров подключения к базе данных в разделе Расширенные настройки. Как правило, этот параметр является единственным, который необходимо изменить: | ||||||||||
| 15 |
Щелкните Продолжить на экране Сброс пароля учетных записей службы . Срок действия паролей учетных записей службы составляет девять месяцев. Используйте этот экран, когда срок действия паролей скоро истечет или вы хотите сбросить их, чтобы сделать предыдущие файлы ISO недействительными. | ||||||||||
| 16 |
Щелкните Скачать файл ISO. Сохраните файл в удобном для поиска местоположении. | ||||||||||
| 17 |
Сделайте резервную копию файла ISO в локальной системе. Обеспечьте безопасность резервного копирования. Этот файл содержит главный ключ шифрования для содержимого базы данных. Ограничьте доступ только тем администраторам службы безопасности данных гибридного типа, которые должны вносить изменения в конфигурацию. | ||||||||||
| 18 |
Чтобы завершить работу инструмента настройки, нажмите |
Дальнейшие действия
Создайте резервную копию файла конфигурации ISO. Это необходимо для создания дополнительных узлов для восстановления или внесения изменений в конфигурацию. В случае утери всех копий файла ISO также был утрачен главный ключ. Невозможно восстановить ключи из базы данных PostgreSQL или Microsoft SQL Server.
У нас никогда не будет копии этого ключа, и мы не можем помочь, если вы его потеряете.
Установка файла OVA узла HDS
| 1 |
Используйте клиент VMware vSphere на компьютере для входа в виртуальный хост ESXi. |
| 2 |
Выберите Файл > Развернуть шаблон OVF. |
| 3 |
В мастере укажите расположение скачанного ранее файла OVA и щелкните Далее. |
| 4 |
На странице Выберите имя и папку введите имя виртуальной машины для узла (например, "HDS_Node_1"), выберите местоположение, в котором может находиться развертывание узла виртуальной машины, и щелкните Далее. |
| 5 |
На странице Выбор вычислительного ресурса выберите целевой вычислительный ресурс и щелкните Далее. Выполняется проверка. По завершении отобразятся сведения о шаблоне. |
| 6 |
Проверьте сведения о шаблоне и щелкните Далее. |
| 7 |
При появлении запроса на выбор конфигурации ресурса на странице Конфигурация щелкните 4 ЦП , а затем щелкните Далее. |
| 8 |
На странице Выбор хранилища щелкните Далее , чтобы принять формат диска по умолчанию и политику хранилища виртуальной машины. |
| 9 |
На странице Выбор сетей выберите параметр сети из списка записей, чтобы обеспечить необходимое подключение к виртуальной машине. |
| 10 |
На странице Настройка шаблона настройте приведенные ниже параметры сети.
При необходимости можно пропустить конфигурацию сетевых настроек и выполнить действия, описанные в разделе Настройка виртуальной машины безопасности данных гибридного типа , чтобы настроить параметры с помощью консоли узла. Параметр настройки сети во время развертывания OVA протестирован в ESXi 6.5. Этот параметр может быть недоступен в более ранних версиях. |
| 11 |
Щелкните правой кнопкой мыши узел виртуальной машины и выберите . Программное обеспечение безопасности данных гибридного типа устанавливается в качестве гостя на узле виртуальной машины. Теперь вы готовы войти в консоль и настроить узел. Рекомендации по устранению неисправностей Контейнеры узла могут появиться через несколько минут. Во время первой загрузки на консоли отображается сообщение брандмауэра моста, в течение которого невозможно войти в систему. |
Настройка виртуальной машины безопасности данных гибридного типа
Используйте эту процедуру для первого входа в консоль виртуальной машины узла безопасности данных гибридного типа и установки учетных данных для входа. Можно также использовать консоль для настройки сетевых параметров узла, если они не были настроены во время развертывания файла OVA.
| 1 |
В клиенте VMware vSphere выберите виртуальную машину узла безопасности данных гибридного типа и откройте вкладку Консоль . Будет загружена виртуальная машина, и отобразится запрос на вход. Если запрос на вход не отображается, нажмите клавишу ввода.
|
| 2 |
Для входа и изменения учетных данных используйте следующие параметры входа и пароля по умолчанию: Поскольку вы впервые входите в свою виртуальную машину, вам необходимо изменить пароль администратора. |
| 3 |
Если параметры сети уже настроены в разделе Установка OVA узла HDS, пропустите остальную процедуру. В противном случае в главном меню выберите параметр Редактировать конфигурацию . |
| 4 |
Настройте статическую конфигурацию с использованием IP-адреса, маски, шлюза и информации DNS. Узел должен иметь внутренний IP-адрес и имя DNS. DHCP не поддерживается. |
| 5 |
(Необязательно) Измените имя хоста, домен или NTP-серверы, если это необходимо для соответствия вашей сетевой политике. Настройка домена в соответствии с доменом, который вы использовали для получения сертификата X.509, не требуется. |
| 6 |
Сохраните конфигурацию сети и перезагрузите виртуальную машину, чтобы изменения вступили в силу. |
Загрузка и установка ISO конфигурации HDS
Перед началом работы
Поскольку в файле ISO содержится главный ключ, он должен быть раскрыт только по принципу «необходимо знать» для доступа виртуальных машин безопасности данных гибридного типа и всех администраторов, которым может потребоваться внести изменения. Убедитесь, что доступ к хранилищу данных могут получить только эти администраторы.
| 1 |
Загрузите файл ISO со своего компьютера. |
| 2 |
Установите файл ISO: |
Дальнейшие действия
Если политика ИТ требует, после внесения изменений конфигурации на всех узлах можно отсоединить файл ISO. Подробные сведения см. в статье (необязательно) Отключение ISO после настройки HDS .
Настройка узла HDS для интеграции прокси
Если в сетевой среде необходимо использовать прокси, воспользуйтесь этой процедурой, чтобы указать тип прокси, который нужно интегрировать со службой безопасности данных гибридного типа. При выборе прозрачного прокси с проверкой или явного прокси HTTPS можно использовать интерфейс узла для загрузки и установки корневого сертификата. Кроме того, в интерфейсе можно проверять соединение с прокси и устранять неполадки.
Перед началом работы
-
Общие сведения о поддерживаемых параметрах прокси см. в разделе Поддержка прокси .
| 1 |
Введите в веб-браузере URL-адрес для настройки узла HDS |
| 2 |
Откройте раздел Trust Store & Proxy (Зона доверия и прокси) и выберите один из следующих параметров.
В случае использования прозрачного прокси с проверкой, явного прокси HTTP с базовой аутентификацией или явного прокси HTTPS выполните указанные далее шаги. |
| 3 |
Щелкните Upload a Root Certificate or End Entity Certificate (Загрузить корневой сертификат или сертификат конечного субъекта) и откройте меню для выбора корневого сертификата для прокси. Сертификат будет загружен, но не установлен, поскольку для установки сертификата необходимо перезагрузить узел. Чтобы получить дополнительные сведения, щелкните стрелку-шеврон, расположенную рядом с именем издателя сертификата. Если вы допустили ошибку и хотите вновь загрузить файл, щелкните Delete (Удалить). |
| 4 |
Чтобы протестировать сетевое соединение между узлом и прокси, щелкните Check Proxy Connection (Проверить соединение с прокси). Если тестирование соединения завершится неудачей, на экране появится сообщение об ошибке, в котором будут указаны причина и способ исправления ошибки. Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу. Такая проблема может возникнуть во многих конфигурациях явного прокси. Можно продолжить настройку, и узел будет работать в режиме блокировки разрешения внешних DNS. Если вы считаете, что это ошибка, выполните эти действия, а затем см. статью Выключение режима блокировки разрешения внешних DNS. |
| 5 |
Если вы используете явный прокси, настроенный на применение исключительно https, после успешного завершения тестирования соединения включите параметр Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси (Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси). Для вступления в силу этого параметра необходимо 15 секунд. |
| 6 |
Щелкните Install All Certificates Into the Trust Store (Установить все сертификаты в зоне доверия) – этот параметр отображается при использовании явного прокси HTTPS или прозрачного прокси с проверкой – или Reboot (Перезагрузить) – этот параметр отображается при использовании явного прокси HTTP. Прочитайте запрос и щелкните Install (Установить), если вы готовы к установке. Узел перезагрузится в течение нескольких минут. |
| 7 |
После перезагрузки узла повторно войдите в систему, если это необходимо, и откройте страницу Обзор, чтобы выполнить проверки соединений. Состояние всех проверок должно быть обозначено зеленым цветом. Проверка соединения с прокси используется исключительно для тестирования поддомена webex.com. Проблемы с соединениями нередко возникают из-за того, что некоторые облачные домены, указанные в инструкциях по установке, блокируются на уровне прокси. |
Регистрация первого узла в кластере
При регистрации первого узла создается кластер, которому он назначен. Кластер содержит один или несколько узлов, развернутых для резервирования.
Перед началом работы
-
После начала регистрации узла ее необходимо завершить в течение 60 минут или начать заново.
-
Убедитесь, что все блокировки всплывающих окон в браузере отключены или вы разрешаете исключение для admin.webex.com.
| 1 |
Войдите в https://admin.webex.com. |
| 2 |
В меню в левой части экрана выберите Службы. |
| 3 |
В разделе облачных служб найдите карточку безопасности данных гибридного типа и щелкните Настройка. |
| 4 |
На открывшейся странице щелкните Добавить ресурс. |
| 5 |
В первом поле карточки Добавить узел введите имя кластера, которому необходимо назначить узел безопасности данных гибридного типа. Рекомендуется назвать кластер в зависимости от географического расположения узлов кластера. Примеры: "Сан-Франциско", "Нью-Йорк" или "Даллас" |
| 6 |
Во втором поле введите внутренний IP-адрес или полное доменное имя узла и щелкните Добавить в нижней части экрана. Этот IP-адрес или полное доменное имя должны совпадать с IP-адресом или именем хоста и доменом, которые вы использовали в разделе Настройка виртуальной машины безопасности данных гибридного типа. Отобразится сообщение о том, что можно зарегистрировать узел в Webex.
|
| 7 |
Щелкните Перейти к узлу. Через несколько секунд вы будете перенаправлены на тестирование подключения узла для служб Webex. Если все тесты будут успешными, отобразится страница "Разрешить доступ к узлу безопасности данных гибридного типа". Здесь вы подтверждаете, что хотите предоставить вашей организации Webex полномочия на доступ к узлу. |
| 8 |
Установите флажок в поле Разрешить доступ к узлу безопасности данных гибридного типа и щелкните Продолжить. Учетная запись подтверждена. В сообщении "Регистрация завершена" указано, что узел зарегистрирован в облаке Webex.
|
| 9 |
Щелкните ссылку или закройте вкладку, чтобы вернуться на страницу безопасности данных гибридного типа партнерского центра. На странице Безопасность данных гибридного типа новый кластер, содержащий зарегистрированный узел, отображается на вкладке Ресурсы . Узел будет автоматически скачан новейшее программное обеспечение из облака.
|
Создать и зарегистрировать другие узлы
Перед началом работы
-
После начала регистрации узла ее необходимо завершить в течение 60 минут или начать заново.
-
Убедитесь, что все блокировки всплывающих окон в браузере отключены или вы разрешаете исключение для admin.webex.com.
| 1 |
Создайте новую виртуальную машину из файла OVA, повторяя шаги, описанные в разделе Установка файла OVA узла HDS. |
| 2 |
Настройте начальную конфигурацию новой виртуальной машины, повторяя шаги, описанные в разделе Настройка виртуальной машины безопасности данных гибридного типа. |
| 3 |
В новой виртуальной машине повторите шаги, описанные в разделе Загрузка и установка ISO конфигурации HDS. |
| 4 |
При настройке прокси для развертывания повторите шаги, описанные в разделе Настройка узла HDS для интеграции прокси для нового узла. |
| 5 |
Зарегистрируйте узел. |
Управление организациями клиентов в службе безопасности данных гибридного типа с поддержкой нескольких клиентов
Активация HDS с несколькими клиентами в центре партнера
Эта задача позволит всем пользователям клиентских организаций начать использование HDS для локальных ключей шифрования и других служб безопасности.
Перед началом работы
Убедитесь, что настройка кластера HDS с несколькими клиентами завершена с требуемым количеством узлов.
| 1 |
Войдите в https://admin.webex.com. |
| 2 |
В меню в левой части экрана выберите Службы. |
| 3 |
В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Редактировать настройки. |
| 4 |
Щелкните Активировать HDS на карточке Состояние HDS . |
Добавить организации клиентов в Partner Hub
В этой задаче вы назначаете клиентские организации кластеру безопасности данных гибридного типа.
| 1 |
Войдите в https://admin.webex.com. |
| 2 |
В меню в левой части экрана выберите Службы. |
| 3 |
В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Просмотреть все. |
| 4 |
Щелкните кластер, которому необходимо назначить клиента. |
| 5 |
Перейдите на вкладку Назначенные клиенты . |
| 6 |
Щелкните Добавить клиентов. |
| 7 |
В раскрывающемся меню выберите клиента, которого необходимо добавить. |
| 8 |
Щелкните Добавить, и клиент будет добавлен в кластер. |
| 9 |
Чтобы добавить в кластер несколько клиентов, повторите шаги 6–8. |
| 10 |
После добавления клиентов щелкните Готово в нижней части экрана. |
Дальнейшие действия
Создание главных ключей клиентов (CMK) с помощью инструмента настройки HDS
Перед началом работы
Назначьте клиентов в соответствующий кластер, как описано в разделе Добавление клиентских организаций в Partner Hub. Запустите инструмент настройки HDS, чтобы завершить процесс настройки вновь добавленных клиентских организаций.
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора для вашей организации.
Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТHTTPS-прокси без аутентификации
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТHTTP-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТHTTPS-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ -
Созданный файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. При внесении изменений в конфигурацию вам потребуется последняя копия этого файла. Например:
-
Учетные данные базы данных
-
Обновления сертификата
-
Изменения политики авторизации
-
-
При планировании шифрования соединений с базой данных настройте развертывание PostgreSQL или SQL Server для TLS.
Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.
| 1 |
Введите соответствующую команду для вашей среды в командной строке компьютера. В обычных средах: В средах FedRAMP: На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать. |
| 2 |
Чтобы войти в реестр образов Docker, введите следующее. |
| 3 |
Введите в запросе пароля этот хеш: |
| 4 |
Скачайте последнюю стабильную версию образа для вашей среды. В обычных средах: В средах FedRAMP: |
| 5 |
По завершении скачивания введите соответствующую команду для вашей среды.
Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080". |
| 6 |
Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу. Перейдите к локальному узлу Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартную подсказку для входа в систему. |
| 7 |
При отображении соответствующего запроса введите учетные данные для входа администратора Partner Hub и щелкните Войти , чтобы разрешить доступ к необходимым службам для службы безопасности данных гибридного типа. |
| 8 |
На странице обзора инструмента настройки щелкните Начало работы. |
| 9 |
На странице Импорт ISO щелкните Да. |
| 10 |
Выберите файл ISO в браузере и загрузите его. Для выполнения управления CMK убедитесь в подключении к базе данных. |
| 11 |
Перейдите на вкладку Управление CMK клиента , где можно найти три способа управления CMK клиента.
|
| 12 |
После успешного создания CMK состояние в таблице изменится с Управление CMK рассматривается на Управление CMK. |
| 13 |
В случае неудачного создания CMK отображается ошибка. |
Удалить организации клиентов
Перед началом работы
После удаления пользователи клиентских организаций не смогут использовать HDS в целях шифрования, а все существующие пространства будут утрачены. Прежде чем удалить клиентские организации, обратитесь к своему партнеру Cisco или менеджеру по работе с клиентами.
| 1 |
Войдите в https://admin.webex.com. |
| 2 |
В меню в левой части экрана выберите Службы. |
| 3 |
В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Просмотреть все. |
| 4 |
На вкладке Ресурсы щелкните кластер, из которого необходимо удалить клиентские организации. |
| 5 |
На открывшейся странице щелкните Назначенные клиенты. |
| 6 |
В списке отображаемых клиентских организаций щелкните ... в правой части клиентской организации, которую необходимо удалить, и щелкните Удалить из кластера. |
Дальнейшие действия
Завершите процесс удаления, отозвав CMK клиентских организаций, как описано в статье Отозвать CMK клиентов, удаленных из HDS.
Отозвать CMK клиентов, удаленные из HDS.
Перед началом работы
Удалите клиентов из соответствующего кластера, как описано в разделе Удаление клиентских организаций. Запустите инструмент настройки HDS, чтобы завершить процесс удаления удаленных клиентских организаций.
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора для вашей организации.
Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТHTTPS-прокси без аутентификации
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТHTTP-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТHTTPS-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ -
Созданный файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. При внесении изменений в конфигурацию вам потребуется последняя копия этого файла. Например:
-
Учетные данные базы данных
-
Обновления сертификата
-
Изменения политики авторизации
-
-
При планировании шифрования соединений с базой данных настройте развертывание PostgreSQL или SQL Server для TLS.
Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.
| 1 |
Введите соответствующую команду для вашей среды в командной строке компьютера. В обычных средах: В средах FedRAMP: На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать. |
| 2 |
Чтобы войти в реестр образов Docker, введите следующее. |
| 3 |
Введите в запросе пароля этот хеш: |
| 4 |
Скачайте последнюю стабильную версию образа для вашей среды. В обычных средах: В средах FedRAMP: |
| 5 |
По завершении скачивания введите соответствующую команду для вашей среды.
Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080". |
| 6 |
Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу. Перейдите к локальному узлу Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартную подсказку для входа в систему. |
| 7 |
При отображении соответствующего запроса введите учетные данные для входа администратора Partner Hub и щелкните Войти , чтобы разрешить доступ к необходимым службам для службы безопасности данных гибридного типа. |
| 8 |
На странице обзора инструмента настройки щелкните Начало работы. |
| 9 |
На странице Импорт ISO щелкните Да. |
| 10 |
Выберите файл ISO в браузере и загрузите его. |
| 11 |
Перейдите на вкладку Управление CMK клиента , где можно найти три способа управления CMK клиента.
|
| 12 |
После успешного отзыва CMK клиентская организация больше не будет отображаться в таблице. |
| 13 |
Если отзыв CMK не выполнен, отображается ошибка. |
Тестирование развертывания службы безопасности данных гибридного типа
Тестирование развертывания службы безопасности данных гибридного типа
Перед началом работы
-
Настройте развертывание службы безопасности данных гибридного типа с несколькими клиентами.
-
Убедитесь, что у вас есть доступ к системному журналу, чтобы проверить, передаются ли запросы ключей в развертывание системы безопасности данных гибридного типа с несколькими клиентами.
| 1 |
Ключи для определенного пространства задаются создателем пространства. Войдите в приложение Webex в качестве одного из пользователей клиентской организации и создайте пространство. Если деактивировать развертывание безопасности данных гибридного типа, контент в пространствах, созданных пользователями, больше не будет доступен после замены кэшированных клиентом копий ключей шифрования. |
| 2 |
Отправить сообщения в новое пространство. |
| 3 |
Проверьте вывод системного журнала, чтобы убедиться, что запросы ключей передаются в развертывание службы безопасности данных гибридного типа. |
Мониторинг работоспособности службы безопасности данных гибридного типа
| 1 |
В Partner Hub в меню в левой части экрана выберите Службы . |
| 2 |
В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Редактировать настройки. Отобразится страница "Настройки безопасности данных гибридного типа".
|
| 3 |
В разделе "Электронные уведомления" введите один или несколько адресов электронной почты, разделяя их запятыми, и нажмите клавишу ввода. |
Управление развертыванием HDS
Управление развертыванием HDS
Для управления развертыванием службы безопасности данных гибридного типа используйте описанные здесь задачи.
Настройка графика модернизации кластера
Чтобы настроить график модернизации, выполните указанные ниже действия.
| 1 |
Войдите в Partner Hub. |
| 2 |
В меню в левой части экрана выберите Службы. |
| 3 |
В разделе "Облачные службы" найдите раздел "Безопасность данных гибридного типа" и щелкните Настройка. |
| 4 |
На странице "Ресурсы безопасности данных гибридного типа" выберите кластер. |
| 5 |
Щелкните вкладку Настройки кластера . |
| 6 |
На странице настроек кластера в разделе "График модернизации" выберите время и часовой пояс для графика модернизации. Примечание. В часовом поясе отображаются следующие доступные дата и время модернизации. При необходимости можно отложить модернизацию на следующий день, щелкнув Отложить на 24 часа. |
Изменение конфигурации узла
-
Изменение сертификатов x.509 по истечении срока действия или по другим причинам.
Изменение доменного имени CN сертификата не поддерживается. Домен должен совпадать с исходным доменом, использованным для регистрации кластера.
-
Обновление настроек базы данных для работы с копией базы данных PostgreSQL или Microsoft SQL Server.
Перенос данных с PostgreSQL на Microsoft SQL Server или в обратном направлении не поддерживается. Чтобы переключить среду базы данных, начните новое развертывание службы безопасности данных гибридного типа.
-
Создание новой конфигурации для подготовки нового центра обработки данных.
Из соображений безопасности для учетных записей в службе безопасности данных гибридного типа используются пароли со сроком действия 9 месяцев. После того как инструмент настройки HDS создаст эти пароли, вам нужно будет развернуть их в каждом из своих узлов HDS в файле конфигурации ISO. При приближении даты окончания срока действия пароля команда Webex пришлет вам уведомление с запросом на сброс пароля учетной записи компьютера. (В сообщении электронной почты будет текст "Использование API учетной записи компьютера для обновления пароля".) Если срок действия паролей еще не истек, средство предоставляет два варианта.
-
Мягкий сброс. Старые и новые пароли работают в течение 10 дней. Используйте этот период для постепенной замены файла ISO на узлах.
-
Принудительный сброс: старые пароли перестают работать немедленно.
Если срок действия ваших паролей истекает без сброса, это влияет на работу вашей службы HDS. В этом случае требуется немедленный жесткий сброс и замена файла ISO на всех узлах.
Используйте эту процедуру, чтобы создать новый файл конфигурации ISO и применить его к кластеру.
Прежде чем начать
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора партнера.
Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker в 1.e. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТHTTPS-прокси без аутентификации
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТHTTP-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТHTTPS-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ -
Для создания новой конфигурации потребуется копия текущего файла конфигурации ISO. Файл ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. Файл ISO необходим для изменения конфигурации, в том числе учетных данных базы данных, обновления сертификатов или изменения политики авторизации.
| 1 |
Запустите инструмент настройки HDS, используя Docker на локальной машине. |
| 2 |
Если у вас запущен только один узел HDS, создайте новую виртуальную машину узла безопасности данных гибридного типа и зарегистрируйте ее с помощью нового файла конфигурации ISO. Более подробные инструкции см. в статье Создание и регистрация дополнительных узлов. |
| 3 |
Для существующих узлов HDS, в которых используется старый файл конфигурации, необходимо установить файл ISO. Выполните следующую процедуру для каждого узла по очереди, обновив каждый узел до выключения следующего узла. |
| 4 |
Повторите шаг 3, чтобы заменить конфигурацию на каждом оставшемся узле со старой конфигурацией. |
Отключение режима блокировки разрешения внешних DNS
При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. Если DNS-сервер узла не может разрешать общедоступные имена DNS, узел автоматически переходит в режим блокировки разрешения внешних DNS.
Если узлы могут разрешать общедоступные имена DNS через внутренние DNS-серверы, можно отключить этот режим, повторно запустив тестирование подключения к прокси на каждом узле.
Перед началом работы
| 1 |
В веб-браузере откройте интерфейс узла безопасности данных гибридного типа (например, IP-адрес или настройка) https://192.0.2.0/setup), введите учетные данные администратора, настроенные для узла, и щелкните Войти. |
| 2 |
Перейдите к разделу Overview (Обзор) (страница по умолчанию). Если режим включен, параметр Blocked External DNS Resolution (Блокировка разрешения внешних DNS) должен иметь значение Yes (Да). |
| 3 |
Перейдите на страницу Trust Store & Proxy (Зона доверия и прокси). |
| 4 |
Щелкните Check Proxy Connection (Проверить соединение с прокси). Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу и он останется в этом режиме. В противном случае после перезапуска узла и возврата на страницу Overview (Обзор) параметр блокировки разрешения внешних DNS должен иметь значение No (Нет). |
Дальнейшие действия
Удаление узла
| 1 |
С помощью клиента VMware vSphere на компьютере можно войти в виртуальный хост ESXi и выключить виртуальную машину. |
| 2 |
Удалить узел: |
| 3 |
В клиенте vSphere удалите виртуальную машину. (На панели навигации слева щелкните виртуальную машину правой кнопкой мыши и щелкните Удалить.) Если виртуальная машина не удалена, не забудьте отсоединить файл конфигурации ISO. Без файла ISO вы не сможете использовать виртуальную машину для доступа к данным безопасности. |
Аварийное восстановление с помощью центра обработки данных в режиме ожидания
Наиболее важной службой, предоставляемой кластером безопасности данных гибридного типа, является создание и хранение ключей, используемых для шифрования сообщений и другого контента, хранящегося в облаке Webex. Для каждого пользователя в организации, назначенного службе безопасности данных гибридного типа, запросы на создание нового ключа маршрутизируются в кластер. Кластер также отвечает за возврат созданных им ключей всем пользователям, авторизованным для их извлечения, например участникам пространства для разговора.
Поскольку кластер выполняет критически важную функцию предоставления этих ключей, необходимо, чтобы кластер продолжал работать и чтобы поддерживались соответствующие резервные копии. Потеря базы данных безопасности данных гибридного типа или конфигурации ISO, используемой для схемы, приведет к НЕОБРАТИМОЙ ПОТЕРЕ контента клиента. Для предотвращения таких потерь необходимо выполнить следующие действия:
Если из-за аварии развертывание HDS в основном центре обработки данных становится недоступным, выполните эту процедуру, чтобы вручную переключиться на резервный центр обработки данных.
Перед началом работы
| 1 |
Запустите инструмент настройки HDS и выполните действия, указанные в разделе Создание ISO конфигурации для узлов HDS. |
| 2 |
Завершите процесс настройки и сохраните файл ISO в удобном для поиска месте. |
| 3 |
Сделайте резервную копию файла ISO в локальной системе. Обеспечьте безопасность резервного копирования. Этот файл содержит главный ключ шифрования для содержимого базы данных. Ограничьте доступ только тем администраторам службы безопасности данных гибридного типа, которые должны вносить изменения в конфигурацию. |
| 4 |
На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры. |
| 5 |
Щелкните Редактировать настройки >Диск CD/DVD 1 и выберите Файл хранилища данных ISO. Убедитесь, что установлены флажки Подключено и Подключиться при включении , чтобы обновленные изменения конфигурации вступили в силу после запуска узлов. |
| 6 |
Включите узел HDS и убедитесь, что сигналы отсутствуют в течение не менее 15 минут. |
| 7 |
Зарегистрируйте узел в партнерском центре. См. статью Регистрация первого узла в кластере. |
| 8 |
Повторите процесс для каждого узла в центре обработки данных в режиме ожидания. |
Дальнейшие действия
(Необязательно) Отсоедините ISO после настройки HDS
Стандартная конфигурация HDS выполняется с установленным ISO. Однако некоторые клиенты предпочитают не оставлять файлы ISO постоянно монтированными. После того как все узлы HDS примут новую конфигурацию, можно отсоединить файл ISO.
Для изменения конфигурации по-прежнему используются файлы ISO. При создании нового ISO или обновлении ISO с помощью инструмента настройки необходимо установить обновленный ISO на всех узлах HDS. С помощью этой процедуры можно снова отключить ISO, после того как все узлы примут изменения конфигурации.
Перед началом работы
Модернизируйте все свои узлы HDS до версии 2021.01.22.4720 или более поздней.
| 1 |
Закройте один из своих узлов HDS. |
| 2 |
В vCenter Server Appliance выберите узел HDS. |
| 3 |
Выберите и снимите флажок Файл хранилища данных ISO. |
| 4 |
Включите узел HDS и убедитесь, что сигналы отсутствуют в течение не менее 20 минут. |
| 5 |
Повторите эту процедуру для каждого узла HDS по очереди. |
Устранение неполадок службы безопасности данных гибридного типа
Просмотр предупреждений и устранение неполадок
Развертывание службы безопасности данных гибридного типа считается недоступным, если все узлы в кластере недоступны или кластер работает настолько медленно, что истекло время ожидания. Если пользователи не могут подключиться к кластеру безопасности данных гибридного типа, у них будут следующие симптомы:
-
Не удается создать новые пространства (не удается создать новые ключи)
-
Не удалось расшифровать сообщения и заголовки пространств для:
-
Новые пользователи, добавленные в пространство (невозможно получить ключи)
-
Существующие пользователи в пространстве, использующие новый клиент (не удается получить ключи)
-
-
Существующие пользователи в пространстве будут продолжать успешно работать, пока в их клиентах будет сохранен кэш ключей шифрования
Важно надлежащим образом отслеживать кластер безопасности данных гибридного типа и своевременно реагировать на все предупреждения во избежание перебоев в работе службы.
Предупреждения
При возникновении проблем с настройкой безопасности данных гибридного типа партнерский центр отображает предупреждения администратору организации и отправляет электронные сообщения на настроенный адрес электронной почты. Предупреждения охватывают многие распространенные сценарии.
|
Предупреждение |
Действие |
|---|---|
|
Ошибка доступа к локальной базе данных. |
Проверьте наличие ошибок базы данных или проблем локальной сети. |
|
Сбой подключения к локальной базе данных. |
Убедитесь в доступности сервера базы данных и использовании правильных учетных данных учетной записи службы в конфигурации узла. |
|
Сбой доступа к облачной службе. |
Убедитесь, что узлы могут получить доступ к серверам Webex, как указано в разделе Требования к внешнему подключению. |
|
Обновление регистрации облачной службы. |
Регистрация в облачных службах прервана. Выполняется возобновление регистрации. |
|
Регистрация для облачной службы прервана. |
Регистрация в облачных службах прервана. Служба выключена. |
|
Служба еще не активирована. |
Активируйте HDS в партнерском центре. |
|
Настроенный домен не соответствует сертификату сервера. |
Убедитесь, что сертификат сервера соответствует настроенному домену активации службы. Наиболее вероятная причина заключается в том, что CN сертификата недавно был изменен и теперь отличается от CN, использованного во время начальной настройки. |
|
Не удалось выполнить аутентификацию в облачных службах. |
Проверьте точность и возможный срок действия учетных данных службы. |
|
Не удалось открыть файл локального хранилища ключей. |
Проверка целостности и точности пароля в файле локального хранилища ключей. |
|
Недействительный сертификат локального сервера. |
Проверьте дату истечения срока действия сертификата сервера и убедитесь, что он был выдан доверенным центром сертификации. |
|
Не удается опубликовать метрики. |
Проверьте доступ локальной сети к внешним облачным службам. |
|
Каталог /media/configdrive/hds не существует. |
Проверьте конфигурацию подключения ISO на виртуальном хосте. Проверьте, существует ли файл ISO, настроен ли он для подключения при перезагрузке и успешно ли установлен. |
|
Настройка организации клиента не завершена для добавленных организаций |
Завершите настройку, создав CMK для вновь добавленных клиентских организаций с помощью инструмента настройки HDS. |
|
Настройка организации клиента не завершена для удаленных организаций |
Завершите настройку, отозвав CMK клиентских организаций, которые были удалены с помощью инструмента настройки HDS. |
Устранение неполадок службы безопасности данных гибридного типа
| 1 |
Просмотрите в Partner Hub все предупреждения и исправьте все элементы, найденные в нем. Для справки см. изображение ниже. |
| 2 |
Проверьте вывод сервера системных журналов для активности из развертывания службы безопасности данных гибридного типа. Используйте фильтр для таких слов, как "Предупреждение" и "Ошибка", чтобы помочь в устранении неполадок. |
| 3 |
Обратитесь в службу поддержки Cisco. |
Другие примечания
Известные проблемы безопасности данных гибридного типа
-
Если вы выключите кластер безопасности данных гибридного типа (удалив его в партнерском центре или выключив все узлы), потеряете файл конфигурации ISO или потеряете доступ к базе данных хранилища ключей, пользователи приложения Webex клиентских организаций больше не смогут использовать пространства в списке пользователей, созданных с помощью ключей из KMS. В настоящий момент для устранения этой проблемы нет обходного решения или решения. Мы настоятельно призываем вас не выключать службы HDS после обработки активных учетных записей пользователей.
-
Клиент с существующим подключением ECDH к KMS поддерживает это соединение в течение периода времени (вероятно, один час).
Использование OpenSSL для создания файла PKCS12
Перед началом работы
-
OpenSSL — это один из инструментов, который можно использовать для создания файла PKCS12 в соответствующем формате для загрузки в инструменте настройки HDS. Есть и другие способы сделать это, и мы не поддерживаем и не продвигаем друг друга.
-
Если вы решите использовать OpenSSL, мы предоставляем эту процедуру в качестве руководства для создания файла, который соответствует требованиям сертификата X.509 в разделе Требования к сертификату X.509. Прежде чем продолжить, ознакомьтесь с этими требованиями.
-
Установите OpenSSL в поддерживаемой среде. Информацию о программном обеспечении и документации см. в разделе https://www.openssl.org .
-
Создайте закрытый ключ.
-
Начните эту процедуру при получении сертификата сервера от центра сертификации (ЦС).
| 1 |
При получении сертификата сервера от ЦС сохраните его как |
| 2 |
Отобразите сертификат в виде текста и проверьте сведения.
|
| 3 |
Используйте текстовый редактор для создания файла пакета сертификатов под названием
|
| 4 |
Создайте файл .p12 с подходящим именем
|
| 5 |
Проверьте сведения о сертификате сервера. |
Дальнейшие действия
Вернитесь к разделу Выполнение предварительных требований для безопасности данных гибридного типа. Файл hdsnode.p12 и заданный для него пароль будут использоваться в разделе Создание конфигурации ISO для узлов HDS.
Эти файлы можно повторно использовать для запроса нового сертификата по истечении срока действия исходного сертификата.
Трафик между узлами HDS и облаком
Трафик сбора исходящих метрик
Узлы безопасности данных гибридного типа отправляют определенные метрики в облако Webex. К ним относятся системные метрики максимального количества подключений, использования максимального количества подключений, загрузки ЦП и количества потоков; метрики синхронных и асинхронных потоков; метрики оповещений о пороговом значении соединений шифрования, задержки или длины очереди запросов; метрики хранилища данных; и метрики подключения шифрования. Узлы отправляют зашифрованный ключ-материал по внеполосному каналу (отдельному от запроса).
Входящий трафик
Узлы безопасности данных гибридного типа получают из облака Webex следующие типы входящего трафика:
-
Запросы на шифрование от клиентов, которые маршрутизируются службой шифрования
-
Модернизация программного обеспечения узла
Настройка прокси Squid для безопасности данных гибридного типа
Невозможно выполнить подключение веб-сокетов через прокси Squid
Прокси Squid, которые проверяют трафик HTTPS, могут мешать созданию соединений веб-сокетов (wss:), которые необходимы службе безопасности данных гибридного типа. В указанных далее разделах приведены рекомендации по настройке различных версий Squid с целью игнорирования трафика wss: для обеспечения надлежащей работы служб.
Squid 4 и 5
Добавьте on_unsupported_protocol директиву в squid.conf:
on_unsupported_protocol туннель всеSquid 3.5.27
Служба безопасности данных гибридного типа успешно протестирована с указанными далее правилами, добавленными в squid.conf. Эти правила могут изменяться по мере разработки функций и обновления облака Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump соединение wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump просмотр step1 все ssl_bump просмотр step2 все ssl_bump bump3 всеНовая и измененная информация
Новая и измененная информация
В этой таблице описаны новые функции или функциональные возможности, изменения существующего контента, а также любые серьезные ошибки, исправленные в руководстве по развертыванию службы безопасности данных гибридного типа с несколькими клиентами.
|
Дата |
Внесены изменения |
|---|---|
|
8 января 2025 г. |
Добавлено примечание в разделе Выполнение начальной настройки и скачивание файлов установки , в котором указано, что нажатие кнопки Настройка на карточке HDS в Partner Hub является важным этапом процесса установки. |
|
7 января 2025 г. |
Обновлены Требования к виртуальному узлу, Алгоритм выполнения задач по развертыванию службы безопасности данных гибридного типа и Установка OVA узла HDS для отображения новых требований ESXi 7.0. |
|
13 декабря 2024 г. |
Впервые опубликовано. |
Деактивация службы безопасности данных гибридного типа с несколькими клиентами
Алгоритм выполнения задач по деактивации HDS с несколькими клиентами
Чтобы полностью деактивировать HDS с несколькими клиентами, выполните приведенные ниже действия.
Перед началом работы
| 1 |
Удалите всех клиентов из всех кластеров, как указано в разделе Удаление клиентских организаций. |
| 2 |
Отозвать CMK всех клиентов, как указано в статье Отозвать CMK клиентов, удаленных из HDS. |
| 3 |
Удалите все узлы из всех кластеров, как описано в разделе Удаление узла. |
| 4 |
Удалите все кластеры из Partner Hub одним из следующих двух способов.
|
| 5 |
Щелкните вкладку Настройки на странице обзора безопасности данных гибридного типа и щелкните Деактивировать HDS на карточке состояния HDS. |
Начало работы с системой безопасности данных гибридного типа с поддержкой нескольких клиентов
Общие сведения о безопасности данных гибридного типа для нескольких клиентов
С самого начала безопасность данных была главной задачей при разработке приложения Webex. В основе этой безопасности лежит сквозное шифрование контента, которое включается клиентами приложения Webex, взаимодействующими со службой управления ключами (KMS). KMS отвечает за создание и управление криптографическими ключами, которые используются клиентами для динамического шифрования и расшифровки сообщений и файлов.
По умолчанию для всех клиентов приложения Webex обеспечивается сквозное шифрование с использованием динамических ключей, которые хранятся в облаке KMS в области безопасности Cisco. Служба безопасности данных гибридного типа перемещает KMS и другие функции безопасности в корпоративный центр обработки данных, поэтому доступ к ключам для зашифрованного контента будет только у вас.
Служба безопасности данных гибридного типа с поддержкой нескольких клиентов позволяет организациям использовать HDS через доверенного локального партнера, который может выполнять функции поставщика услуг и управлять локальным шифрованием и другими службами безопасности. Эта настройка позволяет партнерской организации осуществлять полный контроль над развертыванием ключей шифрования и управлением ими, а также обеспечивает безопасность данных пользователей клиентских организаций от внешнего доступа. Партнерские организации настраивают экземпляры HDS и при необходимости создают кластеры HDS. Каждый экземпляр может поддерживать несколько клиентских организаций, в отличие от обычного развертывания HDS, которое ограничено одной организацией.
Это также позволяет небольшим организациям использовать HDS, поскольку служба управления ключами и инфраструктура безопасности, например центры обработки данных, принадлежат доверенному локальному партнеру.
Как служба безопасности данных гибридного типа с несколькими клиентами обеспечивает суверенитет и управление данными
- Созданный пользователем контент защищен от внешнего доступа, например от поставщиков облачных услуг.
- Локальные доверенные партнеры управляют ключами шифрования клиентов, с которыми они уже установили взаимоотношения.
- Параметр для локальной технической поддержки, если она предоставлена партнером.
- Поддержка контента совещаний, обмена сообщениями и вызовов.
Этот документ предназначен для помощи партнерским организациям в настройке клиентов и управлении ими в системе безопасности данных гибридного типа с несколькими клиентами.
Роли в службе безопасности данных гибридного типа с несколькими клиентами
- Администратор партнера с полными правами : может управлять настройками для всех клиентов, которыми управляет партнер. Также может назначать роли администратора существующим пользователям в организации и назначать определенных клиентов, которыми будут управлять администраторы партнера.
- Администратор партнера . Может управлять настройками клиентов, подготовленных администратором или назначенных пользователю.
- Администратор с полными правами . Администратор партнерской организации, уполномоченный выполнять такие задачи, как изменение настроек организации, управление лицензиями и назначение ролей.
- Сквозная настройка HDS с несколькими клиентами и управление ими всех клиентских организаций . Требуются права администратора партнера с полными правами и администратора с полными правами.
- Управление назначенными организациями клиента : требуются права администратора партнера и полного администратора.
Архитектура области безопасности
Облачная архитектура Webex разбивает различные типы служб на отдельные области или домены доверия, как показано ниже.
Чтобы получить дополнительные сведения о безопасности данных гибридного типа, давайте сначала рассмотрим этот облачный случай, в котором компания Cisco предоставляет все функции в облачных областях. Служба удостоверений – единственное место, где пользователи могут напрямую соотнести с их персональной информацией, такой как адрес электронной почты, логически и физически отделена от области безопасности в центре обработки данных B. Обе службы в свою очередь отделены от области, в которой в конечном итоге хранится зашифрованный контент, в центре обработки данных C.
На этой схеме клиент представляет собой приложение Webex, запущенное на ноутбуке пользователя и прошедшее аутентификацию с помощью службы удостоверений. При написании пользователем сообщения для отправки в пространство выполняются следующие действия.
-
Клиент устанавливает безопасное соединение со службой управления ключами (KMS), затем запрашивает ключ для шифрования сообщения. Защищенное соединение использует ECDH, а KMS шифрует ключ с помощью главного ключа AES-256.
-
Сообщение шифруется до выхода из клиента. Клиент отправляет его в службу индексации, которая создает зашифрованные индексы поиска для помощи в будущих поисковых запросах контента.
-
Зашифрованное сообщение отправляется в службу обеспечения соответствия для проверки соответствия.
-
Зашифрованное сообщение хранится в области хранилища.
При развертывании службы безопасности данных гибридного типа функции области безопасности (KMS, индексация и соответствие требованиям) перемещаются в локальный центр обработки данных. Другие облачные службы, которые составляют Webex (включая идентификационные данные и хранилище контента), остаются в сферах Cisco.
Сотрудничество с Другими Организациями
Пользователи в вашей организации могут регулярно использовать приложение Webex для совместной работы с внешними участниками из других организаций. Когда один из пользователей запрашивает ключ для пространства, принадлежащего вашей организации (поскольку он был создан одним из пользователей), KMS отправляет ключ клиенту по защищенному каналу ECDH. Однако если ключ для пространства принадлежит другой организации, KMS перенаправляет запрос в облако Webex через отдельный канал ECDH для получения ключа от соответствующего KMS, а затем возвращает ключ пользователю в исходном канале.
Служба KMS, запущенная в организации A, проверяет подключения к KMS в других организациях с помощью сертификатов PKI x.509. Подробные сведения о создании сертификата x.509 для использования с развертыванием службы безопасности данных гибридного типа с несколькими клиентами см. в статье Подготовка среды .
Ожидания развертывания службы безопасности данных гибридного типа
Развертывание службы безопасности данных гибридного типа требует значительных обязательств и осознания рисков, связанных с хранением ключей шифрования.
Для развертывания службы безопасности данных гибридного типа необходимо предоставить:
-
Защищенный центр обработки данных в стране, которая является местоположением, поддерживаемым планами Cisco Webex Teams.
-
Оборудование, программное обеспечение и доступ к сети, описанные в разделе Подготовка среды.
Полная потеря конфигурации ISO, созданной для службы безопасности данных гибридного типа, или предоставленной базы данных приведет к потере ключей. Потеря ключей предотвращает расшифровку контента пространства и других зашифрованных данных в приложении Webex пользователями. В этом случае можно создать новое развертывание, однако будет отображаться только новый контент. Во избежание потери доступа к данным необходимо выполнить приведенные ниже действия.
-
Управление резервным копированием и восстановлением базы данных и конфигурации ISO.
-
Будьте готовы к быстрому аварийному восстановлению в случае аварии, например, сбою диска базы данных или сбою центра обработки данных.
Механизм для перемещения ключей обратно в облако после развертывания HDS отсутствует.
Высокоуровневый процесс настройки
В этом документе описана настройка и управление развертыванием службы безопасности данных гибридного типа с несколькими клиентами.
-
Настройка безопасности данных гибридного типа. Это включает подготовку необходимой инфраструктуры и установку программного обеспечения безопасности данных гибридного типа, создание кластера HDS, добавление клиентских организаций в кластер и управление их главными ключами клиента (CMK). Это позволит всем пользователям клиентских организаций использовать кластер безопасности данных гибридного типа для функций безопасности.
Этапы настройки, активации и управления подробно описаны в следующих трех главах.
-
Поддержка развертывания службы безопасности данных гибридного типа: облако Webex автоматически обеспечивает непрерывную модернизацию. Ваш отдел ИТ может предоставлять поддержку первого уровня для этого развертывания и при необходимости привлекать поддержку Cisco. В Partner Hub можно использовать экранные уведомления и настроить предупреждения на основе электронной почты.
-
Общие предупреждения, действия по устранению неполадок и известные проблемы. При возникновении проблем с развертыванием или использованием службы безопасности данных гибридного типа можно определить и устранить проблему с помощью последней главы этого руководства и приложения "Известные проблемы".
Модель развертывания службы безопасности данных гибридного типа
В корпоративном центре обработки данных служба безопасности данных гибридного типа будет развернута в виде одного кластера узлов на отдельных виртуальных узлах. Узлы связываются с облаком Webex с помощью защищенных веб-сокетов и защищенного HTTP.
Во время процесса установки предоставляется файл OVA для настройки виртуального устройства на предоставленных вами виртуальных машинах. Инструмент настройки HDS используется для создания пользовательского файла конфигурации кластера ISO, который устанавливается на каждом узле. Кластер безопасности данных гибридного типа использует предоставленный сервер Syslogd и базу данных PostgreSQL или Microsoft SQL Server. (Сведения о соединении Syslogd и базы данных можно настроить в инструменте настройки HDS.)
Минимальное количество узлов в кластере: два. Рекомендуется не менее трех на кластер. Наличие нескольких узлов гарантирует, что во время модернизации программного обеспечения или других действий по техническому обслуживанию узла служба не будет прерываться. (Облако Webex модернизирует только один узел за раз.)
Все узлы в кластере имеют доступ к одному хранилищу данных и активности журналов на один и тот же сервер системных журналов. Сами узлы не имеют состояния и обрабатывают запросы на ключ в циклическом порядке, как направляется облаком.
Узлы становятся активными при регистрации в партнерском центре. Чтобы вывести отдельный узел из эксплуатации, можно отменить его регистрацию, а затем, при необходимости, повторно зарегистрировать его.
Резервный центр обработки данных для аварийного восстановления
Во время развертывания вы настраиваете защищенный резервный центр обработки данных. В случае аварии центра обработки данных можно вручную перенести развертывание на резервный центр обработки данных.
Базы данных активных и резервных центров обработки данных синхронизируются друг с другом, что позволит свести к минимуму время, затрачиваемое на выполнение отработки отказа.
Активные узлы безопасности данных гибридного типа всегда должны находиться в одном центре обработки данных с активным сервером базы данных.
Поддержка прокси
Служба безопасности данных гибридного типа поддерживает явные прокси, прозрачные прокси с проверкой и прокси без проверки. Чтобы обеспечить защиту и мониторинг трафика из сети предприятия в облако, можно связать эти прокси с развертыванием. После настройки прокси на узлах административный интерфейс платформы на узлах можно использовать для управления сертификатами и просмотра общего состояния соединений.
Узлы безопасности данных гибридного типа поддерживают указанные далее параметры прокси.
-
Нет прокси. Значение по умолчанию, если для интеграции прокси не используется конфигурация доверенного хранилища и прокси для настройки узла HDS. Обновление сертификата не требуется.
-
Прозрачный прокси без проверки. Узлы не настроены для использования адреса определенного прокси-сервера и не должны требовать каких-либо изменений для работы с прокси без проверки. Обновление сертификата не требуется.
-
Прозрачный туннелирование или прокси с проверкой. Узлы не настроены для использования адреса определенного прокси-сервера. На узлах не нужно изменять конфигурацию HTTP или HTTPS. Как бы то ни было, для обеспечения доверия прокси узлам необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже HTTPS).
-
Явный прокси. При использовании явного прокси необходимо указать прокси-сервер и схему аутентификации узлам HDS. Для настройки явного прокси на каждом узле нужно ввести следующую информацию.
-
IP/FQDN прокси. Адрес, который можно использовать для связи с прокси-машиной.
-
Порт прокси. Номер порта, который прокси использует для прослушивания прокси-трафика.
-
Proxy Protocol (Протокол прокси). В зависимости от поддержки прокси-сервера выберите один из следующих протоколов.
-
HTTP – просматривает все запросы, отправляемые клиентом, и управляет этими запросами.
-
HTTPS – обеспечивает работу канала связи с сервером. Клиент получает и проверяет сертификат сервера.
-
-
Тип аутентификации: выберите один из приведенных ниже типов аутентификации.
-
Нет. Дальнейшая аутентификация не требуется.
Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.
-
Базовый: используется для агента пользователя HTTP для указания имени пользователя и пароля при совершении запроса. Использует кодировку Base64.
Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.
Требует ввода имени пользователя и пароля на каждом узле.
-
Дайджест. Используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети.
Этот параметр доступен только в том случае, если в качестве протокола прокси выбран протокол HTTPS.
Требует ввода имени пользователя и пароля на каждом узле.
-
-
Пример узлов безопасности данных гибридного типа и прокси
На этой схеме представлен пример соединения между системой безопасности данных гибридного типа, сетью и прокси. При использовании прозрачного прокси с проверкой или явного прокси с проверкой HTTPS на прокси и узлы безопасности данных гибридного типа необходимо установить один и тот же корневой сертификат.
Режим блокировки разрешения внешних DNS (конфигурации явного прокси)
При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. В развертываниях с конфигурациями явного прокси, которые не допускают разрешения внешних DNS для внутренних клиентов, если узел не может посылать запросы на DNS-серверы, он автоматически переходит в режим блокировки разрешения внешних DNS. В этом режиме можно продолжить регистрацию узла и другие тестирования подключения к прокси.
Подготовка среды
Требования к безопасности данных гибридного типа с несколькими клиентами
Требования к лицензии Cisco Webex
Развертывание службы безопасности данных гибридного типа с несколькими клиентами.
-
Партнерские организации: Обратитесь к своему партнеру Cisco или менеджеру по работе с клиентами и убедитесь, что функция "Несколько клиентов" включена.
-
Организации клиентов: Необходима профессиональная версия Cisco Webex Control Hub. См. https://www.cisco.com/go/pro-pack.
Требования к рабочему столу Docker
Перед установкой узлов HDS необходимо запустить программу настройки с помощью Docker Desktop. Docker недавно обновил свою модель лицензирования. Для вашей организации может потребоваться платная подписка на Docker Desktop. Подробности см. в записи блога Docker, " Docker обновляет и расширяет подписки на продукты".
Требования к сертификату X.509
Цепочка сертификатов должна соответствовать следующим требованиям:
|
Требование |
Подробности |
|---|---|
|
По умолчанию мы доверяем ЦС в списке Mozilla (за исключением WoSign и StartCom) по адресу https://wiki.mozilla.org/CA:IncludedCAs. |
|
CN не требуется, чтобы он был доступен или был организатором в режиме реального времени. Рекомендуется использовать название, отражающее вашу организацию, например CN не должен содержать * (подстановочный знак). CN используется для проверки узлов безопасности данных гибридного типа для клиентов приложения Webex. Все узлы безопасности данных гибридного типа в кластере используют один и тот же сертификат. Ваш KMS идентифицирует себя с помощью домена CN, а не любого домена, определенного в полях SAN x.509v3. После регистрации узла с этим сертификатом изменение доменного имени CN не поддерживается. |
|
Программное обеспечение KMS не поддерживает подписи SHA1 для проверки подключений к KMS других организаций. |
|
Для изменения формата сертификата можно использовать преобразователь, например OpenSSL. При запуске инструмента настройки HDS потребуется ввести пароль. |
Программное обеспечение KMS не обеспечивает принудительное использование ключа или расширенные ограничения на его использование. Некоторые центры сертификации требуют, чтобы к каждому сертификату применялись расширенные ограничения на использование ключей, например аутентификация сервера. Использовать аутентификацию сервера или другие настройки можно.
Требования к виртуальному организатору
Виртуальные узлы, которые будут настроены в качестве узлов безопасности данных гибридного типа в кластере, имеют следующие требования:
-
По крайней мере два отдельных узла (рекомендуется 3) размещены в одном защищенном центре обработки данных
-
Установлена и запущена VMware ESXi 7.0 (или более поздняя версия).
При наличии более ранней версии ESXi необходимо выполнить модернизацию.
-
Минимум 4 ЦП, 8 ГБ основной памяти, 30 ГБ локального жесткого диска на сервер
Требования к серверу базы данных
Создайте новую базу данных для хранилища ключей. Не используйте базу данных по умолчанию. Приложения HDS при установке создают схему базы данных.
Существует два варианта сервера баз данных. Требования для каждого из них приведены ниже.
|
PostgreSQL |
Сервер Microsoft SQL |
|---|---|
|
|
|
Минимум 8 виртуальных ЦП, 16 ГБ основной памяти, достаточное пространство на жестком диске и мониторинг для обеспечения его отсутствия (рекомендуется 2 ТБ, если необходимо запустить базу данных в течение длительного времени без увеличения объема хранилища) |
Минимум 8 виртуальных ЦП, 16 ГБ основной памяти, достаточное пространство на жестком диске и мониторинг для обеспечения его отсутствия (рекомендуется 2 ТБ, если необходимо запустить базу данных в течение длительного времени без увеличения объема хранилища) |
Программное обеспечение HDS в настоящее время устанавливает следующие версии драйверов для связи с сервером базы данных:
|
PostgreSQL |
Сервер Microsoft SQL |
|---|---|
|
Драйвер JDBC Postgres 42.2.5 |
Драйвер JDBC 4.6 для SQL-сервера Эта версия драйвера поддерживает SQL Server Always On (экземпляры отказоустойчивого кластера и группы доступности Always On). |
Дополнительные требования для аутентификации Windows на Microsoft SQL Server
Если необходимо, чтобы узлы HDS использовали аутентификацию Windows для получения доступа к базе данных хранилища ключей на Microsoft SQL Server, в вашей среде потребуется следующая конфигурация:
-
Узлы HDS, инфраструктура Active Directory и сервер MS SQL должны быть синхронизированы с NTP.
-
Учетная запись Windows, которую вы предоставляете узлам HDS, должна иметь доступ к базе данных для чтения и записи.
-
Серверы DNS, предоставляемые узлам HDS, должны иметь возможность разрешать центр распределения ключей (KDC).
-
Экземпляр базы данных HDS можно зарегистрировать на сервере Microsoft SQL в качестве главного имени службы (SPN) в Active Directory. См. статью Регистрация имени участника службы для Kerberos Connections.
Инструмент настройки HDS, программа запуска HDS и локальный KMS должны использовать аутентификацию Windows для доступа к базе данных хранилища ключей. Они используют сведения из конфигурации ISO для создания SPN при запросе доступа с аутентификацией Kerberos.
Требования к внешнему подключению
Настройте брандмауэр, чтобы разрешить следующее подключение для приложений HDS:
|
Приложение |
Протокол |
Порт |
Направление из приложения |
Адресат |
|---|---|---|---|---|
|
Узлы безопасности данных гибридного типа |
Протокол TCP |
443 |
Исходящие HTTPS и WSS |
|
|
Инструмент настройки HDS |
Протокол TCP |
443 |
HTTPS для исходящих вызовов |
|
Узлы безопасности данных гибридного типа работают с преобразованием сетевого доступа (NAT) или за брандмауэром, если NAT или брандмауэр допускает необходимые исходящие соединения с адресатами домена в таблице выше. Для соединений, поступающих на узлы безопасности данных гибридного типа, порты не должны отображаться из Интернета. В центре обработки данных клиентам необходим доступ к узлам безопасности данных гибридного типа на портах 443 и 22 TCP в административных целях.
URL-адреса узлов общих параметров идентификации (CI) специфичны для региона. Ниже приведены текущие узлы CI.
|
Регион |
URL-адреса хостов общих параметров идентификации |
|---|---|
|
Северная и Южная Америка |
|
|
Европейский союз |
|
|
Канада |
|
| Сингапур |
|
| Объединенные Арабские Эмираты |
|
Требования к прокси-серверу
-
Мы официально поддерживаем следующие решения для прокси, которые можно интегрировать с узлами безопасности данных гибридного типа:
-
для прозрачных прокси – Cisco Web Security Appliance (WSA);
-
для явных прокси – Squid.
Прокси Squid, которые проверяют трафик HTTPS, могут мешать созданию соединений веб-сокетов (wss:). Чтобы устранить эту проблему, см. статью Настройка прокси Squid для безопасности данных гибридного типа.
-
-
Поддерживаются следующие комбинации типов аутентификации для явных прокси:
-
без аутентификации при использовании HTTP или HTTPS;
-
базовая аутентификация при использовании HTTP или HTTPS;
-
дайджест-аутентификация только при использовании HTTPS;
-
-
При наличии прозрачного прокси с проверкой или явного прокси HTTPS необходимо иметь копию корневого сертификата прокси. Инструкции по развертыванию, приведенные в этом руководстве, содержат информацию о том, как загрузить эту копию в зоны доверия узлов безопасности данных гибридного типа.
-
Сеть, в которой размещены узлы HDS, должна обеспечивать принудительную маршрутизацию исходящего трафика TCP на порте 443 через прокси.
-
Прокси, проверяющие веб-трафик, могут нарушать работу соединений веб-сокетов. Для устранения этой проблемы трафик следует направить в обход (без проверки) на
wbx2.comи*.teams.webex.com.
Выполнение предварительных требований для службы безопасности данных гибридного типа
| 1 |
Убедитесь, что в партнерской организации включена функция HDS с несколькими клиентами, и получите учетные данные учетной записи с полными правами администратора партнера и полными правами администратора. Убедитесь, что для клиентской организации Webex включена профессиональная версия Cisco Webex Control Hub. Обратитесь за помощью к своему партнеру Cisco или менеджеру по работе с клиентами. У клиентских организаций не должно быть существующего развертывания HDS. |
| 2 |
Выберите имя домена для развертывания HDS (например, |
| 3 |
Подготовьте идентичные виртуальные узлы, которые будут настроены в качестве узлов безопасности данных гибридного типа в кластере. Необходимо разместить не менее двух отдельных организаторов (рекомендуется 3) в одном и том же защищенном центре обработки данных, который соответствует требованиям в разделе Требования к виртуальному организатору. |
| 4 |
Подготовьте сервер базы данных, который будет использоваться в качестве хранилища ключевых данных для кластера в соответствии с требованиями сервера базы данных. Сервер базы данных должен быть размещен в защищенном центре обработки данных с виртуальными хостами. |
| 5 |
Для быстрого аварийного восстановления настройте резервную среду в другом центре обработки данных. Резервная среда дублирует производственную среду виртуальных машин и сервер базы данных резервного копирования. Например, если в производственной среде есть 3 виртуальных машины с узлами HDS, резервная среда должна иметь 3 виртуальных машины. |
| 6 |
Настройте узел системного журнала для сбора журналов с узлов в кластере. Соберите сетевой адрес и порт системного журнала (по умолчанию UDP 514). |
| 7 |
Создайте политику безопасного резервного копирования для узлов безопасности данных гибридного типа, сервера базы данных и узла системного журнала. Как минимум, чтобы предотвратить необратимую потерю данных, необходимо создать резервную копию базы данных и файла конфигурации ISO, созданного для узлов безопасности данных гибридного типа. Поскольку узлы безопасности данных гибридного типа хранят ключи, используемые при шифровании и расшифровке контента, невыполнение оперативного развертывания приведет к НЕОБРАТИМОЙ ПОТЕРЕ этого контента. Клиенты приложения Webex кэшируют свои ключи, поэтому сбои могут не сразу стать заметными, но со временем станут очевидными. Временные перебои невозможно предотвратить, но их можно восстановить. Однако полная потеря базы данных или файла конфигурации ISO (нет доступных резервных копий) приведет к невозможности восстановления данных клиента. Ожидается, что операторы узлов безопасности данных гибридного типа осуществляют частые резервные копии базы данных и файла конфигурации ISO и будут готовы к обновлению центра обработки данных службы безопасности данных гибридного типа в случае катастрофической ошибки. |
| 8 |
Убедитесь, что конфигурация брандмауэра разрешает соединение для узлов безопасности данных гибридного типа, как описано в разделе Требования к внешнему подключению. |
| 9 |
Установите Docker (https://www.docker.com) на любом локальном компьютере, на котором запущена поддерживаемая ОС (64-разрядная версия Microsoft Windows 10 Professional или Enterprise или Mac OSX Yosemite 10.10.3 или более поздняя версия) с веб-браузером, с помощью которого можно получить доступ на странице http://127.0.0.1:8080. Экземпляр Docker используется для скачивания и запуска инструмента настройки HDS, который создает информацию локальной конфигурации для всех узлов безопасности данных гибридного типа. Вам может понадобиться лицензия Docker Desktop. Дополнительную информацию см. в статье Требования к рабочему столу Docker . Для установки и запуска инструмента настройки HDS локальная машина должна иметь подключение, описанное в разделе Требования к внешнему подключению. |
| 10 |
При интеграции прокси с системой безопасности данных гибридного типа убедитесь, что он соответствует требованиям к прокси-серверу. |
Настройка кластера безопасности данных гибридного типа
Алгоритм выполнения задач по развертыванию службы безопасности данных гибридного типа
| 1 |
Выполните начальную настройку и скачайте файлы установки Скачайте файл OVA на локальный компьютер для дальнейшего использования. |
| 2 |
Создание ISO конфигурации для узлов HDS Используйте инструмент настройки HDS для создания файла конфигурации ISO для узлов безопасности данных гибридного типа. |
| 3 |
Создайте виртуальную машину из файла OVA и выполните начальную конфигурацию, например параметры сети. Параметр настройки сети во время развертывания OVA протестирован с помощью ESXi 7.0. Этот параметр может быть недоступен в более ранних версиях. |
| 4 |
Настройка виртуальной машины безопасности данных гибридного типа Войдите в консоль виртуальной машины и задайте учетные данные для входа. Настройте параметры сети для узла, если они не были настроены во время развертывания файла OVA. |
| 5 |
Загрузка и установка ISO конфигурации HDS Настройте виртуальную машину из файла конфигурации ISO, созданного с помощью инструмента настройки HDS. |
| 6 |
Настройка узла HDS для интеграции прокси Если в сетевой среде требуется конфигурация прокси, укажите тип прокси, который будет использоваться для узла, и при необходимости добавьте сертификат прокси в доверенное хранилище. |
| 7 |
Регистрация первого узла в кластере Зарегистрируйте виртуальную машину в облаке Cisco Webex в качестве узла безопасности данных гибридного типа. |
| 8 |
Создать и зарегистрировать другие узлы Завершите настройку кластера. |
| 9 |
Активируйте HDS с несколькими клиентами в Partner Hub. Активируйте HDS и управляйте организациями клиентов в Partner Hub. |
Выполните начальную настройку и скачайте файлы установки
В этой задаче вы скачаете файл OVA на свой компьютер (а не на серверы, настроенные в качестве узлов безопасности данных гибридного типа). Этот файл будет использован позже в процессе установки.
| 1 |
Войдите в Partner Hub и щелкните Службы. |
| 2 |
В разделе облачных служб найдите карточку безопасности данных гибридного типа и щелкните Настройка. Нажатие кнопки Настройка в партнерском центре имеет решающее значение для процесса развертывания. Не продолжайте установку без завершения этого шага. |
| 3 |
Щелкните Добавить ресурс и щелкните Скачать файл OVA на карточке Установка и настройка программного обеспечения . Более ранние версии пакета программного обеспечения (OVA) не будут совместимы с последними модернизациями безопасности данных гибридного типа. Это может привести к ошибкам во время модернизации приложения. Убедитесь, что скачано последнюю версию файла OVA. Кроме того, файл OVA можно скачать в любой момент в разделе Справка . Щелкните . Скачивание файла OVA начнется автоматически. Сохраните файл в местоположении на своем компьютере.
|
| 4 |
При необходимости щелкните Просмотреть руководство по развертыванию службы безопасности данных гибридного типа , чтобы проверить доступность более поздней версии этого руководства. |
Создание ISO конфигурации для узлов HDS
Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.
Прежде чем начать
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора.
Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker на шаге 5 ниже. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТHTTPS-прокси без аутентификации
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТHTTP-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТHTTPS-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ -
Созданный файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. При внесении изменений в конфигурацию вам потребуется последняя копия этого файла. Например:
-
Учетные данные базы данных
-
Обновления сертификата
-
Изменения политики авторизации
-
-
При планировании шифрования соединений с базой данных настройте развертывание PostgreSQL или SQL Server для TLS.
| 1 |
Введите соответствующую команду для вашей среды в командной строке компьютера. В обычных средах: В средах FedRAMP: На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать. | ||||||||||
| 2 |
Чтобы войти в реестр образов Docker, введите следующее. | ||||||||||
| 3 |
Введите в запросе пароля этот хеш: | ||||||||||
| 4 |
Скачайте последнюю стабильную версию образа для вашей среды. В обычных средах: В средах FedRAMP: | ||||||||||
| 5 |
По завершении скачивания введите соответствующую команду для вашей среды.
Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080". | ||||||||||
| 6 |
Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу. Перейдите к локальному узлу Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартную подсказку для входа в систему. | ||||||||||
| 7 |
При отображении соответствующего запроса введите учетные данные для входа администратора Partner Hub и щелкните Войти , чтобы разрешить доступ к необходимым службам для службы безопасности данных гибридного типа. | ||||||||||
| 8 |
На странице обзора инструмента настройки щелкните Начало работы. | ||||||||||
| 9 |
На странице Импорт ISO доступны следующие параметры.
| ||||||||||
| 10 |
Проверьте, соответствует ли сертификат X.509 требованиям к сертификатам X.509.
| ||||||||||
| 11 |
Введите адрес базы данных и учетную запись HDS для доступа к хранилищу данных ключей: | ||||||||||
| 12 |
Выберите Режим подключения к базе данных TLS.
При загрузке корневого сертификата (при необходимости) и нажатии Продолжить инструмент настройки HDS тестирует подключение TLS к серверу базы данных. Инструмент также выполняет проверку источника подписи сертификата и имени узла (если применимо). Если тест не будет пройден, в инструменте будет отображено сообщение об ошибке с описанием проблемы. Можно выбрать параметр игнорирования ошибки и продолжить настройку. (Из-за различий соединения узлы HDS могут установить соединение TLS, даже если машина средства настройки HDS не может успешно протестировать его.) | ||||||||||
| 13 |
На странице «Системные журналы» настройте сервер Syslogd: | ||||||||||
| 14 |
(Необязательно) Можно изменить значение по умолчанию для некоторых параметров подключения к базе данных в разделе Расширенные настройки. Как правило, этот параметр является единственным, который необходимо изменить: | ||||||||||
| 15 |
Щелкните Продолжить на экране Сброс пароля учетных записей службы . Срок действия паролей учетных записей службы составляет девять месяцев. Используйте этот экран, когда срок действия паролей скоро истечет или вы хотите сбросить их, чтобы сделать предыдущие файлы ISO недействительными. | ||||||||||
| 16 |
Щелкните Скачать файл ISO. Сохраните файл в удобном для поиска местоположении. | ||||||||||
| 17 |
Сделайте резервную копию файла ISO в локальной системе. Обеспечьте безопасность резервного копирования. Этот файл содержит главный ключ шифрования для содержимого базы данных. Ограничьте доступ только тем администраторам службы безопасности данных гибридного типа, которые должны вносить изменения в конфигурацию. | ||||||||||
| 18 |
Чтобы завершить работу инструмента настройки, нажмите |
Дальнейшие действия
Создайте резервную копию файла конфигурации ISO. Это необходимо для создания дополнительных узлов для восстановления или внесения изменений в конфигурацию. В случае утери всех копий файла ISO также был утрачен главный ключ. Невозможно восстановить ключи из базы данных PostgreSQL или Microsoft SQL Server.
У нас никогда не будет копии этого ключа, и мы не можем помочь, если вы его потеряете.
Установка файла OVA узла HDS
| 1 |
Используйте клиент VMware vSphere на компьютере для входа в виртуальный хост ESXi. |
| 2 |
Выберите Файл > Развернуть шаблон OVF. |
| 3 |
В мастере укажите расположение скачанного ранее файла OVA и щелкните Далее. |
| 4 |
На странице Выберите имя и папку введите имя виртуальной машины для узла (например, "HDS_Node_1"), выберите местоположение, в котором может находиться развертывание узла виртуальной машины, и щелкните Далее. |
| 5 |
На странице Выбор вычислительного ресурса выберите целевой вычислительный ресурс и щелкните Далее. Выполняется проверка. По завершении отобразятся сведения о шаблоне. |
| 6 |
Проверьте сведения о шаблоне и щелкните Далее. |
| 7 |
При появлении запроса на выбор конфигурации ресурса на странице Конфигурация щелкните 4 ЦП , а затем щелкните Далее. |
| 8 |
На странице Выбор хранилища щелкните Далее , чтобы принять формат диска по умолчанию и политику хранилища виртуальной машины. |
| 9 |
На странице Выбор сетей выберите параметр сети из списка записей, чтобы обеспечить необходимое подключение к виртуальной машине. |
| 10 |
На странице Настройка шаблона настройте приведенные ниже параметры сети.
При необходимости можно пропустить конфигурацию сетевых настроек и выполнить действия, описанные в разделе Настройка виртуальной машины безопасности данных гибридного типа , чтобы настроить параметры с помощью консоли узла. Параметр настройки сети во время развертывания OVA протестирован с помощью ESXi 7.0. Этот параметр может быть недоступен в более ранних версиях. |
| 11 |
Щелкните правой кнопкой мыши узел виртуальной машины и выберите . Программное обеспечение безопасности данных гибридного типа устанавливается в качестве гостя на узле виртуальной машины. Теперь вы готовы войти в консоль и настроить узел. Рекомендации по устранению неисправностей Контейнеры узла могут появиться через несколько минут. Во время первой загрузки на консоли отображается сообщение брандмауэра моста, в течение которого невозможно войти в систему. |
Настройка виртуальной машины безопасности данных гибридного типа
Используйте эту процедуру для первого входа в консоль виртуальной машины узла безопасности данных гибридного типа и установки учетных данных для входа. Можно также использовать консоль для настройки сетевых параметров узла, если они не были настроены во время развертывания файла OVA.
| 1 |
В клиенте VMware vSphere выберите виртуальную машину узла безопасности данных гибридного типа и откройте вкладку Консоль . Будет загружена виртуальная машина, и отобразится запрос на вход. Если запрос на вход не отображается, нажмите клавишу ввода.
|
| 2 |
Для входа и изменения учетных данных используйте следующие параметры входа и пароля по умолчанию: Поскольку вы впервые входите в свою виртуальную машину, вам необходимо изменить пароль администратора. |
| 3 |
Если параметры сети уже настроены в разделе Установка OVA узла HDS, пропустите остальную процедуру. В противном случае в главном меню выберите параметр Редактировать конфигурацию . |
| 4 |
Настройте статическую конфигурацию с использованием IP-адреса, маски, шлюза и информации DNS. Узел должен иметь внутренний IP-адрес и имя DNS. DHCP не поддерживается. |
| 5 |
(Необязательно) Измените имя хоста, домен или NTP-серверы, если это необходимо для соответствия вашей сетевой политике. Настройка домена в соответствии с доменом, который вы использовали для получения сертификата X.509, не требуется. |
| 6 |
Сохраните конфигурацию сети и перезагрузите виртуальную машину, чтобы изменения вступили в силу. |
Загрузка и установка ISO конфигурации HDS
Перед началом работы
Поскольку в файле ISO содержится главный ключ, он должен быть раскрыт только по принципу «необходимо знать» для доступа виртуальных машин безопасности данных гибридного типа и всех администраторов, которым может потребоваться внести изменения. Убедитесь, что доступ к хранилищу данных могут получить только эти администраторы.
| 1 |
Загрузите файл ISO со своего компьютера. |
| 2 |
Установите файл ISO: |
Дальнейшие действия
Если политика ИТ требует, после внесения изменений конфигурации на всех узлах можно отсоединить файл ISO. Подробные сведения см. в статье (необязательно) Отключение ISO после настройки HDS .
Настройка узла HDS для интеграции прокси
Если в сетевой среде необходимо использовать прокси, воспользуйтесь этой процедурой, чтобы указать тип прокси, который нужно интегрировать со службой безопасности данных гибридного типа. При выборе прозрачного прокси с проверкой или явного прокси HTTPS можно использовать интерфейс узла для загрузки и установки корневого сертификата. Кроме того, в интерфейсе можно проверять соединение с прокси и устранять неполадки.
Перед началом работы
-
Общие сведения о поддерживаемых параметрах прокси см. в разделе Поддержка прокси .
| 1 |
Введите в веб-браузере URL-адрес для настройки узла HDS |
| 2 |
Откройте раздел Trust Store & Proxy (Зона доверия и прокси) и выберите один из следующих параметров.
В случае использования прозрачного прокси с проверкой, явного прокси HTTP с базовой аутентификацией или явного прокси HTTPS выполните указанные далее шаги. |
| 3 |
Щелкните Upload a Root Certificate or End Entity Certificate (Загрузить корневой сертификат или сертификат конечного субъекта) и откройте меню для выбора корневого сертификата для прокси. Сертификат будет загружен, но не установлен, поскольку для установки сертификата необходимо перезагрузить узел. Чтобы получить дополнительные сведения, щелкните стрелку-шеврон, расположенную рядом с именем издателя сертификата. Если вы допустили ошибку и хотите вновь загрузить файл, щелкните Delete (Удалить). |
| 4 |
Чтобы протестировать сетевое соединение между узлом и прокси, щелкните Check Proxy Connection (Проверить соединение с прокси). Если тестирование соединения завершится неудачей, на экране появится сообщение об ошибке, в котором будут указаны причина и способ исправления ошибки. Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу. Такая проблема может возникнуть во многих конфигурациях явного прокси. Можно продолжить настройку, и узел будет работать в режиме блокировки разрешения внешних DNS. Если вы считаете, что это ошибка, выполните эти действия, а затем см. статью Выключение режима блокировки разрешения внешних DNS. |
| 5 |
Если вы используете явный прокси, настроенный на применение исключительно https, после успешного завершения тестирования соединения включите параметр Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси (Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси). Для вступления в силу этого параметра необходимо 15 секунд. |
| 6 |
Щелкните Install All Certificates Into the Trust Store (Установить все сертификаты в зоне доверия) – этот параметр отображается при использовании явного прокси HTTPS или прозрачного прокси с проверкой – или Reboot (Перезагрузить) – этот параметр отображается при использовании явного прокси HTTP. Прочитайте запрос и щелкните Install (Установить), если вы готовы к установке. Узел перезагрузится в течение нескольких минут. |
| 7 |
После перезагрузки узла повторно войдите в систему, если это необходимо, и откройте страницу Обзор, чтобы выполнить проверки соединений. Состояние всех проверок должно быть обозначено зеленым цветом. Проверка соединения с прокси используется исключительно для тестирования поддомена webex.com. Проблемы с соединениями нередко возникают из-за того, что некоторые облачные домены, указанные в инструкциях по установке, блокируются на уровне прокси. |
Регистрация первого узла в кластере
При регистрации первого узла создается кластер, которому он назначен. Кластер содержит один или несколько узлов, развернутых для резервирования.
Перед началом работы
-
После начала регистрации узла ее необходимо завершить в течение 60 минут или начать заново.
-
Убедитесь, что все блокировки всплывающих окон в браузере отключены или вы разрешаете исключение для admin.webex.com.
| 1 |
Войдите в https://admin.webex.com. |
| 2 |
В меню в левой части экрана выберите Службы. |
| 3 |
В разделе облачных служб найдите карточку безопасности данных гибридного типа и щелкните Настройка. |
| 4 |
На открывшейся странице щелкните Добавить ресурс. |
| 5 |
В первом поле карточки Добавить узел введите имя кластера, которому необходимо назначить узел безопасности данных гибридного типа. Рекомендуется назвать кластер в зависимости от географического расположения узлов кластера. Примеры: "Сан-Франциско", "Нью-Йорк" или "Даллас" |
| 6 |
Во втором поле введите внутренний IP-адрес или полное доменное имя узла и щелкните Добавить в нижней части экрана. Этот IP-адрес или полное доменное имя должны совпадать с IP-адресом или именем хоста и доменом, которые вы использовали в разделе Настройка виртуальной машины безопасности данных гибридного типа. Отобразится сообщение о том, что можно зарегистрировать узел в Webex.
|
| 7 |
Щелкните Перейти к узлу. Через несколько секунд вы будете перенаправлены на тестирование подключения узла для служб Webex. Если все тесты будут успешными, отобразится страница "Разрешить доступ к узлу безопасности данных гибридного типа". Здесь вы подтверждаете, что хотите предоставить вашей организации Webex полномочия на доступ к узлу. |
| 8 |
Установите флажок в поле Разрешить доступ к узлу безопасности данных гибридного типа и щелкните Продолжить. Учетная запись подтверждена. В сообщении "Регистрация завершена" указано, что узел зарегистрирован в облаке Webex.
|
| 9 |
Щелкните ссылку или закройте вкладку, чтобы вернуться на страницу безопасности данных гибридного типа партнерского центра. На странице Безопасность данных гибридного типа новый кластер, содержащий зарегистрированный узел, отображается на вкладке Ресурсы . Узел будет автоматически скачан новейшее программное обеспечение из облака.
|
Создать и зарегистрировать другие узлы
Перед началом работы
-
После начала регистрации узла ее необходимо завершить в течение 60 минут или начать заново.
-
Убедитесь, что все блокировки всплывающих окон в браузере отключены или вы разрешаете исключение для admin.webex.com.
| 1 |
Создайте новую виртуальную машину из файла OVA, повторяя шаги, описанные в разделе Установка файла OVA узла HDS. |
| 2 |
Настройте начальную конфигурацию новой виртуальной машины, повторяя шаги, описанные в разделе Настройка виртуальной машины безопасности данных гибридного типа. |
| 3 |
В новой виртуальной машине повторите шаги, описанные в разделе Загрузка и установка ISO конфигурации HDS. |
| 4 |
При настройке прокси для развертывания повторите шаги, описанные в разделе Настройка узла HDS для интеграции прокси для нового узла. |
| 5 |
Зарегистрируйте узел. |
Управление организациями клиентов в службе безопасности данных гибридного типа с поддержкой нескольких клиентов
Активация HDS с несколькими клиентами в центре партнера
Эта задача позволит всем пользователям клиентских организаций начать использование HDS для локальных ключей шифрования и других служб безопасности.
Перед началом работы
Убедитесь, что настройка кластера HDS с несколькими клиентами завершена с требуемым количеством узлов.
| 1 |
Войдите в https://admin.webex.com. |
| 2 |
В меню в левой части экрана выберите Службы. |
| 3 |
В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Редактировать настройки. |
| 4 |
Щелкните Активировать HDS на карточке Состояние HDS . |
Добавить организации клиентов в Partner Hub
В этой задаче вы назначаете клиентские организации кластеру безопасности данных гибридного типа.
| 1 |
Войдите в https://admin.webex.com. |
| 2 |
В меню в левой части экрана выберите Службы. |
| 3 |
В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Просмотреть все. |
| 4 |
Щелкните кластер, которому необходимо назначить клиента. |
| 5 |
Перейдите на вкладку Назначенные клиенты . |
| 6 |
Щелкните Добавить клиентов. |
| 7 |
В раскрывающемся меню выберите клиента, которого необходимо добавить. |
| 8 |
Щелкните Добавить, и клиент будет добавлен в кластер. |
| 9 |
Чтобы добавить в кластер несколько клиентов, повторите шаги 6–8. |
| 10 |
После добавления клиентов щелкните Готово в нижней части экрана. |
Дальнейшие действия
Создание главных ключей клиентов (CMK) с помощью инструмента настройки HDS
Перед началом работы
Назначьте клиентов в соответствующий кластер, как описано в разделе Добавление клиентских организаций в Partner Hub. Запустите инструмент настройки HDS, чтобы завершить процесс настройки вновь добавленных клиентских организаций.
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора для вашей организации.
Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТHTTPS-прокси без аутентификации
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТHTTP-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТHTTPS-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ -
Созданный файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. При внесении изменений в конфигурацию вам потребуется последняя копия этого файла. Например:
-
Учетные данные базы данных
-
Обновления сертификата
-
Изменения политики авторизации
-
-
При планировании шифрования соединений с базой данных настройте развертывание PostgreSQL или SQL Server для TLS.
Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.
| 1 |
Введите соответствующую команду для вашей среды в командной строке компьютера. В обычных средах: В средах FedRAMP: На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать. |
| 2 |
Чтобы войти в реестр образов Docker, введите следующее. |
| 3 |
Введите в запросе пароля этот хеш: |
| 4 |
Скачайте последнюю стабильную версию образа для вашей среды. В обычных средах: В средах FedRAMP: |
| 5 |
По завершении скачивания введите соответствующую команду для вашей среды.
Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080". |
| 6 |
Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу. Перейдите к локальному узлу Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартную подсказку для входа в систему. |
| 7 |
При отображении соответствующего запроса введите учетные данные для входа администратора Partner Hub и щелкните Войти , чтобы разрешить доступ к необходимым службам для службы безопасности данных гибридного типа. |
| 8 |
На странице обзора инструмента настройки щелкните Начало работы. |
| 9 |
На странице Импорт ISO щелкните Да. |
| 10 |
Выберите файл ISO в браузере и загрузите его. Для выполнения управления CMK убедитесь в подключении к базе данных. |
| 11 |
Перейдите на вкладку Управление CMK клиента , где можно найти три способа управления CMK клиента.
|
| 12 |
После успешного создания CMK состояние в таблице изменится с Управление CMK рассматривается на Управление CMK. |
| 13 |
В случае неудачного создания CMK отображается ошибка. |
Удалить организации клиентов
Перед началом работы
После удаления пользователи клиентских организаций не смогут использовать HDS в целях шифрования, а все существующие пространства будут утрачены. Прежде чем удалить клиентские организации, обратитесь к своему партнеру Cisco или менеджеру по работе с клиентами.
| 1 |
Войдите в https://admin.webex.com. |
| 2 |
В меню в левой части экрана выберите Службы. |
| 3 |
В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Просмотреть все. |
| 4 |
На вкладке Ресурсы щелкните кластер, из которого необходимо удалить клиентские организации. |
| 5 |
На открывшейся странице щелкните Назначенные клиенты. |
| 6 |
В списке отображаемых клиентских организаций щелкните ... в правой части клиентской организации, которую необходимо удалить, и щелкните Удалить из кластера. |
Дальнейшие действия
Завершите процесс удаления, отозвав CMK клиентских организаций, как описано в статье Отозвать CMK клиентов, удаленных из HDS.
Отозвать CMK клиентов, удаленные из HDS.
Перед началом работы
Удалите клиентов из соответствующего кластера, как описано в разделе Удаление клиентских организаций. Запустите инструмент настройки HDS, чтобы завершить процесс удаления удаленных клиентских организаций.
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора для вашей организации.
Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТHTTPS-прокси без аутентификации
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТHTTP-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТHTTPS-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ -
Созданный файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. При внесении изменений в конфигурацию вам потребуется последняя копия этого файла. Например:
-
Учетные данные базы данных
-
Обновления сертификата
-
Изменения политики авторизации
-
-
При планировании шифрования соединений с базой данных настройте развертывание PostgreSQL или SQL Server для TLS.
Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.
| 1 |
Введите соответствующую команду для вашей среды в командной строке компьютера. В обычных средах: В средах FedRAMP: На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать. |
| 2 |
Чтобы войти в реестр образов Docker, введите следующее. |
| 3 |
Введите в запросе пароля этот хеш: |
| 4 |
Скачайте последнюю стабильную версию образа для вашей среды. В обычных средах: В средах FedRAMP: |
| 5 |
По завершении скачивания введите соответствующую команду для вашей среды.
Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080". |
| 6 |
Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу. Перейдите к локальному узлу Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартную подсказку для входа в систему. |
| 7 |
При отображении соответствующего запроса введите учетные данные для входа администратора Partner Hub и щелкните Войти , чтобы разрешить доступ к необходимым службам для службы безопасности данных гибридного типа. |
| 8 |
На странице обзора инструмента настройки щелкните Начало работы. |
| 9 |
На странице Импорт ISO щелкните Да. |
| 10 |
Выберите файл ISO в браузере и загрузите его. |
| 11 |
Перейдите на вкладку Управление CMK клиента , где можно найти три способа управления CMK клиента.
|
| 12 |
После успешного отзыва CMK клиентская организация больше не будет отображаться в таблице. |
| 13 |
Если отзыв CMK не выполнен, отображается ошибка. |
Тестирование развертывания службы безопасности данных гибридного типа
Тестирование развертывания службы безопасности данных гибридного типа
Перед началом работы
-
Настройте развертывание службы безопасности данных гибридного типа с несколькими клиентами.
-
Убедитесь, что у вас есть доступ к системному журналу, чтобы проверить, передаются ли запросы ключей в развертывание системы безопасности данных гибридного типа с несколькими клиентами.
| 1 |
Ключи для определенного пространства задаются создателем пространства. Войдите в приложение Webex в качестве одного из пользователей клиентской организации и создайте пространство. Если деактивировать развертывание безопасности данных гибридного типа, контент в пространствах, созданных пользователями, больше не будет доступен после замены кэшированных клиентом копий ключей шифрования. |
| 2 |
Отправить сообщения в новое пространство. |
| 3 |
Проверьте вывод системного журнала, чтобы убедиться, что запросы ключей передаются в развертывание службы безопасности данных гибридного типа. |
Мониторинг работоспособности службы безопасности данных гибридного типа
| 1 |
В Partner Hub в меню в левой части экрана выберите Службы . |
| 2 |
В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Редактировать настройки. Отобразится страница "Настройки безопасности данных гибридного типа".
|
| 3 |
В разделе "Электронные уведомления" введите один или несколько адресов электронной почты, разделяя их запятыми, и нажмите клавишу ввода. |
Управление развертыванием HDS
Управление развертыванием HDS
Для управления развертыванием службы безопасности данных гибридного типа используйте описанные здесь задачи.
Настройка графика модернизации кластера
Чтобы настроить график модернизации, выполните указанные ниже действия.
| 1 |
Войдите в Partner Hub. |
| 2 |
В меню в левой части экрана выберите Службы. |
| 3 |
В разделе "Облачные службы" найдите раздел "Безопасность данных гибридного типа" и щелкните Настройка. |
| 4 |
На странице "Ресурсы безопасности данных гибридного типа" выберите кластер. |
| 5 |
Щелкните вкладку Настройки кластера . |
| 6 |
На странице настроек кластера в разделе "График модернизации" выберите время и часовой пояс для графика модернизации. Примечание. В часовом поясе отображаются следующие доступные дата и время модернизации. При необходимости можно отложить модернизацию на следующий день, щелкнув Отложить на 24 часа. |
Изменение конфигурации узла
-
Изменение сертификатов x.509 по истечении срока действия или по другим причинам.
Изменение доменного имени CN сертификата не поддерживается. Домен должен совпадать с исходным доменом, использованным для регистрации кластера.
-
Обновление настроек базы данных для работы с копией базы данных PostgreSQL или Microsoft SQL Server.
Перенос данных с PostgreSQL на Microsoft SQL Server или в обратном направлении не поддерживается. Чтобы переключить среду базы данных, начните новое развертывание службы безопасности данных гибридного типа.
-
Создание новой конфигурации для подготовки нового центра обработки данных.
Из соображений безопасности для учетных записей в службе безопасности данных гибридного типа используются пароли со сроком действия 9 месяцев. После того как инструмент настройки HDS создаст эти пароли, вам нужно будет развернуть их в каждом из своих узлов HDS в файле конфигурации ISO. При приближении даты окончания срока действия пароля команда Webex пришлет вам уведомление с запросом на сброс пароля учетной записи компьютера. (В сообщении электронной почты будет текст "Использование API учетной записи компьютера для обновления пароля".) Если срок действия паролей еще не истек, средство предоставляет два варианта.
-
Мягкий сброс. Старые и новые пароли работают в течение 10 дней. Используйте этот период для постепенной замены файла ISO на узлах.
-
Принудительный сброс: старые пароли перестают работать немедленно.
Если срок действия ваших паролей истекает без сброса, это влияет на работу вашей службы HDS. В этом случае требуется немедленный жесткий сброс и замена файла ISO на всех узлах.
Используйте эту процедуру, чтобы создать новый файл конфигурации ISO и применить его к кластеру.
Прежде чем начать
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора партнера.
Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker в 1.e. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТHTTPS-прокси без аутентификации
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТHTTP-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТHTTPS-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ -
Для создания новой конфигурации потребуется копия текущего файла конфигурации ISO. Файл ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. Файл ISO необходим для изменения конфигурации, в том числе учетных данных базы данных, обновления сертификатов или изменения политики авторизации.
| 1 |
Запустите инструмент настройки HDS, используя Docker на локальной машине. |
| 2 |
Если у вас запущен только один узел HDS, создайте новую виртуальную машину узла безопасности данных гибридного типа и зарегистрируйте ее с помощью нового файла конфигурации ISO. Более подробные инструкции см. в статье Создание и регистрация дополнительных узлов. |
| 3 |
Для существующих узлов HDS, в которых используется старый файл конфигурации, необходимо установить файл ISO. Выполните следующую процедуру для каждого узла по очереди, обновив каждый узел до выключения следующего узла. |
| 4 |
Повторите шаг 3, чтобы заменить конфигурацию на каждом оставшемся узле со старой конфигурацией. |
Отключение режима блокировки разрешения внешних DNS
При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. Если DNS-сервер узла не может разрешать общедоступные имена DNS, узел автоматически переходит в режим блокировки разрешения внешних DNS.
Если узлы могут разрешать общедоступные имена DNS через внутренние DNS-серверы, можно отключить этот режим, повторно запустив тестирование подключения к прокси на каждом узле.
Перед началом работы
| 1 |
В веб-браузере откройте интерфейс узла безопасности данных гибридного типа (например, IP-адрес или настройка) https://192.0.2.0/setup), введите учетные данные администратора, настроенные для узла, и щелкните Войти. |
| 2 |
Перейдите к разделу Overview (Обзор) (страница по умолчанию). Если режим включен, параметр Blocked External DNS Resolution (Блокировка разрешения внешних DNS) должен иметь значение Yes (Да). |
| 3 |
Перейдите на страницу Trust Store & Proxy (Зона доверия и прокси). |
| 4 |
Щелкните Check Proxy Connection (Проверить соединение с прокси). Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу и он останется в этом режиме. В противном случае после перезапуска узла и возврата на страницу Overview (Обзор) параметр блокировки разрешения внешних DNS должен иметь значение No (Нет). |
Дальнейшие действия
Удаление узла
| 1 |
С помощью клиента VMware vSphere на компьютере можно войти в виртуальный хост ESXi и выключить виртуальную машину. |
| 2 |
Удалить узел: |
| 3 |
В клиенте vSphere удалите виртуальную машину. (На панели навигации слева щелкните виртуальную машину правой кнопкой мыши и щелкните Удалить.) Если виртуальная машина не удалена, не забудьте отсоединить файл конфигурации ISO. Без файла ISO вы не сможете использовать виртуальную машину для доступа к данным безопасности. |
Аварийное восстановление с помощью центра обработки данных в режиме ожидания
Наиболее важной службой, предоставляемой кластером безопасности данных гибридного типа, является создание и хранение ключей, используемых для шифрования сообщений и другого контента, хранящегося в облаке Webex. Для каждого пользователя в организации, назначенного службе безопасности данных гибридного типа, запросы на создание нового ключа маршрутизируются в кластер. Кластер также отвечает за возврат созданных им ключей всем пользователям, авторизованным для их извлечения, например участникам пространства для разговора.
Поскольку кластер выполняет критически важную функцию предоставления этих ключей, необходимо, чтобы кластер продолжал работать и чтобы поддерживались соответствующие резервные копии. Потеря базы данных безопасности данных гибридного типа или конфигурации ISO, используемой для схемы, приведет к НЕОБРАТИМОЙ ПОТЕРЕ контента клиента. Для предотвращения таких потерь необходимо выполнить следующие действия:
Если из-за аварии развертывание HDS в основном центре обработки данных становится недоступным, выполните эту процедуру, чтобы вручную переключиться на резервный центр обработки данных.
Перед началом работы
| 1 |
Запустите инструмент настройки HDS и выполните действия, указанные в разделе Создание ISO конфигурации для узлов HDS. |
| 2 |
Завершите процесс настройки и сохраните файл ISO в удобном для поиска месте. |
| 3 |
Сделайте резервную копию файла ISO в локальной системе. Обеспечьте безопасность резервного копирования. Этот файл содержит главный ключ шифрования для содержимого базы данных. Ограничьте доступ только тем администраторам службы безопасности данных гибридного типа, которые должны вносить изменения в конфигурацию. |
| 4 |
На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры. |
| 5 |
Щелкните Редактировать настройки >Диск CD/DVD 1 и выберите Файл хранилища данных ISO. Убедитесь, что установлены флажки Подключено и Подключиться при включении , чтобы обновленные изменения конфигурации вступили в силу после запуска узлов. |
| 6 |
Включите узел HDS и убедитесь, что сигналы отсутствуют в течение не менее 15 минут. |
| 7 |
Зарегистрируйте узел в партнерском центре. См. статью Регистрация первого узла в кластере. |
| 8 |
Повторите процесс для каждого узла в центре обработки данных в режиме ожидания. |
Дальнейшие действия
(Необязательно) Отсоедините ISO после настройки HDS
Стандартная конфигурация HDS выполняется с установленным ISO. Однако некоторые клиенты предпочитают не оставлять файлы ISO постоянно монтированными. После того как все узлы HDS примут новую конфигурацию, можно отсоединить файл ISO.
Для изменения конфигурации по-прежнему используются файлы ISO. При создании нового ISO или обновлении ISO с помощью инструмента настройки необходимо установить обновленный ISO на всех узлах HDS. С помощью этой процедуры можно снова отключить ISO, после того как все узлы примут изменения конфигурации.
Перед началом работы
Модернизируйте все свои узлы HDS до версии 2021.01.22.4720 или более поздней.
| 1 |
Закройте один из своих узлов HDS. |
| 2 |
В vCenter Server Appliance выберите узел HDS. |
| 3 |
Выберите и снимите флажок Файл хранилища данных ISO. |
| 4 |
Включите узел HDS и убедитесь, что сигналы отсутствуют в течение не менее 20 минут. |
| 5 |
Повторите эту процедуру для каждого узла HDS по очереди. |
Устранение неполадок службы безопасности данных гибридного типа
Просмотр предупреждений и устранение неполадок
Развертывание службы безопасности данных гибридного типа считается недоступным, если все узлы в кластере недоступны или кластер работает настолько медленно, что истекло время ожидания. Если пользователи не могут подключиться к кластеру безопасности данных гибридного типа, у них будут следующие симптомы:
-
Не удается создать новые пространства (не удается создать новые ключи)
-
Не удалось расшифровать сообщения и заголовки пространств для:
-
Новые пользователи, добавленные в пространство (невозможно получить ключи)
-
Существующие пользователи в пространстве, использующие новый клиент (не удается получить ключи)
-
-
Существующие пользователи в пространстве будут продолжать успешно работать, пока в их клиентах будет сохранен кэш ключей шифрования
Важно надлежащим образом отслеживать кластер безопасности данных гибридного типа и своевременно реагировать на все предупреждения во избежание перебоев в работе службы.
Предупреждения
При возникновении проблем с настройкой безопасности данных гибридного типа партнерский центр отображает предупреждения администратору организации и отправляет электронные сообщения на настроенный адрес электронной почты. Предупреждения охватывают многие распространенные сценарии.
|
Предупреждать |
Действие |
|---|---|
|
Ошибка доступа к локальной базе данных. |
Проверьте наличие ошибок базы данных или проблем локальной сети. |
|
Сбой подключения к локальной базе данных. |
Убедитесь в доступности сервера базы данных и использовании правильных учетных данных учетной записи службы в конфигурации узла. |
|
Сбой доступа к облачной службе. |
Убедитесь, что узлы могут получить доступ к серверам Webex, как указано в разделе Требования к внешнему подключению. |
|
Обновление регистрации облачной службы. |
Регистрация в облачных службах прервана. Выполняется возобновление регистрации. |
|
Регистрация для облачной службы прервана. |
Регистрация в облачных службах прервана. Служба выключена. |
|
Служба еще не активирована. |
Активируйте HDS в партнерском центре. |
|
Настроенный домен не соответствует сертификату сервера. |
Убедитесь, что сертификат сервера соответствует настроенному домену активации службы. Наиболее вероятная причина заключается в том, что CN сертификата недавно был изменен и теперь отличается от CN, использованного во время начальной настройки. |
|
Не удалось выполнить аутентификацию в облачных службах. |
Проверьте точность и возможный срок действия учетных данных службы. |
|
Не удалось открыть файл локального хранилища ключей. |
Проверка целостности и точности пароля в файле локального хранилища ключей. |
|
Недействительный сертификат локального сервера. |
Проверьте дату истечения срока действия сертификата сервера и убедитесь, что он был выдан доверенным центром сертификации. |
|
Не удается опубликовать метрики. |
Проверьте доступ локальной сети к внешним облачным службам. |
|
Каталог /media/configdrive/hds не существует. |
Проверьте конфигурацию подключения ISO на виртуальном хосте. Проверьте, существует ли файл ISO, настроен ли он для подключения при перезагрузке и успешно ли установлен. |
|
Настройка организации клиента не завершена для добавленных организаций |
Завершите настройку, создав CMK для вновь добавленных клиентских организаций с помощью инструмента настройки HDS. |
|
Настройка организации клиента не завершена для удаленных организаций |
Завершите настройку, отозвав CMK клиентских организаций, которые были удалены с помощью инструмента настройки HDS. |
Устранение неполадок службы безопасности данных гибридного типа
| 1 |
Просмотрите в Partner Hub все предупреждения и исправьте все элементы, найденные в нем. Для справки см. изображение ниже. |
| 2 |
Проверьте вывод сервера системных журналов для активности из развертывания службы безопасности данных гибридного типа. Используйте фильтр для таких слов, как "Предупреждение" и "Ошибка", чтобы помочь в устранении неполадок. |
| 3 |
Обратитесь в службу поддержки Cisco. |
Другие примечания
Известные проблемы безопасности данных гибридного типа
-
Если вы выключите кластер безопасности данных гибридного типа (удалив его в партнерском центре или выключив все узлы), потеряете файл конфигурации ISO или потеряете доступ к базе данных хранилища ключей, пользователи приложения Webex клиентских организаций больше не смогут использовать пространства в списке пользователей, созданных с помощью ключей из KMS. В настоящий момент для устранения этой проблемы нет обходного решения или решения. Мы настоятельно призываем вас не выключать службы HDS после обработки активных учетных записей пользователей.
-
Клиент с существующим подключением ECDH к KMS поддерживает это соединение в течение периода времени (вероятно, один час).
Использование OpenSSL для создания файла PKCS12
Перед началом работы
-
OpenSSL — это один из инструментов, который можно использовать для создания файла PKCS12 в соответствующем формате для загрузки в инструменте настройки HDS. Есть и другие способы сделать это, и мы не поддерживаем и не продвигаем друг друга.
-
Если вы решите использовать OpenSSL, мы предоставляем эту процедуру в качестве руководства для создания файла, который соответствует требованиям сертификата X.509 в разделе Требования к сертификату X.509. Прежде чем продолжить, ознакомьтесь с этими требованиями.
-
Установите OpenSSL в поддерживаемой среде. Информацию о программном обеспечении и документации см. в разделе https://www.openssl.org .
-
Создайте закрытый ключ.
-
Начните эту процедуру при получении сертификата сервера от центра сертификации (ЦС).
| 1 |
При получении сертификата сервера от ЦС сохраните его как |
| 2 |
Отобразите сертификат в виде текста и проверьте сведения.
|
| 3 |
Используйте текстовый редактор для создания файла пакета сертификатов под названием
|
| 4 |
Создайте файл .p12 с подходящим именем
|
| 5 |
Проверьте сведения о сертификате сервера. |
Дальнейшие действия
Вернитесь к разделу Выполнение предварительных требований для безопасности данных гибридного типа. Файл hdsnode.p12 и заданный для него пароль будут использоваться в разделе Создание конфигурации ISO для узлов HDS.
Эти файлы можно повторно использовать для запроса нового сертификата по истечении срока действия исходного сертификата.
Трафик между узлами HDS и облаком
Трафик сбора исходящих метрик
Узлы безопасности данных гибридного типа отправляют определенные метрики в облако Webex. К ним относятся системные метрики максимального количества подключений, использования максимального количества подключений, загрузки ЦП и количества потоков; метрики синхронных и асинхронных потоков; метрики оповещений о пороговом значении соединений шифрования, задержки или длины очереди запросов; метрики хранилища данных; и метрики подключения шифрования. Узлы отправляют зашифрованный ключ-материал по внеполосному каналу (отдельному от запроса).
Входящий трафик
Узлы безопасности данных гибридного типа получают из облака Webex следующие типы входящего трафика:
-
Запросы на шифрование от клиентов, которые маршрутизируются службой шифрования
-
Модернизация программного обеспечения узла
Настройка прокси Squid для безопасности данных гибридного типа
Невозможно выполнить подключение веб-сокетов через прокси Squid
Прокси Squid, которые проверяют трафик HTTPS, могут мешать созданию соединений веб-сокетов (wss:), которые необходимы службе безопасности данных гибридного типа. В указанных далее разделах приведены рекомендации по настройке различных версий Squid с целью игнорирования трафика wss: для обеспечения надлежащей работы служб.
Squid 4 и 5
Добавьте on_unsupported_protocol директиву в squid.conf:
on_unsupported_protocol туннель всеSquid 3.5.27
Служба безопасности данных гибридного типа успешно протестирована с указанными далее правилами, добавленными в squid.conf. Эти правила могут изменяться по мере разработки функций и обновления облака Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump соединение wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump просмотр step1 все ssl_bump просмотр step2 все ssl_bump bump3 всеНовая и измененная информация
Новая и измененная информация
В этой таблице описаны новые функции или функциональные возможности, изменения существующего контента, а также любые серьезные ошибки, исправленные в руководстве по развертыванию службы безопасности данных гибридного типа с несколькими клиентами.
|
Дата |
Внесены изменения |
|---|---|
|
8 января 2025 г. |
Добавлено примечание в разделе Выполнение начальной настройки и скачивание файлов установки , в котором указано, что нажатие кнопки Настройка на карточке HDS в Partner Hub является важным этапом процесса установки. |
|
7 января 2025 г. |
Обновлены Требования к виртуальному узлу, Алгоритм выполнения задач по развертыванию службы безопасности данных гибридного типа и Установка OVA узла HDS для отображения новых требований ESXi 7.0. |
|
13 декабря 2024 г. |
Впервые опубликовано. |
Деактивация службы безопасности данных гибридного типа с несколькими клиентами
Алгоритм выполнения задач по деактивации HDS с несколькими клиентами
Чтобы полностью деактивировать HDS с несколькими клиентами, выполните приведенные ниже действия.
Перед началом работы
| 1 |
Удалите всех клиентов из всех кластеров, как указано в разделе Удаление клиентских организаций. |
| 2 |
Отозвать CMK всех клиентов, как указано в статье Отозвать CMK клиентов, удаленных из HDS. |
| 3 |
Удалите все узлы из всех кластеров, как описано в разделе Удаление узла. |
| 4 |
Удалите все кластеры из Partner Hub одним из следующих двух способов.
|
| 5 |
Щелкните вкладку Настройки на странице обзора безопасности данных гибридного типа и щелкните Деактивировать HDS на карточке состояния HDS. |
Начало работы с системой безопасности данных гибридного типа с поддержкой нескольких клиентов
Общие сведения о безопасности данных гибридного типа для нескольких клиентов
С самого начала безопасность данных была главной задачей при разработке приложения Webex. В основе этой безопасности лежит сквозное шифрование контента, которое включается клиентами приложения Webex, взаимодействующими со службой управления ключами (KMS). KMS отвечает за создание и управление криптографическими ключами, которые используются клиентами для динамического шифрования и расшифровки сообщений и файлов.
По умолчанию для всех клиентов приложения Webex обеспечивается сквозное шифрование с использованием динамических ключей, которые хранятся в облаке KMS в области безопасности Cisco. Служба безопасности данных гибридного типа перемещает KMS и другие функции безопасности в корпоративный центр обработки данных, поэтому доступ к ключам для зашифрованного контента будет только у вас.
Служба безопасности данных гибридного типа с поддержкой нескольких клиентов позволяет организациям использовать HDS через доверенного локального партнера, который может выполнять функции поставщика услуг и управлять локальным шифрованием и другими службами безопасности. Эта настройка позволяет партнерской организации осуществлять полный контроль над развертыванием ключей шифрования и управлением ими, а также обеспечивает безопасность данных пользователей клиентских организаций от внешнего доступа. Партнерские организации настраивают экземпляры HDS и при необходимости создают кластеры HDS. Каждый экземпляр может поддерживать несколько клиентских организаций, в отличие от обычного развертывания HDS, которое ограничено одной организацией.
Это также позволяет небольшим организациям использовать HDS, поскольку служба управления ключами и инфраструктура безопасности, например центры обработки данных, принадлежат доверенному локальному партнеру.
Как служба безопасности данных гибридного типа с несколькими клиентами обеспечивает суверенитет и управление данными
- Созданный пользователем контент защищен от внешнего доступа, например от поставщиков облачных услуг.
- Локальные доверенные партнеры управляют ключами шифрования клиентов, с которыми они уже установили взаимоотношения.
- Параметр для локальной технической поддержки, если она предоставлена партнером.
- Поддержка контента совещаний, обмена сообщениями и вызовов.
Этот документ предназначен для помощи партнерским организациям в настройке клиентов и управлении ими в системе безопасности данных гибридного типа с несколькими клиентами.
Роли в службе безопасности данных гибридного типа с несколькими клиентами
- Администратор партнера с полными правами : может управлять настройками для всех клиентов, которыми управляет партнер. Также может назначать роли администратора существующим пользователям в организации и назначать определенных клиентов, которыми будут управлять администраторы партнера.
- Администратор партнера . Может управлять настройками клиентов, подготовленных администратором или назначенных пользователю.
- Администратор с полными правами . Администратор партнерской организации, уполномоченный выполнять такие задачи, как изменение настроек организации, управление лицензиями и назначение ролей.
- Сквозная настройка HDS с несколькими клиентами и управление ими всех клиентских организаций . Требуются права администратора партнера с полными правами и администратора с полными правами.
- Управление назначенными организациями клиента : требуются права администратора партнера и полного администратора.
Архитектура области безопасности
Облачная архитектура Webex разбивает различные типы служб на отдельные области или домены доверия, как показано ниже.
Чтобы получить дополнительные сведения о безопасности данных гибридного типа, давайте сначала рассмотрим этот облачный случай, в котором компания Cisco предоставляет все функции в облачных областях. Служба удостоверений – единственное место, где пользователи могут напрямую соотнести с их персональной информацией, такой как адрес электронной почты, логически и физически отделена от области безопасности в центре обработки данных B. Обе службы в свою очередь отделены от области, в которой в конечном итоге хранится зашифрованный контент, в центре обработки данных C.
На этой схеме клиент представляет собой приложение Webex, запущенное на ноутбуке пользователя и прошедшее аутентификацию с помощью службы удостоверений. При написании пользователем сообщения для отправки в пространство выполняются следующие действия.
-
Клиент устанавливает безопасное соединение со службой управления ключами (KMS), затем запрашивает ключ для шифрования сообщения. Защищенное соединение использует ECDH, а KMS шифрует ключ с помощью главного ключа AES-256.
-
Сообщение шифруется до выхода из клиента. Клиент отправляет его в службу индексации, которая создает зашифрованные индексы поиска для помощи в будущих поисковых запросах контента.
-
Зашифрованное сообщение отправляется в службу обеспечения соответствия для проверки соответствия.
-
Зашифрованное сообщение хранится в области хранилища.
При развертывании службы безопасности данных гибридного типа функции области безопасности (KMS, индексация и соответствие требованиям) перемещаются в локальный центр обработки данных. Другие облачные службы, которые составляют Webex (включая идентификационные данные и хранилище контента), остаются в сферах Cisco.
Сотрудничество с Другими Организациями
Пользователи в вашей организации могут регулярно использовать приложение Webex для совместной работы с внешними участниками из других организаций. Когда один из пользователей запрашивает ключ для пространства, принадлежащего вашей организации (поскольку он был создан одним из пользователей), KMS отправляет ключ клиенту по защищенному каналу ECDH. Однако если ключ для пространства принадлежит другой организации, KMS перенаправляет запрос в облако Webex через отдельный канал ECDH для получения ключа от соответствующего KMS, а затем возвращает ключ пользователю в исходном канале.
Служба KMS, запущенная в организации A, проверяет подключения к KMS в других организациях с помощью сертификатов PKI x.509. Подробные сведения о создании сертификата x.509 для использования с развертыванием службы безопасности данных гибридного типа с несколькими клиентами см. в статье Подготовка среды .
Ожидания развертывания службы безопасности данных гибридного типа
Развертывание службы безопасности данных гибридного типа требует значительных обязательств и осознания рисков, связанных с хранением ключей шифрования.
Для развертывания службы безопасности данных гибридного типа необходимо предоставить:
-
Защищенный центр обработки данных в стране, которая является местоположением, поддерживаемым планами Cisco Webex Teams.
-
Оборудование, программное обеспечение и доступ к сети, описанные в разделе Подготовка среды.
Полная потеря конфигурации ISO, созданной для службы безопасности данных гибридного типа, или предоставленной базы данных приведет к потере ключей. Потеря ключей предотвращает расшифровку контента пространства и других зашифрованных данных в приложении Webex пользователями. В этом случае можно создать новое развертывание, однако будет отображаться только новый контент. Во избежание потери доступа к данным необходимо выполнить приведенные ниже действия.
-
Управление резервным копированием и восстановлением базы данных и конфигурации ISO.
-
Будьте готовы к быстрому аварийному восстановлению в случае аварии, например, сбою диска базы данных или сбою центра обработки данных.
Механизм для перемещения ключей обратно в облако после развертывания HDS отсутствует.
Высокоуровневый процесс настройки
В этом документе описана настройка и управление развертыванием службы безопасности данных гибридного типа с несколькими клиентами.
-
Настройка безопасности данных гибридного типа. Это включает подготовку необходимой инфраструктуры и установку программного обеспечения безопасности данных гибридного типа, создание кластера HDS, добавление клиентских организаций в кластер и управление их главными ключами клиента (CMK). Это позволит всем пользователям клиентских организаций использовать кластер безопасности данных гибридного типа для функций безопасности.
Этапы настройки, активации и управления подробно описаны в следующих трех главах.
-
Поддержка развертывания службы безопасности данных гибридного типа: облако Webex автоматически обеспечивает непрерывную модернизацию. Ваш отдел ИТ может предоставлять поддержку первого уровня для этого развертывания и при необходимости привлекать поддержку Cisco. В Partner Hub можно использовать экранные уведомления и настроить предупреждения на основе электронной почты.
-
Общие предупреждения, действия по устранению неполадок и известные проблемы. При возникновении проблем с развертыванием или использованием службы безопасности данных гибридного типа можно определить и устранить проблему с помощью последней главы этого руководства и приложения "Известные проблемы".
Модель развертывания службы безопасности данных гибридного типа
В корпоративном центре обработки данных служба безопасности данных гибридного типа будет развернута в виде одного кластера узлов на отдельных виртуальных узлах. Узлы связываются с облаком Webex с помощью защищенных веб-сокетов и защищенного HTTP.
Во время процесса установки предоставляется файл OVA для настройки виртуального устройства на предоставленных вами виртуальных машинах. Инструмент настройки HDS используется для создания пользовательского файла конфигурации кластера ISO, который устанавливается на каждом узле. Кластер безопасности данных гибридного типа использует предоставленный сервер Syslogd и базу данных PostgreSQL или Microsoft SQL Server. (Сведения о соединении Syslogd и базы данных можно настроить в инструменте настройки HDS.)
Минимальное количество узлов в кластере: два. Рекомендуется не менее трех на кластер. Наличие нескольких узлов гарантирует, что во время модернизации программного обеспечения или других действий по техническому обслуживанию узла служба не будет прерываться. (Облако Webex модернизирует только один узел за раз.)
Все узлы в кластере имеют доступ к одному хранилищу данных и активности журналов на один и тот же сервер системных журналов. Сами узлы не имеют состояния и обрабатывают запросы на ключ в циклическом порядке, как направляется облаком.
Узлы становятся активными при регистрации в партнерском центре. Чтобы вывести отдельный узел из эксплуатации, можно отменить его регистрацию, а затем, при необходимости, повторно зарегистрировать его.
Резервный центр обработки данных для аварийного восстановления
Во время развертывания вы настраиваете защищенный резервный центр обработки данных. В случае аварии центра обработки данных можно вручную перенести развертывание на резервный центр обработки данных.
Базы данных активных и резервных центров обработки данных синхронизируются друг с другом, что позволит свести к минимуму время, затрачиваемое на выполнение отработки отказа.
Активные узлы безопасности данных гибридного типа всегда должны находиться в одном центре обработки данных с активным сервером базы данных.
Поддержка прокси
Служба безопасности данных гибридного типа поддерживает явные прокси, прозрачные прокси с проверкой и прокси без проверки. Чтобы обеспечить защиту и мониторинг трафика из сети предприятия в облако, можно связать эти прокси с развертыванием. После настройки прокси на узлах административный интерфейс платформы на узлах можно использовать для управления сертификатами и просмотра общего состояния соединений.
Узлы безопасности данных гибридного типа поддерживают указанные далее параметры прокси.
-
Нет прокси. Значение по умолчанию, если для интеграции прокси не используется конфигурация доверенного хранилища и прокси для настройки узла HDS. Обновление сертификата не требуется.
-
Прозрачный прокси без проверки. Узлы не настроены для использования адреса определенного прокси-сервера и не должны требовать каких-либо изменений для работы с прокси без проверки. Обновление сертификата не требуется.
-
Прозрачный туннелирование или прокси с проверкой. Узлы не настроены для использования адреса определенного прокси-сервера. На узлах не нужно изменять конфигурацию HTTP или HTTPS. Как бы то ни было, для обеспечения доверия прокси узлам необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже HTTPS).
-
Явный прокси. При использовании явного прокси необходимо указать прокси-сервер и схему аутентификации узлам HDS. Для настройки явного прокси на каждом узле нужно ввести следующую информацию.
-
IP/FQDN прокси. Адрес, который можно использовать для связи с прокси-машиной.
-
Порт прокси. Номер порта, который прокси использует для прослушивания прокси-трафика.
-
Proxy Protocol (Протокол прокси). В зависимости от поддержки прокси-сервера выберите один из следующих протоколов.
-
HTTP – просматривает все запросы, отправляемые клиентом, и управляет этими запросами.
-
HTTPS – обеспечивает работу канала связи с сервером. Клиент получает и проверяет сертификат сервера.
-
-
Тип аутентификации: выберите один из приведенных ниже типов аутентификации.
-
Нет. Дальнейшая аутентификация не требуется.
Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.
-
Базовый: используется для агента пользователя HTTP для указания имени пользователя и пароля при совершении запроса. Использует кодировку Base64.
Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.
Требует ввода имени пользователя и пароля на каждом узле.
-
Дайджест. Используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети.
Этот параметр доступен только в том случае, если в качестве протокола прокси выбран протокол HTTPS.
Требует ввода имени пользователя и пароля на каждом узле.
-
-
Пример узлов безопасности данных гибридного типа и прокси
На этой схеме представлен пример соединения между системой безопасности данных гибридного типа, сетью и прокси. При использовании прозрачного прокси с проверкой или явного прокси с проверкой HTTPS на прокси и узлы безопасности данных гибридного типа необходимо установить один и тот же корневой сертификат.
Режим блокировки разрешения внешних DNS (конфигурации явного прокси)
При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. В развертываниях с конфигурациями явного прокси, которые не допускают разрешения внешних DNS для внутренних клиентов, если узел не может посылать запросы на DNS-серверы, он автоматически переходит в режим блокировки разрешения внешних DNS. В этом режиме можно продолжить регистрацию узла и другие тестирования подключения к прокси.
Подготовка среды
Требования к безопасности данных гибридного типа с несколькими клиентами
Требования к лицензии Cisco Webex
Развертывание службы безопасности данных гибридного типа с несколькими клиентами.
-
Партнерские организации: Обратитесь к своему партнеру Cisco или менеджеру по работе с клиентами и убедитесь, что функция "Несколько клиентов" включена.
-
Организации клиентов: Необходима профессиональная версия Cisco Webex Control Hub. См. https://www.cisco.com/go/pro-pack.
Требования к рабочему столу Docker
Перед установкой узлов HDS необходимо запустить программу настройки с помощью Docker Desktop. Docker недавно обновил свою модель лицензирования. Для вашей организации может потребоваться платная подписка на Docker Desktop. Подробности см. в записи блога Docker, " Docker обновляет и расширяет подписки на продукты".
Требования к сертификату X.509
Цепочка сертификатов должна соответствовать следующим требованиям:
|
Требование |
Подробности |
|---|---|
|
По умолчанию мы доверяем ЦС в списке Mozilla (за исключением WoSign и StartCom) по адресу https://wiki.mozilla.org/CA:IncludedCAs. |
|
CN не требуется, чтобы он был доступен или был организатором в режиме реального времени. Рекомендуется использовать название, отражающее вашу организацию, например CN не должен содержать * (подстановочный знак). CN используется для проверки узлов безопасности данных гибридного типа для клиентов приложения Webex. Все узлы безопасности данных гибридного типа в кластере используют один и тот же сертификат. Ваш KMS идентифицирует себя с помощью домена CN, а не любого домена, определенного в полях SAN x.509v3. После регистрации узла с этим сертификатом изменение доменного имени CN не поддерживается. |
|
Программное обеспечение KMS не поддерживает подписи SHA1 для проверки подключений к KMS других организаций. |
|
Для изменения формата сертификата можно использовать преобразователь, например OpenSSL. При запуске инструмента настройки HDS потребуется ввести пароль. |
Программное обеспечение KMS не обеспечивает принудительное использование ключа или расширенные ограничения на его использование. Некоторые центры сертификации требуют, чтобы к каждому сертификату применялись расширенные ограничения на использование ключей, например аутентификация сервера. Использовать аутентификацию сервера или другие настройки можно.
Требования к виртуальному организатору
Виртуальные узлы, которые будут настроены в качестве узлов безопасности данных гибридного типа в кластере, имеют следующие требования:
-
По крайней мере два отдельных узла (рекомендуется 3) размещены в одном защищенном центре обработки данных
-
Установлена и запущена VMware ESXi 7.0 (или более поздняя версия).
При наличии более ранней версии ESXi необходимо выполнить модернизацию.
-
Минимум 4 ЦП, 8 ГБ основной памяти, 30 ГБ локального жесткого диска на сервер
Требования к серверу базы данных
Создайте новую базу данных для хранилища ключей. Не используйте базу данных по умолчанию. Приложения HDS при установке создают схему базы данных.
Существует два варианта сервера баз данных. Требования для каждого из них приведены ниже.
|
PostgreSQL |
Сервер Microsoft SQL |
|---|---|
|
|
|
Минимум 8 виртуальных ЦП, 16 ГБ основной памяти, достаточное пространство на жестком диске и мониторинг для обеспечения его отсутствия (рекомендуется 2 ТБ, если необходимо запустить базу данных в течение длительного времени без увеличения объема хранилища) |
Минимум 8 виртуальных ЦП, 16 ГБ основной памяти, достаточное пространство на жестком диске и мониторинг для обеспечения его отсутствия (рекомендуется 2 ТБ, если необходимо запустить базу данных в течение длительного времени без увеличения объема хранилища) |
Программное обеспечение HDS в настоящее время устанавливает следующие версии драйверов для связи с сервером базы данных:
|
PostgreSQL |
Сервер Microsoft SQL |
|---|---|
|
Драйвер JDBC Postgres 42.2.5 |
Драйвер JDBC 4.6 для SQL-сервера Эта версия драйвера поддерживает SQL Server Always On (экземпляры отказоустойчивого кластера и группы доступности Always On). |
Дополнительные требования для аутентификации Windows на Microsoft SQL Server
Если необходимо, чтобы узлы HDS использовали аутентификацию Windows для получения доступа к базе данных хранилища ключей на Microsoft SQL Server, в вашей среде потребуется следующая конфигурация:
-
Узлы HDS, инфраструктура Active Directory и сервер MS SQL должны быть синхронизированы с NTP.
-
Учетная запись Windows, которую вы предоставляете узлам HDS, должна иметь доступ к базе данных для чтения и записи.
-
Серверы DNS, предоставляемые узлам HDS, должны иметь возможность разрешать центр распределения ключей (KDC).
-
Экземпляр базы данных HDS можно зарегистрировать на сервере Microsoft SQL в качестве главного имени службы (SPN) в Active Directory. См. статью Регистрация имени участника службы для Kerberos Connections.
Инструмент настройки HDS, программа запуска HDS и локальный KMS должны использовать аутентификацию Windows для доступа к базе данных хранилища ключей. Они используют сведения из конфигурации ISO для создания SPN при запросе доступа с аутентификацией Kerberos.
Требования к внешнему подключению
Настройте брандмауэр, чтобы разрешить следующее подключение для приложений HDS:
|
Приложение |
Протокол |
Порт |
Направление из приложения |
Адресат |
|---|---|---|---|---|
|
Узлы безопасности данных гибридного типа |
Протокол TCP |
443 |
Исходящие HTTPS и WSS |
|
|
Инструмент настройки HDS |
Протокол TCP |
443 |
HTTPS для исходящих вызовов |
|
Узлы безопасности данных гибридного типа работают с преобразованием сетевого доступа (NAT) или за брандмауэром, если NAT или брандмауэр допускает необходимые исходящие соединения с адресатами домена в таблице выше. Для соединений, поступающих на узлы безопасности данных гибридного типа, порты не должны отображаться из Интернета. В центре обработки данных клиентам необходим доступ к узлам безопасности данных гибридного типа на портах 443 и 22 TCP в административных целях.
URL-адреса узлов общих параметров идентификации (CI) специфичны для региона. Ниже приведены текущие узлы CI.
|
Регион |
URL-адреса хостов общих параметров идентификации |
|---|---|
|
Северная и Южная Америка |
|
|
Европейский союз |
|
|
Канада |
|
| Сингапур |
|
| Объединенные Арабские Эмираты |
|
Требования к прокси-серверу
-
Мы официально поддерживаем следующие решения для прокси, которые можно интегрировать с узлами безопасности данных гибридного типа:
-
для прозрачных прокси – Cisco Web Security Appliance (WSA);
-
для явных прокси – Squid.
Прокси Squid, которые проверяют трафик HTTPS, могут мешать созданию соединений веб-сокетов (wss:). Чтобы устранить эту проблему, см. статью Настройка прокси Squid для безопасности данных гибридного типа.
-
-
Поддерживаются следующие комбинации типов аутентификации для явных прокси:
-
без аутентификации при использовании HTTP или HTTPS;
-
базовая аутентификация при использовании HTTP или HTTPS;
-
дайджест-аутентификация только при использовании HTTPS;
-
-
При наличии прозрачного прокси с проверкой или явного прокси HTTPS необходимо иметь копию корневого сертификата прокси. Инструкции по развертыванию, приведенные в этом руководстве, содержат информацию о том, как загрузить эту копию в зоны доверия узлов безопасности данных гибридного типа.
-
Сеть, в которой размещены узлы HDS, должна обеспечивать принудительную маршрутизацию исходящего трафика TCP на порте 443 через прокси.
-
Прокси, проверяющие веб-трафик, могут нарушать работу соединений веб-сокетов. Для устранения этой проблемы трафик следует направить в обход (без проверки) на
wbx2.comи*.teams.webex.com.
Выполнение предварительных требований для службы безопасности данных гибридного типа
| 1 |
Убедитесь, что в партнерской организации включена функция HDS с несколькими клиентами, и получите учетные данные учетной записи с полными правами администратора партнера и полными правами администратора. Убедитесь, что для клиентской организации Webex включена профессиональная версия Cisco Webex Control Hub. Обратитесь за помощью к своему партнеру Cisco или менеджеру по работе с клиентами. У клиентских организаций не должно быть существующего развертывания HDS. |
| 2 |
Выберите имя домена для развертывания HDS (например, |
| 3 |
Подготовьте идентичные виртуальные узлы, которые будут настроены в качестве узлов безопасности данных гибридного типа в кластере. Необходимо разместить не менее двух отдельных организаторов (рекомендуется 3) в одном и том же защищенном центре обработки данных, который соответствует требованиям в разделе Требования к виртуальному организатору. |
| 4 |
Подготовьте сервер базы данных, который будет использоваться в качестве хранилища ключевых данных для кластера в соответствии с требованиями сервера базы данных. Сервер базы данных должен быть размещен в защищенном центре обработки данных с виртуальными хостами. |
| 5 |
Для быстрого аварийного восстановления настройте резервную среду в другом центре обработки данных. Резервная среда дублирует производственную среду виртуальных машин и сервер базы данных резервного копирования. Например, если в производственной среде есть 3 виртуальных машины с узлами HDS, резервная среда должна иметь 3 виртуальных машины. |
| 6 |
Настройте узел системного журнала для сбора журналов с узлов в кластере. Соберите сетевой адрес и порт системного журнала (по умолчанию UDP 514). |
| 7 |
Создайте политику безопасного резервного копирования для узлов безопасности данных гибридного типа, сервера базы данных и узла системного журнала. Как минимум, чтобы предотвратить необратимую потерю данных, необходимо создать резервную копию базы данных и файла конфигурации ISO, созданного для узлов безопасности данных гибридного типа. Поскольку узлы безопасности данных гибридного типа хранят ключи, используемые при шифровании и расшифровке контента, невыполнение оперативного развертывания приведет к НЕОБРАТИМОЙ ПОТЕРЕ этого контента. Клиенты приложения Webex кэшируют свои ключи, поэтому сбои могут не сразу стать заметными, но со временем станут очевидными. Временные перебои невозможно предотвратить, но их можно восстановить. Однако полная потеря базы данных или файла конфигурации ISO (нет доступных резервных копий) приведет к невозможности восстановления данных клиента. Ожидается, что операторы узлов безопасности данных гибридного типа осуществляют частые резервные копии базы данных и файла конфигурации ISO и будут готовы к обновлению центра обработки данных службы безопасности данных гибридного типа в случае катастрофической ошибки. |
| 8 |
Убедитесь, что конфигурация брандмауэра разрешает соединение для узлов безопасности данных гибридного типа, как описано в разделе Требования к внешнему подключению. |
| 9 |
Установите Docker (https://www.docker.com) на любом локальном компьютере, на котором запущена поддерживаемая ОС (64-разрядная версия Microsoft Windows 10 Professional или Enterprise или Mac OSX Yosemite 10.10.3 или более поздняя версия) с веб-браузером, с помощью которого можно получить доступ на странице http://127.0.0.1:8080. Экземпляр Docker используется для скачивания и запуска инструмента настройки HDS, который создает информацию локальной конфигурации для всех узлов безопасности данных гибридного типа. Вам может понадобиться лицензия Docker Desktop. Дополнительную информацию см. в статье Требования к рабочему столу Docker . Для установки и запуска инструмента настройки HDS локальная машина должна иметь подключение, описанное в разделе Требования к внешнему подключению. |
| 10 |
При интеграции прокси с системой безопасности данных гибридного типа убедитесь, что он соответствует требованиям к прокси-серверу. |
Настройка кластера безопасности данных гибридного типа
Алгоритм выполнения задач по развертыванию службы безопасности данных гибридного типа
| 1 |
Выполните начальную настройку и скачайте файлы установки Скачайте файл OVA на локальный компьютер для дальнейшего использования. |
| 2 |
Создание ISO конфигурации для узлов HDS Используйте инструмент настройки HDS для создания файла конфигурации ISO для узлов безопасности данных гибридного типа. |
| 3 |
Создайте виртуальную машину из файла OVA и выполните начальную конфигурацию, например параметры сети. Параметр настройки сети во время развертывания OVA протестирован с помощью ESXi 7.0. Этот параметр может быть недоступен в более ранних версиях. |
| 4 |
Настройка виртуальной машины безопасности данных гибридного типа Войдите в консоль виртуальной машины и задайте учетные данные для входа. Настройте параметры сети для узла, если они не были настроены во время развертывания файла OVA. |
| 5 |
Загрузка и установка ISO конфигурации HDS Настройте виртуальную машину из файла конфигурации ISO, созданного с помощью инструмента настройки HDS. |
| 6 |
Настройка узла HDS для интеграции прокси Если в сетевой среде требуется конфигурация прокси, укажите тип прокси, который будет использоваться для узла, и при необходимости добавьте сертификат прокси в доверенное хранилище. |
| 7 |
Регистрация первого узла в кластере Зарегистрируйте виртуальную машину в облаке Cisco Webex в качестве узла безопасности данных гибридного типа. |
| 8 |
Создать и зарегистрировать другие узлы Завершите настройку кластера. |
| 9 |
Активируйте HDS с несколькими клиентами в Partner Hub. Активируйте HDS и управляйте организациями клиентов в Partner Hub. |
Выполните начальную настройку и скачайте файлы установки
В этой задаче вы скачаете файл OVA на свой компьютер (а не на серверы, настроенные в качестве узлов безопасности данных гибридного типа). Этот файл будет использован позже в процессе установки.
| 1 |
Войдите в Partner Hub и щелкните Службы. |
| 2 |
В разделе облачных служб найдите карточку безопасности данных гибридного типа и щелкните Настройка. Нажатие кнопки Настройка в партнерском центре имеет решающее значение для процесса развертывания. Не продолжайте установку без завершения этого шага. |
| 3 |
Щелкните Добавить ресурс и щелкните Скачать файл OVA на карточке Установка и настройка программного обеспечения . Более ранние версии пакета программного обеспечения (OVA) не будут совместимы с последними модернизациями безопасности данных гибридного типа. Это может привести к ошибкам во время модернизации приложения. Убедитесь, что скачано последнюю версию файла OVA. Кроме того, файл OVA можно скачать в любой момент в разделе Справка . Щелкните . Скачивание файла OVA начнется автоматически. Сохраните файл в местоположении на своем компьютере.
|
| 4 |
При необходимости щелкните Просмотреть руководство по развертыванию службы безопасности данных гибридного типа , чтобы проверить доступность более поздней версии этого руководства. |
Создание ISO конфигурации для узлов HDS
Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.
Прежде чем начать
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора.
Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker на шаге 5 ниже. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТHTTPS-прокси без аутентификации
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТHTTP-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТHTTPS-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ -
Созданный файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. При внесении изменений в конфигурацию вам потребуется последняя копия этого файла. Например:
-
Учетные данные базы данных
-
Обновления сертификата
-
Изменения политики авторизации
-
-
При планировании шифрования соединений с базой данных настройте развертывание PostgreSQL или SQL Server для TLS.
| 1 |
Введите соответствующую команду для вашей среды в командной строке компьютера. В обычных средах: В средах FedRAMP: На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать. | ||||||||||
| 2 |
Чтобы войти в реестр образов Docker, введите следующее. | ||||||||||
| 3 |
Введите в запросе пароля этот хеш: | ||||||||||
| 4 |
Скачайте последнюю стабильную версию образа для вашей среды. В обычных средах: В средах FedRAMP: | ||||||||||
| 5 |
По завершении скачивания введите соответствующую команду для вашей среды.
Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080". | ||||||||||
| 6 |
Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу. Перейдите к локальному узлу Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартную подсказку для входа в систему. | ||||||||||
| 7 |
При отображении соответствующего запроса введите учетные данные для входа администратора Partner Hub и щелкните Войти , чтобы разрешить доступ к необходимым службам для службы безопасности данных гибридного типа. | ||||||||||
| 8 |
На странице обзора инструмента настройки щелкните Начало работы. | ||||||||||
| 9 |
На странице Импорт ISO доступны следующие параметры.
| ||||||||||
| 10 |
Проверьте, соответствует ли сертификат X.509 требованиям к сертификатам X.509.
| ||||||||||
| 11 |
Введите адрес базы данных и учетную запись HDS для доступа к хранилищу данных ключей: | ||||||||||
| 12 |
Выберите Режим подключения к базе данных TLS.
При загрузке корневого сертификата (при необходимости) и нажатии Продолжить инструмент настройки HDS тестирует подключение TLS к серверу базы данных. Инструмент также выполняет проверку источника подписи сертификата и имени узла (если применимо). Если тест не будет пройден, в инструменте будет отображено сообщение об ошибке с описанием проблемы. Можно выбрать параметр игнорирования ошибки и продолжить настройку. (Из-за различий соединения узлы HDS могут установить соединение TLS, даже если машина средства настройки HDS не может успешно протестировать его.) | ||||||||||
| 13 |
На странице «Системные журналы» настройте сервер Syslogd: | ||||||||||
| 14 |
(Необязательно) Можно изменить значение по умолчанию для некоторых параметров подключения к базе данных в разделе Расширенные настройки. Как правило, этот параметр является единственным, который необходимо изменить: | ||||||||||
| 15 |
Щелкните Продолжить на экране Сброс пароля учетных записей службы . Срок действия паролей учетных записей службы составляет девять месяцев. Используйте этот экран, когда срок действия паролей скоро истечет или вы хотите сбросить их, чтобы сделать предыдущие файлы ISO недействительными. | ||||||||||
| 16 |
Щелкните Скачать файл ISO. Сохраните файл в удобном для поиска местоположении. | ||||||||||
| 17 |
Сделайте резервную копию файла ISO в локальной системе. Обеспечьте безопасность резервного копирования. Этот файл содержит главный ключ шифрования для содержимого базы данных. Ограничьте доступ только тем администраторам службы безопасности данных гибридного типа, которые должны вносить изменения в конфигурацию. | ||||||||||
| 18 |
Чтобы завершить работу инструмента настройки, нажмите |
Дальнейшие действия
Создайте резервную копию файла конфигурации ISO. Это необходимо для создания дополнительных узлов для восстановления или внесения изменений в конфигурацию. В случае утери всех копий файла ISO также был утрачен главный ключ. Невозможно восстановить ключи из базы данных PostgreSQL или Microsoft SQL Server.
У нас никогда не будет копии этого ключа, и мы не можем помочь, если вы его потеряете.
Установка файла OVA узла HDS
| 1 |
Используйте клиент VMware vSphere на компьютере для входа в виртуальный хост ESXi. |
| 2 |
Выберите Файл > Развернуть шаблон OVF. |
| 3 |
В мастере укажите расположение скачанного ранее файла OVA и щелкните Далее. |
| 4 |
На странице Выберите имя и папку введите имя виртуальной машины для узла (например, "HDS_Node_1"), выберите местоположение, в котором может находиться развертывание узла виртуальной машины, и щелкните Далее. |
| 5 |
На странице Выбор вычислительного ресурса выберите целевой вычислительный ресурс и щелкните Далее. Выполняется проверка. По завершении отобразятся сведения о шаблоне. |
| 6 |
Проверьте сведения о шаблоне и щелкните Далее. |
| 7 |
При появлении запроса на выбор конфигурации ресурса на странице Конфигурация щелкните 4 ЦП , а затем щелкните Далее. |
| 8 |
На странице Выбор хранилища щелкните Далее , чтобы принять формат диска по умолчанию и политику хранилища виртуальной машины. |
| 9 |
На странице Выбор сетей выберите параметр сети из списка записей, чтобы обеспечить необходимое подключение к виртуальной машине. |
| 10 |
На странице Настройка шаблона настройте приведенные ниже параметры сети.
При необходимости можно пропустить конфигурацию сетевых настроек и выполнить действия, описанные в разделе Настройка виртуальной машины безопасности данных гибридного типа , чтобы настроить параметры с помощью консоли узла. Параметр настройки сети во время развертывания OVA протестирован с помощью ESXi 7.0. Этот параметр может быть недоступен в более ранних версиях. |
| 11 |
Щелкните правой кнопкой мыши узел виртуальной машины и выберите . Программное обеспечение безопасности данных гибридного типа устанавливается в качестве гостя на узле виртуальной машины. Теперь вы готовы войти в консоль и настроить узел. Рекомендации по устранению неисправностей Контейнеры узла могут появиться через несколько минут. Во время первой загрузки на консоли отображается сообщение брандмауэра моста, в течение которого невозможно войти в систему. |
Настройка виртуальной машины безопасности данных гибридного типа
Используйте эту процедуру для первого входа в консоль виртуальной машины узла безопасности данных гибридного типа и установки учетных данных для входа. Можно также использовать консоль для настройки сетевых параметров узла, если они не были настроены во время развертывания файла OVA.
| 1 |
В клиенте VMware vSphere выберите виртуальную машину узла безопасности данных гибридного типа и откройте вкладку Консоль . Будет загружена виртуальная машина, и отобразится запрос на вход. Если запрос на вход не отображается, нажмите клавишу ввода.
|
| 2 |
Для входа и изменения учетных данных используйте следующие параметры входа и пароля по умолчанию: Поскольку вы впервые входите в свою виртуальную машину, вам необходимо изменить пароль администратора. |
| 3 |
Если параметры сети уже настроены в разделе Установка OVA узла HDS, пропустите остальную процедуру. В противном случае в главном меню выберите параметр Редактировать конфигурацию . |
| 4 |
Настройте статическую конфигурацию с использованием IP-адреса, маски, шлюза и информации DNS. Узел должен иметь внутренний IP-адрес и имя DNS. DHCP не поддерживается. |
| 5 |
(Необязательно) Измените имя хоста, домен или NTP-серверы, если это необходимо для соответствия вашей сетевой политике. Настройка домена в соответствии с доменом, который вы использовали для получения сертификата X.509, не требуется. |
| 6 |
Сохраните конфигурацию сети и перезагрузите виртуальную машину, чтобы изменения вступили в силу. |
Загрузка и установка ISO конфигурации HDS
Перед началом работы
Поскольку в файле ISO содержится главный ключ, он должен быть раскрыт только по принципу «необходимо знать» для доступа виртуальных машин безопасности данных гибридного типа и всех администраторов, которым может потребоваться внести изменения. Убедитесь, что доступ к хранилищу данных могут получить только эти администраторы.
| 1 |
Загрузите файл ISO со своего компьютера. |
| 2 |
Установите файл ISO: |
Дальнейшие действия
Если политика ИТ требует, после внесения изменений конфигурации на всех узлах можно отсоединить файл ISO. Подробные сведения см. в статье (необязательно) Отключение ISO после настройки HDS .
Настройка узла HDS для интеграции прокси
Если в сетевой среде необходимо использовать прокси, воспользуйтесь этой процедурой, чтобы указать тип прокси, который нужно интегрировать со службой безопасности данных гибридного типа. При выборе прозрачного прокси с проверкой или явного прокси HTTPS можно использовать интерфейс узла для загрузки и установки корневого сертификата. Кроме того, в интерфейсе можно проверять соединение с прокси и устранять неполадки.
Перед началом работы
-
Общие сведения о поддерживаемых параметрах прокси см. в разделе Поддержка прокси .
| 1 |
Введите в веб-браузере URL-адрес для настройки узла HDS |
| 2 |
Откройте раздел Trust Store & Proxy (Зона доверия и прокси) и выберите один из следующих параметров.
В случае использования прозрачного прокси с проверкой, явного прокси HTTP с базовой аутентификацией или явного прокси HTTPS выполните указанные далее шаги. |
| 3 |
Щелкните Upload a Root Certificate or End Entity Certificate (Загрузить корневой сертификат или сертификат конечного субъекта) и откройте меню для выбора корневого сертификата для прокси. Сертификат будет загружен, но не установлен, поскольку для установки сертификата необходимо перезагрузить узел. Чтобы получить дополнительные сведения, щелкните стрелку-шеврон, расположенную рядом с именем издателя сертификата. Если вы допустили ошибку и хотите вновь загрузить файл, щелкните Delete (Удалить). |
| 4 |
Чтобы протестировать сетевое соединение между узлом и прокси, щелкните Check Proxy Connection (Проверить соединение с прокси). Если тестирование соединения завершится неудачей, на экране появится сообщение об ошибке, в котором будут указаны причина и способ исправления ошибки. Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу. Такая проблема может возникнуть во многих конфигурациях явного прокси. Можно продолжить настройку, и узел будет работать в режиме блокировки разрешения внешних DNS. Если вы считаете, что это ошибка, выполните эти действия, а затем см. статью Выключение режима блокировки разрешения внешних DNS. |
| 5 |
Если вы используете явный прокси, настроенный на применение исключительно https, после успешного завершения тестирования соединения включите параметр Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси (Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси). Для вступления в силу этого параметра необходимо 15 секунд. |
| 6 |
Щелкните Install All Certificates Into the Trust Store (Установить все сертификаты в зоне доверия) – этот параметр отображается при использовании явного прокси HTTPS или прозрачного прокси с проверкой – или Reboot (Перезагрузить) – этот параметр отображается при использовании явного прокси HTTP. Прочитайте запрос и щелкните Install (Установить), если вы готовы к установке. Узел перезагрузится в течение нескольких минут. |
| 7 |
После перезагрузки узла повторно войдите в систему, если это необходимо, и откройте страницу Обзор, чтобы выполнить проверки соединений. Состояние всех проверок должно быть обозначено зеленым цветом. Проверка соединения с прокси используется исключительно для тестирования поддомена webex.com. Проблемы с соединениями нередко возникают из-за того, что некоторые облачные домены, указанные в инструкциях по установке, блокируются на уровне прокси. |
Регистрация первого узла в кластере
При регистрации первого узла создается кластер, которому он назначен. Кластер содержит один или несколько узлов, развернутых для резервирования.
Перед началом работы
-
После начала регистрации узла ее необходимо завершить в течение 60 минут или начать заново.
-
Убедитесь, что все блокировки всплывающих окон в браузере отключены или вы разрешаете исключение для admin.webex.com.
| 1 |
Войдите в https://admin.webex.com. |
| 2 |
В меню в левой части экрана выберите Службы. |
| 3 |
В разделе облачных служб найдите карточку безопасности данных гибридного типа и щелкните Настройка. |
| 4 |
На открывшейся странице щелкните Добавить ресурс. |
| 5 |
В первом поле карточки Добавить узел введите имя кластера, которому необходимо назначить узел безопасности данных гибридного типа. Рекомендуется назвать кластер в зависимости от географического расположения узлов кластера. Примеры: "Сан-Франциско", "Нью-Йорк" или "Даллас" |
| 6 |
Во втором поле введите внутренний IP-адрес или полное доменное имя узла и щелкните Добавить в нижней части экрана. Этот IP-адрес или полное доменное имя должны совпадать с IP-адресом или именем хоста и доменом, которые вы использовали в разделе Настройка виртуальной машины безопасности данных гибридного типа. Отобразится сообщение о том, что можно зарегистрировать узел в Webex.
|
| 7 |
Щелкните Перейти к узлу. Через несколько секунд вы будете перенаправлены на тестирование подключения узла для служб Webex. Если все тесты будут успешными, отобразится страница "Разрешить доступ к узлу безопасности данных гибридного типа". Здесь вы подтверждаете, что хотите предоставить вашей организации Webex полномочия на доступ к узлу. |
| 8 |
Установите флажок в поле Разрешить доступ к узлу безопасности данных гибридного типа и щелкните Продолжить. Учетная запись подтверждена. В сообщении "Регистрация завершена" указано, что узел зарегистрирован в облаке Webex.
|
| 9 |
Щелкните ссылку или закройте вкладку, чтобы вернуться на страницу безопасности данных гибридного типа партнерского центра. На странице Безопасность данных гибридного типа новый кластер, содержащий зарегистрированный узел, отображается на вкладке Ресурсы . Узел будет автоматически скачан новейшее программное обеспечение из облака.
|
Создать и зарегистрировать другие узлы
Перед началом работы
-
После начала регистрации узла ее необходимо завершить в течение 60 минут или начать заново.
-
Убедитесь, что все блокировки всплывающих окон в браузере отключены или вы разрешаете исключение для admin.webex.com.
| 1 |
Создайте новую виртуальную машину из файла OVA, повторяя шаги, описанные в разделе Установка файла OVA узла HDS. |
| 2 |
Настройте начальную конфигурацию новой виртуальной машины, повторяя шаги, описанные в разделе Настройка виртуальной машины безопасности данных гибридного типа. |
| 3 |
В новой виртуальной машине повторите шаги, описанные в разделе Загрузка и установка ISO конфигурации HDS. |
| 4 |
При настройке прокси для развертывания повторите шаги, описанные в разделе Настройка узла HDS для интеграции прокси для нового узла. |
| 5 |
Зарегистрируйте узел. |
Управление организациями клиентов в службе безопасности данных гибридного типа с поддержкой нескольких клиентов
Активация HDS с несколькими клиентами в центре партнера
Эта задача позволит всем пользователям клиентских организаций начать использование HDS для локальных ключей шифрования и других служб безопасности.
Перед началом работы
Убедитесь, что настройка кластера HDS с несколькими клиентами завершена с требуемым количеством узлов.
| 1 |
Войдите в https://admin.webex.com. |
| 2 |
В меню в левой части экрана выберите Службы. |
| 3 |
В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Редактировать настройки. |
| 4 |
Щелкните Активировать HDS на карточке Состояние HDS . |
Добавить организации клиентов в Partner Hub
В этой задаче вы назначаете клиентские организации кластеру безопасности данных гибридного типа.
| 1 |
Войдите в https://admin.webex.com. |
| 2 |
В меню в левой части экрана выберите Службы. |
| 3 |
В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Просмотреть все. |
| 4 |
Щелкните кластер, которому необходимо назначить клиента. |
| 5 |
Перейдите на вкладку Назначенные клиенты . |
| 6 |
Щелкните Добавить клиентов. |
| 7 |
В раскрывающемся меню выберите клиента, которого необходимо добавить. |
| 8 |
Щелкните Добавить, и клиент будет добавлен в кластер. |
| 9 |
Чтобы добавить в кластер несколько клиентов, повторите шаги 6–8. |
| 10 |
После добавления клиентов щелкните Готово в нижней части экрана. |
Дальнейшие действия
Создание главных ключей клиентов (CMK) с помощью инструмента настройки HDS
Перед началом работы
Назначьте клиентов в соответствующий кластер, как описано в разделе Добавление клиентских организаций в Partner Hub. Запустите инструмент настройки HDS, чтобы завершить процесс настройки вновь добавленных клиентских организаций.
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора для вашей организации.
Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТHTTPS-прокси без аутентификации
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТHTTP-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТHTTPS-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ -
Созданный файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. При внесении изменений в конфигурацию вам потребуется последняя копия этого файла. Например:
-
Учетные данные базы данных
-
Обновления сертификата
-
Изменения политики авторизации
-
-
При планировании шифрования соединений с базой данных настройте развертывание PostgreSQL или SQL Server для TLS.
Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.
| 1 |
Введите соответствующую команду для вашей среды в командной строке компьютера. В обычных средах: В средах FedRAMP: На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать. |
| 2 |
Чтобы войти в реестр образов Docker, введите следующее. |
| 3 |
Введите в запросе пароля этот хеш: |
| 4 |
Скачайте последнюю стабильную версию образа для вашей среды. В обычных средах: В средах FedRAMP: |
| 5 |
По завершении скачивания введите соответствующую команду для вашей среды.
Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080". |
| 6 |
Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу. Перейдите к локальному узлу Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартную подсказку для входа в систему. |
| 7 |
При отображении соответствующего запроса введите учетные данные для входа администратора Partner Hub и щелкните Войти , чтобы разрешить доступ к необходимым службам для службы безопасности данных гибридного типа. |
| 8 |
На странице обзора инструмента настройки щелкните Начало работы. |
| 9 |
На странице Импорт ISO щелкните Да. |
| 10 |
Выберите файл ISO в браузере и загрузите его. Для выполнения управления CMK убедитесь в подключении к базе данных. |
| 11 |
Перейдите на вкладку Управление CMK клиента , где можно найти три способа управления CMK клиента.
|
| 12 |
После успешного создания CMK состояние в таблице изменится с Управление CMK рассматривается на Управление CMK. |
| 13 |
В случае неудачного создания CMK отображается ошибка. |
Удалить организации клиентов
Перед началом работы
После удаления пользователи клиентских организаций не смогут использовать HDS в целях шифрования, а все существующие пространства будут утрачены. Прежде чем удалить клиентские организации, обратитесь к своему партнеру Cisco или менеджеру по работе с клиентами.
| 1 |
Войдите в https://admin.webex.com. |
| 2 |
В меню в левой части экрана выберите Службы. |
| 3 |
В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Просмотреть все. |
| 4 |
На вкладке Ресурсы щелкните кластер, из которого необходимо удалить клиентские организации. |
| 5 |
На открывшейся странице щелкните Назначенные клиенты. |
| 6 |
В списке отображаемых клиентских организаций щелкните ... в правой части клиентской организации, которую необходимо удалить, и щелкните Удалить из кластера. |
Дальнейшие действия
Завершите процесс удаления, отозвав CMK клиентских организаций, как описано в статье Отозвать CMK клиентов, удаленных из HDS.
Отозвать CMK клиентов, удаленные из HDS.
Перед началом работы
Удалите клиентов из соответствующего кластера, как описано в разделе Удаление клиентских организаций. Запустите инструмент настройки HDS, чтобы завершить процесс удаления удаленных клиентских организаций.
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора для вашей организации.
Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТHTTPS-прокси без аутентификации
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТHTTP-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТHTTPS-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ -
Созданный файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. При внесении изменений в конфигурацию вам потребуется последняя копия этого файла. Например:
-
Учетные данные базы данных
-
Обновления сертификата
-
Изменения политики авторизации
-
-
При планировании шифрования соединений с базой данных настройте развертывание PostgreSQL или SQL Server для TLS.
Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.
| 1 |
Введите соответствующую команду для вашей среды в командной строке компьютера. В обычных средах: В средах FedRAMP: На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать. |
| 2 |
Чтобы войти в реестр образов Docker, введите следующее. |
| 3 |
Введите в запросе пароля этот хеш: |
| 4 |
Скачайте последнюю стабильную версию образа для вашей среды. В обычных средах: В средах FedRAMP: |
| 5 |
По завершении скачивания введите соответствующую команду для вашей среды.
Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080". |
| 6 |
Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу. Перейдите к локальному узлу Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартную подсказку для входа в систему. |
| 7 |
При отображении соответствующего запроса введите учетные данные для входа администратора Partner Hub и щелкните Войти , чтобы разрешить доступ к необходимым службам для службы безопасности данных гибридного типа. |
| 8 |
На странице обзора инструмента настройки щелкните Начало работы. |
| 9 |
На странице Импорт ISO щелкните Да. |
| 10 |
Выберите файл ISO в браузере и загрузите его. |
| 11 |
Перейдите на вкладку Управление CMK клиента , где можно найти три способа управления CMK клиента.
|
| 12 |
После успешного отзыва CMK клиентская организация больше не будет отображаться в таблице. |
| 13 |
Если отзыв CMK не выполнен, отображается ошибка. |
Тестирование развертывания службы безопасности данных гибридного типа
Тестирование развертывания службы безопасности данных гибридного типа
Перед началом работы
-
Настройте развертывание службы безопасности данных гибридного типа с несколькими клиентами.
-
Убедитесь, что у вас есть доступ к системному журналу, чтобы проверить, передаются ли запросы ключей в развертывание системы безопасности данных гибридного типа с несколькими клиентами.
| 1 |
Ключи для определенного пространства задаются создателем пространства. Войдите в приложение Webex в качестве одного из пользователей клиентской организации и создайте пространство. Если деактивировать развертывание безопасности данных гибридного типа, контент в пространствах, созданных пользователями, больше не будет доступен после замены кэшированных клиентом копий ключей шифрования. |
| 2 |
Отправить сообщения в новое пространство. |
| 3 |
Проверьте вывод системного журнала, чтобы убедиться, что запросы ключей передаются в развертывание службы безопасности данных гибридного типа. |
Мониторинг работоспособности службы безопасности данных гибридного типа
| 1 |
В Partner Hub в меню в левой части экрана выберите Службы . |
| 2 |
В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Редактировать настройки. Отобразится страница "Настройки безопасности данных гибридного типа".
|
| 3 |
В разделе "Электронные уведомления" введите один или несколько адресов электронной почты, разделяя их запятыми, и нажмите клавишу ввода. |
Управление развертыванием HDS
Управление развертыванием HDS
Для управления развертыванием службы безопасности данных гибридного типа используйте описанные здесь задачи.
Настройка графика модернизации кластера
Чтобы настроить график модернизации, выполните указанные ниже действия.
| 1 |
Войдите в Partner Hub. |
| 2 |
В меню в левой части экрана выберите Службы. |
| 3 |
В разделе "Облачные службы" найдите раздел "Безопасность данных гибридного типа" и щелкните Настройка. |
| 4 |
На странице "Ресурсы безопасности данных гибридного типа" выберите кластер. |
| 5 |
Щелкните вкладку Настройки кластера . |
| 6 |
На странице настроек кластера в разделе "График модернизации" выберите время и часовой пояс для графика модернизации. Примечание. В часовом поясе отображаются следующие доступные дата и время модернизации. При необходимости можно отложить модернизацию на следующий день, щелкнув Отложить на 24 часа. |
Изменение конфигурации узла
-
Изменение сертификатов x.509 по истечении срока действия или по другим причинам.
Изменение доменного имени CN сертификата не поддерживается. Домен должен совпадать с исходным доменом, использованным для регистрации кластера.
-
Обновление настроек базы данных для работы с копией базы данных PostgreSQL или Microsoft SQL Server.
Перенос данных с PostgreSQL на Microsoft SQL Server или в обратном направлении не поддерживается. Чтобы переключить среду базы данных, начните новое развертывание службы безопасности данных гибридного типа.
-
Создание новой конфигурации для подготовки нового центра обработки данных.
Из соображений безопасности для учетных записей в службе безопасности данных гибридного типа используются пароли со сроком действия 9 месяцев. После того как инструмент настройки HDS создаст эти пароли, вам нужно будет развернуть их в каждом из своих узлов HDS в файле конфигурации ISO. При приближении даты окончания срока действия пароля команда Webex пришлет вам уведомление с запросом на сброс пароля учетной записи компьютера. (В сообщении электронной почты будет текст "Использование API учетной записи компьютера для обновления пароля".) Если срок действия паролей еще не истек, средство предоставляет два варианта.
-
Мягкий сброс. Старые и новые пароли работают в течение 10 дней. Используйте этот период для постепенной замены файла ISO на узлах.
-
Принудительный сброс: старые пароли перестают работать немедленно.
Если срок действия ваших паролей истекает без сброса, это влияет на работу вашей службы HDS. В этом случае требуется немедленный жесткий сброс и замена файла ISO на всех узлах.
Используйте эту процедуру, чтобы создать новый файл конфигурации ISO и применить его к кластеру.
Прежде чем начать
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора партнера.
Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker в 1.e. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТHTTPS-прокси без аутентификации
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТHTTP-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТHTTPS-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ -
Для создания новой конфигурации потребуется копия текущего файла конфигурации ISO. Файл ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. Файл ISO необходим для изменения конфигурации, в том числе учетных данных базы данных, обновления сертификатов или изменения политики авторизации.
| 1 |
Запустите инструмент настройки HDS, используя Docker на локальной машине. |
| 2 |
Если у вас запущен только один узел HDS, создайте новую виртуальную машину узла безопасности данных гибридного типа и зарегистрируйте ее с помощью нового файла конфигурации ISO. Более подробные инструкции см. в статье Создание и регистрация дополнительных узлов. |
| 3 |
Для существующих узлов HDS, в которых используется старый файл конфигурации, необходимо установить файл ISO. Выполните следующую процедуру для каждого узла по очереди, обновив каждый узел до выключения следующего узла. |
| 4 |
Повторите шаг 3, чтобы заменить конфигурацию на каждом оставшемся узле со старой конфигурацией. |
Отключение режима блокировки разрешения внешних DNS
При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. Если DNS-сервер узла не может разрешать общедоступные имена DNS, узел автоматически переходит в режим блокировки разрешения внешних DNS.
Если узлы могут разрешать общедоступные имена DNS через внутренние DNS-серверы, можно отключить этот режим, повторно запустив тестирование подключения к прокси на каждом узле.
Перед началом работы
| 1 |
В веб-браузере откройте интерфейс узла безопасности данных гибридного типа (например, IP-адрес или настройка) https://192.0.2.0/setup), введите учетные данные администратора, настроенные для узла, и щелкните Войти. |
| 2 |
Перейдите к разделу Overview (Обзор) (страница по умолчанию). Если режим включен, параметр Blocked External DNS Resolution (Блокировка разрешения внешних DNS) должен иметь значение Yes (Да). |
| 3 |
Перейдите на страницу Trust Store & Proxy (Зона доверия и прокси). |
| 4 |
Щелкните Check Proxy Connection (Проверить соединение с прокси). Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу и он останется в этом режиме. В противном случае после перезапуска узла и возврата на страницу Overview (Обзор) параметр блокировки разрешения внешних DNS должен иметь значение No (Нет). |
Дальнейшие действия
Удаление узла
| 1 |
С помощью клиента VMware vSphere на компьютере можно войти в виртуальный хост ESXi и выключить виртуальную машину. |
| 2 |
Удалить узел: |
| 3 |
В клиенте vSphere удалите виртуальную машину. (На панели навигации слева щелкните виртуальную машину правой кнопкой мыши и щелкните Удалить.) Если виртуальная машина не удалена, не забудьте отсоединить файл конфигурации ISO. Без файла ISO вы не сможете использовать виртуальную машину для доступа к данным безопасности. |
Аварийное восстановление с помощью центра обработки данных в режиме ожидания
Наиболее важной службой, предоставляемой кластером безопасности данных гибридного типа, является создание и хранение ключей, используемых для шифрования сообщений и другого контента, хранящегося в облаке Webex. Для каждого пользователя в организации, назначенного службе безопасности данных гибридного типа, запросы на создание нового ключа маршрутизируются в кластер. Кластер также отвечает за возврат созданных им ключей всем пользователям, авторизованным для их извлечения, например участникам пространства для разговора.
Поскольку кластер выполняет критически важную функцию предоставления этих ключей, необходимо, чтобы кластер продолжал работать и чтобы поддерживались соответствующие резервные копии. Потеря базы данных безопасности данных гибридного типа или конфигурации ISO, используемой для схемы, приведет к НЕОБРАТИМОЙ ПОТЕРЕ контента клиента. Для предотвращения таких потерь необходимо выполнить следующие действия:
Если из-за аварии развертывание HDS в основном центре обработки данных становится недоступным, выполните эту процедуру, чтобы вручную переключиться на резервный центр обработки данных.
Перед началом работы
| 1 |
Запустите инструмент настройки HDS и выполните действия, указанные в разделе Создание ISO конфигурации для узлов HDS. |
| 2 |
Завершите процесс настройки и сохраните файл ISO в удобном для поиска месте. |
| 3 |
Сделайте резервную копию файла ISO в локальной системе. Обеспечьте безопасность резервного копирования. Этот файл содержит главный ключ шифрования для содержимого базы данных. Ограничьте доступ только тем администраторам службы безопасности данных гибридного типа, которые должны вносить изменения в конфигурацию. |
| 4 |
На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры. |
| 5 |
Щелкните Редактировать настройки >Диск CD/DVD 1 и выберите Файл хранилища данных ISO. Убедитесь, что установлены флажки Подключено и Подключиться при включении , чтобы обновленные изменения конфигурации вступили в силу после запуска узлов. |
| 6 |
Включите узел HDS и убедитесь, что сигналы отсутствуют в течение не менее 15 минут. |
| 7 |
Зарегистрируйте узел в партнерском центре. См. статью Регистрация первого узла в кластере. |
| 8 |
Повторите процесс для каждого узла в центре обработки данных в режиме ожидания. |
Дальнейшие действия
(Необязательно) Отсоедините ISO после настройки HDS
Стандартная конфигурация HDS выполняется с установленным ISO. Однако некоторые клиенты предпочитают не оставлять файлы ISO постоянно монтированными. После того как все узлы HDS примут новую конфигурацию, можно отсоединить файл ISO.
Для изменения конфигурации по-прежнему используются файлы ISO. При создании нового ISO или обновлении ISO с помощью инструмента настройки необходимо установить обновленный ISO на всех узлах HDS. С помощью этой процедуры можно снова отключить ISO, после того как все узлы примут изменения конфигурации.
Перед началом работы
Модернизируйте все свои узлы HDS до версии 2021.01.22.4720 или более поздней.
| 1 |
Закройте один из своих узлов HDS. |
| 2 |
В vCenter Server Appliance выберите узел HDS. |
| 3 |
Выберите и снимите флажок Файл хранилища данных ISO. |
| 4 |
Включите узел HDS и убедитесь, что сигналы отсутствуют в течение не менее 20 минут. |
| 5 |
Повторите эту процедуру для каждого узла HDS по очереди. |
Устранение неполадок службы безопасности данных гибридного типа
Просмотр предупреждений и устранение неполадок
Развертывание службы безопасности данных гибридного типа считается недоступным, если все узлы в кластере недоступны или кластер работает настолько медленно, что истекло время ожидания. Если пользователи не могут подключиться к кластеру безопасности данных гибридного типа, у них будут следующие симптомы:
-
Не удается создать новые пространства (не удается создать новые ключи)
-
Не удалось расшифровать сообщения и заголовки пространств для:
-
Новые пользователи, добавленные в пространство (невозможно получить ключи)
-
Существующие пользователи в пространстве, использующие новый клиент (не удается получить ключи)
-
-
Существующие пользователи в пространстве будут продолжать успешно работать, пока в их клиентах будет сохранен кэш ключей шифрования
Важно надлежащим образом отслеживать кластер безопасности данных гибридного типа и своевременно реагировать на все предупреждения во избежание перебоев в работе службы.
Предупреждения
При возникновении проблем с настройкой безопасности данных гибридного типа партнерский центр отображает предупреждения администратору организации и отправляет электронные сообщения на настроенный адрес электронной почты. Предупреждения охватывают многие распространенные сценарии.
|
Предупреждать |
Действие |
|---|---|
|
Ошибка доступа к локальной базе данных. |
Проверьте наличие ошибок базы данных или проблем локальной сети. |
|
Сбой подключения к локальной базе данных. |
Убедитесь в доступности сервера базы данных и использовании правильных учетных данных учетной записи службы в конфигурации узла. |
|
Сбой доступа к облачной службе. |
Убедитесь, что узлы могут получить доступ к серверам Webex, как указано в разделе Требования к внешнему подключению. |
|
Обновление регистрации облачной службы. |
Регистрация в облачных службах прервана. Выполняется возобновление регистрации. |
|
Регистрация для облачной службы прервана. |
Регистрация в облачных службах прервана. Служба выключена. |
|
Служба еще не активирована. |
Активируйте HDS в партнерском центре. |
|
Настроенный домен не соответствует сертификату сервера. |
Убедитесь, что сертификат сервера соответствует настроенному домену активации службы. Наиболее вероятная причина заключается в том, что CN сертификата недавно был изменен и теперь отличается от CN, использованного во время начальной настройки. |
|
Не удалось выполнить аутентификацию в облачных службах. |
Проверьте точность и возможный срок действия учетных данных службы. |
|
Не удалось открыть файл локального хранилища ключей. |
Проверка целостности и точности пароля в файле локального хранилища ключей. |
|
Недействительный сертификат локального сервера. |
Проверьте дату истечения срока действия сертификата сервера и убедитесь, что он был выдан доверенным центром сертификации. |
|
Не удается опубликовать метрики. |
Проверьте доступ локальной сети к внешним облачным службам. |
|
Каталог /media/configdrive/hds не существует. |
Проверьте конфигурацию подключения ISO на виртуальном хосте. Проверьте, существует ли файл ISO, настроен ли он для подключения при перезагрузке и успешно ли установлен. |
|
Настройка организации клиента не завершена для добавленных организаций |
Завершите настройку, создав CMK для вновь добавленных клиентских организаций с помощью инструмента настройки HDS. |
|
Настройка организации клиента не завершена для удаленных организаций |
Завершите настройку, отозвав CMK клиентских организаций, которые были удалены с помощью инструмента настройки HDS. |
Устранение неполадок службы безопасности данных гибридного типа
| 1 |
Просмотрите в Partner Hub все предупреждения и исправьте все элементы, найденные в нем. Для справки см. изображение ниже. |
| 2 |
Проверьте вывод сервера системных журналов для активности из развертывания службы безопасности данных гибридного типа. Используйте фильтр для таких слов, как "Предупреждение" и "Ошибка", чтобы помочь в устранении неполадок. |
| 3 |
Обратитесь в службу поддержки Cisco. |
Другие примечания
Известные проблемы безопасности данных гибридного типа
-
Если вы выключите кластер безопасности данных гибридного типа (удалив его в партнерском центре или выключив все узлы), потеряете файл конфигурации ISO или потеряете доступ к базе данных хранилища ключей, пользователи приложения Webex клиентских организаций больше не смогут использовать пространства в списке пользователей, созданных с помощью ключей из KMS. В настоящий момент для устранения этой проблемы нет обходного решения или решения. Мы настоятельно призываем вас не выключать службы HDS после обработки активных учетных записей пользователей.
-
Клиент с существующим подключением ECDH к KMS поддерживает это соединение в течение периода времени (вероятно, один час).
Использование OpenSSL для создания файла PKCS12
Перед началом работы
-
OpenSSL — это один из инструментов, который можно использовать для создания файла PKCS12 в соответствующем формате для загрузки в инструменте настройки HDS. Есть и другие способы сделать это, и мы не поддерживаем и не продвигаем друг друга.
-
Если вы решите использовать OpenSSL, мы предоставляем эту процедуру в качестве руководства для создания файла, который соответствует требованиям сертификата X.509 в разделе Требования к сертификату X.509. Прежде чем продолжить, ознакомьтесь с этими требованиями.
-
Установите OpenSSL в поддерживаемой среде. Информацию о программном обеспечении и документации см. в разделе https://www.openssl.org .
-
Создайте закрытый ключ.
-
Начните эту процедуру при получении сертификата сервера от центра сертификации (ЦС).
| 1 |
При получении сертификата сервера от ЦС сохраните его как |
| 2 |
Отобразите сертификат в виде текста и проверьте сведения.
|
| 3 |
Используйте текстовый редактор для создания файла пакета сертификатов под названием
|
| 4 |
Создайте файл .p12 с подходящим именем
|
| 5 |
Проверьте сведения о сертификате сервера. |
Дальнейшие действия
Вернитесь к разделу Выполнение предварительных требований для безопасности данных гибридного типа. Файл hdsnode.p12 и заданный для него пароль будут использоваться в разделе Создание конфигурации ISO для узлов HDS.
Эти файлы можно повторно использовать для запроса нового сертификата по истечении срока действия исходного сертификата.
Трафик между узлами HDS и облаком
Трафик сбора исходящих метрик
Узлы безопасности данных гибридного типа отправляют определенные метрики в облако Webex. К ним относятся системные метрики максимального количества подключений, использования максимального количества подключений, загрузки ЦП и количества потоков; метрики синхронных и асинхронных потоков; метрики оповещений о пороговом значении соединений шифрования, задержки или длины очереди запросов; метрики хранилища данных; и метрики подключения шифрования. Узлы отправляют зашифрованный ключ-материал по внеполосному каналу (отдельному от запроса).
Входящий трафик
Узлы безопасности данных гибридного типа получают из облака Webex следующие типы входящего трафика:
-
Запросы на шифрование от клиентов, которые маршрутизируются службой шифрования
-
Модернизация программного обеспечения узла
Настройка прокси Squid для безопасности данных гибридного типа
Невозможно выполнить подключение веб-сокетов через прокси Squid
Прокси Squid, которые проверяют трафик HTTPS, могут мешать созданию соединений веб-сокетов (wss:), которые необходимы службе безопасности данных гибридного типа. В указанных далее разделах приведены рекомендации по настройке различных версий Squid с целью игнорирования трафика wss: для обеспечения надлежащей работы служб.
Squid 4 и 5
Добавьте on_unsupported_protocol директиву в squid.conf:
on_unsupported_protocol туннель всеSquid 3.5.27
Служба безопасности данных гибридного типа успешно протестирована с указанными далее правилами, добавленными в squid.conf. Эти правила могут изменяться по мере разработки функций и обновления облака Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump соединение wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump просмотр step1 все ssl_bump просмотр step2 все ssl_bump bump3 всеНовая и измененная информация
Новая и измененная информация
В этой таблице описаны новые функции или функциональные возможности, изменения существующего контента, а также любые серьезные ошибки, исправленные в руководстве по развертыванию службы безопасности данных гибридного типа с несколькими клиентами.
|
Дата |
Внесены изменения |
|---|---|
|
8 января 2025 г. |
Добавлено примечание в разделе Выполнение начальной настройки и скачивание файлов установки , в котором указано, что нажатие кнопки Настройка на карточке HDS в Partner Hub является важным этапом процесса установки. |
|
7 января 2025 г. |
Обновлены Требования к виртуальному узлу, Алгоритм выполнения задач по развертыванию службы безопасности данных гибридного типа и Установка OVA узла HDS для отображения новых требований ESXi 7.0. |
|
13 декабря 2024 г. |
Впервые опубликовано. |
Деактивация службы безопасности данных гибридного типа с несколькими клиентами
Алгоритм выполнения задач по деактивации HDS с несколькими клиентами
Чтобы полностью деактивировать HDS с несколькими клиентами, выполните приведенные ниже действия.
Перед началом работы
| 1 |
Удалите всех клиентов из всех кластеров, как указано в разделе Удаление клиентских организаций. |
| 2 |
Отозвать CMK всех клиентов, как указано в статье Отозвать CMK клиентов, удаленных из HDS. |
| 3 |
Удалите все узлы из всех кластеров, как описано в разделе Удаление узла. |
| 4 |
Удалите все кластеры из Partner Hub одним из следующих двух способов.
|
| 5 |
Щелкните вкладку Настройки на странице обзора безопасности данных гибридного типа и щелкните Деактивировать HDS на карточке состояния HDS. |
Начало работы с системой безопасности данных гибридного типа с поддержкой нескольких клиентов
Общие сведения о безопасности данных гибридного типа для нескольких клиентов
С самого начала безопасность данных была главной задачей при разработке приложения Webex. В основе этой безопасности лежит сквозное шифрование контента, которое включается клиентами приложения Webex, взаимодействующими со службой управления ключами (KMS). KMS отвечает за создание и управление криптографическими ключами, которые используются клиентами для динамического шифрования и расшифровки сообщений и файлов.
По умолчанию для всех клиентов приложения Webex обеспечивается сквозное шифрование с использованием динамических ключей, которые хранятся в облаке KMS в области безопасности Cisco. Служба безопасности данных гибридного типа перемещает KMS и другие функции безопасности в корпоративный центр обработки данных, поэтому доступ к ключам для зашифрованного контента будет только у вас.
Служба безопасности данных гибридного типа с поддержкой нескольких клиентов позволяет организациям использовать HDS через доверенного локального партнера, который может выполнять функции поставщика услуг и управлять локальным шифрованием и другими службами безопасности. Эта настройка позволяет партнерской организации осуществлять полный контроль над развертыванием ключей шифрования и управлением ими, а также обеспечивает безопасность данных пользователей клиентских организаций от внешнего доступа. Партнерские организации настраивают экземпляры HDS и при необходимости создают кластеры HDS. Каждый экземпляр может поддерживать несколько клиентских организаций, в отличие от обычного развертывания HDS, которое ограничено одной организацией.
Это также позволяет небольшим организациям использовать HDS, поскольку служба управления ключами и инфраструктура безопасности, например центры обработки данных, принадлежат доверенному локальному партнеру.
Как служба безопасности данных гибридного типа с несколькими клиентами обеспечивает суверенитет и управление данными
- Созданный пользователем контент защищен от внешнего доступа, например от поставщиков облачных услуг.
- Локальные доверенные партнеры управляют ключами шифрования клиентов, с которыми они уже установили взаимоотношения.
- Параметр для локальной технической поддержки, если она предоставлена партнером.
- Поддержка контента совещаний, обмена сообщениями и вызовов.
Этот документ предназначен для помощи партнерским организациям в настройке клиентов и управлении ими в системе безопасности данных гибридного типа с несколькими клиентами.
Роли в службе безопасности данных гибридного типа с несколькими клиентами
- Администратор партнера с полными правами : может управлять настройками для всех клиентов, которыми управляет партнер. Также может назначать роли администратора существующим пользователям в организации и назначать определенных клиентов, которыми будут управлять администраторы партнера.
- Администратор партнера . Может управлять настройками клиентов, подготовленных администратором или назначенных пользователю.
- Администратор с полными правами . Администратор партнерской организации, уполномоченный выполнять такие задачи, как изменение настроек организации, управление лицензиями и назначение ролей.
- Сквозная настройка HDS с несколькими клиентами и управление ими всех клиентских организаций . Требуются права администратора партнера с полными правами и администратора с полными правами.
- Управление назначенными организациями клиента : требуются права администратора партнера и полного администратора.
Архитектура области безопасности
Облачная архитектура Webex разбивает различные типы служб на отдельные области или домены доверия, как показано ниже.
Чтобы получить дополнительные сведения о безопасности данных гибридного типа, давайте сначала рассмотрим этот облачный случай, в котором компания Cisco предоставляет все функции в облачных областях. Служба удостоверений – единственное место, где пользователи могут напрямую соотнести с их персональной информацией, такой как адрес электронной почты, логически и физически отделена от области безопасности в центре обработки данных B. Обе службы в свою очередь отделены от области, в которой в конечном итоге хранится зашифрованный контент, в центре обработки данных C.
На этой схеме клиент представляет собой приложение Webex, запущенное на ноутбуке пользователя и прошедшее аутентификацию с помощью службы удостоверений. При написании пользователем сообщения для отправки в пространство выполняются следующие действия.
-
Клиент устанавливает безопасное соединение со службой управления ключами (KMS), затем запрашивает ключ для шифрования сообщения. Защищенное соединение использует ECDH, а KMS шифрует ключ с помощью главного ключа AES-256.
-
Сообщение шифруется до выхода из клиента. Клиент отправляет его в службу индексации, которая создает зашифрованные индексы поиска для помощи в будущих поисковых запросах контента.
-
Зашифрованное сообщение отправляется в службу обеспечения соответствия для проверки соответствия.
-
Зашифрованное сообщение хранится в области хранилища.
При развертывании службы безопасности данных гибридного типа функции области безопасности (KMS, индексация и соответствие требованиям) перемещаются в локальный центр обработки данных. Другие облачные службы, которые составляют Webex (включая идентификационные данные и хранилище контента), остаются в сферах Cisco.
Сотрудничество с Другими Организациями
Пользователи в вашей организации могут регулярно использовать приложение Webex для совместной работы с внешними участниками из других организаций. Когда один из пользователей запрашивает ключ для пространства, принадлежащего вашей организации (поскольку он был создан одним из пользователей), KMS отправляет ключ клиенту по защищенному каналу ECDH. Однако если ключ для пространства принадлежит другой организации, KMS перенаправляет запрос в облако Webex через отдельный канал ECDH для получения ключа от соответствующего KMS, а затем возвращает ключ пользователю в исходном канале.
Служба KMS, запущенная в организации A, проверяет подключения к KMS в других организациях с помощью сертификатов PKI x.509. Подробные сведения о создании сертификата x.509 для использования с развертыванием службы безопасности данных гибридного типа с несколькими клиентами см. в статье Подготовка среды .
Ожидания развертывания службы безопасности данных гибридного типа
Развертывание службы безопасности данных гибридного типа требует значительных обязательств и осознания рисков, связанных с хранением ключей шифрования.
Для развертывания службы безопасности данных гибридного типа необходимо предоставить:
-
Защищенный центр обработки данных в стране, которая является местоположением, поддерживаемым планами Cisco Webex Teams.
-
Оборудование, программное обеспечение и доступ к сети, описанные в разделе Подготовка среды.
Полная потеря конфигурации ISO, созданной для службы безопасности данных гибридного типа, или предоставленной базы данных приведет к потере ключей. Потеря ключей предотвращает расшифровку контента пространства и других зашифрованных данных в приложении Webex пользователями. В этом случае можно создать новое развертывание, однако будет отображаться только новый контент. Во избежание потери доступа к данным необходимо выполнить приведенные ниже действия.
-
Управление резервным копированием и восстановлением базы данных и конфигурации ISO.
-
Будьте готовы к быстрому аварийному восстановлению в случае аварии, например, сбою диска базы данных или сбою центра обработки данных.
Механизм для перемещения ключей обратно в облако после развертывания HDS отсутствует.
Высокоуровневый процесс настройки
В этом документе описана настройка и управление развертыванием службы безопасности данных гибридного типа с несколькими клиентами.
-
Настройка безопасности данных гибридного типа. Это включает подготовку необходимой инфраструктуры и установку программного обеспечения безопасности данных гибридного типа, создание кластера HDS, добавление клиентских организаций в кластер и управление их главными ключами клиента (CMK). Это позволит всем пользователям клиентских организаций использовать кластер безопасности данных гибридного типа для функций безопасности.
Этапы настройки, активации и управления подробно описаны в следующих трех главах.
-
Поддержка развертывания службы безопасности данных гибридного типа: облако Webex автоматически обеспечивает непрерывную модернизацию. Ваш отдел ИТ может предоставлять поддержку первого уровня для этого развертывания и при необходимости привлекать поддержку Cisco. В Partner Hub можно использовать экранные уведомления и настроить предупреждения на основе электронной почты.
-
Общие предупреждения, действия по устранению неполадок и известные проблемы. При возникновении проблем с развертыванием или использованием службы безопасности данных гибридного типа можно определить и устранить проблему с помощью последней главы этого руководства и приложения "Известные проблемы".
Модель развертывания службы безопасности данных гибридного типа
В корпоративном центре обработки данных служба безопасности данных гибридного типа будет развернута в виде одного кластера узлов на отдельных виртуальных узлах. Узлы связываются с облаком Webex с помощью защищенных веб-сокетов и защищенного HTTP.
Во время процесса установки предоставляется файл OVA для настройки виртуального устройства на предоставленных вами виртуальных машинах. Инструмент настройки HDS используется для создания пользовательского файла конфигурации кластера ISO, который устанавливается на каждом узле. Кластер безопасности данных гибридного типа использует предоставленный сервер Syslogd и базу данных PostgreSQL или Microsoft SQL Server. (Сведения о соединении Syslogd и базы данных можно настроить в инструменте настройки HDS.)
Минимальное количество узлов в кластере: два. Рекомендуется не менее трех на кластер. Наличие нескольких узлов гарантирует, что во время модернизации программного обеспечения или других действий по техническому обслуживанию узла служба не будет прерываться. (Облако Webex модернизирует только один узел за раз.)
Все узлы в кластере имеют доступ к одному хранилищу данных и активности журналов на один и тот же сервер системных журналов. Сами узлы не имеют состояния и обрабатывают запросы на ключ в циклическом порядке, как направляется облаком.
Узлы становятся активными при регистрации в партнерском центре. Чтобы вывести отдельный узел из эксплуатации, можно отменить его регистрацию, а затем, при необходимости, повторно зарегистрировать его.
Резервный центр обработки данных для аварийного восстановления
Во время развертывания вы настраиваете защищенный резервный центр обработки данных. В случае аварии центра обработки данных можно вручную перенести развертывание на резервный центр обработки данных.
Базы данных активных и резервных центров обработки данных синхронизируются друг с другом, что позволит свести к минимуму время, затрачиваемое на выполнение отработки отказа.
Активные узлы безопасности данных гибридного типа всегда должны находиться в одном центре обработки данных с активным сервером базы данных.
Поддержка прокси
Служба безопасности данных гибридного типа поддерживает явные прокси, прозрачные прокси с проверкой и прокси без проверки. Чтобы обеспечить защиту и мониторинг трафика из сети предприятия в облако, можно связать эти прокси с развертыванием. После настройки прокси на узлах административный интерфейс платформы на узлах можно использовать для управления сертификатами и просмотра общего состояния соединений.
Узлы безопасности данных гибридного типа поддерживают указанные далее параметры прокси.
-
Нет прокси. Значение по умолчанию, если для интеграции прокси не используется конфигурация доверенного хранилища и прокси для настройки узла HDS. Обновление сертификата не требуется.
-
Прозрачный прокси без проверки. Узлы не настроены для использования адреса определенного прокси-сервера и не должны требовать каких-либо изменений для работы с прокси без проверки. Обновление сертификата не требуется.
-
Прозрачный туннелирование или прокси с проверкой. Узлы не настроены для использования адреса определенного прокси-сервера. На узлах не нужно изменять конфигурацию HTTP или HTTPS. Как бы то ни было, для обеспечения доверия прокси узлам необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже HTTPS).
-
Явный прокси. При использовании явного прокси необходимо указать прокси-сервер и схему аутентификации узлам HDS. Для настройки явного прокси на каждом узле нужно ввести следующую информацию.
-
IP/FQDN прокси. Адрес, который можно использовать для связи с прокси-машиной.
-
Порт прокси. Номер порта, который прокси использует для прослушивания прокси-трафика.
-
Proxy Protocol (Протокол прокси). В зависимости от поддержки прокси-сервера выберите один из следующих протоколов.
-
HTTP – просматривает все запросы, отправляемые клиентом, и управляет этими запросами.
-
HTTPS – обеспечивает работу канала связи с сервером. Клиент получает и проверяет сертификат сервера.
-
-
Тип аутентификации: выберите один из приведенных ниже типов аутентификации.
-
Нет. Дальнейшая аутентификация не требуется.
Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.
-
Базовый: используется для агента пользователя HTTP для указания имени пользователя и пароля при совершении запроса. Использует кодировку Base64.
Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.
Требует ввода имени пользователя и пароля на каждом узле.
-
Дайджест. Используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети.
Этот параметр доступен только в том случае, если в качестве протокола прокси выбран протокол HTTPS.
Требует ввода имени пользователя и пароля на каждом узле.
-
-
Пример узлов безопасности данных гибридного типа и прокси
На этой схеме представлен пример соединения между системой безопасности данных гибридного типа, сетью и прокси. При использовании прозрачного прокси с проверкой или явного прокси с проверкой HTTPS на прокси и узлы безопасности данных гибридного типа необходимо установить один и тот же корневой сертификат.
Режим блокировки разрешения внешних DNS (конфигурации явного прокси)
При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. В развертываниях с конфигурациями явного прокси, которые не допускают разрешения внешних DNS для внутренних клиентов, если узел не может посылать запросы на DNS-серверы, он автоматически переходит в режим блокировки разрешения внешних DNS. В этом режиме можно продолжить регистрацию узла и другие тестирования подключения к прокси.
Подготовка среды
Требования к безопасности данных гибридного типа с несколькими клиентами
Требования к лицензии Cisco Webex
Развертывание службы безопасности данных гибридного типа с несколькими клиентами.
-
Партнерские организации: Обратитесь к своему партнеру Cisco или менеджеру по работе с клиентами и убедитесь, что функция "Несколько клиентов" включена.
-
Организации клиентов: Необходима профессиональная версия Cisco Webex Control Hub. См. https://www.cisco.com/go/pro-pack.
Требования к рабочему столу Docker
Перед установкой узлов HDS необходимо запустить программу настройки с помощью Docker Desktop. Docker недавно обновил свою модель лицензирования. Для вашей организации может потребоваться платная подписка на Docker Desktop. Подробности см. в записи блога Docker, " Docker обновляет и расширяет подписки на продукты".
Требования к сертификату X.509
Цепочка сертификатов должна соответствовать следующим требованиям:
|
Требование |
Подробности |
|---|---|
|
По умолчанию мы доверяем ЦС в списке Mozilla (за исключением WoSign и StartCom) по адресу https://wiki.mozilla.org/CA:IncludedCAs. |
|
CN не требуется, чтобы он был доступен или был организатором в режиме реального времени. Рекомендуется использовать название, отражающее вашу организацию, например CN не должен содержать * (подстановочный знак). CN используется для проверки узлов безопасности данных гибридного типа для клиентов приложения Webex. Все узлы безопасности данных гибридного типа в кластере используют один и тот же сертификат. Ваш KMS идентифицирует себя с помощью домена CN, а не любого домена, определенного в полях SAN x.509v3. После регистрации узла с этим сертификатом изменение доменного имени CN не поддерживается. |
|
Программное обеспечение KMS не поддерживает подписи SHA1 для проверки подключений к KMS других организаций. |
|
Для изменения формата сертификата можно использовать преобразователь, например OpenSSL. При запуске инструмента настройки HDS потребуется ввести пароль. |
Программное обеспечение KMS не обеспечивает принудительное использование ключа или расширенные ограничения на его использование. Некоторые центры сертификации требуют, чтобы к каждому сертификату применялись расширенные ограничения на использование ключей, например аутентификация сервера. Использовать аутентификацию сервера или другие настройки можно.
Требования к виртуальному организатору
Виртуальные узлы, которые будут настроены в качестве узлов безопасности данных гибридного типа в кластере, имеют следующие требования:
-
По крайней мере два отдельных узла (рекомендуется 3) размещены в одном защищенном центре обработки данных
-
Установлена и запущена VMware ESXi 7.0 (или более поздняя версия).
При наличии более ранней версии ESXi необходимо выполнить модернизацию.
-
Минимум 4 ЦП, 8 ГБ основной памяти, 30 ГБ локального жесткого диска на сервер
Требования к серверу базы данных
Создайте новую базу данных для хранилища ключей. Не используйте базу данных по умолчанию. Приложения HDS при установке создают схему базы данных.
Существует два варианта сервера баз данных. Требования для каждого из них приведены ниже.
|
PostgreSQL |
Сервер Microsoft SQL |
|---|---|
|
|
|
Минимум 8 виртуальных ЦП, 16 ГБ основной памяти, достаточное пространство на жестком диске и мониторинг для обеспечения его отсутствия (рекомендуется 2 ТБ, если необходимо запустить базу данных в течение длительного времени без увеличения объема хранилища) |
Минимум 8 виртуальных ЦП, 16 ГБ основной памяти, достаточное пространство на жестком диске и мониторинг для обеспечения его отсутствия (рекомендуется 2 ТБ, если необходимо запустить базу данных в течение длительного времени без увеличения объема хранилища) |
Программное обеспечение HDS в настоящее время устанавливает следующие версии драйверов для связи с сервером базы данных:
|
PostgreSQL |
Сервер Microsoft SQL |
|---|---|
|
Драйвер JDBC Postgres 42.2.5 |
Драйвер JDBC 4.6 для SQL-сервера Эта версия драйвера поддерживает SQL Server Always On (экземпляры отказоустойчивого кластера и группы доступности Always On). |
Дополнительные требования для аутентификации Windows на Microsoft SQL Server
Если необходимо, чтобы узлы HDS использовали аутентификацию Windows для получения доступа к базе данных хранилища ключей на Microsoft SQL Server, в вашей среде потребуется следующая конфигурация:
-
Узлы HDS, инфраструктура Active Directory и сервер MS SQL должны быть синхронизированы с NTP.
-
Учетная запись Windows, которую вы предоставляете узлам HDS, должна иметь доступ к базе данных для чтения и записи.
-
Серверы DNS, предоставляемые узлам HDS, должны иметь возможность разрешать центр распределения ключей (KDC).
-
Экземпляр базы данных HDS можно зарегистрировать на сервере Microsoft SQL в качестве главного имени службы (SPN) в Active Directory. См. статью Регистрация имени участника службы для Kerberos Connections.
Инструмент настройки HDS, программа запуска HDS и локальный KMS должны использовать аутентификацию Windows для доступа к базе данных хранилища ключей. Они используют сведения из конфигурации ISO для создания SPN при запросе доступа с аутентификацией Kerberos.
Требования к внешнему подключению
Настройте брандмауэр, чтобы разрешить следующее подключение для приложений HDS:
|
Приложение |
Протокол |
Порт |
Направление из приложения |
Адресат |
|---|---|---|---|---|
|
Узлы безопасности данных гибридного типа |
Протокол TCP |
443 |
Исходящие HTTPS и WSS |
|
|
Инструмент настройки HDS |
Протокол TCP |
443 |
HTTPS для исходящих вызовов |
|
Узлы безопасности данных гибридного типа работают с преобразованием сетевого доступа (NAT) или за брандмауэром, если NAT или брандмауэр допускает необходимые исходящие соединения с адресатами домена в таблице выше. Для соединений, поступающих на узлы безопасности данных гибридного типа, порты не должны отображаться из Интернета. В центре обработки данных клиентам необходим доступ к узлам безопасности данных гибридного типа на портах 443 и 22 TCP в административных целях.
URL-адреса узлов общих параметров идентификации (CI) специфичны для региона. Ниже приведены текущие узлы CI.
|
Регион |
URL-адреса хостов общих параметров идентификации |
|---|---|
|
Северная и Южная Америка |
|
|
Европейский союз |
|
|
Канада |
|
| Сингапур |
|
| Объединенные Арабские Эмираты |
|
Требования к прокси-серверу
-
Мы официально поддерживаем следующие решения для прокси, которые можно интегрировать с узлами безопасности данных гибридного типа:
-
для прозрачных прокси – Cisco Web Security Appliance (WSA);
-
для явных прокси – Squid.
Прокси Squid, которые проверяют трафик HTTPS, могут мешать созданию соединений веб-сокетов (wss:). Чтобы устранить эту проблему, см. статью Настройка прокси Squid для безопасности данных гибридного типа.
-
-
Поддерживаются следующие комбинации типов аутентификации для явных прокси:
-
без аутентификации при использовании HTTP или HTTPS;
-
базовая аутентификация при использовании HTTP или HTTPS;
-
дайджест-аутентификация только при использовании HTTPS;
-
-
При наличии прозрачного прокси с проверкой или явного прокси HTTPS необходимо иметь копию корневого сертификата прокси. Инструкции по развертыванию, приведенные в этом руководстве, содержат информацию о том, как загрузить эту копию в зоны доверия узлов безопасности данных гибридного типа.
-
Сеть, в которой размещены узлы HDS, должна обеспечивать принудительную маршрутизацию исходящего трафика TCP на порте 443 через прокси.
-
Прокси, проверяющие веб-трафик, могут нарушать работу соединений веб-сокетов. Для устранения этой проблемы трафик следует направить в обход (без проверки) на
wbx2.comи*.teams.webex.com.
Выполнение предварительных требований для службы безопасности данных гибридного типа
| 1 |
Убедитесь, что в партнерской организации включена функция HDS с несколькими клиентами, и получите учетные данные учетной записи с полными правами администратора партнера и полными правами администратора. Убедитесь, что для клиентской организации Webex включена профессиональная версия Cisco Webex Control Hub. Обратитесь за помощью к своему партнеру Cisco или менеджеру по работе с клиентами. У клиентских организаций не должно быть существующего развертывания HDS. |
| 2 |
Выберите имя домена для развертывания HDS (например, |
| 3 |
Подготовьте идентичные виртуальные узлы, которые будут настроены в качестве узлов безопасности данных гибридного типа в кластере. Необходимо разместить не менее двух отдельных организаторов (рекомендуется 3) в одном и том же защищенном центре обработки данных, который соответствует требованиям в разделе Требования к виртуальному организатору. |
| 4 |
Подготовьте сервер базы данных, который будет использоваться в качестве хранилища ключевых данных для кластера в соответствии с требованиями сервера базы данных. Сервер базы данных должен быть размещен в защищенном центре обработки данных с виртуальными хостами. |
| 5 |
Для быстрого аварийного восстановления настройте резервную среду в другом центре обработки данных. Резервная среда дублирует производственную среду виртуальных машин и сервер базы данных резервного копирования. Например, если в производственной среде есть 3 виртуальных машины с узлами HDS, резервная среда должна иметь 3 виртуальных машины. |
| 6 |
Настройте узел системного журнала для сбора журналов с узлов в кластере. Соберите сетевой адрес и порт системного журнала (по умолчанию UDP 514). |
| 7 |
Создайте политику безопасного резервного копирования для узлов безопасности данных гибридного типа, сервера базы данных и узла системного журнала. Как минимум, чтобы предотвратить необратимую потерю данных, необходимо создать резервную копию базы данных и файла конфигурации ISO, созданного для узлов безопасности данных гибридного типа. Поскольку узлы безопасности данных гибридного типа хранят ключи, используемые при шифровании и расшифровке контента, невыполнение оперативного развертывания приведет к НЕОБРАТИМОЙ ПОТЕРЕ этого контента. Клиенты приложения Webex кэшируют свои ключи, поэтому сбои могут не сразу стать заметными, но со временем станут очевидными. Временные перебои невозможно предотвратить, но их можно восстановить. Однако полная потеря базы данных или файла конфигурации ISO (нет доступных резервных копий) приведет к невозможности восстановления данных клиента. Ожидается, что операторы узлов безопасности данных гибридного типа осуществляют частые резервные копии базы данных и файла конфигурации ISO и будут готовы к обновлению центра обработки данных службы безопасности данных гибридного типа в случае катастрофической ошибки. |
| 8 |
Убедитесь, что конфигурация брандмауэра разрешает соединение для узлов безопасности данных гибридного типа, как описано в разделе Требования к внешнему подключению. |
| 9 |
Установите Docker (https://www.docker.com) на любом локальном компьютере, на котором запущена поддерживаемая ОС (64-разрядная версия Microsoft Windows 10 Professional или Enterprise или Mac OSX Yosemite 10.10.3 или более поздняя версия) с веб-браузером, с помощью которого можно получить доступ на странице http://127.0.0.1:8080. Экземпляр Docker используется для скачивания и запуска инструмента настройки HDS, который создает информацию локальной конфигурации для всех узлов безопасности данных гибридного типа. Вам может понадобиться лицензия Docker Desktop. Дополнительную информацию см. в статье Требования к рабочему столу Docker . Для установки и запуска инструмента настройки HDS локальная машина должна иметь подключение, описанное в разделе Требования к внешнему подключению. |
| 10 |
При интеграции прокси с системой безопасности данных гибридного типа убедитесь, что он соответствует требованиям к прокси-серверу. |
Настройка кластера безопасности данных гибридного типа
Алгоритм выполнения задач по развертыванию службы безопасности данных гибридного типа
| 1 |
Выполните начальную настройку и скачайте файлы установки Скачайте файл OVA на локальный компьютер для дальнейшего использования. |
| 2 |
Создание ISO конфигурации для узлов HDS Используйте инструмент настройки HDS для создания файла конфигурации ISO для узлов безопасности данных гибридного типа. |
| 3 |
Создайте виртуальную машину из файла OVA и выполните начальную конфигурацию, например параметры сети. Параметр настройки сети во время развертывания OVA протестирован с помощью ESXi 7.0. Этот параметр может быть недоступен в более ранних версиях. |
| 4 |
Настройка виртуальной машины безопасности данных гибридного типа Войдите в консоль виртуальной машины и задайте учетные данные для входа. Настройте параметры сети для узла, если они не были настроены во время развертывания файла OVA. |
| 5 |
Загрузка и установка ISO конфигурации HDS Настройте виртуальную машину из файла конфигурации ISO, созданного с помощью инструмента настройки HDS. |
| 6 |
Настройка узла HDS для интеграции прокси Если в сетевой среде требуется конфигурация прокси, укажите тип прокси, который будет использоваться для узла, и при необходимости добавьте сертификат прокси в доверенное хранилище. |
| 7 |
Регистрация первого узла в кластере Зарегистрируйте виртуальную машину в облаке Cisco Webex в качестве узла безопасности данных гибридного типа. |
| 8 |
Создать и зарегистрировать другие узлы Завершите настройку кластера. |
| 9 |
Активируйте HDS с несколькими клиентами в Partner Hub. Активируйте HDS и управляйте организациями клиентов в Partner Hub. |
Выполните начальную настройку и скачайте файлы установки
В этой задаче вы скачаете файл OVA на свой компьютер (а не на серверы, настроенные в качестве узлов безопасности данных гибридного типа). Этот файл будет использован позже в процессе установки.
| 1 |
Войдите в Partner Hub и щелкните Службы. |
| 2 |
В разделе облачных служб найдите карточку безопасности данных гибридного типа и щелкните Настройка. Нажатие кнопки Настройка в партнерском центре имеет решающее значение для процесса развертывания. Не продолжайте установку без завершения этого шага. |
| 3 |
Щелкните Добавить ресурс и щелкните Скачать файл OVA на карточке Установка и настройка программного обеспечения . Более ранние версии пакета программного обеспечения (OVA) не будут совместимы с последними модернизациями безопасности данных гибридного типа. Это может привести к ошибкам во время модернизации приложения. Убедитесь, что скачано последнюю версию файла OVA. Кроме того, файл OVA можно скачать в любой момент в разделе Справка . Щелкните . Скачивание файла OVA начнется автоматически. Сохраните файл в местоположении на своем компьютере.
|
| 4 |
При необходимости щелкните Просмотреть руководство по развертыванию службы безопасности данных гибридного типа , чтобы проверить доступность более поздней версии этого руководства. |
Создание ISO конфигурации для узлов HDS
Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.
Прежде чем начать
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора.
Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker на шаге 5 ниже. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТHTTPS-прокси без аутентификации
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТHTTP-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТHTTPS-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ -
Созданный файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. При внесении изменений в конфигурацию вам потребуется последняя копия этого файла. Например:
-
Учетные данные базы данных
-
Обновления сертификата
-
Изменения политики авторизации
-
-
При планировании шифрования соединений с базой данных настройте развертывание PostgreSQL или SQL Server для TLS.
| 1 |
Введите соответствующую команду для вашей среды в командной строке компьютера. В обычных средах: В средах FedRAMP: На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать. | ||||||||||
| 2 |
Чтобы войти в реестр образов Docker, введите следующее. | ||||||||||
| 3 |
Введите в запросе пароля этот хеш: | ||||||||||
| 4 |
Скачайте последнюю стабильную версию образа для вашей среды. В обычных средах: В средах FedRAMP: | ||||||||||
| 5 |
По завершении скачивания введите соответствующую команду для вашей среды.
Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080". | ||||||||||
| 6 |
Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу. Перейдите к локальному узлу Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартную подсказку для входа в систему. | ||||||||||
| 7 |
При отображении соответствующего запроса введите учетные данные для входа администратора Partner Hub и щелкните Войти , чтобы разрешить доступ к необходимым службам для службы безопасности данных гибридного типа. | ||||||||||
| 8 |
На странице обзора инструмента настройки щелкните Начало работы. | ||||||||||
| 9 |
На странице Импорт ISO доступны следующие параметры.
| ||||||||||
| 10 |
Проверьте, соответствует ли сертификат X.509 требованиям к сертификатам X.509.
| ||||||||||
| 11 |
Введите адрес базы данных и учетную запись HDS для доступа к хранилищу данных ключей: | ||||||||||
| 12 |
Выберите Режим подключения к базе данных TLS.
При загрузке корневого сертификата (при необходимости) и нажатии Продолжить инструмент настройки HDS тестирует подключение TLS к серверу базы данных. Инструмент также выполняет проверку источника подписи сертификата и имени узла (если применимо). Если тест не будет пройден, в инструменте будет отображено сообщение об ошибке с описанием проблемы. Можно выбрать параметр игнорирования ошибки и продолжить настройку. (Из-за различий соединения узлы HDS могут установить соединение TLS, даже если машина средства настройки HDS не может успешно протестировать его.) | ||||||||||
| 13 |
На странице «Системные журналы» настройте сервер Syslogd: | ||||||||||
| 14 |
(Необязательно) Можно изменить значение по умолчанию для некоторых параметров подключения к базе данных в разделе Расширенные настройки. Как правило, этот параметр является единственным, который необходимо изменить: | ||||||||||
| 15 |
Щелкните Продолжить на экране Сброс пароля учетных записей службы . Срок действия паролей учетных записей службы составляет девять месяцев. Используйте этот экран, когда срок действия паролей скоро истечет или вы хотите сбросить их, чтобы сделать предыдущие файлы ISO недействительными. | ||||||||||
| 16 |
Щелкните Скачать файл ISO. Сохраните файл в удобном для поиска местоположении. | ||||||||||
| 17 |
Сделайте резервную копию файла ISO в локальной системе. Обеспечьте безопасность резервного копирования. Этот файл содержит главный ключ шифрования для содержимого базы данных. Ограничьте доступ только тем администраторам службы безопасности данных гибридного типа, которые должны вносить изменения в конфигурацию. | ||||||||||
| 18 |
Чтобы завершить работу инструмента настройки, нажмите |
Дальнейшие действия
Создайте резервную копию файла конфигурации ISO. Это необходимо для создания дополнительных узлов для восстановления или внесения изменений в конфигурацию. В случае утери всех копий файла ISO также был утрачен главный ключ. Невозможно восстановить ключи из базы данных PostgreSQL или Microsoft SQL Server.
У нас никогда не будет копии этого ключа, и мы не можем помочь, если вы его потеряете.
Установка файла OVA узла HDS
| 1 |
Используйте клиент VMware vSphere на компьютере для входа в виртуальный хост ESXi. |
| 2 |
Выберите Файл > Развернуть шаблон OVF. |
| 3 |
В мастере укажите расположение скачанного ранее файла OVA и щелкните Далее. |
| 4 |
На странице Выберите имя и папку введите имя виртуальной машины для узла (например, "HDS_Node_1"), выберите местоположение, в котором может находиться развертывание узла виртуальной машины, и щелкните Далее. |
| 5 |
На странице Выбор вычислительного ресурса выберите целевой вычислительный ресурс и щелкните Далее. Выполняется проверка. По завершении отобразятся сведения о шаблоне. |
| 6 |
Проверьте сведения о шаблоне и щелкните Далее. |
| 7 |
При появлении запроса на выбор конфигурации ресурса на странице Конфигурация щелкните 4 ЦП , а затем щелкните Далее. |
| 8 |
На странице Выбор хранилища щелкните Далее , чтобы принять формат диска по умолчанию и политику хранилища виртуальной машины. |
| 9 |
На странице Выбор сетей выберите параметр сети из списка записей, чтобы обеспечить необходимое подключение к виртуальной машине. |
| 10 |
На странице Настройка шаблона настройте приведенные ниже параметры сети.
При необходимости можно пропустить конфигурацию сетевых настроек и выполнить действия, описанные в разделе Настройка виртуальной машины безопасности данных гибридного типа , чтобы настроить параметры с помощью консоли узла. Параметр настройки сети во время развертывания OVA протестирован с помощью ESXi 7.0. Этот параметр может быть недоступен в более ранних версиях. |
| 11 |
Щелкните правой кнопкой мыши узел виртуальной машины и выберите . Программное обеспечение безопасности данных гибридного типа устанавливается в качестве гостя на узле виртуальной машины. Теперь вы готовы войти в консоль и настроить узел. Рекомендации по устранению неисправностей Контейнеры узла могут появиться через несколько минут. Во время первой загрузки на консоли отображается сообщение брандмауэра моста, в течение которого невозможно войти в систему. |
Настройка виртуальной машины безопасности данных гибридного типа
Используйте эту процедуру для первого входа в консоль виртуальной машины узла безопасности данных гибридного типа и установки учетных данных для входа. Можно также использовать консоль для настройки сетевых параметров узла, если они не были настроены во время развертывания файла OVA.
| 1 |
В клиенте VMware vSphere выберите виртуальную машину узла безопасности данных гибридного типа и откройте вкладку Консоль . Будет загружена виртуальная машина, и отобразится запрос на вход. Если запрос на вход не отображается, нажмите клавишу ввода.
|
| 2 |
Для входа и изменения учетных данных используйте следующие параметры входа и пароля по умолчанию: Поскольку вы впервые входите в свою виртуальную машину, вам необходимо изменить пароль администратора. |
| 3 |
Если параметры сети уже настроены в разделе Установка OVA узла HDS, пропустите остальную процедуру. В противном случае в главном меню выберите параметр Редактировать конфигурацию . |
| 4 |
Настройте статическую конфигурацию с использованием IP-адреса, маски, шлюза и информации DNS. Узел должен иметь внутренний IP-адрес и имя DNS. DHCP не поддерживается. |
| 5 |
(Необязательно) Измените имя хоста, домен или NTP-серверы, если это необходимо для соответствия вашей сетевой политике. Настройка домена в соответствии с доменом, который вы использовали для получения сертификата X.509, не требуется. |
| 6 |
Сохраните конфигурацию сети и перезагрузите виртуальную машину, чтобы изменения вступили в силу. |
Загрузка и установка ISO конфигурации HDS
Перед началом работы
Поскольку в файле ISO содержится главный ключ, он должен быть раскрыт только по принципу «необходимо знать» для доступа виртуальных машин безопасности данных гибридного типа и всех администраторов, которым может потребоваться внести изменения. Убедитесь, что доступ к хранилищу данных могут получить только эти администраторы.
| 1 |
Загрузите файл ISO со своего компьютера. |
| 2 |
Установите файл ISO: |
Дальнейшие действия
Если политика ИТ требует, после внесения изменений конфигурации на всех узлах можно отсоединить файл ISO. Подробные сведения см. в статье (необязательно) Отключение ISO после настройки HDS .
Настройка узла HDS для интеграции прокси
Если в сетевой среде необходимо использовать прокси, воспользуйтесь этой процедурой, чтобы указать тип прокси, который нужно интегрировать со службой безопасности данных гибридного типа. При выборе прозрачного прокси с проверкой или явного прокси HTTPS можно использовать интерфейс узла для загрузки и установки корневого сертификата. Кроме того, в интерфейсе можно проверять соединение с прокси и устранять неполадки.
Перед началом работы
-
Общие сведения о поддерживаемых параметрах прокси см. в разделе Поддержка прокси .
| 1 |
Введите в веб-браузере URL-адрес для настройки узла HDS |
| 2 |
Откройте раздел Trust Store & Proxy (Зона доверия и прокси) и выберите один из следующих параметров.
В случае использования прозрачного прокси с проверкой, явного прокси HTTP с базовой аутентификацией или явного прокси HTTPS выполните указанные далее шаги. |
| 3 |
Щелкните Upload a Root Certificate or End Entity Certificate (Загрузить корневой сертификат или сертификат конечного субъекта) и откройте меню для выбора корневого сертификата для прокси. Сертификат будет загружен, но не установлен, поскольку для установки сертификата необходимо перезагрузить узел. Чтобы получить дополнительные сведения, щелкните стрелку-шеврон, расположенную рядом с именем издателя сертификата. Если вы допустили ошибку и хотите вновь загрузить файл, щелкните Delete (Удалить). |
| 4 |
Чтобы протестировать сетевое соединение между узлом и прокси, щелкните Check Proxy Connection (Проверить соединение с прокси). Если тестирование соединения завершится неудачей, на экране появится сообщение об ошибке, в котором будут указаны причина и способ исправления ошибки. Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу. Такая проблема может возникнуть во многих конфигурациях явного прокси. Можно продолжить настройку, и узел будет работать в режиме блокировки разрешения внешних DNS. Если вы считаете, что это ошибка, выполните эти действия, а затем см. статью Выключение режима блокировки разрешения внешних DNS. |
| 5 |
Если вы используете явный прокси, настроенный на применение исключительно https, после успешного завершения тестирования соединения включите параметр Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси (Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси). Для вступления в силу этого параметра необходимо 15 секунд. |
| 6 |
Щелкните Install All Certificates Into the Trust Store (Установить все сертификаты в зоне доверия) – этот параметр отображается при использовании явного прокси HTTPS или прозрачного прокси с проверкой – или Reboot (Перезагрузить) – этот параметр отображается при использовании явного прокси HTTP. Прочитайте запрос и щелкните Install (Установить), если вы готовы к установке. Узел перезагрузится в течение нескольких минут. |
| 7 |
После перезагрузки узла повторно войдите в систему, если это необходимо, и откройте страницу Обзор, чтобы выполнить проверки соединений. Состояние всех проверок должно быть обозначено зеленым цветом. Проверка соединения с прокси используется исключительно для тестирования поддомена webex.com. Проблемы с соединениями нередко возникают из-за того, что некоторые облачные домены, указанные в инструкциях по установке, блокируются на уровне прокси. |
Регистрация первого узла в кластере
При регистрации первого узла создается кластер, которому он назначен. Кластер содержит один или несколько узлов, развернутых для резервирования.
Перед началом работы
-
После начала регистрации узла ее необходимо завершить в течение 60 минут или начать заново.
-
Убедитесь, что все блокировки всплывающих окон в браузере отключены или вы разрешаете исключение для admin.webex.com.
| 1 |
Войдите в https://admin.webex.com. |
| 2 |
В меню в левой части экрана выберите Службы. |
| 3 |
В разделе облачных служб найдите карточку безопасности данных гибридного типа и щелкните Настройка. |
| 4 |
На открывшейся странице щелкните Добавить ресурс. |
| 5 |
В первом поле карточки Добавить узел введите имя кластера, которому необходимо назначить узел безопасности данных гибридного типа. Рекомендуется назвать кластер в зависимости от географического расположения узлов кластера. Примеры: "Сан-Франциско", "Нью-Йорк" или "Даллас" |
| 6 |
Во втором поле введите внутренний IP-адрес или полное доменное имя узла и щелкните Добавить в нижней части экрана. Этот IP-адрес или полное доменное имя должны совпадать с IP-адресом или именем хоста и доменом, которые вы использовали в разделе Настройка виртуальной машины безопасности данных гибридного типа. Отобразится сообщение о том, что можно зарегистрировать узел в Webex.
|
| 7 |
Щелкните Перейти к узлу. Через несколько секунд вы будете перенаправлены на тестирование подключения узла для служб Webex. Если все тесты будут успешными, отобразится страница "Разрешить доступ к узлу безопасности данных гибридного типа". Здесь вы подтверждаете, что хотите предоставить вашей организации Webex полномочия на доступ к узлу. |
| 8 |
Установите флажок в поле Разрешить доступ к узлу безопасности данных гибридного типа и щелкните Продолжить. Учетная запись подтверждена. В сообщении "Регистрация завершена" указано, что узел зарегистрирован в облаке Webex.
|
| 9 |
Щелкните ссылку или закройте вкладку, чтобы вернуться на страницу безопасности данных гибридного типа партнерского центра. На странице Безопасность данных гибридного типа новый кластер, содержащий зарегистрированный узел, отображается на вкладке Ресурсы . Узел будет автоматически скачан новейшее программное обеспечение из облака.
|
Создать и зарегистрировать другие узлы
Перед началом работы
-
После начала регистрации узла ее необходимо завершить в течение 60 минут или начать заново.
-
Убедитесь, что все блокировки всплывающих окон в браузере отключены или вы разрешаете исключение для admin.webex.com.
| 1 |
Создайте новую виртуальную машину из файла OVA, повторяя шаги, описанные в разделе Установка файла OVA узла HDS. |
| 2 |
Настройте начальную конфигурацию новой виртуальной машины, повторяя шаги, описанные в разделе Настройка виртуальной машины безопасности данных гибридного типа. |
| 3 |
В новой виртуальной машине повторите шаги, описанные в разделе Загрузка и установка ISO конфигурации HDS. |
| 4 |
При настройке прокси для развертывания повторите шаги, описанные в разделе Настройка узла HDS для интеграции прокси для нового узла. |
| 5 |
Зарегистрируйте узел. |
Управление организациями клиентов в службе безопасности данных гибридного типа с поддержкой нескольких клиентов
Активация HDS с несколькими клиентами в центре партнера
Эта задача позволит всем пользователям клиентских организаций начать использование HDS для локальных ключей шифрования и других служб безопасности.
Перед началом работы
Убедитесь, что настройка кластера HDS с несколькими клиентами завершена с требуемым количеством узлов.
| 1 |
Войдите в https://admin.webex.com. |
| 2 |
В меню в левой части экрана выберите Службы. |
| 3 |
В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Редактировать настройки. |
| 4 |
Щелкните Активировать HDS на карточке Состояние HDS . |
Добавить организации клиентов в Partner Hub
В этой задаче вы назначаете клиентские организации кластеру безопасности данных гибридного типа.
| 1 |
Войдите в https://admin.webex.com. |
| 2 |
В меню в левой части экрана выберите Службы. |
| 3 |
В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Просмотреть все. |
| 4 |
Щелкните кластер, которому необходимо назначить клиента. |
| 5 |
Перейдите на вкладку Назначенные клиенты . |
| 6 |
Щелкните Добавить клиентов. |
| 7 |
В раскрывающемся меню выберите клиента, которого необходимо добавить. |
| 8 |
Щелкните Добавить, и клиент будет добавлен в кластер. |
| 9 |
Чтобы добавить в кластер несколько клиентов, повторите шаги 6–8. |
| 10 |
После добавления клиентов щелкните Готово в нижней части экрана. |
Дальнейшие действия
Создание главных ключей клиентов (CMK) с помощью инструмента настройки HDS
Перед началом работы
Назначьте клиентов в соответствующий кластер, как описано в разделе Добавление клиентских организаций в Partner Hub. Запустите инструмент настройки HDS, чтобы завершить процесс настройки вновь добавленных клиентских организаций.
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора для вашей организации.
Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТHTTPS-прокси без аутентификации
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТHTTP-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТHTTPS-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ -
Созданный файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. При внесении изменений в конфигурацию вам потребуется последняя копия этого файла. Например:
-
Учетные данные базы данных
-
Обновления сертификата
-
Изменения политики авторизации
-
-
При планировании шифрования соединений с базой данных настройте развертывание PostgreSQL или SQL Server для TLS.
Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.
| 1 |
Введите соответствующую команду для вашей среды в командной строке компьютера. В обычных средах: В средах FedRAMP: На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать. |
| 2 |
Чтобы войти в реестр образов Docker, введите следующее. |
| 3 |
Введите в запросе пароля этот хеш: |
| 4 |
Скачайте последнюю стабильную версию образа для вашей среды. В обычных средах: В средах FedRAMP: |
| 5 |
По завершении скачивания введите соответствующую команду для вашей среды.
Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080". |
| 6 |
Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу. Перейдите к локальному узлу Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартную подсказку для входа в систему. |
| 7 |
При отображении соответствующего запроса введите учетные данные для входа администратора Partner Hub и щелкните Войти , чтобы разрешить доступ к необходимым службам для службы безопасности данных гибридного типа. |
| 8 |
На странице обзора инструмента настройки щелкните Начало работы. |
| 9 |
На странице Импорт ISO щелкните Да. |
| 10 |
Выберите файл ISO в браузере и загрузите его. Для выполнения управления CMK убедитесь в подключении к базе данных. |
| 11 |
Перейдите на вкладку Управление CMK клиента , где можно найти три способа управления CMK клиента.
|
| 12 |
После успешного создания CMK состояние в таблице изменится с Управление CMK рассматривается на Управление CMK. |
| 13 |
В случае неудачного создания CMK отображается ошибка. |
Удалить организации клиентов
Перед началом работы
После удаления пользователи клиентских организаций не смогут использовать HDS в целях шифрования, а все существующие пространства будут утрачены. Прежде чем удалить клиентские организации, обратитесь к своему партнеру Cisco или менеджеру по работе с клиентами.
| 1 |
Войдите в https://admin.webex.com. |
| 2 |
В меню в левой части экрана выберите Службы. |
| 3 |
В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Просмотреть все. |
| 4 |
На вкладке Ресурсы щелкните кластер, из которого необходимо удалить клиентские организации. |
| 5 |
На открывшейся странице щелкните Назначенные клиенты. |
| 6 |
В списке отображаемых клиентских организаций щелкните ... в правой части клиентской организации, которую необходимо удалить, и щелкните Удалить из кластера. |
Дальнейшие действия
Завершите процесс удаления, отозвав CMK клиентских организаций, как описано в статье Отозвать CMK клиентов, удаленных из HDS.
Отозвать CMK клиентов, удаленные из HDS.
Перед началом работы
Удалите клиентов из соответствующего кластера, как описано в разделе Удаление клиентских организаций. Запустите инструмент настройки HDS, чтобы завершить процесс удаления удаленных клиентских организаций.
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора для вашей организации.
Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТHTTPS-прокси без аутентификации
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТHTTP-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТHTTPS-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ -
Созданный файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. При внесении изменений в конфигурацию вам потребуется последняя копия этого файла. Например:
-
Учетные данные базы данных
-
Обновления сертификата
-
Изменения политики авторизации
-
-
При планировании шифрования соединений с базой данных настройте развертывание PostgreSQL или SQL Server для TLS.
Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.
| 1 |
Введите соответствующую команду для вашей среды в командной строке компьютера. В обычных средах: В средах FedRAMP: На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать. |
| 2 |
Чтобы войти в реестр образов Docker, введите следующее. |
| 3 |
Введите в запросе пароля этот хеш: |
| 4 |
Скачайте последнюю стабильную версию образа для вашей среды. В обычных средах: В средах FedRAMP: |
| 5 |
По завершении скачивания введите соответствующую команду для вашей среды.
Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080". |
| 6 |
Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу. Перейдите к локальному узлу Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартную подсказку для входа в систему. |
| 7 |
При отображении соответствующего запроса введите учетные данные для входа администратора Partner Hub и щелкните Войти , чтобы разрешить доступ к необходимым службам для службы безопасности данных гибридного типа. |
| 8 |
На странице обзора инструмента настройки щелкните Начало работы. |
| 9 |
На странице Импорт ISO щелкните Да. |
| 10 |
Выберите файл ISO в браузере и загрузите его. |
| 11 |
Перейдите на вкладку Управление CMK клиента , где можно найти три способа управления CMK клиента.
|
| 12 |
После успешного отзыва CMK клиентская организация больше не будет отображаться в таблице. |
| 13 |
Если отзыв CMK не выполнен, отображается ошибка. |
Тестирование развертывания службы безопасности данных гибридного типа
Тестирование развертывания службы безопасности данных гибридного типа
Перед началом работы
-
Настройте развертывание службы безопасности данных гибридного типа с несколькими клиентами.
-
Убедитесь, что у вас есть доступ к системному журналу, чтобы проверить, передаются ли запросы ключей в развертывание системы безопасности данных гибридного типа с несколькими клиентами.
| 1 |
Ключи для определенного пространства задаются создателем пространства. Войдите в приложение Webex в качестве одного из пользователей клиентской организации и создайте пространство. Если деактивировать развертывание безопасности данных гибридного типа, контент в пространствах, созданных пользователями, больше не будет доступен после замены кэшированных клиентом копий ключей шифрования. |
| 2 |
Отправить сообщения в новое пространство. |
| 3 |
Проверьте вывод системного журнала, чтобы убедиться, что запросы ключей передаются в развертывание службы безопасности данных гибридного типа. |
Мониторинг работоспособности службы безопасности данных гибридного типа
| 1 |
В Partner Hub в меню в левой части экрана выберите Службы . |
| 2 |
В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Редактировать настройки. Отобразится страница "Настройки безопасности данных гибридного типа".
|
| 3 |
В разделе "Электронные уведомления" введите один или несколько адресов электронной почты, разделяя их запятыми, и нажмите клавишу ввода. |
Управление развертыванием HDS
Управление развертыванием HDS
Для управления развертыванием службы безопасности данных гибридного типа используйте описанные здесь задачи.
Настройка графика модернизации кластера
Чтобы настроить график модернизации, выполните указанные ниже действия.
| 1 |
Войдите в Partner Hub. |
| 2 |
В меню в левой части экрана выберите Службы. |
| 3 |
В разделе "Облачные службы" найдите раздел "Безопасность данных гибридного типа" и щелкните Настройка. |
| 4 |
На странице "Ресурсы безопасности данных гибридного типа" выберите кластер. |
| 5 |
Щелкните вкладку Настройки кластера . |
| 6 |
На странице настроек кластера в разделе "График модернизации" выберите время и часовой пояс для графика модернизации. Примечание. В часовом поясе отображаются следующие доступные дата и время модернизации. При необходимости можно отложить модернизацию на следующий день, щелкнув Отложить на 24 часа. |
Изменение конфигурации узла
-
Изменение сертификатов x.509 по истечении срока действия или по другим причинам.
Изменение доменного имени CN сертификата не поддерживается. Домен должен совпадать с исходным доменом, использованным для регистрации кластера.
-
Обновление настроек базы данных для работы с копией базы данных PostgreSQL или Microsoft SQL Server.
Перенос данных с PostgreSQL на Microsoft SQL Server или в обратном направлении не поддерживается. Чтобы переключить среду базы данных, начните новое развертывание службы безопасности данных гибридного типа.
-
Создание новой конфигурации для подготовки нового центра обработки данных.
Из соображений безопасности для учетных записей в службе безопасности данных гибридного типа используются пароли со сроком действия 9 месяцев. После того как инструмент настройки HDS создаст эти пароли, вам нужно будет развернуть их в каждом из своих узлов HDS в файле конфигурации ISO. При приближении даты окончания срока действия пароля команда Webex пришлет вам уведомление с запросом на сброс пароля учетной записи компьютера. (В сообщении электронной почты будет текст "Использование API учетной записи компьютера для обновления пароля".) Если срок действия паролей еще не истек, средство предоставляет два варианта.
-
Мягкий сброс. Старые и новые пароли работают в течение 10 дней. Используйте этот период для постепенной замены файла ISO на узлах.
-
Принудительный сброс: старые пароли перестают работать немедленно.
Если срок действия ваших паролей истекает без сброса, это влияет на работу вашей службы HDS. В этом случае требуется немедленный жесткий сброс и замена файла ISO на всех узлах.
Используйте эту процедуру, чтобы создать новый файл конфигурации ISO и применить его к кластеру.
Прежде чем начать
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора партнера.
Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker в 1.e. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТHTTPS-прокси без аутентификации
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТHTTP-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТHTTPS-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ -
Для создания новой конфигурации потребуется копия текущего файла конфигурации ISO. Файл ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. Файл ISO необходим для изменения конфигурации, в том числе учетных данных базы данных, обновления сертификатов или изменения политики авторизации.
| 1 |
Запустите инструмент настройки HDS, используя Docker на локальной машине. |
| 2 |
Если у вас запущен только один узел HDS, создайте новую виртуальную машину узла безопасности данных гибридного типа и зарегистрируйте ее с помощью нового файла конфигурации ISO. Более подробные инструкции см. в статье Создание и регистрация дополнительных узлов. |
| 3 |
Для существующих узлов HDS, в которых используется старый файл конфигурации, необходимо установить файл ISO. Выполните следующую процедуру для каждого узла по очереди, обновив каждый узел до выключения следующего узла. |
| 4 |
Повторите шаг 3, чтобы заменить конфигурацию на каждом оставшемся узле со старой конфигурацией. |
Отключение режима блокировки разрешения внешних DNS
При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. Если DNS-сервер узла не может разрешать общедоступные имена DNS, узел автоматически переходит в режим блокировки разрешения внешних DNS.
Если узлы могут разрешать общедоступные имена DNS через внутренние DNS-серверы, можно отключить этот режим, повторно запустив тестирование подключения к прокси на каждом узле.
Перед началом работы
| 1 |
В веб-браузере откройте интерфейс узла безопасности данных гибридного типа (например, IP-адрес или настройка) https://192.0.2.0/setup), введите учетные данные администратора, настроенные для узла, и щелкните Войти. |
| 2 |
Перейдите к разделу Overview (Обзор) (страница по умолчанию). Если режим включен, параметр Blocked External DNS Resolution (Блокировка разрешения внешних DNS) должен иметь значение Yes (Да). |
| 3 |
Перейдите на страницу Trust Store & Proxy (Зона доверия и прокси). |
| 4 |
Щелкните Check Proxy Connection (Проверить соединение с прокси). Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу и он останется в этом режиме. В противном случае после перезапуска узла и возврата на страницу Overview (Обзор) параметр блокировки разрешения внешних DNS должен иметь значение No (Нет). |
Дальнейшие действия
Удаление узла
| 1 |
С помощью клиента VMware vSphere на компьютере можно войти в виртуальный хост ESXi и выключить виртуальную машину. |
| 2 |
Удалить узел: |
| 3 |
В клиенте vSphere удалите виртуальную машину. (На панели навигации слева щелкните виртуальную машину правой кнопкой мыши и щелкните Удалить.) Если виртуальная машина не удалена, не забудьте отсоединить файл конфигурации ISO. Без файла ISO вы не сможете использовать виртуальную машину для доступа к данным безопасности. |
Аварийное восстановление с помощью центра обработки данных в режиме ожидания
Наиболее важной службой, предоставляемой кластером безопасности данных гибридного типа, является создание и хранение ключей, используемых для шифрования сообщений и другого контента, хранящегося в облаке Webex. Для каждого пользователя в организации, назначенного службе безопасности данных гибридного типа, запросы на создание нового ключа маршрутизируются в кластер. Кластер также отвечает за возврат созданных им ключей всем пользователям, авторизованным для их извлечения, например участникам пространства для разговора.
Поскольку кластер выполняет критически важную функцию предоставления этих ключей, необходимо, чтобы кластер продолжал работать и чтобы поддерживались соответствующие резервные копии. Потеря базы данных безопасности данных гибридного типа или конфигурации ISO, используемой для схемы, приведет к НЕОБРАТИМОЙ ПОТЕРЕ контента клиента. Для предотвращения таких потерь необходимо выполнить следующие действия:
Если из-за аварии развертывание HDS в основном центре обработки данных становится недоступным, выполните эту процедуру, чтобы вручную переключиться на резервный центр обработки данных.
Перед началом работы
| 1 |
Запустите инструмент настройки HDS и выполните действия, указанные в разделе Создание ISO конфигурации для узлов HDS. |
| 2 |
Завершите процесс настройки и сохраните файл ISO в удобном для поиска месте. |
| 3 |
Сделайте резервную копию файла ISO в локальной системе. Обеспечьте безопасность резервного копирования. Этот файл содержит главный ключ шифрования для содержимого базы данных. Ограничьте доступ только тем администраторам службы безопасности данных гибридного типа, которые должны вносить изменения в конфигурацию. |
| 4 |
На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры. |
| 5 |
Щелкните Редактировать настройки >Диск CD/DVD 1 и выберите Файл хранилища данных ISO. Убедитесь, что установлены флажки Подключено и Подключиться при включении , чтобы обновленные изменения конфигурации вступили в силу после запуска узлов. |
| 6 |
Включите узел HDS и убедитесь, что сигналы отсутствуют в течение не менее 15 минут. |
| 7 |
Зарегистрируйте узел в партнерском центре. См. статью Регистрация первого узла в кластере. |
| 8 |
Повторите процесс для каждого узла в центре обработки данных в режиме ожидания. |
Дальнейшие действия
(Необязательно) Отсоедините ISO после настройки HDS
Стандартная конфигурация HDS выполняется с установленным ISO. Однако некоторые клиенты предпочитают не оставлять файлы ISO постоянно монтированными. После того как все узлы HDS примут новую конфигурацию, можно отсоединить файл ISO.
Для изменения конфигурации по-прежнему используются файлы ISO. При создании нового ISO или обновлении ISO с помощью инструмента настройки необходимо установить обновленный ISO на всех узлах HDS. С помощью этой процедуры можно снова отключить ISO, после того как все узлы примут изменения конфигурации.
Перед началом работы
Модернизируйте все свои узлы HDS до версии 2021.01.22.4720 или более поздней.
| 1 |
Закройте один из своих узлов HDS. |
| 2 |
В vCenter Server Appliance выберите узел HDS. |
| 3 |
Выберите и снимите флажок Файл хранилища данных ISO. |
| 4 |
Включите узел HDS и убедитесь, что сигналы отсутствуют в течение не менее 20 минут. |
| 5 |
Повторите эту процедуру для каждого узла HDS по очереди. |
Устранение неполадок службы безопасности данных гибридного типа
Просмотр предупреждений и устранение неполадок
Развертывание службы безопасности данных гибридного типа считается недоступным, если все узлы в кластере недоступны или кластер работает настолько медленно, что истекло время ожидания. Если пользователи не могут подключиться к кластеру безопасности данных гибридного типа, у них будут следующие симптомы:
-
Не удается создать новые пространства (не удается создать новые ключи)
-
Не удалось расшифровать сообщения и заголовки пространств для:
-
Новые пользователи, добавленные в пространство (невозможно получить ключи)
-
Существующие пользователи в пространстве, использующие новый клиент (не удается получить ключи)
-
-
Существующие пользователи в пространстве будут продолжать успешно работать, пока в их клиентах будет сохранен кэш ключей шифрования
Важно надлежащим образом отслеживать кластер безопасности данных гибридного типа и своевременно реагировать на все предупреждения во избежание перебоев в работе службы.
Предупреждения
При возникновении проблем с настройкой безопасности данных гибридного типа партнерский центр отображает предупреждения администратору организации и отправляет электронные сообщения на настроенный адрес электронной почты. Предупреждения охватывают многие распространенные сценарии.
|
Предупреждать |
Действие |
|---|---|
|
Ошибка доступа к локальной базе данных. |
Проверьте наличие ошибок базы данных или проблем локальной сети. |
|
Сбой подключения к локальной базе данных. |
Убедитесь в доступности сервера базы данных и использовании правильных учетных данных учетной записи службы в конфигурации узла. |
|
Сбой доступа к облачной службе. |
Убедитесь, что узлы могут получить доступ к серверам Webex, как указано в разделе Требования к внешнему подключению. |
|
Обновление регистрации облачной службы. |
Регистрация в облачных службах прервана. Выполняется возобновление регистрации. |
|
Регистрация для облачной службы прервана. |
Регистрация в облачных службах прервана. Служба выключена. |
|
Служба еще не активирована. |
Активируйте HDS в партнерском центре. |
|
Настроенный домен не соответствует сертификату сервера. |
Убедитесь, что сертификат сервера соответствует настроенному домену активации службы. Наиболее вероятная причина заключается в том, что CN сертификата недавно был изменен и теперь отличается от CN, использованного во время начальной настройки. |
|
Не удалось выполнить аутентификацию в облачных службах. |
Проверьте точность и возможный срок действия учетных данных службы. |
|
Не удалось открыть файл локального хранилища ключей. |
Проверка целостности и точности пароля в файле локального хранилища ключей. |
|
Недействительный сертификат локального сервера. |
Проверьте дату истечения срока действия сертификата сервера и убедитесь, что он был выдан доверенным центром сертификации. |
|
Не удается опубликовать метрики. |
Проверьте доступ локальной сети к внешним облачным службам. |
|
Каталог /media/configdrive/hds не существует. |
Проверьте конфигурацию подключения ISO на виртуальном хосте. Проверьте, существует ли файл ISO, настроен ли он для подключения при перезагрузке и успешно ли установлен. |
|
Настройка организации клиента не завершена для добавленных организаций |
Завершите настройку, создав CMK для вновь добавленных клиентских организаций с помощью инструмента настройки HDS. |
|
Настройка организации клиента не завершена для удаленных организаций |
Завершите настройку, отозвав CMK клиентских организаций, которые были удалены с помощью инструмента настройки HDS. |
Устранение неполадок службы безопасности данных гибридного типа
| 1 |
Просмотрите в Partner Hub все предупреждения и исправьте все элементы, найденные в нем. Для справки см. изображение ниже. |
| 2 |
Проверьте вывод сервера системных журналов для активности из развертывания службы безопасности данных гибридного типа. Используйте фильтр для таких слов, как "Предупреждение" и "Ошибка", чтобы помочь в устранении неполадок. |
| 3 |
Обратитесь в службу поддержки Cisco. |
Другие примечания
Известные проблемы безопасности данных гибридного типа
-
Если вы выключите кластер безопасности данных гибридного типа (удалив его в партнерском центре или выключив все узлы), потеряете файл конфигурации ISO или потеряете доступ к базе данных хранилища ключей, пользователи приложения Webex клиентских организаций больше не смогут использовать пространства в списке пользователей, созданных с помощью ключей из KMS. В настоящий момент для устранения этой проблемы нет обходного решения или решения. Мы настоятельно призываем вас не выключать службы HDS после обработки активных учетных записей пользователей.
-
Клиент с существующим подключением ECDH к KMS поддерживает это соединение в течение периода времени (вероятно, один час).
Использование OpenSSL для создания файла PKCS12
Перед началом работы
-
OpenSSL — это один из инструментов, который можно использовать для создания файла PKCS12 в соответствующем формате для загрузки в инструменте настройки HDS. Есть и другие способы сделать это, и мы не поддерживаем и не продвигаем друг друга.
-
Если вы решите использовать OpenSSL, мы предоставляем эту процедуру в качестве руководства для создания файла, который соответствует требованиям сертификата X.509 в разделе Требования к сертификату X.509. Прежде чем продолжить, ознакомьтесь с этими требованиями.
-
Установите OpenSSL в поддерживаемой среде. Информацию о программном обеспечении и документации см. в разделе https://www.openssl.org .
-
Создайте закрытый ключ.
-
Начните эту процедуру при получении сертификата сервера от центра сертификации (ЦС).
| 1 |
При получении сертификата сервера от ЦС сохраните его как |
| 2 |
Отобразите сертификат в виде текста и проверьте сведения.
|
| 3 |
Используйте текстовый редактор для создания файла пакета сертификатов под названием
|
| 4 |
Создайте файл .p12 с подходящим именем
|
| 5 |
Проверьте сведения о сертификате сервера. |
Дальнейшие действия
Вернитесь к разделу Выполнение предварительных требований для безопасности данных гибридного типа. Файл hdsnode.p12 и заданный для него пароль будут использоваться в разделе Создание конфигурации ISO для узлов HDS.
Эти файлы можно повторно использовать для запроса нового сертификата по истечении срока действия исходного сертификата.
Трафик между узлами HDS и облаком
Трафик сбора исходящих метрик
Узлы безопасности данных гибридного типа отправляют определенные метрики в облако Webex. К ним относятся системные метрики максимального количества подключений, использования максимального количества подключений, загрузки ЦП и количества потоков; метрики синхронных и асинхронных потоков; метрики оповещений о пороговом значении соединений шифрования, задержки или длины очереди запросов; метрики хранилища данных; и метрики подключения шифрования. Узлы отправляют зашифрованный ключ-материал по внеполосному каналу (отдельному от запроса).
Входящий трафик
Узлы безопасности данных гибридного типа получают из облака Webex следующие типы входящего трафика:
-
Запросы на шифрование от клиентов, которые маршрутизируются службой шифрования
-
Модернизация программного обеспечения узла
Настройка прокси Squid для безопасности данных гибридного типа
Невозможно выполнить подключение веб-сокетов через прокси Squid
Прокси Squid, которые проверяют трафик HTTPS, могут мешать созданию соединений веб-сокетов (wss:), которые необходимы службе безопасности данных гибридного типа. В указанных далее разделах приведены рекомендации по настройке различных версий Squid с целью игнорирования трафика wss: для обеспечения надлежащей работы служб.
Squid 4 и 5
Добавьте on_unsupported_protocol директиву в squid.conf:
on_unsupported_protocol туннель всеSquid 3.5.27
Служба безопасности данных гибридного типа успешно протестирована с указанными далее правилами, добавленными в squid.conf. Эти правила могут изменяться по мере разработки функций и обновления облака Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump соединение wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump просмотр step1 все ssl_bump просмотр step2 все ssl_bump bump3 всеНовая и измененная информация
Новая и измененная информация
В этой таблице описаны новые функции или функциональные возможности, изменения существующего контента, а также любые серьезные ошибки, исправленные в руководстве по развертыванию службы безопасности данных гибридного типа с несколькими клиентами.
|
Дата |
Внесены изменения |
|---|---|
|
15 января 2025 г. |
Добавлены ограничения безопасности данных гибридного типа с несколькими клиентами. |
|
8 января 2025 г. |
Добавлено примечание в разделе Выполнение начальной настройки и скачивание файлов установки , в котором указано, что нажатие кнопки Настройка на карточке HDS в Partner Hub является важным этапом процесса установки. |
|
7 января 2025 г. |
Обновлены Требования к виртуальному узлу, Алгоритм выполнения задач по развертыванию службы безопасности данных гибридного типа и Установка OVA узла HDS для отображения новых требований ESXi 7.0. |
|
13 декабря 2024 г. |
Впервые опубликовано. |
Деактивация службы безопасности данных гибридного типа с несколькими клиентами
Алгоритм выполнения задач по деактивации HDS с несколькими клиентами
Чтобы полностью деактивировать HDS с несколькими клиентами, выполните приведенные ниже действия.
Перед началом работы
| 1 |
Удалите всех клиентов из всех кластеров, как указано в разделе Удаление клиентских организаций. |
| 2 |
Отозвать CMK всех клиентов, как указано в статье Отозвать CMK клиентов, удаленных из HDS. |
| 3 |
Удалите все узлы из всех кластеров, как описано в разделе Удаление узла. |
| 4 |
Удалите все кластеры из Partner Hub одним из следующих двух способов.
|
| 5 |
Щелкните вкладку Настройки на странице обзора безопасности данных гибридного типа и щелкните Деактивировать HDS на карточке состояния HDS. |
Начало работы с системой безопасности данных гибридного типа с поддержкой нескольких клиентов
Общие сведения о безопасности данных гибридного типа для нескольких клиентов
С самого начала безопасность данных была главной задачей при разработке приложения Webex. В основе этой безопасности лежит сквозное шифрование контента, которое включается клиентами приложения Webex, взаимодействующими со службой управления ключами (KMS). KMS отвечает за создание и управление криптографическими ключами, которые используются клиентами для динамического шифрования и расшифровки сообщений и файлов.
По умолчанию для всех клиентов приложения Webex обеспечивается сквозное шифрование с использованием динамических ключей, которые хранятся в облаке KMS в области безопасности Cisco. Служба безопасности данных гибридного типа перемещает KMS и другие функции безопасности в корпоративный центр обработки данных, поэтому доступ к ключам для зашифрованного контента будет только у вас.
Служба безопасности данных гибридного типа с поддержкой нескольких клиентов позволяет организациям использовать HDS через доверенного локального партнера, который может выполнять функции поставщика услуг и управлять локальным шифрованием и другими службами безопасности. Эта настройка позволяет партнерской организации осуществлять полный контроль над развертыванием ключей шифрования и управлением ими, а также обеспечивает безопасность данных пользователей клиентских организаций от внешнего доступа. Партнерские организации настраивают экземпляры HDS и при необходимости создают кластеры HDS. Каждый экземпляр может поддерживать несколько клиентских организаций, в отличие от обычного развертывания HDS, которое ограничено одной организацией.
Это также позволяет небольшим организациям использовать HDS, поскольку служба управления ключами и инфраструктура безопасности, например центры обработки данных, принадлежат доверенному локальному партнеру.
Как служба безопасности данных гибридного типа с несколькими клиентами обеспечивает суверенитет и управление данными
- Созданный пользователем контент защищен от внешнего доступа, например от поставщиков облачных услуг.
- Локальные доверенные партнеры управляют ключами шифрования клиентов, с которыми они уже установили взаимоотношения.
- Параметр для локальной технической поддержки, если она предоставлена партнером.
- Поддержка контента совещаний, обмена сообщениями и вызовов.
Этот документ предназначен для помощи партнерским организациям в настройке клиентов и управлении ими в системе безопасности данных гибридного типа с несколькими клиентами.
Ограничения службы безопасности данных гибридного типа с несколькими клиентами
- Партнерские организации не должны иметь существующее развертывание HDS, активное в Control Hub.
- Клиентские или клиентские организации, которым необходимо управлять партнером, не должны иметь существующее развертывание HDS в Control Hub.
- После развертывания партнером HDS с несколькими клиентами все пользователи клиентских организаций, а также пользователи партнерской организации начинают использовать HDS с несколькими клиентами для своих служб шифрования.
Партнерская организация и клиентские организации, которыми они управляют, будут развертываться в одном развертывании HDS с несколькими клиентами.
После развертывания HDS с несколькими клиентами партнерская организация больше не будет использовать облачную службу KMS.
- Механизм для перемещения ключей обратно в облачную службу KMS после развертывания HDS отсутствует.
- В настоящее время каждое развертывание HDS с несколькими клиентами может иметь только один кластер с несколькими узлами под ним.
- Роли администраторов имеют определенные ограничения. Подробности см. в разделе ниже.
Роли в службе безопасности данных гибридного типа с несколькими клиентами
- Администратор партнера с полными правами : может управлять настройками для всех клиентов, которыми управляет партнер. Также может назначать роли администратора существующим пользователям в организации и назначать определенных клиентов, которыми будут управлять администраторы партнера.
- Администратор партнера . Может управлять настройками клиентов, подготовленных администратором или назначенных пользователю.
- Администратор с полными правами . Администратор партнерской организации, уполномоченный выполнять такие задачи, как изменение настроек организации, управление лицензиями и назначение ролей.
- Сквозная настройка HDS с несколькими клиентами и управление ими всех клиентских организаций . Требуются права администратора партнера с полными правами и администратора с полными правами.
- Управление назначенными организациями клиента : требуются права администратора партнера и полного администратора.
Архитектура области безопасности
Облачная архитектура Webex разбивает различные типы служб на отдельные области или домены доверия, как показано ниже.
Чтобы получить дополнительные сведения о безопасности данных гибридного типа, давайте сначала рассмотрим этот облачный случай, в котором компания Cisco предоставляет все функции в облачных областях. Служба удостоверений – единственное место, где пользователи могут напрямую соотнести с их персональной информацией, такой как адрес электронной почты, логически и физически отделена от области безопасности в центре обработки данных B. Обе службы в свою очередь отделены от области, в которой в конечном итоге хранится зашифрованный контент, в центре обработки данных C.
На этой схеме клиент представляет собой приложение Webex, запущенное на ноутбуке пользователя и прошедшее аутентификацию с помощью службы удостоверений. При написании пользователем сообщения для отправки в пространство выполняются следующие действия.
-
Клиент устанавливает безопасное соединение со службой управления ключами (KMS), затем запрашивает ключ для шифрования сообщения. Защищенное соединение использует ECDH, а KMS шифрует ключ с помощью главного ключа AES-256.
-
Сообщение шифруется до выхода из клиента. Клиент отправляет его в службу индексации, которая создает зашифрованные индексы поиска для помощи в будущих поисковых запросах контента.
-
Зашифрованное сообщение отправляется в службу обеспечения соответствия для проверки соответствия.
-
Зашифрованное сообщение хранится в области хранилища.
При развертывании службы безопасности данных гибридного типа функции области безопасности (KMS, индексация и соответствие требованиям) перемещаются в локальный центр обработки данных. Другие облачные службы, которые составляют Webex (включая идентификационные данные и хранилище контента), остаются в сферах Cisco.
Сотрудничество с Другими Организациями
Пользователи в вашей организации могут регулярно использовать приложение Webex для совместной работы с внешними участниками из других организаций. Когда один из пользователей запрашивает ключ для пространства, принадлежащего вашей организации (поскольку он был создан одним из пользователей), KMS отправляет ключ клиенту по защищенному каналу ECDH. Однако если ключ для пространства принадлежит другой организации, KMS перенаправляет запрос в облако Webex через отдельный канал ECDH для получения ключа от соответствующего KMS, а затем возвращает ключ пользователю в исходном канале.
Служба KMS, запущенная в организации A, проверяет подключения к KMS в других организациях с помощью сертификатов PKI x.509. Подробные сведения о создании сертификата x.509 для использования с развертыванием службы безопасности данных гибридного типа с несколькими клиентами см. в статье Подготовка среды .
Ожидания развертывания службы безопасности данных гибридного типа
Развертывание службы безопасности данных гибридного типа требует значительных обязательств и осознания рисков, связанных с хранением ключей шифрования.
Для развертывания службы безопасности данных гибридного типа необходимо предоставить:
-
Защищенный центр обработки данных в стране, которая является местоположением, поддерживаемым планами Cisco Webex Teams.
-
Оборудование, программное обеспечение и доступ к сети, описанные в разделе Подготовка среды.
Полная потеря конфигурации ISO, созданной для службы безопасности данных гибридного типа, или предоставленной базы данных приведет к потере ключей. Потеря ключей предотвращает расшифровку контента пространства и других зашифрованных данных в приложении Webex пользователями. В этом случае можно создать новое развертывание, однако будет отображаться только новый контент. Во избежание потери доступа к данным необходимо выполнить приведенные ниже действия.
-
Управление резервным копированием и восстановлением базы данных и конфигурации ISO.
-
Будьте готовы к быстрому аварийному восстановлению в случае аварии, например, сбою диска базы данных или сбою центра обработки данных.
Механизм для перемещения ключей обратно в облако после развертывания HDS отсутствует.
Высокоуровневый процесс настройки
В этом документе описана настройка и управление развертыванием службы безопасности данных гибридного типа с несколькими клиентами.
-
Настройка безопасности данных гибридного типа. Это включает подготовку необходимой инфраструктуры и установку программного обеспечения безопасности данных гибридного типа, создание кластера HDS, добавление клиентских организаций в кластер и управление их главными ключами клиента (CMK). Это позволит всем пользователям клиентских организаций использовать кластер безопасности данных гибридного типа для функций безопасности.
Этапы настройки, активации и управления подробно описаны в следующих трех главах.
-
Поддержка развертывания службы безопасности данных гибридного типа: облако Webex автоматически обеспечивает непрерывную модернизацию. Ваш отдел ИТ может предоставлять поддержку первого уровня для этого развертывания и при необходимости привлекать поддержку Cisco. В Partner Hub можно использовать экранные уведомления и настроить предупреждения на основе электронной почты.
-
Общие предупреждения, действия по устранению неполадок и известные проблемы. При возникновении проблем с развертыванием или использованием службы безопасности данных гибридного типа можно определить и устранить проблему с помощью последней главы этого руководства и приложения "Известные проблемы".
Модель развертывания службы безопасности данных гибридного типа
В корпоративном центре обработки данных служба безопасности данных гибридного типа будет развернута в виде одного кластера узлов на отдельных виртуальных узлах. Узлы связываются с облаком Webex с помощью защищенных веб-сокетов и защищенного HTTP.
Во время процесса установки предоставляется файл OVA для настройки виртуального устройства на предоставленных вами виртуальных машинах. Инструмент настройки HDS используется для создания пользовательского файла конфигурации кластера ISO, который устанавливается на каждом узле. Кластер безопасности данных гибридного типа использует предоставленный сервер Syslogd и базу данных PostgreSQL или Microsoft SQL Server. (Сведения о соединении Syslogd и базы данных можно настроить в инструменте настройки HDS.)
Минимальное количество узлов в кластере: два. Рекомендуется не менее трех на кластер. Наличие нескольких узлов гарантирует, что во время модернизации программного обеспечения или других действий по техническому обслуживанию узла служба не будет прерываться. (Облако Webex модернизирует только один узел за раз.)
Все узлы в кластере имеют доступ к одному хранилищу данных и активности журналов на один и тот же сервер системных журналов. Сами узлы не имеют состояния и обрабатывают запросы на ключ в циклическом порядке, как направляется облаком.
Узлы становятся активными при регистрации в партнерском центре. Чтобы вывести отдельный узел из эксплуатации, можно отменить его регистрацию, а затем, при необходимости, повторно зарегистрировать его.
Резервный центр обработки данных для аварийного восстановления
Во время развертывания вы настраиваете защищенный резервный центр обработки данных. В случае аварии центра обработки данных можно вручную перенести развертывание на резервный центр обработки данных.
Базы данных активных и резервных центров обработки данных синхронизируются друг с другом, что позволит свести к минимуму время, затрачиваемое на выполнение отработки отказа.
Активные узлы безопасности данных гибридного типа всегда должны находиться в одном центре обработки данных с активным сервером базы данных.
Поддержка прокси
Служба безопасности данных гибридного типа поддерживает явные прокси, прозрачные прокси с проверкой и прокси без проверки. Чтобы обеспечить защиту и мониторинг трафика из сети предприятия в облако, можно связать эти прокси с развертыванием. После настройки прокси на узлах административный интерфейс платформы на узлах можно использовать для управления сертификатами и просмотра общего состояния соединений.
Узлы безопасности данных гибридного типа поддерживают указанные далее параметры прокси.
-
Нет прокси. Значение по умолчанию, если для интеграции прокси не используется конфигурация доверенного хранилища и прокси для настройки узла HDS. Обновление сертификата не требуется.
-
Прозрачный прокси без проверки. Узлы не настроены для использования адреса определенного прокси-сервера и не должны требовать каких-либо изменений для работы с прокси без проверки. Обновление сертификата не требуется.
-
Прозрачный туннелирование или прокси с проверкой. Узлы не настроены для использования адреса определенного прокси-сервера. На узлах не нужно изменять конфигурацию HTTP или HTTPS. Как бы то ни было, для обеспечения доверия прокси узлам необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже HTTPS).
-
Явный прокси. При использовании явного прокси необходимо указать прокси-сервер и схему аутентификации узлам HDS. Для настройки явного прокси на каждом узле нужно ввести следующую информацию.
-
IP/FQDN прокси. Адрес, который можно использовать для связи с прокси-машиной.
-
Порт прокси. Номер порта, который прокси использует для прослушивания прокси-трафика.
-
Proxy Protocol (Протокол прокси). В зависимости от поддержки прокси-сервера выберите один из следующих протоколов.
-
HTTP – просматривает все запросы, отправляемые клиентом, и управляет этими запросами.
-
HTTPS – обеспечивает работу канала связи с сервером. Клиент получает и проверяет сертификат сервера.
-
-
Тип аутентификации: выберите один из приведенных ниже типов аутентификации.
-
Нет. Дальнейшая аутентификация не требуется.
Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.
-
Базовый: используется для агента пользователя HTTP для указания имени пользователя и пароля при совершении запроса. Использует кодировку Base64.
Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.
Требует ввода имени пользователя и пароля на каждом узле.
-
Дайджест. Используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети.
Этот параметр доступен только в том случае, если в качестве протокола прокси выбран протокол HTTPS.
Требует ввода имени пользователя и пароля на каждом узле.
-
-
Пример узлов безопасности данных гибридного типа и прокси
На этой схеме представлен пример соединения между системой безопасности данных гибридного типа, сетью и прокси. При использовании прозрачного прокси с проверкой или явного прокси с проверкой HTTPS на прокси и узлы безопасности данных гибридного типа необходимо установить один и тот же корневой сертификат.
Режим блокировки разрешения внешних DNS (конфигурации явного прокси)
При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. В развертываниях с конфигурациями явного прокси, которые не допускают разрешения внешних DNS для внутренних клиентов, если узел не может посылать запросы на DNS-серверы, он автоматически переходит в режим блокировки разрешения внешних DNS. В этом режиме можно продолжить регистрацию узла и другие тестирования подключения к прокси.
Подготовка среды
Требования к безопасности данных гибридного типа с несколькими клиентами
Требования к лицензии Cisco Webex
Развертывание службы безопасности данных гибридного типа с несколькими клиентами.
-
Партнерские организации: Обратитесь к своему партнеру Cisco или менеджеру по работе с клиентами и убедитесь, что функция "Несколько клиентов" включена.
-
Организации клиентов: Необходима профессиональная версия Cisco Webex Control Hub. См. https://www.cisco.com/go/pro-pack.
Требования к рабочему столу Docker
Перед установкой узлов HDS необходимо запустить программу настройки с помощью Docker Desktop. Docker недавно обновил свою модель лицензирования. Для вашей организации может потребоваться платная подписка на Docker Desktop. Подробности см. в записи блога Docker, " Docker обновляет и расширяет подписки на продукты".
Требования к сертификату X.509
Цепочка сертификатов должна соответствовать следующим требованиям:
|
Требование |
Подробности |
|---|---|
|
По умолчанию мы доверяем ЦС в списке Mozilla (за исключением WoSign и StartCom) по адресу https://wiki.mozilla.org/CA:IncludedCAs. |
|
CN не требуется, чтобы он был доступен или был организатором в режиме реального времени. Рекомендуется использовать название, отражающее вашу организацию, например CN не должен содержать * (подстановочный знак). CN используется для проверки узлов безопасности данных гибридного типа для клиентов приложения Webex. Все узлы безопасности данных гибридного типа в кластере используют один и тот же сертификат. Ваш KMS идентифицирует себя с помощью домена CN, а не любого домена, определенного в полях SAN x.509v3. После регистрации узла с этим сертификатом изменение доменного имени CN не поддерживается. |
|
Программное обеспечение KMS не поддерживает подписи SHA1 для проверки подключений к KMS других организаций. |
|
Для изменения формата сертификата можно использовать преобразователь, например OpenSSL. При запуске инструмента настройки HDS потребуется ввести пароль. |
Программное обеспечение KMS не обеспечивает принудительное использование ключа или расширенные ограничения на его использование. Некоторые центры сертификации требуют, чтобы к каждому сертификату применялись расширенные ограничения на использование ключей, например аутентификация сервера. Использовать аутентификацию сервера или другие настройки можно.
Требования к виртуальному организатору
Виртуальные узлы, которые будут настроены в качестве узлов безопасности данных гибридного типа в кластере, имеют следующие требования:
-
По крайней мере два отдельных узла (рекомендуется 3) размещены в одном защищенном центре обработки данных
-
Установлена и запущена VMware ESXi 7.0 (или более поздняя версия).
При наличии более ранней версии ESXi необходимо выполнить модернизацию.
-
Минимум 4 ЦП, 8 ГБ основной памяти, 30 ГБ локального жесткого диска на сервер
Требования к серверу базы данных
Создайте новую базу данных для хранилища ключей. Не используйте базу данных по умолчанию. Приложения HDS при установке создают схему базы данных.
Существует два варианта сервера баз данных. Требования для каждого из них приведены ниже.
|
PostgreSQL |
Сервер Microsoft SQL |
|---|---|
|
|
|
Минимум 8 виртуальных ЦП, 16 ГБ основной памяти, достаточное пространство на жестком диске и мониторинг для обеспечения его отсутствия (рекомендуется 2 ТБ, если необходимо запустить базу данных в течение длительного времени без увеличения объема хранилища) |
Минимум 8 виртуальных ЦП, 16 ГБ основной памяти, достаточное пространство на жестком диске и мониторинг для обеспечения его отсутствия (рекомендуется 2 ТБ, если необходимо запустить базу данных в течение длительного времени без увеличения объема хранилища) |
Программное обеспечение HDS в настоящее время устанавливает следующие версии драйверов для связи с сервером базы данных:
|
PostgreSQL |
Сервер Microsoft SQL |
|---|---|
|
Драйвер JDBC Postgres 42.2.5 |
Драйвер JDBC 4.6 для SQL-сервера Эта версия драйвера поддерживает SQL Server Always On (экземпляры отказоустойчивого кластера и группы доступности Always On). |
Дополнительные требования для аутентификации Windows на Microsoft SQL Server
Если необходимо, чтобы узлы HDS использовали аутентификацию Windows для получения доступа к базе данных хранилища ключей на Microsoft SQL Server, в вашей среде потребуется следующая конфигурация:
-
Узлы HDS, инфраструктура Active Directory и сервер MS SQL должны быть синхронизированы с NTP.
-
Учетная запись Windows, которую вы предоставляете узлам HDS, должна иметь доступ к базе данных для чтения и записи.
-
Серверы DNS, предоставляемые узлам HDS, должны иметь возможность разрешать центр распределения ключей (KDC).
-
Экземпляр базы данных HDS можно зарегистрировать на сервере Microsoft SQL в качестве главного имени службы (SPN) в Active Directory. См. статью Регистрация имени участника службы для Kerberos Connections.
Инструмент настройки HDS, программа запуска HDS и локальный KMS должны использовать аутентификацию Windows для доступа к базе данных хранилища ключей. Они используют сведения из конфигурации ISO для создания SPN при запросе доступа с аутентификацией Kerberos.
Требования к внешнему подключению
Настройте брандмауэр, чтобы разрешить следующее подключение для приложений HDS:
|
Приложение |
Протокол |
Порт |
Направление из приложения |
Адресат |
|---|---|---|---|---|
|
Узлы безопасности данных гибридного типа |
Протокол TCP |
443 |
Исходящие HTTPS и WSS |
|
|
Инструмент настройки HDS |
Протокол TCP |
443 |
HTTPS для исходящих вызовов |
|
Узлы безопасности данных гибридного типа работают с преобразованием сетевого доступа (NAT) или за брандмауэром, если NAT или брандмауэр допускает необходимые исходящие соединения с адресатами домена в таблице выше. Для соединений, поступающих на узлы безопасности данных гибридного типа, порты не должны отображаться из Интернета. В центре обработки данных клиентам необходим доступ к узлам безопасности данных гибридного типа на портах 443 и 22 TCP в административных целях.
URL-адреса узлов общих параметров идентификации (CI) специфичны для региона. Ниже приведены текущие узлы CI.
|
Регион |
URL-адреса хостов общих параметров идентификации |
|---|---|
|
Северная и Южная Америка |
|
|
Европейский союз |
|
|
Канада |
|
| Сингапур |
|
| Объединенные Арабские Эмираты |
|
Требования к прокси-серверу
-
Мы официально поддерживаем следующие решения для прокси, которые можно интегрировать с узлами безопасности данных гибридного типа:
-
для прозрачных прокси – Cisco Web Security Appliance (WSA);
-
для явных прокси – Squid.
Прокси Squid, которые проверяют трафик HTTPS, могут мешать созданию соединений веб-сокетов (wss:). Чтобы устранить эту проблему, см. статью Настройка прокси Squid для безопасности данных гибридного типа.
-
-
Поддерживаются следующие комбинации типов аутентификации для явных прокси:
-
без аутентификации при использовании HTTP или HTTPS;
-
базовая аутентификация при использовании HTTP или HTTPS;
-
дайджест-аутентификация только при использовании HTTPS;
-
-
При наличии прозрачного прокси с проверкой или явного прокси HTTPS необходимо иметь копию корневого сертификата прокси. Инструкции по развертыванию, приведенные в этом руководстве, содержат информацию о том, как загрузить эту копию в зоны доверия узлов безопасности данных гибридного типа.
-
Сеть, в которой размещены узлы HDS, должна обеспечивать принудительную маршрутизацию исходящего трафика TCP на порте 443 через прокси.
-
Прокси, проверяющие веб-трафик, могут нарушать работу соединений веб-сокетов. Для устранения этой проблемы трафик следует направить в обход (без проверки) на
wbx2.comи*.teams.webex.com.
Выполнение предварительных требований для службы безопасности данных гибридного типа
| 1 |
Убедитесь, что в партнерской организации включена функция HDS с несколькими клиентами, и получите учетные данные учетной записи с полными правами администратора партнера и полными правами администратора. Убедитесь, что для клиентской организации Webex включена профессиональная версия Cisco Webex Control Hub. Обратитесь за помощью к своему партнеру Cisco или менеджеру по работе с клиентами. У клиентских организаций не должно быть существующего развертывания HDS. |
| 2 |
Выберите имя домена для развертывания HDS (например, |
| 3 |
Подготовьте идентичные виртуальные узлы, которые будут настроены в качестве узлов безопасности данных гибридного типа в кластере. Необходимо разместить не менее двух отдельных организаторов (рекомендуется 3) в одном и том же защищенном центре обработки данных, который соответствует требованиям в разделе Требования к виртуальному организатору. |
| 4 |
Подготовьте сервер базы данных, который будет использоваться в качестве хранилища ключевых данных для кластера в соответствии с требованиями сервера базы данных. Сервер базы данных должен быть размещен в защищенном центре обработки данных с виртуальными хостами. |
| 5 |
Для быстрого аварийного восстановления настройте резервную среду в другом центре обработки данных. Резервная среда дублирует производственную среду виртуальных машин и сервер базы данных резервного копирования. Например, если в производственной среде есть 3 виртуальных машины с узлами HDS, резервная среда должна иметь 3 виртуальных машины. |
| 6 |
Настройте узел системного журнала для сбора журналов с узлов в кластере. Соберите сетевой адрес и порт системного журнала (по умолчанию UDP 514). |
| 7 |
Создайте политику безопасного резервного копирования для узлов безопасности данных гибридного типа, сервера базы данных и узла системного журнала. Как минимум, чтобы предотвратить необратимую потерю данных, необходимо создать резервную копию базы данных и файла конфигурации ISO, созданного для узлов безопасности данных гибридного типа. Поскольку узлы безопасности данных гибридного типа хранят ключи, используемые при шифровании и расшифровке контента, невыполнение оперативного развертывания приведет к НЕОБРАТИМОЙ ПОТЕРЕ этого контента. Клиенты приложения Webex кэшируют свои ключи, поэтому сбои могут не сразу стать заметными, но со временем станут очевидными. Временные перебои невозможно предотвратить, но их можно восстановить. Однако полная потеря базы данных или файла конфигурации ISO (нет доступных резервных копий) приведет к невозможности восстановления данных клиента. Ожидается, что операторы узлов безопасности данных гибридного типа осуществляют частые резервные копии базы данных и файла конфигурации ISO и будут готовы к обновлению центра обработки данных службы безопасности данных гибридного типа в случае катастрофической ошибки. |
| 8 |
Убедитесь, что конфигурация брандмауэра разрешает соединение для узлов безопасности данных гибридного типа, как описано в разделе Требования к внешнему подключению. |
| 9 |
Установите Docker (https://www.docker.com) на любом локальном компьютере, на котором запущена поддерживаемая ОС (64-разрядная версия Microsoft Windows 10 Professional или Enterprise или Mac OSX Yosemite 10.10.3 или более поздняя версия) с веб-браузером, с помощью которого можно получить доступ на странице http://127.0.0.1:8080. Экземпляр Docker используется для скачивания и запуска инструмента настройки HDS, который создает информацию локальной конфигурации для всех узлов безопасности данных гибридного типа. Вам может понадобиться лицензия Docker Desktop. Дополнительную информацию см. в статье Требования к рабочему столу Docker . Для установки и запуска инструмента настройки HDS локальная машина должна иметь подключение, описанное в разделе Требования к внешнему подключению. |
| 10 |
При интеграции прокси с системой безопасности данных гибридного типа убедитесь, что он соответствует требованиям к прокси-серверу. |
Настройка кластера безопасности данных гибридного типа
Алгоритм выполнения задач по развертыванию службы безопасности данных гибридного типа
| 1 |
Выполните начальную настройку и скачайте файлы установки Скачайте файл OVA на локальный компьютер для дальнейшего использования. |
| 2 |
Создание ISO конфигурации для узлов HDS Используйте инструмент настройки HDS для создания файла конфигурации ISO для узлов безопасности данных гибридного типа. |
| 3 |
Создайте виртуальную машину из файла OVA и выполните начальную конфигурацию, например параметры сети. Параметр настройки сети во время развертывания OVA протестирован с помощью ESXi 7.0. Этот параметр может быть недоступен в более ранних версиях. |
| 4 |
Настройка виртуальной машины безопасности данных гибридного типа Войдите в консоль виртуальной машины и задайте учетные данные для входа. Настройте параметры сети для узла, если они не были настроены во время развертывания файла OVA. |
| 5 |
Загрузка и установка ISO конфигурации HDS Настройте виртуальную машину из файла конфигурации ISO, созданного с помощью инструмента настройки HDS. |
| 6 |
Настройка узла HDS для интеграции прокси Если в сетевой среде требуется конфигурация прокси, укажите тип прокси, который будет использоваться для узла, и при необходимости добавьте сертификат прокси в доверенное хранилище. |
| 7 |
Регистрация первого узла в кластере Зарегистрируйте виртуальную машину в облаке Cisco Webex в качестве узла безопасности данных гибридного типа. |
| 8 |
Создать и зарегистрировать другие узлы Завершите настройку кластера. |
| 9 |
Активируйте HDS с несколькими клиентами в Partner Hub. Активируйте HDS и управляйте организациями клиентов в Partner Hub. |
Выполните начальную настройку и скачайте файлы установки
В этой задаче вы скачаете файл OVA на свой компьютер (а не на серверы, настроенные в качестве узлов безопасности данных гибридного типа). Этот файл будет использован позже в процессе установки.
| 1 |
Войдите в Partner Hub и щелкните Службы. |
| 2 |
В разделе облачных служб найдите карточку безопасности данных гибридного типа и щелкните Настройка. Нажатие кнопки Настройка в партнерском центре имеет решающее значение для процесса развертывания. Не продолжайте установку без завершения этого шага. |
| 3 |
Щелкните Добавить ресурс и щелкните Скачать файл OVA на карточке Установка и настройка программного обеспечения . Более ранние версии пакета программного обеспечения (OVA) не будут совместимы с последними модернизациями безопасности данных гибридного типа. Это может привести к ошибкам во время модернизации приложения. Убедитесь, что скачано последнюю версию файла OVA. Кроме того, файл OVA можно скачать в любой момент в разделе Справка . Щелкните . Скачивание файла OVA начнется автоматически. Сохраните файл в местоположении на своем компьютере.
|
| 4 |
При необходимости щелкните Просмотреть руководство по развертыванию службы безопасности данных гибридного типа , чтобы проверить доступность более поздней версии этого руководства. |
Создание ISO конфигурации для узлов HDS
Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.
Прежде чем начать
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора.
Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker на шаге 5 ниже. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТHTTPS-прокси без аутентификации
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТHTTP-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТHTTPS-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ -
Созданный файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. При внесении изменений в конфигурацию вам потребуется последняя копия этого файла. Например:
-
Учетные данные базы данных
-
Обновления сертификата
-
Изменения политики авторизации
-
-
При планировании шифрования соединений с базой данных настройте развертывание PostgreSQL или SQL Server для TLS.
| 1 |
Введите соответствующую команду для вашей среды в командной строке компьютера. В обычных средах: В средах FedRAMP: На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать. | ||||||||||
| 2 |
Чтобы войти в реестр образов Docker, введите следующее. | ||||||||||
| 3 |
Введите в запросе пароля этот хеш: | ||||||||||
| 4 |
Скачайте последнюю стабильную версию образа для вашей среды. В обычных средах: В средах FedRAMP: | ||||||||||
| 5 |
По завершении скачивания введите соответствующую команду для вашей среды.
Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080". | ||||||||||
| 6 |
Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу. Перейдите к локальному узлу Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартную подсказку для входа в систему. | ||||||||||
| 7 |
При отображении соответствующего запроса введите учетные данные для входа администратора Partner Hub и щелкните Войти , чтобы разрешить доступ к необходимым службам для службы безопасности данных гибридного типа. | ||||||||||
| 8 |
На странице обзора инструмента настройки щелкните Начало работы. | ||||||||||
| 9 |
На странице Импорт ISO доступны следующие параметры.
| ||||||||||
| 10 |
Проверьте, соответствует ли сертификат X.509 требованиям к сертификатам X.509.
| ||||||||||
| 11 |
Введите адрес базы данных и учетную запись HDS для доступа к хранилищу данных ключей: | ||||||||||
| 12 |
Выберите Режим подключения к базе данных TLS.
При загрузке корневого сертификата (при необходимости) и нажатии Продолжить инструмент настройки HDS тестирует подключение TLS к серверу базы данных. Инструмент также выполняет проверку источника подписи сертификата и имени узла (если применимо). Если тест не будет пройден, в инструменте будет отображено сообщение об ошибке с описанием проблемы. Можно выбрать параметр игнорирования ошибки и продолжить настройку. (Из-за различий соединения узлы HDS могут установить соединение TLS, даже если машина средства настройки HDS не может успешно протестировать его.) | ||||||||||
| 13 |
На странице «Системные журналы» настройте сервер Syslogd: | ||||||||||
| 14 |
(Необязательно) Можно изменить значение по умолчанию для некоторых параметров подключения к базе данных в разделе Расширенные настройки. Как правило, этот параметр является единственным, который необходимо изменить: | ||||||||||
| 15 |
Щелкните Продолжить на экране Сброс пароля учетных записей службы . Срок действия паролей учетных записей службы составляет девять месяцев. Используйте этот экран, когда срок действия паролей скоро истечет или вы хотите сбросить их, чтобы сделать предыдущие файлы ISO недействительными. | ||||||||||
| 16 |
Щелкните Скачать файл ISO. Сохраните файл в удобном для поиска местоположении. | ||||||||||
| 17 |
Сделайте резервную копию файла ISO в локальной системе. Обеспечьте безопасность резервного копирования. Этот файл содержит главный ключ шифрования для содержимого базы данных. Ограничьте доступ только тем администраторам службы безопасности данных гибридного типа, которые должны вносить изменения в конфигурацию. | ||||||||||
| 18 |
Чтобы завершить работу инструмента настройки, нажмите |
Дальнейшие действия
Создайте резервную копию файла конфигурации ISO. Это необходимо для создания дополнительных узлов для восстановления или внесения изменений в конфигурацию. В случае утери всех копий файла ISO также был утрачен главный ключ. Невозможно восстановить ключи из базы данных PostgreSQL или Microsoft SQL Server.
У нас никогда не будет копии этого ключа, и мы не можем помочь, если вы его потеряете.
Установка файла OVA узла HDS
| 1 |
Используйте клиент VMware vSphere на компьютере для входа в виртуальный хост ESXi. |
| 2 |
Выберите Файл > Развернуть шаблон OVF. |
| 3 |
В мастере укажите расположение скачанного ранее файла OVA и щелкните Далее. |
| 4 |
На странице Выберите имя и папку введите имя виртуальной машины для узла (например, "HDS_Node_1"), выберите местоположение, в котором может находиться развертывание узла виртуальной машины, и щелкните Далее. |
| 5 |
На странице Выбор вычислительного ресурса выберите целевой вычислительный ресурс и щелкните Далее. Выполняется проверка. По завершении отобразятся сведения о шаблоне. |
| 6 |
Проверьте сведения о шаблоне и щелкните Далее. |
| 7 |
При появлении запроса на выбор конфигурации ресурса на странице Конфигурация щелкните 4 ЦП , а затем щелкните Далее. |
| 8 |
На странице Выбор хранилища щелкните Далее , чтобы принять формат диска по умолчанию и политику хранилища виртуальной машины. |
| 9 |
На странице Выбор сетей выберите параметр сети из списка записей, чтобы обеспечить необходимое подключение к виртуальной машине. |
| 10 |
На странице Настройка шаблона настройте приведенные ниже параметры сети.
При необходимости можно пропустить конфигурацию сетевых настроек и выполнить действия, описанные в разделе Настройка виртуальной машины безопасности данных гибридного типа , чтобы настроить параметры с помощью консоли узла. Параметр настройки сети во время развертывания OVA протестирован с помощью ESXi 7.0. Этот параметр может быть недоступен в более ранних версиях. |
| 11 |
Щелкните правой кнопкой мыши узел виртуальной машины и выберите . Программное обеспечение безопасности данных гибридного типа устанавливается в качестве гостя на узле виртуальной машины. Теперь вы готовы войти в консоль и настроить узел. Рекомендации по устранению неисправностей Контейнеры узла могут появиться через несколько минут. Во время первой загрузки на консоли отображается сообщение брандмауэра моста, в течение которого невозможно войти в систему. |
Настройка виртуальной машины безопасности данных гибридного типа
Используйте эту процедуру для первого входа в консоль виртуальной машины узла безопасности данных гибридного типа и установки учетных данных для входа. Можно также использовать консоль для настройки сетевых параметров узла, если они не были настроены во время развертывания файла OVA.
| 1 |
В клиенте VMware vSphere выберите виртуальную машину узла безопасности данных гибридного типа и откройте вкладку Консоль . Будет загружена виртуальная машина, и отобразится запрос на вход. Если запрос на вход не отображается, нажмите клавишу ввода.
|
| 2 |
Для входа и изменения учетных данных используйте следующие параметры входа и пароля по умолчанию: Поскольку вы впервые входите в свою виртуальную машину, вам необходимо изменить пароль администратора. |
| 3 |
Если параметры сети уже настроены в разделе Установка OVA узла HDS, пропустите остальную процедуру. В противном случае в главном меню выберите параметр Редактировать конфигурацию . |
| 4 |
Настройте статическую конфигурацию с использованием IP-адреса, маски, шлюза и информации DNS. Узел должен иметь внутренний IP-адрес и имя DNS. DHCP не поддерживается. |
| 5 |
(Необязательно) Измените имя хоста, домен или NTP-серверы, если это необходимо для соответствия вашей сетевой политике. Настройка домена в соответствии с доменом, который вы использовали для получения сертификата X.509, не требуется. |
| 6 |
Сохраните конфигурацию сети и перезагрузите виртуальную машину, чтобы изменения вступили в силу. |
Загрузка и установка ISO конфигурации HDS
Перед началом работы
Поскольку в файле ISO содержится главный ключ, он должен быть раскрыт только по принципу «необходимо знать» для доступа виртуальных машин безопасности данных гибридного типа и всех администраторов, которым может потребоваться внести изменения. Убедитесь, что доступ к хранилищу данных могут получить только эти администраторы.
| 1 |
Загрузите файл ISO со своего компьютера. |
| 2 |
Установите файл ISO: |
Дальнейшие действия
Если политика ИТ требует, после внесения изменений конфигурации на всех узлах можно отсоединить файл ISO. Подробные сведения см. в статье (необязательно) Отключение ISO после настройки HDS .
Настройка узла HDS для интеграции прокси
Если в сетевой среде необходимо использовать прокси, воспользуйтесь этой процедурой, чтобы указать тип прокси, который нужно интегрировать со службой безопасности данных гибридного типа. При выборе прозрачного прокси с проверкой или явного прокси HTTPS можно использовать интерфейс узла для загрузки и установки корневого сертификата. Кроме того, в интерфейсе можно проверять соединение с прокси и устранять неполадки.
Перед началом работы
-
Общие сведения о поддерживаемых параметрах прокси см. в разделе Поддержка прокси .
| 1 |
Введите в веб-браузере URL-адрес для настройки узла HDS |
| 2 |
Откройте раздел Trust Store & Proxy (Зона доверия и прокси) и выберите один из следующих параметров.
В случае использования прозрачного прокси с проверкой, явного прокси HTTP с базовой аутентификацией или явного прокси HTTPS выполните указанные далее шаги. |
| 3 |
Щелкните Upload a Root Certificate or End Entity Certificate (Загрузить корневой сертификат или сертификат конечного субъекта) и откройте меню для выбора корневого сертификата для прокси. Сертификат будет загружен, но не установлен, поскольку для установки сертификата необходимо перезагрузить узел. Чтобы получить дополнительные сведения, щелкните стрелку-шеврон, расположенную рядом с именем издателя сертификата. Если вы допустили ошибку и хотите вновь загрузить файл, щелкните Delete (Удалить). |
| 4 |
Чтобы протестировать сетевое соединение между узлом и прокси, щелкните Check Proxy Connection (Проверить соединение с прокси). Если тестирование соединения завершится неудачей, на экране появится сообщение об ошибке, в котором будут указаны причина и способ исправления ошибки. Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу. Такая проблема может возникнуть во многих конфигурациях явного прокси. Можно продолжить настройку, и узел будет работать в режиме блокировки разрешения внешних DNS. Если вы считаете, что это ошибка, выполните эти действия, а затем см. статью Выключение режима блокировки разрешения внешних DNS. |
| 5 |
Если вы используете явный прокси, настроенный на применение исключительно https, после успешного завершения тестирования соединения включите параметр Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси (Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси). Для вступления в силу этого параметра необходимо 15 секунд. |
| 6 |
Щелкните Install All Certificates Into the Trust Store (Установить все сертификаты в зоне доверия) – этот параметр отображается при использовании явного прокси HTTPS или прозрачного прокси с проверкой – или Reboot (Перезагрузить) – этот параметр отображается при использовании явного прокси HTTP. Прочитайте запрос и щелкните Install (Установить), если вы готовы к установке. Узел перезагрузится в течение нескольких минут. |
| 7 |
После перезагрузки узла повторно войдите в систему, если это необходимо, и откройте страницу Обзор, чтобы выполнить проверки соединений. Состояние всех проверок должно быть обозначено зеленым цветом. Проверка соединения с прокси используется исключительно для тестирования поддомена webex.com. Проблемы с соединениями нередко возникают из-за того, что некоторые облачные домены, указанные в инструкциях по установке, блокируются на уровне прокси. |
Регистрация первого узла в кластере
При регистрации первого узла создается кластер, которому он назначен. Кластер содержит один или несколько узлов, развернутых для резервирования.
Перед началом работы
-
После начала регистрации узла ее необходимо завершить в течение 60 минут или начать заново.
-
Убедитесь, что все блокировки всплывающих окон в браузере отключены или вы разрешаете исключение для admin.webex.com.
| 1 |
Войдите в https://admin.webex.com. |
| 2 |
В меню в левой части экрана выберите Службы. |
| 3 |
В разделе облачных служб найдите карточку безопасности данных гибридного типа и щелкните Настройка. |
| 4 |
На открывшейся странице щелкните Добавить ресурс. |
| 5 |
В первом поле карточки Добавить узел введите имя кластера, которому необходимо назначить узел безопасности данных гибридного типа. Рекомендуется назвать кластер в зависимости от географического расположения узлов кластера. Примеры: "Сан-Франциско", "Нью-Йорк" или "Даллас" |
| 6 |
Во втором поле введите внутренний IP-адрес или полное доменное имя узла и щелкните Добавить в нижней части экрана. Этот IP-адрес или полное доменное имя должны совпадать с IP-адресом или именем хоста и доменом, которые вы использовали в разделе Настройка виртуальной машины безопасности данных гибридного типа. Отобразится сообщение о том, что можно зарегистрировать узел в Webex.
|
| 7 |
Щелкните Перейти к узлу. Через несколько секунд вы будете перенаправлены на тестирование подключения узла для служб Webex. Если все тесты будут успешными, отобразится страница "Разрешить доступ к узлу безопасности данных гибридного типа". Здесь вы подтверждаете, что хотите предоставить вашей организации Webex полномочия на доступ к узлу. |
| 8 |
Установите флажок в поле Разрешить доступ к узлу безопасности данных гибридного типа и щелкните Продолжить. Учетная запись подтверждена. В сообщении "Регистрация завершена" указано, что узел зарегистрирован в облаке Webex.
|
| 9 |
Щелкните ссылку или закройте вкладку, чтобы вернуться на страницу безопасности данных гибридного типа партнерского центра. На странице Безопасность данных гибридного типа новый кластер, содержащий зарегистрированный узел, отображается на вкладке Ресурсы . Узел будет автоматически скачан новейшее программное обеспечение из облака.
|
Создать и зарегистрировать другие узлы
Перед началом работы
-
После начала регистрации узла ее необходимо завершить в течение 60 минут или начать заново.
-
Убедитесь, что все блокировки всплывающих окон в браузере отключены или вы разрешаете исключение для admin.webex.com.
| 1 |
Создайте новую виртуальную машину из файла OVA, повторяя шаги, описанные в разделе Установка файла OVA узла HDS. |
| 2 |
Настройте начальную конфигурацию новой виртуальной машины, повторяя шаги, описанные в разделе Настройка виртуальной машины безопасности данных гибридного типа. |
| 3 |
В новой виртуальной машине повторите шаги, описанные в разделе Загрузка и установка ISO конфигурации HDS. |
| 4 |
При настройке прокси для развертывания повторите шаги, описанные в разделе Настройка узла HDS для интеграции прокси для нового узла. |
| 5 |
Зарегистрируйте узел. |
Управление организациями клиентов в службе безопасности данных гибридного типа с поддержкой нескольких клиентов
Активация HDS с несколькими клиентами в центре партнера
Эта задача позволит всем пользователям клиентских организаций начать использование HDS для локальных ключей шифрования и других служб безопасности.
Перед началом работы
Убедитесь, что настройка кластера HDS с несколькими клиентами завершена с требуемым количеством узлов.
| 1 |
Войдите в https://admin.webex.com. |
| 2 |
В меню в левой части экрана выберите Службы. |
| 3 |
В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Редактировать настройки. |
| 4 |
Щелкните Активировать HDS на карточке Состояние HDS . |
Добавить организации клиентов в Partner Hub
В этой задаче вы назначаете клиентские организации кластеру безопасности данных гибридного типа.
| 1 |
Войдите в https://admin.webex.com. |
| 2 |
В меню в левой части экрана выберите Службы. |
| 3 |
В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Просмотреть все. |
| 4 |
Щелкните кластер, которому необходимо назначить клиента. |
| 5 |
Перейдите на вкладку Назначенные клиенты . |
| 6 |
Щелкните Добавить клиентов. |
| 7 |
В раскрывающемся меню выберите клиента, которого необходимо добавить. |
| 8 |
Щелкните Добавить, и клиент будет добавлен в кластер. |
| 9 |
Чтобы добавить в кластер несколько клиентов, повторите шаги 6–8. |
| 10 |
После добавления клиентов щелкните Готово в нижней части экрана. |
Дальнейшие действия
Создание главных ключей клиентов (CMK) с помощью инструмента настройки HDS
Перед началом работы
Назначьте клиентов в соответствующий кластер, как описано в разделе Добавление клиентских организаций в Partner Hub. Запустите инструмент настройки HDS, чтобы завершить процесс настройки вновь добавленных клиентских организаций.
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора для вашей организации.
Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТHTTPS-прокси без аутентификации
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТHTTP-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТHTTPS-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ -
Созданный файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. При внесении изменений в конфигурацию вам потребуется последняя копия этого файла. Например:
-
Учетные данные базы данных
-
Обновления сертификата
-
Изменения политики авторизации
-
-
При планировании шифрования соединений с базой данных настройте развертывание PostgreSQL или SQL Server для TLS.
Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.
| 1 |
Введите соответствующую команду для вашей среды в командной строке компьютера. В обычных средах: В средах FedRAMP: На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать. |
| 2 |
Чтобы войти в реестр образов Docker, введите следующее. |
| 3 |
Введите в запросе пароля этот хеш: |
| 4 |
Скачайте последнюю стабильную версию образа для вашей среды. В обычных средах: В средах FedRAMP: |
| 5 |
По завершении скачивания введите соответствующую команду для вашей среды.
Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080". |
| 6 |
Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу. Перейдите к локальному узлу Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартную подсказку для входа в систему. |
| 7 |
При отображении соответствующего запроса введите учетные данные для входа администратора Partner Hub и щелкните Войти , чтобы разрешить доступ к необходимым службам для службы безопасности данных гибридного типа. |
| 8 |
На странице обзора инструмента настройки щелкните Начало работы. |
| 9 |
На странице Импорт ISO щелкните Да. |
| 10 |
Выберите файл ISO в браузере и загрузите его. Для выполнения управления CMK убедитесь в подключении к базе данных. |
| 11 |
Перейдите на вкладку Управление CMK клиента , где можно найти три способа управления CMK клиента.
|
| 12 |
После успешного создания CMK состояние в таблице изменится с Управление CMK рассматривается на Управление CMK. |
| 13 |
В случае неудачного создания CMK отображается ошибка. |
Удалить организации клиентов
Перед началом работы
После удаления пользователи клиентских организаций не смогут использовать HDS в целях шифрования, а все существующие пространства будут утрачены. Прежде чем удалить клиентские организации, обратитесь к своему партнеру Cisco или менеджеру по работе с клиентами.
| 1 |
Войдите в https://admin.webex.com. |
| 2 |
В меню в левой части экрана выберите Службы. |
| 3 |
В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Просмотреть все. |
| 4 |
На вкладке Ресурсы щелкните кластер, из которого необходимо удалить клиентские организации. |
| 5 |
На открывшейся странице щелкните Назначенные клиенты. |
| 6 |
В списке отображаемых клиентских организаций щелкните ... в правой части клиентской организации, которую необходимо удалить, и щелкните Удалить из кластера. |
Дальнейшие действия
Завершите процесс удаления, отозвав CMK клиентских организаций, как описано в статье Отозвать CMK клиентов, удаленных из HDS.
Отозвать CMK клиентов, удаленные из HDS.
Перед началом работы
Удалите клиентов из соответствующего кластера, как описано в разделе Удаление клиентских организаций. Запустите инструмент настройки HDS, чтобы завершить процесс удаления удаленных клиентских организаций.
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора для вашей организации.
Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТHTTPS-прокси без аутентификации
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТHTTP-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТHTTPS-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ -
Созданный файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. При внесении изменений в конфигурацию вам потребуется последняя копия этого файла. Например:
-
Учетные данные базы данных
-
Обновления сертификата
-
Изменения политики авторизации
-
-
При планировании шифрования соединений с базой данных настройте развертывание PostgreSQL или SQL Server для TLS.
Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.
| 1 |
Введите соответствующую команду для вашей среды в командной строке компьютера. В обычных средах: В средах FedRAMP: На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать. |
| 2 |
Чтобы войти в реестр образов Docker, введите следующее. |
| 3 |
Введите в запросе пароля этот хеш: |
| 4 |
Скачайте последнюю стабильную версию образа для вашей среды. В обычных средах: В средах FedRAMP: |
| 5 |
По завершении скачивания введите соответствующую команду для вашей среды.
Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080". |
| 6 |
Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу. Перейдите к локальному узлу Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартную подсказку для входа в систему. |
| 7 |
При отображении соответствующего запроса введите учетные данные для входа администратора Partner Hub и щелкните Войти , чтобы разрешить доступ к необходимым службам для службы безопасности данных гибридного типа. |
| 8 |
На странице обзора инструмента настройки щелкните Начало работы. |
| 9 |
На странице Импорт ISO щелкните Да. |
| 10 |
Выберите файл ISO в браузере и загрузите его. |
| 11 |
Перейдите на вкладку Управление CMK клиента , где можно найти три способа управления CMK клиента.
|
| 12 |
После успешного отзыва CMK клиентская организация больше не будет отображаться в таблице. |
| 13 |
Если отзыв CMK не выполнен, отображается ошибка. |
Тестирование развертывания службы безопасности данных гибридного типа
Тестирование развертывания службы безопасности данных гибридного типа
Перед началом работы
-
Настройте развертывание службы безопасности данных гибридного типа с несколькими клиентами.
-
Убедитесь, что у вас есть доступ к системному журналу, чтобы проверить, передаются ли запросы ключей в развертывание системы безопасности данных гибридного типа с несколькими клиентами.
| 1 |
Ключи для определенного пространства задаются создателем пространства. Войдите в приложение Webex в качестве одного из пользователей клиентской организации и создайте пространство. Если деактивировать развертывание безопасности данных гибридного типа, контент в пространствах, созданных пользователями, больше не будет доступен после замены кэшированных клиентом копий ключей шифрования. |
| 2 |
Отправить сообщения в новое пространство. |
| 3 |
Проверьте вывод системного журнала, чтобы убедиться, что запросы ключей передаются в развертывание службы безопасности данных гибридного типа. |
Мониторинг работоспособности службы безопасности данных гибридного типа
| 1 |
В Partner Hub в меню в левой части экрана выберите Службы . |
| 2 |
В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Редактировать настройки. Отобразится страница "Настройки безопасности данных гибридного типа".
|
| 3 |
В разделе "Электронные уведомления" введите один или несколько адресов электронной почты, разделяя их запятыми, и нажмите клавишу ввода. |
Управление развертыванием HDS
Управление развертыванием HDS
Для управления развертыванием службы безопасности данных гибридного типа используйте описанные здесь задачи.
Настройка графика модернизации кластера
Чтобы настроить график модернизации, выполните указанные ниже действия.
| 1 |
Войдите в Partner Hub. |
| 2 |
В меню в левой части экрана выберите Службы. |
| 3 |
В разделе "Облачные службы" найдите раздел "Безопасность данных гибридного типа" и щелкните Настройка. |
| 4 |
На странице "Ресурсы безопасности данных гибридного типа" выберите кластер. |
| 5 |
Щелкните вкладку Настройки кластера . |
| 6 |
На странице настроек кластера в разделе "График модернизации" выберите время и часовой пояс для графика модернизации. Примечание. В часовом поясе отображаются следующие доступные дата и время модернизации. При необходимости можно отложить модернизацию на следующий день, щелкнув Отложить на 24 часа. |
Изменение конфигурации узла
-
Изменение сертификатов x.509 по истечении срока действия или по другим причинам.
Изменение доменного имени CN сертификата не поддерживается. Домен должен совпадать с исходным доменом, использованным для регистрации кластера.
-
Обновление настроек базы данных для работы с копией базы данных PostgreSQL или Microsoft SQL Server.
Перенос данных с PostgreSQL на Microsoft SQL Server или в обратном направлении не поддерживается. Чтобы переключить среду базы данных, начните новое развертывание службы безопасности данных гибридного типа.
-
Создание новой конфигурации для подготовки нового центра обработки данных.
Из соображений безопасности для учетных записей в службе безопасности данных гибридного типа используются пароли со сроком действия 9 месяцев. После того как инструмент настройки HDS создаст эти пароли, вам нужно будет развернуть их в каждом из своих узлов HDS в файле конфигурации ISO. При приближении даты окончания срока действия пароля команда Webex пришлет вам уведомление с запросом на сброс пароля учетной записи компьютера. (В сообщении электронной почты будет текст "Использование API учетной записи компьютера для обновления пароля".) Если срок действия паролей еще не истек, средство предоставляет два варианта.
-
Мягкий сброс. Старые и новые пароли работают в течение 10 дней. Используйте этот период для постепенной замены файла ISO на узлах.
-
Принудительный сброс: старые пароли перестают работать немедленно.
Если срок действия ваших паролей истекает без сброса, это влияет на работу вашей службы HDS. В этом случае требуется немедленный жесткий сброс и замена файла ISO на всех узлах.
Используйте эту процедуру, чтобы создать новый файл конфигурации ISO и применить его к кластеру.
Прежде чем начать
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора партнера.
Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker в 1.e. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТHTTPS-прокси без аутентификации
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТHTTP-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТHTTPS-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ -
Для создания новой конфигурации потребуется копия текущего файла конфигурации ISO. Файл ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. Файл ISO необходим для изменения конфигурации, в том числе учетных данных базы данных, обновления сертификатов или изменения политики авторизации.
| 1 |
Запустите инструмент настройки HDS, используя Docker на локальной машине. |
| 2 |
Если у вас запущен только один узел HDS, создайте новую виртуальную машину узла безопасности данных гибридного типа и зарегистрируйте ее с помощью нового файла конфигурации ISO. Более подробные инструкции см. в статье Создание и регистрация дополнительных узлов. |
| 3 |
Для существующих узлов HDS, в которых используется старый файл конфигурации, необходимо установить файл ISO. Выполните следующую процедуру для каждого узла по очереди, обновив каждый узел до выключения следующего узла. |
| 4 |
Повторите шаг 3, чтобы заменить конфигурацию на каждом оставшемся узле со старой конфигурацией. |
Отключение режима блокировки разрешения внешних DNS
При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. Если DNS-сервер узла не может разрешать общедоступные имена DNS, узел автоматически переходит в режим блокировки разрешения внешних DNS.
Если узлы могут разрешать общедоступные имена DNS через внутренние DNS-серверы, можно отключить этот режим, повторно запустив тестирование подключения к прокси на каждом узле.
Перед началом работы
| 1 |
В веб-браузере откройте интерфейс узла безопасности данных гибридного типа (например, IP-адрес или настройка) https://192.0.2.0/setup), введите учетные данные администратора, настроенные для узла, и щелкните Войти. |
| 2 |
Перейдите к разделу Overview (Обзор) (страница по умолчанию). Если режим включен, параметр Blocked External DNS Resolution (Блокировка разрешения внешних DNS) должен иметь значение Yes (Да). |
| 3 |
Перейдите на страницу Trust Store & Proxy (Зона доверия и прокси). |
| 4 |
Щелкните Check Proxy Connection (Проверить соединение с прокси). Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу и он останется в этом режиме. В противном случае после перезапуска узла и возврата на страницу Overview (Обзор) параметр блокировки разрешения внешних DNS должен иметь значение No (Нет). |
Дальнейшие действия
Удаление узла
| 1 |
С помощью клиента VMware vSphere на компьютере можно войти в виртуальный хост ESXi и выключить виртуальную машину. |
| 2 |
Удалить узел: |
| 3 |
В клиенте vSphere удалите виртуальную машину. (На панели навигации слева щелкните виртуальную машину правой кнопкой мыши и щелкните Удалить.) Если виртуальная машина не удалена, не забудьте отсоединить файл конфигурации ISO. Без файла ISO вы не сможете использовать виртуальную машину для доступа к данным безопасности. |
Аварийное восстановление с помощью центра обработки данных в режиме ожидания
Наиболее важной службой, предоставляемой кластером безопасности данных гибридного типа, является создание и хранение ключей, используемых для шифрования сообщений и другого контента, хранящегося в облаке Webex. Для каждого пользователя в организации, назначенного службе безопасности данных гибридного типа, запросы на создание нового ключа маршрутизируются в кластер. Кластер также отвечает за возврат созданных им ключей всем пользователям, авторизованным для их извлечения, например участникам пространства для разговора.
Поскольку кластер выполняет критически важную функцию предоставления этих ключей, необходимо, чтобы кластер продолжал работать и чтобы поддерживались соответствующие резервные копии. Потеря базы данных безопасности данных гибридного типа или конфигурации ISO, используемой для схемы, приведет к НЕОБРАТИМОЙ ПОТЕРЕ контента клиента. Для предотвращения таких потерь необходимо выполнить следующие действия:
Если из-за аварии развертывание HDS в основном центре обработки данных становится недоступным, выполните эту процедуру, чтобы вручную переключиться на резервный центр обработки данных.
Перед началом работы
| 1 |
Запустите инструмент настройки HDS и выполните действия, указанные в разделе Создание ISO конфигурации для узлов HDS. |
| 2 |
Завершите процесс настройки и сохраните файл ISO в удобном для поиска месте. |
| 3 |
Сделайте резервную копию файла ISO в локальной системе. Обеспечьте безопасность резервного копирования. Этот файл содержит главный ключ шифрования для содержимого базы данных. Ограничьте доступ только тем администраторам службы безопасности данных гибридного типа, которые должны вносить изменения в конфигурацию. |
| 4 |
На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры. |
| 5 |
Щелкните Редактировать настройки >Диск CD/DVD 1 и выберите Файл хранилища данных ISO. Убедитесь, что установлены флажки Подключено и Подключиться при включении , чтобы обновленные изменения конфигурации вступили в силу после запуска узлов. |
| 6 |
Включите узел HDS и убедитесь, что сигналы отсутствуют в течение не менее 15 минут. |
| 7 |
Зарегистрируйте узел в партнерском центре. См. статью Регистрация первого узла в кластере. |
| 8 |
Повторите процесс для каждого узла в центре обработки данных в режиме ожидания. |
Дальнейшие действия
(Необязательно) Отсоедините ISO после настройки HDS
Стандартная конфигурация HDS выполняется с установленным ISO. Однако некоторые клиенты предпочитают не оставлять файлы ISO постоянно монтированными. После того как все узлы HDS примут новую конфигурацию, можно отсоединить файл ISO.
Для изменения конфигурации по-прежнему используются файлы ISO. При создании нового ISO или обновлении ISO с помощью инструмента настройки необходимо установить обновленный ISO на всех узлах HDS. С помощью этой процедуры можно снова отключить ISO, после того как все узлы примут изменения конфигурации.
Перед началом работы
Модернизируйте все свои узлы HDS до версии 2021.01.22.4720 или более поздней.
| 1 |
Закройте один из своих узлов HDS. |
| 2 |
В vCenter Server Appliance выберите узел HDS. |
| 3 |
Выберите и снимите флажок Файл хранилища данных ISO. |
| 4 |
Включите узел HDS и убедитесь, что сигналы отсутствуют в течение не менее 20 минут. |
| 5 |
Повторите эту процедуру для каждого узла HDS по очереди. |
Устранение неполадок службы безопасности данных гибридного типа
Просмотр предупреждений и устранение неполадок
Развертывание службы безопасности данных гибридного типа считается недоступным, если все узлы в кластере недоступны или кластер работает настолько медленно, что истекло время ожидания. Если пользователи не могут подключиться к кластеру безопасности данных гибридного типа, у них будут следующие симптомы:
-
Не удается создать новые пространства (не удается создать новые ключи)
-
Не удалось расшифровать сообщения и заголовки пространств для:
-
Новые пользователи, добавленные в пространство (невозможно получить ключи)
-
Существующие пользователи в пространстве, использующие новый клиент (не удается получить ключи)
-
-
Существующие пользователи в пространстве будут продолжать успешно работать, пока в их клиентах будет сохранен кэш ключей шифрования
Важно надлежащим образом отслеживать кластер безопасности данных гибридного типа и своевременно реагировать на все предупреждения во избежание перебоев в работе службы.
Предупреждения
При возникновении проблем с настройкой безопасности данных гибридного типа партнерский центр отображает предупреждения администратору организации и отправляет электронные сообщения на настроенный адрес электронной почты. Предупреждения охватывают многие распространенные сценарии.
|
Предупреждать |
Действие |
|---|---|
|
Ошибка доступа к локальной базе данных. |
Проверьте наличие ошибок базы данных или проблем локальной сети. |
|
Сбой подключения к локальной базе данных. |
Убедитесь в доступности сервера базы данных и использовании правильных учетных данных учетной записи службы в конфигурации узла. |
|
Сбой доступа к облачной службе. |
Убедитесь, что узлы могут получить доступ к серверам Webex, как указано в разделе Требования к внешнему подключению. |
|
Обновление регистрации облачной службы. |
Регистрация в облачных службах прервана. Выполняется возобновление регистрации. |
|
Регистрация для облачной службы прервана. |
Регистрация в облачных службах прервана. Служба выключена. |
|
Служба еще не активирована. |
Активируйте HDS в партнерском центре. |
|
Настроенный домен не соответствует сертификату сервера. |
Убедитесь, что сертификат сервера соответствует настроенному домену активации службы. Наиболее вероятная причина заключается в том, что CN сертификата недавно был изменен и теперь отличается от CN, использованного во время начальной настройки. |
|
Не удалось выполнить аутентификацию в облачных службах. |
Проверьте точность и возможный срок действия учетных данных службы. |
|
Не удалось открыть файл локального хранилища ключей. |
Проверка целостности и точности пароля в файле локального хранилища ключей. |
|
Недействительный сертификат локального сервера. |
Проверьте дату истечения срока действия сертификата сервера и убедитесь, что он был выдан доверенным центром сертификации. |
|
Не удается опубликовать метрики. |
Проверьте доступ локальной сети к внешним облачным службам. |
|
Каталог /media/configdrive/hds не существует. |
Проверьте конфигурацию подключения ISO на виртуальном хосте. Проверьте, существует ли файл ISO, настроен ли он для подключения при перезагрузке и успешно ли установлен. |
|
Настройка организации клиента не завершена для добавленных организаций |
Завершите настройку, создав CMK для вновь добавленных клиентских организаций с помощью инструмента настройки HDS. |
|
Настройка организации клиента не завершена для удаленных организаций |
Завершите настройку, отозвав CMK клиентских организаций, которые были удалены с помощью инструмента настройки HDS. |
Устранение неполадок службы безопасности данных гибридного типа
| 1 |
Просмотрите в Partner Hub все предупреждения и исправьте все элементы, найденные в нем. Для справки см. изображение ниже. |
| 2 |
Проверьте вывод сервера системных журналов для активности из развертывания службы безопасности данных гибридного типа. Используйте фильтр для таких слов, как "Предупреждение" и "Ошибка", чтобы помочь в устранении неполадок. |
| 3 |
Обратитесь в службу поддержки Cisco. |
Другие примечания
Известные проблемы безопасности данных гибридного типа
-
Если вы выключите кластер безопасности данных гибридного типа (удалив его в партнерском центре или выключив все узлы), потеряете файл конфигурации ISO или потеряете доступ к базе данных хранилища ключей, пользователи приложения Webex клиентских организаций больше не смогут использовать пространства в списке пользователей, созданных с помощью ключей из KMS. В настоящий момент для устранения этой проблемы нет обходного решения или решения. Мы настоятельно призываем вас не выключать службы HDS после обработки активных учетных записей пользователей.
-
Клиент с существующим подключением ECDH к KMS поддерживает это соединение в течение периода времени (вероятно, один час).
Использование OpenSSL для создания файла PKCS12
Перед началом работы
-
OpenSSL — это один из инструментов, который можно использовать для создания файла PKCS12 в соответствующем формате для загрузки в инструменте настройки HDS. Есть и другие способы сделать это, и мы не поддерживаем и не продвигаем друг друга.
-
Если вы решите использовать OpenSSL, мы предоставляем эту процедуру в качестве руководства для создания файла, который соответствует требованиям сертификата X.509 в разделе Требования к сертификату X.509. Прежде чем продолжить, ознакомьтесь с этими требованиями.
-
Установите OpenSSL в поддерживаемой среде. Информацию о программном обеспечении и документации см. в разделе https://www.openssl.org .
-
Создайте закрытый ключ.
-
Начните эту процедуру при получении сертификата сервера от центра сертификации (ЦС).
| 1 |
При получении сертификата сервера от ЦС сохраните его как |
| 2 |
Отобразите сертификат в виде текста и проверьте сведения.
|
| 3 |
Используйте текстовый редактор для создания файла пакета сертификатов под названием
|
| 4 |
Создайте файл .p12 с подходящим именем
|
| 5 |
Проверьте сведения о сертификате сервера. |
Дальнейшие действия
Вернитесь к разделу Выполнение предварительных требований для безопасности данных гибридного типа. Файл hdsnode.p12 и заданный для него пароль будут использоваться в разделе Создание конфигурации ISO для узлов HDS.
Эти файлы можно повторно использовать для запроса нового сертификата по истечении срока действия исходного сертификата.
Трафик между узлами HDS и облаком
Трафик сбора исходящих метрик
Узлы безопасности данных гибридного типа отправляют определенные метрики в облако Webex. К ним относятся системные метрики максимального количества подключений, использования максимального количества подключений, загрузки ЦП и количества потоков; метрики синхронных и асинхронных потоков; метрики оповещений о пороговом значении соединений шифрования, задержки или длины очереди запросов; метрики хранилища данных; и метрики подключения шифрования. Узлы отправляют зашифрованный ключ-материал по внеполосному каналу (отдельному от запроса).
Входящий трафик
Узлы безопасности данных гибридного типа получают из облака Webex следующие типы входящего трафика:
-
Запросы на шифрование от клиентов, которые маршрутизируются службой шифрования
-
Модернизация программного обеспечения узла
Настройка прокси Squid для безопасности данных гибридного типа
Невозможно выполнить подключение веб-сокетов через прокси Squid
Прокси Squid, которые проверяют трафик HTTPS, могут мешать созданию соединений веб-сокетов (wss:), которые необходимы службе безопасности данных гибридного типа. В указанных далее разделах приведены рекомендации по настройке различных версий Squid с целью игнорирования трафика wss: для обеспечения надлежащей работы служб.
Squid 4 и 5
Добавьте on_unsupported_protocol директиву в squid.conf:
on_unsupported_protocol туннель всеSquid 3.5.27
Служба безопасности данных гибридного типа успешно протестирована с указанными далее правилами, добавленными в squid.conf. Эти правила могут изменяться по мере разработки функций и обновления облака Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump соединение wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump просмотр step1 все ssl_bump просмотр step2 все ssl_bump bump3 всеНовая и измененная информация
Новая и измененная информация
В этой таблице описаны новые функции или функциональные возможности, изменения существующего контента, а также любые серьезные ошибки, исправленные в руководстве по развертыванию службы безопасности данных гибридного типа с несколькими клиентами.
|
Дата |
Внесены изменения |
|---|---|
|
30 января 2025 г. |
Добавлен сервер SQL версии 2022 в список поддерживаемых серверов SQL в разделе Требования к серверу базы данных. |
|
15 января 2025 г. |
Добавлены ограничения безопасности данных гибридного типа с несколькими клиентами. |
|
8 января 2025 г. |
Добавлено примечание в разделе Выполнение начальной настройки и скачивание файлов установки , в котором указано, что нажатие кнопки Настройка на карточке HDS в Partner Hub является важным этапом процесса установки. |
|
7 января 2025 г. |
Обновлены Требования к виртуальному узлу, Алгоритм выполнения задач по развертыванию службы безопасности данных гибридного типа и Установка OVA узла HDS для отображения новых требований ESXi 7.0. |
|
13 декабря 2024 г. |
Впервые опубликовано. |
Деактивация службы безопасности данных гибридного типа с несколькими клиентами
Алгоритм выполнения задач по деактивации HDS с несколькими клиентами
Чтобы полностью деактивировать HDS с несколькими клиентами, выполните приведенные ниже действия.
Перед началом работы
| 1 |
Удалите всех клиентов из всех кластеров, как указано в разделе Удаление клиентских организаций. |
| 2 |
Отозвать CMK всех клиентов, как указано в статье Отозвать CMK клиентов, удаленных из HDS. |
| 3 |
Удалите все узлы из всех кластеров, как описано в разделе Удаление узла. |
| 4 |
Удалите все кластеры из Partner Hub одним из следующих двух способов.
|
| 5 |
Щелкните вкладку Настройки на странице обзора безопасности данных гибридного типа и щелкните Деактивировать HDS на карточке состояния HDS. |
Начало работы с системой безопасности данных гибридного типа с поддержкой нескольких клиентов
Общие сведения о безопасности данных гибридного типа для нескольких клиентов
С самого начала безопасность данных была главной задачей при разработке приложения Webex. В основе этой безопасности лежит сквозное шифрование контента, которое включается клиентами приложения Webex, взаимодействующими со службой управления ключами (KMS). KMS отвечает за создание и управление криптографическими ключами, которые используются клиентами для динамического шифрования и расшифровки сообщений и файлов.
По умолчанию для всех клиентов приложения Webex обеспечивается сквозное шифрование с использованием динамических ключей, которые хранятся в облаке KMS в области безопасности Cisco. Служба безопасности данных гибридного типа перемещает KMS и другие функции безопасности в корпоративный центр обработки данных, поэтому доступ к ключам для зашифрованного контента будет только у вас.
Служба безопасности данных гибридного типа с поддержкой нескольких клиентов позволяет организациям использовать HDS через доверенного локального партнера, который может выполнять функции поставщика услуг и управлять локальным шифрованием и другими службами безопасности. Эта настройка позволяет партнерской организации осуществлять полный контроль над развертыванием ключей шифрования и управлением ими, а также обеспечивает безопасность данных пользователей клиентских организаций от внешнего доступа. Партнерские организации настраивают экземпляры HDS и при необходимости создают кластеры HDS. Каждый экземпляр может поддерживать несколько клиентских организаций, в отличие от обычного развертывания HDS, которое ограничено одной организацией.
Это также позволяет небольшим организациям использовать HDS, поскольку служба управления ключами и инфраструктура безопасности, например центры обработки данных, принадлежат доверенному локальному партнеру.
Как служба безопасности данных гибридного типа с несколькими клиентами обеспечивает суверенитет и управление данными
- Созданный пользователем контент защищен от внешнего доступа, например от поставщиков облачных услуг.
- Локальные доверенные партнеры управляют ключами шифрования клиентов, с которыми они уже установили взаимоотношения.
- Параметр для локальной технической поддержки, если она предоставлена партнером.
- Поддержка контента совещаний, обмена сообщениями и вызовов.
Этот документ предназначен для помощи партнерским организациям в настройке клиентов и управлении ими в системе безопасности данных гибридного типа с несколькими клиентами.
Ограничения службы безопасности данных гибридного типа с несколькими клиентами
- Партнерские организации не должны иметь существующее развертывание HDS, активное в Control Hub.
- Клиентские или клиентские организации, которым необходимо управлять партнером, не должны иметь существующее развертывание HDS в Control Hub.
- После развертывания партнером HDS с несколькими клиентами все пользователи клиентских организаций, а также пользователи партнерской организации начинают использовать HDS с несколькими клиентами для своих служб шифрования.
Партнерская организация и клиентские организации, которыми они управляют, будут развертываться в одном развертывании HDS с несколькими клиентами.
После развертывания HDS с несколькими клиентами партнерская организация больше не будет использовать облачную службу KMS.
- Механизм для перемещения ключей обратно в облачную службу KMS после развертывания HDS отсутствует.
- В настоящее время каждое развертывание HDS с несколькими клиентами может иметь только один кластер с несколькими узлами под ним.
- Роли администраторов имеют определенные ограничения. Подробности см. в разделе ниже.
Роли в службе безопасности данных гибридного типа с несколькими клиентами
- Администратор партнера с полными правами : может управлять настройками для всех клиентов, которыми управляет партнер. Также может назначать роли администратора существующим пользователям в организации и назначать определенных клиентов, которыми будут управлять администраторы партнера.
- Администратор партнера . Может управлять настройками клиентов, подготовленных администратором или назначенных пользователю.
- Администратор с полными правами . Администратор партнерской организации, уполномоченный выполнять такие задачи, как изменение настроек организации, управление лицензиями и назначение ролей.
- Сквозная настройка HDS с несколькими клиентами и управление ими всех клиентских организаций . Требуются права администратора партнера с полными правами и администратора с полными правами.
- Управление назначенными организациями клиента : требуются права администратора партнера и полного администратора.
Архитектура области безопасности
Облачная архитектура Webex разбивает различные типы служб на отдельные области или домены доверия, как показано ниже.
Чтобы получить дополнительные сведения о безопасности данных гибридного типа, давайте сначала рассмотрим этот облачный случай, в котором компания Cisco предоставляет все функции в облачных областях. Служба удостоверений – единственное место, где пользователи могут напрямую соотнести с их персональной информацией, такой как адрес электронной почты, логически и физически отделена от области безопасности в центре обработки данных B. Обе службы в свою очередь отделены от области, в которой в конечном итоге хранится зашифрованный контент, в центре обработки данных C.
На этой схеме клиент представляет собой приложение Webex, запущенное на ноутбуке пользователя и прошедшее аутентификацию с помощью службы удостоверений. При написании пользователем сообщения для отправки в пространство выполняются следующие действия.
-
Клиент устанавливает безопасное соединение со службой управления ключами (KMS), затем запрашивает ключ для шифрования сообщения. Защищенное соединение использует ECDH, а KMS шифрует ключ с помощью главного ключа AES-256.
-
Сообщение шифруется до выхода из клиента. Клиент отправляет его в службу индексации, которая создает зашифрованные индексы поиска для помощи в будущих поисковых запросах контента.
-
Зашифрованное сообщение отправляется в службу обеспечения соответствия для проверки соответствия.
-
Зашифрованное сообщение хранится в области хранилища.
При развертывании службы безопасности данных гибридного типа функции области безопасности (KMS, индексация и соответствие требованиям) перемещаются в локальный центр обработки данных. Другие облачные службы, которые составляют Webex (включая идентификационные данные и хранилище контента), остаются в сферах Cisco.
Сотрудничество с Другими Организациями
Пользователи в вашей организации могут регулярно использовать приложение Webex для совместной работы с внешними участниками из других организаций. Когда один из пользователей запрашивает ключ для пространства, принадлежащего вашей организации (поскольку он был создан одним из пользователей), KMS отправляет ключ клиенту по защищенному каналу ECDH. Однако если ключ для пространства принадлежит другой организации, KMS перенаправляет запрос в облако Webex через отдельный канал ECDH для получения ключа от соответствующего KMS, а затем возвращает ключ пользователю в исходном канале.
Служба KMS, запущенная в организации A, проверяет подключения к KMS в других организациях с помощью сертификатов PKI x.509. Подробные сведения о создании сертификата x.509 для использования с развертыванием службы безопасности данных гибридного типа с несколькими клиентами см. в статье Подготовка среды .
Ожидания развертывания службы безопасности данных гибридного типа
Развертывание службы безопасности данных гибридного типа требует значительных обязательств и осознания рисков, связанных с хранением ключей шифрования.
Для развертывания службы безопасности данных гибридного типа необходимо предоставить:
-
Защищенный центр обработки данных в стране, которая является местоположением, поддерживаемым планами Cisco Webex Teams.
-
Оборудование, программное обеспечение и доступ к сети, описанные в разделе Подготовка среды.
Полная потеря конфигурации ISO, созданной для службы безопасности данных гибридного типа, или предоставленной базы данных приведет к потере ключей. Потеря ключей предотвращает расшифровку контента пространства и других зашифрованных данных в приложении Webex пользователями. В этом случае можно создать новое развертывание, однако будет отображаться только новый контент. Во избежание потери доступа к данным необходимо выполнить приведенные ниже действия.
-
Управление резервным копированием и восстановлением базы данных и конфигурации ISO.
-
Будьте готовы к быстрому аварийному восстановлению в случае аварии, например, сбою диска базы данных или сбою центра обработки данных.
Механизм для перемещения ключей обратно в облако после развертывания HDS отсутствует.
Высокоуровневый процесс настройки
В этом документе описана настройка и управление развертыванием службы безопасности данных гибридного типа с несколькими клиентами.
-
Настройка безопасности данных гибридного типа. Это включает подготовку необходимой инфраструктуры и установку программного обеспечения безопасности данных гибридного типа, создание кластера HDS, добавление клиентских организаций в кластер и управление их главными ключами клиента (CMK). Это позволит всем пользователям клиентских организаций использовать кластер безопасности данных гибридного типа для функций безопасности.
Этапы настройки, активации и управления подробно описаны в следующих трех главах.
-
Поддержка развертывания службы безопасности данных гибридного типа: облако Webex автоматически обеспечивает непрерывную модернизацию. Ваш отдел ИТ может предоставлять поддержку первого уровня для этого развертывания и при необходимости привлекать поддержку Cisco. В Partner Hub можно использовать экранные уведомления и настроить предупреждения на основе электронной почты.
-
Общие предупреждения, действия по устранению неполадок и известные проблемы. При возникновении проблем с развертыванием или использованием службы безопасности данных гибридного типа можно определить и устранить проблему с помощью последней главы этого руководства и приложения "Известные проблемы".
Модель развертывания службы безопасности данных гибридного типа
В корпоративном центре обработки данных служба безопасности данных гибридного типа будет развернута в виде одного кластера узлов на отдельных виртуальных узлах. Узлы связываются с облаком Webex с помощью защищенных веб-сокетов и защищенного HTTP.
Во время процесса установки предоставляется файл OVA для настройки виртуального устройства на предоставленных вами виртуальных машинах. Инструмент настройки HDS используется для создания пользовательского файла конфигурации кластера ISO, который устанавливается на каждом узле. Кластер безопасности данных гибридного типа использует предоставленный сервер Syslogd и базу данных PostgreSQL или Microsoft SQL Server. (Сведения о соединении Syslogd и базы данных можно настроить в инструменте настройки HDS.)
Минимальное количество узлов в кластере: два. Рекомендуется не менее трех на кластер. Наличие нескольких узлов гарантирует, что во время модернизации программного обеспечения или других действий по техническому обслуживанию узла служба не будет прерываться. (Облако Webex модернизирует только один узел за раз.)
Все узлы в кластере имеют доступ к одному хранилищу данных и активности журналов на один и тот же сервер системных журналов. Сами узлы не имеют состояния и обрабатывают запросы на ключ в циклическом порядке, как направляется облаком.
Узлы становятся активными при регистрации в партнерском центре. Чтобы вывести отдельный узел из эксплуатации, можно отменить его регистрацию, а затем, при необходимости, повторно зарегистрировать его.
Резервный центр обработки данных для аварийного восстановления
Во время развертывания вы настраиваете защищенный резервный центр обработки данных. В случае аварии центра обработки данных можно вручную перенести развертывание на резервный центр обработки данных.
Базы данных активных и резервных центров обработки данных синхронизируются друг с другом, что позволит свести к минимуму время, затрачиваемое на выполнение отработки отказа.
Активные узлы безопасности данных гибридного типа всегда должны находиться в одном центре обработки данных с активным сервером базы данных.
Поддержка прокси
Служба безопасности данных гибридного типа поддерживает явные прокси, прозрачные прокси с проверкой и прокси без проверки. Чтобы обеспечить защиту и мониторинг трафика из сети предприятия в облако, можно связать эти прокси с развертыванием. После настройки прокси на узлах административный интерфейс платформы на узлах можно использовать для управления сертификатами и просмотра общего состояния соединений.
Узлы безопасности данных гибридного типа поддерживают указанные далее параметры прокси.
-
Нет прокси. Значение по умолчанию, если для интеграции прокси не используется конфигурация доверенного хранилища и прокси для настройки узла HDS. Обновление сертификата не требуется.
-
Прозрачный прокси без проверки. Узлы не настроены для использования адреса определенного прокси-сервера и не должны требовать каких-либо изменений для работы с прокси без проверки. Обновление сертификата не требуется.
-
Прозрачный туннелирование или прокси с проверкой. Узлы не настроены для использования адреса определенного прокси-сервера. На узлах не нужно изменять конфигурацию HTTP или HTTPS. Как бы то ни было, для обеспечения доверия прокси узлам необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже HTTPS).
-
Явный прокси. При использовании явного прокси необходимо указать прокси-сервер и схему аутентификации узлам HDS. Для настройки явного прокси на каждом узле нужно ввести следующую информацию.
-
IP/FQDN прокси. Адрес, который можно использовать для связи с прокси-машиной.
-
Порт прокси. Номер порта, который прокси использует для прослушивания прокси-трафика.
-
Proxy Protocol (Протокол прокси). В зависимости от поддержки прокси-сервера выберите один из следующих протоколов.
-
HTTP – просматривает все запросы, отправляемые клиентом, и управляет этими запросами.
-
HTTPS – обеспечивает работу канала связи с сервером. Клиент получает и проверяет сертификат сервера.
-
-
Тип аутентификации: выберите один из приведенных ниже типов аутентификации.
-
Нет. Дальнейшая аутентификация не требуется.
Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.
-
Базовый: используется для агента пользователя HTTP для указания имени пользователя и пароля при совершении запроса. Использует кодировку Base64.
Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.
Требует ввода имени пользователя и пароля на каждом узле.
-
Дайджест. Используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети.
Этот параметр доступен только в том случае, если в качестве протокола прокси выбран протокол HTTPS.
Требует ввода имени пользователя и пароля на каждом узле.
-
-
Пример узлов безопасности данных гибридного типа и прокси
На этой схеме представлен пример соединения между системой безопасности данных гибридного типа, сетью и прокси. При использовании прозрачного прокси с проверкой или явного прокси с проверкой HTTPS на прокси и узлы безопасности данных гибридного типа необходимо установить один и тот же корневой сертификат.
Режим блокировки разрешения внешних DNS (конфигурации явного прокси)
При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. В развертываниях с конфигурациями явного прокси, которые не допускают разрешения внешних DNS для внутренних клиентов, если узел не может посылать запросы на DNS-серверы, он автоматически переходит в режим блокировки разрешения внешних DNS. В этом режиме можно продолжить регистрацию узла и другие тестирования подключения к прокси.
Подготовка среды
Требования к безопасности данных гибридного типа с несколькими клиентами
Требования к лицензии Cisco Webex
Развертывание службы безопасности данных гибридного типа с несколькими клиентами.
-
Партнерские организации: Обратитесь к своему партнеру Cisco или менеджеру по работе с клиентами и убедитесь, что функция "Несколько клиентов" включена.
-
Организации клиентов: Необходима профессиональная версия Cisco Webex Control Hub. См. https://www.cisco.com/go/pro-pack.
Требования к рабочему столу Docker
Перед установкой узлов HDS необходимо запустить программу настройки с помощью Docker Desktop. Docker недавно обновил свою модель лицензирования. Для вашей организации может потребоваться платная подписка на Docker Desktop. Подробности см. в записи блога Docker, " Docker обновляет и расширяет подписки на продукты".
Требования к сертификату X.509
Цепочка сертификатов должна соответствовать следующим требованиям:
|
Требование |
Подробности |
|---|---|
|
По умолчанию мы доверяем ЦС в списке Mozilla (за исключением WoSign и StartCom) по адресу https://wiki.mozilla.org/CA:IncludedCAs. |
|
CN не требуется, чтобы он был доступен или был организатором в режиме реального времени. Рекомендуется использовать название, отражающее вашу организацию, например CN не должен содержать * (подстановочный знак). CN используется для проверки узлов безопасности данных гибридного типа для клиентов приложения Webex. Все узлы безопасности данных гибридного типа в кластере используют один и тот же сертификат. Ваш KMS идентифицирует себя с помощью домена CN, а не любого домена, определенного в полях SAN x.509v3. После регистрации узла с этим сертификатом изменение доменного имени CN не поддерживается. |
|
Программное обеспечение KMS не поддерживает подписи SHA1 для проверки подключений к KMS других организаций. |
|
Для изменения формата сертификата можно использовать преобразователь, например OpenSSL. При запуске инструмента настройки HDS потребуется ввести пароль. |
Программное обеспечение KMS не обеспечивает принудительное использование ключа или расширенные ограничения на его использование. Некоторые центры сертификации требуют, чтобы к каждому сертификату применялись расширенные ограничения на использование ключей, например аутентификация сервера. Использовать аутентификацию сервера или другие настройки можно.
Требования к виртуальному организатору
Виртуальные узлы, которые будут настроены в качестве узлов безопасности данных гибридного типа в кластере, имеют следующие требования:
-
По крайней мере два отдельных узла (рекомендуется 3) размещены в одном защищенном центре обработки данных
-
Установлена и запущена VMware ESXi 7.0 (или более поздняя версия).
При наличии более ранней версии ESXi необходимо выполнить модернизацию.
-
Минимум 4 ЦП, 8 ГБ основной памяти, 30 ГБ локального жесткого диска на сервер
Требования к серверу базы данных
Создайте новую базу данных для хранилища ключей. Не используйте базу данных по умолчанию. Приложения HDS при установке создают схему базы данных.
Существует два варианта сервера баз данных. Требования для каждого из них приведены ниже.
|
PostgreSQL |
Сервер Microsoft SQL |
|---|---|
|
|
|
Минимум 8 виртуальных ЦП, 16 ГБ основной памяти, достаточное пространство на жестком диске и мониторинг для обеспечения его отсутствия (рекомендуется 2 ТБ, если необходимо запустить базу данных в течение длительного времени без увеличения объема хранилища) |
Минимум 8 виртуальных ЦП, 16 ГБ основной памяти, достаточное пространство на жестком диске и мониторинг для обеспечения его отсутствия (рекомендуется 2 ТБ, если необходимо запустить базу данных в течение длительного времени без увеличения объема хранилища) |
Программное обеспечение HDS в настоящее время устанавливает следующие версии драйверов для связи с сервером базы данных:
|
PostgreSQL |
Сервер Microsoft SQL |
|---|---|
|
Драйвер JDBC Postgres 42.2.5 |
Драйвер JDBC 4.6 для SQL-сервера Эта версия драйвера поддерживает SQL Server Always On (экземпляры отказоустойчивого кластера и группы доступности Always On). |
Дополнительные требования для аутентификации Windows на Microsoft SQL Server
Если необходимо, чтобы узлы HDS использовали аутентификацию Windows для получения доступа к базе данных хранилища ключей на Microsoft SQL Server, в вашей среде потребуется следующая конфигурация:
-
Узлы HDS, инфраструктура Active Directory и сервер MS SQL должны быть синхронизированы с NTP.
-
Учетная запись Windows, которую вы предоставляете узлам HDS, должна иметь доступ к базе данных для чтения и записи.
-
Серверы DNS, предоставляемые узлам HDS, должны иметь возможность разрешать центр распределения ключей (KDC).
-
Экземпляр базы данных HDS можно зарегистрировать на сервере Microsoft SQL в качестве главного имени службы (SPN) в Active Directory. См. статью Регистрация имени участника службы для Kerberos Connections.
Инструмент настройки HDS, программа запуска HDS и локальный KMS должны использовать аутентификацию Windows для доступа к базе данных хранилища ключей. Они используют сведения из конфигурации ISO для создания SPN при запросе доступа с аутентификацией Kerberos.
Требования к внешнему подключению
Настройте брандмауэр, чтобы разрешить следующее подключение для приложений HDS:
|
Приложение |
Протокол |
Порт |
Направление из приложения |
Адресат |
|---|---|---|---|---|
|
Узлы безопасности данных гибридного типа |
Протокол TCP |
443 |
Исходящие HTTPS и WSS |
|
|
Инструмент настройки HDS |
Протокол TCP |
443 |
HTTPS для исходящих вызовов |
|
Узлы безопасности данных гибридного типа работают с преобразованием сетевого доступа (NAT) или за брандмауэром, если NAT или брандмауэр допускает необходимые исходящие соединения с адресатами домена в таблице выше. Для соединений, поступающих на узлы безопасности данных гибридного типа, порты не должны отображаться из Интернета. В центре обработки данных клиентам необходим доступ к узлам безопасности данных гибридного типа на портах 443 и 22 TCP в административных целях.
URL-адреса узлов общих параметров идентификации (CI) специфичны для региона. Ниже приведены текущие узлы CI.
|
Регион |
URL-адреса хостов общих параметров идентификации |
|---|---|
|
Северная и Южная Америка |
|
|
Европейский союз |
|
|
Канада |
|
| Сингапур |
|
| Объединенные Арабские Эмираты |
|
Требования к прокси-серверу
-
Мы официально поддерживаем следующие решения для прокси, которые можно интегрировать с узлами безопасности данных гибридного типа:
-
для прозрачных прокси – Cisco Web Security Appliance (WSA);
-
для явных прокси – Squid.
Прокси Squid, которые проверяют трафик HTTPS, могут мешать созданию соединений веб-сокетов (wss:). Чтобы устранить эту проблему, см. статью Настройка прокси Squid для безопасности данных гибридного типа.
-
-
Поддерживаются следующие комбинации типов аутентификации для явных прокси:
-
без аутентификации при использовании HTTP или HTTPS;
-
базовая аутентификация при использовании HTTP или HTTPS;
-
дайджест-аутентификация только при использовании HTTPS;
-
-
При наличии прозрачного прокси с проверкой или явного прокси HTTPS необходимо иметь копию корневого сертификата прокси. Инструкции по развертыванию, приведенные в этом руководстве, содержат информацию о том, как загрузить эту копию в зоны доверия узлов безопасности данных гибридного типа.
-
Сеть, в которой размещены узлы HDS, должна обеспечивать принудительную маршрутизацию исходящего трафика TCP на порте 443 через прокси.
-
Прокси, проверяющие веб-трафик, могут нарушать работу соединений веб-сокетов. Для устранения этой проблемы трафик следует направить в обход (без проверки) на
wbx2.comи*.teams.webex.com.
Выполнение предварительных требований для службы безопасности данных гибридного типа
| 1 |
Убедитесь, что в партнерской организации включена функция HDS с несколькими клиентами, и получите учетные данные учетной записи с полными правами администратора партнера и полными правами администратора. Убедитесь, что для клиентской организации Webex включена профессиональная версия Cisco Webex Control Hub. Обратитесь за помощью к своему партнеру Cisco или менеджеру по работе с клиентами. У клиентских организаций не должно быть существующего развертывания HDS. |
| 2 |
Выберите имя домена для развертывания HDS (например, |
| 3 |
Подготовьте идентичные виртуальные узлы, которые будут настроены в качестве узлов безопасности данных гибридного типа в кластере. Необходимо разместить не менее двух отдельных организаторов (рекомендуется 3) в одном и том же защищенном центре обработки данных, который соответствует требованиям в разделе Требования к виртуальному организатору. |
| 4 |
Подготовьте сервер базы данных, который будет использоваться в качестве хранилища ключевых данных для кластера в соответствии с требованиями сервера базы данных. Сервер базы данных должен быть размещен в защищенном центре обработки данных с виртуальными хостами. |
| 5 |
Для быстрого аварийного восстановления настройте резервную среду в другом центре обработки данных. Резервная среда дублирует производственную среду виртуальных машин и сервер базы данных резервного копирования. Например, если в производственной среде есть 3 виртуальных машины с узлами HDS, резервная среда должна иметь 3 виртуальных машины. |
| 6 |
Настройте узел системного журнала для сбора журналов с узлов в кластере. Соберите сетевой адрес и порт системного журнала (по умолчанию UDP 514). |
| 7 |
Создайте политику безопасного резервного копирования для узлов безопасности данных гибридного типа, сервера базы данных и узла системного журнала. Как минимум, чтобы предотвратить необратимую потерю данных, необходимо создать резервную копию базы данных и файла конфигурации ISO, созданного для узлов безопасности данных гибридного типа. Поскольку узлы безопасности данных гибридного типа хранят ключи, используемые при шифровании и расшифровке контента, невыполнение оперативного развертывания приведет к НЕОБРАТИМОЙ ПОТЕРЕ этого контента. Клиенты приложения Webex кэшируют свои ключи, поэтому сбои могут не сразу стать заметными, но со временем станут очевидными. Временные перебои невозможно предотвратить, но их можно восстановить. Однако полная потеря базы данных или файла конфигурации ISO (нет доступных резервных копий) приведет к невозможности восстановления данных клиента. Ожидается, что операторы узлов безопасности данных гибридного типа осуществляют частые резервные копии базы данных и файла конфигурации ISO и будут готовы к обновлению центра обработки данных службы безопасности данных гибридного типа в случае катастрофической ошибки. |
| 8 |
Убедитесь, что конфигурация брандмауэра разрешает соединение для узлов безопасности данных гибридного типа, как описано в разделе Требования к внешнему подключению. |
| 9 |
Установите Docker (https://www.docker.com) на любом локальном компьютере, на котором запущена поддерживаемая ОС (64-разрядная версия Microsoft Windows 10 Professional или Enterprise или Mac OSX Yosemite 10.10.3 или более поздняя версия) с веб-браузером, с помощью которого можно получить доступ на странице http://127.0.0.1:8080. Экземпляр Docker используется для скачивания и запуска инструмента настройки HDS, который создает информацию локальной конфигурации для всех узлов безопасности данных гибридного типа. Вам может понадобиться лицензия Docker Desktop. Дополнительную информацию см. в статье Требования к рабочему столу Docker . Для установки и запуска инструмента настройки HDS локальная машина должна иметь подключение, описанное в разделе Требования к внешнему подключению. |
| 10 |
При интеграции прокси с системой безопасности данных гибридного типа убедитесь, что он соответствует требованиям к прокси-серверу. |
Настройка кластера безопасности данных гибридного типа
Алгоритм выполнения задач по развертыванию службы безопасности данных гибридного типа
| 1 |
Выполните начальную настройку и скачайте файлы установки Скачайте файл OVA на локальный компьютер для дальнейшего использования. |
| 2 |
Создание ISO конфигурации для узлов HDS Используйте инструмент настройки HDS для создания файла конфигурации ISO для узлов безопасности данных гибридного типа. |
| 3 |
Создайте виртуальную машину из файла OVA и выполните начальную конфигурацию, например параметры сети. Параметр настройки сети во время развертывания OVA протестирован с помощью ESXi 7.0. Этот параметр может быть недоступен в более ранних версиях. |
| 4 |
Настройка виртуальной машины безопасности данных гибридного типа Войдите в консоль виртуальной машины и задайте учетные данные для входа. Настройте параметры сети для узла, если они не были настроены во время развертывания файла OVA. |
| 5 |
Загрузка и установка ISO конфигурации HDS Настройте виртуальную машину из файла конфигурации ISO, созданного с помощью инструмента настройки HDS. |
| 6 |
Настройка узла HDS для интеграции прокси Если в сетевой среде требуется конфигурация прокси, укажите тип прокси, который будет использоваться для узла, и при необходимости добавьте сертификат прокси в доверенное хранилище. |
| 7 |
Регистрация первого узла в кластере Зарегистрируйте виртуальную машину в облаке Cisco Webex в качестве узла безопасности данных гибридного типа. |
| 8 |
Создать и зарегистрировать другие узлы Завершите настройку кластера. |
| 9 |
Активируйте HDS с несколькими клиентами в Partner Hub. Активируйте HDS и управляйте организациями клиентов в Partner Hub. |
Выполните начальную настройку и скачайте файлы установки
В этой задаче вы скачаете файл OVA на свой компьютер (а не на серверы, настроенные в качестве узлов безопасности данных гибридного типа). Этот файл будет использован позже в процессе установки.
| 1 |
Войдите в Partner Hub и щелкните Службы. |
| 2 |
В разделе облачных служб найдите карточку безопасности данных гибридного типа и щелкните Настройка. Нажатие кнопки Настройка в партнерском центре имеет решающее значение для процесса развертывания. Не продолжайте установку без завершения этого шага. |
| 3 |
Щелкните Добавить ресурс и щелкните Скачать файл OVA на карточке Установка и настройка программного обеспечения . Более ранние версии пакета программного обеспечения (OVA) не будут совместимы с последними модернизациями безопасности данных гибридного типа. Это может привести к ошибкам во время модернизации приложения. Убедитесь, что скачано последнюю версию файла OVA. Кроме того, файл OVA можно скачать в любой момент в разделе Справка . Щелкните . Скачивание файла OVA начнется автоматически. Сохраните файл в местоположении на своем компьютере.
|
| 4 |
При необходимости щелкните Просмотреть руководство по развертыванию службы безопасности данных гибридного типа , чтобы проверить доступность более поздней версии этого руководства. |
Создание ISO конфигурации для узлов HDS
Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.
Прежде чем начать
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора.
Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker на шаге 5 ниже. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТHTTPS-прокси без аутентификации
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТHTTP-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТHTTPS-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ -
Созданный файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. При внесении изменений в конфигурацию вам потребуется последняя копия этого файла. Например:
-
Учетные данные базы данных
-
Обновления сертификата
-
Изменения политики авторизации
-
-
При планировании шифрования соединений с базой данных настройте развертывание PostgreSQL или SQL Server для TLS.
| 1 |
Введите соответствующую команду для вашей среды в командной строке компьютера. В обычных средах: В средах FedRAMP: На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать. | ||||||||||
| 2 |
Чтобы войти в реестр образов Docker, введите следующее. | ||||||||||
| 3 |
Введите в запросе пароля этот хеш: | ||||||||||
| 4 |
Скачайте последнюю стабильную версию образа для вашей среды. В обычных средах: В средах FedRAMP: | ||||||||||
| 5 |
По завершении скачивания введите соответствующую команду для вашей среды.
Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080". | ||||||||||
| 6 |
Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу. Перейдите к локальному узлу Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартную подсказку для входа в систему. | ||||||||||
| 7 |
При отображении соответствующего запроса введите учетные данные для входа администратора Partner Hub и щелкните Войти , чтобы разрешить доступ к необходимым службам для службы безопасности данных гибридного типа. | ||||||||||
| 8 |
На странице обзора инструмента настройки щелкните Начало работы. | ||||||||||
| 9 |
На странице Импорт ISO доступны следующие параметры.
| ||||||||||
| 10 |
Проверьте, соответствует ли сертификат X.509 требованиям к сертификатам X.509.
| ||||||||||
| 11 |
Введите адрес базы данных и учетную запись HDS для доступа к хранилищу данных ключей: | ||||||||||
| 12 |
Выберите Режим подключения к базе данных TLS.
При загрузке корневого сертификата (при необходимости) и нажатии Продолжить инструмент настройки HDS тестирует подключение TLS к серверу базы данных. Инструмент также выполняет проверку источника подписи сертификата и имени узла (если применимо). Если тест не будет пройден, в инструменте будет отображено сообщение об ошибке с описанием проблемы. Можно выбрать параметр игнорирования ошибки и продолжить настройку. (Из-за различий соединения узлы HDS могут установить соединение TLS, даже если машина средства настройки HDS не может успешно протестировать его.) | ||||||||||
| 13 |
На странице «Системные журналы» настройте сервер Syslogd: | ||||||||||
| 14 |
(Необязательно) Можно изменить значение по умолчанию для некоторых параметров подключения к базе данных в разделе Расширенные настройки. Как правило, этот параметр является единственным, который необходимо изменить: | ||||||||||
| 15 |
Щелкните Продолжить на экране Сброс пароля учетных записей службы . Срок действия паролей учетных записей службы составляет девять месяцев. Используйте этот экран, когда срок действия паролей скоро истечет или вы хотите сбросить их, чтобы сделать предыдущие файлы ISO недействительными. | ||||||||||
| 16 |
Щелкните Скачать файл ISO. Сохраните файл в удобном для поиска местоположении. | ||||||||||
| 17 |
Сделайте резервную копию файла ISO в локальной системе. Обеспечьте безопасность резервного копирования. Этот файл содержит главный ключ шифрования для содержимого базы данных. Ограничьте доступ только тем администраторам службы безопасности данных гибридного типа, которые должны вносить изменения в конфигурацию. | ||||||||||
| 18 |
Чтобы завершить работу инструмента настройки, нажмите |
Дальнейшие действия
Создайте резервную копию файла конфигурации ISO. Это необходимо для создания дополнительных узлов для восстановления или внесения изменений в конфигурацию. В случае утери всех копий файла ISO также был утрачен главный ключ. Невозможно восстановить ключи из базы данных PostgreSQL или Microsoft SQL Server.
У нас никогда не будет копии этого ключа, и мы не можем помочь, если вы его потеряете.
Установка файла OVA узла HDS
| 1 |
Используйте клиент VMware vSphere на компьютере для входа в виртуальный хост ESXi. |
| 2 |
Выберите Файл > Развернуть шаблон OVF. |
| 3 |
В мастере укажите расположение скачанного ранее файла OVA и щелкните Далее. |
| 4 |
На странице Выберите имя и папку введите имя виртуальной машины для узла (например, "HDS_Node_1"), выберите местоположение, в котором может находиться развертывание узла виртуальной машины, и щелкните Далее. |
| 5 |
На странице Выбор вычислительного ресурса выберите целевой вычислительный ресурс и щелкните Далее. Выполняется проверка. По завершении отобразятся сведения о шаблоне. |
| 6 |
Проверьте сведения о шаблоне и щелкните Далее. |
| 7 |
При появлении запроса на выбор конфигурации ресурса на странице Конфигурация щелкните 4 ЦП , а затем щелкните Далее. |
| 8 |
На странице Выбор хранилища щелкните Далее , чтобы принять формат диска по умолчанию и политику хранилища виртуальной машины. |
| 9 |
На странице Выбор сетей выберите параметр сети из списка записей, чтобы обеспечить необходимое подключение к виртуальной машине. |
| 10 |
На странице Настройка шаблона настройте приведенные ниже параметры сети.
При необходимости можно пропустить конфигурацию сетевых настроек и выполнить действия, описанные в разделе Настройка виртуальной машины безопасности данных гибридного типа , чтобы настроить параметры с помощью консоли узла. Параметр настройки сети во время развертывания OVA протестирован с помощью ESXi 7.0. Этот параметр может быть недоступен в более ранних версиях. |
| 11 |
Щелкните правой кнопкой мыши узел виртуальной машины и выберите . Программное обеспечение безопасности данных гибридного типа устанавливается в качестве гостя на узле виртуальной машины. Теперь вы готовы войти в консоль и настроить узел. Рекомендации по устранению неисправностей Контейнеры узла могут появиться через несколько минут. Во время первой загрузки на консоли отображается сообщение брандмауэра моста, в течение которого невозможно войти в систему. |
Настройка виртуальной машины безопасности данных гибридного типа
Используйте эту процедуру для первого входа в консоль виртуальной машины узла безопасности данных гибридного типа и установки учетных данных для входа. Можно также использовать консоль для настройки сетевых параметров узла, если они не были настроены во время развертывания файла OVA.
| 1 |
В клиенте VMware vSphere выберите виртуальную машину узла безопасности данных гибридного типа и откройте вкладку Консоль . Будет загружена виртуальная машина, и отобразится запрос на вход. Если запрос на вход не отображается, нажмите клавишу ввода.
|
| 2 |
Для входа и изменения учетных данных используйте следующие параметры входа и пароля по умолчанию: Поскольку вы впервые входите в свою виртуальную машину, вам необходимо изменить пароль администратора. |
| 3 |
Если параметры сети уже настроены в разделе Установка OVA узла HDS, пропустите остальную процедуру. В противном случае в главном меню выберите параметр Редактировать конфигурацию . |
| 4 |
Настройте статическую конфигурацию с использованием IP-адреса, маски, шлюза и информации DNS. Узел должен иметь внутренний IP-адрес и имя DNS. DHCP не поддерживается. |
| 5 |
(Необязательно) Измените имя хоста, домен или NTP-серверы, если это необходимо для соответствия вашей сетевой политике. Настройка домена в соответствии с доменом, который вы использовали для получения сертификата X.509, не требуется. |
| 6 |
Сохраните конфигурацию сети и перезагрузите виртуальную машину, чтобы изменения вступили в силу. |
Загрузка и установка ISO конфигурации HDS
Перед началом работы
Поскольку в файле ISO содержится главный ключ, он должен быть раскрыт только по принципу «необходимо знать» для доступа виртуальных машин безопасности данных гибридного типа и всех администраторов, которым может потребоваться внести изменения. Убедитесь, что доступ к хранилищу данных могут получить только эти администраторы.
| 1 |
Загрузите файл ISO со своего компьютера. |
| 2 |
Установите файл ISO: |
Дальнейшие действия
Если политика ИТ требует, после внесения изменений конфигурации на всех узлах можно отсоединить файл ISO. Подробные сведения см. в статье (необязательно) Отключение ISO после настройки HDS .
Настройка узла HDS для интеграции прокси
Если в сетевой среде необходимо использовать прокси, воспользуйтесь этой процедурой, чтобы указать тип прокси, который нужно интегрировать со службой безопасности данных гибридного типа. При выборе прозрачного прокси с проверкой или явного прокси HTTPS можно использовать интерфейс узла для загрузки и установки корневого сертификата. Кроме того, в интерфейсе можно проверять соединение с прокси и устранять неполадки.
Перед началом работы
-
Общие сведения о поддерживаемых параметрах прокси см. в разделе Поддержка прокси .
| 1 |
Введите в веб-браузере URL-адрес для настройки узла HDS |
| 2 |
Откройте раздел Trust Store & Proxy (Зона доверия и прокси) и выберите один из следующих параметров.
В случае использования прозрачного прокси с проверкой, явного прокси HTTP с базовой аутентификацией или явного прокси HTTPS выполните указанные далее шаги. |
| 3 |
Щелкните Upload a Root Certificate or End Entity Certificate (Загрузить корневой сертификат или сертификат конечного субъекта) и откройте меню для выбора корневого сертификата для прокси. Сертификат будет загружен, но не установлен, поскольку для установки сертификата необходимо перезагрузить узел. Чтобы получить дополнительные сведения, щелкните стрелку-шеврон, расположенную рядом с именем издателя сертификата. Если вы допустили ошибку и хотите вновь загрузить файл, щелкните Delete (Удалить). |
| 4 |
Чтобы протестировать сетевое соединение между узлом и прокси, щелкните Check Proxy Connection (Проверить соединение с прокси). Если тестирование соединения завершится неудачей, на экране появится сообщение об ошибке, в котором будут указаны причина и способ исправления ошибки. Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу. Такая проблема может возникнуть во многих конфигурациях явного прокси. Можно продолжить настройку, и узел будет работать в режиме блокировки разрешения внешних DNS. Если вы считаете, что это ошибка, выполните эти действия, а затем см. статью Выключение режима блокировки разрешения внешних DNS. |
| 5 |
Если вы используете явный прокси, настроенный на применение исключительно https, после успешного завершения тестирования соединения включите параметр Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси (Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси). Для вступления в силу этого параметра необходимо 15 секунд. |
| 6 |
Щелкните Install All Certificates Into the Trust Store (Установить все сертификаты в зоне доверия) – этот параметр отображается при использовании явного прокси HTTPS или прозрачного прокси с проверкой – или Reboot (Перезагрузить) – этот параметр отображается при использовании явного прокси HTTP. Прочитайте запрос и щелкните Install (Установить), если вы готовы к установке. Узел перезагрузится в течение нескольких минут. |
| 7 |
После перезагрузки узла повторно войдите в систему, если это необходимо, и откройте страницу Обзор, чтобы выполнить проверки соединений. Состояние всех проверок должно быть обозначено зеленым цветом. Проверка соединения с прокси используется исключительно для тестирования поддомена webex.com. Проблемы с соединениями нередко возникают из-за того, что некоторые облачные домены, указанные в инструкциях по установке, блокируются на уровне прокси. |
Регистрация первого узла в кластере
При регистрации первого узла создается кластер, которому он назначен. Кластер содержит один или несколько узлов, развернутых для резервирования.
Перед началом работы
-
После начала регистрации узла ее необходимо завершить в течение 60 минут или начать заново.
-
Убедитесь, что все блокировки всплывающих окон в браузере отключены или вы разрешаете исключение для admin.webex.com.
| 1 |
Войдите в https://admin.webex.com. |
| 2 |
В меню в левой части экрана выберите Службы. |
| 3 |
В разделе облачных служб найдите карточку безопасности данных гибридного типа и щелкните Настройка. |
| 4 |
На открывшейся странице щелкните Добавить ресурс. |
| 5 |
В первом поле карточки Добавить узел введите имя кластера, которому необходимо назначить узел безопасности данных гибридного типа. Рекомендуется назвать кластер в зависимости от географического расположения узлов кластера. Примеры: "Сан-Франциско", "Нью-Йорк" или "Даллас" |
| 6 |
Во втором поле введите внутренний IP-адрес или полное доменное имя узла и щелкните Добавить в нижней части экрана. Этот IP-адрес или полное доменное имя должны совпадать с IP-адресом или именем хоста и доменом, которые вы использовали в разделе Настройка виртуальной машины безопасности данных гибридного типа. Отобразится сообщение о том, что можно зарегистрировать узел в Webex.
|
| 7 |
Щелкните Перейти к узлу. Через несколько секунд вы будете перенаправлены на тестирование подключения узла для служб Webex. Если все тесты будут успешными, отобразится страница "Разрешить доступ к узлу безопасности данных гибридного типа". Здесь вы подтверждаете, что хотите предоставить вашей организации Webex полномочия на доступ к узлу. |
| 8 |
Установите флажок в поле Разрешить доступ к узлу безопасности данных гибридного типа и щелкните Продолжить. Учетная запись подтверждена. В сообщении "Регистрация завершена" указано, что узел зарегистрирован в облаке Webex.
|
| 9 |
Щелкните ссылку или закройте вкладку, чтобы вернуться на страницу безопасности данных гибридного типа партнерского центра. На странице Безопасность данных гибридного типа новый кластер, содержащий зарегистрированный узел, отображается на вкладке Ресурсы . Узел будет автоматически скачан новейшее программное обеспечение из облака.
|
Создать и зарегистрировать другие узлы
Перед началом работы
-
После начала регистрации узла ее необходимо завершить в течение 60 минут или начать заново.
-
Убедитесь, что все блокировки всплывающих окон в браузере отключены или вы разрешаете исключение для admin.webex.com.
| 1 |
Создайте новую виртуальную машину из файла OVA, повторяя шаги, описанные в разделе Установка файла OVA узла HDS. |
| 2 |
Настройте начальную конфигурацию новой виртуальной машины, повторяя шаги, описанные в разделе Настройка виртуальной машины безопасности данных гибридного типа. |
| 3 |
В новой виртуальной машине повторите шаги, описанные в разделе Загрузка и установка ISO конфигурации HDS. |
| 4 |
При настройке прокси для развертывания повторите шаги, описанные в разделе Настройка узла HDS для интеграции прокси для нового узла. |
| 5 |
Зарегистрируйте узел. |
Управление организациями клиентов в службе безопасности данных гибридного типа с поддержкой нескольких клиентов
Активация HDS с несколькими клиентами в центре партнера
Эта задача позволит всем пользователям клиентских организаций начать использование HDS для локальных ключей шифрования и других служб безопасности.
Перед началом работы
Убедитесь, что настройка кластера HDS с несколькими клиентами завершена с требуемым количеством узлов.
| 1 |
Войдите в https://admin.webex.com. |
| 2 |
В меню в левой части экрана выберите Службы. |
| 3 |
В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Редактировать настройки. |
| 4 |
Щелкните Активировать HDS на карточке Состояние HDS . |
Добавить организации клиентов в Partner Hub
В этой задаче вы назначаете клиентские организации кластеру безопасности данных гибридного типа.
| 1 |
Войдите в https://admin.webex.com. |
| 2 |
В меню в левой части экрана выберите Службы. |
| 3 |
В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Просмотреть все. |
| 4 |
Щелкните кластер, которому необходимо назначить клиента. |
| 5 |
Перейдите на вкладку Назначенные клиенты . |
| 6 |
Щелкните Добавить клиентов. |
| 7 |
В раскрывающемся меню выберите клиента, которого необходимо добавить. |
| 8 |
Щелкните Добавить, и клиент будет добавлен в кластер. |
| 9 |
Чтобы добавить в кластер несколько клиентов, повторите шаги 6–8. |
| 10 |
После добавления клиентов щелкните Готово в нижней части экрана. |
Дальнейшие действия
Создание главных ключей клиентов (CMK) с помощью инструмента настройки HDS
Перед началом работы
Назначьте клиентов в соответствующий кластер, как описано в разделе Добавление клиентских организаций в Partner Hub. Запустите инструмент настройки HDS, чтобы завершить процесс настройки вновь добавленных клиентских организаций.
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора для вашей организации.
Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТHTTPS-прокси без аутентификации
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТHTTP-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТHTTPS-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ -
Созданный файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. При внесении изменений в конфигурацию вам потребуется последняя копия этого файла. Например:
-
Учетные данные базы данных
-
Обновления сертификата
-
Изменения политики авторизации
-
-
При планировании шифрования соединений с базой данных настройте развертывание PostgreSQL или SQL Server для TLS.
Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.
| 1 |
Введите соответствующую команду для вашей среды в командной строке компьютера. В обычных средах: В средах FedRAMP: На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать. |
| 2 |
Чтобы войти в реестр образов Docker, введите следующее. |
| 3 |
Введите в запросе пароля этот хеш: |
| 4 |
Скачайте последнюю стабильную версию образа для вашей среды. В обычных средах: В средах FedRAMP: |
| 5 |
По завершении скачивания введите соответствующую команду для вашей среды.
Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080". |
| 6 |
Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу. Перейдите к локальному узлу Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартную подсказку для входа в систему. |
| 7 |
При отображении соответствующего запроса введите учетные данные для входа администратора Partner Hub и щелкните Войти , чтобы разрешить доступ к необходимым службам для службы безопасности данных гибридного типа. |
| 8 |
На странице обзора инструмента настройки щелкните Начало работы. |
| 9 |
На странице Импорт ISO щелкните Да. |
| 10 |
Выберите файл ISO в браузере и загрузите его. Для выполнения управления CMK убедитесь в подключении к базе данных. |
| 11 |
Перейдите на вкладку Управление CMK клиента , где можно найти три способа управления CMK клиента.
|
| 12 |
После успешного создания CMK состояние в таблице изменится с Управление CMK рассматривается на Управление CMK. |
| 13 |
В случае неудачного создания CMK отображается ошибка. |
Удалить организации клиентов
Перед началом работы
После удаления пользователи клиентских организаций не смогут использовать HDS в целях шифрования, а все существующие пространства будут утрачены. Прежде чем удалить клиентские организации, обратитесь к своему партнеру Cisco или менеджеру по работе с клиентами.
| 1 |
Войдите в https://admin.webex.com. |
| 2 |
В меню в левой части экрана выберите Службы. |
| 3 |
В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Просмотреть все. |
| 4 |
На вкладке Ресурсы щелкните кластер, из которого необходимо удалить клиентские организации. |
| 5 |
На открывшейся странице щелкните Назначенные клиенты. |
| 6 |
В списке отображаемых клиентских организаций щелкните ... в правой части клиентской организации, которую необходимо удалить, и щелкните Удалить из кластера. |
Дальнейшие действия
Завершите процесс удаления, отозвав CMK клиентских организаций, как описано в статье Отозвать CMK клиентов, удаленных из HDS.
Отозвать CMK клиентов, удаленные из HDS.
Перед началом работы
Удалите клиентов из соответствующего кластера, как описано в разделе Удаление клиентских организаций. Запустите инструмент настройки HDS, чтобы завершить процесс удаления удаленных клиентских организаций.
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора для вашей организации.
Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТHTTPS-прокси без аутентификации
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТHTTP-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТHTTPS-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ -
Созданный файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. При внесении изменений в конфигурацию вам потребуется последняя копия этого файла. Например:
-
Учетные данные базы данных
-
Обновления сертификата
-
Изменения политики авторизации
-
-
При планировании шифрования соединений с базой данных настройте развертывание PostgreSQL или SQL Server для TLS.
Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.
| 1 |
Введите соответствующую команду для вашей среды в командной строке компьютера. В обычных средах: В средах FedRAMP: На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать. |
| 2 |
Чтобы войти в реестр образов Docker, введите следующее. |
| 3 |
Введите в запросе пароля этот хеш: |
| 4 |
Скачайте последнюю стабильную версию образа для вашей среды. В обычных средах: В средах FedRAMP: |
| 5 |
По завершении скачивания введите соответствующую команду для вашей среды.
Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080". |
| 6 |
Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу. Перейдите к локальному узлу Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартную подсказку для входа в систему. |
| 7 |
При отображении соответствующего запроса введите учетные данные для входа администратора Partner Hub и щелкните Войти , чтобы разрешить доступ к необходимым службам для службы безопасности данных гибридного типа. |
| 8 |
На странице обзора инструмента настройки щелкните Начало работы. |
| 9 |
На странице Импорт ISO щелкните Да. |
| 10 |
Выберите файл ISO в браузере и загрузите его. |
| 11 |
Перейдите на вкладку Управление CMK клиента , где можно найти три способа управления CMK клиента.
|
| 12 |
После успешного отзыва CMK клиентская организация больше не будет отображаться в таблице. |
| 13 |
Если отзыв CMK не выполнен, отображается ошибка. |
Тестирование развертывания службы безопасности данных гибридного типа
Тестирование развертывания службы безопасности данных гибридного типа
Перед началом работы
-
Настройте развертывание службы безопасности данных гибридного типа с несколькими клиентами.
-
Убедитесь, что у вас есть доступ к системному журналу, чтобы проверить, передаются ли запросы ключей в развертывание системы безопасности данных гибридного типа с несколькими клиентами.
| 1 |
Ключи для определенного пространства задаются создателем пространства. Войдите в приложение Webex в качестве одного из пользователей клиентской организации и создайте пространство. Если деактивировать развертывание безопасности данных гибридного типа, контент в пространствах, созданных пользователями, больше не будет доступен после замены кэшированных клиентом копий ключей шифрования. |
| 2 |
Отправить сообщения в новое пространство. |
| 3 |
Проверьте вывод системного журнала, чтобы убедиться, что запросы ключей передаются в развертывание службы безопасности данных гибридного типа. |
Мониторинг работоспособности службы безопасности данных гибридного типа
| 1 |
В Partner Hub в меню в левой части экрана выберите Службы . |
| 2 |
В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Редактировать настройки. Отобразится страница "Настройки безопасности данных гибридного типа".
|
| 3 |
В разделе "Электронные уведомления" введите один или несколько адресов электронной почты, разделяя их запятыми, и нажмите клавишу ввода. |
Управление развертыванием HDS
Управление развертыванием HDS
Для управления развертыванием службы безопасности данных гибридного типа используйте описанные здесь задачи.
Настройка графика модернизации кластера
Чтобы настроить график модернизации, выполните указанные ниже действия.
| 1 |
Войдите в Partner Hub. |
| 2 |
В меню в левой части экрана выберите Службы. |
| 3 |
В разделе "Облачные службы" найдите раздел "Безопасность данных гибридного типа" и щелкните Настройка. |
| 4 |
На странице "Ресурсы безопасности данных гибридного типа" выберите кластер. |
| 5 |
Щелкните вкладку Настройки кластера . |
| 6 |
На странице настроек кластера в разделе "График модернизации" выберите время и часовой пояс для графика модернизации. Примечание. В часовом поясе отображаются следующие доступные дата и время модернизации. При необходимости можно отложить модернизацию на следующий день, щелкнув Отложить на 24 часа. |
Изменение конфигурации узла
-
Изменение сертификатов x.509 по истечении срока действия или по другим причинам.
Изменение доменного имени CN сертификата не поддерживается. Домен должен совпадать с исходным доменом, использованным для регистрации кластера.
-
Обновление настроек базы данных для работы с копией базы данных PostgreSQL или Microsoft SQL Server.
Перенос данных с PostgreSQL на Microsoft SQL Server или в обратном направлении не поддерживается. Чтобы переключить среду базы данных, начните новое развертывание службы безопасности данных гибридного типа.
-
Создание новой конфигурации для подготовки нового центра обработки данных.
Из соображений безопасности для учетных записей в службе безопасности данных гибридного типа используются пароли со сроком действия 9 месяцев. После того как инструмент настройки HDS создаст эти пароли, вам нужно будет развернуть их в каждом из своих узлов HDS в файле конфигурации ISO. При приближении даты окончания срока действия пароля команда Webex пришлет вам уведомление с запросом на сброс пароля учетной записи компьютера. (В сообщении электронной почты будет текст "Использование API учетной записи компьютера для обновления пароля".) Если срок действия паролей еще не истек, средство предоставляет два варианта.
-
Мягкий сброс. Старые и новые пароли работают в течение 10 дней. Используйте этот период для постепенной замены файла ISO на узлах.
-
Принудительный сброс: старые пароли перестают работать немедленно.
Если срок действия ваших паролей истекает без сброса, это влияет на работу вашей службы HDS. В этом случае требуется немедленный жесткий сброс и замена файла ISO на всех узлах.
Используйте эту процедуру, чтобы создать новый файл конфигурации ISO и применить его к кластеру.
Прежде чем начать
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора партнера.
Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker в 1.e. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТHTTPS-прокси без аутентификации
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТHTTP-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТHTTPS-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ -
Для создания новой конфигурации потребуется копия текущего файла конфигурации ISO. Файл ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. Файл ISO необходим для изменения конфигурации, в том числе учетных данных базы данных, обновления сертификатов или изменения политики авторизации.
| 1 |
Запустите инструмент настройки HDS, используя Docker на локальной машине. |
| 2 |
Если у вас запущен только один узел HDS, создайте новую виртуальную машину узла безопасности данных гибридного типа и зарегистрируйте ее с помощью нового файла конфигурации ISO. Более подробные инструкции см. в статье Создание и регистрация дополнительных узлов. |
| 3 |
Для существующих узлов HDS, в которых используется старый файл конфигурации, необходимо установить файл ISO. Выполните следующую процедуру для каждого узла по очереди, обновив каждый узел до выключения следующего узла. |
| 4 |
Повторите шаг 3, чтобы заменить конфигурацию на каждом оставшемся узле со старой конфигурацией. |
Отключение режима блокировки разрешения внешних DNS
При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. Если DNS-сервер узла не может разрешать общедоступные имена DNS, узел автоматически переходит в режим блокировки разрешения внешних DNS.
Если узлы могут разрешать общедоступные имена DNS через внутренние DNS-серверы, можно отключить этот режим, повторно запустив тестирование подключения к прокси на каждом узле.
Перед началом работы
| 1 |
В веб-браузере откройте интерфейс узла безопасности данных гибридного типа (например, IP-адрес или настройка) https://192.0.2.0/setup), введите учетные данные администратора, настроенные для узла, и щелкните Войти. |
| 2 |
Перейдите к разделу Overview (Обзор) (страница по умолчанию). Если режим включен, параметр Blocked External DNS Resolution (Блокировка разрешения внешних DNS) должен иметь значение Yes (Да). |
| 3 |
Перейдите на страницу Trust Store & Proxy (Зона доверия и прокси). |
| 4 |
Щелкните Check Proxy Connection (Проверить соединение с прокси). Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу и он останется в этом режиме. В противном случае после перезапуска узла и возврата на страницу Overview (Обзор) параметр блокировки разрешения внешних DNS должен иметь значение No (Нет). |
Дальнейшие действия
Удаление узла
| 1 |
С помощью клиента VMware vSphere на компьютере можно войти в виртуальный хост ESXi и выключить виртуальную машину. |
| 2 |
Удалить узел: |
| 3 |
В клиенте vSphere удалите виртуальную машину. (На панели навигации слева щелкните виртуальную машину правой кнопкой мыши и щелкните Удалить.) Если виртуальная машина не удалена, не забудьте отсоединить файл конфигурации ISO. Без файла ISO вы не сможете использовать виртуальную машину для доступа к данным безопасности. |
Аварийное восстановление с помощью центра обработки данных в режиме ожидания
Наиболее важной службой, предоставляемой кластером безопасности данных гибридного типа, является создание и хранение ключей, используемых для шифрования сообщений и другого контента, хранящегося в облаке Webex. Для каждого пользователя в организации, назначенного службе безопасности данных гибридного типа, запросы на создание нового ключа маршрутизируются в кластер. Кластер также отвечает за возврат созданных им ключей всем пользователям, авторизованным для их извлечения, например участникам пространства для разговора.
Поскольку кластер выполняет критически важную функцию предоставления этих ключей, необходимо, чтобы кластер продолжал работать и чтобы поддерживались соответствующие резервные копии. Потеря базы данных безопасности данных гибридного типа или конфигурации ISO, используемой для схемы, приведет к НЕОБРАТИМОЙ ПОТЕРЕ контента клиента. Для предотвращения таких потерь необходимо выполнить следующие действия:
Если из-за аварии развертывание HDS в основном центре обработки данных становится недоступным, выполните эту процедуру, чтобы вручную переключиться на резервный центр обработки данных.
Перед началом работы
| 1 |
Запустите инструмент настройки HDS и выполните действия, указанные в разделе Создание ISO конфигурации для узлов HDS. |
| 2 |
Завершите процесс настройки и сохраните файл ISO в удобном для поиска месте. |
| 3 |
Сделайте резервную копию файла ISO в локальной системе. Обеспечьте безопасность резервного копирования. Этот файл содержит главный ключ шифрования для содержимого базы данных. Ограничьте доступ только тем администраторам службы безопасности данных гибридного типа, которые должны вносить изменения в конфигурацию. |
| 4 |
На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры. |
| 5 |
Щелкните Редактировать настройки >Диск CD/DVD 1 и выберите Файл хранилища данных ISO. Убедитесь, что установлены флажки Подключено и Подключиться при включении , чтобы обновленные изменения конфигурации вступили в силу после запуска узлов. |
| 6 |
Включите узел HDS и убедитесь, что сигналы отсутствуют в течение не менее 15 минут. |
| 7 |
Зарегистрируйте узел в партнерском центре. См. статью Регистрация первого узла в кластере. |
| 8 |
Повторите процесс для каждого узла в центре обработки данных в режиме ожидания. |
Дальнейшие действия
(Необязательно) Отсоедините ISO после настройки HDS
Стандартная конфигурация HDS выполняется с установленным ISO. Однако некоторые клиенты предпочитают не оставлять файлы ISO постоянно монтированными. После того как все узлы HDS примут новую конфигурацию, можно отсоединить файл ISO.
Для изменения конфигурации по-прежнему используются файлы ISO. При создании нового ISO или обновлении ISO с помощью инструмента настройки необходимо установить обновленный ISO на всех узлах HDS. С помощью этой процедуры можно снова отключить ISO, после того как все узлы примут изменения конфигурации.
Перед началом работы
Модернизируйте все свои узлы HDS до версии 2021.01.22.4720 или более поздней.
| 1 |
Закройте один из своих узлов HDS. |
| 2 |
В vCenter Server Appliance выберите узел HDS. |
| 3 |
Выберите и снимите флажок Файл хранилища данных ISO. |
| 4 |
Включите узел HDS и убедитесь, что сигналы отсутствуют в течение не менее 20 минут. |
| 5 |
Повторите эту процедуру для каждого узла HDS по очереди. |
Устранение неполадок службы безопасности данных гибридного типа
Просмотр предупреждений и устранение неполадок
Развертывание службы безопасности данных гибридного типа считается недоступным, если все узлы в кластере недоступны или кластер работает настолько медленно, что истекло время ожидания. Если пользователи не могут подключиться к кластеру безопасности данных гибридного типа, у них будут следующие симптомы:
-
Не удается создать новые пространства (не удается создать новые ключи)
-
Не удалось расшифровать сообщения и заголовки пространств для:
-
Новые пользователи, добавленные в пространство (невозможно получить ключи)
-
Существующие пользователи в пространстве, использующие новый клиент (не удается получить ключи)
-
-
Существующие пользователи в пространстве будут продолжать успешно работать, пока в их клиентах будет сохранен кэш ключей шифрования
Важно надлежащим образом отслеживать кластер безопасности данных гибридного типа и своевременно реагировать на все предупреждения во избежание перебоев в работе службы.
Предупреждения
При возникновении проблем с настройкой безопасности данных гибридного типа партнерский центр отображает предупреждения администратору организации и отправляет электронные сообщения на настроенный адрес электронной почты. Предупреждения охватывают многие распространенные сценарии.
|
Предупреждать |
Действие |
|---|---|
|
Ошибка доступа к локальной базе данных. |
Проверьте наличие ошибок базы данных или проблем локальной сети. |
|
Сбой подключения к локальной базе данных. |
Убедитесь в доступности сервера базы данных и использовании правильных учетных данных учетной записи службы в конфигурации узла. |
|
Сбой доступа к облачной службе. |
Убедитесь, что узлы могут получить доступ к серверам Webex, как указано в разделе Требования к внешнему подключению. |
|
Обновление регистрации облачной службы. |
Регистрация в облачных службах прервана. Выполняется возобновление регистрации. |
|
Регистрация для облачной службы прервана. |
Регистрация в облачных службах прервана. Служба выключена. |
|
Служба еще не активирована. |
Активируйте HDS в партнерском центре. |
|
Настроенный домен не соответствует сертификату сервера. |
Убедитесь, что сертификат сервера соответствует настроенному домену активации службы. Наиболее вероятная причина заключается в том, что CN сертификата недавно был изменен и теперь отличается от CN, использованного во время начальной настройки. |
|
Не удалось выполнить аутентификацию в облачных службах. |
Проверьте точность и возможный срок действия учетных данных службы. |
|
Не удалось открыть файл локального хранилища ключей. |
Проверка целостности и точности пароля в файле локального хранилища ключей. |
|
Недействительный сертификат локального сервера. |
Проверьте дату истечения срока действия сертификата сервера и убедитесь, что он был выдан доверенным центром сертификации. |
|
Не удается опубликовать метрики. |
Проверьте доступ локальной сети к внешним облачным службам. |
|
Каталог /media/configdrive/hds не существует. |
Проверьте конфигурацию подключения ISO на виртуальном хосте. Проверьте, существует ли файл ISO, настроен ли он для подключения при перезагрузке и успешно ли установлен. |
|
Настройка организации клиента не завершена для добавленных организаций |
Завершите настройку, создав CMK для вновь добавленных клиентских организаций с помощью инструмента настройки HDS. |
|
Настройка организации клиента не завершена для удаленных организаций |
Завершите настройку, отозвав CMK клиентских организаций, которые были удалены с помощью инструмента настройки HDS. |
Устранение неполадок службы безопасности данных гибридного типа
| 1 |
Просмотрите в Partner Hub все предупреждения и исправьте все элементы, найденные в нем. Для справки см. изображение ниже. |
| 2 |
Проверьте вывод сервера системных журналов для активности из развертывания службы безопасности данных гибридного типа. Используйте фильтр для таких слов, как "Предупреждение" и "Ошибка", чтобы помочь в устранении неполадок. |
| 3 |
Обратитесь в службу поддержки Cisco. |
Другие примечания
Известные проблемы безопасности данных гибридного типа
-
Если вы выключите кластер безопасности данных гибридного типа (удалив его в партнерском центре или выключив все узлы), потеряете файл конфигурации ISO или потеряете доступ к базе данных хранилища ключей, пользователи приложения Webex клиентских организаций больше не смогут использовать пространства в списке пользователей, созданных с помощью ключей из KMS. В настоящий момент для устранения этой проблемы нет обходного решения или решения. Мы настоятельно призываем вас не выключать службы HDS после обработки активных учетных записей пользователей.
-
Клиент с существующим подключением ECDH к KMS поддерживает это соединение в течение периода времени (вероятно, один час).
Использование OpenSSL для создания файла PKCS12
Перед началом работы
-
OpenSSL — это один из инструментов, который можно использовать для создания файла PKCS12 в соответствующем формате для загрузки в инструменте настройки HDS. Есть и другие способы сделать это, и мы не поддерживаем и не продвигаем друг друга.
-
Если вы решите использовать OpenSSL, мы предоставляем эту процедуру в качестве руководства для создания файла, который соответствует требованиям сертификата X.509 в разделе Требования к сертификату X.509. Прежде чем продолжить, ознакомьтесь с этими требованиями.
-
Установите OpenSSL в поддерживаемой среде. Информацию о программном обеспечении и документации см. в разделе https://www.openssl.org .
-
Создайте закрытый ключ.
-
Начните эту процедуру при получении сертификата сервера от центра сертификации (ЦС).
| 1 |
При получении сертификата сервера от ЦС сохраните его как |
| 2 |
Отобразите сертификат в виде текста и проверьте сведения.
|
| 3 |
Используйте текстовый редактор для создания файла пакета сертификатов под названием
|
| 4 |
Создайте файл .p12 с подходящим именем
|
| 5 |
Проверьте сведения о сертификате сервера. |
Дальнейшие действия
Вернитесь к разделу Выполнение предварительных требований для безопасности данных гибридного типа. Файл hdsnode.p12 и заданный для него пароль будут использоваться в разделе Создание конфигурации ISO для узлов HDS.
Эти файлы можно повторно использовать для запроса нового сертификата по истечении срока действия исходного сертификата.
Трафик между узлами HDS и облаком
Трафик сбора исходящих метрик
Узлы безопасности данных гибридного типа отправляют определенные метрики в облако Webex. К ним относятся системные метрики максимального количества подключений, использования максимального количества подключений, загрузки ЦП и количества потоков; метрики синхронных и асинхронных потоков; метрики оповещений о пороговом значении соединений шифрования, задержки или длины очереди запросов; метрики хранилища данных; и метрики подключения шифрования. Узлы отправляют зашифрованный ключ-материал по внеполосному каналу (отдельному от запроса).
Входящий трафик
Узлы безопасности данных гибридного типа получают из облака Webex следующие типы входящего трафика:
-
Запросы на шифрование от клиентов, которые маршрутизируются службой шифрования
-
Модернизация программного обеспечения узла
Настройка прокси Squid для безопасности данных гибридного типа
Невозможно выполнить подключение веб-сокетов через прокси Squid
Прокси Squid, которые проверяют трафик HTTPS, могут мешать созданию соединений веб-сокетов (wss:), которые необходимы службе безопасности данных гибридного типа. В указанных далее разделах приведены рекомендации по настройке различных версий Squid с целью игнорирования трафика wss: для обеспечения надлежащей работы служб.
Squid 4 и 5
Добавьте on_unsupported_protocol директиву в squid.conf:
on_unsupported_protocol туннель всеSquid 3.5.27
Служба безопасности данных гибридного типа успешно протестирована с указанными далее правилами, добавленными в squid.conf. Эти правила могут изменяться по мере разработки функций и обновления облака Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump соединение wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump просмотр step1 все ssl_bump просмотр step2 все ssl_bump bump3 всеНовая и измененная информация
Новая и измененная информация
В этой таблице описаны новые функции или функциональные возможности, изменения существующего контента, а также любые серьезные ошибки, исправленные в руководстве по развертыванию службы безопасности данных гибридного типа с несколькими клиентами.
|
Дата |
Внесены изменения |
|---|---|
|
30 января 2025 г. |
Добавлен сервер SQL версии 2022 в список поддерживаемых серверов SQL в разделе Требования к серверу базы данных. |
|
15 января 2025 г. |
Добавлены ограничения безопасности данных гибридного типа с несколькими клиентами. |
|
8 января 2025 г. |
Добавлено примечание в разделе Выполнение начальной настройки и скачивание файлов установки , в котором указано, что нажатие кнопки Настройка на карточке HDS в Partner Hub является важным этапом процесса установки. |
|
7 января 2025 г. |
Обновлены Требования к виртуальному узлу, Алгоритм выполнения задач по развертыванию службы безопасности данных гибридного типа и Установка OVA узла HDS для отображения новых требований ESXi 7.0. |
|
13 декабря 2024 г. |
Впервые опубликовано. |
Деактивация службы безопасности данных гибридного типа с несколькими клиентами
Алгоритм выполнения задач по деактивации HDS с несколькими клиентами
Чтобы полностью деактивировать HDS с несколькими клиентами, выполните приведенные ниже действия.
Перед началом работы
| 1 |
Удалите всех клиентов из всех кластеров, как указано в разделе Удаление клиентских организаций. |
| 2 |
Отозвать CMK всех клиентов, как указано в статье Отозвать CMK клиентов, удаленных из HDS. |
| 3 |
Удалите все узлы из всех кластеров, как описано в разделе Удаление узла. |
| 4 |
Удалите все кластеры из Partner Hub одним из следующих двух способов.
|
| 5 |
Щелкните вкладку Настройки на странице обзора безопасности данных гибридного типа и щелкните Деактивировать HDS на карточке состояния HDS. |
Начало работы с системой безопасности данных гибридного типа с поддержкой нескольких клиентов
Общие сведения о безопасности данных гибридного типа для нескольких клиентов
С самого начала безопасность данных была главной задачей при разработке приложения Webex. В основе этой безопасности лежит сквозное шифрование контента, которое включается клиентами приложения Webex, взаимодействующими со службой управления ключами (KMS). KMS отвечает за создание и управление криптографическими ключами, которые используются клиентами для динамического шифрования и расшифровки сообщений и файлов.
По умолчанию для всех клиентов приложения Webex обеспечивается сквозное шифрование с использованием динамических ключей, которые хранятся в облаке KMS в области безопасности Cisco. Служба безопасности данных гибридного типа перемещает KMS и другие функции безопасности в корпоративный центр обработки данных, поэтому доступ к ключам для зашифрованного контента будет только у вас.
Служба безопасности данных гибридного типа с поддержкой нескольких клиентов позволяет организациям использовать HDS через доверенного локального партнера, который может выполнять функции поставщика услуг и управлять локальным шифрованием и другими службами безопасности. Эта настройка позволяет партнерской организации осуществлять полный контроль над развертыванием ключей шифрования и управлением ими, а также обеспечивает безопасность данных пользователей клиентских организаций от внешнего доступа. Партнерские организации настраивают экземпляры HDS и при необходимости создают кластеры HDS. Каждый экземпляр может поддерживать несколько клиентских организаций, в отличие от обычного развертывания HDS, которое ограничено одной организацией.
Это также позволяет небольшим организациям использовать HDS, поскольку служба управления ключами и инфраструктура безопасности, например центры обработки данных, принадлежат доверенному локальному партнеру.
Как служба безопасности данных гибридного типа с несколькими клиентами обеспечивает суверенитет и управление данными
- Созданный пользователем контент защищен от внешнего доступа, например от поставщиков облачных услуг.
- Локальные доверенные партнеры управляют ключами шифрования клиентов, с которыми они уже установили взаимоотношения.
- Параметр для локальной технической поддержки, если она предоставлена партнером.
- Поддержка контента совещаний, обмена сообщениями и вызовов.
Этот документ предназначен для помощи партнерским организациям в настройке клиентов и управлении ими в системе безопасности данных гибридного типа с несколькими клиентами.
Ограничения службы безопасности данных гибридного типа с несколькими клиентами
- Партнерские организации не должны иметь существующее развертывание HDS, активное в Control Hub.
- Клиентские или клиентские организации, которым необходимо управлять партнером, не должны иметь существующее развертывание HDS в Control Hub.
- После развертывания партнером HDS с несколькими клиентами все пользователи клиентских организаций, а также пользователи партнерской организации начинают использовать HDS с несколькими клиентами для своих служб шифрования.
Партнерская организация и клиентские организации, которыми они управляют, будут развертываться в одном развертывании HDS с несколькими клиентами.
После развертывания HDS с несколькими клиентами партнерская организация больше не будет использовать облачную службу KMS.
- Механизм для перемещения ключей обратно в облачную службу KMS после развертывания HDS отсутствует.
- В настоящее время каждое развертывание HDS с несколькими клиентами может иметь только один кластер с несколькими узлами под ним.
- Роли администраторов имеют определенные ограничения. Подробности см. в разделе ниже.
Роли в службе безопасности данных гибридного типа с несколькими клиентами
- Администратор партнера с полными правами : может управлять настройками для всех клиентов, которыми управляет партнер. Также может назначать роли администратора существующим пользователям в организации и назначать определенных клиентов, которыми будут управлять администраторы партнера.
- Администратор партнера . Может управлять настройками клиентов, подготовленных администратором или назначенных пользователю.
- Администратор с полными правами . Администратор партнерской организации, уполномоченный выполнять такие задачи, как изменение настроек организации, управление лицензиями и назначение ролей.
- Сквозная настройка HDS с несколькими клиентами и управление ими всех клиентских организаций . Требуются права администратора партнера с полными правами и администратора с полными правами.
- Управление назначенными организациями клиента : требуются права администратора партнера и полного администратора.
Архитектура области безопасности
Облачная архитектура Webex разбивает различные типы служб на отдельные области или домены доверия, как показано ниже.
Чтобы получить дополнительные сведения о безопасности данных гибридного типа, давайте сначала рассмотрим этот облачный случай, в котором компания Cisco предоставляет все функции в облачных областях. Служба удостоверений – единственное место, где пользователи могут напрямую соотнести с их персональной информацией, такой как адрес электронной почты, логически и физически отделена от области безопасности в центре обработки данных B. Обе службы в свою очередь отделены от области, в которой в конечном итоге хранится зашифрованный контент, в центре обработки данных C.
На этой схеме клиент представляет собой приложение Webex, запущенное на ноутбуке пользователя и прошедшее аутентификацию с помощью службы удостоверений. При написании пользователем сообщения для отправки в пространство выполняются следующие действия.
-
Клиент устанавливает безопасное соединение со службой управления ключами (KMS), затем запрашивает ключ для шифрования сообщения. Защищенное соединение использует ECDH, а KMS шифрует ключ с помощью главного ключа AES-256.
-
Сообщение шифруется до выхода из клиента. Клиент отправляет его в службу индексации, которая создает зашифрованные индексы поиска для помощи в будущих поисковых запросах контента.
-
Зашифрованное сообщение отправляется в службу обеспечения соответствия для проверки соответствия.
-
Зашифрованное сообщение хранится в области хранилища.
При развертывании службы безопасности данных гибридного типа функции области безопасности (KMS, индексация и соответствие требованиям) перемещаются в локальный центр обработки данных. Другие облачные службы, которые составляют Webex (включая идентификационные данные и хранилище контента), остаются в сферах Cisco.
Сотрудничество с Другими Организациями
Пользователи в вашей организации могут регулярно использовать приложение Webex для совместной работы с внешними участниками из других организаций. Когда один из пользователей запрашивает ключ для пространства, принадлежащего вашей организации (поскольку он был создан одним из пользователей), KMS отправляет ключ клиенту по защищенному каналу ECDH. Однако если ключ для пространства принадлежит другой организации, KMS перенаправляет запрос в облако Webex через отдельный канал ECDH для получения ключа от соответствующего KMS, а затем возвращает ключ пользователю в исходном канале.
Служба KMS, запущенная в организации A, проверяет подключения к KMS в других организациях с помощью сертификатов PKI x.509. Подробные сведения о создании сертификата x.509 для использования с развертыванием службы безопасности данных гибридного типа с несколькими клиентами см. в статье Подготовка среды .
Ожидания развертывания службы безопасности данных гибридного типа
Развертывание службы безопасности данных гибридного типа требует значительных обязательств и осознания рисков, связанных с хранением ключей шифрования.
Для развертывания службы безопасности данных гибридного типа необходимо предоставить:
-
Защищенный центр обработки данных в стране, которая является местоположением, поддерживаемым планами Cisco Webex Teams.
-
Оборудование, программное обеспечение и доступ к сети, описанные в разделе Подготовка среды.
Полная потеря конфигурации ISO, созданной для службы безопасности данных гибридного типа, или предоставленной базы данных приведет к потере ключей. Потеря ключей предотвращает расшифровку контента пространства и других зашифрованных данных в приложении Webex пользователями. В этом случае можно создать новое развертывание, однако будет отображаться только новый контент. Во избежание потери доступа к данным необходимо выполнить приведенные ниже действия.
-
Управление резервным копированием и восстановлением базы данных и конфигурации ISO.
-
Будьте готовы к быстрому аварийному восстановлению в случае аварии, например, сбою диска базы данных или сбою центра обработки данных.
Механизм для перемещения ключей обратно в облако после развертывания HDS отсутствует.
Высокоуровневый процесс настройки
В этом документе описана настройка и управление развертыванием службы безопасности данных гибридного типа с несколькими клиентами.
-
Настройка безопасности данных гибридного типа. Это включает подготовку необходимой инфраструктуры и установку программного обеспечения безопасности данных гибридного типа, создание кластера HDS, добавление клиентских организаций в кластер и управление их главными ключами клиента (CMK). Это позволит всем пользователям клиентских организаций использовать кластер безопасности данных гибридного типа для функций безопасности.
Этапы настройки, активации и управления подробно описаны в следующих трех главах.
-
Поддержка развертывания службы безопасности данных гибридного типа: облако Webex автоматически обеспечивает непрерывную модернизацию. Ваш отдел ИТ может предоставлять поддержку первого уровня для этого развертывания и при необходимости привлекать поддержку Cisco. В Partner Hub можно использовать экранные уведомления и настроить предупреждения на основе электронной почты.
-
Общие предупреждения, действия по устранению неполадок и известные проблемы. При возникновении проблем с развертыванием или использованием службы безопасности данных гибридного типа можно определить и устранить проблему с помощью последней главы этого руководства и приложения "Известные проблемы".
Модель развертывания службы безопасности данных гибридного типа
В корпоративном центре обработки данных служба безопасности данных гибридного типа будет развернута в виде одного кластера узлов на отдельных виртуальных узлах. Узлы связываются с облаком Webex с помощью защищенных веб-сокетов и защищенного HTTP.
Во время процесса установки предоставляется файл OVA для настройки виртуального устройства на предоставленных вами виртуальных машинах. Инструмент настройки HDS используется для создания пользовательского файла конфигурации кластера ISO, который устанавливается на каждом узле. Кластер безопасности данных гибридного типа использует предоставленный сервер Syslogd и базу данных PostgreSQL или Microsoft SQL Server. (Сведения о соединении Syslogd и базы данных можно настроить в инструменте настройки HDS.)
Минимальное количество узлов в кластере: два. Рекомендуется не менее трех на кластер. Наличие нескольких узлов гарантирует, что во время модернизации программного обеспечения или других действий по техническому обслуживанию узла служба не будет прерываться. (Облако Webex модернизирует только один узел за раз.)
Все узлы в кластере имеют доступ к одному хранилищу данных и активности журналов на один и тот же сервер системных журналов. Сами узлы не имеют состояния и обрабатывают запросы на ключ в циклическом порядке, как направляется облаком.
Узлы становятся активными при регистрации в партнерском центре. Чтобы вывести отдельный узел из эксплуатации, можно отменить его регистрацию, а затем, при необходимости, повторно зарегистрировать его.
Резервный центр обработки данных для аварийного восстановления
Во время развертывания вы настраиваете защищенный резервный центр обработки данных. В случае аварии центра обработки данных можно вручную перенести развертывание на резервный центр обработки данных.
Базы данных активных и резервных центров обработки данных синхронизируются друг с другом, что позволит свести к минимуму время, затрачиваемое на выполнение отработки отказа.
Активные узлы безопасности данных гибридного типа всегда должны находиться в одном центре обработки данных с активным сервером базы данных.
Поддержка прокси
Служба безопасности данных гибридного типа поддерживает явные прокси, прозрачные прокси с проверкой и прокси без проверки. Чтобы обеспечить защиту и мониторинг трафика из сети предприятия в облако, можно связать эти прокси с развертыванием. После настройки прокси на узлах административный интерфейс платформы на узлах можно использовать для управления сертификатами и просмотра общего состояния соединений.
Узлы безопасности данных гибридного типа поддерживают указанные далее параметры прокси.
-
Нет прокси. Значение по умолчанию, если для интеграции прокси не используется конфигурация доверенного хранилища и прокси для настройки узла HDS. Обновление сертификата не требуется.
-
Прозрачный прокси без проверки. Узлы не настроены для использования адреса определенного прокси-сервера и не должны требовать каких-либо изменений для работы с прокси без проверки. Обновление сертификата не требуется.
-
Прозрачный туннелирование или прокси с проверкой. Узлы не настроены для использования адреса определенного прокси-сервера. На узлах не нужно изменять конфигурацию HTTP или HTTPS. Как бы то ни было, для обеспечения доверия прокси узлам необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже HTTPS).
-
Явный прокси. При использовании явного прокси необходимо указать прокси-сервер и схему аутентификации узлам HDS. Для настройки явного прокси на каждом узле нужно ввести следующую информацию.
-
IP/FQDN прокси. Адрес, который можно использовать для связи с прокси-машиной.
-
Порт прокси. Номер порта, который прокси использует для прослушивания прокси-трафика.
-
Proxy Protocol (Протокол прокси). В зависимости от поддержки прокси-сервера выберите один из следующих протоколов.
-
HTTP – просматривает все запросы, отправляемые клиентом, и управляет этими запросами.
-
HTTPS – обеспечивает работу канала связи с сервером. Клиент получает и проверяет сертификат сервера.
-
-
Тип аутентификации: выберите один из приведенных ниже типов аутентификации.
-
Нет. Дальнейшая аутентификация не требуется.
Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.
-
Базовый: используется для агента пользователя HTTP для указания имени пользователя и пароля при совершении запроса. Использует кодировку Base64.
Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.
Требует ввода имени пользователя и пароля на каждом узле.
-
Дайджест. Используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети.
Этот параметр доступен только в том случае, если в качестве протокола прокси выбран протокол HTTPS.
Требует ввода имени пользователя и пароля на каждом узле.
-
-
Пример узлов безопасности данных гибридного типа и прокси
На этой схеме представлен пример соединения между системой безопасности данных гибридного типа, сетью и прокси. При использовании прозрачного прокси с проверкой или явного прокси с проверкой HTTPS на прокси и узлы безопасности данных гибридного типа необходимо установить один и тот же корневой сертификат.
Режим блокировки разрешения внешних DNS (конфигурации явного прокси)
При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. В развертываниях с конфигурациями явного прокси, которые не допускают разрешения внешних DNS для внутренних клиентов, если узел не может посылать запросы на DNS-серверы, он автоматически переходит в режим блокировки разрешения внешних DNS. В этом режиме можно продолжить регистрацию узла и другие тестирования подключения к прокси.
Подготовка среды
Требования к безопасности данных гибридного типа с несколькими клиентами
Требования к лицензии Cisco Webex
Развертывание службы безопасности данных гибридного типа с несколькими клиентами.
-
Партнерские организации: Обратитесь к своему партнеру Cisco или менеджеру по работе с клиентами и убедитесь, что функция "Несколько клиентов" включена.
-
Организации клиентов: Необходима профессиональная версия Cisco Webex Control Hub. См. https://www.cisco.com/go/pro-pack.
Требования к рабочему столу Docker
Перед установкой узлов HDS необходимо запустить программу настройки с помощью Docker Desktop. Docker недавно обновил свою модель лицензирования. Для вашей организации может потребоваться платная подписка на Docker Desktop. Подробности см. в записи блога Docker, " Docker обновляет и расширяет подписки на продукты".
Требования к сертификату X.509
Цепочка сертификатов должна соответствовать следующим требованиям:
|
Требование |
Подробности |
|---|---|
|
По умолчанию мы доверяем ЦС в списке Mozilla (за исключением WoSign и StartCom) по адресу https://wiki.mozilla.org/CA:IncludedCAs. |
|
CN не требуется, чтобы он был доступен или был организатором в режиме реального времени. Рекомендуется использовать название, отражающее вашу организацию, например CN не должен содержать * (подстановочный знак). CN используется для проверки узлов безопасности данных гибридного типа для клиентов приложения Webex. Все узлы безопасности данных гибридного типа в кластере используют один и тот же сертификат. Ваш KMS идентифицирует себя с помощью домена CN, а не любого домена, определенного в полях SAN x.509v3. После регистрации узла с этим сертификатом изменение доменного имени CN не поддерживается. |
|
Программное обеспечение KMS не поддерживает подписи SHA1 для проверки подключений к KMS других организаций. |
|
Для изменения формата сертификата можно использовать преобразователь, например OpenSSL. При запуске инструмента настройки HDS потребуется ввести пароль. |
Программное обеспечение KMS не обеспечивает принудительное использование ключа или расширенные ограничения на его использование. Некоторые центры сертификации требуют, чтобы к каждому сертификату применялись расширенные ограничения на использование ключей, например аутентификация сервера. Использовать аутентификацию сервера или другие настройки можно.
Требования к виртуальному организатору
Виртуальные узлы, которые будут настроены в качестве узлов безопасности данных гибридного типа в кластере, имеют следующие требования:
-
По крайней мере два отдельных узла (рекомендуется 3) размещены в одном защищенном центре обработки данных
-
Установлена и запущена VMware ESXi 7.0 (или более поздняя версия).
При наличии более ранней версии ESXi необходимо выполнить модернизацию.
-
Минимум 4 ЦП, 8 ГБ основной памяти, 30 ГБ локального жесткого диска на сервер
Требования к серверу базы данных
Создайте новую базу данных для хранилища ключей. Не используйте базу данных по умолчанию. Приложения HDS при установке создают схему базы данных.
Существует два варианта сервера баз данных. Требования для каждого из них приведены ниже.
|
PostgreSQL |
Сервер Microsoft SQL |
|---|---|
|
|
|
Минимум 8 виртуальных ЦП, 16 ГБ основной памяти, достаточное пространство на жестком диске и мониторинг для обеспечения его отсутствия (рекомендуется 2 ТБ, если необходимо запустить базу данных в течение длительного времени без увеличения объема хранилища) |
Минимум 8 виртуальных ЦП, 16 ГБ основной памяти, достаточное пространство на жестком диске и мониторинг для обеспечения его отсутствия (рекомендуется 2 ТБ, если необходимо запустить базу данных в течение длительного времени без увеличения объема хранилища) |
Программное обеспечение HDS в настоящее время устанавливает следующие версии драйверов для связи с сервером базы данных:
|
PostgreSQL |
Сервер Microsoft SQL |
|---|---|
|
Драйвер JDBC Postgres 42.2.5 |
Драйвер JDBC 4.6 для SQL-сервера Эта версия драйвера поддерживает SQL Server Always On (экземпляры отказоустойчивого кластера и группы доступности Always On). |
Дополнительные требования для аутентификации Windows на Microsoft SQL Server
Если необходимо, чтобы узлы HDS использовали аутентификацию Windows для получения доступа к базе данных хранилища ключей на Microsoft SQL Server, в вашей среде потребуется следующая конфигурация:
-
Узлы HDS, инфраструктура Active Directory и сервер MS SQL должны быть синхронизированы с NTP.
-
Учетная запись Windows, которую вы предоставляете узлам HDS, должна иметь доступ к базе данных для чтения и записи.
-
Серверы DNS, предоставляемые узлам HDS, должны иметь возможность разрешать центр распределения ключей (KDC).
-
Экземпляр базы данных HDS можно зарегистрировать на сервере Microsoft SQL в качестве главного имени службы (SPN) в Active Directory. См. статью Регистрация имени участника службы для Kerberos Connections.
Инструмент настройки HDS, программа запуска HDS и локальный KMS должны использовать аутентификацию Windows для доступа к базе данных хранилища ключей. Они используют сведения из конфигурации ISO для создания SPN при запросе доступа с аутентификацией Kerberos.
Требования к внешнему подключению
Настройте брандмауэр, чтобы разрешить следующее подключение для приложений HDS:
|
Приложение |
Протокол |
Порт |
Направление из приложения |
Адресат |
|---|---|---|---|---|
|
Узлы безопасности данных гибридного типа |
Протокол TCP |
443 |
Исходящие HTTPS и WSS |
|
|
Инструмент настройки HDS |
Протокол TCP |
443 |
HTTPS для исходящих вызовов |
|
Узлы безопасности данных гибридного типа работают с преобразованием сетевого доступа (NAT) или за брандмауэром, если NAT или брандмауэр допускает необходимые исходящие соединения с адресатами домена в таблице выше. Для соединений, поступающих на узлы безопасности данных гибридного типа, порты не должны отображаться из Интернета. В центре обработки данных клиентам необходим доступ к узлам безопасности данных гибридного типа на портах 443 и 22 TCP в административных целях.
URL-адреса узлов общих параметров идентификации (CI) специфичны для региона. Ниже приведены текущие узлы CI.
|
Регион |
URL-адреса хостов общих параметров идентификации |
|---|---|
|
Северная и Южная Америка |
|
|
Европейский союз |
|
|
Канада |
|
| Сингапур |
|
| Объединенные Арабские Эмираты |
|
Требования к прокси-серверу
-
Мы официально поддерживаем следующие решения для прокси, которые можно интегрировать с узлами безопасности данных гибридного типа:
-
для прозрачных прокси – Cisco Web Security Appliance (WSA);
-
для явных прокси – Squid.
Прокси Squid, которые проверяют трафик HTTPS, могут мешать созданию соединений веб-сокетов (wss:). Чтобы устранить эту проблему, см. статью Настройка прокси Squid для безопасности данных гибридного типа.
-
-
Поддерживаются следующие комбинации типов аутентификации для явных прокси:
-
без аутентификации при использовании HTTP или HTTPS;
-
базовая аутентификация при использовании HTTP или HTTPS;
-
дайджест-аутентификация только при использовании HTTPS;
-
-
При наличии прозрачного прокси с проверкой или явного прокси HTTPS необходимо иметь копию корневого сертификата прокси. Инструкции по развертыванию, приведенные в этом руководстве, содержат информацию о том, как загрузить эту копию в зоны доверия узлов безопасности данных гибридного типа.
-
Сеть, в которой размещены узлы HDS, должна обеспечивать принудительную маршрутизацию исходящего трафика TCP на порте 443 через прокси.
-
Прокси, проверяющие веб-трафик, могут нарушать работу соединений веб-сокетов. Для устранения этой проблемы трафик следует направить в обход (без проверки) на
wbx2.comи*.teams.webex.com.
Выполнение предварительных требований для службы безопасности данных гибридного типа
| 1 |
Убедитесь, что в партнерской организации включена функция HDS с несколькими клиентами, и получите учетные данные учетной записи с полными правами администратора партнера и полными правами администратора. Убедитесь, что для клиентской организации Webex включена профессиональная версия Cisco Webex Control Hub. Обратитесь за помощью к своему партнеру Cisco или менеджеру по работе с клиентами. У клиентских организаций не должно быть существующего развертывания HDS. |
| 2 |
Выберите имя домена для развертывания HDS (например, |
| 3 |
Подготовьте идентичные виртуальные узлы, которые будут настроены в качестве узлов безопасности данных гибридного типа в кластере. Необходимо разместить не менее двух отдельных организаторов (рекомендуется 3) в одном и том же защищенном центре обработки данных, который соответствует требованиям в разделе Требования к виртуальному организатору. |
| 4 |
Подготовьте сервер базы данных, который будет использоваться в качестве хранилища ключевых данных для кластера в соответствии с требованиями сервера базы данных. Сервер базы данных должен быть размещен в защищенном центре обработки данных с виртуальными хостами. |
| 5 |
Для быстрого аварийного восстановления настройте резервную среду в другом центре обработки данных. Резервная среда дублирует производственную среду виртуальных машин и сервер базы данных резервного копирования. Например, если в производственной среде есть 3 виртуальных машины с узлами HDS, резервная среда должна иметь 3 виртуальных машины. |
| 6 |
Настройте узел системного журнала для сбора журналов с узлов в кластере. Соберите сетевой адрес и порт системного журнала (по умолчанию UDP 514). |
| 7 |
Создайте политику безопасного резервного копирования для узлов безопасности данных гибридного типа, сервера базы данных и узла системного журнала. Как минимум, чтобы предотвратить необратимую потерю данных, необходимо создать резервную копию базы данных и файла конфигурации ISO, созданного для узлов безопасности данных гибридного типа. Поскольку узлы безопасности данных гибридного типа хранят ключи, используемые при шифровании и расшифровке контента, невыполнение оперативного развертывания приведет к НЕОБРАТИМОЙ ПОТЕРЕ этого контента. Клиенты приложения Webex кэшируют свои ключи, поэтому сбои могут не сразу стать заметными, но со временем станут очевидными. Временные перебои невозможно предотвратить, но их можно восстановить. Однако полная потеря базы данных или файла конфигурации ISO (нет доступных резервных копий) приведет к невозможности восстановления данных клиента. Ожидается, что операторы узлов безопасности данных гибридного типа осуществляют частые резервные копии базы данных и файла конфигурации ISO и будут готовы к обновлению центра обработки данных службы безопасности данных гибридного типа в случае катастрофической ошибки. |
| 8 |
Убедитесь, что конфигурация брандмауэра разрешает соединение для узлов безопасности данных гибридного типа, как описано в разделе Требования к внешнему подключению. |
| 9 |
Установите Docker (https://www.docker.com) на любом локальном компьютере, на котором запущена поддерживаемая ОС (64-разрядная версия Microsoft Windows 10 Professional или Enterprise или Mac OSX Yosemite 10.10.3 или более поздняя версия) с веб-браузером, с помощью которого можно получить доступ на странице http://127.0.0.1:8080. Экземпляр Docker используется для скачивания и запуска инструмента настройки HDS, который создает информацию локальной конфигурации для всех узлов безопасности данных гибридного типа. Вам может понадобиться лицензия Docker Desktop. Дополнительную информацию см. в статье Требования к рабочему столу Docker . Для установки и запуска инструмента настройки HDS локальная машина должна иметь подключение, описанное в разделе Требования к внешнему подключению. |
| 10 |
При интеграции прокси с системой безопасности данных гибридного типа убедитесь, что он соответствует требованиям к прокси-серверу. |
Настройка кластера безопасности данных гибридного типа
Алгоритм выполнения задач по развертыванию службы безопасности данных гибридного типа
| 1 |
Выполните начальную настройку и скачайте файлы установки Скачайте файл OVA на локальный компьютер для дальнейшего использования. |
| 2 |
Создание ISO конфигурации для узлов HDS Используйте инструмент настройки HDS для создания файла конфигурации ISO для узлов безопасности данных гибридного типа. |
| 3 |
Создайте виртуальную машину из файла OVA и выполните начальную конфигурацию, например параметры сети. Параметр настройки сети во время развертывания OVA протестирован с помощью ESXi 7.0. Этот параметр может быть недоступен в более ранних версиях. |
| 4 |
Настройка виртуальной машины безопасности данных гибридного типа Войдите в консоль виртуальной машины и задайте учетные данные для входа. Настройте параметры сети для узла, если они не были настроены во время развертывания файла OVA. |
| 5 |
Загрузка и установка ISO конфигурации HDS Настройте виртуальную машину из файла конфигурации ISO, созданного с помощью инструмента настройки HDS. |
| 6 |
Настройка узла HDS для интеграции прокси Если в сетевой среде требуется конфигурация прокси, укажите тип прокси, который будет использоваться для узла, и при необходимости добавьте сертификат прокси в доверенное хранилище. |
| 7 |
Регистрация первого узла в кластере Зарегистрируйте виртуальную машину в облаке Cisco Webex в качестве узла безопасности данных гибридного типа. |
| 8 |
Создать и зарегистрировать другие узлы Завершите настройку кластера. |
| 9 |
Активируйте HDS с несколькими клиентами в Partner Hub. Активируйте HDS и управляйте организациями клиентов в Partner Hub. |
Выполните начальную настройку и скачайте файлы установки
В этой задаче вы скачаете файл OVA на свой компьютер (а не на серверы, настроенные в качестве узлов безопасности данных гибридного типа). Этот файл будет использован позже в процессе установки.
| 1 |
Войдите в Partner Hub и щелкните Службы. |
| 2 |
В разделе облачных служб найдите карточку безопасности данных гибридного типа и щелкните Настройка. Нажатие кнопки Настройка в партнерском центре имеет решающее значение для процесса развертывания. Не продолжайте установку без завершения этого шага. |
| 3 |
Щелкните Добавить ресурс и щелкните Скачать файл OVA на карточке Установка и настройка программного обеспечения . Более ранние версии пакета программного обеспечения (OVA) не будут совместимы с последними модернизациями безопасности данных гибридного типа. Это может привести к ошибкам во время модернизации приложения. Убедитесь, что скачано последнюю версию файла OVA. Кроме того, файл OVA можно скачать в любой момент в разделе Справка . Щелкните . Скачивание файла OVA начнется автоматически. Сохраните файл в местоположении на своем компьютере.
|
| 4 |
При необходимости щелкните Просмотреть руководство по развертыванию службы безопасности данных гибридного типа , чтобы проверить доступность более поздней версии этого руководства. |
Создание ISO конфигурации для узлов HDS
Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.
Прежде чем начать
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора.
Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker на шаге 5 ниже. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТHTTPS-прокси без аутентификации
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТHTTP-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТHTTPS-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ -
Созданный файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. При внесении изменений в конфигурацию вам потребуется последняя копия этого файла. Например:
-
Учетные данные базы данных
-
Обновления сертификата
-
Изменения политики авторизации
-
-
При планировании шифрования соединений с базой данных настройте развертывание PostgreSQL или SQL Server для TLS.
| 1 |
Введите соответствующую команду для вашей среды в командной строке компьютера. В обычных средах: В средах FedRAMP: На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать. | ||||||||||
| 2 |
Чтобы войти в реестр образов Docker, введите следующее. | ||||||||||
| 3 |
Введите в запросе пароля этот хеш: | ||||||||||
| 4 |
Скачайте последнюю стабильную версию образа для вашей среды. В обычных средах: В средах FedRAMP: | ||||||||||
| 5 |
По завершении скачивания введите соответствующую команду для вашей среды.
Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080". | ||||||||||
| 6 |
Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу. Перейдите к локальному узлу Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартную подсказку для входа в систему. | ||||||||||
| 7 |
При отображении соответствующего запроса введите учетные данные для входа администратора Partner Hub и щелкните Войти , чтобы разрешить доступ к необходимым службам для службы безопасности данных гибридного типа. | ||||||||||
| 8 |
На странице обзора инструмента настройки щелкните Начало работы. | ||||||||||
| 9 |
На странице Импорт ISO доступны следующие параметры.
| ||||||||||
| 10 |
Проверьте, соответствует ли сертификат X.509 требованиям к сертификатам X.509.
| ||||||||||
| 11 |
Введите адрес базы данных и учетную запись HDS для доступа к хранилищу данных ключей: | ||||||||||
| 12 |
Выберите Режим подключения к базе данных TLS.
При загрузке корневого сертификата (при необходимости) и нажатии Продолжить инструмент настройки HDS тестирует подключение TLS к серверу базы данных. Инструмент также выполняет проверку источника подписи сертификата и имени узла (если применимо). Если тест не будет пройден, в инструменте будет отображено сообщение об ошибке с описанием проблемы. Можно выбрать параметр игнорирования ошибки и продолжить настройку. (Из-за различий соединения узлы HDS могут установить соединение TLS, даже если машина средства настройки HDS не может успешно протестировать его.) | ||||||||||
| 13 |
На странице «Системные журналы» настройте сервер Syslogd: | ||||||||||
| 14 |
(Необязательно) Можно изменить значение по умолчанию для некоторых параметров подключения к базе данных в разделе Расширенные настройки. Как правило, этот параметр является единственным, который необходимо изменить: | ||||||||||
| 15 |
Щелкните Продолжить на экране Сброс пароля учетных записей службы . Срок действия паролей учетных записей службы составляет девять месяцев. Используйте этот экран, когда срок действия паролей скоро истечет или вы хотите сбросить их, чтобы сделать предыдущие файлы ISO недействительными. | ||||||||||
| 16 |
Щелкните Скачать файл ISO. Сохраните файл в удобном для поиска местоположении. | ||||||||||
| 17 |
Сделайте резервную копию файла ISO в локальной системе. Обеспечьте безопасность резервного копирования. Этот файл содержит главный ключ шифрования для содержимого базы данных. Ограничьте доступ только тем администраторам службы безопасности данных гибридного типа, которые должны вносить изменения в конфигурацию. | ||||||||||
| 18 |
Чтобы завершить работу инструмента настройки, нажмите |
Дальнейшие действия
Создайте резервную копию файла конфигурации ISO. Это необходимо для создания дополнительных узлов для восстановления или внесения изменений в конфигурацию. В случае утери всех копий файла ISO также был утрачен главный ключ. Невозможно восстановить ключи из базы данных PostgreSQL или Microsoft SQL Server.
У нас никогда не будет копии этого ключа, и мы не можем помочь, если вы его потеряете.
Установка файла OVA узла HDS
| 1 |
Используйте клиент VMware vSphere на компьютере для входа в виртуальный хост ESXi. |
| 2 |
Выберите Файл > Развернуть шаблон OVF. |
| 3 |
В мастере укажите расположение скачанного ранее файла OVA и щелкните Далее. |
| 4 |
На странице Выберите имя и папку введите имя виртуальной машины для узла (например, "HDS_Node_1"), выберите местоположение, в котором может находиться развертывание узла виртуальной машины, и щелкните Далее. |
| 5 |
На странице Выбор вычислительного ресурса выберите целевой вычислительный ресурс и щелкните Далее. Выполняется проверка. По завершении отобразятся сведения о шаблоне. |
| 6 |
Проверьте сведения о шаблоне и щелкните Далее. |
| 7 |
При появлении запроса на выбор конфигурации ресурса на странице Конфигурация щелкните 4 ЦП , а затем щелкните Далее. |
| 8 |
На странице Выбор хранилища щелкните Далее , чтобы принять формат диска по умолчанию и политику хранилища виртуальной машины. |
| 9 |
На странице Выбор сетей выберите параметр сети из списка записей, чтобы обеспечить необходимое подключение к виртуальной машине. |
| 10 |
На странице Настройка шаблона настройте приведенные ниже параметры сети.
При необходимости можно пропустить конфигурацию сетевых настроек и выполнить действия, описанные в разделе Настройка виртуальной машины безопасности данных гибридного типа , чтобы настроить параметры с помощью консоли узла. Параметр настройки сети во время развертывания OVA протестирован с помощью ESXi 7.0. Этот параметр может быть недоступен в более ранних версиях. |
| 11 |
Щелкните правой кнопкой мыши узел виртуальной машины и выберите . Программное обеспечение безопасности данных гибридного типа устанавливается в качестве гостя на узле виртуальной машины. Теперь вы готовы войти в консоль и настроить узел. Рекомендации по устранению неисправностей Контейнеры узла могут появиться через несколько минут. Во время первой загрузки на консоли отображается сообщение брандмауэра моста, в течение которого невозможно войти в систему. |
Настройка виртуальной машины безопасности данных гибридного типа
Используйте эту процедуру для первого входа в консоль виртуальной машины узла безопасности данных гибридного типа и установки учетных данных для входа. Можно также использовать консоль для настройки сетевых параметров узла, если они не были настроены во время развертывания файла OVA.
| 1 |
В клиенте VMware vSphere выберите виртуальную машину узла безопасности данных гибридного типа и откройте вкладку Консоль . Будет загружена виртуальная машина, и отобразится запрос на вход. Если запрос на вход не отображается, нажмите клавишу ввода.
|
| 2 |
Для входа и изменения учетных данных используйте следующие параметры входа и пароля по умолчанию: Поскольку вы впервые входите в свою виртуальную машину, вам необходимо изменить пароль администратора. |
| 3 |
Если параметры сети уже настроены в разделе Установка OVA узла HDS, пропустите остальную процедуру. В противном случае в главном меню выберите параметр Редактировать конфигурацию . |
| 4 |
Настройте статическую конфигурацию с использованием IP-адреса, маски, шлюза и информации DNS. Узел должен иметь внутренний IP-адрес и имя DNS. DHCP не поддерживается. |
| 5 |
(Необязательно) Измените имя хоста, домен или NTP-серверы, если это необходимо для соответствия вашей сетевой политике. Настройка домена в соответствии с доменом, который вы использовали для получения сертификата X.509, не требуется. |
| 6 |
Сохраните конфигурацию сети и перезагрузите виртуальную машину, чтобы изменения вступили в силу. |
Загрузка и установка ISO конфигурации HDS
Перед началом работы
Поскольку в файле ISO содержится главный ключ, он должен быть раскрыт только по принципу «необходимо знать» для доступа виртуальных машин безопасности данных гибридного типа и всех администраторов, которым может потребоваться внести изменения. Убедитесь, что доступ к хранилищу данных могут получить только эти администраторы.
| 1 |
Загрузите файл ISO со своего компьютера. |
| 2 |
Установите файл ISO: |
Дальнейшие действия
Если политика ИТ требует, после внесения изменений конфигурации на всех узлах можно отсоединить файл ISO. Подробные сведения см. в статье (необязательно) Отключение ISO после настройки HDS .
Настройка узла HDS для интеграции прокси
Если в сетевой среде необходимо использовать прокси, воспользуйтесь этой процедурой, чтобы указать тип прокси, который нужно интегрировать со службой безопасности данных гибридного типа. При выборе прозрачного прокси с проверкой или явного прокси HTTPS можно использовать интерфейс узла для загрузки и установки корневого сертификата. Кроме того, в интерфейсе можно проверять соединение с прокси и устранять неполадки.
Перед началом работы
-
Общие сведения о поддерживаемых параметрах прокси см. в разделе Поддержка прокси .
| 1 |
Введите в веб-браузере URL-адрес для настройки узла HDS |
| 2 |
Откройте раздел Trust Store & Proxy (Зона доверия и прокси) и выберите один из следующих параметров.
В случае использования прозрачного прокси с проверкой, явного прокси HTTP с базовой аутентификацией или явного прокси HTTPS выполните указанные далее шаги. |
| 3 |
Щелкните Upload a Root Certificate or End Entity Certificate (Загрузить корневой сертификат или сертификат конечного субъекта) и откройте меню для выбора корневого сертификата для прокси. Сертификат будет загружен, но не установлен, поскольку для установки сертификата необходимо перезагрузить узел. Чтобы получить дополнительные сведения, щелкните стрелку-шеврон, расположенную рядом с именем издателя сертификата. Если вы допустили ошибку и хотите вновь загрузить файл, щелкните Delete (Удалить). |
| 4 |
Чтобы протестировать сетевое соединение между узлом и прокси, щелкните Check Proxy Connection (Проверить соединение с прокси). Если тестирование соединения завершится неудачей, на экране появится сообщение об ошибке, в котором будут указаны причина и способ исправления ошибки. Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу. Такая проблема может возникнуть во многих конфигурациях явного прокси. Можно продолжить настройку, и узел будет работать в режиме блокировки разрешения внешних DNS. Если вы считаете, что это ошибка, выполните эти действия, а затем см. статью Выключение режима блокировки разрешения внешних DNS. |
| 5 |
Если вы используете явный прокси, настроенный на применение исключительно https, после успешного завершения тестирования соединения включите параметр Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси (Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси). Для вступления в силу этого параметра необходимо 15 секунд. |
| 6 |
Щелкните Install All Certificates Into the Trust Store (Установить все сертификаты в зоне доверия) – этот параметр отображается при использовании явного прокси HTTPS или прозрачного прокси с проверкой – или Reboot (Перезагрузить) – этот параметр отображается при использовании явного прокси HTTP. Прочитайте запрос и щелкните Install (Установить), если вы готовы к установке. Узел перезагрузится в течение нескольких минут. |
| 7 |
После перезагрузки узла повторно войдите в систему, если это необходимо, и откройте страницу Обзор, чтобы выполнить проверки соединений. Состояние всех проверок должно быть обозначено зеленым цветом. Проверка соединения с прокси используется исключительно для тестирования поддомена webex.com. Проблемы с соединениями нередко возникают из-за того, что некоторые облачные домены, указанные в инструкциях по установке, блокируются на уровне прокси. |
Регистрация первого узла в кластере
При регистрации первого узла создается кластер, которому он назначен. Кластер содержит один или несколько узлов, развернутых для резервирования.
Перед началом работы
-
После начала регистрации узла ее необходимо завершить в течение 60 минут или начать заново.
-
Убедитесь, что все блокировки всплывающих окон в браузере отключены или вы разрешаете исключение для admin.webex.com.
| 1 |
Войдите в https://admin.webex.com. |
| 2 |
В меню в левой части экрана выберите Службы. |
| 3 |
В разделе облачных служб найдите карточку безопасности данных гибридного типа и щелкните Настройка. |
| 4 |
На открывшейся странице щелкните Добавить ресурс. |
| 5 |
В первом поле карточки Добавить узел введите имя кластера, которому необходимо назначить узел безопасности данных гибридного типа. Рекомендуется назвать кластер в зависимости от географического расположения узлов кластера. Примеры: "Сан-Франциско", "Нью-Йорк" или "Даллас" |
| 6 |
Во втором поле введите внутренний IP-адрес или полное доменное имя узла и щелкните Добавить в нижней части экрана. Этот IP-адрес или полное доменное имя должны совпадать с IP-адресом или именем хоста и доменом, которые вы использовали в разделе Настройка виртуальной машины безопасности данных гибридного типа. Отобразится сообщение о том, что можно зарегистрировать узел в Webex.
|
| 7 |
Щелкните Перейти к узлу. Через несколько секунд вы будете перенаправлены на тестирование подключения узла для служб Webex. Если все тесты будут успешными, отобразится страница "Разрешить доступ к узлу безопасности данных гибридного типа". Здесь вы подтверждаете, что хотите предоставить вашей организации Webex полномочия на доступ к узлу. |
| 8 |
Установите флажок в поле Разрешить доступ к узлу безопасности данных гибридного типа и щелкните Продолжить. Учетная запись подтверждена. В сообщении "Регистрация завершена" указано, что узел зарегистрирован в облаке Webex.
|
| 9 |
Щелкните ссылку или закройте вкладку, чтобы вернуться на страницу безопасности данных гибридного типа партнерского центра. На странице Безопасность данных гибридного типа новый кластер, содержащий зарегистрированный узел, отображается на вкладке Ресурсы . Узел будет автоматически скачан новейшее программное обеспечение из облака.
|
Создать и зарегистрировать другие узлы
Перед началом работы
-
После начала регистрации узла ее необходимо завершить в течение 60 минут или начать заново.
-
Убедитесь, что все блокировки всплывающих окон в браузере отключены или вы разрешаете исключение для admin.webex.com.
| 1 |
Создайте новую виртуальную машину из файла OVA, повторяя шаги, описанные в разделе Установка файла OVA узла HDS. |
| 2 |
Настройте начальную конфигурацию новой виртуальной машины, повторяя шаги, описанные в разделе Настройка виртуальной машины безопасности данных гибридного типа. |
| 3 |
В новой виртуальной машине повторите шаги, описанные в разделе Загрузка и установка ISO конфигурации HDS. |
| 4 |
При настройке прокси для развертывания повторите шаги, описанные в разделе Настройка узла HDS для интеграции прокси для нового узла. |
| 5 |
Зарегистрируйте узел. |
Управление организациями клиентов в службе безопасности данных гибридного типа с поддержкой нескольких клиентов
Активация HDS с несколькими клиентами в центре партнера
Эта задача позволит всем пользователям клиентских организаций начать использование HDS для локальных ключей шифрования и других служб безопасности.
Перед началом работы
Убедитесь, что настройка кластера HDS с несколькими клиентами завершена с требуемым количеством узлов.
| 1 |
Войдите в https://admin.webex.com. |
| 2 |
В меню в левой части экрана выберите Службы. |
| 3 |
В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Редактировать настройки. |
| 4 |
Щелкните Активировать HDS на карточке Состояние HDS . |
Добавить организации клиентов в Partner Hub
В этой задаче вы назначаете клиентские организации кластеру безопасности данных гибридного типа.
| 1 |
Войдите в https://admin.webex.com. |
| 2 |
В меню в левой части экрана выберите Службы. |
| 3 |
В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Просмотреть все. |
| 4 |
Щелкните кластер, которому необходимо назначить клиента. |
| 5 |
Перейдите на вкладку Назначенные клиенты . |
| 6 |
Щелкните Добавить клиентов. |
| 7 |
В раскрывающемся меню выберите клиента, которого необходимо добавить. |
| 8 |
Щелкните Добавить, и клиент будет добавлен в кластер. |
| 9 |
Чтобы добавить в кластер несколько клиентов, повторите шаги 6–8. |
| 10 |
После добавления клиентов щелкните Готово в нижней части экрана. |
Дальнейшие действия
Создание главных ключей клиентов (CMK) с помощью инструмента настройки HDS
Перед началом работы
Назначьте клиентов в соответствующий кластер, как описано в разделе Добавление клиентских организаций в Partner Hub. Запустите инструмент настройки HDS, чтобы завершить процесс настройки вновь добавленных клиентских организаций.
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора для вашей организации.
Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТHTTPS-прокси без аутентификации
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТHTTP-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТHTTPS-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ -
Созданный файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. При внесении изменений в конфигурацию вам потребуется последняя копия этого файла. Например:
-
Учетные данные базы данных
-
Обновления сертификата
-
Изменения политики авторизации
-
-
При планировании шифрования соединений с базой данных настройте развертывание PostgreSQL или SQL Server для TLS.
Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.
| 1 |
Введите соответствующую команду для вашей среды в командной строке компьютера. В обычных средах: В средах FedRAMP: На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать. |
| 2 |
Чтобы войти в реестр образов Docker, введите следующее. |
| 3 |
Введите в запросе пароля этот хеш: |
| 4 |
Скачайте последнюю стабильную версию образа для вашей среды. В обычных средах: В средах FedRAMP: |
| 5 |
По завершении скачивания введите соответствующую команду для вашей среды.
Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080". |
| 6 |
Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу. Перейдите к локальному узлу Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартную подсказку для входа в систему. |
| 7 |
При отображении соответствующего запроса введите учетные данные для входа администратора Partner Hub и щелкните Войти , чтобы разрешить доступ к необходимым службам для службы безопасности данных гибридного типа. |
| 8 |
На странице обзора инструмента настройки щелкните Начало работы. |
| 9 |
На странице Импорт ISO щелкните Да. |
| 10 |
Выберите файл ISO в браузере и загрузите его. Для выполнения управления CMK убедитесь в подключении к базе данных. |
| 11 |
Перейдите на вкладку Управление CMK клиента , где можно найти три способа управления CMK клиента.
|
| 12 |
После успешного создания CMK состояние в таблице изменится с Управление CMK рассматривается на Управление CMK. |
| 13 |
В случае неудачного создания CMK отображается ошибка. |
Удалить организации клиентов
Перед началом работы
После удаления пользователи клиентских организаций не смогут использовать HDS в целях шифрования, а все существующие пространства будут утрачены. Прежде чем удалить клиентские организации, обратитесь к своему партнеру Cisco или менеджеру по работе с клиентами.
| 1 |
Войдите в https://admin.webex.com. |
| 2 |
В меню в левой части экрана выберите Службы. |
| 3 |
В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Просмотреть все. |
| 4 |
На вкладке Ресурсы щелкните кластер, из которого необходимо удалить клиентские организации. |
| 5 |
На открывшейся странице щелкните Назначенные клиенты. |
| 6 |
В списке отображаемых клиентских организаций щелкните ... в правой части клиентской организации, которую необходимо удалить, и щелкните Удалить из кластера. |
Дальнейшие действия
Завершите процесс удаления, отозвав CMK клиентских организаций, как описано в статье Отозвать CMK клиентов, удаленных из HDS.
Отозвать CMK клиентов, удаленные из HDS.
Перед началом работы
Удалите клиентов из соответствующего кластера, как описано в разделе Удаление клиентских организаций. Запустите инструмент настройки HDS, чтобы завершить процесс удаления удаленных клиентских организаций.
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора для вашей организации.
Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТHTTPS-прокси без аутентификации
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТHTTP-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТHTTPS-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ -
Созданный файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. При внесении изменений в конфигурацию вам потребуется последняя копия этого файла. Например:
-
Учетные данные базы данных
-
Обновления сертификата
-
Изменения политики авторизации
-
-
При планировании шифрования соединений с базой данных настройте развертывание PostgreSQL или SQL Server для TLS.
Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.
| 1 |
Введите соответствующую команду для вашей среды в командной строке компьютера. В обычных средах: В средах FedRAMP: На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать. |
| 2 |
Чтобы войти в реестр образов Docker, введите следующее. |
| 3 |
Введите в запросе пароля этот хеш: |
| 4 |
Скачайте последнюю стабильную версию образа для вашей среды. В обычных средах: В средах FedRAMP: |
| 5 |
По завершении скачивания введите соответствующую команду для вашей среды.
Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080". |
| 6 |
Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу. Перейдите к локальному узлу Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартную подсказку для входа в систему. |
| 7 |
При отображении соответствующего запроса введите учетные данные для входа администратора Partner Hub и щелкните Войти , чтобы разрешить доступ к необходимым службам для службы безопасности данных гибридного типа. |
| 8 |
На странице обзора инструмента настройки щелкните Начало работы. |
| 9 |
На странице Импорт ISO щелкните Да. |
| 10 |
Выберите файл ISO в браузере и загрузите его. |
| 11 |
Перейдите на вкладку Управление CMK клиента , где можно найти три способа управления CMK клиента.
|
| 12 |
После успешного отзыва CMK клиентская организация больше не будет отображаться в таблице. |
| 13 |
Если отзыв CMK не выполнен, отображается ошибка. |
Тестирование развертывания службы безопасности данных гибридного типа
Тестирование развертывания службы безопасности данных гибридного типа
Перед началом работы
-
Настройте развертывание службы безопасности данных гибридного типа с несколькими клиентами.
-
Убедитесь, что у вас есть доступ к системному журналу, чтобы проверить, передаются ли запросы ключей в развертывание системы безопасности данных гибридного типа с несколькими клиентами.
| 1 |
Ключи для определенного пространства задаются создателем пространства. Войдите в приложение Webex в качестве одного из пользователей клиентской организации и создайте пространство. Если деактивировать развертывание безопасности данных гибридного типа, контент в пространствах, созданных пользователями, больше не будет доступен после замены кэшированных клиентом копий ключей шифрования. |
| 2 |
Отправить сообщения в новое пространство. |
| 3 |
Проверьте вывод системного журнала, чтобы убедиться, что запросы ключей передаются в развертывание службы безопасности данных гибридного типа. |
Мониторинг работоспособности службы безопасности данных гибридного типа
| 1 |
В Partner Hub в меню в левой части экрана выберите Службы . |
| 2 |
В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Редактировать настройки. Отобразится страница "Настройки безопасности данных гибридного типа".
|
| 3 |
В разделе "Электронные уведомления" введите один или несколько адресов электронной почты, разделяя их запятыми, и нажмите клавишу ввода. |
Управление развертыванием HDS
Управление развертыванием HDS
Для управления развертыванием службы безопасности данных гибридного типа используйте описанные здесь задачи.
Настройка графика модернизации кластера
Чтобы настроить график модернизации, выполните указанные ниже действия.
| 1 |
Войдите в Partner Hub. |
| 2 |
В меню в левой части экрана выберите Службы. |
| 3 |
В разделе "Облачные службы" найдите раздел "Безопасность данных гибридного типа" и щелкните Настройка. |
| 4 |
На странице "Ресурсы безопасности данных гибридного типа" выберите кластер. |
| 5 |
Щелкните вкладку Настройки кластера . |
| 6 |
На странице настроек кластера в разделе "График модернизации" выберите время и часовой пояс для графика модернизации. Примечание. В часовом поясе отображаются следующие доступные дата и время модернизации. При необходимости можно отложить модернизацию на следующий день, щелкнув Отложить на 24 часа. |
Изменение конфигурации узла
-
Изменение сертификатов x.509 по истечении срока действия или по другим причинам.
Изменение доменного имени CN сертификата не поддерживается. Домен должен совпадать с исходным доменом, использованным для регистрации кластера.
-
Обновление настроек базы данных для работы с копией базы данных PostgreSQL или Microsoft SQL Server.
Перенос данных с PostgreSQL на Microsoft SQL Server или в обратном направлении не поддерживается. Чтобы переключить среду базы данных, начните новое развертывание службы безопасности данных гибридного типа.
-
Создание новой конфигурации для подготовки нового центра обработки данных.
Из соображений безопасности для учетных записей в службе безопасности данных гибридного типа используются пароли со сроком действия 9 месяцев. После того как инструмент настройки HDS создаст эти пароли, вам нужно будет развернуть их в каждом из своих узлов HDS в файле конфигурации ISO. При приближении даты окончания срока действия пароля команда Webex пришлет вам уведомление с запросом на сброс пароля учетной записи компьютера. (В сообщении электронной почты будет текст "Использование API учетной записи компьютера для обновления пароля".) Если срок действия паролей еще не истек, средство предоставляет два варианта.
-
Мягкий сброс. Старые и новые пароли работают в течение 10 дней. Используйте этот период для постепенной замены файла ISO на узлах.
-
Принудительный сброс: старые пароли перестают работать немедленно.
Если срок действия ваших паролей истекает без сброса, это влияет на работу вашей службы HDS. В этом случае требуется немедленный жесткий сброс и замена файла ISO на всех узлах.
Используйте эту процедуру, чтобы создать новый файл конфигурации ISO и применить его к кластеру.
Прежде чем начать
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора партнера.
Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker в 1.e. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
ГЛОБАЛЬНЫЙ_AGENT_HTTP_PROXY=http://SERVER_IP:ПОРТHTTPS-прокси без аутентификации
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТHTTP-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTP_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТHTTPS-прокси с аутентификацией
ГЛОБАЛЬНЫЙ_ОПЕРАТОР_HTTPS_PROXY=http://ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ -
Для создания новой конфигурации потребуется копия текущего файла конфигурации ISO. Файл ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. Файл ISO необходим для изменения конфигурации, в том числе учетных данных базы данных, обновления сертификатов или изменения политики авторизации.
| 1 |
Запустите инструмент настройки HDS, используя Docker на локальной машине. |
| 2 |
Если у вас запущен только один узел HDS, создайте новую виртуальную машину узла безопасности данных гибридного типа и зарегистрируйте ее с помощью нового файла конфигурации ISO. Более подробные инструкции см. в статье Создание и регистрация дополнительных узлов. |
| 3 |
Для существующих узлов HDS, в которых используется старый файл конфигурации, необходимо установить файл ISO. Выполните следующую процедуру для каждого узла по очереди, обновив каждый узел до выключения следующего узла. |
| 4 |
Повторите шаг 3, чтобы заменить конфигурацию на каждом оставшемся узле со старой конфигурацией. |
Отключение режима блокировки разрешения внешних DNS
При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. Если DNS-сервер узла не может разрешать общедоступные имена DNS, узел автоматически переходит в режим блокировки разрешения внешних DNS.
Если узлы могут разрешать общедоступные имена DNS через внутренние DNS-серверы, можно отключить этот режим, повторно запустив тестирование подключения к прокси на каждом узле.
Перед началом работы
| 1 |
В веб-браузере откройте интерфейс узла безопасности данных гибридного типа (например, IP-адрес или настройка) https://192.0.2.0/setup), введите учетные данные администратора, настроенные для узла, и щелкните Войти. |
| 2 |
Перейдите к разделу Overview (Обзор) (страница по умолчанию). Если режим включен, параметр Blocked External DNS Resolution (Блокировка разрешения внешних DNS) должен иметь значение Yes (Да). |
| 3 |
Перейдите на страницу Trust Store & Proxy (Зона доверия и прокси). |
| 4 |
Щелкните Check Proxy Connection (Проверить соединение с прокси). Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу и он останется в этом режиме. В противном случае после перезапуска узла и возврата на страницу Overview (Обзор) параметр блокировки разрешения внешних DNS должен иметь значение No (Нет). |
Дальнейшие действия
Удаление узла
| 1 |
С помощью клиента VMware vSphere на компьютере можно войти в виртуальный хост ESXi и выключить виртуальную машину. |
| 2 |
Удалить узел: |
| 3 |
В клиенте vSphere удалите виртуальную машину. (На панели навигации слева щелкните виртуальную машину правой кнопкой мыши и щелкните Удалить.) Если виртуальная машина не удалена, не забудьте отсоединить файл конфигурации ISO. Без файла ISO вы не сможете использовать виртуальную машину для доступа к данным безопасности. |
Аварийное восстановление с помощью центра обработки данных в режиме ожидания
Наиболее важной службой, предоставляемой кластером безопасности данных гибридного типа, является создание и хранение ключей, используемых для шифрования сообщений и другого контента, хранящегося в облаке Webex. Для каждого пользователя в организации, назначенного службе безопасности данных гибридного типа, запросы на создание нового ключа маршрутизируются в кластер. Кластер также отвечает за возврат созданных им ключей всем пользователям, авторизованным для их извлечения, например участникам пространства для разговора.
Поскольку кластер выполняет критически важную функцию предоставления этих ключей, необходимо, чтобы кластер продолжал работать и чтобы поддерживались соответствующие резервные копии. Потеря базы данных безопасности данных гибридного типа или конфигурации ISO, используемой для схемы, приведет к НЕОБРАТИМОЙ ПОТЕРЕ контента клиента. Для предотвращения таких потерь необходимо выполнить следующие действия:
Если из-за аварии развертывание HDS в основном центре обработки данных становится недоступным, выполните эту процедуру, чтобы вручную переключиться на резервный центр обработки данных.
Перед началом работы
| 1 |
Запустите инструмент настройки HDS и выполните действия, указанные в разделе Создание ISO конфигурации для узлов HDS. |
| 2 |
Завершите процесс настройки и сохраните файл ISO в удобном для поиска месте. |
| 3 |
Сделайте резервную копию файла ISO в локальной системе. Обеспечьте безопасность резервного копирования. Этот файл содержит главный ключ шифрования для содержимого базы данных. Ограничьте доступ только тем администраторам службы безопасности данных гибридного типа, которые должны вносить изменения в конфигурацию. |
| 4 |
На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры. |
| 5 |
Щелкните Редактировать настройки >Диск CD/DVD 1 и выберите Файл хранилища данных ISO. Убедитесь, что установлены флажки Подключено и Подключиться при включении , чтобы обновленные изменения конфигурации вступили в силу после запуска узлов. |
| 6 |
Включите узел HDS и убедитесь, что сигналы отсутствуют в течение не менее 15 минут. |
| 7 |
Зарегистрируйте узел в партнерском центре. См. статью Регистрация первого узла в кластере. |
| 8 |
Повторите процесс для каждого узла в центре обработки данных в режиме ожидания. |
Дальнейшие действия
(Необязательно) Отсоедините ISO после настройки HDS
Стандартная конфигурация HDS выполняется с установленным ISO. Однако некоторые клиенты предпочитают не оставлять файлы ISO постоянно монтированными. После того как все узлы HDS примут новую конфигурацию, можно отсоединить файл ISO.
Для изменения конфигурации по-прежнему используются файлы ISO. При создании нового ISO или обновлении ISO с помощью инструмента настройки необходимо установить обновленный ISO на всех узлах HDS. С помощью этой процедуры можно снова отключить ISO, после того как все узлы примут изменения конфигурации.
Перед началом работы
Модернизируйте все свои узлы HDS до версии 2021.01.22.4720 или более поздней.
| 1 |
Закройте один из своих узлов HDS. |
| 2 |
В vCenter Server Appliance выберите узел HDS. |
| 3 |
Выберите и снимите флажок Файл хранилища данных ISO. |
| 4 |
Включите узел HDS и убедитесь, что сигналы отсутствуют в течение не менее 20 минут. |
| 5 |
Повторите эту процедуру для каждого узла HDS по очереди. |
Устранение неполадок службы безопасности данных гибридного типа
Просмотр предупреждений и устранение неполадок
Развертывание службы безопасности данных гибридного типа считается недоступным, если все узлы в кластере недоступны или кластер работает настолько медленно, что истекло время ожидания. Если пользователи не могут подключиться к кластеру безопасности данных гибридного типа, у них будут следующие симптомы:
-
Не удается создать новые пространства (не удается создать новые ключи)
-
Не удалось расшифровать сообщения и заголовки пространств для:
-
Новые пользователи, добавленные в пространство (невозможно получить ключи)
-
Существующие пользователи в пространстве, использующие новый клиент (не удается получить ключи)
-
-
Существующие пользователи в пространстве будут продолжать успешно работать, пока в их клиентах будет сохранен кэш ключей шифрования
Важно надлежащим образом отслеживать кластер безопасности данных гибридного типа и своевременно реагировать на все предупреждения во избежание перебоев в работе службы.
Предупреждения
При возникновении проблем с настройкой безопасности данных гибридного типа партнерский центр отображает предупреждения администратору организации и отправляет электронные сообщения на настроенный адрес электронной почты. Предупреждения охватывают многие распространенные сценарии.
|
Предупреждать |
Действие |
|---|---|
|
Ошибка доступа к локальной базе данных. |
Проверьте наличие ошибок базы данных или проблем локальной сети. |
|
Сбой подключения к локальной базе данных. |
Убедитесь в доступности сервера базы данных и использовании правильных учетных данных учетной записи службы в конфигурации узла. |
|
Сбой доступа к облачной службе. |
Убедитесь, что узлы могут получить доступ к серверам Webex, как указано в разделе Требования к внешнему подключению. |
|
Обновление регистрации облачной службы. |
Регистрация в облачных службах прервана. Выполняется возобновление регистрации. |
|
Регистрация для облачной службы прервана. |
Регистрация в облачных службах прервана. Служба выключена. |
|
Служба еще не активирована. |
Активируйте HDS в партнерском центре. |
|
Настроенный домен не соответствует сертификату сервера. |
Убедитесь, что сертификат сервера соответствует настроенному домену активации службы. Наиболее вероятная причина заключается в том, что CN сертификата недавно был изменен и теперь отличается от CN, использованного во время начальной настройки. |
|
Не удалось выполнить аутентификацию в облачных службах. |
Проверьте точность и возможный срок действия учетных данных службы. |
|
Не удалось открыть файл локального хранилища ключей. |
Проверка целостности и точности пароля в файле локального хранилища ключей. |
|
Недействительный сертификат локального сервера. |
Проверьте дату истечения срока действия сертификата сервера и убедитесь, что он был выдан доверенным центром сертификации. |
|
Не удается опубликовать метрики. |
Проверьте доступ локальной сети к внешним облачным службам. |
|
Каталог /media/configdrive/hds не существует. |
Проверьте конфигурацию подключения ISO на виртуальном хосте. Проверьте, существует ли файл ISO, настроен ли он для подключения при перезагрузке и успешно ли установлен. |
|
Настройка организации клиента не завершена для добавленных организаций |
Завершите настройку, создав CMK для вновь добавленных клиентских организаций с помощью инструмента настройки HDS. |
|
Настройка организации клиента не завершена для удаленных организаций |
Завершите настройку, отозвав CMK клиентских организаций, которые были удалены с помощью инструмента настройки HDS. |
Устранение неполадок службы безопасности данных гибридного типа
| 1 |
Просмотрите в Partner Hub все предупреждения и исправьте все элементы, найденные в нем. Для справки см. изображение ниже. |
| 2 |
Проверьте вывод сервера системных журналов для активности из развертывания службы безопасности данных гибридного типа. Используйте фильтр для таких слов, как "Предупреждение" и "Ошибка", чтобы помочь в устранении неполадок. |
| 3 |
Обратитесь в службу поддержки Cisco. |
Другие примечания
Известные проблемы безопасности данных гибридного типа
-
Если вы выключите кластер безопасности данных гибридного типа (удалив его в партнерском центре или выключив все узлы), потеряете файл конфигурации ISO или потеряете доступ к базе данных хранилища ключей, пользователи приложения Webex клиентских организаций больше не смогут использовать пространства в списке пользователей, созданных с помощью ключей из KMS. В настоящий момент для устранения этой проблемы нет обходного решения или решения. Мы настоятельно призываем вас не выключать службы HDS после обработки активных учетных записей пользователей.
-
Клиент с существующим подключением ECDH к KMS поддерживает это соединение в течение периода времени (вероятно, один час).
Использование OpenSSL для создания файла PKCS12
Перед началом работы
-
OpenSSL — это один из инструментов, который можно использовать для создания файла PKCS12 в соответствующем формате для загрузки в инструменте настройки HDS. Есть и другие способы сделать это, и мы не поддерживаем и не продвигаем друг друга.
-
Если вы решите использовать OpenSSL, мы предоставляем эту процедуру в качестве руководства для создания файла, который соответствует требованиям сертификата X.509 в разделе Требования к сертификату X.509. Прежде чем продолжить, ознакомьтесь с этими требованиями.
-
Установите OpenSSL в поддерживаемой среде. Информацию о программном обеспечении и документации см. в разделе https://www.openssl.org .
-
Создайте закрытый ключ.
-
Начните эту процедуру при получении сертификата сервера от центра сертификации (ЦС).
| 1 |
При получении сертификата сервера от ЦС сохраните его как |
| 2 |
Отобразите сертификат в виде текста и проверьте сведения.
|
| 3 |
Используйте текстовый редактор для создания файла пакета сертификатов под названием
|
| 4 |
Создайте файл .p12 с подходящим именем
|
| 5 |
Проверьте сведения о сертификате сервера. |
Дальнейшие действия
Вернитесь к разделу Выполнение предварительных требований для безопасности данных гибридного типа. Файл hdsnode.p12 и заданный для него пароль будут использоваться в разделе Создание конфигурации ISO для узлов HDS.
Эти файлы можно повторно использовать для запроса нового сертификата по истечении срока действия исходного сертификата.
Трафик между узлами HDS и облаком
Трафик сбора исходящих метрик
Узлы безопасности данных гибридного типа отправляют определенные метрики в облако Webex. К ним относятся системные метрики максимального количества подключений, использования максимального количества подключений, загрузки ЦП и количества потоков; метрики синхронных и асинхронных потоков; метрики оповещений о пороговом значении соединений шифрования, задержки или длины очереди запросов; метрики хранилища данных; и метрики подключения шифрования. Узлы отправляют зашифрованный ключ-материал по внеполосному каналу (отдельному от запроса).
Входящий трафик
Узлы безопасности данных гибридного типа получают из облака Webex следующие типы входящего трафика:
-
Запросы на шифрование от клиентов, которые маршрутизируются службой шифрования
-
Модернизация программного обеспечения узла
Настройка прокси Squid для безопасности данных гибридного типа
Невозможно выполнить подключение веб-сокетов через прокси Squid
Прокси Squid, которые проверяют трафик HTTPS, могут мешать созданию соединений веб-сокетов (wss:), которые необходимы службе безопасности данных гибридного типа. В указанных далее разделах приведены рекомендации по настройке различных версий Squid с целью игнорирования трафика wss: для обеспечения надлежащей работы служб.
Squid 4 и 5
Добавьте on_unsupported_protocol директиву в squid.conf:
on_unsupported_protocol туннель всеSquid 3.5.27
Служба безопасности данных гибридного типа успешно протестирована с указанными далее правилами, добавленными в squid.conf. Эти правила могут изменяться по мере разработки функций и обновления облака Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump соединение wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump просмотр step1 все ssl_bump просмотр step2 все ssl_bump bump3 всеНовая и измененная информация
Новая и измененная информация
В этой таблице описаны новые функции или функциональные возможности, изменения существующего контента, а также любые серьезные ошибки, исправленные в руководстве по развертыванию службы безопасности данных гибридного типа с несколькими клиентами.
|
Дата |
Внесены изменения |
|---|---|
|
04 марта 2025 г. |
|
|
30 января 2025 г. |
Добавлен сервер SQL версии 2022 в список поддерживаемых серверов SQL в разделе Требования к серверу базы данных. |
|
15 января 2025 г. |
Добавлены ограничения безопасности данных гибридного типа с несколькими клиентами. |
|
8 января 2025 г. |
Добавлено примечание в разделе Выполнение начальной настройки и скачивание файлов установки , в котором указано, что нажатие кнопки Настройка на карточке HDS в Partner Hub является важным этапом процесса установки. |
|
7 января 2025 г. |
Обновлены Требования к виртуальному узлу, Алгоритм выполнения задач по развертыванию службы безопасности данных гибридного типа и Установка OVA узла HDS для отображения новых требований ESXi 7.0. |
|
13 декабря 2024 г. |
Впервые опубликовано. |
Деактивация службы безопасности данных гибридного типа с несколькими клиентами
Алгоритм выполнения задач по деактивации HDS с несколькими клиентами
Чтобы полностью деактивировать HDS с несколькими клиентами, выполните приведенные ниже действия.
Перед началом работы
| 1 |
Удалите всех клиентов из всех кластеров, как указано в разделе Удаление клиентских организаций. |
| 2 |
Отозвать CMK всех клиентов, как указано в статье Отозвать CMK клиентов, удаленных из HDS. |
| 3 |
Удалите все узлы из всех кластеров, как описано в разделе Удаление узла. |
| 4 |
Удалите все кластеры из Partner Hub одним из следующих двух способов.
|
| 5 |
Щелкните вкладку Настройки на странице обзора безопасности данных гибридного типа и щелкните Деактивировать HDS на карточке состояния HDS. |
Начало работы с системой безопасности данных гибридного типа с поддержкой нескольких клиентов
Общие сведения о безопасности данных гибридного типа для нескольких клиентов
С самого начала безопасность данных была главной задачей при разработке приложения Webex. В основе этой безопасности лежит сквозное шифрование контента, которое включается клиентами приложения Webex, взаимодействующими со службой управления ключами (KMS). KMS отвечает за создание и управление криптографическими ключами, которые используются клиентами для динамического шифрования и расшифровки сообщений и файлов.
По умолчанию для всех клиентов приложения Webex обеспечивается сквозное шифрование с использованием динамических ключей, которые хранятся в облаке KMS в области безопасности Cisco. Служба безопасности данных гибридного типа перемещает KMS и другие функции безопасности в корпоративный центр обработки данных, поэтому доступ к ключам для зашифрованного контента будет только у вас.
Служба безопасности данных гибридного типа с поддержкой нескольких клиентов позволяет организациям использовать HDS через доверенного локального партнера, который может выполнять функции поставщика услуг и управлять локальным шифрованием и другими службами безопасности. Эта настройка позволяет партнерской организации осуществлять полный контроль над развертыванием ключей шифрования и управлением ими, а также обеспечивает безопасность данных пользователей клиентских организаций от внешнего доступа. Партнерские организации настраивают экземпляры HDS и при необходимости создают кластеры HDS. Каждый экземпляр может поддерживать несколько клиентских организаций, в отличие от обычного развертывания HDS, которое ограничено одной организацией.
Это также позволяет небольшим организациям использовать HDS, поскольку служба управления ключами и инфраструктура безопасности, например центры обработки данных, принадлежат доверенному локальному партнеру.
Как служба безопасности данных гибридного типа с несколькими клиентами обеспечивает суверенитет и управление данными
- Созданный пользователем контент защищен от внешнего доступа, например от поставщиков облачных услуг.
- Локальные доверенные партнеры управляют ключами шифрования клиентов, с которыми они уже установили взаимоотношения.
- Параметр для локальной технической поддержки, если она предоставлена партнером.
- Поддержка контента совещаний, обмена сообщениями и вызовов.
Этот документ предназначен для помощи партнерским организациям в настройке клиентов и управлении ими в системе безопасности данных гибридного типа с несколькими клиентами.
Ограничения службы безопасности данных гибридного типа с несколькими клиентами
- Партнерские организации не должны иметь существующее развертывание HDS, активное в Control Hub.
- Клиентские или клиентские организации, которым необходимо управлять партнером, не должны иметь существующее развертывание HDS в Control Hub.
- После развертывания партнером HDS с несколькими клиентами все пользователи клиентских организаций, а также пользователи партнерской организации начинают использовать HDS с несколькими клиентами для своих служб шифрования.
Партнерская организация и клиентские организации, которыми они управляют, будут развертываться в одном развертывании HDS с несколькими клиентами.
После развертывания HDS с несколькими клиентами партнерская организация больше не будет использовать облачную службу KMS.
- Механизм для перемещения ключей обратно в облачную службу KMS после развертывания HDS отсутствует.
- В настоящее время каждое развертывание HDS с несколькими клиентами может иметь только один кластер с несколькими узлами под ним.
- Роли администраторов имеют определенные ограничения. Подробности см. в разделе ниже.
Роли в службе безопасности данных гибридного типа с несколькими клиентами
- Администратор партнера с полными правами : может управлять настройками для всех клиентов, которыми управляет партнер. Также может назначать роли администратора существующим пользователям в организации и назначать определенных клиентов, которыми будут управлять администраторы партнера.
- Администратор партнера . Может управлять настройками клиентов, подготовленных администратором или назначенных пользователю.
- Администратор с полными правами . Администратор партнерской организации, уполномоченный выполнять такие задачи, как изменение настроек организации, управление лицензиями и назначение ролей.
- Сквозная настройка HDS с несколькими клиентами и управление ими всех клиентских организаций . Требуются права администратора партнера с полными правами и администратора с полными правами.
- Управление назначенными организациями клиента : требуются права администратора партнера и полного администратора.
Архитектура области безопасности
Облачная архитектура Webex разбивает различные типы служб на отдельные области или домены доверия, как показано ниже.
Чтобы получить дополнительные сведения о безопасности данных гибридного типа, давайте сначала рассмотрим этот облачный случай, в котором компания Cisco предоставляет все функции в облачных областях. Служба удостоверений – единственное место, где пользователи могут напрямую соотнести с их персональной информацией, такой как адрес электронной почты, логически и физически отделена от области безопасности в центре обработки данных B. Обе службы в свою очередь отделены от области, в которой в конечном итоге хранится зашифрованный контент, в центре обработки данных C.
На этой схеме клиент представляет собой приложение Webex, запущенное на ноутбуке пользователя и прошедшее аутентификацию с помощью службы удостоверений. При написании пользователем сообщения для отправки в пространство выполняются следующие действия.
-
Клиент устанавливает безопасное соединение со службой управления ключами (KMS), затем запрашивает ключ для шифрования сообщения. Защищенное соединение использует ECDH, а KMS шифрует ключ с помощью главного ключа AES-256.
-
Сообщение шифруется до выхода из клиента. Клиент отправляет его в службу индексации, которая создает зашифрованные индексы поиска для помощи в будущих поисковых запросах контента.
-
Зашифрованное сообщение отправляется в службу обеспечения соответствия для проверки соответствия.
-
Зашифрованное сообщение хранится в области хранилища.
При развертывании службы безопасности данных гибридного типа функции области безопасности (KMS, индексация и соответствие требованиям) перемещаются в локальный центр обработки данных. Другие облачные службы, которые составляют Webex (включая идентификационные данные и хранилище контента), остаются в сферах Cisco.
Сотрудничество с Другими Организациями
Пользователи в вашей организации могут регулярно использовать приложение Webex для совместной работы с внешними участниками из других организаций. Когда один из пользователей запрашивает ключ для пространства, принадлежащего вашей организации (поскольку он был создан одним из пользователей), KMS отправляет ключ клиенту по защищенному каналу ECDH. Однако если ключ для пространства принадлежит другой организации, KMS перенаправляет запрос в облако Webex через отдельный канал ECDH для получения ключа от соответствующего KMS, а затем возвращает ключ пользователю в исходном канале.
Служба KMS, запущенная в организации A, проверяет подключения к KMS в других организациях с помощью сертификатов PKI x.509. Подробные сведения о создании сертификата x.509 для использования с развертыванием службы безопасности данных гибридного типа с несколькими клиентами см. в статье Подготовка среды .
Ожидания развертывания службы безопасности данных гибридного типа
Развертывание службы безопасности данных гибридного типа требует значительных обязательств и осознания рисков, связанных с хранением ключей шифрования.
Для развертывания службы безопасности данных гибридного типа необходимо предоставить:
-
Защищенный центр обработки данных в стране, которая является местоположением, поддерживаемым планами Cisco Webex Teams.
-
Оборудование, программное обеспечение и доступ к сети, описанные в разделе Подготовка среды.
Полная потеря конфигурации ISO, созданной для службы безопасности данных гибридного типа, или предоставленной базы данных приведет к потере ключей. Потеря ключей предотвращает расшифровку контента пространства и других зашифрованных данных в приложении Webex пользователями. В этом случае можно создать новое развертывание, однако будет отображаться только новый контент. Во избежание потери доступа к данным необходимо выполнить приведенные ниже действия.
-
Управление резервным копированием и восстановлением базы данных и конфигурации ISO.
-
Будьте готовы к быстрому аварийному восстановлению в случае аварии, например, сбою диска базы данных или сбою центра обработки данных.
Механизм для перемещения ключей обратно в облако после развертывания HDS отсутствует.
Высокоуровневый процесс настройки
В этом документе описана настройка и управление развертыванием службы безопасности данных гибридного типа с несколькими клиентами.
-
Настройка безопасности данных гибридного типа. Это включает подготовку необходимой инфраструктуры и установку программного обеспечения безопасности данных гибридного типа, создание кластера HDS, добавление клиентских организаций в кластер и управление их главными ключами клиента (CMK). Это позволит всем пользователям клиентских организаций использовать кластер безопасности данных гибридного типа для функций безопасности.
Этапы настройки, активации и управления подробно описаны в следующих трех главах.
-
Поддержка развертывания службы безопасности данных гибридного типа: облако Webex автоматически обеспечивает непрерывную модернизацию. Ваш отдел ИТ может предоставлять поддержку первого уровня для этого развертывания и при необходимости привлекать поддержку Cisco. В Partner Hub можно использовать экранные уведомления и настроить предупреждения на основе электронной почты.
-
Общие предупреждения, действия по устранению неполадок и известные проблемы. При возникновении проблем с развертыванием или использованием службы безопасности данных гибридного типа можно определить и устранить проблему с помощью последней главы этого руководства и приложения "Известные проблемы".
Модель развертывания службы безопасности данных гибридного типа
В корпоративном центре обработки данных служба безопасности данных гибридного типа будет развернута в виде одного кластера узлов на отдельных виртуальных узлах. Узлы связываются с облаком Webex с помощью защищенных веб-сокетов и защищенного HTTP.
Во время процесса установки предоставляется файл OVA для настройки виртуального устройства на предоставленных вами виртуальных машинах. Инструмент настройки HDS используется для создания пользовательского файла конфигурации кластера ISO, который устанавливается на каждом узле. Кластер безопасности данных гибридного типа использует предоставленный сервер Syslogd и базу данных PostgreSQL или Microsoft SQL Server. (Сведения о соединении Syslogd и базы данных можно настроить в инструменте настройки HDS.)
Минимальное количество узлов в кластере: два. Рекомендуется не менее трех на кластер. Наличие нескольких узлов гарантирует, что во время модернизации программного обеспечения или других действий по техническому обслуживанию узла служба не будет прерываться. (Облако Webex модернизирует только один узел за раз.)
Все узлы в кластере имеют доступ к одному хранилищу данных и активности журналов на один и тот же сервер системных журналов. Сами узлы не имеют состояния и обрабатывают запросы на ключ в циклическом порядке, как направляется облаком.
Узлы становятся активными при регистрации в партнерском центре. Чтобы вывести отдельный узел из эксплуатации, можно отменить его регистрацию, а затем, при необходимости, повторно зарегистрировать его.
Резервный центр обработки данных для аварийного восстановления
Во время развертывания вы настраиваете защищенный резервный центр обработки данных. В случае аварии центра обработки данных можно вручную перенести развертывание на резервный центр обработки данных.
Базы данных активных и резервных центров обработки данных синхронизируются друг с другом, что позволит свести к минимуму время, затрачиваемое на выполнение отработки отказа.
Активные узлы безопасности данных гибридного типа всегда должны находиться в одном центре обработки данных с активным сервером базы данных.
Поддержка прокси
Служба безопасности данных гибридного типа поддерживает явные прокси, прозрачные прокси с проверкой и прокси без проверки. Чтобы обеспечить защиту и мониторинг трафика из сети предприятия в облако, можно связать эти прокси с развертыванием. После настройки прокси на узлах административный интерфейс платформы на узлах можно использовать для управления сертификатами и просмотра общего состояния соединений.
Узлы безопасности данных гибридного типа поддерживают указанные далее параметры прокси.
-
Нет прокси. Значение по умолчанию, если для интеграции прокси не используется конфигурация доверенного хранилища и прокси для настройки узла HDS. Обновление сертификата не требуется.
-
Прозрачный прокси без проверки. Узлы не настроены для использования адреса определенного прокси-сервера и не должны требовать каких-либо изменений для работы с прокси без проверки. Обновление сертификата не требуется.
-
Прозрачный туннелирование или прокси с проверкой. Узлы не настроены для использования адреса определенного прокси-сервера. На узлах не нужно изменять конфигурацию HTTP или HTTPS. Как бы то ни было, для обеспечения доверия прокси узлам необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже HTTPS).
-
Явный прокси. При использовании явного прокси необходимо указать прокси-сервер и схему аутентификации узлам HDS. Для настройки явного прокси на каждом узле нужно ввести следующую информацию.
-
IP/FQDN прокси. Адрес, который можно использовать для связи с прокси-машиной.
-
Порт прокси. Номер порта, который прокси использует для прослушивания прокси-трафика.
-
Proxy Protocol (Протокол прокси). В зависимости от поддержки прокси-сервера выберите один из следующих протоколов.
-
HTTP – просматривает все запросы, отправляемые клиентом, и управляет этими запросами.
-
HTTPS – обеспечивает работу канала связи с сервером. Клиент получает и проверяет сертификат сервера.
-
-
Тип аутентификации: выберите один из приведенных ниже типов аутентификации.
-
Нет. Дальнейшая аутентификация не требуется.
Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.
-
Базовый: используется для агента пользователя HTTP для указания имени пользователя и пароля при совершении запроса. Использует кодировку Base64.
Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.
Требует ввода имени пользователя и пароля на каждом узле.
-
Дайджест. Используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети.
Этот параметр доступен только в том случае, если в качестве протокола прокси выбран протокол HTTPS.
Требует ввода имени пользователя и пароля на каждом узле.
-
-
Пример узлов безопасности данных гибридного типа и прокси
На этой схеме представлен пример соединения между системой безопасности данных гибридного типа, сетью и прокси. При использовании прозрачного прокси с проверкой или явного прокси с проверкой HTTPS на прокси и узлы безопасности данных гибридного типа необходимо установить один и тот же корневой сертификат.
Режим блокировки разрешения внешних DNS (конфигурации явного прокси)
При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. В развертываниях с конфигурациями явного прокси, которые не допускают разрешения внешних DNS для внутренних клиентов, если узел не может посылать запросы на DNS-серверы, он автоматически переходит в режим блокировки разрешения внешних DNS. В этом режиме можно продолжить регистрацию узла и другие тестирования подключения к прокси.
Подготовка среды
Требования к безопасности данных гибридного типа с несколькими клиентами
Требования к лицензии Cisco Webex
Развертывание службы безопасности данных гибридного типа с несколькими клиентами.
-
Партнерские организации: Обратитесь к своему партнеру Cisco или менеджеру по работе с клиентами и убедитесь, что функция "Несколько клиентов" включена.
-
Организации клиентов: Необходима профессиональная версия Cisco Webex Control Hub. См. https://www.cisco.com/go/pro-pack.
Требования к рабочему столу Docker
Перед установкой узлов HDS необходимо запустить программу настройки с помощью Docker Desktop. Docker недавно обновил свою модель лицензирования. Для вашей организации может потребоваться платная подписка на Docker Desktop. Подробности см. в записи блога Docker, " Docker обновляет и расширяет подписки на продукты".
Клиенты без лицензии Docker Desktop могут использовать инструмент управления контейнерами с открытым исходным кодом, например Podman Desktop, для запуска, управления и создания контейнеров. Подробные сведения см. в статье Запуск инструмента настройки HDS с помощью рабочего стола Podman .
Требования к сертификату X.509
Цепочка сертификатов должна соответствовать следующим требованиям:
|
Требование |
Подробности |
|---|---|
|
По умолчанию мы доверяем ЦС в списке Mozilla (за исключением WoSign и StartCom) по адресу https://wiki.mozilla.org/CA:IncludedCAs. |
|
CN не требуется, чтобы он был доступен или был организатором в режиме реального времени. Рекомендуется использовать название, которое отражает вашу организацию, например CN не должен содержать * (подстановочный знак). CN используется для проверки узлов безопасности данных гибридного типа для клиентов приложения Webex. Все узлы безопасности данных гибридного типа в кластере используют один и тот же сертификат. Ваш KMS идентифицирует себя с помощью домена CN, а не любого домена, определенного в полях SAN x.509v3. После регистрации узла с этим сертификатом изменение доменного имени CN не поддерживается. |
|
Программное обеспечение KMS не поддерживает подписи SHA1 для проверки подключений к KMS других организаций. |
|
Для изменения формата сертификата можно использовать преобразователь, например OpenSSL. При запуске инструмента настройки HDS потребуется ввести пароль. |
Программное обеспечение KMS не обеспечивает принудительное использование ключа или расширенные ограничения на его использование. Некоторые центры сертификации требуют, чтобы к каждому сертификату применялись расширенные ограничения на использование ключей, например аутентификация сервера. Использовать аутентификацию сервера или другие настройки можно.
Требования к виртуальному организатору
Виртуальные узлы, которые будут настроены в качестве узлов безопасности данных гибридного типа в кластере, имеют следующие требования:
-
По крайней мере два отдельных узла (рекомендуется 3) размещены в одном защищенном центре обработки данных
-
Установлена и запущена VMware ESXi 7.0 (или более поздняя версия).
При наличии более ранней версии ESXi необходимо выполнить модернизацию.
-
Минимум 4 ЦП, 8 ГБ основной памяти, 30 ГБ локального жесткого диска на сервер
Требования к серверу базы данных
Создайте новую базу данных для хранилища ключей. Не используйте базу данных по умолчанию. Приложения HDS при установке создают схему базы данных.
Существует два варианта сервера баз данных. Требования для каждого из них приведены ниже.
|
PostgreSQL |
Сервер Microsoft SQL |
|---|---|
|
|
|
Минимум 8 виртуальных ЦП, 16 ГБ основной памяти, достаточное пространство на жестком диске и мониторинг для обеспечения его отсутствия (рекомендуется 2 ТБ, если необходимо запустить базу данных в течение длительного времени без увеличения объема хранилища) |
Минимум 8 виртуальных ЦП, 16 ГБ основной памяти, достаточное пространство на жестком диске и мониторинг для обеспечения его отсутствия (рекомендуется 2 ТБ, если необходимо запустить базу данных в течение длительного времени без увеличения объема хранилища) |
Программное обеспечение HDS в настоящее время устанавливает следующие версии драйверов для связи с сервером базы данных:
|
PostgreSQL |
Сервер Microsoft SQL |
|---|---|
|
Драйвер JDBC Postgres 42.2.5 |
Драйвер JDBC 4.6 для SQL-сервера Эта версия драйвера поддерживает SQL Server Always On (экземпляры отказоустойчивого кластера и группы доступности Always On). |
Дополнительные требования для аутентификации Windows на Microsoft SQL Server
Если необходимо, чтобы узлы HDS использовали аутентификацию Windows для получения доступа к базе данных хранилища ключей на Microsoft SQL Server, в вашей среде потребуется следующая конфигурация:
-
Узлы HDS, инфраструктура Active Directory и сервер MS SQL должны быть синхронизированы с NTP.
-
Учетная запись Windows, которую вы предоставляете узлам HDS, должна иметь доступ к базе данных для чтения и записи.
-
Серверы DNS, предоставляемые узлам HDS, должны иметь возможность разрешать центр распределения ключей (KDC).
-
Экземпляр базы данных HDS можно зарегистрировать на сервере Microsoft SQL в качестве главного имени службы (SPN) в Active Directory. См. статью Регистрация имени участника службы для Kerberos Connections.
Инструмент настройки HDS, программа запуска HDS и локальный KMS должны использовать аутентификацию Windows для доступа к базе данных хранилища ключей. Они используют сведения из конфигурации ISO для создания SPN при запросе доступа с аутентификацией Kerberos.
Требования к внешнему подключению
Настройте брандмауэр, чтобы разрешить следующее подключение для приложений HDS:
|
Приложение |
Протокол |
Порт |
Направление из приложения |
Адресат |
|---|---|---|---|---|
|
Узлы безопасности данных гибридного типа |
Протокол TCP |
443 |
Исходящие HTTPS и WSS |
|
|
Инструмент настройки HDS |
Протокол TCP |
443 |
HTTPS для исходящих вызовов |
|
Узлы безопасности данных гибридного типа работают с преобразованием сетевого доступа (NAT) или за брандмауэром, если NAT или брандмауэр допускает необходимые исходящие соединения с адресатами домена в таблице выше. Для соединений, поступающих на узлы безопасности данных гибридного типа, порты не должны отображаться из Интернета. В центре обработки данных клиентам необходим доступ к узлам безопасности данных гибридного типа на портах 443 и 22 TCP в административных целях.
URL-адреса узлов общих параметров идентификации (CI) специфичны для региона. Ниже приведены текущие узлы CI.
|
Регион |
URL-адреса хостов общих параметров идентификации |
|---|---|
|
Северная и Южная Америка |
|
|
Европейский союз |
|
|
Канада |
|
| Сингапур |
|
| Объединенные Арабские Эмираты |
|
Требования к прокси-серверу
-
Мы официально поддерживаем следующие решения для прокси, которые можно интегрировать с узлами безопасности данных гибридного типа:
-
для прозрачных прокси – Cisco Web Security Appliance (WSA);
-
для явных прокси – Squid.
Прокси Squid, которые проверяют трафик HTTPS, могут мешать созданию соединений веб-сокетов (wss:). Чтобы устранить эту проблему, см. статью Настройка прокси Squid для безопасности данных гибридного типа.
-
-
Поддерживаются следующие комбинации типов аутентификации для явных прокси:
-
без аутентификации при использовании HTTP или HTTPS;
-
базовая аутентификация при использовании HTTP или HTTPS;
-
дайджест-аутентификация только при использовании HTTPS;
-
-
При наличии прозрачного прокси с проверкой или явного прокси HTTPS необходимо иметь копию корневого сертификата прокси. Инструкции по развертыванию, приведенные в этом руководстве, содержат информацию о том, как загрузить эту копию в зоны доверия узлов безопасности данных гибридного типа.
-
Сеть, в которой размещены узлы HDS, должна обеспечивать принудительную маршрутизацию исходящего трафика TCP на порте 443 через прокси.
-
Прокси, проверяющие веб-трафик, могут нарушать работу соединений веб-сокетов. При возникновении этой проблемы обход (без проверки) трафика к
wbx2.comиciscospark.comрешит проблему.
Выполнение предварительных требований для службы безопасности данных гибридного типа
| 1 |
Убедитесь, что в партнерской организации включена функция HDS с несколькими клиентами, и получите учетные данные учетной записи с полными правами администратора партнера и полными правами администратора. Убедитесь, что для клиентской организации Webex включена профессиональная версия Cisco Webex Control Hub. Обратитесь за помощью к своему партнеру Cisco или менеджеру по работе с клиентами. У клиентских организаций не должно быть существующего развертывания HDS. |
| 2 |
Выберите имя домена для развертывания HDS (например, |
| 3 |
Подготовьте идентичные виртуальные узлы, которые будут настроены в качестве узлов безопасности данных гибридного типа в кластере. Необходимо разместить не менее двух отдельных организаторов (рекомендуется 3) в одном и том же защищенном центре обработки данных, который соответствует требованиям в разделе Требования к виртуальному организатору. |
| 4 |
Подготовьте сервер базы данных, который будет использоваться в качестве хранилища ключевых данных для кластера в соответствии с требованиями сервера базы данных. Сервер базы данных должен быть размещен в защищенном центре обработки данных с виртуальными хостами. |
| 5 |
Для быстрого аварийного восстановления настройте резервную среду в другом центре обработки данных. Резервная среда дублирует производственную среду виртуальных машин и сервер базы данных резервного копирования. Например, если в производственной среде есть 3 виртуальных машины с узлами HDS, резервная среда должна иметь 3 виртуальных машины. |
| 6 |
Настройте узел системного журнала для сбора журналов с узлов в кластере. Соберите сетевой адрес и порт системного журнала (по умолчанию UDP 514). |
| 7 |
Создайте политику безопасного резервного копирования для узлов безопасности данных гибридного типа, сервера базы данных и узла системного журнала. Как минимум, чтобы предотвратить необратимую потерю данных, необходимо создать резервную копию базы данных и файла конфигурации ISO, созданного для узлов безопасности данных гибридного типа. Поскольку узлы безопасности данных гибридного типа хранят ключи, используемые при шифровании и расшифровке контента, невыполнение оперативного развертывания приведет к НЕОБРАТИМОЙ ПОТЕРЕ этого контента. Клиенты приложения Webex кэшируют свои ключи, поэтому сбои могут не сразу стать заметными, но со временем станут очевидными. Временные перебои невозможно предотвратить, но их можно восстановить. Однако полная потеря базы данных или файла конфигурации ISO (нет доступных резервных копий) приведет к невозможности восстановления данных клиента. Ожидается, что операторы узлов безопасности данных гибридного типа осуществляют частые резервные копии базы данных и файла конфигурации ISO и будут готовы к обновлению центра обработки данных службы безопасности данных гибридного типа в случае катастрофической ошибки. |
| 8 |
Убедитесь, что конфигурация брандмауэра разрешает соединение для узлов безопасности данных гибридного типа, как описано в разделе Требования к внешнему подключению. |
| 9 |
Установите Docker (https://www.docker.com) на любом локальном компьютере, на котором запущена поддерживаемая ОС (64-разрядная версия Microsoft Windows 10 Professional или Enterprise или Mac OSX Yosemite 10.10.3 или более поздняя версия) с веб-браузером, с помощью которого можно получить доступ на странице http://127.0.0.1:8080. Экземпляр Docker используется для скачивания и запуска инструмента настройки HDS, который создает информацию локальной конфигурации для всех узлов безопасности данных гибридного типа. Вам может понадобиться лицензия Docker Desktop. Дополнительную информацию см. в статье Требования к рабочему столу Docker . Для установки и запуска инструмента настройки HDS локальная машина должна иметь подключение, описанное в разделе Требования к внешнему подключению. |
| 10 |
При интеграции прокси с системой безопасности данных гибридного типа убедитесь, что он соответствует требованиям к прокси-серверу. |
Настройка кластера безопасности данных гибридного типа
Алгоритм выполнения задач по развертыванию службы безопасности данных гибридного типа
| 1 |
Выполните начальную настройку и скачайте файлы установки Скачайте файл OVA на локальный компьютер для дальнейшего использования. |
| 2 |
Создание ISO конфигурации для узлов HDS Используйте инструмент настройки HDS для создания файла конфигурации ISO для узлов безопасности данных гибридного типа. |
| 3 |
Создайте виртуальную машину из файла OVA и выполните начальную конфигурацию, например параметры сети. Параметр настройки сети во время развертывания OVA протестирован с помощью ESXi 7.0. Этот параметр может быть недоступен в более ранних версиях. |
| 4 |
Настройка виртуальной машины безопасности данных гибридного типа Войдите в консоль виртуальной машины и задайте учетные данные для входа. Настройте параметры сети для узла, если они не были настроены во время развертывания файла OVA. |
| 5 |
Загрузка и установка ISO конфигурации HDS Настройте виртуальную машину из файла конфигурации ISO, созданного с помощью инструмента настройки HDS. |
| 6 |
Настройка узла HDS для интеграции прокси Если в сетевой среде требуется конфигурация прокси, укажите тип прокси, который будет использоваться для узла, и при необходимости добавьте сертификат прокси в доверенное хранилище. |
| 7 |
Регистрация первого узла в кластере Зарегистрируйте виртуальную машину в облаке Cisco Webex в качестве узла безопасности данных гибридного типа. |
| 8 |
Создать и зарегистрировать другие узлы Завершите настройку кластера. |
| 9 |
Активируйте HDS с несколькими клиентами в Partner Hub. Активируйте HDS и управляйте организациями клиентов в Partner Hub. |
Выполните начальную настройку и скачайте файлы установки
В этой задаче вы скачаете файл OVA на свой компьютер (а не на серверы, настроенные в качестве узлов безопасности данных гибридного типа). Этот файл будет использован позже в процессе установки.
| 1 |
Войдите в Partner Hub и щелкните Службы. |
| 2 |
В разделе облачных служб найдите карточку безопасности данных гибридного типа и щелкните Настройка. Нажатие кнопки Настройка в партнерском центре имеет решающее значение для процесса развертывания. Не продолжайте установку без завершения этого шага. |
| 3 |
Щелкните Добавить ресурс и щелкните Скачать файл OVA на карточке Установка и настройка программного обеспечения . Более ранние версии пакета программного обеспечения (OVA) не будут совместимы с последними модернизациями безопасности данных гибридного типа. Это может привести к ошибкам во время модернизации приложения. Убедитесь, что скачано последнюю версию файла OVA. Кроме того, файл OVA можно скачать в любой момент в разделе Справка . Щелкните . Скачивание файла OVA начнется автоматически. Сохраните файл в местоположении на своем компьютере.
|
| 4 |
При необходимости щелкните Просмотреть руководство по развертыванию службы безопасности данных гибридного типа , чтобы проверить доступность более поздней версии этого руководства. |
Создание ISO конфигурации для узлов HDS
Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.
Прежде чем начать
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора.
Если у вас нет лицензии на рабочий стол Docker, вы можете использовать рабочий стол Podman для запуска инструмента настройки HDS для выполнения шагов 1–5 в описанной ниже процедуре. Подробные сведения см. в статье Запуск инструмента настройки HDS с помощью рабочего стола Podman .
Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker на шаге 5 ниже. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-прокси без аутентификации
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-прокси с аутентификацией
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS-прокси с аутентификацией
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Созданный файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. При внесении изменений в конфигурацию вам потребуется последняя копия этого файла. Например:
-
Учетные данные базы данных
-
Обновления сертификата
-
Изменения политики авторизации
-
-
При планировании шифрования соединений с базой данных настройте развертывание PostgreSQL или SQL Server для TLS.
| 1 |
Введите соответствующую команду для вашей среды в командной строке компьютера. В обычных средах: В средах FedRAMP: На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать. | ||||||||||
| 2 |
Чтобы войти в реестр образов Docker, введите следующее. | ||||||||||
| 3 |
Введите в запросе пароля этот хеш: | ||||||||||
| 4 |
Скачайте последнюю стабильную версию образа для вашей среды. В обычных средах: В средах FedRAMP: | ||||||||||
| 5 |
По завершении скачивания введите соответствующую команду для вашей среды.
Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080". | ||||||||||
| 6 |
Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу. Перейдите к локальному узлу Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартную подсказку для входа в систему. | ||||||||||
| 7 |
При отображении соответствующего запроса введите учетные данные для входа администратора Partner Hub и щелкните Войти , чтобы разрешить доступ к необходимым службам для службы безопасности данных гибридного типа. | ||||||||||
| 8 |
На странице обзора инструмента настройки щелкните Начало работы. | ||||||||||
| 9 |
На странице Импорт ISO доступны следующие параметры.
| ||||||||||
| 10 |
Проверьте, соответствует ли сертификат X.509 требованиям к сертификатам X.509.
| ||||||||||
| 11 |
Введите адрес базы данных и учетную запись HDS для доступа к хранилищу данных ключей: | ||||||||||
| 12 |
Выберите Режим подключения к базе данных TLS.
При загрузке корневого сертификата (при необходимости) и нажатии Продолжить инструмент настройки HDS тестирует подключение TLS к серверу базы данных. Инструмент также выполняет проверку источника подписи сертификата и имени узла (если применимо). Если тест не будет пройден, в инструменте будет отображено сообщение об ошибке с описанием проблемы. Можно выбрать параметр игнорирования ошибки и продолжить настройку. (Из-за различий соединения узлы HDS могут установить соединение TLS, даже если машина средства настройки HDS не может успешно протестировать его.) | ||||||||||
| 13 |
На странице «Системные журналы» настройте сервер Syslogd: | ||||||||||
| 14 |
(Необязательно) Можно изменить значение по умолчанию для некоторых параметров подключения к базе данных в разделе Расширенные настройки. Как правило, этот параметр является единственным, который необходимо изменить: | ||||||||||
| 15 |
Щелкните Продолжить на экране Сброс пароля учетных записей службы . Срок действия паролей учетных записей службы составляет девять месяцев. Используйте этот экран, когда срок действия паролей скоро истечет или вы хотите сбросить их, чтобы сделать предыдущие файлы ISO недействительными. | ||||||||||
| 16 |
Щелкните Скачать файл ISO. Сохраните файл в удобном для поиска местоположении. | ||||||||||
| 17 |
Сделайте резервную копию файла ISO в локальной системе. Обеспечьте безопасность резервного копирования. Этот файл содержит главный ключ шифрования для содержимого базы данных. Ограничьте доступ только тем администраторам службы безопасности данных гибридного типа, которые должны вносить изменения в конфигурацию. | ||||||||||
| 18 |
Чтобы выключить инструмент настройки, введите |
Дальнейшие действия
Создайте резервную копию файла конфигурации ISO. Это необходимо для создания дополнительных узлов для восстановления или внесения изменений в конфигурацию. В случае утери всех копий файла ISO также был утрачен главный ключ. Невозможно восстановить ключи из базы данных PostgreSQL или Microsoft SQL Server.
У нас никогда не будет копии этого ключа, и мы не можем помочь, если вы его потеряете.
Установка файла OVA узла HDS
| 1 |
Используйте клиент VMware vSphere на компьютере для входа в виртуальный хост ESXi. |
| 2 |
Выберите Файл > Развернуть шаблон OVF. |
| 3 |
В мастере укажите расположение скачанного ранее файла OVA и щелкните Далее. |
| 4 |
На странице Выберите имя и папку введите имя виртуальной машины для узла (например, "HDS_Node_1"), выберите местоположение, в котором может находиться развертывание узла виртуальной машины, и щелкните Далее. |
| 5 |
На странице Выбор вычислительного ресурса выберите целевой вычислительный ресурс и щелкните Далее. Выполняется проверка. По завершении отобразятся сведения о шаблоне. |
| 6 |
Проверьте сведения о шаблоне и щелкните Далее. |
| 7 |
При появлении запроса на выбор конфигурации ресурса на странице Конфигурация щелкните 4 ЦП , а затем щелкните Далее. |
| 8 |
На странице Выбор хранилища щелкните Далее , чтобы принять формат диска по умолчанию и политику хранилища виртуальной машины. |
| 9 |
На странице Выбор сетей выберите параметр сети из списка записей, чтобы обеспечить необходимое подключение к виртуальной машине. |
| 10 |
На странице Настройка шаблона настройте приведенные ниже параметры сети.
При необходимости можно пропустить конфигурацию сетевых настроек и выполнить действия, описанные в разделе Настройка виртуальной машины безопасности данных гибридного типа , чтобы настроить параметры с помощью консоли узла. Параметр настройки сети во время развертывания OVA протестирован с помощью ESXi 7.0. Этот параметр может быть недоступен в более ранних версиях. |
| 11 |
Щелкните правой кнопкой мыши узел виртуальной машины и выберите . Программное обеспечение безопасности данных гибридного типа устанавливается в качестве гостя на узле виртуальной машины. Теперь вы готовы войти в консоль и настроить узел. Рекомендации по устранению неисправностей Контейнеры узла могут появиться через несколько минут. Во время первой загрузки на консоли отображается сообщение брандмауэра моста, в течение которого невозможно войти в систему. |
Настройка виртуальной машины безопасности данных гибридного типа
Используйте эту процедуру для первого входа в консоль виртуальной машины узла безопасности данных гибридного типа и установки учетных данных для входа. Можно также использовать консоль для настройки сетевых параметров узла, если они не были настроены во время развертывания файла OVA.
| 1 |
В клиенте VMware vSphere выберите виртуальную машину узла безопасности данных гибридного типа и откройте вкладку Консоль . Будет загружена виртуальная машина, и отобразится запрос на вход. Если запрос на вход не отображается, нажмите клавишу ввода.
|
| 2 |
Для входа и изменения учетных данных используйте следующие параметры входа и пароля по умолчанию: Поскольку вы впервые входите в свою виртуальную машину, вам необходимо изменить пароль администратора. |
| 3 |
Если параметры сети уже настроены в разделе Установка OVA узла HDS, пропустите остальную процедуру. В противном случае в главном меню выберите параметр Редактировать конфигурацию . |
| 4 |
Настройте статическую конфигурацию с использованием IP-адреса, маски, шлюза и информации DNS. Узел должен иметь внутренний IP-адрес и имя DNS. DHCP не поддерживается. |
| 5 |
(Необязательно) Измените имя хоста, домен или NTP-серверы, если это необходимо для соответствия вашей сетевой политике. Настройка домена в соответствии с доменом, который вы использовали для получения сертификата X.509, не требуется. |
| 6 |
Сохраните конфигурацию сети и перезагрузите виртуальную машину, чтобы изменения вступили в силу. |
Загрузка и установка ISO конфигурации HDS
Перед началом работы
Поскольку в файле ISO содержится главный ключ, он должен быть раскрыт только по принципу «необходимо знать» для доступа виртуальных машин безопасности данных гибридного типа и всех администраторов, которым может потребоваться внести изменения. Убедитесь, что доступ к хранилищу данных могут получить только эти администраторы.
| 1 |
Загрузите файл ISO со своего компьютера. |
| 2 |
Установите файл ISO: |
Дальнейшие действия
Если политика ИТ требует, после внесения изменений конфигурации на всех узлах можно отсоединить файл ISO. Подробные сведения см. в статье (необязательно) Отключение ISO после настройки HDS .
Настройка узла HDS для интеграции прокси
Если в сетевой среде необходимо использовать прокси, воспользуйтесь этой процедурой, чтобы указать тип прокси, который нужно интегрировать со службой безопасности данных гибридного типа. При выборе прозрачного прокси с проверкой или явного прокси HTTPS можно использовать интерфейс узла для загрузки и установки корневого сертификата. Кроме того, в интерфейсе можно проверять соединение с прокси и устранять неполадки.
Перед началом работы
-
Общие сведения о поддерживаемых параметрах прокси см. в разделе Поддержка прокси .
| 1 |
Введите URL-адрес настройки узла HDS |
| 2 |
Откройте раздел Trust Store & Proxy (Зона доверия и прокси) и выберите один из следующих параметров.
В случае использования прозрачного прокси с проверкой, явного прокси HTTP с базовой аутентификацией или явного прокси HTTPS выполните указанные далее шаги. |
| 3 |
Щелкните Upload a Root Certificate or End Entity Certificate (Загрузить корневой сертификат или сертификат конечного субъекта) и откройте меню для выбора корневого сертификата для прокси. Сертификат будет загружен, но не установлен, поскольку для установки сертификата необходимо перезагрузить узел. Чтобы получить дополнительные сведения, щелкните стрелку-шеврон, расположенную рядом с именем издателя сертификата. Если вы допустили ошибку и хотите вновь загрузить файл, щелкните Delete (Удалить). |
| 4 |
Чтобы протестировать сетевое соединение между узлом и прокси, щелкните Check Proxy Connection (Проверить соединение с прокси). Если тестирование соединения завершится неудачей, на экране появится сообщение об ошибке, в котором будут указаны причина и способ исправления ошибки. Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу. Такая проблема может возникнуть во многих конфигурациях явного прокси. Можно продолжить настройку, и узел будет работать в режиме блокировки разрешения внешних DNS. Если вы считаете, что это ошибка, выполните эти действия, а затем см. статью Выключение режима блокировки разрешения внешних DNS. |
| 5 |
Если вы используете явный прокси, настроенный на применение исключительно https, после успешного завершения тестирования соединения включите параметр Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси (Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси). Для вступления в силу этого параметра необходимо 15 секунд. |
| 6 |
Щелкните Install All Certificates Into the Trust Store (Установить все сертификаты в зоне доверия) – этот параметр отображается при использовании явного прокси HTTPS или прозрачного прокси с проверкой – или Reboot (Перезагрузить) – этот параметр отображается при использовании явного прокси HTTP. Прочитайте запрос и щелкните Install (Установить), если вы готовы к установке. Узел перезагрузится в течение нескольких минут. |
| 7 |
После перезагрузки узла повторно войдите в систему, если это необходимо, и откройте страницу Обзор, чтобы выполнить проверки соединений. Состояние всех проверок должно быть обозначено зеленым цветом. Проверка соединения с прокси используется исключительно для тестирования поддомена webex.com. Проблемы с соединениями нередко возникают из-за того, что некоторые облачные домены, указанные в инструкциях по установке, блокируются на уровне прокси. |
Регистрация первого узла в кластере
При регистрации первого узла создается кластер, которому он назначен. Кластер содержит один или несколько узлов, развернутых для резервирования.
Перед началом работы
-
После начала регистрации узла ее необходимо завершить в течение 60 минут или начать заново.
-
Убедитесь, что все блокировки всплывающих окон в браузере отключены или вы разрешаете исключение для admin.webex.com.
| 1 |
Войдите в https://admin.webex.com. |
| 2 |
В меню в левой части экрана выберите Службы. |
| 3 |
В разделе облачных служб найдите карточку безопасности данных гибридного типа и щелкните Настройка. |
| 4 |
На открывшейся странице щелкните Добавить ресурс. |
| 5 |
В первом поле карточки Добавить узел введите имя кластера, которому необходимо назначить узел безопасности данных гибридного типа. Рекомендуется назвать кластер в зависимости от географического расположения узлов кластера. Примеры: "Сан-Франциско", "Нью-Йорк" или "Даллас" |
| 6 |
Во втором поле введите внутренний IP-адрес или полное доменное имя узла и щелкните Добавить в нижней части экрана. Этот IP-адрес или полное доменное имя должны совпадать с IP-адресом или именем хоста и доменом, которые вы использовали в разделе Настройка виртуальной машины безопасности данных гибридного типа. Отобразится сообщение о том, что можно зарегистрировать узел в Webex.
|
| 7 |
Щелкните Перейти к узлу. Через несколько секунд вы будете перенаправлены на тестирование подключения узла для служб Webex. Если все тесты будут успешными, отобразится страница "Разрешить доступ к узлу безопасности данных гибридного типа". Здесь вы подтверждаете, что хотите предоставить вашей организации Webex полномочия на доступ к узлу. |
| 8 |
Установите флажок в поле Разрешить доступ к узлу безопасности данных гибридного типа и щелкните Продолжить. Учетная запись подтверждена. В сообщении "Регистрация завершена" указано, что узел зарегистрирован в облаке Webex.
|
| 9 |
Щелкните ссылку или закройте вкладку, чтобы вернуться на страницу безопасности данных гибридного типа партнерского центра. На странице Безопасность данных гибридного типа новый кластер, содержащий зарегистрированный узел, отображается на вкладке Ресурсы . Узел будет автоматически скачан новейшее программное обеспечение из облака.
|
Создать и зарегистрировать другие узлы
Перед началом работы
-
После начала регистрации узла ее необходимо завершить в течение 60 минут или начать заново.
-
Убедитесь, что все блокировки всплывающих окон в браузере отключены или вы разрешаете исключение для admin.webex.com.
| 1 |
Создайте новую виртуальную машину из файла OVA, повторяя шаги, описанные в разделе Установка файла OVA узла HDS. |
| 2 |
Настройте начальную конфигурацию новой виртуальной машины, повторяя шаги, описанные в разделе Настройка виртуальной машины безопасности данных гибридного типа. |
| 3 |
В новой виртуальной машине повторите шаги, описанные в разделе Загрузка и установка ISO конфигурации HDS. |
| 4 |
При настройке прокси для развертывания повторите шаги, описанные в разделе Настройка узла HDS для интеграции прокси для нового узла. |
| 5 |
Зарегистрируйте узел. |
Управление организациями клиентов в службе безопасности данных гибридного типа с поддержкой нескольких клиентов
Активация HDS с несколькими клиентами в центре партнера
Эта задача позволит всем пользователям клиентских организаций начать использование HDS для локальных ключей шифрования и других служб безопасности.
Перед началом работы
Убедитесь, что настройка кластера HDS с несколькими клиентами завершена с требуемым количеством узлов.
| 1 |
Войдите в https://admin.webex.com. |
| 2 |
В меню в левой части экрана выберите Службы. |
| 3 |
В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Редактировать настройки. |
| 4 |
Щелкните Активировать HDS на карточке Состояние HDS . |
Добавить организации клиентов в Partner Hub
В этой задаче вы назначаете клиентские организации кластеру безопасности данных гибридного типа.
| 1 |
Войдите в https://admin.webex.com. |
| 2 |
В меню в левой части экрана выберите Службы. |
| 3 |
В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Просмотреть все. |
| 4 |
Щелкните кластер, которому необходимо назначить клиента. |
| 5 |
Перейдите на вкладку Назначенные клиенты . |
| 6 |
Щелкните Добавить клиентов. |
| 7 |
В раскрывающемся меню выберите клиента, которого необходимо добавить. |
| 8 |
Щелкните Добавить, и клиент будет добавлен в кластер. |
| 9 |
Чтобы добавить в кластер несколько клиентов, повторите шаги 6–8. |
| 10 |
После добавления клиентов щелкните Готово в нижней части экрана. |
Дальнейшие действия
Создание главных ключей клиентов (CMK) с помощью инструмента настройки HDS
Перед началом работы
Назначьте клиентов в соответствующий кластер, как описано в разделе Добавление клиентских организаций в Partner Hub. Запустите инструмент настройки HDS, чтобы завершить процесс настройки вновь добавленных клиентских организаций.
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора для вашей организации.
Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-прокси без аутентификации
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-прокси с аутентификацией
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS-прокси с аутентификацией
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Созданный файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. При внесении изменений в конфигурацию вам потребуется последняя копия этого файла. Например:
-
Учетные данные базы данных
-
Обновления сертификата
-
Изменения политики авторизации
-
-
При планировании шифрования соединений с базой данных настройте развертывание PostgreSQL или SQL Server для TLS.
Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.
| 1 |
Введите соответствующую команду для вашей среды в командной строке компьютера. В обычных средах: В средах FedRAMP: На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать. |
| 2 |
Чтобы войти в реестр образов Docker, введите следующее. |
| 3 |
Введите в запросе пароля этот хеш: |
| 4 |
Скачайте последнюю стабильную версию образа для вашей среды. В обычных средах: В средах FedRAMP: |
| 5 |
По завершении скачивания введите соответствующую команду для вашей среды.
Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080". |
| 6 |
Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу. Перейдите к локальному узлу Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартную подсказку для входа в систему. |
| 7 |
При отображении соответствующего запроса введите учетные данные для входа администратора Partner Hub и щелкните Войти , чтобы разрешить доступ к необходимым службам для службы безопасности данных гибридного типа. |
| 8 |
На странице обзора инструмента настройки щелкните Начало работы. |
| 9 |
На странице Импорт ISO щелкните Да. |
| 10 |
Выберите файл ISO в браузере и загрузите его. Для выполнения управления CMK убедитесь в подключении к базе данных. |
| 11 |
Перейдите на вкладку Управление CMK клиента , где можно найти три способа управления CMK клиента.
|
| 12 |
После успешного создания CMK состояние в таблице изменится с Управление CMK рассматривается на Управление CMK. |
| 13 |
В случае неудачного создания CMK отображается ошибка. |
Удалить организации клиентов
Перед началом работы
После удаления пользователи клиентских организаций не смогут использовать HDS в целях шифрования, а все существующие пространства будут утрачены. Прежде чем удалить клиентские организации, обратитесь к своему партнеру Cisco или менеджеру по работе с клиентами.
| 1 |
Войдите в https://admin.webex.com. |
| 2 |
В меню в левой части экрана выберите Службы. |
| 3 |
В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Просмотреть все. |
| 4 |
На вкладке Ресурсы щелкните кластер, из которого необходимо удалить клиентские организации. |
| 5 |
На открывшейся странице щелкните Назначенные клиенты. |
| 6 |
В списке отображаемых клиентских организаций щелкните ... в правой части клиентской организации, которую необходимо удалить, и щелкните Удалить из кластера. |
Дальнейшие действия
Завершите процесс удаления, отозвав CMK клиентских организаций, как описано в статье Отозвать CMK клиентов, удаленных из HDS.
Отозвать CMK клиентов, удаленные из HDS.
Перед началом работы
Удалите клиентов из соответствующего кластера, как описано в разделе Удаление клиентских организаций. Запустите инструмент настройки HDS, чтобы завершить процесс удаления удаленных клиентских организаций.
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора для вашей организации.
Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-прокси без аутентификации
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-прокси с аутентификацией
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS-прокси с аутентификацией
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Созданный файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. При внесении изменений в конфигурацию вам потребуется последняя копия этого файла. Например:
-
Учетные данные базы данных
-
Обновления сертификата
-
Изменения политики авторизации
-
-
При планировании шифрования соединений с базой данных настройте развертывание PostgreSQL или SQL Server для TLS.
Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.
| 1 |
Введите соответствующую команду для вашей среды в командной строке компьютера. В обычных средах: В средах FedRAMP: На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать. |
| 2 |
Чтобы войти в реестр образов Docker, введите следующее. |
| 3 |
Введите в запросе пароля этот хеш: |
| 4 |
Скачайте последнюю стабильную версию образа для вашей среды. В обычных средах: В средах FedRAMP: |
| 5 |
По завершении скачивания введите соответствующую команду для вашей среды.
Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080". |
| 6 |
Инструмент настройки не поддерживает подключение к localhost с помощью http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу. Перейдите к локальному узлу Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. Затем инструмент отображает стандартную подсказку для входа в систему. |
| 7 |
При отображении соответствующего запроса введите учетные данные для входа администратора Partner Hub и щелкните Войти , чтобы разрешить доступ к необходимым службам для службы безопасности данных гибридного типа. |
| 8 |
На странице обзора инструмента настройки щелкните Начало работы. |
| 9 |
На странице Импорт ISO щелкните Да. |
| 10 |
Выберите файл ISO в браузере и загрузите его. |
| 11 |
Перейдите на вкладку Управление CMK клиента , где можно найти три способа управления CMK клиента.
|
| 12 |
После успешного отзыва CMK клиентская организация больше не будет отображаться в таблице. |
| 13 |
Если отзыв CMK не выполнен, отображается ошибка. |
Тестирование развертывания службы безопасности данных гибридного типа
Тестирование развертывания службы безопасности данных гибридного типа
Перед началом работы
-
Настройте развертывание службы безопасности данных гибридного типа с несколькими клиентами.
-
Убедитесь, что у вас есть доступ к системному журналу, чтобы проверить, передаются ли запросы ключей в развертывание системы безопасности данных гибридного типа с несколькими клиентами.
| 1 |
Ключи для определенного пространства задаются создателем пространства. Войдите в приложение Webex в качестве одного из пользователей клиентской организации и создайте пространство. Если деактивировать развертывание безопасности данных гибридного типа, контент в пространствах, созданных пользователями, больше не будет доступен после замены кэшированных клиентом копий ключей шифрования. |
| 2 |
Отправить сообщения в новое пространство. |
| 3 |
Проверьте вывод системного журнала, чтобы убедиться, что запросы ключей передаются в развертывание службы безопасности данных гибридного типа. |
Мониторинг работоспособности службы безопасности данных гибридного типа
| 1 |
В Partner Hub в меню в левой части экрана выберите Службы . |
| 2 |
В разделе облачных служб найдите раздел "Безопасность данных гибридного типа" и щелкните Редактировать настройки. Отобразится страница "Настройки безопасности данных гибридного типа".
|
| 3 |
В разделе "Электронные уведомления" введите один или несколько адресов электронной почты, разделяя их запятыми, и нажмите клавишу ввода. |
Управление развертыванием HDS
Управление развертыванием HDS
Для управления развертыванием службы безопасности данных гибридного типа используйте описанные здесь задачи.
Настройка графика модернизации кластера
Чтобы настроить график модернизации, выполните указанные ниже действия.
| 1 |
Войдите в Partner Hub. |
| 2 |
В меню в левой части экрана выберите Службы. |
| 3 |
В разделе "Облачные службы" найдите раздел "Безопасность данных гибридного типа" и щелкните Настройка. |
| 4 |
На странице "Ресурсы безопасности данных гибридного типа" выберите кластер. |
| 5 |
Щелкните вкладку Настройки кластера . |
| 6 |
На странице настроек кластера в разделе "График модернизации" выберите время и часовой пояс для графика модернизации. Примечание. В часовом поясе отображаются следующие доступные дата и время модернизации. При необходимости можно отложить модернизацию на следующий день, щелкнув Отложить на 24 часа. |
Изменение конфигурации узла
-
Изменение сертификатов x.509 по истечении срока действия или по другим причинам.
Изменение доменного имени CN сертификата не поддерживается. Домен должен совпадать с исходным доменом, использованным для регистрации кластера.
-
Обновление настроек базы данных для работы с копией базы данных PostgreSQL или Microsoft SQL Server.
Перенос данных с PostgreSQL на Microsoft SQL Server или в обратном направлении не поддерживается. Чтобы переключить среду базы данных, начните новое развертывание службы безопасности данных гибридного типа.
-
Создание новой конфигурации для подготовки нового центра обработки данных.
Из соображений безопасности для учетных записей в службе безопасности данных гибридного типа используются пароли со сроком действия 9 месяцев. После того как инструмент настройки HDS создаст эти пароли, вам нужно будет развернуть их в каждом из своих узлов HDS в файле конфигурации ISO. При приближении даты окончания срока действия пароля команда Webex пришлет вам уведомление с запросом на сброс пароля учетной записи компьютера. (В сообщении электронной почты будет текст "Использование API учетной записи компьютера для обновления пароля".) Если срок действия паролей еще не истек, средство предоставляет два варианта.
-
Мягкий сброс. Старые и новые пароли работают в течение 10 дней. Используйте этот период для постепенной замены файла ISO на узлах.
-
Принудительный сброс: старые пароли перестают работать немедленно.
Если срок действия ваших паролей истекает без сброса, это влияет на работу вашей службы HDS. В этом случае требуется немедленный жесткий сброс и замена файла ISO на всех узлах.
Используйте эту процедуру, чтобы создать новый файл конфигурации ISO и применить его к кластеру.
Прежде чем начать
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора партнера.
Если у вас нет лицензии на рабочий стол Docker, вы можете использовать рабочий стол Podman для запуска инструмента настройки HDS для выполнения шагов 1.a–1.e в процедуре ниже. Подробные сведения см. в статье Запуск инструмента настройки HDS с помощью рабочего стола Podman .
Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker в 1.e. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-прокси без аутентификации
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-прокси с аутентификацией
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS-прокси с аутентификацией
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Для создания новой конфигурации потребуется копия текущего файла конфигурации ISO. Файл ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. Файл ISO необходим для изменения конфигурации, в том числе учетных данных базы данных, обновления сертификатов или изменения политики авторизации.
| 1 |
Запустите инструмент настройки HDS, используя Docker на локальной машине. |
| 2 |
Если у вас запущен только один узел HDS, создайте новую виртуальную машину узла безопасности данных гибридного типа и зарегистрируйте ее с помощью нового файла конфигурации ISO. Более подробные инструкции см. в статье Создание и регистрация дополнительных узлов. |
| 3 |
Для существующих узлов HDS, в которых используется старый файл конфигурации, необходимо установить файл ISO. Выполните следующую процедуру для каждого узла по очереди, обновив каждый узел до выключения следующего узла. |
| 4 |
Повторите шаг 3, чтобы заменить конфигурацию на каждом оставшемся узле со старой конфигурацией. |
Отключение режима блокировки разрешения внешних DNS
При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. Если DNS-сервер узла не может разрешать общедоступные имена DNS, узел автоматически переходит в режим блокировки разрешения внешних DNS.
Если узлы могут разрешать общедоступные имена DNS через внутренние DNS-серверы, можно отключить этот режим, повторно запустив тестирование подключения к прокси на каждом узле.
Перед началом работы
| 1 |
В веб-браузере откройте интерфейс узла безопасности данных гибридного типа (например, IP-адрес или настройка) https://192.0.2.0/setup), введите учетные данные администратора, настроенные для узла, и щелкните Войти. |
| 2 |
Перейдите к разделу Overview (Обзор) (страница по умолчанию). Если режим включен, параметр Blocked External DNS Resolution (Блокировка разрешения внешних DNS) должен иметь значение Yes (Да). |
| 3 |
Перейдите на страницу Trust Store & Proxy (Зона доверия и прокси). |
| 4 |
Щелкните Check Proxy Connection (Проверить соединение с прокси). Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу и он останется в этом режиме. В противном случае после перезапуска узла и возврата на страницу Overview (Обзор) параметр блокировки разрешения внешних DNS должен иметь значение No (Нет). |
Дальнейшие действия
Удаление узла
| 1 |
С помощью клиента VMware vSphere на компьютере можно войти в виртуальный хост ESXi и выключить виртуальную машину. |
| 2 |
Удалить узел: |
| 3 |
В клиенте vSphere удалите виртуальную машину. (На панели навигации слева щелкните виртуальную машину правой кнопкой мыши и щелкните Удалить.) Если виртуальная машина не удалена, не забудьте отсоединить файл конфигурации ISO. Без файла ISO вы не сможете использовать виртуальную машину для доступа к данным безопасности. |
Аварийное восстановление с помощью центра обработки данных в режиме ожидания
Наиболее важной службой, предоставляемой кластером безопасности данных гибридного типа, является создание и хранение ключей, используемых для шифрования сообщений и другого контента, хранящегося в облаке Webex. Для каждого пользователя в организации, назначенного службе безопасности данных гибридного типа, запросы на создание нового ключа маршрутизируются в кластер. Кластер также отвечает за возврат созданных им ключей всем пользователям, авторизованным для их извлечения, например участникам пространства для разговора.
Поскольку кластер выполняет критически важную функцию предоставления этих ключей, необходимо, чтобы кластер продолжал работать и чтобы поддерживались соответствующие резервные копии. Потеря базы данных безопасности данных гибридного типа или конфигурации ISO, используемой для схемы, приведет к НЕОБРАТИМОЙ ПОТЕРЕ контента клиента. Для предотвращения таких потерь необходимо выполнить следующие действия:
Если из-за аварии развертывание HDS в основном центре обработки данных становится недоступным, выполните эту процедуру, чтобы вручную переключиться на резервный центр обработки данных.
Перед началом работы
| 1 |
Запустите инструмент настройки HDS и выполните действия, указанные в разделе Создание ISO конфигурации для узлов HDS. |
| 2 |
Завершите процесс настройки и сохраните файл ISO в удобном для поиска месте. |
| 3 |
Сделайте резервную копию файла ISO в локальной системе. Обеспечьте безопасность резервного копирования. Этот файл содержит главный ключ шифрования для содержимого базы данных. Ограничьте доступ только тем администраторам службы безопасности данных гибридного типа, которые должны вносить изменения в конфигурацию. |
| 4 |
На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры. |
| 5 |
Щелкните Редактировать настройки >Диск CD/DVD 1 и выберите Файл хранилища данных ISO. Убедитесь, что установлены флажки Подключено и Подключиться при включении , чтобы обновленные изменения конфигурации вступили в силу после запуска узлов. |
| 6 |
Включите узел HDS и убедитесь, что сигналы отсутствуют в течение не менее 15 минут. |
| 7 |
Зарегистрируйте узел в партнерском центре. См. статью Регистрация первого узла в кластере. |
| 8 |
Повторите процесс для каждого узла в центре обработки данных в режиме ожидания. |
Дальнейшие действия
(Необязательно) Отсоедините ISO после настройки HDS
Стандартная конфигурация HDS выполняется с установленным ISO. Однако некоторые клиенты предпочитают не оставлять файлы ISO постоянно монтированными. После того как все узлы HDS примут новую конфигурацию, можно отсоединить файл ISO.
Для изменения конфигурации по-прежнему используются файлы ISO. При создании нового ISO или обновлении ISO с помощью инструмента настройки необходимо установить обновленный ISO на всех узлах HDS. С помощью этой процедуры можно снова отключить ISO, после того как все узлы примут изменения конфигурации.
Перед началом работы
Модернизируйте все свои узлы HDS до версии 2021.01.22.4720 или более поздней.
| 1 |
Закройте один из своих узлов HDS. |
| 2 |
В vCenter Server Appliance выберите узел HDS. |
| 3 |
Выберите и снимите флажок Файл хранилища данных ISO. |
| 4 |
Включите узел HDS и убедитесь, что сигналы отсутствуют в течение не менее 20 минут. |
| 5 |
Повторите эту процедуру для каждого узла HDS по очереди. |
Устранение неполадок службы безопасности данных гибридного типа
Просмотр предупреждений и устранение неполадок
Развертывание службы безопасности данных гибридного типа считается недоступным, если все узлы в кластере недоступны или кластер работает настолько медленно, что истекло время ожидания. Если пользователи не могут подключиться к кластеру безопасности данных гибридного типа, у них будут следующие симптомы:
-
Не удается создать новые пространства (не удается создать новые ключи)
-
Не удалось расшифровать сообщения и заголовки пространств для:
-
Новые пользователи, добавленные в пространство (невозможно получить ключи)
-
Существующие пользователи в пространстве, использующие новый клиент (не удается получить ключи)
-
-
Существующие пользователи в пространстве будут продолжать успешно работать, пока в их клиентах будет сохранен кэш ключей шифрования
Важно надлежащим образом отслеживать кластер безопасности данных гибридного типа и своевременно реагировать на все предупреждения во избежание перебоев в работе службы.
Предупреждения
При возникновении проблем с настройкой безопасности данных гибридного типа партнерский центр отображает предупреждения администратору организации и отправляет электронные сообщения на настроенный адрес электронной почты. Предупреждения охватывают многие распространенные сценарии.
|
Предупреждать |
Действие |
|---|---|
|
Ошибка доступа к локальной базе данных. |
Проверьте наличие ошибок базы данных или проблем локальной сети. |
|
Сбой подключения к локальной базе данных. |
Убедитесь в доступности сервера базы данных и использовании правильных учетных данных учетной записи службы в конфигурации узла. |
|
Сбой доступа к облачной службе. |
Убедитесь, что узлы могут получить доступ к серверам Webex, как указано в разделе Требования к внешнему подключению. |
|
Обновление регистрации облачной службы. |
Регистрация в облачных службах прервана. Выполняется возобновление регистрации. |
|
Регистрация для облачной службы прервана. |
Регистрация в облачных службах прервана. Служба выключена. |
|
Служба еще не активирована. |
Активируйте HDS в партнерском центре. |
|
Настроенный домен не соответствует сертификату сервера. |
Убедитесь, что сертификат сервера соответствует настроенному домену активации службы. Наиболее вероятная причина заключается в том, что CN сертификата недавно был изменен и теперь отличается от CN, использованного во время начальной настройки. |
|
Не удалось выполнить аутентификацию в облачных службах. |
Проверьте точность и возможный срок действия учетных данных службы. |
|
Не удалось открыть файл локального хранилища ключей. |
Проверка целостности и точности пароля в файле локального хранилища ключей. |
|
Недействительный сертификат локального сервера. |
Проверьте дату истечения срока действия сертификата сервера и убедитесь, что он был выдан доверенным центром сертификации. |
|
Не удается опубликовать метрики. |
Проверьте доступ локальной сети к внешним облачным службам. |
|
Каталог /media/configdrive/hds не существует. |
Проверьте конфигурацию подключения ISO на виртуальном хосте. Проверьте, существует ли файл ISO, настроен ли он для подключения при перезагрузке и успешно ли установлен. |
|
Настройка организации клиента не завершена для добавленных организаций |
Завершите настройку, создав CMK для вновь добавленных клиентских организаций с помощью инструмента настройки HDS. |
|
Настройка организации клиента не завершена для удаленных организаций |
Завершите настройку, отозвав CMK клиентских организаций, которые были удалены с помощью инструмента настройки HDS. |
Устранение неполадок службы безопасности данных гибридного типа
| 1 |
Просмотрите в Partner Hub все предупреждения и исправьте все элементы, найденные в нем. Для справки см. изображение ниже. |
| 2 |
Проверьте вывод сервера системных журналов для активности из развертывания службы безопасности данных гибридного типа. Используйте фильтр для таких слов, как "Предупреждение" и "Ошибка", чтобы помочь в устранении неполадок. |
| 3 |
Обратитесь в службу поддержки Cisco. |
Другие примечания
Известные проблемы безопасности данных гибридного типа
-
Если вы выключите кластер безопасности данных гибридного типа (удалив его в партнерском центре или выключив все узлы), потеряете файл конфигурации ISO или потеряете доступ к базе данных хранилища ключей, пользователи приложения Webex клиентских организаций больше не смогут использовать пространства в списке пользователей, созданных с помощью ключей из KMS. В настоящий момент для устранения этой проблемы нет обходного решения или решения. Мы настоятельно призываем вас не выключать службы HDS после обработки активных учетных записей пользователей.
-
Клиент с существующим подключением ECDH к KMS поддерживает это соединение в течение периода времени (вероятно, один час).
Запуск инструмента настройки HDS с помощью рабочего стола Podman
Podman — это бесплатный инструмент управления контейнерами с открытым исходным кодом, который предоставляет способ запуска, управления и создания контейнеров. Рабочий стол Podman можно скачать из https://podman-desktop.io/downloads.
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ к нему, скачайте и запустите Podman на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Control Hub с полными правами администратора вашей организации.
Если инструмент настройки HDS работает за прокси в вашей среде, предоставьте настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при загрузке контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-прокси без аутентификации
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-прокси с аутентификацией
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS-прокси с аутентификацией
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Созданный файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. При внесении изменений в конфигурацию вам потребуется последняя копия этого файла. Например:
-
Учетные данные базы данных
-
Обновления сертификата
-
Изменения политики авторизации
-
-
При планировании шифрования соединений с базой данных настройте развертывание PostgreSQL или SQL Server для TLS.
Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем для настройки узла безопасности данных гибридного типа используется ISO.
| 1 |
Введите соответствующую команду для вашей среды в командной строке компьютера. В обычных средах: В средах FedRAMP: На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать. |
| 2 |
Чтобы войти в реестр образов Docker, введите следующее. |
| 3 |
Введите в запросе пароля этот хеш: |
| 4 |
Скачайте последнюю стабильную версию образа для вашей среды. В обычных средах: В средах FedRAMP: |
| 5 |
По завершении скачивания введите соответствующую команду для вашей среды.
Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080". |
Дальнейшие действия
Использование OpenSSL для создания файла PKCS12
Перед началом работы
-
OpenSSL — это один из инструментов, который можно использовать для создания файла PKCS12 в соответствующем формате для загрузки в инструменте настройки HDS. Есть и другие способы сделать это, и мы не поддерживаем и не продвигаем друг друга.
-
Если вы решите использовать OpenSSL, мы предоставляем эту процедуру в качестве руководства для создания файла, который соответствует требованиям сертификата X.509 в разделе Требования к сертификату X.509. Прежде чем продолжить, ознакомьтесь с этими требованиями.
-
Установите OpenSSL в поддерживаемой среде. Информацию о программном обеспечении и документации см. в разделе https://www.openssl.org .
-
Создайте закрытый ключ.
-
Начните эту процедуру при получении сертификата сервера от центра сертификации (ЦС).
| 1 |
При получении сертификата сервера от ЦС сохраните его как |
| 2 |
Отобразите сертификат в виде текста и проверьте сведения.
|
| 3 |
Используйте текстовый редактор, чтобы создать файл пакета сертификатов под названием
|
| 4 |
Создайте файл .p12 с подходящим именем
|
| 5 |
Проверьте сведения о сертификате сервера. |
Дальнейшие действия
Вернитесь к разделу Выполнение предварительных требований для безопасности данных гибридного типа. Вы будете использовать hdsnode.p12 файл и заданный для него пароль в разделе Создание конфигурации ISO для узлов HDS.
Эти файлы можно повторно использовать для запроса нового сертификата по истечении срока действия исходного сертификата.
Трафик между узлами HDS и облаком
Трафик сбора исходящих метрик
Узлы безопасности данных гибридного типа отправляют определенные метрики в облако Webex. К ним относятся системные метрики максимального количества подключений, использования максимального количества подключений, загрузки ЦП и количества потоков; метрики синхронных и асинхронных потоков; метрики оповещений о пороговом значении соединений шифрования, задержки или длины очереди запросов; метрики хранилища данных; и метрики подключения шифрования. Узлы отправляют зашифрованный ключ-материал по внеполосному каналу (отдельному от запроса).
Входящий трафик
Узлы безопасности данных гибридного типа получают из облака Webex следующие типы входящего трафика:
-
Запросы на шифрование от клиентов, которые маршрутизируются службой шифрования
-
Модернизация программного обеспечения узла
Настройка прокси Squid для безопасности данных гибридного типа
Невозможно выполнить подключение веб-сокетов через прокси Squid
Прокси Squid, которые проверяют трафик HTTPS, могут мешать созданию соединений веб-сокетов (wss:), которые требуются службе безопасности данных гибридного типа. В этих разделах приведены рекомендации по настройке различных версий Squid для игнорирования wss: трафика для надлежащей работы служб.
Squid 4 и 5
Добавьте on_unsupported_protocol директиву в squid.conf.
on_unsupported_protocol tunnel allSquid 3.5.27
Служба безопасности данных гибридного типа успешно протестирована с приведенными ниже правилами, добавленными в squid.conf. Эти правила могут изменяться по мере разработки функций и обновления облака Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allНовая и измененная информация
Новая и измененная информация
В этой таблице описаны новые функции или возможности, изменения существующего контента и любые серьезные ошибки, которые были исправлены в Руководстве по развертыванию многопользовательской гибридной системы безопасности данных.
|
Дата |
Изменения внесены |
|---|---|
|
08 мая 2025 г. |
|
| 04 марта 2025 г. |
|
|
30 января 2025 г. |
В список поддерживаемых серверов SQL в Требования к серверу базы данныхдобавлен сервер SQL версии 2022. |
|
15 января 2025 г. |
Добавлены Ограничения многопользовательской гибридной безопасности данных. |
|
08 января 2025 г. |
Добавлено примечание в Выполнение первоначальной настройки и загрузка установочных файлов, в котором указано, что нажатие Настроить на карте HDS в Partner Hub является важным шагом процесса установки. |
|
07 января 2025 г. |
Обновлены Требования к виртуальному хосту, Поток задач развертывания гибридной системы безопасности данныхи Установка OVA хоста HDS, чтобы отобразить новые требования ESXi 7.0. |
|
13 декабря 2024 г. |
Впервые опубликовано. |
Деактивировать многопользовательскую гибридную защиту данных
Поток задач деактивации многопользовательского HDS
Чтобы полностью деактивировать Multi-Tenant HDS, выполните следующие действия.
Прежде чем начать
| 1 |
Удалите всех клиентов из всех ваших кластеров, как указано в Удаление организаций-арендаторов. |
| 2 |
Отозвать CMK всех клиентов, как указано в Отозвать CMK арендаторов, удаленных из HDS.. |
| 3 |
Удалите все узлы из всех кластеров, как указано в Удаление узла. |
| 4 |
Удалите все свои кластеры из Partner Hub, используя один из следующих двух методов.
|
| 5 |
Нажмите на вкладку Настройки на странице обзора гибридной безопасности данных и нажмите Деактивировать HDS на карточке состояния HDS. |
Начните работу с многопользовательской гибридной системой безопасности данных
Обзор многопользовательской гибридной безопасности данных
С самого начала при разработке приложения Webex основное внимание уделялось безопасности данных. Краеугольным камнем этой безопасности является сквозное шифрование контента, которое обеспечивается клиентами приложения Webex, взаимодействующими со службой управления ключами (KMS). KMS отвечает за создание и управление криптографическими ключами, которые используются клиентами для динамического шифрования и расшифровки сообщений и файлов.
По умолчанию все клиенты приложения Webex получают сквозное шифрование с динамическими ключами, хранящимися в облачной системе KMS в сфере безопасности Cisco. Служба безопасности данных гибридного типа перемещает KMS и другие функции безопасности в корпоративный центр обработки данных, поэтому доступ к ключам для зашифрованного контента будет только у вас.
Многопользовательская гибридная защита данных позволяет организациям использовать HDS через доверенного локального партнера, который может выступать в качестве поставщика услуг и управлять локальным шифрованием и другими службами безопасности. Такая настройка позволяет партнерской организации иметь полный контроль над развертыванием и управлением ключами шифрования, а также обеспечивает защиту пользовательских данных организаций-клиентов от внешнего доступа. Партнерские организации настраивают экземпляры HDS и создают кластеры HDS по мере необходимости. Каждый экземпляр может поддерживать несколько организаций-клиентов, в отличие от обычного развертывания HDS, которое ограничено одной организацией.
Это также позволяет небольшим организациям использовать HDS, поскольку служба управления ключами и инфраструктура безопасности, такая как центры обработки данных, принадлежат доверенному локальному партнеру.
Как многопользовательская гибридная система безопасности данных обеспечивает суверенитет данных и контроль над ними
- Пользовательский контент защищен от внешнего доступа, например от поставщиков облачных сервисов.
- Местные доверенные партнеры управляют ключами шифрования клиентов, с которыми у них уже установлены налаженные отношения.
- Возможность получения локальной технической поддержки, если она предоставляется партнером.
- Поддерживает контент встреч, обмена сообщениями и звонков.
Целью настоящего документа является оказание помощи партнерским организациям в настройке и управлении клиентами в рамках многопользовательской гибридной системы безопасности данных.
Ограничения многопользовательской гибридной безопасности данных
- У организаций-партнеров не должно быть активных развертываний HDS в Control Hub.
- Организации арендаторов или клиентов, желающие, чтобы ими управлял партнер, не должны иметь никаких существующих развертываний HDS в Control Hub.
- После развертывания партнером Multi-Tenant HDS все пользователи организаций-клиентов, а также пользователи организации-партнера начинают использовать Multi-Tenant HDS для своих служб шифрования.
Партнерская организация и организации-клиенты, которыми они управляют, будут использовать одну и ту же многопользовательскую среду HDS.
Партнерская организация больше не будет использовать облачный KMS после развертывания Multi-Tenant HDS.
- Механизма переноса ключей обратно в Cloud KMS после развертывания HDS не предусмотрено.
- В настоящее время каждое развертывание Multi-Tenant HDS может иметь только один кластер с несколькими узлами в нем.
- Роли администратора имеют определенные ограничения; подробности см. в разделе ниже.
Роли в многопользовательской гибридной безопасности данных
- Партнер с полными правами администратора — Может управлять настройками для всех клиентов, которыми управляет партнер. Также может назначать роли администратора существующим пользователям в организации и назначать определенных клиентов, которыми будут управлять администраторы партнера.
- Администратор партнера — Может управлять настройками для клиентов, предоставленных администратором или назначенных пользователю.
- Полный администратор — администратор партнерской организации, уполномоченный выполнять такие задачи, как изменение настроек организации, управление лицензиями и назначение ролей.
- Сквозная настройка многопользовательской HDS-системы и управление всеми организациями клиентов - Требуются права полного администратора и полного администратора для партнера.
- Управление назначенными организациями арендаторов - требуются права администратора-партнера и полные права администратора.
Архитектура сферы безопасности
Облачная архитектура Webex разделяет различные типы сервисов на отдельные области или домены доверия, как показано ниже.
Чтобы лучше понять гибридную безопасность данных, давайте сначала рассмотрим чисто облачный случай, в котором Cisco предоставляет все функции в своих облачных средах. Служба идентификации, единственное место, где пользователи могут быть напрямую соотнесены с их личной информацией, такой как адрес электронной почты, логически и физически отделена от области безопасности в центре обработки данных B. В свою очередь, обе они отделены от области, где в конечном итоге хранится зашифрованный контент, в центре обработки данных C.
На этой схеме клиентом является приложение Webex, работающее на ноутбуке пользователя и прошедшее аутентификацию в службе идентификации. Когда пользователь составляет сообщение для отправки в пространство, выполняются следующие шаги:
-
Клиент устанавливает защищенное соединение со службой управления ключами (KMS), затем запрашивает ключ для шифрования сообщения. Защищенное соединение использует ECDH, а KMS шифрует ключ с помощью главного ключа AES-256.
-
Сообщение шифруется перед отправкой клиенту. Клиент отправляет его в службу индексирования, которая создает зашифрованные поисковые индексы для облегчения будущих поисков контента.
-
Зашифрованное сообщение отправляется в службу соответствия для проверки соответствия.
-
Зашифрованное сообщение сохраняется в области хранения.
При развертывании гибридной системы безопасности данных вы переносите функции безопасности (KMS, индексирование и соответствие) в локальный центр обработки данных. Другие облачные сервисы, входящие в состав Webex (включая хранилище идентификаторов и контента), остаются в ведении Cisco.
Сотрудничество с другими организациями
Пользователи в вашей организации могут регулярно использовать приложение Webex для совместной работы с внешними участниками в других организациях. Когда один из ваших пользователей запрашивает ключ для пространства, принадлежащего вашей организации (поскольку оно было создано одним из ваших пользователей), ваша KMS отправляет ключ клиенту по защищенному каналу ECDH. Однако если ключом к пространству владеет другая организация, ваша KMS направляет запрос в облако Webex через отдельный канал ECDH для получения ключа от соответствующей KMS, а затем возвращает ключ вашему пользователю по исходному каналу.
Служба KMS, работающая в организации A, проверяет подключения к KMS в других организациях, используя сертификаты x.509 PKI. Подробную информацию о создании сертификата x.509 для использования с вашим развертыванием многопользовательской гибридной системы безопасности данных см. в разделе Подготовка среды.
Ожидания от развертывания гибридной системы безопасности данных
Развертывание гибридной системы безопасности данных требует значительной приверженности и понимания рисков, связанных с владением ключами шифрования.
Для развертывания гибридной защиты данных необходимо предоставить:
-
Защищенный центр обработки данных в стране, которая является поддерживаемым местоположением для планов Cisco Webex Teams.
-
Оборудование, программное обеспечение и сетевой доступ, описанные в разделе Подготовка среды.
Полная потеря либо ISO-образа конфигурации, который вы создаете для гибридной безопасности данных, либо предоставленной вами базы данных приведет к потере ключей. Потеря ключа не позволяет пользователям расшифровывать контент пространства и другие зашифрованные данные в приложении Webex. Если это произойдет, вы можете создать новое развертывание, но виден будет только новый контент. Чтобы избежать потери доступа к данным, необходимо:
-
Управляйте резервным копированием и восстановлением базы данных и ISO-образа конфигурации.
-
Будьте готовы выполнить быстрое аварийное восстановление в случае возникновения катастрофы, например, отказа диска базы данных или аварии центра обработки данных.
Механизма перемещения ключей обратно в облако после развертывания HDS не предусмотрено.
Процесс настройки высокого уровня
В этом документе описывается настройка и управление развертыванием многопользовательской гибридной системы безопасности данных:
-
Настройка гибридной защиты данных— сюда входит подготовка необходимой инфраструктуры и установка программного обеспечения гибридной защиты данных, построение кластера HDS, добавление организаций-арендаторов в кластер и управление их основными ключами клиентов (CMK). Это позволит всем пользователям ваших организаций-клиентов использовать ваш кластер гибридной безопасности данных для выполнения функций безопасности.
Фазы настройки, активации и управления подробно рассматриваются в следующих трех главах.
-
Поддерживайте развертывание гибридной системы безопасности данных— Облако Webex автоматически предоставляет постоянные обновления. Ваш ИТ-отдел может обеспечить поддержку первого уровня для этого развертывания и при необходимости обратиться за поддержкой Cisco. В Partner Hub вы можете использовать уведомления на экране и настраивать оповещения по электронной почте.
-
Ознакомьтесь с распространенными оповещениями, шагами по устранению неполадок и известными проблемами— Если у вас возникли проблемы при развертывании или использовании гибридной защиты данных, последняя глава этого руководства и приложение «Известные проблемы» могут помочь вам определить и устранить проблему.
Гибридная модель развертывания безопасности данных
В вашем корпоративном центре обработки данных вы развертываете гибридную систему безопасности данных как единый кластер узлов на отдельных виртуальных хостах. Узлы взаимодействуют с облаком Webex через защищенные веб-сокеты и защищенный HTTP.
В процессе установки мы предоставляем вам OVA-файл для настройки виртуального устройства на предоставленных вами виртуальных машинах. С помощью инструмента настройки HDS вы создаете ISO-файл конфигурации кластера, который монтируете на каждом узле. Кластер гибридной безопасности данных использует предоставленный вами сервер Syslogd и базу данных PostgreSQL или Microsoft SQL Server. (Настройка Syslogd и параметров подключения к базе данных выполняется в инструменте настройки HDS.)
Минимальное количество узлов в кластере — два. Мы рекомендуем не менее трех на кластер. Наличие нескольких узлов гарантирует, что обслуживание не будет прерываться во время обновления программного обеспечения или других работ по техническому обслуживанию на узле. (Облако Webex обновляет только один узел за раз.)
Все узлы в кластере имеют доступ к одному и тому же хранилищу ключевых данных и регистрируют активность на одном и том же сервере системного журнала. Сами узлы не имеют состояния и обрабатывают ключевые запросы по принципу циклического перебора в соответствии с указаниями облака.
Узлы становятся активными после их регистрации в Partner Hub. Чтобы вывести отдельный узел из эксплуатации, вы можете отменить его регистрацию, а затем при необходимости зарегистрировать его повторно.
Резервный центр обработки данных для аварийного восстановления
Во время развертывания вы создаете безопасный резервный центр обработки данных. В случае аварии в центре обработки данных вы можете вручную перенести развертывание в резервный центр обработки данных.
Базы данных активного и резервного центров обработки данных синхронизированы друг с другом, что позволяет минимизировать время, необходимое для выполнения аварийного переключения.
Активные узлы гибридной защиты данных всегда должны находиться в том же центре обработки данных, что и активный сервер базы данных.
Поддержка прокси
Служба безопасности данных гибридного типа поддерживает явные прокси, прозрачные прокси с проверкой и прокси без проверки. Чтобы обеспечить защиту и мониторинг трафика из сети предприятия в облако, можно связать эти прокси с развертыванием. После настройки прокси на узлах административный интерфейс платформы на узлах можно использовать для управления сертификатами и просмотра общего состояния соединений.
Узлы безопасности данных гибридного типа поддерживают указанные далее параметры прокси.
-
Без прокси— по умолчанию, если вы не используете настройку узла HDS Trust Store & Конфигурация прокси для интеграции прокси. Обновление сертификата не требуется.
-
Прозрачный непроверяющий прокси-сервер— Узлы не настроены на использование определенного адреса прокси-сервера и не должны требовать никаких изменений для работы с непроверяющим прокси-сервером. Обновление сертификата не требуется.
-
Прозрачное туннелирование или проверка прокси-сервера— Узлы не настроены на использование определенного адреса прокси-сервера. На узлах не нужно изменять конфигурацию HTTP или HTTPS. Как бы то ни было, для обеспечения доверия прокси узлам необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже HTTPS).
-
Явный прокси— При использовании явного прокси вы указываете узлам HDS, какой прокси-сервер и схему аутентификации использовать. Для настройки явного прокси на каждом узле нужно ввести следующую информацию.
-
Прокси IP/FQDN— Адрес, который можно использовать для доступа к прокси-машине.
-
Порт прокси-сервера— номер порта, который прокси-сервер использует для прослушивания прокси-трафика.
-
Протокол прокси-сервера— В зависимости от того, что поддерживает ваш прокси-сервер, выберите один из следующих протоколов:
-
HTTP – просматривает все запросы, отправляемые клиентом, и управляет этими запросами.
-
HTTPS – обеспечивает работу канала связи с сервером. Клиент получает и проверяет сертификат сервера.
-
-
Тип аутентификации— Выберите один из следующих типов аутентификации:
-
Нет— Дальнейшая аутентификация не требуется.
Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.
-
Базовый— используется для предоставления HTTP-агенту пользователя имени пользователя и пароля при выполнении запроса. Использует кодировку Base64.
Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.
Требует ввода имени пользователя и пароля на каждом узле.
-
Дайджест— используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети.
Этот параметр доступен только в том случае, если в качестве протокола прокси выбран протокол HTTPS.
Требует ввода имени пользователя и пароля на каждом узле.
-
-
Пример узлов безопасности данных гибридного типа и прокси
На этой схеме представлен пример соединения между системой безопасности данных гибридного типа, сетью и прокси. При использовании прозрачного прокси с проверкой или явного прокси с проверкой HTTPS на прокси и узлы безопасности данных гибридного типа необходимо установить один и тот же корневой сертификат.
Режим блокировки разрешения внешних DNS (конфигурации явного прокси)
При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. В развертываниях с конфигурациями явного прокси, которые не допускают разрешения внешних DNS для внутренних клиентов, если узел не может посылать запросы на DNS-серверы, он автоматически переходит в режим блокировки разрешения внешних DNS. В этом режиме можно продолжить регистрацию узла и другие тестирования подключения к прокси.
Подготовка среды
Требования к безопасности многопользовательских гибридных данных
Требования к лицензии Cisco Webex
Для развертывания многопользовательской гибридной системы безопасности данных:
-
Партнерские организации: Обратитесь к своему партнеру Cisco или менеджеру по работе с клиентами и убедитесь, что функция Multi-Tenant включена.
-
Организации арендаторов: У вас должен быть Pro Pack для Cisco Webex Control Hub. См. https://www.cisco.com/go/pro-pack.
Требования к рабочему столу Docker
Перед установкой узлов HDS вам понадобится Docker Desktop для запуска программы установки. Недавно Docker обновил свою модель лицензирования. Для вашей организации может потребоваться платная подписка на Docker Desktop. Подробности см. в записи блога Docker, " Docker обновляет и расширяет подписки на продукты".
Клиенты без лицензии Docker Desktop могут использовать инструмент управления контейнерами с открытым исходным кодом, такой как Podman Desktop, для запуска, управления и создания контейнеров. Подробную информацию см. в разделе Запуск средства настройки HDS с помощью Podman Desktop.
Требования к сертификату X.509
Цепочка сертификатов должна соответствовать следующим требованиям:
|
Требование |
Подробности |
|---|---|
|
По умолчанию мы доверяем центрам сертификации из списка Mozilla (за исключением WoSign и StartCom) по адресу https://wiki.mozilla.org/CA:IncludedCAs. |
|
CN не обязательно должен быть доступен или представлять собой работающий хост. Мы рекомендуем вам использовать название, отражающее название вашей организации, например, CN не должен содержать * (подстановочный знак). CN используется для проверки узлов безопасности гибридных данных для клиентов приложения Webex. Все узлы гибридной безопасности данных в вашем кластере используют один и тот же сертификат. Ваш KMS идентифицирует себя с помощью домена CN, а не любого домена, определенного в полях SAN x.509v3. После регистрации узла с этим сертификатом мы не поддерживаем изменение доменного имени CN. |
|
Программное обеспечение KMS не поддерживает подписи SHA1 для проверки подключений к KMS других организаций. |
|
Для изменения формата сертификата вы можете использовать конвертер, например OpenSSL. Вам потребуется ввести пароль при запуске HDS Setup Tool. |
Программное обеспечение KMS не устанавливает жестких ограничений на использование ключей или расширенных ограничений на использование ключей. Некоторые центры сертификации требуют, чтобы к каждому сертификату применялись расширенные ограничения использования ключа, например, аутентификация сервера. Можно использовать аутентификацию сервера или другие настройки.
Требования к виртуальному хосту
Виртуальные хосты, которые вы настроите в качестве узлов гибридной безопасности данных в своем кластере, имеют следующие требования:
-
Не менее двух отдельных хостов (рекомендуется 3), размещенных в одном защищенном центре обработки данных
-
Установленный и работающий VMware ESXi 7.0 или 8.0.
Если у вас более ранняя версия ESXi, вам необходимо выполнить обновление.
-
Минимум 4 виртуальных ЦП, 8 ГБ основной памяти, 30 ГБ локального жесткого диска на сервер
Требования к серверу базы данных
Создайте новую базу данных для хранения ключей. Не используйте базу данных по умолчанию. Приложения HDS после установки создают схему базы данных.
Существует два варианта сервера базы данных. Требования к каждому из них следующие:
|
PostgreSQL |
Microsoft SQL-сервер |
|---|---|
|
|
|
Минимум 8 виртуальных ЦП, 16 ГБ основной памяти, достаточное пространство на жестком диске и мониторинг, чтобы гарантировать, что оно не будет превышено (рекомендуется 2 ТБ, если вы хотите, чтобы база данных работала в течение длительного времени без необходимости увеличения хранилища) |
Минимум 8 виртуальных ЦП, 16 ГБ основной памяти, достаточное пространство на жестком диске и мониторинг, чтобы гарантировать, что оно не будет превышено (рекомендуется 2 ТБ, если вы хотите, чтобы база данных работала в течение длительного времени без необходимости увеличения хранилища) |
В настоящее время программное обеспечение HDS устанавливает следующие версии драйверов для связи с сервером базы данных:
|
PostgreSQL |
Microsoft SQL-сервер |
|---|---|
|
Драйвер Postgres JDBC 42.2.5 |
Драйвер JDBC SQL Server 4.6 Эта версия драйвера поддерживает SQL Server Always On ( экземпляры отказоустойчивого кластера Always On и группы доступности Always On). |
Дополнительные требования к аутентификации Windows на Microsoft SQL Server
Если вы хотите, чтобы узлы HDS использовали аутентификацию Windows для доступа к базе данных хранилища ключей на Microsoft SQL Server, вам потребуется следующая конфигурация в вашей среде:
-
Узлы HDS, инфраструктура Active Directory и MS SQL Server должны быть синхронизированы с NTP.
-
Учетная запись Windows, которую вы предоставляете узлам HDS, должна иметь read/write доступ к базе данных.
-
DNS-серверы, которые вы предоставляете узлам HDS, должны иметь возможность разрешать ваш центр распространения ключей (KDC).
-
Вы можете зарегистрировать экземпляр базы данных HDS на вашем сервере Microsoft SQL Server в качестве имени участника службы (SPN) в вашем Active Directory. См. Регистрация имени участника службы для подключений Kerberos.
Инструмент настройки HDS, средство запуска HDS и локальный KMS должны использовать аутентификацию Windows для доступа к базе данных хранилища ключей. Они используют данные из вашей конфигурации ISO для создания SPN при запросе доступа с аутентификацией Kerberos.
Требования к внешнему подключению
Настройте брандмауэр так, чтобы разрешить следующие подключения для приложений HDS:
|
Приложение |
Протокол |
Порт |
Направление из приложения |
Назначение |
|---|---|---|---|---|
|
Гибридные узлы безопасности данных |
Протокол TCP |
443 |
Исходящий HTTPS и WSS |
|
|
Инструмент настройки HDS |
Протокол TCP |
443 |
Исходящий HTTPS |
|
Узлы гибридной защиты данных работают с трансляцией сетевого доступа (NAT) или за брандмауэром, при условии, что NAT или брандмауэр разрешают требуемые исходящие соединения с доменами назначения, указанными в предыдущей таблице. Для входящих подключений к узлам гибридной защиты данных ни один порт не должен быть виден из Интернета. В вашем центре обработки данных клиентам необходим доступ к узлам гибридной безопасности данных на TCP-портах 443 и 22 для административных целей.
URL-адреса хостов Common Identity (CI) зависят от региона. Текущие хосты CI:
|
Регион |
URL-адреса хостов общей идентификации |
|---|---|
|
Северная и Южная Америка |
|
|
Европейский союз |
|
|
Канада |
|
| Сингапур |
|
| Объединенные Арабские Эмираты |
|
Требования к прокси-серверу
-
Мы официально поддерживаем следующие решения для прокси, которые можно интегрировать с узлами безопасности данных гибридного типа:
-
для прозрачных прокси – Cisco Web Security Appliance (WSA);
-
для явных прокси – Squid.
Прокси-серверы Squid, проверяющие трафик HTTPS, могут помешать установлению веб-сокетов. (wss:) связи. Чтобы обойти эту проблему, см. Настройка прокси-серверов Squid для гибридной безопасности данных.
-
-
Поддерживаются следующие комбинации типов аутентификации для явных прокси:
-
без аутентификации при использовании HTTP или HTTPS;
-
базовая аутентификация при использовании HTTP или HTTPS;
-
дайджест-аутентификация только при использовании HTTPS;
-
-
При наличии прозрачного прокси с проверкой или явного прокси HTTPS необходимо иметь копию корневого сертификата прокси. Инструкции по развертыванию, приведенные в этом руководстве, содержат информацию о том, как загрузить эту копию в зоны доверия узлов безопасности данных гибридного типа.
-
Сеть, в которой размещены узлы HDS, должна обеспечивать принудительную маршрутизацию исходящего трафика TCP на порте 443 через прокси.
-
Прокси, проверяющие веб-трафик, могут нарушать работу соединений веб-сокетов. Если возникла эта проблема, обход (без проверки) трафика в
wbx2.comиciscospark.comрешит ее.
Выполните предварительные условия для гибридной безопасности данных
| 1 |
Убедитесь, что в вашей партнерской организации включена функция Multi-Tenant HDS, и получите учетные данные учетной записи с правами полного администратора партнера. Убедитесь, что в вашей организации клиентов Webex включен Pro Pack для Cisco Webex Control Hub. Обратитесь за помощью в этом процессе к своему партнеру Cisco или менеджеру по работе с клиентами. У организаций-клиентов не должно быть никаких существующих развертываний HDS. |
| 2 |
Выберите доменное имя для развертывания HDS (например, |
| 3 |
Подготовьте идентичные виртуальные хосты, которые вы настроите в качестве узлов гибридной безопасности данных в своем кластере. Вам необходимо разместить как минимум два отдельных хоста (рекомендуется 3), размещенных в одном защищенном центре обработки данных, которые соответствуют требованиям, изложенным в Требованиях к виртуальному хосту. |
| 4 |
Подготовьте сервер базы данных, который будет выступать в качестве ключевого хранилища данных для кластера, в соответствии с Требованиями к серверу базы данных. Сервер базы данных должен быть размещен в защищенном центре обработки данных вместе с виртуальными хостами. |
| 5 |
Для быстрого восстановления после сбоя создайте резервную среду в другом центре обработки данных. Среда резервного копирования отражает производственную среду виртуальных машин и сервера резервной базы данных. Например, если в производственной среде имеется 3 виртуальные машины, на которых запущены узлы HDS, в резервной среде должно быть 3 виртуальные машины. |
| 6 |
Настройте хост syslog для сбора журналов с узлов в кластере. Получите его сетевой адрес и порт системного журнала (по умолчанию UDP 514). |
| 7 |
Создайте безопасную политику резервного копирования для узлов гибридной безопасности данных, сервера базы данных и хоста системного журнала. Как минимум, чтобы предотвратить невосстановимую потерю данных, необходимо создать резервную копию базы данных и файла конфигурации ISO, созданного для узлов гибридной безопасности данных. Поскольку узлы гибридной защиты данных хранят ключи, используемые для шифрования и дешифрования контента, невозможность поддержания оперативного развертывания приведет к НЕВОССТАНОВИМОЙ ПОТЕРЕ этого контента. Клиенты приложения Webex кэшируют свои ключи, поэтому сбой может быть не заметен сразу, но станет очевидным со временем. Хотя временные перебои в электроснабжении предотвратить невозможно, их можно устранить. Однако полная потеря (отсутствие резервных копий) базы данных или файла конфигурации ISO приведет к невозможности восстановления данных клиента. Операторы узлов гибридной безопасности данных должны регулярно выполнять резервное копирование базы данных и файла конфигурации ISO, а также быть готовыми к восстановлению центра обработки данных гибридной безопасности данных в случае возникновения катастрофического сбоя. |
| 8 |
Убедитесь, что конфигурация вашего брандмауэра допускает подключение для ваших узлов гибридной защиты данных, как указано в Требованиях к внешнему подключению. |
| 9 |
Установите Docker ( https://www.docker.com) на любой локальный компьютер под управлением поддерживаемой ОС (Microsoft Windows 10 Professional или Enterprise 64-bit, или Mac OSX Yosemite 10.10.3 или выше) с веб-браузером, который может получить к нему доступ по адресу http://127.0.0.1:8080. Экземпляр Docker используется для загрузки и запуска инструмента настройки HDS, который создает локальную информацию о конфигурации для всех узлов гибридной безопасности данных. Вам может потребоваться лицензия Docker Desktop. Более подробную информацию см. в разделе Требования к рабочему столу Docker. Для установки и запуска HDS Setup Tool локальный компьютер должен иметь подключение, описанное в Требованиях к внешнему подключению. |
| 10 |
Если вы интегрируете прокси-сервер с гибридной защитой данных, убедитесь, что он соответствует Требованиям к прокси-серверу. |
Настройте гибридный кластер безопасности данных
Поток задач по развертыванию гибридной системы безопасности данных
| 1 |
Выполните первоначальную настройку и загрузите установочные файлы. Загрузите файл OVA на свой локальный компьютер для дальнейшего использования. |
| 2 |
Создайте ISO-образ конфигурации для хостов HDS Используйте HDS Setup Tool для создания файла конфигурации ISO для узлов гибридной безопасности данных. |
| 3 |
Создайте виртуальную машину из файла OVA и выполните первоначальную настройку, например, сетевые параметры. Возможность настройки сетевых параметров во время развертывания OVA была протестирована с ESXi 7.0 и 8.0. В более ранних версиях эта опция может быть недоступна. |
| 4 |
Настройка гибридной виртуальной машины безопасности данных Войдите в консоль виртуальной машины и задайте учетные данные для входа. Настройте сетевые параметры узла, если вы не настроили их во время развертывания OVA. |
| 5 |
Загрузите и смонтируйте ISO-образ конфигурации HDS Настройте виртуальную машину с помощью файла конфигурации ISO, созданного с помощью HDS Setup Tool. |
| 6 |
Настройка узла HDS для интеграции прокси Если сетевая среда требует настройки прокси-сервера, укажите тип прокси-сервера, который вы будете использовать для узла, и при необходимости добавьте сертификат прокси-сервера в хранилище доверенных сертификатов. |
| 7 |
Зарегистрируйте первый узел в кластере Зарегистрируйте виртуальную машину в облаке Cisco Webex как узел гибридной безопасности данных. |
| 8 |
Создайте и зарегистрируйте больше узлов Завершите настройку кластера. |
| 9 |
Активируйте Multi-Tenant HDS на Partner Hub. Активируйте HDS и управляйте организациями арендаторов в Partner Hub. |
Выполните первоначальную настройку и загрузите установочные файлы.
В этой задаче вы загружаете OVA-файл на свой компьютер (а не на серверы, которые вы настроили в качестве узлов гибридной безопасности данных). Этот файл вам понадобится позже в процессе установки.
| 1 |
Войдите в Partner Hub, а затем нажмите Услуги. |
| 2 |
В разделе «Облачные сервисы» найдите карточку «Гибридная безопасность данных», а затем нажмите Настроить. Нажатие кнопки Настроить в Partner Hub имеет решающее значение для процесса развертывания. Не продолжайте установку, не выполнив этот шаг. |
| 3 |
Нажмите Добавить ресурс и нажмите Загрузить файл .OVA на карточке Установить и настроить программное обеспечение. Более старые версии программного пакета (OVA) не будут совместимы с последними обновлениями гибридной безопасности данных. Это может привести к проблемам при обновлении приложения. Убедитесь, что вы загрузили последнюю версию файла OVA. Вы также можете загрузить OVA в любое время из раздела Помощь. Нажмите . Начнется автоматическая загрузка OVA-файла. Сохраните файл в определенном месте на вашем компьютере.
|
| 4 |
При желании нажмите См. руководство по развертыванию гибридной системы безопасности данных, чтобы проверить, доступна ли более поздняя версия этого руководства. |
Создайте ISO-образ конфигурации для хостов HDS
В процессе настройки гибридной защиты данных создается ISO-файл. Затем вы используете ISO для настройки хоста гибридной безопасности данных.
Прежде чем начать
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются данные учетной записи Partner Hub с полными правами администратора.
Если у вас нет лицензии Docker Desktop, вы можете использовать Podman Desktop для запуска инструмента настройки HDS для шагов 1–5 в приведенной ниже процедуре. Подробную информацию см. в разделе Запуск средства настройки HDS с помощью Podman Desktop.
Если в вашей среде инструмент настройки HDS работает через прокси-сервер, укажите параметры прокси-сервера (сервер, порт, учетные данные) через переменные среды Docker при запуске контейнера Docker на шаге 5 ниже. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-прокси без аутентификации
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-прокси с аутентификацией
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS-прокси с аутентификацией
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Создаваемый вами файл конфигурации ISO содержит главный ключ, шифрующий базу данных PostgreSQL или Microsoft SQL Server. Последняя копия этого файла необходима вам всякий раз, когда вы вносите изменения в конфигурацию, например:
-
Учетные данные базы данных
-
Обновления сертификатов
-
Изменения в политике авторизации
-
-
Если вы планируете шифровать соединения с базой данных, настройте развертывание PostgreSQL или SQL Server для TLS.
| 1 |
Введите соответствующую команду для вашей среды в командной строке компьютера. В обычных средах: В средах FedRAMP: На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать. | ||||||||||
| 2 |
Чтобы войти в реестр образов Docker, введите следующее. | ||||||||||
| 3 |
Введите в запросе пароля этот хеш: | ||||||||||
| 4 |
Скачайте последнюю стабильную версию образа для вашей среды. В обычных средах: В средах FedRAMP: | ||||||||||
| 5 |
По завершении скачивания введите соответствующую команду для вашей среды.
Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080". | ||||||||||
| 6 |
Инструмент настройки не поддерживает подключение к локальному хосту через http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному хосту. Используйте веб-браузер, чтобы перейти на локальный хост, Инструмент использует эту первую запись имени пользователя, чтобы задать правильную среду для этой учетной записи. Затем инструмент отображает стандартное приглашение для входа в систему. | ||||||||||
| 7 |
При появлении соответствующего запроса введите учетные данные администратора Partner Hub, а затем нажмите Войти, чтобы разрешить доступ к требуемым службам для гибридной безопасности данных. | ||||||||||
| 8 |
На странице обзора инструмента настройки нажмите Начать. | ||||||||||
| 9 |
На странице Импорт ISO у вас есть следующие параметры:
| ||||||||||
| 10 |
Убедитесь, что ваш сертификат X.509 соответствует требованиям, изложенным в Требованиях к сертификату X.509.
| ||||||||||
| 11 |
Введите адрес базы данных и учетную запись HDS для доступа к вашему ключевому хранилищу данных: | ||||||||||
| 12 |
Выберите режим подключения к базе данных TLS:
Когда вы загружаете корневой сертификат (при необходимости) и нажимаете Продолжить, HDS Setup Tool проверяет TLS-соединение с сервером базы данных. Инструмент также выполняет проверку источника подписи сертификата и имени узла (если применимо). Если тест не будет пройден, в инструменте будет отображено сообщение об ошибке с описанием проблемы. Можно выбрать параметр игнорирования ошибки и продолжить настройку. (Из-за различий в подключении узлы HDS могут установить соединение TLS, даже если компьютер с инструментом настройки HDS не сможет успешно его протестировать.) | ||||||||||
| 13 |
На странице «Системные журналы» настройте сервер Syslogd: | ||||||||||
| 14 |
(Необязательно) Вы можете изменить значение по умолчанию для некоторых параметров подключения к базе данных в Расширенных настройках. Как правило, это единственный параметр, который вам может понадобиться изменить: | ||||||||||
| 15 |
Нажмите Продолжить на экране Сброс пароля учетных записей служб. Срок действия паролей учетных записей служб составляет девять месяцев. Используйте этот экран, когда срок действия ваших паролей приближается к концу или вы хотите сбросить их, чтобы сделать предыдущие файлы ISO недействительными. | ||||||||||
| 16 |
Нажмите Загрузить файл ISO. Сохраните файл в месте, которое легко найти. | ||||||||||
| 17 |
Создайте резервную копию ISO-файла на локальной системе. Сохраните резервную копию в надежном месте. Этот файл содержит главный ключ шифрования содержимого базы данных. Ограничьте доступ только тем администраторам гибридной безопасности данных, которые должны вносить изменения в конфигурацию. | ||||||||||
| 18 |
Чтобы закрыть средство настройки, введите |
Дальнейшие действия
Создайте резервную копию ISO-файла конфигурации. Он вам понадобится для создания дополнительных узлов для восстановления или для внесения изменений в конфигурацию. Если вы потеряете все копии ISO-файла, вы также потеряете главный ключ. Восстановление ключей из базы данных PostgreSQL или Microsoft SQL Server невозможно.
У нас никогда не было копии этого ключа, и мы не сможем вам помочь, если вы его потеряете.
Установка HDS Host OVA
| 1 |
Используйте клиент VMware vSphere на своем компьютере для входа в виртуальный хост ESXi. |
| 2 |
Выбрать Файл > Развернуть шаблон OVF. |
| 3 |
В мастере укажите местоположение файла OVA, который вы скачали ранее, а затем нажмите Далее. |
| 4 |
На странице Выберите имя и папку введите Имя виртуальной машины для узла (например, «HDS_Node_1»), выберите место, где может находиться развертывание узла виртуальной машины, а затем нажмите Далее. |
| 5 |
На странице Выбор вычислительного ресурса выберите целевой вычислительный ресурс, а затем нажмите Далее. Проводится проверка достоверности. После его завершения появятся сведения о шаблоне. |
| 6 |
Проверьте данные шаблона и нажмите Далее. |
| 7 |
Если вам будет предложено выбрать конфигурацию ресурсов на странице Конфигурация, нажмите 4 ЦП, а затем нажмите Далее. |
| 8 |
На странице Выбор хранилища нажмите Далее, чтобы принять формат диска по умолчанию и политику хранения виртуальной машины. |
| 9 |
На странице Выбор сетей выберите сетевой параметр из списка записей, чтобы обеспечить желаемое подключение к виртуальной машине. |
| 10 |
На странице Настроить шаблон настройте следующие параметры сети:
При желании вы можете пропустить настройку сетевых параметров и выполнить действия, описанные в разделе Настройка гибридной виртуальной машины безопасности данных, чтобы настроить параметры из консоли узла. Возможность настройки сетевых параметров во время развертывания OVA была протестирована с ESXi 7.0 и 8.0. В более ранних версиях эта опция может быть недоступна. |
| 11 |
Щелкните правой кнопкой мыши узел виртуальной машины, а затем выберите . Программное обеспечение Hybrid Data Security устанавливается в качестве гостя на хосте виртуальной машины. Теперь вы готовы войти в консоль и настроить узел. Рекомендации по устранению неисправностей Возможна задержка в несколько минут перед запуском контейнеров узлов. Во время первой загрузки на консоли появляется сообщение о брандмауэре моста, во время которого вы не можете войти в систему. |
Настройка гибридной виртуальной машины безопасности данных
Используйте эту процедуру для первого входа в консоль виртуальной машины узла Hybrid Data Security и установки учетных данных для входа. Вы также можете использовать консоль для настройки сетевых параметров узла, если вы не настроили их во время развертывания OVA.
| 1 |
В клиенте VMware vSphere выберите виртуальную машину узла Hybrid Data Security и выберите вкладку Консоль. Виртуальная машина загрузится и появится приглашение на вход в систему. Если приглашение на вход не отображается, нажмите Enter.
|
| 2 |
Для входа в систему и изменения учетных данных используйте следующие логин и пароль по умолчанию: Поскольку вы впервые входите в свою виртуальную машину, вам необходимо сменить пароль администратора. |
| 3 |
Если вы уже настроили параметры сети в Установка HDS Host OVA, пропустите оставшуюся часть этой процедуры. В противном случае в главном меню выберите опцию Изменить конфигурацию. |
| 4 |
Настройте статическую конфигурацию с IP-адресом, маской, шлюзом и информацией о DNS. Ваш узел должен иметь внутренний IP-адрес и DNS-имя. DHCP не поддерживается. |
| 5 |
(Необязательно) При необходимости измените имя хоста, домен или сервер(ы) NTP в соответствии с вашей сетевой политикой. Вам не нужно указывать домен, совпадающий с доменом, который вы использовали для получения сертификата X.509. |
| 6 |
Сохраните конфигурацию сети и перезагрузите виртуальную машину, чтобы изменения вступили в силу. |
Загрузите и смонтируйте ISO-образ конфигурации HDS
Прежде чем начать
Поскольку файл ISO содержит главный ключ, его следует предоставлять только по принципу «служебной необходимости» для доступа к виртуальным машинам гибридной безопасности данных и любым администраторам, которым может потребоваться внести изменения. Убедитесь, что доступ к хранилищу данных имеют только эти администраторы.
| 1 |
Загрузите ISO-файл со своего компьютера: |
| 2 |
Смонтируйте ISO-файл: |
Дальнейшие действия
Если того требует ваша ИТ-политика, вы можете при желании размонтировать ISO-файл после того, как все ваши узлы примут изменения конфигурации. Подробную информацию см. в разделе (Необязательно) Размонтирование ISO после настройки HDS.
Настройка узла HDS для интеграции прокси
Если в сетевой среде необходимо использовать прокси, воспользуйтесь этой процедурой, чтобы указать тип прокси, который нужно интегрировать со службой безопасности данных гибридного типа. При выборе прозрачного прокси с проверкой или явного прокси HTTPS можно использовать интерфейс узла для загрузки и установки корневого сертификата. Кроме того, в интерфейсе можно проверять соединение с прокси и устранять неполадки.
Прежде чем начать
-
Обзор поддерживаемых параметров прокси-сервера см. в разделе Поддержка прокси-сервера.
| 1 |
Введите URL-адрес настройки узла HDS |
| 2 |
Откройте раздел Trust Store & Proxy (Зона доверия и прокси) и выберите один из следующих параметров.
В случае использования прозрачного прокси с проверкой, явного прокси HTTP с базовой аутентификацией или явного прокси HTTPS выполните указанные далее шаги. |
| 3 |
Щелкните Upload a Root Certificate or End Entity Certificate (Загрузить корневой сертификат или сертификат конечного субъекта) и откройте меню для выбора корневого сертификата для прокси. Сертификат будет загружен, но не установлен, поскольку для установки сертификата необходимо перезагрузить узел. Чтобы получить дополнительные сведения, щелкните стрелку-шеврон, расположенную рядом с именем издателя сертификата. Если вы допустили ошибку и хотите вновь загрузить файл, щелкните Delete (Удалить). |
| 4 |
Чтобы протестировать сетевое соединение между узлом и прокси, щелкните Check Proxy Connection (Проверить соединение с прокси). Если тестирование соединения завершится неудачей, на экране появится сообщение об ошибке, в котором будут указаны причина и способ исправления ошибки. Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу. Такая проблема может возникнуть во многих конфигурациях явного прокси. Можно продолжить настройку, и узел будет работать в режиме блокировки разрешения внешних DNS. Если вы считаете, что это ошибка, выполните эти шаги, а затем см. Отключение заблокированного внешнего режима разрешения DNS. |
| 5 |
Если вы используете явный прокси, настроенный на применение исключительно https, после успешного завершения тестирования соединения включите параметр Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси (Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси). Для вступления в силу этого параметра необходимо 15 секунд. |
| 6 |
Щелкните Install All Certificates Into the Trust Store (Установить все сертификаты в зоне доверия) – этот параметр отображается при использовании явного прокси HTTPS или прозрачного прокси с проверкой – или Reboot (Перезагрузить) – этот параметр отображается при использовании явного прокси HTTP. Прочитайте запрос и щелкните Install (Установить), если вы готовы к установке. Узел перезагрузится в течение нескольких минут. |
| 7 |
После перезагрузки узла повторно войдите в систему, если это необходимо, и откройте страницу Обзор, чтобы выполнить проверки соединений. Состояние всех проверок должно быть обозначено зеленым цветом. Проверка соединения с прокси используется исключительно для тестирования поддомена webex.com. Проблемы с соединениями нередко возникают из-за того, что некоторые облачные домены, указанные в инструкциях по установке, блокируются на уровне прокси. |
Зарегистрируйте первый узел в кластере
При регистрации первого узла вы создаете кластер, к которому этот узел относится. Кластер содержит один или несколько узлов, развернутых для обеспечения избыточности.
Прежде чем начать
-
Начав регистрацию узла, вы должны завершить ее в течение 60 минут, иначе вам придется начинать заново.
-
Убедитесь, что в вашем браузере отключены все блокировщики всплывающих окон или разрешены исключения для admin.webex.com.
| 1 |
Войдите в https://admin.webex.com. |
| 2 |
В меню в левой части экрана выберите Услуги. |
| 3 |
В разделе «Облачные сервисы» найдите карточку «Гибридная безопасность данных» и нажмите Настроить. |
| 4 |
На открывшейся странице нажмите Добавить ресурс. |
| 5 |
В первом поле карточки Добавить узел введите имя кластера, которому вы хотите назначить свой узел гибридной безопасности данных. Мы рекомендуем вам называть кластер на основе географического расположения узлов кластера. Примеры: «Сан-Франциско» или «Нью-Йорк» или «Даллас». |
| 6 |
Во втором поле введите внутренний IP-адрес или полное доменное имя (FQDN) вашего узла и нажмите Добавить в нижней части экрана. Этот IP-адрес или полное доменное имя должны совпадать с IP-адресом или именем хоста и доменом, которые вы использовали в Настройка гибридной виртуальной машины безопасности данных. Появится сообщение о том, что вы можете зарегистрировать свой узел в Webex.
|
| 7 |
Нажмите Перейти к узлу. Через несколько секунд вы будете перенаправлены на страницу проверки подключения узлов для служб Webex. Если все тесты пройдены успешно, откроется страница «Разрешить доступ к узлу безопасности гибридных данных». Там вы подтверждаете, что хотите предоставить своей организации Webex разрешения на доступ к вашему узлу. |
| 8 |
Установите флажок Разрешить доступ к вашему гибридному узлу безопасности данных, а затем нажмите Продолжить. Ваша учетная запись проверена, и сообщение «Регистрация завершена» указывает на то, что ваш узел теперь зарегистрирован в облаке Webex.
|
| 9 |
Нажмите на ссылку или закройте вкладку, чтобы вернуться на страницу безопасности гибридных данных Partner Hub. На странице Гибридная безопасность данных новый кластер, содержащий зарегистрированный вами узел, отображается на вкладке Ресурсы. Узел автоматически загрузит последнюю версию программного обеспечения из облака.
|
Создайте и зарегистрируйте больше узлов
Прежде чем начать
-
Начав регистрацию узла, вы должны завершить ее в течение 60 минут, иначе вам придется начинать заново.
-
Убедитесь, что в вашем браузере отключены все блокировщики всплывающих окон или разрешены исключения для admin.webex.com.
| 1 |
Создайте новую виртуальную машину из OVA, повторив шаги в Установка OVA хоста HDS. |
| 2 |
Настройте начальную конфигурацию новой виртуальной машины, повторив шаги из раздела Настройка гибридной виртуальной машины безопасности данных. |
| 3 |
На новой виртуальной машине повторите шаги из раздела Загрузка и монтирование ISO-образа конфигурации HDS. |
| 4 |
Если вы настраиваете прокси-сервер для своего развертывания, повторите шаги в разделе Настройка узла HDS для интеграции прокси-сервера по мере необходимости для нового узла. |
| 5 |
Зарегистрируйте узел. |
Управление организациями арендаторов в многопользовательской гибридной системе безопасности данных
Активируйте Multi-Tenant HDS на Partner Hub
Эта задача гарантирует, что все пользователи организаций-клиентов смогут начать использовать HDS для локальных ключей шифрования и других служб безопасности.
Прежде чем начать
Убедитесь, что вы завершили настройку многопользовательского кластера HDS с необходимым количеством узлов.
| 1 |
Войдите в https://admin.webex.com. |
| 2 |
В меню в левой части экрана выберите Услуги. |
| 3 |
В разделе «Облачные сервисы» найдите пункт «Гибридная безопасность данных» и нажмите «Изменить настройки» . |
| 4 |
Нажмите Активировать HDS на карте Статус HDS. |
Добавьте организации-арендаторы в Partner Hub
В этой задаче вы назначаете организации клиентов в свой гибридный кластер безопасности данных.
| 1 |
Войдите в https://admin.webex.com. |
| 2 |
В меню в левой части экрана выберите Услуги. |
| 3 |
В разделе «Облачные сервисы» найдите «Гибридная безопасность данных» и нажмите Просмотреть все. |
| 4 |
Нажмите на кластер, к которому вы хотите отнести клиента. |
| 5 |
Перейдите на вкладку Назначенные клиенты. |
| 6 |
Нажмите Добавить клиентов. |
| 7 |
Выберите клиента, которого вы хотите добавить, из выпадающего меню. |
| 8 |
Нажмите Добавить, клиент будет добавлен в кластер. |
| 9 |
Повторите шаги 6–8, чтобы добавить в кластер нескольких клиентов. |
| 10 |
После добавления клиентов нажмите Готово в нижней части экрана. |
Дальнейшие действия
Создайте основные ключи клиента (CMK) с помощью инструмента настройки HDS
Прежде чем начать
Назначьте клиентов в соответствующий кластер, как подробно описано в разделе Добавление организаций-арендаторов в Partner Hub. Запустите инструмент настройки HDS, чтобы завершить процесс настройки для вновь добавленных организаций-клиентов.
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются данные учетной записи Partner Hub с полными правами администратора вашей организации.
Если в вашей среде инструмент настройки HDS работает через прокси-сервер, укажите параметры прокси-сервера (сервер, порт, учетные данные) через переменные среды Docker при запуске контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-прокси без аутентификации
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-прокси с аутентификацией
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS-прокси с аутентификацией
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Создаваемый вами файл конфигурации ISO содержит главный ключ, шифрующий базу данных PostgreSQL или Microsoft SQL Server. Последняя копия этого файла необходима вам всякий раз, когда вы вносите изменения в конфигурацию, например:
-
Учетные данные базы данных
-
Обновления сертификатов
-
Изменения в политике авторизации
-
-
Если вы планируете шифровать соединения с базой данных, настройте развертывание PostgreSQL или SQL Server для TLS.
В процессе настройки гибридной защиты данных создается ISO-файл. Затем вы используете ISO для настройки хоста гибридной безопасности данных.
| 1 |
Введите соответствующую команду для вашей среды в командной строке компьютера. В обычных средах: В средах FedRAMP: На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать. |
| 2 |
Чтобы войти в реестр образов Docker, введите следующее. |
| 3 |
Введите в запросе пароля этот хеш: |
| 4 |
Скачайте последнюю стабильную версию образа для вашей среды. В обычных средах: В средах FedRAMP: |
| 5 |
По завершении скачивания введите соответствующую команду для вашей среды.
Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080". |
| 6 |
Инструмент настройки не поддерживает подключение к локальному хосту через http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному хосту. Используйте веб-браузер, чтобы перейти на локальный хост, Инструмент использует эту первую запись имени пользователя, чтобы задать правильную среду для этой учетной записи. Затем инструмент отображает стандартное приглашение для входа в систему. |
| 7 |
При появлении соответствующего запроса введите учетные данные администратора Partner Hub, а затем нажмите Войти, чтобы разрешить доступ к требуемым службам для гибридной безопасности данных. |
| 8 |
На странице обзора инструмента настройки нажмите Начать. |
| 9 |
На странице Импорт ISO нажмите Да. |
| 10 |
Выберите ваш ISO-файл в браузере и загрузите его. Обеспечьте подключение к вашей базе данных для управления CMK. |
| 11 |
Перейдите на вкладку Управление CMK-клиентами, где вы найдете следующие три способа управления CMK-клиентами.
|
| 12 |
После успешного создания CMK статус в таблице изменится с Ожидается управление CMK на Управляется CMK. |
| 13 |
Если создание CMK не удалось, будет выведено сообщение об ошибке. |
Удалить организации-арендаторы
Прежде чем начать
После удаления пользователи организаций-клиентов не смогут использовать HDS для своих нужд шифрования и потеряют все существующие пространства. Прежде чем удалять организации клиентов, обратитесь к своему партнеру Cisco или менеджеру по работе с клиентами.
| 1 |
Войдите в https://admin.webex.com. |
| 2 |
В меню в левой части экрана выберите Услуги. |
| 3 |
В разделе «Облачные сервисы» найдите «Гибридная безопасность данных» и нажмите Просмотреть все. |
| 4 |
На вкладке Ресурсы щелкните кластер, из которого вы хотите удалить организации клиентов. |
| 5 |
На открывшейся странице нажмите Назначенные клиенты. |
| 6 |
В списке отображаемых организаций-клиентов нажмите ... справа от организации-клиента, которую вы хотите удалить, и нажмите Удалить из кластера. |
Дальнейшие действия
Завершите процесс удаления, отозвав CMK организаций-клиентов, как подробно описано в Отозвать CMK арендаторов, удаленных из HDS.
Отозвать CMK арендаторов, исключенных из HDS.
Прежде чем начать
Удалите клиентов из соответствующего кластера, как подробно описано в разделе Удаление организаций-арендаторов. Запустите инструмент настройки HDS, чтобы завершить процесс удаления для удаленных организаций клиентов.
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются данные учетной записи Partner Hub с полными правами администратора вашей организации.
Если в вашей среде инструмент настройки HDS работает через прокси-сервер, укажите параметры прокси-сервера (сервер, порт, учетные данные) через переменные среды Docker при запуске контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-прокси без аутентификации
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-прокси с аутентификацией
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS-прокси с аутентификацией
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Создаваемый вами файл конфигурации ISO содержит главный ключ, шифрующий базу данных PostgreSQL или Microsoft SQL Server. Последняя копия этого файла необходима вам всякий раз, когда вы вносите изменения в конфигурацию, например:
-
Учетные данные базы данных
-
Обновления сертификатов
-
Изменения в политике авторизации
-
-
Если вы планируете шифровать соединения с базой данных, настройте развертывание PostgreSQL или SQL Server для TLS.
В процессе настройки гибридной защиты данных создается ISO-файл. Затем вы используете ISO для настройки хоста гибридной безопасности данных.
| 1 |
Введите соответствующую команду для вашей среды в командной строке компьютера. В обычных средах: В средах FedRAMP: На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать. |
| 2 |
Чтобы войти в реестр образов Docker, введите следующее. |
| 3 |
Введите в запросе пароля этот хеш: |
| 4 |
Скачайте последнюю стабильную версию образа для вашей среды. В обычных средах: В средах FedRAMP: |
| 5 |
По завершении скачивания введите соответствующую команду для вашей среды.
Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080". |
| 6 |
Инструмент настройки не поддерживает подключение к локальному хосту через http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному хосту. Используйте веб-браузер, чтобы перейти на локальный хост, Инструмент использует эту первую запись имени пользователя, чтобы задать правильную среду для этой учетной записи. Затем инструмент отображает стандартное приглашение для входа в систему. |
| 7 |
При появлении соответствующего запроса введите учетные данные администратора Partner Hub, а затем нажмите Войти, чтобы разрешить доступ к требуемым службам для гибридной безопасности данных. |
| 8 |
На странице обзора инструмента настройки нажмите Начать. |
| 9 |
На странице Импорт ISO нажмите Да. |
| 10 |
Выберите ваш ISO-файл в браузере и загрузите его. |
| 11 |
Перейдите на вкладку Управление CMK-клиентами, где вы найдете следующие три способа управления CMK-клиентами.
|
| 12 |
После успешного отзыва CMK организация-клиент больше не будет отображаться в таблице. |
| 13 |
Если отзыв CMK не удался, появится сообщение об ошибке. |
Протестируйте развертывание гибридной системы безопасности данных
Протестируйте свое гибридное развертывание системы безопасности данных
Прежде чем начать
-
Настройте развертывание многопользовательской гибридной системы безопасности данных.
-
Убедитесь, что у вас есть доступ к системному журналу, чтобы убедиться, что ключевые запросы передаются в ваше развертывание многопользовательской гибридной системы безопасности данных.
| 1 |
Ключи для конкретного пространства устанавливаются создателем пространства. Войдите в приложение Webex как один из пользователей клиентской организации, а затем создайте пространство. Если вы деактивируете развертывание гибридной защиты данных, содержимое в пространствах, созданных пользователями, больше не будет доступно после замены кэшированных клиентом копий ключей шифрования. |
| 2 |
Отправляйте сообщения в новое пространство. |
| 3 |
Проверьте вывод системного журнала, чтобы убедиться, что ключевые запросы передаются в ваше развертывание гибридной системы безопасности данных. Если пользователь недавно добавленной организации клиента выполняет какие-либо действия, в журналах появляется идентификатор организации, который можно использовать для проверки того, использует ли организация Multi-Tenant HDS. Проверьте значение |
Мониторинг состояния безопасности гибридных данных
| 1 |
В Partner Hubвыберите Services в меню в левой части экрана. |
| 2 |
В разделе «Облачные сервисы» найдите пункт «Гибридная безопасность данных» и нажмите «Изменить настройки» . Откроется страница настроек безопасности гибридных данных.
|
| 3 |
В разделе «Уведомления по электронной почте» введите один или несколько адресов электронной почты, разделенных запятыми, и нажмите Enter. |
Управляйте развертыванием HDS
Управление развертыванием HDS
Используйте описанные здесь задачи для управления развертыванием гибридной системы безопасности данных.
Установить график обновления кластера
Чтобы настроить расписание обновлений:
| 1 |
Войдите в Partner Hub. |
| 2 |
В меню в левой части экрана выберите Услуги. |
| 3 |
В разделе «Облачные сервисы» найдите «Гибридная безопасность данных» и нажмите «Настроить» |
| 4 |
На странице «Ресурсы безопасности гибридных данных» выберите кластер. |
| 5 |
Нажмите на вкладку Параметры кластера. |
| 6 |
На странице «Параметры кластера» в разделе «Расписание обновлений» выберите время и часовой пояс для расписания обновлений. Примечание. Под часовым поясом отображается дата и время следующего доступного обновления. При необходимости вы можете отложить обновление на следующий день, нажав Отложить на 24 часа. |
Изменить конфигурацию узла
-
Изменение сертификатов x.509 по истечении срока действия или по другим причинам.
Изменение доменного имени CN сертификата не поддерживается. Домен должен совпадать с исходным доменом, использованным для регистрации кластера.
-
Обновление настроек базы данных для работы с копией базы данных PostgreSQL или Microsoft SQL Server.
Перенос данных с PostgreSQL на Microsoft SQL Server или в обратном направлении не поддерживается. Чтобы переключить среду базы данных, начните новое развертывание службы безопасности данных гибридного типа.
-
Создание новой конфигурации для подготовки нового центра обработки данных.
Из соображений безопасности для учетных записей в службе безопасности данных гибридного типа используются пароли со сроком действия 9 месяцев. После того как инструмент настройки HDS создаст эти пароли, вам нужно будет развернуть их в каждом из своих узлов HDS в файле конфигурации ISO. При приближении даты окончания срока действия пароля команда Webex пришлет вам уведомление с запросом на сброс пароля учетной записи компьютера. (В сообщении электронной почты будет текст "Использование API учетной записи компьютера для обновления пароля".) Если срок действия паролей еще не истек, средство предоставляет два варианта.
-
Мягкий сброс— Старый и новый пароли действуют до 10 дней. Используйте этот период для постепенной замены файла ISO на узлах.
-
Жесткий сброс— Старые пароли немедленно перестают работать.
Если срок действия ваших паролей истекает без сброса, это влияет на работу вашей службы HDS. В этом случае требуется немедленный жесткий сброс и замена файла ISO на всех узлах.
Используйте эту процедуру, чтобы создать новый файл конфигурации ISO и применить его к кластеру.
Прежде чем начать
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора партнера.
Если у вас нет лицензии Docker Desktop, вы можете использовать Podman Desktop для запуска инструмента настройки HDS для шагов 1.a–1.e в приведенной ниже процедуре. Подробную информацию см. в разделе Запуск средства настройки HDS с помощью Podman Desktop.
Если в вашей среде инструмент настройки HDS работает через прокси-сервер, укажите параметры прокси-сервера (сервер, порт, учетные данные) через переменные среды Docker при запуске контейнера Docker в 1.e. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-прокси без аутентификации
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-прокси с аутентификацией
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS-прокси с аутентификацией
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Для создания новой конфигурации потребуется копия текущего файла конфигурации ISO. Файл ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. Файл ISO необходим для изменения конфигурации, в том числе учетных данных базы данных, обновления сертификатов или изменения политики авторизации.
| 1 |
Запустите инструмент настройки HDS, используя Docker на локальной машине. |
| 2 |
Если у вас запущен только один узел HDS, создайте новую виртуальную машину узла Hybrid Data Security и зарегистрируйте ее с помощью нового файла конфигурации ISO. Более подробные инструкции см. в разделе Создание и регистрация дополнительных узлов. |
| 3 |
Для существующих узлов HDS, в которых используется старый файл конфигурации, необходимо установить файл ISO. Выполните следующую процедуру для каждого узла по очереди, обновив каждый узел до выключения следующего узла. |
| 4 |
Повторите шаг 3, чтобы заменить конфигурацию на каждом оставшемся узле со старой конфигурацией. |
Отключение режима блокировки разрешения внешних DNS
При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. Если DNS-сервер узла не может разрешать общедоступные имена DNS, узел автоматически переходит в режим блокировки разрешения внешних DNS.
Если узлы могут разрешать общедоступные имена DNS через внутренние DNS-серверы, можно отключить этот режим, повторно запустив тестирование подключения к прокси на каждом узле.
Прежде чем начать
| 1 |
В веб-браузере откройте интерфейс узла Hybrid Data Security (IP-адрес). address/setup, например, https://192.0.2.0/setup), введите учетные данные администратора, которые вы настроили для узла, а затем нажмите Войти. |
| 2 |
Перейдите к разделу Overview (Обзор) (страница по умолчанию). Если режим включен, параметр Blocked External DNS Resolution (Блокировка разрешения внешних DNS) должен иметь значение Yes (Да). |
| 3 |
Перейдите на страницу Trust Store & Proxy (Зона доверия и прокси). |
| 4 |
Щелкните Check Proxy Connection (Проверить соединение с прокси). Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу и он останется в этом режиме. В противном случае после перезапуска узла и возврата на страницу Overview (Обзор) параметр блокировки разрешения внешних DNS должен иметь значение No (Нет). |
Дальнейшие действия
Удалить узел
| 1 |
Используйте клиент VMware vSphere на своем компьютере для входа в виртуальный хост ESXi и выключения виртуальной машины. |
| 2 |
Удалить узел: |
| 3 |
В клиенте vSphere удалите виртуальную машину. (В левой навигационной панели щелкните правой кнопкой мыши виртуальную машину и выберите Удалить.) Если вы не удаляете виртуальную машину, не забудьте размонтировать ISO-файл конфигурации. Без ISO-файла вы не сможете использовать виртуальную машину для доступа к данным безопасности. |
Аварийное восстановление с использованием резервного центра обработки данных
Самая важная услуга, которую предоставляет ваш кластер гибридной безопасности данных, — это создание и хранение ключей, используемых для шифрования сообщений и другого контента, хранящегося в облаке Webex. Для каждого пользователя в организации, которому назначена гибридная безопасность данных, новые запросы на создание ключей направляются в кластер. Кластер также отвечает за возврат созданных им ключей всем пользователям, имеющим право их извлекать, например, участникам чата.
Поскольку кластер выполняет важнейшую функцию предоставления этих ключей, крайне важно, чтобы кластер продолжал работать и чтобы поддерживались надлежащие резервные копии. Потеря базы данных гибридной безопасности данных или конфигурации ISO, используемой для схемы, приведет к НЕВОССТАНОВИМОЙ ПОТЕРЕ клиентского контента. Для предотвращения таких потерь обязательны следующие меры:
Если в результате аварии развертывание HDS в основном центре обработки данных станет недоступно, выполните следующую процедуру, чтобы вручную выполнить аварийное переключение на резервный центр обработки данных.
Прежде чем начать
| 1 |
Запустите средство настройки HDS и следуйте инструкциям в разделе Создание ISO-образа конфигурации для хостов HDS. |
| 2 |
Завершите процесс настройки и сохраните ISO-файл в месте, которое будет легко найти. |
| 3 |
Создайте резервную копию ISO-файла на локальной системе. Сохраните резервную копию в надежном месте. Этот файл содержит главный ключ шифрования содержимого базы данных. Ограничьте доступ только тем администраторам гибридной безопасности данных, которые должны вносить изменения в конфигурацию. |
| 4 |
На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры. |
| 5 |
Нажмите Изменить настройки. >CD/DVD Диск 1 и выберите файл ISO хранилища данных. Убедитесь, что флажки Подключено и Подключаться при включении питания установлены, чтобы обновленные изменения конфигурации вступили в силу после запуска узлов. |
| 6 |
Включите узел HDS и убедитесь, что в течение как минимум 15 минут не будет никаких сигналов тревоги. |
| 7 |
Зарегистрируйте узел в партнерском хабе. Ссылка Зарегистрируйте первый узел в кластере. |
| 8 |
Повторите процесс для каждого узла в резервном центре обработки данных. |
Дальнейшие действия
(Необязательно) Размонтируйте ISO после настройки HDS
Стандартная конфигурация HDS работает с смонтированным ISO-образом. Однако некоторые клиенты предпочитают не оставлять ISO-файлы постоянно подключенными. Вы сможете размонтировать ISO-файл после того, как все узлы HDS примут новую конфигурацию.
Для внесения изменений в конфигурацию по-прежнему используются файлы ISO. При создании нового ISO-образа или обновлении ISO-образа с помощью инструмента настройки необходимо смонтировать обновленный ISO-образ на всех узлах HDS. После того, как все ваши узлы примут изменения конфигурации, вы можете снова размонтировать ISO-образ, выполнив эту процедуру.
Прежде чем начать
Обновите все ваши узлы HDS до версии 2021.01.22.4720 или более поздней.
| 1 |
Отключите один из узлов HDS. |
| 2 |
В vCenter Server Appliance выберите узел HDS. |
| 3 |
Выберите и снимите флажок Файл ISO хранилища данных. |
| 4 |
Включите узел HDS и убедитесь, что в течение как минимум 20 минут не будет никаких сигналов тревоги. |
| 5 |
Повторите эти действия для каждого узла HDS по очереди. |
Устранение неполадок безопасности гибридных данных
Просмотр оповещений и устранение неполадок
Развертывание гибридной системы безопасности данных считается недоступным, если все узлы в кластере недоступны или кластер работает настолько медленно, что запросы обрабатываются с задержкой. Если пользователи не могут получить доступ к вашему кластеру гибридной безопасности данных, они испытывают следующие симптомы:
-
Новые пространства не могут быть созданы (невозможно создать новые ключи)
-
Сообщения и заголовки пространств не расшифровываются для:
-
Новые пользователи добавлены в пространство (невозможно получить ключи)
-
Существующие пользователи в пространстве используют новый клиент (невозможно получить ключи)
-
-
Существующие пользователи в пространстве будут продолжать успешно работать до тех пор, пока у их клиентов есть кэш ключей шифрования.
Важно, чтобы вы надлежащим образом контролировали свой кластер гибридной безопасности данных и оперативно реагировали на любые оповещения, чтобы избежать перебоев в обслуживании.
Предупреждения
Если возникают проблемы с настройкой гибридной безопасности данных, Partner Hub отображает оповещения администратору организации и отправляет электронные письма на настроенный адрес электронной почты. Оповещения охватывают множество распространенных сценариев.
|
Предупреждать |
Действие |
|---|---|
|
Ошибка доступа к локальной базе данных. |
Проверьте наличие ошибок базы данных или проблем с локальной сетью. |
|
Ошибка подключения к локальной базе данных. |
Проверьте, доступен ли сервер базы данных и использовались ли правильные учетные данные учетной записи службы при настройке узла. |
|
Ошибка доступа к облачному сервису. |
Проверьте, могут ли узлы получить доступ к серверам Webex, как указано в Требованиях к внешнему подключению. |
|
Продление регистрации облачного сервиса. |
Регистрация в облачных сервисах прекращена. Продление регистрации находится в процессе. |
|
Регистрация облачного сервиса прекращена. |
Регистрация в облачных сервисах прекращена. Сервис закрывается. |
|
Услуга еще не активирована. |
Активируйте HDS в Partner Hub. |
|
Настроенный домен не соответствует сертификату сервера. |
Убедитесь, что сертификат вашего сервера соответствует настроенному домену активации службы. Наиболее вероятная причина заключается в том, что CN-номер сертификата был недавно изменен и теперь отличается от CN, который использовался при первоначальной настройке. |
|
Не удалось выполнить аутентификацию в облачных сервисах. |
Проверьте точность и возможный срок действия учетных данных сервисной учетной записи. |
|
Не удалось открыть локальный файл хранилища ключей. |
Проверьте целостность и правильность пароля в локальном файле хранилища ключей. |
|
Сертификат локального сервера недействителен. |
Проверьте дату истечения срока действия сертификата сервера и убедитесь, что он был выдан доверенным центром сертификации. |
|
Невозможно опубликовать метрики. |
Проверьте доступ локальной сети к внешним облачным сервисам. |
|
/media/configdrive/hds каталог не существует. |
Проверьте конфигурацию монтирования ISO на виртуальном хосте. Убедитесь, что файл ISO существует, настроен на монтирование при перезагрузке и успешно монтируется. |
|
Настройка организации-арендатора не завершена для добавленных организаций |
Завершите настройку, создав CMK для новых организаций-арендаторов с помощью инструмента настройки HDS. |
|
Настройка организации-арендатора не завершена для удаленных организаций |
Завершите настройку, отозвав CMK организаций-арендаторов, которые были удалены с помощью инструмента настройки HDS. |
Устранение неполадок безопасности гибридных данных
| 1 |
Проверьте Partner Hub на наличие оповещений и исправьте все обнаруженные там ошибки. Для справки смотрите изображение ниже. |
| 2 |
Проверьте выходные данные сервера syslog на предмет активности развертывания гибридной системы безопасности данных. Фильтруйте по таким словам, как «Предупреждение» и «Ошибка», чтобы облегчить устранение неполадок. |
| 3 |
Обратитесь в службу поддержки Cisco. |
Другие заметки
Известные проблемы безопасности гибридных данных
-
Если вы отключите кластер гибридной безопасности данных (удалив его в Partner Hub или отключив все узлы), потеряете файл конфигурации ISO или потеряете доступ к базе данных хранилища ключей, пользователи приложения Webex из организаций клиентов больше не смогут использовать пространства в своем списке людей, созданные с помощью ключей из вашего KMS. В настоящее время у нас нет способа обойти или исправить эту проблему, и мы настоятельно рекомендуем вам не отключать службы HDS, пока они обрабатывают активные учетные записи пользователей.
-
Клиент, имеющий существующее подключение ECDH к KMS, поддерживает это подключение в течение определенного периода времени (вероятно, одного часа).
Запустите средство настройки HDS с помощью Podman Desktop
Podman — это бесплатный инструмент управления контейнерами с открытым исходным кодом, который позволяет запускать, управлять и создавать контейнеры. Podman Desktop можно загрузить с https://podman-desktop.io/downloads.
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить к нему доступ, загрузите и запустите Podman на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Control Hub с полными правами администратора вашей организации.
Если в вашей среде инструмент настройки HDS работает через прокси-сервер, укажите параметры прокси-сервера (сервер, порт, учетные данные) через переменные среды Docker при запуске контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-прокси без аутентификации
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-прокси с аутентификацией
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS-прокси с аутентификацией
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Создаваемый вами файл конфигурации ISO содержит главный ключ, шифрующий базу данных PostgreSQL или Microsoft SQL Server. Последняя копия этого файла необходима вам всякий раз, когда вы вносите изменения в конфигурацию, например:
-
Учетные данные базы данных
-
Обновления сертификатов
-
Изменения в политике авторизации
-
-
Если вы планируете шифровать соединения с базой данных, настройте развертывание PostgreSQL или SQL Server для TLS.
В процессе настройки гибридной защиты данных создается ISO-файл. Затем вы используете ISO для настройки хоста гибридной безопасности данных.
| 1 |
Введите соответствующую команду для вашей среды в командной строке компьютера. В обычных средах: В средах FedRAMP: На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать. |
| 2 |
Чтобы войти в реестр образов Docker, введите следующее. |
| 3 |
Введите в запросе пароля этот хеш: |
| 4 |
Скачайте последнюю стабильную версию образа для вашей среды. В обычных средах: В средах FedRAMP: |
| 5 |
По завершении скачивания введите соответствующую команду для вашей среды.
Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080". |
Дальнейшие действия
Переместите существующее развертывание однопользовательской HDS партнерской организации в Control Hub в многопользовательскую настройку HDS в Partner Hub.
Преобразование существующего однопользовательского развертывания HDS партнерской организации, управляемого в Control Hub, в многопользовательское развертывание HDS, управляемое в Partner Hub, в первую очередь включает деактивацию службы HDS в Control Hub, отмену регистрации узлов и удаление кластера. Затем вы можете войти в Partner Hub, зарегистрировать узлы, активировать Multi-Tenant HDS и добавить клиентов в свой кластер.
Термин «однопользовательская» просто относится к существующему развертыванию HDS в Control Hub.
Деактивируйте HDS, отмените регистрацию узлов и удалите кластер в Control Hub
| 1 |
Войдите в Control Hub. На левой панели нажмите Гибрид. На карте «Безопасность гибридных данных» нажмите Изменить настройки. |
| 2 |
На странице настроек прокрутите страницу вниз до раздела «Деактивировать» и нажмите Деактивировать. |
| 3 |
После деактивации нажмите на вкладку Ресурсы. |
| 4 |
На странице Ресурсы перечислены кластеры в вашем развертывании HDS. При нажатии на кластер открывается страница со всеми узлами этого кластера. |
| 5 |
Нажмите ... справа и нажмите Отменить регистрацию узла. Повторите процесс для всех узлов кластера. |
| 6 |
Если в вашем развертывании имеется несколько кластеров, повторяйте шаги 4 и 5, пока все узлы не будут отменены. |
| 7 |
Нажмите Настройки кластера. > Удалять. |
| 8 |
Нажмите Подтвердить удаление, чтобы отменить регистрацию кластера. |
| 9 |
Повторите процесс для всех кластеров в вашем развертывании HDS. После деактивации HDS, отмены регистрации узлов и удаления кластеров на карте гибридной службы данных на Control Hub внизу будет отображаться сообщение Настройка не завершена. |
Активируйте Multi-Tenant HDS для партнерской организации в Partner Hub и добавьте клиентов
Прежде чем начать
Все предварительные условия, упомянутые в Требованиях к безопасности многопользовательских гибридных данных, применимы и здесь. Кроме того, убедитесь, что при переходе на Multi-Tenant HDS используются те же база данных и сертификаты.
| 1 |
Войдите в партнерский центр. Нажмите Услуги на левой панели. Для настройки узлов используйте тот же ISO-образ из предыдущего развертывания HDS. Это гарантирует, что сообщения и контент, созданные пользователями в предыдущем развертывании HDS, по-прежнему будут доступны в новой многопользовательской настройке. |
| 2 |
В разделе «Облачные сервисы» найдите карточку «Гибридная безопасность данных» и нажмите Настроить. |
| 3 |
На открывшейся странице нажмите Добавить ресурс. |
| 4 |
В первом поле карточки Добавить узел введите имя кластера, которому вы хотите назначить свой узел гибридной безопасности данных. Мы рекомендуем вам называть кластер на основе географического расположения узлов кластера. Примеры: «Сан-Франциско» или «Нью-Йорк» или «Даллас». |
| 5 |
Во втором поле введите внутренний IP-адрес или полное доменное имя (FQDN) вашего узла и нажмите Добавить в нижней части экрана. Этот IP-адрес или полное доменное имя должны совпадать с IP-адресом или именем хоста и доменом, которые вы использовали в Настройка гибридной виртуальной машины безопасности данных. Появится сообщение о том, что вы можете зарегистрировать свой узел в Webex.
|
| 6 |
Нажмите Перейти к узлу. Через несколько секунд вы будете перенаправлены на страницу проверки подключения узлов для служб Webex. Если все тесты пройдены успешно, откроется страница «Разрешить доступ к узлу безопасности гибридных данных». Там вы подтверждаете, что хотите предоставить своей организации Webex разрешения на доступ к вашему узлу. |
| 7 |
Установите флажок Разрешить доступ к вашему гибридному узлу безопасности данных, а затем нажмите Продолжить. Ваша учетная запись проверена, и сообщение «Регистрация завершена» указывает на то, что ваш узел теперь зарегистрирован в облаке Webex. На странице Гибридная безопасность данных новый кластер, содержащий зарегистрированный вами узел, отображается на вкладке Ресурсы. Узел автоматически загрузит последнюю версию программного обеспечения из облака.
|
| 8 |
Перейдите на вкладку Настройки и нажмите Активировать на карточке состояния HDS. В нижней части экрана появится сообщение об активации HDS.
|
| 9 |
В разделе Ресурсыщелкните по недавно созданному кластеру. |
| 10 |
На открывшейся странице нажмите на вкладку Назначенные клиенты. |
| 11 |
Нажмите Добавить клиентов. |
| 12 |
Выберите клиента, которого вы хотите добавить, из выпадающего меню. |
| 13 |
Нажмите Добавить, клиент будет добавлен в кластер. |
| 14 |
Повторите шаги 11–13, чтобы добавить в кластер нескольких клиентов. |
| 15 |
После добавления клиентов нажмите Готово в нижней части экрана. |
Дальнейшие действия
Используйте OpenSSL для создания файла PKCS12
Прежде чем начать
-
OpenSSL — это один из инструментов, который можно использовать для создания файла PKCS12 в нужном формате для загрузки в HDS Setup Tool. Существуют и другие способы сделать это, и мы не поддерживаем и не продвигаем какой-либо один способ в ущерб другому.
-
Если вы все же решите использовать OpenSSL, мы предлагаем вам эту процедуру в качестве руководства, которое поможет вам создать файл, отвечающий требованиям сертификата X.509, изложенным в Требованиях к сертификату X.509. Прежде чем продолжить, ознакомьтесь с этими требованиями.
-
Установите OpenSSL в поддерживаемой среде. Программное обеспечение и документацию см. в https://www.openssl.org.
-
Создайте закрытый ключ.
-
Начните эту процедуру после получения сертификата сервера от вашего центра сертификации (CA).
| 1 |
Получив сертификат сервера от вашего центра сертификации, сохраните его как |
| 2 |
Отобразите сертификат в виде текста и проверьте данные.
|
| 3 |
Используйте текстовый редактор для создания файла пакета сертификатов с именем
|
| 4 |
Создайте файл . p12 с понятным именем
|
| 5 |
Проверьте данные сертификата сервера. |
Дальнейшие действия
Вернуться к Выполните предварительные условия для гибридной безопасности данных. Файл hdsnode.p12 и установленный для него пароль будут использоваться в Создание ISO-образа конфигурации для хостов HDS.
Вы можете повторно использовать эти файлы для запроса нового сертификата по истечении срока действия исходного сертификата.
Трафик между узлами HDS и облаком
Сбор исходящих метрик Трафик
Узлы гибридной безопасности данных отправляют определенные показатели в облако Webex. К ним относятся системные метрики для максимального объема кучи, используемой кучи, загрузки ЦП и количества потоков; метрики синхронных и асинхронных потоков; метрики оповещений, включающих пороговое значение шифрованных соединений, задержку или длину очереди запросов; метрики хранилища данных; и метрики шифрованных соединений. Узлы отправляют зашифрованный ключевой материал по внеполосному (отдельному от запроса) каналу.
Входящий трафик
Узлы гибридной безопасности данных получают следующие типы входящего трафика из облака Webex:
-
Запросы на шифрование от клиентов, которые маршрутизируются службой шифрования
-
Обновления программного обеспечения узла
Настройка прокси Squid для безопасности данных гибридного типа
Невозможно выполнить подключение веб-сокетов через прокси Squid
Прокси-серверы Squid, проверяющие трафик HTTPS, могут мешать установлению соединений websocket (wss:), необходимых для гибридной безопасности данных. В этих разделах приводятся рекомендации по настройке различных версий Squid для игнорирования wss: трафика для правильной работы служб.
Squid 4 и 5
Добавьте директиву on_unsupported_protocol к squid.conf:
on_unsupported_protocol tunnel allSquid 3.5.27
Мы успешно протестировали гибридную безопасность данных, добавив следующие правила в squid.conf. Эти правила могут изменяться по мере разработки функций и обновления облака Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allНовая и измененная информация
Новая и измененная информация
В этой таблице описываются новые функции или возможности, изменения существующего контента, а также любые серьезные ошибки, которые были исправлены в Руководстве по развертыванию многопользовательской гибридной системы безопасности данных.
|
Дата |
Внесены изменения |
|---|---|
|
21 ноября 2025 г. |
|
|
8 мая 2025 г. |
|
| 4 марта 2025 г. |
|
|
30 января 2025 г. |
Добавлена версия SQL-сервера 2022 в список поддерживаемых SQL-серверов в Требования к серверу базы данных. |
|
15 января 2025 г. |
Добавлены Ограничения многопользовательской гибридной безопасности данных. |
|
8 января 2025 г. |
Добавлено примечание в Выполнение первоначальной настройки и загрузка установочных файлов, в котором говорится, что нажатие Настроить на карте HDS в Partner Hub является важным этапом процесса установки. |
|
7 января 2025 г. |
Обновлены Требования к виртуальному хосту, Поток задач развертывания гибридной системы безопасности данныхи Установка OVA хоста HDS, чтобы отобразить новые требования ESXi 7.0. |
|
13 декабря 2024 г. |
Впервые опубликовано. |
Деактивировать многопользовательскую гибридную защиту данных
Поток задач деактивации многопользовательской HDS
Выполните следующие действия, чтобы полностью деактивировать Multi-Tenant HDS.
Прежде чем начать
| 1 |
Удалите всех клиентов из всех ваших кластеров, как указано в разделе Удаление организаций-арендаторов. |
| 2 |
Отозвать CMK всех клиентов, как указано в Отозвать CMK арендаторов, удаленных из HDS.. |
| 3 |
Удалите все узлы из всех ваших кластеров, как указано в разделе Удаление узла. |
| 4 |
Удалите все свои кластеры из Partner Hub, используя один из следующих двух методов.
|
| 5 |
Нажмите на вкладку Настройки на странице обзора гибридной безопасности данных и нажмите Деактивировать HDS на карточке состояния HDS. |
Вопросы и ответы
Вопросы и ответы
В. Хранятся ли CMK и главный ключ в ISO или в базе данных?
О. Основные ключи клиента (CMK) хранятся в базе данных и шифруются с помощью главного ключа, который хранится в ISO.
В. Используется ли один ключ для шифрования всех данных организаций-клиентов?
О. Нет. Данные каждой организации-клиента шифруются с помощью собственного CMK (основного ключа клиента).
В. Что произойдет, если я отключу HDS в Partner Hub?
О. Некоторые операции, такие как создание пространства и планирование встреч, будут затронуты немедленно. Существующий контент в пространствах будет доступен до истечения срока действия локального кэша. Через 24 часа пользователи, управляемые партнером, переключатся на Cloud KMS, а с ранее созданными пространствами и индивидуальными пространствами могут возникнуть проблемы.
В. После того, как CMK сгенерирован для клиентской организации с помощью инструмента настройки HDS, могут ли пользователи клиентской организации немедленно начать использовать Multi-Tenant HDS?
О. Максимальная задержка обновления облачного кэша может составлять 24 часа.
В. Почему я не вижу список клиентов, когда нажимаю кнопку «Добавить клиентов» в Partner Hub?
О. Обычно это означает, что нет организаций-клиентов, которые соответствуют требованиям к лицензии Cisco Webex.
В. Каковы будут последствия отключения всех узлов HDS или если сетевая проблема затронет все узлы HDS?
О. Такие операции, как создание пространств и планирование встреч, будут затронуты немедленно. Существующий контент доступен только до истечения срока действия локального кэша.
В. Шифруются ли пользовательские данные партнерской организации с помощью главного ключа, сгенерированного во время создания ISO?
О. Да. В настоящее время данные пользователей партнерской организации шифруются с помощью главного ключа. В будущем партнерские организации будут иметь специфичные для партнера ключи, аналогичные клиентским CMK.
В. Могут ли организация-партнер и организация-арендатор находиться в разных регионах (например, в США и ЕС)?
О. Да. Организации-партнеры и арендаторы могут находиться в разных географических регионах.
В. Существует ли какой-либо механизм возврата ключей в Cloud KMS?
О. Механизма возврата ключей в облако после развертывания HDS не предусмотрено.
В. Может ли партнер продолжать использовать Cloud KMS и использовать Multi-Tenant HDS исключительно для управления клиентами?
О. Нет, в настоящее время эта функция не поддерживается. Поддержка этой функциональности запланирована на будущее.
В. Как партнер может проверить, использует ли его организация Multi-Tenant HDS для шифрования?
О. Войдите в партнерский центр. Перейти к Услуги > Гибридная безопасность данных > Настройки . Если статус HDS активирован, пользователи партнерской организации, а также назначенные клиенты используют Multi-Tenant HDS.
Кроме того, вы можете проверить системные журналы, чтобы убедиться, что HDS активирован. См. Тестирование гибридного развертывания системы безопасности данных.
В. Существует ли альтернатива Docker Desktop для запуска инструмента настройки HDS?
О. Да. Pod man Desktop — это альтернатива Docker Desktop с открытым исходным кодом. См. Запуск инструмента настройки HDS с помощью Podman Desktop.
В. Сколько узлов я могу развернуть в многопользовательском кластере HDS?
О. Мы рекомендуем минимум два узла и максимум 1000.
В. Какие сетевые требования необходимы для настройки Multi-Tenant HDS?
В. Является ли Pro Pack для Control Hub обязательным требованием для партнерских организаций?
О. Нет. Pro Pack не является обязательным требованием для партнерских организаций. Обратитесь к своему партнеру Cisco или менеджеру по работе с клиентами за помощью в настройке Multi-Tenant HDS.
В. Поддерживается ли HSM в Multi-Tenant HDS?
О. Нет, в настоящее время Multi-Tenant HDS не поддерживает HSM.
В. Могу ли я протестировать Multi-Tenant HDS с помощью самоподписанного сертификата?
О. Нет. Для Multi-Tenant HDS требуется сертификат, полученный от доверенного центра сертификации, который соответствует всем требованиям, указанным в Требованиях к сертификатам X.509.
В. Нужно ли монтировать ISO-образ каждый раз при добавлении нового клиента в Partner Hub?
О. Нет. ISO-образ необходимо монтировать только при изменении конфигураций ISO. При добавлении нового клиента в Partner Hub убедитесь, что вы можете создавать CMK с помощью инструмента настройки HDS. См. Создание основных ключей клиентов (CMK) с помощью инструмента настройки HDS.
В. После развертывания Multi-Tenant HDS на Partner Hub, начнут ли пользователи партнерской организации использовать локальную KMS для управления ключами?
О. Пользователи начнут использовать локальную систему KMS для управления ключами только после активации HDS в Partner Hub.
Начните работу с многопользовательской гибридной системой безопасности данных
Обзор безопасности многопользовательских гибридных данных
С самого начала при разработке приложения Webex основное внимание уделялось безопасности данных. Краеугольным камнем этой безопасности является сквозное шифрование контента, которое обеспечивается клиентами приложения Webex, взаимодействующими со службой управления ключами (KMS). KMS отвечает за создание и управление криптографическими ключами, которые используются клиентами для динамического шифрования и расшифровки сообщений и файлов.
По умолчанию все клиенты приложения Webex получают сквозное шифрование с динамическими ключами, хранящимися в облаке KMS в сфере безопасности Cisco. Служба безопасности данных гибридного типа перемещает KMS и другие функции безопасности в корпоративный центр обработки данных, поэтому доступ к ключам для зашифрованного контента будет только у вас.
Многопользовательская гибридная система безопасности данных позволяет организациям использовать HDS через доверенного локального партнера, который может выступать в качестве поставщика услуг и управлять локальным шифрованием и другими службами безопасности. Такая настройка позволяет партнерской организации иметь полный контроль над развертыванием и управлением ключами шифрования, а также обеспечивает безопасность пользовательских данных организаций-клиентов от внешнего доступа. Партнерские организации настраивают экземпляры HDS и создают кластеры HDS по мере необходимости. Каждый экземпляр может поддерживать несколько организаций-клиентов, в отличие от обычного развертывания HDS, которое ограничено одной организацией.
Это также позволяет небольшим организациям использовать HDS, поскольку служба управления ключами и инфраструктура безопасности, например центры обработки данных, принадлежат доверенному локальному партнеру.
Как многопользовательская гибридная система безопасности данных обеспечивает суверенитет данных и контроль над ними
- Пользовательский контент защищен от внешнего доступа, например от поставщиков облачных услуг.
- Местные доверенные партнеры управляют ключами шифрования клиентов, с которыми у них уже налажены отношения.
- Возможность локальной технической поддержки, если она предоставляется партнером.
- Поддерживает контент встреч, обмена сообщениями и звонков.
Целью настоящего документа является оказание помощи партнерским организациям в настройке и управлении клиентами в рамках многопользовательской гибридной системы безопасности данных.
Ограничения многопользовательской гибридной безопасности данных
- У партнерских организаций не должно быть активных развертываний HDS в Control Hub.
- Организации-арендаторы или клиенты, желающие, чтобы ими управлял партнер, не должны иметь существующих развертываний HDS в Control Hub.
- После развертывания партнером Multi-Tenant HDS все пользователи организаций-клиентов, а также пользователи организации-партнера начинают использовать Multi-Tenant HDS для своих сервисов шифрования.
Партнерская организация и клиентские организации, которыми они управляют, будут находиться в одном и том же развертывании Multi-Tenant HDS.
Партнерская организация больше не будет использовать облачный KMS после развертывания Multi-Tenant HDS.
- Механизма возврата ключей в Cloud KMS после развертывания HDS не предусмотрено.
- Роли администратора имеют определенные ограничения; подробности см. в разделе ниже.
Роли в многопользовательской гибридной безопасности данных
- Партнер с полными правами администратора — Может управлять настройками для всех клиентов, которыми управляет партнер. Также может назначать роли администратора существующим пользователям в организации и назначать определенных клиентов, которыми будут управлять администраторы партнера.
- Администратор партнера — Может управлять настройками для клиентов, предоставленных администратором или назначенных пользователю.
- Полный администратор — администратор партнерской организации, который уполномочен выполнять такие задачи, как изменение настроек организации, управление лицензиями и назначение ролей.
- Настройка сквозной многопользовательской HDS-системы и управление всеми организациями-клиентами — Требуются права полного администратора и полного администратора партнера.
- Управление назначенными организациями-арендаторами — требуются права администратора-партнера и полные права администратора.
Архитектура сферы безопасности
Облачная архитектура Webex разделяет различные типы сервисов на отдельные области или домены доверия, как показано ниже.
Чтобы лучше понять концепцию гибридной безопасности данных, давайте сначала рассмотрим чисто облачный случай, в котором Cisco предоставляет все функции в своих облачных средах. Служба идентификации — единственное место, где пользователи могут быть напрямую соотнесены с их личной информацией, например адресом электронной почты, — логически и физически отделена от области безопасности в центре обработки данных B. Обе, в свою очередь, отделены от области, где в конечном итоге хранится зашифрованный контент, в центре обработки данных C.
На этой схеме клиентом является приложение Webex, работающее на ноутбуке пользователя и прошедшее аутентификацию в службе удостоверений. Когда пользователь составляет сообщение для отправки в пространство, происходят следующие шаги:
-
Клиент устанавливает защищенное соединение со службой управления ключами (KMS), затем запрашивает ключ для шифрования сообщения. Защищенное соединение использует ECDH, а KMS шифрует ключ с помощью главного ключа AES-256.
-
Сообщение шифруется перед отправкой клиенту. Клиент отправляет его в службу индексации, которая создает зашифрованные поисковые индексы для облегчения будущих поисков контента.
-
Зашифрованное сообщение отправляется в службу соответствия для проверки соответствия.
-
Зашифрованное сообщение сохраняется в области хранения.
При развертывании гибридной системы безопасности данных вы переносите функции сферы безопасности (KMS, индексирование и соответствие требованиям) в локальный центр обработки данных. Другие облачные сервисы, входящие в состав Webex (включая хранилище идентификационных данных и контента), остаются в ведении Cisco.
Сотрудничество с другими организациями
Пользователи в вашей организации могут регулярно использовать приложение Webex для совместной работы с внешними участниками из других организаций. Когда один из ваших пользователей запрашивает ключ для пространства, принадлежащего вашей организации (поскольку оно было создано одним из ваших пользователей), ваша KMS отправляет ключ клиенту по защищенному каналу ECDH. Однако если ключом к пространству владеет другая организация, ваша KMS направляет запрос в облако Webex через отдельный канал ECDH для получения ключа от соответствующей KMS, а затем возвращает ключ вашему пользователю по исходному каналу.
Служба KMS, работающая в Org A, проверяет соединения с KMS в других организациях, используя сертификаты x.509 PKI. Подробную информацию о создании сертификата x.509 для использования с вашим развертыванием многопользовательской гибридной системы безопасности данных см. в разделе Подготовка вашей среды.
Ожидания от развертывания гибридной системы безопасности данных
Развертывание гибридной системы безопасности данных требует значительной приверженности и понимания рисков, связанных с владением ключами шифрования.
Для развертывания гибридной системы безопасности данных необходимо предоставить:
-
Безопасный центр обработки данных в стране, которая является поддерживаемым местоположением для планов Cisco Webex Teams.
-
Оборудование, программное обеспечение и сетевой доступ, описанные в разделе Подготовьте свою среду.
Полная потеря либо образа конфигурации ISO, созданного вами для гибридной безопасности данных, либо предоставленной вами базы данных приведет к потере ключей. Потеря ключа не позволит пользователям расшифровать контент пространства и другие зашифрованные данные в приложении Webex. Если это произойдет, вы можете создать новое развертывание, но виден будет только новый контент. Чтобы избежать потери доступа к данным, необходимо:
-
Управление резервным копированием и восстановлением базы данных и ISO-образа конфигурации.
-
Будьте готовы выполнить быстрое аварийное восстановление в случае возникновения катастрофы, например, сбоя диска базы данных или аварии центра обработки данных.
Механизма возврата ключей в облако после развертывания HDS не предусмотрено.
Процесс настройки высокого уровня
В этом документе описывается настройка и управление развертыванием многопользовательской гибридной системы безопасности данных:
-
Настройка гибридной системы безопасности данных— Сюда входит подготовка необходимой инфраструктуры и установка программного обеспечения гибридной системы безопасности данных, построение кластера HDS, добавление организаций-арендаторов в кластер и управление их основными ключами клиентов (CMK). Это позволит всем пользователям ваших организаций-клиентов использовать ваш кластер гибридной защиты данных для выполнения функций безопасности.
Фазы настройки, активации и управления подробно рассматриваются в следующих трех главах.
-
Поддерживайте свое гибридное развертывание системы безопасности данных— Облако Webex автоматически предоставляет текущие обновления. Ваш ИТ-отдел может обеспечить поддержку первого уровня для этого развертывания и при необходимости обратиться за поддержкой Cisco. В Partner Hub вы можете использовать экранные уведомления и настраивать оповещения по электронной почте.
-
Ознакомьтесь с распространенными оповещениями, шагами по устранению неполадок и известными проблемами— Если у вас возникли проблемы при развертывании или использовании гибридной системы безопасности данных, последняя глава этого руководства и приложение «Известные проблемы» могут помочь вам определить и устранить проблему.
Гибридная модель развертывания безопасности данных
В вашем корпоративном центре обработки данных вы развертываете гибридную систему безопасности данных как единый кластер узлов на отдельных виртуальных хостах. Узлы взаимодействуют с облаком Webex через защищенные веб-сокеты и защищенный протокол HTTP.
В процессе установки мы предоставим вам OVA-файл для настройки виртуального устройства на предоставленных вами виртуальных машинах. С помощью инструмента настройки HDS вы создаете пользовательский файл конфигурации кластера ISO, который монтируете на каждом узле. Гибридный кластер безопасности данных использует предоставленный вами сервер Syslogd и базу данных PostgreSQL или Microsoft SQL Server. (Настройка Syslogd и параметров подключения к базе данных выполняется в инструменте настройки HDS.)
Минимальное количество узлов в кластере — два. Мы рекомендуем использовать не менее трех экземпляров на кластер. Наличие нескольких узлов гарантирует, что обслуживание не будет прерываться во время обновления программного обеспечения или других работ по техническому обслуживанию на узле. (Облако Webex обновляет только один узел за раз.)
Все узлы в кластере имеют доступ к одному и тому же хранилищу ключевых данных и регистрируют активность на одном и том же сервере syslog. Сами узлы не имеют состояния и обрабатывают ключевые запросы циклически, в соответствии с указаниями облака.
Узлы становятся активными после их регистрации в Partner Hub. Чтобы вывести отдельный узел из эксплуатации, вы можете отменить его регистрацию, а затем при необходимости перерегистрировать его.
Резервный центр обработки данных для аварийного восстановления
Во время развертывания вы настраиваете безопасный резервный центр обработки данных. В случае аварии в центре обработки данных вы можете вручную перенести развертывание на резервный центр обработки данных.
Базы данных активного и резервного центров обработки данных синхронизированы друг с другом, что позволяет минимизировать время, необходимое для выполнения аварийного переключения.
Активные узлы гибридной безопасности данных всегда должны находиться в том же центре обработки данных, что и активный сервер базы данных.
Создайте резервный центр обработки данных для аварийного восстановления
Чтобы настроить ISO-файл резервного центра обработки данных, выполните следующие действия:
Прежде чем начать
-
Резервный центр обработки данных должен зеркалировать производственную среду виртуальных машин и резервную базу данных PostgreSQL или Microsoft SQL Server. Например, если в производственной среде имеется 3 виртуальные машины, на которых работают узлы HDS, в резервной среде должно быть 3 виртуальные машины. (Обзор этой модели отказоустойчивости см. в разделе Резервный центр обработки данных для аварийного восстановления.)
-
Убедитесь, что синхронизация базы данных включена между базой данных активного и пассивного узлов кластера.
| 1 |
Запустите средство настройки HDS и следуйте инструкциям в разделе Создание образа ISO конфигурации для хостов HDS. Файл ISO должен быть копией исходного файла ISO основного центра обработки данных, в который будут внесены следующие обновления конфигурации. |
| 2 |
После настройки сервера Syslogd нажмите Дополнительные параметры |
| 3 |
На странице Дополнительные параметры добавьте указанную ниже конфигурацию, чтобы перевести узел в пассивный режим. В этом режиме узел будет зарегистрирован в организации и подключен к облаку, но не будет обрабатывать никакой трафик.
|
| 4 |
Завершите процесс настройки и сохраните ISO-файл в месте, которое легко найти. |
| 5 |
Создайте резервную копию ISO-файла на локальной системе. Сохраните резервную копию в надежном месте. Этот файл содержит главный ключ шифрования содержимого базы данных. Ограничьте доступ только тем администраторам гибридной безопасности данных, которые должны вносить изменения в конфигурацию. |
| 6 |
На левой навигационной панели клиента VMware vSphere щелкните правой кнопкой мыши виртуальную машину и выберите Изменить параметры.. |
| 7 |
Нажмите Изменить настройки. >CD/DVD Диск 1 и выберите файл ISO хранилища данных. Убедитесь, что флажки Подключено и Подключаться при включении питания установлены, чтобы обновленные изменения конфигурации вступили в силу после запуска узлов. |
| 8 |
Включите узел HDS и убедитесь, что в течение как минимум 15 минут не будет никаких сигналов тревоги. |
| 9 |
Повторите процесс для каждого узла в резервном центре обработки данных. Проверьте системные журналы, чтобы убедиться, что узлы находятся в пассивном режиме. В системных журналах вы должны увидеть сообщение «KMS настроен в пассивном режиме». |
Дальнейшие действия
После настройки passiveMode в ISO-файле и его сохранения вы можете создать еще одну копию ISO-файла без конфигурации passiveMode и сохранить ее в безопасном месте. Эта копия файла ISO без настроенных passiveMode может помочь в быстром процессе переключения при аварийном восстановлении. Подробную процедуру аварийного переключения см. в разделе Восстановление после сбоя с использованием резервного центра обработки данных.
Поддержка прокси
Служба безопасности данных гибридного типа поддерживает явные прокси, прозрачные прокси с проверкой и прокси без проверки. Чтобы обеспечить защиту и мониторинг трафика из сети предприятия в облако, можно связать эти прокси с развертыванием. После настройки прокси на узлах административный интерфейс платформы на узлах можно использовать для управления сертификатами и просмотра общего состояния соединений.
Узлы безопасности данных гибридного типа поддерживают указанные далее параметры прокси.
-
Без прокси— по умолчанию, если вы не используете настройку узла HDS Trust Store & Конфигурация прокси-сервера для интеграции прокси-сервера. Обновление сертификата не требуется.
-
Прозрачный непроверяющий прокси-сервер— узлы не настроены на использование определенного адреса прокси-сервера и не должны требовать никаких изменений для работы с непроверяющим прокси-сервером. Обновление сертификата не требуется.
-
Прозрачное туннелирование или проверка прокси-сервера— Узлы не настроены на использование определенного адреса прокси-сервера. На узлах не нужно изменять конфигурацию HTTP или HTTPS. Как бы то ни было, для обеспечения доверия прокси узлам необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже HTTPS).
-
Явный прокси— При использовании явного прокси вы указываете узлам HDS, какой прокси-сервер и схему аутентификации использовать. Для настройки явного прокси на каждом узле нужно ввести следующую информацию.
-
Прокси IP/FQDN— Адрес, который можно использовать для доступа к прокси-машине.
-
Порт прокси-сервера— номер порта, который прокси-сервер использует для прослушивания прокси-трафика.
-
Протокол прокси-сервера— В зависимости от того, что поддерживает ваш прокси-сервер, выберите один из следующих протоколов:
-
HTTP – просматривает все запросы, отправляемые клиентом, и управляет этими запросами.
-
HTTPS – обеспечивает работу канала связи с сервером. Клиент получает и проверяет сертификат сервера.
-
-
Тип аутентификации— выберите один из следующих типов аутентификации:
-
Нет— Дальнейшая аутентификация не требуется.
Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.
-
Базовый— используется HTTP-агентом пользователя для предоставления имени пользователя и пароля при выполнении запроса. Использует кодировку Base64.
Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.
Требует ввода имени пользователя и пароля на каждом узле.
-
Дайджест— используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети.
Этот параметр доступен только в том случае, если в качестве протокола прокси выбран протокол HTTPS.
Требует ввода имени пользователя и пароля на каждом узле.
-
-
Пример узлов безопасности данных гибридного типа и прокси
На этой схеме представлен пример соединения между системой безопасности данных гибридного типа, сетью и прокси. При использовании прозрачного прокси с проверкой или явного прокси с проверкой HTTPS на прокси и узлы безопасности данных гибридного типа необходимо установить один и тот же корневой сертификат.
Режим блокировки разрешения внешних DNS (конфигурации явного прокси)
При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. В развертываниях с конфигурациями явного прокси, которые не допускают разрешения внешних DNS для внутренних клиентов, если узел не может посылать запросы на DNS-серверы, он автоматически переходит в режим блокировки разрешения внешних DNS. В этом режиме можно продолжить регистрацию узла и другие тестирования подключения к прокси.
Подготовка среды
Требования к безопасности многопользовательских гибридных данных
Требования к лицензии Cisco Webex
Чтобы развернуть многопользовательскую гибридную систему безопасности данных:
-
Партнерские организации: Обратитесь к своему партнеру Cisco или менеджеру по работе с клиентами и убедитесь, что функция Multi-Tenant включена.
-
Организации арендаторов: Для Cisco Webex Control Hub вам потребуется Pro Pack. См. https://www.cisco.com/go/pro-pack.
Требования к рабочему столу Docker
Перед установкой узлов HDS вам понадобится Docker Desktop для запуска программы установки. Docker недавно обновил свою модель лицензирования. Для вашей организации может потребоваться платная подписка на Docker Desktop. Подробности см. в записи блога Docker, " Docker обновляет и расширяет подписки на продукты".
Клиенты без лицензии Docker Desktop могут использовать инструмент управления контейнерами с открытым исходным кодом, такой как Podman Desktop, для запуска, управления и создания контейнеров. Подробности см. в разделе Запуск средства настройки HDS с помощью Podman Desktop.
Требования к сертификату X.509
Цепочка сертификатов должна соответствовать следующим требованиям:
|
Требование |
Подробности |
|---|---|
|
По умолчанию мы доверяем центрам сертификации из списка Mozilla (за исключением WoSign и StartCom) по адресу https://wiki.mozilla.org/CA:IncludedCAs. |
|
CN не обязательно должен быть доступен или представлять собой работающий хост. Мы рекомендуем вам использовать имя, отражающее вашу организацию, например, CN не должен содержать * (подстановочный знак). CN используется для проверки узлов безопасности гибридных данных для клиентов приложения Webex. Все узлы гибридной безопасности данных в вашем кластере используют один и тот же сертификат. Ваш KMS идентифицирует себя, используя домен CN, а не любой домен, определенный в полях x.509v3 SAN. После регистрации узла с этим сертификатом мы не поддерживаем изменение доменного имени CN. |
|
Программное обеспечение KMS не поддерживает подписи SHA1 для проверки подключений к KMS других организаций. |
|
Для изменения формата сертификата вы можете использовать конвертер, например OpenSSL. При запуске HDS Setup Tool вам потребуется ввести пароль. |
Программное обеспечение KMS не устанавливает жестких ограничений на использование ключей или расширенных ограничений на использование ключей. Некоторые центры сертификации требуют, чтобы к каждому сертификату применялись расширенные ограничения использования ключа, например аутентификация сервера. Можно использовать аутентификацию сервера или другие настройки.
Требования к виртуальному хосту
Виртуальные хосты, которые вы настроите в качестве узлов гибридной безопасности данных в вашем кластере, имеют следующие требования:
-
Как минимум два отдельных хоста (рекомендуется 3), размещенных в одном защищенном центре обработки данных
-
Установленная и работающая VMware ESXi 7.0 или 8.0.
Если у вас более ранняя версия ESXi, вам необходимо выполнить обновление.
-
Минимум 4 виртуальных ЦП, 8 ГБ основной памяти, 30 ГБ локального жесткого диска на сервер
Требования к серверу базы данных
Создайте новую базу данных для хранения ключей. Не используйте базу данных по умолчанию. Приложения HDS после установки создают схему базы данных.
Существует два варианта сервера базы данных. Требования к каждому из них следующие:
|
PostgreSQL |
Microsoft SQL Server |
|---|---|
|
|
|
Минимум 8 виртуальных ЦП, 16 ГБ основной памяти, достаточное пространство на жестком диске и мониторинг, чтобы гарантировать, что оно не будет превышено (рекомендуется 2 ТБ, если вы хотите, чтобы база данных работала в течение длительного времени без необходимости увеличения объема хранилища) |
Минимум 8 виртуальных ЦП, 16 ГБ основной памяти, достаточное пространство на жестком диске и мониторинг, чтобы гарантировать, что оно не будет превышено (рекомендуется 2 ТБ, если вы хотите, чтобы база данных работала в течение длительного времени без необходимости увеличения объема хранилища) |
В настоящее время программное обеспечение HDS устанавливает следующие версии драйверов для связи с сервером базы данных:
|
PostgreSQL |
Microsoft SQL Server |
|---|---|
|
Драйвер Postgres JDBC 42.2.5 |
Драйвер JDBC SQL Server 4.6 Эта версия драйвера поддерживает SQL Server Always On ( экземпляры отказоустойчивого кластера Always On и группы доступности Always On). |
Дополнительные требования к аутентификации Windows на Microsoft SQL Server
Если вы хотите, чтобы узлы HDS использовали аутентификацию Windows для доступа к базе данных хранилища ключей на Microsoft SQL Server, вам потребуется следующая конфигурация в вашей среде:
-
Узлы HDS, инфраструктура Active Directory и MS SQL Server должны быть синхронизированы с NTP.
-
Учетная запись Windows, которую вы предоставляете узлам HDS, должна иметь read/write доступ к базе данных.
-
DNS-серверы, которые вы предоставляете узлам HDS, должны иметь возможность разрешать ваш центр распространения ключей (KDC).
-
Вы можете зарегистрировать экземпляр базы данных HDS на вашем сервере Microsoft SQL Server в качестве имени участника службы (SPN) в вашем Active Directory. См. Регистрация имени участника службы для подключений Kerberos.
Инструмент настройки HDS, средство запуска HDS и локальный KMS должны использовать аутентификацию Windows для доступа к базе данных хранилища ключей. Они используют данные из вашей конфигурации ISO для создания SPN при запросе доступа с аутентификацией Kerberos.
Требования к внешнему подключению
Настройте брандмауэр так, чтобы разрешить следующие подключения для приложений HDS:
|
Приложение |
Протокол |
Порт |
Направление из приложения |
Назначение |
|---|---|---|---|---|
|
Гибридные узлы безопасности данных |
Протокол TCP |
443 |
Исходящие HTTPS и WSS |
|
|
Инструмент настройки HDS |
Протокол TCP |
443 |
Исходящий HTTPS |
|
Узлы гибридной защиты данных работают с преобразованием сетевого доступа (NAT) или за брандмауэром, при условии, что NAT или брандмауэр разрешают требуемые исходящие соединения с назначениями доменов, указанными в предыдущей таблице. Для входящих подключений к узлам гибридной системы безопасности данных ни один порт не должен быть виден из Интернета. В вашем центре обработки данных клиентам необходим доступ к узлам гибридной безопасности данных на TCP-портах 443 и 22 для административных целей.
URL-адреса хостов Common Identity (CI) зависят от региона. Текущие хосты CI:
|
Регион |
URL-адреса хостов общей идентификации |
|---|---|
|
Северная и Южная Америка |
|
|
Европейский союз |
|
|
Канада |
|
| Сингапур |
|
| Объединенные Арабские Эмираты |
|
Требования к прокси-серверу
-
Мы официально поддерживаем следующие решения для прокси, которые можно интегрировать с узлами безопасности данных гибридного типа:
-
для прозрачных прокси – Cisco Web Security Appliance (WSA);
-
для явных прокси – Squid.
Прокси-серверы Squid, проверяющие HTTPS-трафик, могут помешать установлению соединения WebSocket. (wss:) связи. Чтобы обойти эту проблему, см. Настройка прокси-серверов Squid для гибридной безопасности данных.
-
-
Поддерживаются следующие комбинации типов аутентификации для явных прокси:
-
без аутентификации при использовании HTTP или HTTPS;
-
базовая аутентификация при использовании HTTP или HTTPS;
-
дайджест-аутентификация только при использовании HTTPS;
-
-
При наличии прозрачного прокси с проверкой или явного прокси HTTPS необходимо иметь копию корневого сертификата прокси. Инструкции по развертыванию, приведенные в этом руководстве, содержат информацию о том, как загрузить эту копию в зоны доверия узлов безопасности данных гибридного типа.
-
Сеть, в которой размещены узлы HDS, должна обеспечивать принудительную маршрутизацию исходящего трафика TCP на порте 443 через прокси.
-
Прокси, проверяющие веб-трафик, могут нарушать работу соединений веб-сокетов. Если возникла эта проблема, обход (отсутствие проверки) трафика в
wbx2.comиciscospark.comрешит ее.
Выполните предварительные условия для гибридной безопасности данных
| 1 |
Убедитесь, что в вашей партнерской организации включена функция Multi-Tenant HDS, и получите данные учетной записи с правами полного администратора партнера. Убедитесь, что в вашей организации клиентов Webex включена поддержка Pro Pack для Cisco Webex Control Hub. Обратитесь за помощью в этом процессе к своему партнеру Cisco или менеджеру по работе с клиентами. У организаций-клиентов не должно быть развернутых систем HDS. |
| 2 |
Выберите доменное имя для развертывания HDS (например, |
| 3 |
Подготовьте идентичные виртуальные хосты, которые вы настроите в качестве узлов гибридной безопасности данных в своем кластере. Вам необходимо как минимум два отдельных хоста (рекомендуется 3), размещенных в одном защищенном центре обработки данных, которые соответствуют требованиям, указанным в Требованиях к виртуальному хосту. |
| 4 |
Подготовьте сервер базы данных, который будет выступать в качестве ключевого хранилища данных для кластера, в соответствии с Требованиями к серверу базы данных. Сервер базы данных должен быть размещен в защищенном центре обработки данных вместе с виртуальными хостами. |
| 5 |
Для быстрого восстановления после сбоя создайте резервную среду в другом центре обработки данных. Среда резервного копирования зеркально отражает производственную среду виртуальных машин и резервного сервера базы данных. Например, если в производственной среде имеется 3 виртуальные машины, на которых работают узлы HDS, в резервной среде должно быть 3 виртуальные машины. |
| 6 |
Настройте хост syslog для сбора журналов с узлов в кластере. Соберите его сетевой адрес и порт syslog (по умолчанию UDP 514). |
| 7 |
Создайте безопасную политику резервного копирования для узлов гибридной безопасности данных, сервера базы данных и хоста системного журнала. Как минимум, чтобы предотвратить невосстановимую потерю данных, необходимо создать резервную копию базы данных и файла конфигурации ISO, созданного для узлов гибридной безопасности данных. Поскольку узлы гибридной защиты данных хранят ключи, используемые для шифрования и дешифрования контента, невозможность поддержания оперативного развертывания приведет к НЕВОССТАНОВИМОЙ ПОТЕРЕ этого контента. Клиенты приложения Webex кэшируют свои ключи, поэтому сбой может быть не заметен сразу, но станет очевидным со временем. Хотя временные сбои невозможно предотвратить, их можно устранить. Однако полная потеря (отсутствие резервных копий) базы данных или файла конфигурации ISO приведет к невозможности восстановления данных клиентов. Операторы узлов гибридной безопасности данных должны регулярно создавать резервные копии базы данных и файла конфигурации ISO, а также быть готовыми к восстановлению центра обработки данных гибридной безопасности данных в случае катастрофического сбоя. |
| 8 |
Убедитесь, что конфигурация вашего брандмауэра допускает подключение к вашим узлам гибридной безопасности данных, как указано в разделе Требования к внешнему подключению. |
| 9 |
Установите Docker ( https://www.docker.com) на любой локальный компьютер под управлением поддерживаемой ОС (Microsoft Windows 10 Professional или Enterprise 64-bit, или Mac OSX Yosemite 10.10.3 или выше) с веб-браузером, который может получить к нему доступ по адресу http://127.0.0.1:8080. Экземпляр Docker используется для загрузки и запуска инструмента настройки HDS, который создает локальную информацию о конфигурации для всех узлов гибридной безопасности данных. Вам может понадобиться лицензия Docker Desktop. Дополнительную информацию см. в разделе Требования к рабочему столу Docker. Для установки и запуска HDS Setup Tool локальный компьютер должен иметь подключение, описанное в разделе Требования к внешнему подключению. |
| 10 |
Если вы интегрируете прокси-сервер с Hybrid Data Security, убедитесь, что он соответствует Требованиям к прокси-серверу. |
Настройка гибридного кластера безопасности данных
Поток задач развертывания гибридной системы безопасности данных
| 1 |
Выполните первоначальную настройку и загрузите установочные файлы. Загрузите файл OVA на свой локальный компьютер для дальнейшего использования. |
| 2 |
Создайте ISO-образ конфигурации для хостов HDS Используйте HDS Setup Tool для создания файла конфигурации ISO для узлов гибридной безопасности данных. |
| 3 |
Создайте виртуальную машину из файла OVA и выполните первоначальную настройку, например параметры сети. Возможность настройки сетевых параметров во время развертывания OVA была протестирована с ESXi 7.0 и 8.0. В более ранних версиях эта опция может быть недоступна. |
| 4 |
Настройка гибридной виртуальной машины безопасности данных Войдите в консоль виртуальной машины и задайте учетные данные для входа. Настройте сетевые параметры узла, если вы не настроили их во время развертывания OVA. |
| 5 |
Загрузите и смонтируйте ISO-образ конфигурации HDS Настройте виртуальную машину с помощью файла конфигурации ISO, созданного с помощью HDS Setup Tool. |
| 6 |
Настройка узла HDS для интеграции прокси Если сетевая среда требует настройки прокси-сервера, укажите тип прокси-сервера, который вы будете использовать для узла, и при необходимости добавьте сертификат прокси-сервера в хранилище доверенных серверов. |
| 7 |
Зарегистрируйте первый узел в кластере Зарегистрируйте виртуальную машину в облаке Cisco Webex как гибридный узел безопасности данных. |
| 8 |
Создайте и зарегистрируйте больше узлов Завершите настройку кластера. |
| 9 |
Активируйте Multi-Tenant HDS на Partner Hub. Активируйте HDS и управляйте организациями арендаторов в Partner Hub. |
Выполните первоначальную настройку и загрузите установочные файлы.
В этой задаче вы загружаете OVA-файл на свой компьютер (а не на серверы, которые вы настроили в качестве узлов гибридной безопасности данных). Этот файл понадобится вам позже в процессе установки.
| 1 |
Войдите в Partner Hub, а затем нажмите Услуги. |
| 2 |
В разделе «Гибрид» найдите карточку «Безопасность гибридных данных», а затем нажмите Настроить. Нажатие кнопки «Настроить » в Partner Hub имеет решающее значение для процесса развертывания. Не приступайте к установке, не выполнив этот шаг. |
| 3 |
Нажмите Добавить ресурс и нажмите Загрузить файл .OVA на карточке Установка и настройка программного обеспечения. Более старые версии программного пакета (OVA) не будут совместимы с последними обновлениями Hybrid Data Security. Это может привести к проблемам при обновлении приложения. Убедитесь, что вы загружаете последнюю версию файла OVA. Вы также можете загрузить OVA в любое время из раздела Помощь. Нажмите . Начнется автоматическая загрузка OVA-файла. Сохраните файл в определенном месте на вашем компьютере.
|
Создайте ISO-образ конфигурации для хостов HDS
Процесс настройки гибридной безопасности данных создает ISO-файл. Затем вы используете ISO для настройки своего хоста гибридной безопасности данных.
Прежде чем начать
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются данные учетной записи Partner Hub с полными правами администратора.
Если у вас нет лицензии Docker Desktop, вы можете использовать Podman Desktop для запуска инструмента настройки HDS для шагов с 1 по 5 в приведенной ниже процедуре. Подробности см. в разделе Запуск средства настройки HDS с помощью Podman Desktop.
Если в вашей среде инструмент настройки HDS работает через прокси-сервер, укажите параметры прокси-сервера (сервер, порт, учетные данные) через переменные среды Docker при запуске контейнера Docker на шаге 5 ниже. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-прокси без аутентификации
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-прокси с аутентификацией
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS-прокси с аутентификацией
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Создаваемый вами файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. Вам понадобится последняя копия этого файла каждый раз, когда вы вносите изменения в конфигурацию, например:
-
Учетные данные базы данных
-
Обновления сертификатов
-
Изменения в политике авторизации
-
-
Если вы планируете шифровать соединения с базой данных, настройте развертывание PostgreSQL или SQL Server для использования TLS.
| 1 |
Введите соответствующую команду для вашей среды в командной строке компьютера. В обычных средах: В средах FedRAMP: На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать. | ||||||||||
| 2 |
Чтобы войти в реестр образов Docker, введите следующее. | ||||||||||
| 3 |
Введите в запросе пароля этот хеш: | ||||||||||
| 4 |
Скачайте последнюю стабильную версию образа для вашей среды. В обычных средах: В средах FedRAMP: | ||||||||||
| 5 |
По завершении скачивания введите соответствующую команду для вашей среды.
Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080". | ||||||||||
| 6 |
Инструмент настройки не поддерживает подключение к локальному хосту через http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному хосту. С помощью веб-браузера перейдите на локальный хост, Инструмент использует эту первую запись имени пользователя, чтобы задать правильную среду для этой учетной записи. Затем инструмент отображает стандартное приглашение на вход в систему. | ||||||||||
| 7 |
При появлении соответствующего запроса введите учетные данные администратора Partner Hub, а затем нажмите Войти, чтобы разрешить доступ к требуемым службам для гибридной безопасности данных. | ||||||||||
| 8 |
На странице обзора инструмента настройки нажмите Начать. | ||||||||||
| 9 |
На странице Импорт ISO у вас есть следующие параметры:
| ||||||||||
| 10 |
Убедитесь, что ваш сертификат X.509 соответствует требованиям, приведенным в Требованиях к сертификату X.509.
| ||||||||||
| 11 |
Введите адрес базы данных и учетную запись HDS для доступа к вашему ключевому хранилищу данных: | ||||||||||
| 12 |
Выберите режим подключения к базе данных TLS:
Когда вы загружаете корневой сертификат (при необходимости) и нажимаете Продолжить, HDS Setup Tool проверяет TLS-соединение с сервером базы данных. Инструмент также выполняет проверку источника подписи сертификата и имени узла (если применимо). Если тест не будет пройден, в инструменте будет отображено сообщение об ошибке с описанием проблемы. Можно выбрать параметр игнорирования ошибки и продолжить настройку. (Из-за различий в подключении узлы HDS могут установить соединение TLS, даже если машина с инструментом настройки HDS не может успешно его протестировать.) | ||||||||||
| 13 |
На странице «Системные журналы» настройте сервер Syslogd: | ||||||||||
| 14 |
(Необязательно) Вы можете изменить значение по умолчанию для некоторых параметров подключения к базе данных в Расширенных настройках. Как правило, это единственный параметр, который вы, возможно, захотите изменить: | ||||||||||
| 15 |
Нажмите Продолжить на экране Сброс пароля учетных записей служб. Срок действия паролей учетных записей служб составляет девять месяцев. Используйте этот экран, когда срок действия ваших паролей подходит к концу или вы хотите сбросить их, чтобы сделать предыдущие файлы ISO недействительными. | ||||||||||
| 16 |
Нажмите Загрузить файл ISO. Сохраните файл в месте, которое легко найти. | ||||||||||
| 17 |
Создайте резервную копию ISO-файла на локальной системе. Сохраните резервную копию в надежном месте. Этот файл содержит главный ключ шифрования содержимого базы данных. Ограничьте доступ только тем администраторам гибридной безопасности данных, которые должны вносить изменения в конфигурацию. | ||||||||||
| 18 |
Чтобы закрыть средство настройки, введите |
Дальнейшие действия
Создайте резервную копию ISO-файла конфигурации. Это необходимо для создания дополнительных узлов для восстановления или внесения изменений в конфигурацию. Если вы потеряете все копии файла ISO, вы также потеряете главный ключ. Восстановление ключей из базы данных PostgreSQL или Microsoft SQL Server невозможно.
У нас никогда не было копии этого ключа, и мы не сможем вам помочь, если вы его потеряете.
Установка HDS Host OVA
| 1 |
Используйте клиент VMware vSphere на вашем компьютере для входа в виртуальный хост ESXi. |
| 2 |
Выбрать Файл > Развернуть шаблон OVF. |
| 3 |
В мастере укажите местоположение загруженного ранее OVA-файла, а затем нажмите Далее. |
| 4 |
На странице Выберите имя и папку введите Имя виртуальной машины для узла (например, «HDS_Node_1»), выберите место, где может находиться развертывание узла виртуальной машины, а затем нажмите Далее. |
| 5 |
На странице Выбор вычислительного ресурса выберите целевой вычислительный ресурс, а затем нажмите Далее. Проводится проверка достоверности данных. После завершения появятся сведения о шаблоне. |
| 6 |
Проверьте данные шаблона и нажмите Далее. |
| 7 |
Если вам будет предложено выбрать конфигурацию ресурсов на странице Конфигурация, нажмите 4 ЦП, а затем нажмите Далее. |
| 8 |
На странице Выбор хранилища нажмите Далее, чтобы принять формат диска по умолчанию и политику хранения виртуальной машины. |
| 9 |
На странице Выбор сетей выберите из списка вариантов сеть, которая обеспечит необходимое подключение к виртуальной машине. |
| 10 |
На странице Настроить шаблон настройте следующие параметры сети:
При желании вы можете пропустить настройку параметров сети и выполнить шаги, описанные в разделе Настройка гибридной виртуальной машины безопасности данных, чтобы настроить параметры из консоли узла. Возможность настройки сетевых параметров во время развертывания OVA была протестирована с ESXi 7.0 и 8.0. В более ранних версиях эта опция может быть недоступна. |
| 11 |
Щелкните правой кнопкой мыши узел виртуальной машины, а затем выберите . Программное обеспечение Hybrid Data Security устанавливается в качестве гостя на хосте виртуальной машины. Теперь вы готовы войти в консоль и настроить узел. Рекомендации по устранению неисправностей Возможна задержка в несколько минут, прежде чем будут запущены контейнеры узлов. Во время первой загрузки на консоли появляется сообщение о брандмауэре моста, во время которого вы не можете войти в систему. |
Настройка гибридной виртуальной машины безопасности данных
Используйте эту процедуру для первого входа в консоль виртуальной машины узла Hybrid Data Security и настройки учетных данных для входа. Вы также можете использовать консоль для настройки сетевых параметров узла, если вы не настроили их во время развертывания OVA.
| 1 |
В клиенте VMware vSphere выберите виртуальную машину узла Hybrid Data Security и выберите вкладку Консоль. Виртуальная машина загрузится и появится приглашение на вход в систему. Если приглашение на вход не отображается, нажмите Enter.
|
| 2 |
Для входа в систему и изменения учетных данных используйте следующие логин и пароль по умолчанию: Поскольку вы впервые входите в свою виртуальную машину, вам необходимо сменить пароль администратора. |
| 3 |
Если вы уже настроили параметры сети в Установка HDS Host OVA, пропустите оставшуюся часть этой процедуры. В противном случае в главном меню выберите опцию Изменить конфигурацию. |
| 4 |
Настройте статическую конфигурацию с IP-адресом, маской, шлюзом и информацией DNS. Ваш узел должен иметь внутренний IP-адрес и DNS-имя. DHCP не поддерживается. |
| 5 |
(Необязательно) При необходимости измените имя хоста, домен или сервер(ы) NTP в соответствии с вашей сетевой политикой. Вам не нужно указывать домен, совпадающий с доменом, который вы использовали для получения сертификата X.509. |
| 6 |
Сохраните конфигурацию сети и перезагрузите виртуальную машину, чтобы изменения вступили в силу. |
Загрузите и смонтируйте ISO-образ конфигурации HDS
Прежде чем начать
Поскольку файл ISO содержит главный ключ, его следует предоставлять только по принципу «служебной необходимости» для доступа виртуальным машинам Hybrid Data Security и любым администраторам, которым может потребоваться внести изменения. Убедитесь, что доступ к хранилищу данных имеют только эти администраторы.
| 1 |
Загрузите ISO-файл со своего компьютера: |
| 2 |
Смонтируйте ISO-файл: |
Дальнейшие действия
Если того требует ваша ИТ-политика, вы можете при желании отмонтировать ISO-файл после того, как все ваши узлы примут изменения конфигурации. Подробности см. в разделе (Необязательно) Отключение ISO после настройки HDS.
Настройка узла HDS для интеграции прокси
Если в сетевой среде необходимо использовать прокси, воспользуйтесь этой процедурой, чтобы указать тип прокси, который нужно интегрировать со службой безопасности данных гибридного типа. При выборе прозрачного прокси с проверкой или явного прокси HTTPS можно использовать интерфейс узла для загрузки и установки корневого сертификата. Кроме того, в интерфейсе можно проверять соединение с прокси и устранять неполадки.
Прежде чем начать
-
Обзор поддерживаемых параметров прокси-сервера см. в разделе Поддержка прокси-сервера.
| 1 |
Введите URL-адрес настройки узла HDS |
| 2 |
Откройте раздел Trust Store & Proxy (Зона доверия и прокси) и выберите один из следующих параметров.
В случае использования прозрачного прокси с проверкой, явного прокси HTTP с базовой аутентификацией или явного прокси HTTPS выполните указанные далее шаги. |
| 3 |
Щелкните Upload a Root Certificate or End Entity Certificate (Загрузить корневой сертификат или сертификат конечного субъекта) и откройте меню для выбора корневого сертификата для прокси. Сертификат будет загружен, но не установлен, поскольку для установки сертификата необходимо перезагрузить узел. Чтобы получить дополнительные сведения, щелкните стрелку-шеврон, расположенную рядом с именем издателя сертификата. Если вы допустили ошибку и хотите вновь загрузить файл, щелкните Delete (Удалить). |
| 4 |
Чтобы протестировать сетевое соединение между узлом и прокси, щелкните Check Proxy Connection (Проверить соединение с прокси). Если тестирование соединения завершится неудачей, на экране появится сообщение об ошибке, в котором будут указаны причина и способ исправления ошибки. Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу. Такая проблема может возникнуть во многих конфигурациях явного прокси. Можно продолжить настройку, и узел будет работать в режиме блокировки разрешения внешних DNS. Если вы считаете, что это ошибка, выполните следующие действия, а затем см. раздел Отключение заблокированного внешнего режима разрешения DNS. |
| 5 |
Если вы используете явный прокси, настроенный на применение исключительно https, после успешного завершения тестирования соединения включите параметр Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси (Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси). Для вступления в силу этого параметра необходимо 15 секунд. |
| 6 |
Щелкните Install All Certificates Into the Trust Store (Установить все сертификаты в зоне доверия) – этот параметр отображается при использовании явного прокси HTTPS или прозрачного прокси с проверкой – или Reboot (Перезагрузить) – этот параметр отображается при использовании явного прокси HTTP. Прочитайте запрос и щелкните Install (Установить), если вы готовы к установке. Узел перезагрузится в течение нескольких минут. |
| 7 |
После перезагрузки узла повторно войдите в систему, если это необходимо, и откройте страницу Обзор, чтобы выполнить проверки соединений. Состояние всех проверок должно быть обозначено зеленым цветом. Проверка соединения с прокси используется исключительно для тестирования поддомена webex.com. Проблемы с соединениями нередко возникают из-за того, что некоторые облачные домены, указанные в инструкциях по установке, блокируются на уровне прокси. |
Зарегистрируйте первый узел в кластере
При регистрации первого узла вы создаете кластер, к которому этот узел относится. Кластер содержит один или несколько узлов, развернутых для обеспечения избыточности.
Прежде чем начать
-
Начав регистрацию узла, необходимо завершить ее в течение 60 минут, в противном случае придется начинать все заново.
-
Убедитесь, что все блокировщики всплывающих окон в вашем браузере отключены или вы разрешили исключение для admin.webex.com.
| 1 |
Войдите в https://admin.webex.com. |
| 2 |
В меню в левой части экрана выберите Услуги. |
| 3 |
В разделе «Гибрид» найдите карту «Безопасность гибридных данных» и нажмите Настроить. |
| 4 |
На открывшейся странице нажмите Добавить ресурс. |
| 5 |
В первом поле карточки Создать новый кластер введите имя кластера, которому вы хотите назначить свой узел гибридной безопасности данных. Мы рекомендуем вам называть кластер на основе географического расположения узлов кластера. Примеры: «Сан-Франциско», «Нью-Йорк» или «Даллас». |
| 6 |
Во втором поле введите внутренний IP-адрес или полное доменное имя (FQDN) вашего узла и нажмите Добавить в нижней части экрана. Этот IP-адрес или полное доменное имя должны совпадать с IP-адресом или именем хоста и доменом, которые вы использовали в Настройка гибридной виртуальной машины безопасности данных. Появится сообщение о том, что вы можете зарегистрировать свой узел в Webex.
|
| 7 |
Нажмите Перейти к узлу. Через несколько мгновений вы будете перенаправлены на страницу тестов подключения узлов для служб Webex. Если все тесты пройдут успешно, откроется страница «Разрешить доступ к узлу безопасности гибридных данных». Там вы подтверждаете, что хотите предоставить своей организации Webex разрешения на доступ к вашему узлу. |
| 8 |
Установите флажок Разрешить доступ к узлу безопасности гибридных данных, а затем нажмите Продолжить. Ваша учетная запись проверена, и сообщение «Регистрация завершена» означает, что ваш узел теперь зарегистрирован в облаке Webex.
|
| 9 |
Нажмите ссылку или закройте вкладку, чтобы вернуться на страницу безопасности гибридных данных Partner Hub. На странице Гибридная безопасность данных новый кластер, содержащий зарегистрированный вами узел, отображается под вкладкой Ресурсы. Узел автоматически загрузит последнюю версию программного обеспечения из облака.
|
Создайте и зарегистрируйте больше узлов
Прежде чем начать
-
Начав регистрацию узла, необходимо завершить ее в течение 60 минут, в противном случае придется начинать все заново.
-
Убедитесь, что все блокировщики всплывающих окон в вашем браузере отключены или вы разрешили исключение для admin.webex.com.
| 1 |
Создайте новую виртуальную машину из OVA, повторив шаги из Установка HDS Host OVA. |
| 2 |
Настройте начальную конфигурацию новой виртуальной машины, повторив шаги из раздела Настройка гибридной виртуальной машины безопасности данных. |
| 3 |
На новой виртуальной машине повторите шаги из раздела Загрузка и монтирование образа ISO конфигурации HDS. |
| 4 |
Если вы настраиваете прокси-сервер для своего развертывания, повторите шаги, описанные в разделе Настройка узла HDS для интеграции прокси-сервера, по мере необходимости для нового узла. |
| 5 |
Зарегистрируйте узел. |
Дальнейшие действия
Управление организациями арендаторов в многопользовательской гибридной системе безопасности данных
Активируйте Multi-Tenant HDS на Partner Hub
Эта задача гарантирует, что все пользователи организаций-клиентов смогут начать использовать HDS для локальных ключей шифрования и других служб безопасности.
Прежде чем начать
Убедитесь, что вы завершили настройку многопользовательского кластера HDS с необходимым количеством узлов.
| 1 |
Войдите в https://admin.webex.com. |
| 2 |
В меню в левой части экрана выберите Услуги. |
| 3 |
В разделе «Гибрид» найдите «Безопасность гибридных данных» и нажмите Изменить настройки. |
| 4 |
Нажмите Активировать HDS на карте Статус HDS. |
Добавьте организации-арендаторы в Partner Hub
В этой задаче вы назначаете организации-клиенты вашему гибридному кластеру безопасности данных.
| 1 |
Войдите в https://admin.webex.com. |
| 2 |
В меню в левой части экрана выберите Услуги. |
| 3 |
В разделе «Гибрид» найдите «Гибридная безопасность данных» и нажмите Просмотреть все. |
| 4 |
Перейдите на вкладку Назначенные клиенты. Вкладка Назначенные клиенты не будет отображаться, пока вы не создадите кластер. |
| 5 |
Нажмите Добавить клиентов. |
| 6 |
В раскрывающемся меню выберите клиента, которого хотите добавить. |
| 7 |
Нажмите Добавить, клиент будет добавлен в кластер. |
| 8 |
Повторите шаги с 5 по 7, чтобы добавить несколько клиентов в свой кластер. |
| 9 |
После добавления клиентов нажмите кнопку Готово в нижней части экрана. Добавленные клиенты будут синхронизированы по всем доступным кластерам. |
Дальнейшие действия
Создайте основные ключи клиента (CMK) с помощью инструмента настройки HDS
Прежде чем начать
Назначьте клиентов, как описано в Добавление организаций-арендаторов в Partner Hub. Запустите инструмент настройки HDS, чтобы завершить процесс настройки для вновь добавленных организаций-клиентов.
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются данные учетной записи Partner Hub с полными правами администратора вашей организации.
Если в вашей среде инструмент настройки HDS работает через прокси-сервер, укажите параметры прокси-сервера (сервер, порт, учетные данные) через переменные среды Docker при запуске контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-прокси без аутентификации
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-прокси с аутентификацией
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS-прокси с аутентификацией
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Создаваемый вами файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. Вам понадобится последняя копия этого файла каждый раз, когда вы вносите изменения в конфигурацию, например:
-
Учетные данные базы данных
-
Обновления сертификатов
-
Изменения в политике авторизации
-
-
Если вы планируете шифровать соединения с базой данных, настройте развертывание PostgreSQL или SQL Server для использования TLS.
Процесс настройки гибридной безопасности данных создает ISO-файл. Затем вы используете ISO для настройки своего хоста гибридной безопасности данных.
| 1 |
Введите соответствующую команду для вашей среды в командной строке компьютера. В обычных средах: В средах FedRAMP: На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать. |
| 2 |
Чтобы войти в реестр образов Docker, введите следующее. |
| 3 |
Введите в запросе пароля этот хеш: |
| 4 |
Скачайте последнюю стабильную версию образа для вашей среды. В обычных средах: В средах FedRAMP: |
| 5 |
По завершении скачивания введите соответствующую команду для вашей среды.
Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080". |
| 6 |
Инструмент настройки не поддерживает подключение к локальному хосту через http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному хосту. С помощью веб-браузера перейдите на локальный хост, Инструмент использует эту первую запись имени пользователя, чтобы задать правильную среду для этой учетной записи. Затем инструмент отображает стандартное приглашение на вход в систему. |
| 7 |
При появлении соответствующего запроса введите учетные данные администратора Partner Hub, а затем нажмите Войти, чтобы разрешить доступ к требуемым службам для гибридной безопасности данных. |
| 8 |
На странице обзора инструмента настройки нажмите Начать. |
| 9 |
На странице Импорт ISO нажмите Да. |
| 10 |
Выберите ваш ISO-файл в браузере и загрузите его. Обеспечьте подключение к вашей базе данных для управления CMK. |
| 11 |
Перейдите на вкладку Управление CMK-клиентами, где вы найдете следующие три способа управления CMK-клиентами.
|
| 12 |
После успешного создания CMK статус в таблице изменится с Ожидание управления CMK на Управляемый CMK. |
| 13 |
Если создание CMK не удалось, будет выведена ошибка. |
Удалить организации-арендаторы
Прежде чем начать
После удаления пользователи организаций-клиентов не смогут использовать HDS для своих нужд по шифрованию и потеряют все существующие пространства. Прежде чем удалять организации клиентов, обратитесь к своему партнеру Cisco или менеджеру по работе с клиентами.
| 1 |
Войдите в https://admin.webex.com. |
| 2 |
В меню в левой части экрана выберите Услуги. |
| 3 |
В разделе «Гибрид» найдите «Гибридная безопасность данных» и нажмите Просмотреть все. |
| 4 |
На открывшейся странице нажмите вкладку Назначенные клиенты. |
| 5 |
В списке отображаемых организаций-клиентов нажмите |
Дальнейшие действия
Завершите процесс удаления, отозвав CMK организаций-клиентов, как описано в разделе Отозвать CMK арендаторов, удаленных из HDS.
Отозвать CMK арендаторов, исключенных из HDS.
Прежде чем начать
Удалите клиентов, как описано в разделе Удалите организации-арендаторы. Запустите инструмент настройки HDS, чтобы завершить процесс удаления для организаций-клиентов, которые были удалены.
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются данные учетной записи Partner Hub с полными правами администратора вашей организации.
Если в вашей среде инструмент настройки HDS работает через прокси-сервер, укажите параметры прокси-сервера (сервер, порт, учетные данные) через переменные среды Docker при запуске контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-прокси без аутентификации
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-прокси с аутентификацией
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS-прокси с аутентификацией
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Создаваемый вами файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. Вам понадобится последняя копия этого файла каждый раз, когда вы вносите изменения в конфигурацию, например:
-
Учетные данные базы данных
-
Обновления сертификатов
-
Изменения в политике авторизации
-
-
Если вы планируете шифровать соединения с базой данных, настройте развертывание PostgreSQL или SQL Server для использования TLS.
Процесс настройки гибридной безопасности данных создает ISO-файл. Затем вы используете ISO для настройки своего хоста гибридной безопасности данных.
| 1 |
Введите соответствующую команду для вашей среды в командной строке компьютера. В обычных средах: В средах FedRAMP: На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать. |
| 2 |
Чтобы войти в реестр образов Docker, введите следующее. |
| 3 |
Введите в запросе пароля этот хеш: |
| 4 |
Скачайте последнюю стабильную версию образа для вашей среды. В обычных средах: В средах FedRAMP: |
| 5 |
По завершении скачивания введите соответствующую команду для вашей среды.
Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080". |
| 6 |
Инструмент настройки не поддерживает подключение к локальному хосту через http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному хосту. С помощью веб-браузера перейдите на локальный хост, Инструмент использует эту первую запись имени пользователя, чтобы задать правильную среду для этой учетной записи. Затем инструмент отображает стандартное приглашение на вход в систему. |
| 7 |
При появлении соответствующего запроса введите учетные данные администратора Partner Hub, а затем нажмите Войти, чтобы разрешить доступ к требуемым службам для гибридной безопасности данных. |
| 8 |
На странице обзора инструмента настройки нажмите Начать. |
| 9 |
На странице Импорт ISO нажмите Да. |
| 10 |
Выберите ваш ISO-файл в браузере и загрузите его. |
| 11 |
Перейдите на вкладку Управление CMK-клиентами, где вы найдете следующие три способа управления CMK-клиентами.
|
| 12 |
После успешного отзыва CMK организация-клиент больше не будет отображаться в таблице. |
| 13 |
Если отзыв CMK не удался, будет выведена ошибка. |
Протестируйте развертывание гибридной системы безопасности данных
Протестируйте свое гибридное развертывание системы безопасности данных
Прежде чем начать
-
Настройте развертывание многопользовательской гибридной системы безопасности данных.
-
Убедитесь, что у вас есть доступ к системному журналу, чтобы убедиться, что ключевые запросы передаются в ваше развертывание Multi-Tenant Hybrid Data Security.
| 1 |
Ключи для конкретного пространства задаются создателем этого пространства. Войдите в приложение Webex как один из пользователей клиентской организации, а затем создайте пространство. Если деактивировать развертывание гибридной системы безопасности данных, содержимое в пространствах, создаваемых пользователями, больше не будет доступно после замены кэшированных клиентом копий ключей шифрования. |
| 2 |
Отправляйте сообщения в новое пространство. |
| 3 |
Проверьте выходные данные системного журнала, чтобы убедиться, что ключевые запросы передаются в ваше развертывание гибридной системы безопасности данных. Если пользователь недавно добавленной организации клиента выполняет какие-либо действия, в журналах появляется идентификатор организации, который можно использовать для проверки того, использует ли организация Multi-Tenant HDS. Проверьте значение |
Мониторинг состояния безопасности гибридных данных
| 1 |
В Partner Hubвыберите Services в меню в левой части экрана. |
| 2 |
В разделе «Гибрид» найдите «Безопасность гибридных данных» и нажмите Изменить настройки. Откроется страница настроек безопасности гибридных данных.
|
| 3 |
В разделе «Уведомления по электронной почте» введите один или несколько адресов электронной почты, разделенных запятыми, и нажмите Enter. |
Управляйте развертыванием HDS
Управление развертыванием HDS
Используйте описанные здесь задачи для управления развертыванием гибридной системы безопасности данных.
Установить график обновления кластера
Чтобы настроить расписание обновлений:
| 1 |
Войдите в Partner Hub. |
| 2 |
В меню в левой части экрана выберите Услуги. |
| 3 |
В разделе «Гибрид» найдите «Гибридная безопасность данных» и нажмите «Настроить» |
| 4 |
На странице «Ресурсы безопасности гибридных данных» выберите кластер. |
| 5 |
Нажмите на вкладку Настройки кластера. |
| 6 |
На странице «Параметры кластера» в разделе «Расписание обновления» выберите время и часовой пояс для расписания обновления. Примечание. Под часовым поясом отображается дата и время следующего доступного обновления. При необходимости вы можете отложить обновление на следующий день, нажав Отложить на 24 часа. |
Изменить конфигурацию узла
-
Изменение сертификатов x.509 по истечении срока действия или по другим причинам.
Изменение доменного имени CN сертификата не поддерживается. Домен должен совпадать с исходным доменом, использованным для регистрации кластера.
-
Обновление настроек базы данных для работы с копией базы данных PostgreSQL или Microsoft SQL Server.
Перенос данных с PostgreSQL на Microsoft SQL Server или в обратном направлении не поддерживается. Чтобы переключить среду базы данных, начните новое развертывание службы безопасности данных гибридного типа.
-
Создание новой конфигурации для подготовки нового центра обработки данных.
Из соображений безопасности для учетных записей в службе безопасности данных гибридного типа используются пароли со сроком действия 9 месяцев. После того как инструмент настройки HDS создаст эти пароли, вам нужно будет развернуть их в каждом из своих узлов HDS в файле конфигурации ISO. При приближении даты окончания срока действия пароля команда Webex пришлет вам уведомление с запросом на сброс пароля учетной записи компьютера. (В сообщении электронной почты будет текст "Использование API учетной записи компьютера для обновления пароля".) Если срок действия паролей еще не истек, средство предоставляет два варианта.
-
Мягкий сброс— Старый и новый пароли действуют до 10 дней. Используйте этот период для постепенной замены файла ISO на узлах.
-
Жесткий сброс— Старые пароли немедленно перестают работать.
Если срок действия ваших паролей истекает без сброса, это влияет на работу вашей службы HDS. В этом случае требуется немедленный жесткий сброс и замена файла ISO на всех узлах.
Используйте эту процедуру, чтобы создать новый файл конфигурации ISO и применить его к кластеру.
Прежде чем начать
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора партнера.
Если у вас нет лицензии Docker Desktop, вы можете использовать Podman Desktop для запуска инструмента настройки HDS для шагов 1.a–1.e в приведенной ниже процедуре. Подробности см. в разделе Запуск средства настройки HDS с помощью Podman Desktop.
Если в вашей среде инструмент настройки HDS работает через прокси-сервер, укажите параметры прокси-сервера (сервер, порт, учетные данные) через переменные среды Docker при запуске контейнера Docker в 1.e. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-прокси без аутентификации
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-прокси с аутентификацией
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS-прокси с аутентификацией
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Для создания новой конфигурации потребуется копия текущего файла конфигурации ISO. Файл ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. Файл ISO необходим для изменения конфигурации, в том числе учетных данных базы данных, обновления сертификатов или изменения политики авторизации.
| 1 |
Запустите инструмент настройки HDS, используя Docker на локальной машине. |
| 2 |
Если у вас работает только один узел HDS, создайте новую виртуальную машину узла Hybrid Data Security и зарегистрируйте ее с помощью нового файла конфигурации ISO. Более подробные инструкции см. в разделе Создание и регистрация дополнительных узлов. |
| 3 |
Для существующих узлов HDS, в которых используется старый файл конфигурации, необходимо установить файл ISO. Выполните следующую процедуру для каждого узла по очереди, обновив каждый узел до выключения следующего узла. |
| 4 |
Повторите шаг 3, чтобы заменить конфигурацию на каждом оставшемся узле со старой конфигурацией. |
Отключение режима блокировки разрешения внешних DNS
При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. Если DNS-сервер узла не может разрешать общедоступные имена DNS, узел автоматически переходит в режим блокировки разрешения внешних DNS.
Если узлы могут разрешать общедоступные имена DNS через внутренние DNS-серверы, можно отключить этот режим, повторно запустив тестирование подключения к прокси на каждом узле.
Прежде чем начать
| 1 |
В веб-браузере откройте интерфейс узла Hybrid Data Security (IP address/setup, например, https://192.0.2.0/setup), введите учетные данные администратора, которые вы настроили для узла, а затем нажмите Войти. |
| 2 |
Перейдите к разделу Overview (Обзор) (страница по умолчанию). Если режим включен, параметр Blocked External DNS Resolution (Блокировка разрешения внешних DNS) должен иметь значение Yes (Да). |
| 3 |
Перейдите на страницу Trust Store & Proxy (Зона доверия и прокси). |
| 4 |
Щелкните Check Proxy Connection (Проверить соединение с прокси). Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу и он останется в этом режиме. В противном случае после перезапуска узла и возврата на страницу Overview (Обзор) параметр блокировки разрешения внешних DNS должен иметь значение No (Нет). |
Дальнейшие действия
Удалить узел
| 1 |
Используйте клиент VMware vSphere на своем компьютере для входа в виртуальный хост ESXi и выключения виртуальной машины. |
| 2 |
Удалить узел: |
| 3 |
В клиенте vSphere удалите виртуальную машину. (В левой навигационной панели щелкните правой кнопкой мыши виртуальную машину и выберите Удалить.) Если вы не удаляете виртуальную машину, не забудьте отмонтировать ISO-файл конфигурации. Без файла ISO вы не сможете использовать виртуальную машину для доступа к данным безопасности. |
Аварийное восстановление с использованием резервного центра обработки данных
Самая важная услуга, которую предоставляет ваш кластер гибридной безопасности данных, — это создание и хранение ключей, используемых для шифрования сообщений и другого контента, хранящегося в облаке Webex. Для каждого пользователя в организации, которому назначена гибридная безопасность данных, новые запросы на создание ключа направляются в кластер. Кластер также отвечает за возврат созданных им ключей всем пользователям, имеющим право на их получение, например, участникам чата.
Поскольку кластер выполняет важнейшую функцию предоставления этих ключей, крайне важно, чтобы кластер продолжал работать и чтобы поддерживалось надлежащее резервное копирование. Потеря базы данных гибридной безопасности данных или конфигурации ISO, используемой для схемы, приведет к НЕВОССТАНОВИМОЙ ПОТЕРЕ клиентского контента. Для предотвращения таких потерь обязательны следующие меры:
Если в результате аварии развертывание HDS в основном центре обработки данных станет недоступно, выполните следующую процедуру, чтобы вручную выполнить переключение на резервный центр обработки данных.
Прежде чем начать
| 1 |
Запустите средство настройки HDS и следуйте инструкциям в разделе Создание образа ISO-образа конфигурации для хостов HDS. |
| 2 |
После настройки сервера Syslogd нажмите Дополнительные параметры |
| 3 |
На странице Дополнительные параметры добавьте указанную ниже конфигурацию или удалите конфигурацию
|
| 4 |
Завершите процесс настройки и сохраните ISO-файл в месте, которое легко найти. |
| 5 |
Создайте резервную копию ISO-файла на локальной системе. Сохраните резервную копию в надежном месте. Этот файл содержит главный ключ шифрования содержимого базы данных. Ограничьте доступ только тем администраторам гибридной безопасности данных, которые должны вносить изменения в конфигурацию. |
| 6 |
На левой навигационной панели клиента VMware vSphere щелкните правой кнопкой мыши виртуальную машину и выберите Изменить параметры.. |
| 7 |
Нажмите Изменить настройки. >CD/DVD Диск 1 и выберите файл ISO хранилища данных. Убедитесь, что флажки Подключено и Подключаться при включении питания установлены, чтобы обновленные изменения конфигурации вступили в силу после запуска узлов. |
| 8 |
Включите узел HDS и убедитесь, что в течение как минимум 15 минут не будет никаких сигналов тревоги. |
| 9 |
Повторите процесс для каждого узла в резервном центре обработки данных. Проверьте вывод системного журнала, чтобы убедиться, что узлы резервного центра обработки данных не находятся в пассивном режиме. «KMS настроен в пассивном режиме» не должно появляться в системных журналах. |
Дальнейшие действия
(Необязательно) Отмонтируйте ISO после настройки HDS
Стандартная конфигурация HDS работает с смонтированным ISO-образом. Однако некоторые клиенты предпочитают не оставлять файлы ISO постоянно подключенными. Вы сможете размонтировать ISO-файл после того, как все узлы HDS примут новую конфигурацию.
Для внесения изменений в конфигурацию вы по-прежнему будете использовать файлы ISO. При создании нового образа ISO или обновлении образа ISO с помощью инструмента настройки необходимо смонтировать обновленный образ ISO на всех узлах HDS. Как только все ваши узлы примут изменения конфигурации, вы сможете снова размонтировать ISO-образ, выполнив эту процедуру.
Прежде чем начать
Обновите все ваши узлы HDS до версии 2025.06.02.6983 или более поздней.
| 1 |
Отключите один из узлов HDS. |
| 2 |
В vCenter Server Appliance выберите узел HDS. |
| 3 |
Выберите и снимите флажок Файл ISO хранилища данных. |
| 4 |
Включите узел HDS и убедитесь, что в течение как минимум 20 минут не будет никаких сигналов тревоги. |
| 5 |
Повторите эти действия для каждого узла HDS по очереди. |
Устранение неполадок безопасности гибридных данных
Просмотр оповещений и устранение неполадок
Развертывание гибридной системы безопасности данных считается недоступным, если все узлы в кластере недоступны или кластер работает настолько медленно, что запросы обрабатываются с задержкой. Если пользователи не могут получить доступ к вашему кластеру гибридной безопасности данных, они испытывают следующие симптомы:
-
Невозможно создать новые пространства (невозможно создать новые ключи)
-
Сообщения и заголовки пространств не удаётся расшифровать для:
-
Новые пользователи добавлены в пространство (невозможно получить ключи)
-
Существующие пользователи в пространстве используют новый клиент (невозможно получить ключи)
-
-
Существующие пользователи в пространстве продолжат успешно работать до тех пор, пока у их клиентов есть кэш ключей шифрования.
Важно должным образом контролировать кластер гибридной системы безопасности данных и оперативно реагировать на любые оповещения, чтобы не допустить перебоев в обслуживании.
Предупреждения
Если возникают проблемы с настройкой гибридной безопасности данных, Partner Hub отображает оповещения администратору организации и отправляет электронные письма на настроенный адрес электронной почты. Оповещения охватывают множество распространенных сценариев.
|
Предупреждать |
Действие |
|---|---|
|
Ошибка доступа к локальной базе данных. |
Проверьте наличие ошибок базы данных или проблем с локальной сетью. |
|
Ошибка подключения к локальной базе данных. |
Проверьте, доступен ли сервер базы данных и использовались ли при настройке узла правильные учетные данные учетной записи службы. |
|
Ошибка доступа к облачному сервису. |
Проверьте, могут ли узлы получить доступ к серверам Webex, как указано в Требованиях к внешнему подключению. |
|
Продление регистрации облачного сервиса. |
Регистрация на облачных сервисах прекращена. Продление регистрации находится в процессе реализации. |
|
Регистрация облачного сервиса прекращена. |
Регистрация на облачных сервисах прекращена. Служба закрывается. |
|
Услуга еще не активирована. |
Активируйте HDS в Partner Hub. |
|
Настроенный домен не соответствует сертификату сервера. |
Убедитесь, что сертификат вашего сервера соответствует настроенному домену активации службы. Наиболее вероятная причина в том, что CN-номер сертификата был недавно изменен и теперь отличается от CN, который использовался при первоначальной настройке. |
|
Не удалось выполнить аутентификацию в облачных сервисах. |
Проверьте точность и возможный срок действия учетных данных сервисной учетной записи. |
|
Не удалось открыть локальный файл хранилища ключей. |
Проверьте целостность и правильность пароля в локальном файле хранилища ключей. |
|
Сертификат локального сервера недействителен. |
Проверьте срок действия сертификата сервера и убедитесь, что он был выдан доверенным центром сертификации. |
|
Невозможно опубликовать метрики. |
Проверьте доступ локальной сети к внешним облачным сервисам. |
|
/media/configdrive/hds каталог не существует. |
Проверьте конфигурацию монтирования ISO на виртуальном хосте. Убедитесь, что файл ISO существует, настроен на монтирование при перезагрузке и успешно монтируется. |
|
Настройка организации-арендатора не завершена для добавленных организаций |
Завершите настройку, создав CMK для вновь добавленных организаций-арендаторов с помощью инструмента настройки HDS. |
|
Настройка организации-арендатора не завершена для удаленных организаций. |
Завершите настройку, отозвав CMK организаций-арендаторов, которые были удалены с помощью инструмента настройки HDS. |
Устранение неполадок в гибридной безопасности данных
| 1 |
Войдите в Partner Hub. |
| 2 |
В меню в левой части экрана выберите Услуги. |
| 3 |
В разделе «Гибрид» найдите «Безопасность гибридных данных» и нажмите События. |
| 4 |
Проверьте страницу истории событий на наличие оповещений и исправьте все обнаруженные там элементы. Для справки смотрите изображение ниже. |
| 5 |
Проверьте выходные данные сервера syslog на наличие активности, связанной с развертыванием гибридной системы безопасности данных. Фильтруйте по таким словам, как «Предупреждение» и «Ошибка», чтобы облегчить устранение неполадок. |
| 6 |
Обратитесь в службу поддержки Cisco. |
Другие заметки
Известные проблемы безопасности гибридных данных
-
Если вы отключите все активные кластеры гибридной системы безопасности данных (удалив их в Partner Hub или отключив все узлы), потеряете файл конфигурации ISO или потеряете доступ к базе данных хранилища ключей, пользователи приложения Webex из организаций клиентов больше не смогут использовать пространства под своим списком людей, созданные с помощью ключей из вашей KMS. В настоящее время у нас нет способа обойти или исправить эту проблему, и мы настоятельно рекомендуем вам не отключать службы HDS, пока они обрабатывают активные учетные записи пользователей.
-
Клиент, у которого имеется существующее соединение ECDH с KMS, поддерживает это соединение в течение определенного периода времени (вероятно, одного часа).
Запустите инструмент настройки HDS с помощью Podman Desktop
Podman — это бесплатный инструмент управления контейнерами с открытым исходным кодом, который позволяет запускать, управлять и создавать контейнеры. Podman Desktop можно загрузить с https://podman-desktop.io/downloads.
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить к нему доступ, загрузите и запустите Podman на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Control Hub с полными правами администратора вашей организации.
Если в вашей среде инструмент настройки HDS работает через прокси-сервер, укажите параметры прокси-сервера (сервер, порт, учетные данные) через переменные среды Docker при запуске контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-прокси без аутентификации
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-прокси с аутентификацией
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS-прокси с аутентификацией
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Создаваемый вами файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. Вам понадобится последняя копия этого файла каждый раз, когда вы вносите изменения в конфигурацию, например:
-
Учетные данные базы данных
-
Обновления сертификатов
-
Изменения в политике авторизации
-
-
Если вы планируете шифровать соединения с базой данных, настройте развертывание PostgreSQL или SQL Server для использования TLS.
Процесс настройки гибридной безопасности данных создает ISO-файл. Затем вы используете ISO для настройки своего хоста гибридной безопасности данных.
| 1 |
Введите соответствующую команду для вашей среды в командной строке компьютера. В обычных средах: В средах FedRAMP: На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать. |
| 2 |
Чтобы войти в реестр образов Docker, введите следующее. |
| 3 |
Введите в запросе пароля этот хеш: |
| 4 |
Скачайте последнюю стабильную версию образа для вашей среды. В обычных средах: В средах FedRAMP: |
| 5 |
По завершении скачивания введите соответствующую команду для вашей среды.
Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080". |
Дальнейшие действия
Перенесите существующее развертывание однопользовательской HDS-системы партнерской организации в Control Hub в многопользовательскую конфигурацию HDS в Partner Hub.
Преобразование существующего однопользовательского развертывания HDS партнерской организации, управляемого в Control Hub, в многопользовательское развертывание HDS, управляемое в Partner Hub, в первую очередь включает деактивацию службы HDS в Control Hub, отмену регистрации узлов и удаление кластера. Затем вы можете войти в Partner Hub, зарегистрировать узлы, активировать Multi-Tenant HDS и добавить клиентов в свой кластер.
Термин «однопользовательская среда» просто относится к существующему развертыванию HDS в Control Hub.
Деактивируйте HDS, отмените регистрацию узлов и удалите все кластеры в Control Hub.
| 1 |
Войдите в Control Hub. На левой панели нажмите Гибрид. На карточке «Безопасность гибридных данных» нажмите Изменить настройки. |
| 2 |
На странице настроек прокрутите вниз до раздела «Деактивировать» и нажмите Деактивировать. |
| 3 |
После деактивации нажмите на вкладку Ресурсы. |
| 4 |
На странице Ресурсы перечислены кластеры в вашем развертывании HDS. Щелкните по кластеру, и откроется страница со всеми узлами этого кластера. |
| 5 |
Нажмите |
| 6 |
Если в вашем развертывании имеется несколько кластеров, повторяйте шаги 4 и 5, пока все узлы не будут отменены. |
| 7 |
Нажмите Настройки кластера. > Удалять. |
| 8 |
Нажмите Подтвердить удаление, чтобы отменить регистрацию кластера. |
| 9 |
Повторите этот процесс для всех кластеров в вашем развертывании HDS. После деактивации HDS, отмены регистрации узлов и удаления кластеров на карточке службы гибридных данных на Control Hub внизу будет отображаться сообщение Настройка не завершена. |
Активируйте Multi-Tenant HDS для партнерской организации в Partner Hub и добавьте клиентов
Прежде чем начать
Все предварительные условия, упомянутые в Требованиях к безопасности многопользовательских гибридных данных, применимы и здесь. Кроме того, убедитесь, что при переходе на Multi-Tenant HDS используются та же база данных и сертификаты.
| 1 |
Войдите в партнерский центр. Нажмите Услуги на левой панели. Для настройки узлов используйте тот же ISO-образ из предыдущего развертывания HDS. Это гарантирует, что сообщения и контент, созданные пользователями в предыдущем развертывании HDS, по-прежнему будут доступны в новой многопользовательской настройке. |
| 2 |
В разделе «Гибрид» найдите карту «Безопасность гибридных данных» и нажмите Настроить. |
| 3 |
На открывшейся странице нажмите Добавить ресурс. |
| 4 |
В первом поле карточки Создать кластер введите имя кластера, которому вы хотите назначить свой узел гибридной безопасности данных. Мы рекомендуем вам называть кластер на основе географического расположения узлов кластера. Примеры: «Сан-Франциско», «Нью-Йорк» или «Даллас». |
| 5 |
Во втором поле введите внутренний IP-адрес или полное доменное имя (FQDN) вашего узла и нажмите Добавить в нижней части экрана. Этот IP-адрес или полное доменное имя должны совпадать с IP-адресом или именем хоста и доменом, которые вы использовали в Настройка гибридной виртуальной машины безопасности данных. Появится сообщение о том, что вы можете зарегистрировать свой узел в Webex.
|
| 6 |
Нажмите Перейти к узлу. Через несколько мгновений вы будете перенаправлены на страницу тестов подключения узлов для служб Webex. Если все тесты пройдут успешно, откроется страница «Разрешить доступ к узлу безопасности гибридных данных». Там вы подтверждаете, что хотите предоставить своей организации Webex разрешения на доступ к вашему узлу. |
| 7 |
Установите флажок Разрешить доступ к узлу безопасности гибридных данных, а затем нажмите Продолжить. Ваша учетная запись проверена, и сообщение «Регистрация завершена» означает, что ваш узел теперь зарегистрирован в облаке Webex. На странице Гибридная безопасность данных новый кластер, содержащий зарегистрированный вами узел, отображается под вкладкой Ресурсы. Узел автоматически загрузит последнюю версию программного обеспечения из облака.
|
| 8 |
Перейдите на вкладку Настройки и нажмите Активировать на карточке состояния HDS. В нижней части экрана появится сообщение об активации HDS.
|
| 9 |
Нажмите на вкладку Назначенные клиенты. |
| 10 |
Нажмите Добавить клиентов. |
| 11 |
В раскрывающемся меню выберите клиента, которого хотите добавить. |
| 12 |
Нажмите Добавить, клиент будет добавлен в кластер. |
| 13 |
Повторите шаги с 11 по 13, чтобы добавить несколько клиентов в ваш кластер. |
| 14 |
После добавления клиентов нажмите кнопку Готово в нижней части экрана. |
Дальнейшие действия
Используйте OpenSSL для создания файла PKCS12
Прежде чем начать
-
OpenSSL — один из инструментов, который можно использовать для преобразования файла PKCS12 в нужный формат для загрузки в HDS Setup Tool. Существуют и другие способы сделать это, и мы не поддерживаем и не продвигаем какой-либо один способ в ущерб другому.
-
Если вы решите использовать OpenSSL, мы предоставляем эту процедуру в качестве руководства, которое поможет вам создать файл, соответствующий требованиям сертификата X.509, см . Требования к сертификату X.509. Прежде чем продолжить, ознакомьтесь с этими требованиями.
-
Установите OpenSSL в поддерживаемой среде. Программное обеспечение и документацию см. в https://www.openssl.org.
-
Создайте закрытый ключ.
-
Начните эту процедуру после получения сертификата сервера от вашего Центра Сертификации (ЦС).
| 1 |
Получив сертификат сервера от вашего центра сертификации, сохраните его как |
| 2 |
Отобразите сертификат в виде текста и проверьте данные.
|
| 3 |
Используйте текстовый редактор для создания файла пакета сертификатов с именем
|
| 4 |
Создайте файл . p12 с понятным именем
|
| 5 |
Проверьте данные сертификата сервера. |
Дальнейшие действия
Вернитесь к Выполните предварительные условия для гибридной безопасности данных. Файл hdsnode.p12 и установленный для него пароль будут использоваться в разделе Создание образа ISO конфигурации для хостов HDS.
Вы можете повторно использовать эти файлы для запроса нового сертификата по истечении срока действия исходного сертификата.
Трафик между узлами HDS и облаком
Сбор исходящих метрик трафика
Узлы гибридной безопасности данных отправляют определенные показатели в облако Webex. К ним относятся системные метрики для максимального размера кучи, используемой кучи, загрузки ЦП и количества потоков; метрики синхронных и асинхронных потоков; метрики оповещений, включающих пороговое значение шифрованных соединений, задержку или длину очереди запросов; метрики хранилища данных; и метрики шифрованных соединений. Узлы отправляют зашифрованный ключевой материал по внеполосному (отдельному от запроса) каналу.
Входящий трафик
Узлы гибридной безопасности данных получают следующие типы входящего трафика из облака Webex:
-
Запросы на шифрование от клиентов, которые маршрутизируются службой шифрования
-
Обновления программного обеспечения узла
Настройка прокси Squid для безопасности данных гибридного типа
Невозможно выполнить подключение веб-сокетов через прокси Squid
Прокси-серверы Squid, проверяющие трафик HTTPS, могут мешать установлению соединений websocket (wss:), требуемых гибридной безопасностью данных. В этих разделах приведены рекомендации по настройке различных версий Squid для игнорирования трафика wss: для корректной работы служб.
Squid 4 и 5
Добавьте директиву on_unsupported_protocol к squid.conf:
on_unsupported_protocol tunnel allSquid 3.5.27
Мы успешно протестировали гибридную безопасность данных, добавив следующие правила в squid.conf. Эти правила могут изменяться по мере разработки функций и обновления облака Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allНовая и измененная информация
Новая и измененная информация
В этой таблице описываются новые функции или возможности, изменения существующего контента, а также любые серьезные ошибки, которые были исправлены в Руководстве по развертыванию многопользовательской гибридной системы безопасности данных.
|
Дата |
Внесены изменения |
|---|---|
|
5 декабря 2025 г. |
|
|
21 ноября 2025 г. |
|
|
8 мая 2025 г. |
|
| 4 марта 2025 г. |
|
|
30 января 2025 г. |
Добавлена версия SQL-сервера 2022 в список поддерживаемых SQL-серверов в Требования к серверу базы данных. |
|
15 января 2025 г. |
Добавлены Ограничения многопользовательской гибридной безопасности данных. |
|
8 января 2025 г. |
Добавлено примечание в Выполнение первоначальной настройки и загрузка установочных файлов, в котором говорится, что нажатие Настроить на карте HDS в Partner Hub является важным этапом процесса установки. |
|
7 января 2025 г. |
Обновлены Требования к виртуальному хосту, Поток задач развертывания гибридной системы безопасности данныхи Установка OVA хоста HDS, чтобы отобразить новые требования ESXi 7.0. |
|
13 декабря 2024 г. |
Впервые опубликовано. |
Деактивировать многопользовательскую гибридную защиту данных
Поток задач деактивации многопользовательской HDS
Выполните следующие действия, чтобы полностью деактивировать Multi-Tenant HDS.
Прежде чем начать
| 1 |
Удалите всех клиентов из всех ваших кластеров, как указано в разделе Удаление организаций-арендаторов. |
| 2 |
Отозвать CMK всех клиентов, как указано в Отозвать CMK арендаторов, удаленных из HDS.. |
| 3 |
Удалите все узлы из всех ваших кластеров, как указано в разделе Удаление узла. |
| 4 |
Удалите все свои кластеры из Partner Hub, используя один из следующих двух методов.
|
| 5 |
Нажмите на вкладку Настройки на странице обзора гибридной безопасности данных и нажмите Деактивировать HDS на карточке состояния HDS. |
Вопросы и ответы
Вопросы и ответы
В. Хранятся ли CMK и главный ключ в ISO или в базе данных?
О. Основные ключи клиента (CMK) хранятся в базе данных и шифруются с помощью главного ключа, который хранится в ISO.
В. Используется ли один ключ для шифрования всех данных организаций-клиентов?
О. Нет. Данные каждой организации-клиента шифруются с помощью собственного CMK (основного ключа клиента).
В. Что произойдет, если я отключу HDS в Partner Hub?
О. Некоторые операции, такие как создание пространства и планирование встреч, будут затронуты немедленно. Существующий контент в пространствах будет доступен до истечения срока действия локального кэша. Через 24 часа пользователи, управляемые партнером, переключатся на Cloud KMS, а с ранее созданными пространствами и индивидуальными пространствами могут возникнуть проблемы.
В. После того, как CMK сгенерирован для клиентской организации с помощью инструмента настройки HDS, могут ли пользователи клиентской организации немедленно начать использовать Multi-Tenant HDS?
О. Максимальная задержка обновления облачного кэша может составлять 24 часа.
В. Почему я не вижу список клиентов, когда нажимаю кнопку «Добавить клиентов» в Partner Hub?
О. Обычно это означает, что нет организаций-клиентов, которые соответствуют требованиям к лицензии Cisco Webex.
В. Каковы будут последствия отключения всех узлов HDS или если сетевая проблема затронет все узлы HDS?
О. Такие операции, как создание пространств и планирование встреч, будут затронуты немедленно. Существующий контент доступен только до истечения срока действия локального кэша.
В. Шифруются ли пользовательские данные партнерской организации с помощью главного ключа, сгенерированного во время создания ISO?
О. Да. В настоящее время данные пользователей партнерской организации шифруются с помощью главного ключа. В будущем партнерские организации будут иметь специфичные для партнера ключи, аналогичные клиентским CMK.
В. Могут ли организация-партнер и организация-арендатор находиться в разных регионах (например, в США и ЕС)?
О. Да. Организации-партнеры и арендаторы могут находиться в разных географических регионах.
В. Существует ли какой-либо механизм возврата ключей в Cloud KMS?
О. Механизма возврата ключей в облако после развертывания HDS не предусмотрено.
В. Может ли партнер продолжать использовать Cloud KMS и использовать Multi-Tenant HDS исключительно для управления клиентами?
О. Нет, в настоящее время эта функция не поддерживается. Поддержка этой функциональности запланирована на будущее.
В. Как партнер может проверить, использует ли его организация Multi-Tenant HDS для шифрования?
О. Войдите в партнерский центр. Перейти к Услуги > Гибридная безопасность данных > Настройки . Если статус HDS активирован, пользователи партнерской организации, а также назначенные клиенты используют Multi-Tenant HDS.
Кроме того, вы можете проверить системные журналы, чтобы убедиться, что HDS активирован. См. Тестирование гибридного развертывания системы безопасности данных.
В. Существует ли альтернатива Docker Desktop для запуска инструмента настройки HDS?
О. Да. Pod man Desktop — это альтернатива Docker Desktop с открытым исходным кодом. См. Запуск инструмента настройки HDS с помощью Podman Desktop.
В. Сколько узлов я могу развернуть в многопользовательском кластере HDS?
О. Мы рекомендуем минимум два узла и максимум 1000.
В. Какие сетевые требования необходимы для настройки Multi-Tenant HDS?
В. Является ли Pro Pack для Control Hub обязательным требованием для партнерских организаций?
О. Нет. Pro Pack не является обязательным требованием для партнерских организаций. Обратитесь к своему партнеру Cisco или менеджеру по работе с клиентами за помощью в настройке Multi-Tenant HDS.
В. Поддерживается ли HSM в Multi-Tenant HDS?
О. Нет, в настоящее время Multi-Tenant HDS не поддерживает HSM.
В. Могу ли я протестировать Multi-Tenant HDS с помощью самоподписанного сертификата?
О. Нет. Для Multi-Tenant HDS требуется сертификат, полученный от доверенного центра сертификации, который соответствует всем требованиям, указанным в Требованиях к сертификатам X.509.
В. Нужно ли монтировать ISO-образ каждый раз при добавлении нового клиента в Partner Hub?
О. Нет. ISO-образ необходимо монтировать только при изменении конфигураций ISO. При добавлении нового клиента в Partner Hub убедитесь, что вы можете создавать CMK с помощью инструмента настройки HDS. См. Создание основных ключей клиентов (CMK) с помощью инструмента настройки HDS.
В. После развертывания Multi-Tenant HDS на Partner Hub, начнут ли пользователи партнерской организации использовать локальную KMS для управления ключами?
О. Пользователи начнут использовать локальную систему KMS для управления ключами только после активации HDS в Partner Hub.
Начните работу с многопользовательской гибридной системой безопасности данных
Обзор безопасности многопользовательских гибридных данных
С самого начала при разработке приложения Webex основное внимание уделялось безопасности данных. Краеугольным камнем этой безопасности является сквозное шифрование контента, которое обеспечивается клиентами приложения Webex, взаимодействующими со службой управления ключами (KMS). KMS отвечает за создание и управление криптографическими ключами, которые используются клиентами для динамического шифрования и расшифровки сообщений и файлов.
По умолчанию все клиенты приложения Webex получают сквозное шифрование с динамическими ключами, хранящимися в облаке KMS в сфере безопасности Cisco. Служба безопасности данных гибридного типа перемещает KMS и другие функции безопасности в корпоративный центр обработки данных, поэтому доступ к ключам для зашифрованного контента будет только у вас.
Многопользовательская гибридная система безопасности данных позволяет организациям использовать HDS через доверенного локального партнера, который может выступать в качестве поставщика услуг и управлять локальным шифрованием и другими службами безопасности. Такая настройка позволяет партнерской организации иметь полный контроль над развертыванием и управлением ключами шифрования, а также обеспечивает безопасность пользовательских данных организаций-клиентов от внешнего доступа. Партнерские организации настраивают экземпляры HDS и создают кластеры HDS по мере необходимости. Каждый экземпляр может поддерживать несколько организаций-клиентов, в отличие от обычного развертывания HDS, которое ограничено одной организацией.
Это также позволяет небольшим организациям использовать HDS, поскольку служба управления ключами и инфраструктура безопасности, например центры обработки данных, принадлежат доверенному локальному партнеру.
Как многопользовательская гибридная система безопасности данных обеспечивает суверенитет данных и контроль над ними
- Пользовательский контент защищен от внешнего доступа, например от поставщиков облачных услуг.
- Местные доверенные партнеры управляют ключами шифрования клиентов, с которыми у них уже налажены отношения.
- Возможность локальной технической поддержки, если она предоставляется партнером.
- Поддерживает контент встреч, обмена сообщениями и звонков.
Целью настоящего документа является оказание помощи партнерским организациям в настройке и управлении клиентами в рамках многопользовательской гибридной системы безопасности данных.
Ограничения многопользовательской гибридной безопасности данных
- У партнерских организаций не должно быть активных развертываний HDS в Control Hub.
- Организации-арендаторы или клиенты, желающие, чтобы ими управлял партнер, не должны иметь существующих развертываний HDS в Control Hub.
- После развертывания партнером Multi-Tenant HDS все пользователи организаций-клиентов, а также пользователи организации-партнера начинают использовать Multi-Tenant HDS для своих сервисов шифрования.
Партнерская организация и клиентские организации, которыми они управляют, будут находиться в одном и том же развертывании Multi-Tenant HDS.
Партнерская организация больше не будет использовать облачный KMS после развертывания Multi-Tenant HDS.
- Механизма возврата ключей в Cloud KMS после развертывания HDS не предусмотрено.
- Роли администратора имеют определенные ограничения; подробности см. в разделе ниже.
Роли в многопользовательской гибридной безопасности данных
- Партнер с полными правами администратора — Может управлять настройками для всех клиентов, которыми управляет партнер. Также может назначать роли администратора существующим пользователям в организации и назначать определенных клиентов, которыми будут управлять администраторы партнера.
- Администратор партнера — Может управлять настройками для клиентов, предоставленных администратором или назначенных пользователю.
- Полный администратор — администратор партнерской организации, который уполномочен выполнять такие задачи, как изменение настроек организации, управление лицензиями и назначение ролей.
- Настройка сквозной многопользовательской HDS-системы и управление всеми организациями-клиентами — Требуются права полного администратора и полного администратора партнера.
- Управление назначенными организациями-арендаторами — требуются права администратора-партнера и полные права администратора.
Архитектура сферы безопасности
Облачная архитектура Webex разделяет различные типы сервисов на отдельные области или домены доверия, как показано ниже.
Чтобы лучше понять концепцию гибридной безопасности данных, давайте сначала рассмотрим чисто облачный случай, в котором Cisco предоставляет все функции в своих облачных средах. Служба идентификации — единственное место, где пользователи могут быть напрямую соотнесены с их личной информацией, например адресом электронной почты, — логически и физически отделена от области безопасности в центре обработки данных B. Обе, в свою очередь, отделены от области, где в конечном итоге хранится зашифрованный контент, в центре обработки данных C.
На этой схеме клиентом является приложение Webex, работающее на ноутбуке пользователя и прошедшее аутентификацию в службе удостоверений. Когда пользователь составляет сообщение для отправки в пространство, происходят следующие шаги:
-
Клиент устанавливает защищенное соединение со службой управления ключами (KMS), затем запрашивает ключ для шифрования сообщения. Защищенное соединение использует ECDH, а KMS шифрует ключ с помощью главного ключа AES-256.
-
Сообщение шифруется перед отправкой клиенту. Клиент отправляет его в службу индексации, которая создает зашифрованные поисковые индексы для облегчения будущих поисков контента.
-
Зашифрованное сообщение отправляется в службу соответствия для проверки соответствия.
-
Зашифрованное сообщение сохраняется в области хранения.
При развертывании гибридной системы безопасности данных вы переносите функции сферы безопасности (KMS, индексирование и соответствие требованиям) в локальный центр обработки данных. Другие облачные сервисы, входящие в состав Webex (включая хранилище идентификационных данных и контента), остаются в ведении Cisco.
Сотрудничество с другими организациями
Пользователи в вашей организации могут регулярно использовать приложение Webex для совместной работы с внешними участниками из других организаций. Когда один из ваших пользователей запрашивает ключ для пространства, принадлежащего вашей организации (поскольку оно было создано одним из ваших пользователей), ваша KMS отправляет ключ клиенту по защищенному каналу ECDH. Однако если ключом к пространству владеет другая организация, ваша KMS направляет запрос в облако Webex через отдельный канал ECDH для получения ключа от соответствующей KMS, а затем возвращает ключ вашему пользователю по исходному каналу.
Служба KMS, работающая в Org A, проверяет соединения с KMS в других организациях, используя сертификаты x.509 PKI. Подробную информацию о создании сертификата x.509 для использования с вашим развертыванием многопользовательской гибридной системы безопасности данных см. в разделе Подготовка вашей среды.
Ожидания от развертывания гибридной системы безопасности данных
Развертывание гибридной системы безопасности данных требует значительной приверженности и понимания рисков, связанных с владением ключами шифрования.
Для развертывания гибридной системы безопасности данных необходимо предоставить:
-
Безопасный центр обработки данных в стране, которая является поддерживаемым местоположением для планов Cisco Webex Teams.
-
Оборудование, программное обеспечение и сетевой доступ, описанные в разделе Подготовьте свою среду.
Полная потеря либо образа конфигурации ISO, созданного вами для гибридной безопасности данных, либо предоставленной вами базы данных приведет к потере ключей. Потеря ключа не позволит пользователям расшифровать контент пространства и другие зашифрованные данные в приложении Webex. Если это произойдет, вы можете создать новое развертывание, но виден будет только новый контент. Чтобы избежать потери доступа к данным, необходимо:
-
Управление резервным копированием и восстановлением базы данных и ISO-образа конфигурации.
-
Будьте готовы выполнить быстрое аварийное восстановление в случае возникновения катастрофы, например, сбоя диска базы данных или аварии центра обработки данных.
Механизма возврата ключей в облако после развертывания HDS не предусмотрено.
Процесс настройки высокого уровня
В этом документе описывается настройка и управление развертыванием многопользовательской гибридной системы безопасности данных:
-
Настройка гибридной системы безопасности данных— Сюда входит подготовка необходимой инфраструктуры и установка программного обеспечения гибридной системы безопасности данных, построение кластера HDS, добавление организаций-арендаторов в кластер и управление их основными ключами клиентов (CMK). Это позволит всем пользователям ваших организаций-клиентов использовать ваш кластер гибридной защиты данных для выполнения функций безопасности.
Фазы настройки, активации и управления подробно рассматриваются в следующих трех главах.
-
Поддерживайте свое гибридное развертывание системы безопасности данных— Облако Webex автоматически предоставляет текущие обновления. Ваш ИТ-отдел может обеспечить поддержку первого уровня для этого развертывания и при необходимости обратиться за поддержкой Cisco. В Partner Hub вы можете использовать экранные уведомления и настраивать оповещения по электронной почте.
-
Ознакомьтесь с распространенными оповещениями, шагами по устранению неполадок и известными проблемами— Если у вас возникли проблемы при развертывании или использовании гибридной системы безопасности данных, последняя глава этого руководства и приложение «Известные проблемы» могут помочь вам определить и устранить проблему.
Гибридная модель развертывания безопасности данных
В вашем корпоративном центре обработки данных вы развертываете гибридную систему безопасности данных как единый кластер узлов на отдельных виртуальных хостах. Узлы взаимодействуют с облаком Webex через защищенные веб-сокеты и защищенный протокол HTTP.
В процессе установки мы предоставим вам OVA-файл для настройки виртуального устройства на предоставленных вами виртуальных машинах. С помощью инструмента настройки HDS вы создаете пользовательский файл конфигурации кластера ISO, который монтируете на каждом узле. Гибридный кластер безопасности данных использует предоставленный вами сервер Syslogd и базу данных PostgreSQL или Microsoft SQL Server. (Настройка Syslogd и параметров подключения к базе данных выполняется в инструменте настройки HDS.)
Минимальное количество узлов в кластере — два. Мы рекомендуем использовать не менее трех экземпляров на кластер. Наличие нескольких узлов гарантирует, что обслуживание не будет прерываться во время обновления программного обеспечения или других работ по техническому обслуживанию на узле. (Облако Webex обновляет только один узел за раз.)
Все узлы в кластере имеют доступ к одному и тому же хранилищу ключевых данных и регистрируют активность на одном и том же сервере syslog. Сами узлы не имеют состояния и обрабатывают ключевые запросы циклически, в соответствии с указаниями облака.
Узлы становятся активными после их регистрации в Partner Hub. Чтобы вывести отдельный узел из эксплуатации, вы можете отменить его регистрацию, а затем при необходимости перерегистрировать его.
Резервный центр обработки данных для аварийного восстановления
Во время развертывания вы настраиваете безопасный резервный центр обработки данных. В случае аварии в центре обработки данных вы можете вручную перенести развертывание на резервный центр обработки данных.
Базы данных активного и резервного центров обработки данных синхронизированы друг с другом, что позволяет минимизировать время, необходимое для выполнения аварийного переключения.
Активные узлы гибридной безопасности данных всегда должны находиться в том же центре обработки данных, что и активный сервер базы данных.
Создайте резервный центр обработки данных для аварийного восстановления
Чтобы настроить ISO-файл резервного центра обработки данных, выполните следующие действия:
Прежде чем начать
-
Резервный центр обработки данных должен зеркалировать производственную среду виртуальных машин и резервную базу данных PostgreSQL или Microsoft SQL Server. Например, если в производственной среде имеется 3 виртуальные машины, на которых работают узлы HDS, в резервной среде должно быть 3 виртуальные машины. (Обзор этой модели отказоустойчивости см. в разделе Резервный центр обработки данных для аварийного восстановления.)
-
Убедитесь, что синхронизация базы данных включена между базой данных активного и пассивного узлов кластера.
| 1 |
Запустите средство настройки HDS и следуйте инструкциям в разделе Создание образа ISO-образа конфигурации для хостов HDS. Файл ISO должен быть копией исходного файла ISO основного центра обработки данных, в который будут внесены следующие обновления конфигурации. |
| 2 |
После настройки сервера Syslogd нажмите Дополнительные параметры |
| 3 |
На странице Дополнительные параметры добавьте указанную ниже конфигурацию, чтобы перевести узел в пассивный режим. В этом режиме узел будет зарегистрирован в организации и подключен к облаку, но не будет обрабатывать никакой трафик.
|
| 4 |
Завершите процесс настройки и сохраните ISO-файл в месте, которое легко найти. |
| 5 |
Создайте резервную копию ISO-файла на локальной системе. Сохраните резервную копию в надежном месте. Этот файл содержит главный ключ шифрования содержимого базы данных. Ограничьте доступ только тем администраторам гибридной безопасности данных, которые должны вносить изменения в конфигурацию. |
| 6 |
На левой навигационной панели клиента VMware vSphere щелкните правой кнопкой мыши виртуальную машину и выберите Изменить параметры.. |
| 7 |
Нажмите Изменить настройки. >CD/DVD Диск 1 и выберите файл ISO хранилища данных. Убедитесь, что флажки Подключено и Подключаться при включении питания установлены, чтобы обновленные изменения конфигурации вступили в силу после запуска узлов. |
| 8 |
Включите узел HDS и убедитесь, что в течение как минимум 15 минут не будет никаких сигналов тревоги. |
| 9 |
Повторите процесс для каждого узла в резервном центре обработки данных. Проверьте системные журналы, чтобы убедиться, что узлы находятся в пассивном режиме. В системных журналах вы должны увидеть сообщение «KMS настроен в пассивном режиме». |
Дальнейшие действия
После настройки passiveMode в ISO-файле и его сохранения вы можете создать еще одну копию ISO-файла без конфигурации passiveMode и сохранить ее в безопасном месте. Эта копия файла ISO без настроенных passiveMode может помочь в быстром процессе переключения при аварийном восстановлении. Подробную процедуру аварийного переключения см. в разделе Восстановление после сбоя с использованием резервного центра обработки данных.
Поддержка прокси
Служба безопасности данных гибридного типа поддерживает явные прокси, прозрачные прокси с проверкой и прокси без проверки. Чтобы обеспечить защиту и мониторинг трафика из сети предприятия в облако, можно связать эти прокси с развертыванием. После настройки прокси на узлах административный интерфейс платформы на узлах можно использовать для управления сертификатами и просмотра общего состояния соединений.
Узлы безопасности данных гибридного типа поддерживают указанные далее параметры прокси.
-
Без прокси— по умолчанию, если вы не используете настройку узла HDS Trust Store & Конфигурация прокси-сервера для интеграции прокси-сервера. Обновление сертификата не требуется.
-
Прозрачный непроверяющий прокси-сервер— узлы не настроены на использование определенного адреса прокси-сервера и не должны требовать никаких изменений для работы с непроверяющим прокси-сервером. Обновление сертификата не требуется.
-
Прозрачное туннелирование или проверка прокси-сервера— Узлы не настроены на использование определенного адреса прокси-сервера. На узлах не нужно изменять конфигурацию HTTP или HTTPS. Как бы то ни было, для обеспечения доверия прокси узлам необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже HTTPS).
-
Явный прокси— При использовании явного прокси вы указываете узлам HDS, какой прокси-сервер и схему аутентификации использовать. Для настройки явного прокси на каждом узле нужно ввести следующую информацию.
-
Прокси IP/FQDN— Адрес, который можно использовать для доступа к прокси-машине.
-
Порт прокси-сервера— номер порта, который прокси-сервер использует для прослушивания прокси-трафика.
-
Протокол прокси-сервера— В зависимости от того, что поддерживает ваш прокси-сервер, выберите один из следующих протоколов:
-
HTTP – просматривает все запросы, отправляемые клиентом, и управляет этими запросами.
-
HTTPS – обеспечивает работу канала связи с сервером. Клиент получает и проверяет сертификат сервера.
-
-
Тип аутентификации— выберите один из следующих типов аутентификации:
-
Нет— Дальнейшая аутентификация не требуется.
Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.
-
Базовый— используется HTTP-агентом пользователя для предоставления имени пользователя и пароля при выполнении запроса. Использует кодировку Base64.
Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.
Требует ввода имени пользователя и пароля на каждом узле.
-
Дайджест— используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети.
Этот параметр доступен только в том случае, если в качестве протокола прокси выбран протокол HTTPS.
Требует ввода имени пользователя и пароля на каждом узле.
-
-
Пример узлов безопасности данных гибридного типа и прокси
На этой схеме представлен пример соединения между системой безопасности данных гибридного типа, сетью и прокси. При использовании прозрачного прокси с проверкой или явного прокси с проверкой HTTPS на прокси и узлы безопасности данных гибридного типа необходимо установить один и тот же корневой сертификат.
Режим блокировки разрешения внешних DNS (конфигурации явного прокси)
При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. В развертываниях с конфигурациями явного прокси, которые не допускают разрешения внешних DNS для внутренних клиентов, если узел не может посылать запросы на DNS-серверы, он автоматически переходит в режим блокировки разрешения внешних DNS. В этом режиме можно продолжить регистрацию узла и другие тестирования подключения к прокси.
Подготовка среды
Требования к безопасности многопользовательских гибридных данных
Требования к лицензии Cisco Webex
Чтобы развернуть многопользовательскую гибридную систему безопасности данных:
-
Партнерские организации: Обратитесь к своему партнеру Cisco или менеджеру по работе с клиентами и убедитесь, что функция Multi-Tenant включена.
-
Организации арендаторов: Для Cisco Webex Control Hub вам потребуется Pro Pack. См. https://www.cisco.com/go/pro-pack.
Требования к рабочему столу Docker
Перед установкой узлов HDS вам понадобится Docker Desktop для запуска программы установки. Docker недавно обновил свою модель лицензирования. Для вашей организации может потребоваться платная подписка на Docker Desktop. Подробности см. в записи блога Docker, " Docker обновляет и расширяет подписки на продукты".
Клиенты без лицензии Docker Desktop могут использовать инструмент управления контейнерами с открытым исходным кодом, такой как Podman Desktop, для запуска, управления и создания контейнеров. Подробности см. в разделе Запуск средства настройки HDS с помощью Podman Desktop.
Требования к сертификату X.509
Цепочка сертификатов должна соответствовать следующим требованиям:
|
Требование |
Подробности |
|---|---|
|
По умолчанию мы доверяем центрам сертификации из списка Mozilla (за исключением WoSign и StartCom) по адресу https://wiki.mozilla.org/CA:IncludedCAs. |
|
CN не обязательно должен быть доступен или представлять собой работающий хост. Мы рекомендуем вам использовать имя, отражающее вашу организацию, например, CN не должен содержать * (подстановочный знак). CN используется для проверки узлов безопасности гибридных данных для клиентов приложения Webex. Все узлы гибридной безопасности данных в вашем кластере используют один и тот же сертификат. Ваш KMS идентифицирует себя, используя домен CN, а не любой домен, определенный в полях x.509v3 SAN. После регистрации узла с этим сертификатом мы не поддерживаем изменение доменного имени CN. |
|
Программное обеспечение KMS не поддерживает подписи SHA1 для проверки подключений к KMS других организаций. |
|
Для изменения формата сертификата вы можете использовать конвертер, например OpenSSL. При запуске HDS Setup Tool вам потребуется ввести пароль. |
Программное обеспечение KMS не устанавливает жестких ограничений на использование ключей или расширенных ограничений на использование ключей. Некоторые центры сертификации требуют, чтобы к каждому сертификату применялись расширенные ограничения использования ключа, например аутентификация сервера. Можно использовать аутентификацию сервера или другие настройки.
Требования к виртуальному хосту
Виртуальные хосты, которые вы настроите в качестве узлов гибридной безопасности данных в вашем кластере, имеют следующие требования:
-
Как минимум два отдельных хоста (рекомендуется 3), размещенных в одном защищенном центре обработки данных
-
Установленная и работающая VMware ESXi 7.0 или 8.0.
Если у вас более ранняя версия ESXi, вам необходимо выполнить обновление.
-
Минимум 4 виртуальных ЦП, 8 ГБ основной памяти, 30 ГБ локального жесткого диска на сервер
Требования к серверу базы данных
Создайте новую базу данных для хранения ключей. Не используйте базу данных по умолчанию. Приложения HDS после установки создают схему базы данных.
Существует два варианта сервера базы данных. Требования к каждому из них следующие:
|
PostgreSQL |
Microsoft SQL Server |
|---|---|
|
|
|
Минимум 8 виртуальных ЦП, 16 ГБ основной памяти, достаточное пространство на жестком диске и мониторинг, чтобы гарантировать, что оно не будет превышено (рекомендуется 2 ТБ, если вы хотите, чтобы база данных работала в течение длительного времени без необходимости увеличения объема хранилища) |
Минимум 8 виртуальных ЦП, 16 ГБ основной памяти, достаточное пространство на жестком диске и мониторинг, чтобы гарантировать, что оно не будет превышено (рекомендуется 2 ТБ, если вы хотите, чтобы база данных работала в течение длительного времени без необходимости увеличения объема хранилища) |
В настоящее время программное обеспечение HDS устанавливает следующие версии драйверов для связи с сервером базы данных:
|
PostgreSQL |
Microsoft SQL Server |
|---|---|
|
Драйвер Postgres JDBC 42.2.5 |
Драйвер JDBC SQL Server 4.6 Эта версия драйвера поддерживает SQL Server Always On ( экземпляры отказоустойчивого кластера Always On и группы доступности Always On). |
Дополнительные требования к аутентификации Windows на Microsoft SQL Server
Если вы хотите, чтобы узлы HDS использовали аутентификацию Windows для доступа к базе данных хранилища ключей на Microsoft SQL Server, вам потребуется следующая конфигурация в вашей среде:
-
Узлы HDS, инфраструктура Active Directory и MS SQL Server должны быть синхронизированы с NTP.
-
Учетная запись Windows, которую вы предоставляете узлам HDS, должна иметь read/write доступ к базе данных.
-
DNS-серверы, которые вы предоставляете узлам HDS, должны иметь возможность разрешать ваш центр распространения ключей (KDC).
-
Вы можете зарегистрировать экземпляр базы данных HDS на вашем сервере Microsoft SQL Server в качестве имени участника службы (SPN) в вашем Active Directory. См. Регистрация имени участника службы для подключений Kerberos.
Инструмент настройки HDS, средство запуска HDS и локальный KMS должны использовать аутентификацию Windows для доступа к базе данных хранилища ключей. Они используют данные из вашей конфигурации ISO для создания SPN при запросе доступа с аутентификацией Kerberos.
Требования к внешнему подключению
Настройте брандмауэр так, чтобы разрешить следующие подключения для приложений HDS:
|
Приложение |
Протокол |
Порт |
Направление из приложения |
Назначение |
|---|---|---|---|---|
|
Гибридные узлы безопасности данных |
Протокол TCP |
443 |
Исходящие HTTPS и WSS |
|
|
Инструмент настройки HDS |
Протокол TCP |
443 |
Исходящий HTTPS |
|
Узлы гибридной защиты данных работают с преобразованием сетевого доступа (NAT) или за брандмауэром, при условии, что NAT или брандмауэр разрешают требуемые исходящие соединения с назначениями доменов, указанными в предыдущей таблице. Для входящих подключений к узлам гибридной системы безопасности данных ни один порт не должен быть виден из Интернета. В вашем центре обработки данных клиентам необходим доступ к узлам гибридной безопасности данных на TCP-портах 443 и 22 для административных целей.
URL-адреса хостов Common Identity (CI) зависят от региона. Текущие хосты CI:
|
Регион |
URL-адреса хостов общей идентификации |
|---|---|
|
Северная и Южная Америка |
|
|
Европейский союз |
|
|
Канада |
|
| Сингапур |
|
| Объединенные Арабские Эмираты |
|
Требования к прокси-серверу
-
Мы официально поддерживаем следующие решения для прокси, которые можно интегрировать с узлами безопасности данных гибридного типа:
-
для прозрачных прокси – Cisco Web Security Appliance (WSA);
-
для явных прокси – Squid.
Прокси-серверы Squid, которые проверяют HTTPS-трафик, могут помешать установлению соединения WebSocket. (wss:) связи. Чтобы обойти эту проблему, см. Настройка прокси-серверов Squid для гибридной безопасности данных.
-
-
Поддерживаются следующие комбинации типов аутентификации для явных прокси:
-
без аутентификации при использовании HTTP или HTTPS;
-
базовая аутентификация при использовании HTTP или HTTPS;
-
дайджест-аутентификация только при использовании HTTPS;
-
-
При наличии прозрачного прокси с проверкой или явного прокси HTTPS необходимо иметь копию корневого сертификата прокси. Инструкции по развертыванию, приведенные в этом руководстве, содержат информацию о том, как загрузить эту копию в зоны доверия узлов безопасности данных гибридного типа.
-
Сеть, в которой размещены узлы HDS, должна обеспечивать принудительную маршрутизацию исходящего трафика TCP на порте 443 через прокси.
-
Прокси, проверяющие веб-трафик, могут нарушать работу соединений веб-сокетов. Если возникла эта проблема, обход (отсутствие проверки) трафика в
wbx2.comиciscospark.comрешит ее.
Выполните предварительные условия для гибридной безопасности данных
| 1 |
Убедитесь, что в вашей партнерской организации включена функция Multi-Tenant HDS, и получите данные учетной записи с правами полного администратора партнера. Убедитесь, что в вашей организации клиентов Webex включена поддержка Pro Pack для Cisco Webex Control Hub. Обратитесь за помощью в этом процессе к своему партнеру Cisco или менеджеру по работе с клиентами. У организаций-клиентов не должно быть развернутых систем HDS. |
| 2 |
Выберите доменное имя для развертывания HDS (например, |
| 3 |
Подготовьте идентичные виртуальные хосты, которые вы настроите в качестве узлов гибридной безопасности данных в своем кластере. Вам необходимо как минимум два отдельных хоста (рекомендуется 3), размещенных в одном защищенном центре обработки данных, которые соответствуют требованиям, указанным в Требованиях к виртуальному хосту. |
| 4 |
Подготовьте сервер базы данных, который будет выступать в качестве ключевого хранилища данных для кластера, в соответствии с Требованиями к серверу базы данных. Сервер базы данных должен быть размещен в защищенном центре обработки данных вместе с виртуальными хостами. |
| 5 |
Для быстрого восстановления после сбоя создайте резервную среду в другом центре обработки данных. Среда резервного копирования зеркально отражает производственную среду виртуальных машин и резервного сервера базы данных. Например, если в производственной среде имеется 3 виртуальные машины, на которых работают узлы HDS, в резервной среде должно быть 3 виртуальные машины. |
| 6 |
Настройте хост syslog для сбора журналов с узлов в кластере. Соберите его сетевой адрес и порт syslog (по умолчанию UDP 514). |
| 7 |
Создайте безопасную политику резервного копирования для узлов гибридной безопасности данных, сервера базы данных и хоста системного журнала. Как минимум, чтобы предотвратить невосстановимую потерю данных, необходимо создать резервную копию базы данных и файла конфигурации ISO, созданного для узлов гибридной безопасности данных. Поскольку узлы гибридной защиты данных хранят ключи, используемые для шифрования и дешифрования контента, невозможность поддержания оперативного развертывания приведет к НЕВОССТАНОВИМОЙ ПОТЕРЕ этого контента. Клиенты приложения Webex кэшируют свои ключи, поэтому сбой может быть не заметен сразу, но станет очевидным со временем. Хотя временные сбои невозможно предотвратить, их можно устранить. Однако полная потеря (отсутствие резервных копий) базы данных или файла конфигурации ISO приведет к невозможности восстановления данных клиентов. Операторы узлов гибридной безопасности данных должны регулярно создавать резервные копии базы данных и файла конфигурации ISO, а также быть готовыми к восстановлению центра обработки данных гибридной безопасности данных в случае катастрофического сбоя. |
| 8 |
Убедитесь, что конфигурация вашего брандмауэра допускает подключение к вашим узлам гибридной безопасности данных, как указано в разделе Требования к внешнему подключению. |
| 9 |
Установите Docker ( https://www.docker.com) на любой локальный компьютер под управлением поддерживаемой ОС (Microsoft Windows 10 Professional или Enterprise 64-bit, или Mac OSX Yosemite 10.10.3 или выше) с веб-браузером, который может получить к нему доступ по адресу http://127.0.0.1:8080. Экземпляр Docker используется для загрузки и запуска инструмента настройки HDS, который создает локальную информацию о конфигурации для всех узлов гибридной безопасности данных. Вам может понадобиться лицензия Docker Desktop. Дополнительную информацию см. в разделе Требования к рабочему столу Docker. Для установки и запуска HDS Setup Tool локальный компьютер должен иметь подключение, описанное в разделе Требования к внешнему подключению. |
| 10 |
Если вы интегрируете прокси-сервер с Hybrid Data Security, убедитесь, что он соответствует Требованиям к прокси-серверу. |
Настройка гибридного кластера безопасности данных
Поток задач развертывания гибридной системы безопасности данных
| 1 |
Выполните первоначальную настройку и загрузите установочные файлы. Загрузите файл OVA на свой локальный компьютер для дальнейшего использования. |
| 2 |
Создайте ISO-образ конфигурации для хостов HDS Используйте HDS Setup Tool для создания файла конфигурации ISO для узлов гибридной безопасности данных. |
| 3 |
Создайте виртуальную машину из файла OVA и выполните первоначальную настройку, например параметры сети. Возможность настройки сетевых параметров во время развертывания OVA была протестирована с ESXi 7.0 и 8.0. В более ранних версиях эта опция может быть недоступна. |
| 4 |
Настройка гибридной виртуальной машины безопасности данных Войдите в консоль виртуальной машины и задайте учетные данные для входа. Настройте сетевые параметры узла, если вы не настроили их во время развертывания OVA. |
| 5 |
Загрузите и смонтируйте ISO-образ конфигурации HDS Настройте виртуальную машину с помощью файла конфигурации ISO, созданного с помощью HDS Setup Tool. |
| 6 |
Настройка узла HDS для интеграции прокси Если сетевая среда требует настройки прокси-сервера, укажите тип прокси-сервера, который вы будете использовать для узла, и при необходимости добавьте сертификат прокси-сервера в хранилище доверенных серверов. |
| 7 |
Зарегистрируйте первый узел в кластере Зарегистрируйте виртуальную машину в облаке Cisco Webex как гибридный узел безопасности данных. |
| 8 |
Создайте и зарегистрируйте больше узлов Завершите настройку кластера. |
| 9 |
Активируйте Multi-Tenant HDS на Partner Hub. Активируйте HDS и управляйте организациями арендаторов в Partner Hub. |
Выполните первоначальную настройку и загрузите установочные файлы.
В этой задаче вы загружаете OVA-файл на свой компьютер (а не на серверы, которые вы настроили в качестве узлов гибридной безопасности данных). Этот файл понадобится вам позже в процессе установки.
| 1 |
Войдите в Partner Hub, а затем нажмите Услуги. |
| 2 |
В разделе «Гибрид» найдите карточку «Безопасность гибридных данных», а затем нажмите Настроить. Нажатие кнопки «Настроить » в Partner Hub имеет решающее значение для процесса развертывания. Не приступайте к установке, не выполнив этот шаг. |
| 3 |
Нажмите Добавить ресурс и нажмите Загрузить файл .OVA на карточке Установка и настройка программного обеспечения. Более старые версии программного пакета (OVA) не будут совместимы с последними обновлениями Hybrid Data Security. Это может привести к проблемам при обновлении приложения. Убедитесь, что вы загружаете последнюю версию файла OVA. Вы также можете загрузить OVA в любое время из раздела Помощь. Нажмите . Начнется автоматическая загрузка OVA-файла. Сохраните файл в определенном месте на вашем компьютере.
|
Создайте ISO-образ конфигурации для хостов HDS
Процесс настройки гибридной безопасности данных создает ISO-файл. Затем вы используете ISO для настройки своего хоста гибридной безопасности данных.
Прежде чем начать
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются данные учетной записи Partner Hub с полными правами администратора.
Если у вас нет лицензии Docker Desktop, вы можете использовать Podman Desktop для запуска инструмента настройки HDS для шагов с 1 по 5 в приведенной ниже процедуре. Подробности см. в разделе Запуск средства настройки HDS с помощью Podman Desktop.
Если в вашей среде инструмент настройки HDS работает через прокси-сервер, укажите параметры прокси-сервера (сервер, порт, учетные данные) через переменные среды Docker при запуске контейнера Docker на шаге 5 ниже. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-прокси без аутентификации
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-прокси с аутентификацией
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS-прокси с аутентификацией
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Создаваемый вами файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. Вам понадобится последняя копия этого файла каждый раз, когда вы вносите изменения в конфигурацию, например:
-
Учетные данные базы данных
-
Обновления сертификатов
-
Изменения в политике авторизации
-
-
Если вы планируете шифровать соединения с базой данных, настройте развертывание PostgreSQL или SQL Server для использования TLS.
| 1 |
Введите соответствующую команду для вашей среды в командной строке компьютера. В обычных средах: В средах FedRAMP: На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать. | ||||||||||
| 2 |
Чтобы войти в реестр образов Docker, введите следующее. | ||||||||||
| 3 |
Введите в запросе пароля этот хеш: | ||||||||||
| 4 |
Скачайте последнюю стабильную версию образа для вашей среды. В обычных средах: В средах FedRAMP: | ||||||||||
| 5 |
По завершении скачивания введите соответствующую команду для вашей среды.
Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080". | ||||||||||
| 6 |
Инструмент настройки не поддерживает подключение к локальному хосту через http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному хосту. С помощью веб-браузера перейдите на локальный хост, Инструмент использует эту первую запись имени пользователя, чтобы задать правильную среду для этой учетной записи. Затем инструмент отображает стандартное приглашение на вход в систему. | ||||||||||
| 7 |
При появлении соответствующего запроса введите учетные данные администратора Partner Hub, а затем нажмите Войти, чтобы разрешить доступ к требуемым службам для гибридной безопасности данных. | ||||||||||
| 8 |
На странице обзора инструмента настройки нажмите Начать. | ||||||||||
| 9 |
На странице Импорт ISO у вас есть следующие параметры:
| ||||||||||
| 10 |
Убедитесь, что ваш сертификат X.509 соответствует требованиям, приведенным в Требованиях к сертификату X.509.
| ||||||||||
| 11 |
Введите адрес базы данных и учетную запись HDS для доступа к вашему ключевому хранилищу данных: | ||||||||||
| 12 |
Выберите режим подключения к базе данных TLS:
Когда вы загружаете корневой сертификат (при необходимости) и нажимаете Продолжить, HDS Setup Tool проверяет TLS-соединение с сервером базы данных. Инструмент также выполняет проверку источника подписи сертификата и имени узла (если применимо). Если тест не будет пройден, в инструменте будет отображено сообщение об ошибке с описанием проблемы. Можно выбрать параметр игнорирования ошибки и продолжить настройку. (Из-за различий в подключении узлы HDS могут установить соединение TLS, даже если машина с инструментом настройки HDS не может успешно его протестировать.) | ||||||||||
| 13 |
На странице «Системные журналы» настройте сервер Syslogd: | ||||||||||
| 14 |
(Необязательно) Вы можете изменить значение по умолчанию для некоторых параметров подключения к базе данных в Расширенных настройках. Как правило, это единственный параметр, который вы, возможно, захотите изменить: | ||||||||||
| 15 |
Нажмите Продолжить на экране Сброс пароля учетных записей служб. Срок действия паролей учетных записей служб составляет девять месяцев. Используйте этот экран, когда срок действия ваших паролей подходит к концу или вы хотите сбросить их, чтобы сделать предыдущие файлы ISO недействительными. | ||||||||||
| 16 |
Нажмите Загрузить файл ISO. Сохраните файл в месте, которое легко найти. | ||||||||||
| 17 |
Создайте резервную копию ISO-файла на локальной системе. Сохраните резервную копию в надежном месте. Этот файл содержит главный ключ шифрования содержимого базы данных. Ограничьте доступ только тем администраторам гибридной безопасности данных, которые должны вносить изменения в конфигурацию. | ||||||||||
| 18 |
Чтобы закрыть средство настройки, введите |
Дальнейшие действия
Создайте резервную копию ISO-файла конфигурации. Это необходимо для создания дополнительных узлов для восстановления или внесения изменений в конфигурацию. Если вы потеряете все копии файла ISO, вы также потеряете главный ключ. Восстановление ключей из базы данных PostgreSQL или Microsoft SQL Server невозможно.
У нас никогда не было копии этого ключа, и мы не сможем вам помочь, если вы его потеряете.
Установка HDS Host OVA
| 1 |
Используйте клиент VMware vSphere на вашем компьютере для входа в виртуальный хост ESXi. |
| 2 |
Выбрать Файл > Развернуть шаблон OVF. |
| 3 |
В мастере укажите местоположение загруженного ранее OVA-файла, а затем нажмите Далее. |
| 4 |
На странице Выберите имя и папку введите Имя виртуальной машины для узла (например, «HDS_Node_1»), выберите место, где может находиться развертывание узла виртуальной машины, а затем нажмите Далее. |
| 5 |
На странице Выбор вычислительного ресурса выберите целевой вычислительный ресурс, а затем нажмите Далее. Проводится проверка достоверности данных. После завершения появятся сведения о шаблоне. |
| 6 |
Проверьте данные шаблона и нажмите Далее. |
| 7 |
Если вам будет предложено выбрать конфигурацию ресурсов на странице Конфигурация, нажмите 4 ЦП, а затем нажмите Далее. |
| 8 |
На странице Выбор хранилища нажмите Далее, чтобы принять формат диска по умолчанию и политику хранения виртуальной машины. |
| 9 |
На странице Выбор сетей выберите из списка вариантов сеть, которая обеспечит необходимое подключение к виртуальной машине. |
| 10 |
На странице Настроить шаблон настройте следующие параметры сети:
При желании вы можете пропустить настройку параметров сети и выполнить шаги, описанные в разделе Настройка гибридной виртуальной машины безопасности данных, чтобы настроить параметры из консоли узла. Возможность настройки сетевых параметров во время развертывания OVA была протестирована с ESXi 7.0 и 8.0. В более ранних версиях эта опция может быть недоступна. |
| 11 |
Щелкните правой кнопкой мыши узел виртуальной машины, а затем выберите . Программное обеспечение Hybrid Data Security устанавливается в качестве гостя на хосте виртуальной машины. Теперь вы готовы войти в консоль и настроить узел. Рекомендации по устранению неисправностей Возможна задержка в несколько минут, прежде чем будут запущены контейнеры узлов. Во время первой загрузки на консоли появляется сообщение о брандмауэре моста, во время которого вы не можете войти в систему. |
Настройка гибридной виртуальной машины безопасности данных
Используйте эту процедуру для первого входа в консоль виртуальной машины узла Hybrid Data Security и настройки учетных данных для входа. Вы также можете использовать консоль для настройки сетевых параметров узла, если вы не настроили их во время развертывания OVA.
| 1 |
В клиенте VMware vSphere выберите виртуальную машину узла Hybrid Data Security и выберите вкладку Консоль. Виртуальная машина загрузится и появится приглашение на вход в систему. Если приглашение на вход не отображается, нажмите Enter.
|
| 2 |
Для входа в систему и изменения учетных данных используйте следующие логин и пароль по умолчанию: Поскольку вы впервые входите в свою виртуальную машину, вам необходимо сменить пароль администратора. |
| 3 |
Если вы уже настроили параметры сети в Установка HDS Host OVA, пропустите оставшуюся часть этой процедуры. В противном случае в главном меню выберите опцию Изменить конфигурацию. |
| 4 |
Настройте статическую конфигурацию с IP-адресом, маской, шлюзом и информацией DNS. Ваш узел должен иметь внутренний IP-адрес и DNS-имя. DHCP не поддерживается. |
| 5 |
(Необязательно) При необходимости измените имя хоста, домен или сервер(ы) NTP в соответствии с вашей сетевой политикой. Вам не нужно указывать домен, совпадающий с доменом, который вы использовали для получения сертификата X.509. |
| 6 |
Сохраните конфигурацию сети и перезагрузите виртуальную машину, чтобы изменения вступили в силу. |
Загрузите и смонтируйте ISO-образ конфигурации HDS
Прежде чем начать
Поскольку файл ISO содержит главный ключ, его следует предоставлять только по принципу «служебной необходимости» для доступа виртуальным машинам Hybrid Data Security и любым администраторам, которым может потребоваться внести изменения. Убедитесь, что доступ к хранилищу данных имеют только эти администраторы.
| 1 |
Загрузите ISO-файл со своего компьютера: |
| 2 |
Смонтируйте ISO-файл: |
Дальнейшие действия
Если того требует ваша ИТ-политика, вы можете при желании отмонтировать ISO-файл после того, как все ваши узлы примут изменения конфигурации. Подробности см. в разделе (Необязательно) Отключение ISO после настройки HDS.
Настройка узла HDS для интеграции прокси
Если в сетевой среде необходимо использовать прокси, воспользуйтесь этой процедурой, чтобы указать тип прокси, который нужно интегрировать со службой безопасности данных гибридного типа. При выборе прозрачного прокси с проверкой или явного прокси HTTPS можно использовать интерфейс узла для загрузки и установки корневого сертификата. Кроме того, в интерфейсе можно проверять соединение с прокси и устранять неполадки.
Прежде чем начать
-
Обзор поддерживаемых параметров прокси-сервера см. в разделе Поддержка прокси-сервера.
| 1 |
Введите URL-адрес настройки узла HDS |
| 2 |
Откройте раздел Trust Store & Proxy (Зона доверия и прокси) и выберите один из следующих параметров.
В случае использования прозрачного прокси с проверкой, явного прокси HTTP с базовой аутентификацией или явного прокси HTTPS выполните указанные далее шаги. |
| 3 |
Щелкните Upload a Root Certificate or End Entity Certificate (Загрузить корневой сертификат или сертификат конечного субъекта) и откройте меню для выбора корневого сертификата для прокси. Сертификат будет загружен, но не установлен, поскольку для установки сертификата необходимо перезагрузить узел. Чтобы получить дополнительные сведения, щелкните стрелку-шеврон, расположенную рядом с именем издателя сертификата. Если вы допустили ошибку и хотите вновь загрузить файл, щелкните Delete (Удалить). |
| 4 |
Чтобы протестировать сетевое соединение между узлом и прокси, щелкните Check Proxy Connection (Проверить соединение с прокси). Если тестирование соединения завершится неудачей, на экране появится сообщение об ошибке, в котором будут указаны причина и способ исправления ошибки. Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу. Такая проблема может возникнуть во многих конфигурациях явного прокси. Можно продолжить настройку, и узел будет работать в режиме блокировки разрешения внешних DNS. Если вы считаете, что это ошибка, выполните следующие действия, а затем см. раздел Отключение заблокированного внешнего режима разрешения DNS. |
| 5 |
Если вы используете явный прокси, настроенный на применение исключительно https, после успешного завершения тестирования соединения включите параметр Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси (Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси). Для вступления в силу этого параметра необходимо 15 секунд. |
| 6 |
Щелкните Install All Certificates Into the Trust Store (Установить все сертификаты в зоне доверия) – этот параметр отображается при использовании явного прокси HTTPS или прозрачного прокси с проверкой – или Reboot (Перезагрузить) – этот параметр отображается при использовании явного прокси HTTP. Прочитайте запрос и щелкните Install (Установить), если вы готовы к установке. Узел перезагрузится в течение нескольких минут. |
| 7 |
После перезагрузки узла повторно войдите в систему, если это необходимо, и откройте страницу Обзор, чтобы выполнить проверки соединений. Состояние всех проверок должно быть обозначено зеленым цветом. Проверка соединения с прокси используется исключительно для тестирования поддомена webex.com. Проблемы с соединениями нередко возникают из-за того, что некоторые облачные домены, указанные в инструкциях по установке, блокируются на уровне прокси. |
Зарегистрируйте первый узел в кластере
При регистрации первого узла вы создаете кластер, к которому этот узел относится. Кластер содержит один или несколько узлов, развернутых для обеспечения избыточности.
Прежде чем начать
-
Начав регистрацию узла, необходимо завершить ее в течение 60 минут, в противном случае придется начинать все заново.
-
Убедитесь, что все блокировщики всплывающих окон в вашем браузере отключены или вы разрешили исключение для admin.webex.com.
| 1 |
Войдите в https://admin.webex.com. |
| 2 |
В меню в левой части экрана выберите Услуги. |
| 3 |
В разделе «Гибрид» найдите карту «Безопасность гибридных данных» и нажмите Настроить. |
| 4 |
На открывшейся странице нажмите Добавить ресурс. |
| 5 |
В первом поле карточки Создать новый кластер введите имя кластера, которому вы хотите назначить свой узел гибридной безопасности данных. Мы рекомендуем вам называть кластер на основе географического расположения узлов кластера. Примеры: «Сан-Франциско», «Нью-Йорк» или «Даллас». |
| 6 |
Во втором поле введите внутренний IP-адрес или полное доменное имя (FQDN) вашего узла и нажмите Добавить в нижней части экрана. Этот IP-адрес или полное доменное имя должны совпадать с IP-адресом или именем хоста и доменом, которые вы использовали в Настройка гибридной виртуальной машины безопасности данных. Появится сообщение о том, что вы можете зарегистрировать свой узел в Webex.
|
| 7 |
Нажмите Перейти к узлу. Через несколько мгновений вы будете перенаправлены на страницу тестов подключения узлов для служб Webex. Если все тесты пройдут успешно, откроется страница «Разрешить доступ к узлу безопасности гибридных данных». Там вы подтверждаете, что хотите предоставить своей организации Webex разрешения на доступ к вашему узлу. |
| 8 |
Установите флажок Разрешить доступ к узлу безопасности гибридных данных, а затем нажмите Продолжить. Ваша учетная запись проверена, и сообщение «Регистрация завершена» означает, что ваш узел теперь зарегистрирован в облаке Webex.
|
| 9 |
Нажмите ссылку или закройте вкладку, чтобы вернуться на страницу безопасности гибридных данных Partner Hub. На странице Гибридная безопасность данных новый кластер, содержащий зарегистрированный вами узел, отображается под вкладкой Ресурсы. Узел автоматически загрузит последнюю версию программного обеспечения из облака.
|
Создайте и зарегистрируйте больше узлов
Прежде чем начать
-
Начав регистрацию узла, необходимо завершить ее в течение 60 минут, в противном случае придется начинать все заново.
-
Убедитесь, что все блокировщики всплывающих окон в вашем браузере отключены или вы разрешили исключение для admin.webex.com.
| 1 |
Создайте новую виртуальную машину из OVA, повторив шаги из Установка HDS Host OVA. |
| 2 |
Настройте начальную конфигурацию новой виртуальной машины, повторив шаги из раздела Настройка гибридной виртуальной машины безопасности данных. |
| 3 |
На новой виртуальной машине повторите шаги из раздела Загрузка и монтирование образа ISO конфигурации HDS. |
| 4 |
Если вы настраиваете прокси-сервер для своего развертывания, повторите шаги, описанные в разделе Настройка узла HDS для интеграции прокси-сервера, по мере необходимости для нового узла. |
| 5 |
Зарегистрируйте узел. |
Дальнейшие действия
Управление организациями арендаторов в многопользовательской гибридной системе безопасности данных
Активируйте Multi-Tenant HDS на Partner Hub
Эта задача гарантирует, что все пользователи организаций-клиентов смогут начать использовать HDS для локальных ключей шифрования и других служб безопасности.
Прежде чем начать
Убедитесь, что вы завершили настройку многопользовательского кластера HDS с необходимым количеством узлов.
| 1 |
Войдите в https://admin.webex.com. |
| 2 |
В меню в левой части экрана выберите Услуги. |
| 3 |
В разделе «Гибрид» найдите «Безопасность гибридных данных» и нажмите Изменить настройки. |
| 4 |
Нажмите Активировать HDS на карте Статус HDS. |
Добавьте организации-арендаторы в Partner Hub
В этой задаче вы назначаете организации-клиенты вашему гибридному кластеру безопасности данных.
| 1 |
Войдите в https://admin.webex.com. |
| 2 |
В меню в левой части экрана выберите Услуги. |
| 3 |
В разделе «Гибрид» найдите «Гибридная безопасность данных» и нажмите Просмотреть все. |
| 4 |
Перейдите на вкладку Назначенные клиенты. Вкладка Назначенные клиенты не будет отображаться, пока вы не создадите кластер. |
| 5 |
Нажмите Добавить клиентов. |
| 6 |
В раскрывающемся меню выберите клиента, которого хотите добавить. |
| 7 |
Нажмите Добавить, клиент будет добавлен в кластер. |
| 8 |
Повторите шаги с 5 по 7, чтобы добавить несколько клиентов в свой кластер. |
| 9 |
После добавления клиентов нажмите кнопку Готово в нижней части экрана. Добавленные клиенты будут синхронизированы по всем доступным кластерам. |
Дальнейшие действия
Создайте основные ключи клиента (CMK) с помощью инструмента настройки HDS
Прежде чем начать
Назначьте клиентов, как описано в Добавление организаций-арендаторов в Partner Hub. Запустите инструмент настройки HDS, чтобы завершить процесс настройки для вновь добавленных организаций-клиентов.
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются данные учетной записи Partner Hub с полными правами администратора вашей организации.
Если в вашей среде инструмент настройки HDS работает через прокси-сервер, укажите параметры прокси-сервера (сервер, порт, учетные данные) через переменные среды Docker при запуске контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-прокси без аутентификации
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-прокси с аутентификацией
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS-прокси с аутентификацией
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Создаваемый вами файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. Вам понадобится последняя копия этого файла каждый раз, когда вы вносите изменения в конфигурацию, например:
-
Учетные данные базы данных
-
Обновления сертификатов
-
Изменения в политике авторизации
-
-
Если вы планируете шифровать соединения с базой данных, настройте развертывание PostgreSQL или SQL Server для использования TLS.
Процесс настройки гибридной безопасности данных создает ISO-файл. Затем вы используете ISO для настройки своего хоста гибридной безопасности данных.
| 1 |
Введите соответствующую команду для вашей среды в командной строке компьютера. В обычных средах: В средах FedRAMP: На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать. |
| 2 |
Чтобы войти в реестр образов Docker, введите следующее. |
| 3 |
Введите в запросе пароля этот хеш: |
| 4 |
Скачайте последнюю стабильную версию образа для вашей среды. В обычных средах: В средах FedRAMP: |
| 5 |
По завершении скачивания введите соответствующую команду для вашей среды.
Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080". |
| 6 |
Инструмент настройки не поддерживает подключение к локальному хосту через http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному хосту. С помощью веб-браузера перейдите на локальный хост, Инструмент использует эту первую запись имени пользователя, чтобы задать правильную среду для этой учетной записи. Затем инструмент отображает стандартное приглашение на вход в систему. |
| 7 |
При появлении соответствующего запроса введите учетные данные администратора Partner Hub, а затем нажмите Войти, чтобы разрешить доступ к требуемым службам для гибридной безопасности данных. |
| 8 |
На странице обзора инструмента настройки нажмите Начать. |
| 9 |
На странице Импорт ISO нажмите Да. |
| 10 |
Выберите ваш ISO-файл в браузере и загрузите его. Обеспечьте подключение к вашей базе данных для управления CMK. |
| 11 |
Перейдите на вкладку Управление CMK-клиентами, где вы найдете следующие три способа управления CMK-клиентами.
|
| 12 |
После успешного создания CMK статус в таблице изменится с Ожидание управления CMK на Управляемый CMK. |
| 13 |
Если создание CMK не удалось, будет выведена ошибка. |
Удалить организации-арендаторы
Прежде чем начать
После удаления пользователи организаций-клиентов не смогут использовать HDS для своих нужд по шифрованию и потеряют все существующие пространства. Прежде чем удалять организации клиентов, обратитесь к своему партнеру Cisco или менеджеру по работе с клиентами.
| 1 |
Войдите в https://admin.webex.com. |
| 2 |
В меню в левой части экрана выберите Услуги. |
| 3 |
В разделе «Гибрид» найдите «Гибридная безопасность данных» и нажмите Просмотреть все. |
| 4 |
На открывшейся странице нажмите вкладку Назначенные клиенты. |
| 5 |
В списке отображаемых организаций-клиентов нажмите |
Дальнейшие действия
Завершите процесс удаления, отозвав CMK организаций-клиентов, как описано в разделе Отозвать CMK арендаторов, удаленных из HDS.
Отозвать CMK арендаторов, исключенных из HDS.
Прежде чем начать
Удалите клиентов, как описано в разделе Удалите организации-арендаторы. Запустите инструмент настройки HDS, чтобы завершить процесс удаления для организаций-клиентов, которые были удалены.
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются данные учетной записи Partner Hub с полными правами администратора вашей организации.
Если в вашей среде инструмент настройки HDS работает через прокси-сервер, укажите параметры прокси-сервера (сервер, порт, учетные данные) через переменные среды Docker при запуске контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-прокси без аутентификации
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-прокси с аутентификацией
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS-прокси с аутентификацией
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Создаваемый вами файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. Вам понадобится последняя копия этого файла каждый раз, когда вы вносите изменения в конфигурацию, например:
-
Учетные данные базы данных
-
Обновления сертификатов
-
Изменения в политике авторизации
-
-
Если вы планируете шифровать соединения с базой данных, настройте развертывание PostgreSQL или SQL Server для использования TLS.
Процесс настройки гибридной безопасности данных создает ISO-файл. Затем вы используете ISO для настройки своего хоста гибридной безопасности данных.
| 1 |
Введите соответствующую команду для вашей среды в командной строке компьютера. В обычных средах: В средах FedRAMP: На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать. |
| 2 |
Чтобы войти в реестр образов Docker, введите следующее. |
| 3 |
Введите в запросе пароля этот хеш: |
| 4 |
Скачайте последнюю стабильную версию образа для вашей среды. В обычных средах: В средах FedRAMP: |
| 5 |
По завершении скачивания введите соответствующую команду для вашей среды.
Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080". |
| 6 |
Инструмент настройки не поддерживает подключение к локальному хосту через http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному хосту. С помощью веб-браузера перейдите на локальный хост Инструмент использует эту первую запись имени пользователя, чтобы задать правильную среду для этой учетной записи. Затем инструмент отображает стандартное приглашение на вход в систему. |
| 7 |
При появлении соответствующего запроса введите учетные данные администратора Partner Hub, а затем нажмите Войти, чтобы разрешить доступ к требуемым службам для гибридной безопасности данных. |
| 8 |
На странице обзора инструмента настройки нажмите Начать. |
| 9 |
На странице Импорт ISO нажмите Да. |
| 10 |
Выберите ваш ISO-файл в браузере и загрузите его. |
| 11 |
Перейдите на вкладку Управление CMK-клиентами, где вы найдете следующие три способа управления CMK-клиентами.
|
| 12 |
После успешного отзыва CMK организация-клиент больше не будет отображаться в таблице. |
| 13 |
Если отзыв CMK не удался, будет выведена ошибка. |
Протестируйте развертывание гибридной системы безопасности данных
Протестируйте свое гибридное развертывание системы безопасности данных
Прежде чем начать
-
Настройте развертывание многопользовательской гибридной системы безопасности данных.
-
Убедитесь, что у вас есть доступ к системному журналу, чтобы убедиться, что ключевые запросы передаются в ваше развертывание Multi-Tenant Hybrid Data Security.
| 1 |
Ключи для конкретного пространства задаются создателем этого пространства. Войдите в приложение Webex как один из пользователей клиентской организации, а затем создайте пространство. Если деактивировать развертывание гибридной системы безопасности данных, содержимое в пространствах, создаваемых пользователями, больше не будет доступно после замены кэшированных клиентом копий ключей шифрования. |
| 2 |
Отправляйте сообщения в новое пространство. |
| 3 |
Проверьте выходные данные системного журнала, чтобы убедиться, что ключевые запросы передаются в ваше развертывание гибридной системы безопасности данных. Если пользователь недавно добавленной организации клиента выполняет какие-либо действия, в журналах появляется идентификатор организации, который можно использовать для проверки того, использует ли организация Multi-Tenant HDS. Проверьте значение |
Мониторинг состояния безопасности гибридных данных
| 1 |
В Partner Hubвыберите Services в меню в левой части экрана. |
| 2 |
В разделе «Гибрид» найдите «Безопасность гибридных данных» и нажмите Изменить настройки. Откроется страница настроек безопасности гибридных данных.
|
| 3 |
В разделе «Уведомления по электронной почте» введите один или несколько адресов электронной почты, разделенных запятыми, и нажмите Enter. |
Управляйте развертыванием HDS
Управление развертыванием HDS
Используйте описанные здесь задачи для управления развертыванием гибридной системы безопасности данных.
Установить график обновления кластера
Чтобы настроить расписание обновлений:
| 1 |
Войдите в Partner Hub. |
| 2 |
В меню в левой части экрана выберите Услуги. |
| 3 |
В разделе «Гибрид» найдите «Гибридная безопасность данных» и нажмите «Настроить» |
| 4 |
На странице «Ресурсы безопасности гибридных данных» выберите кластер. |
| 5 |
Нажмите на вкладку Настройки кластера. |
| 6 |
На странице «Параметры кластера» в разделе «Расписание обновления» выберите время и часовой пояс для расписания обновления. Примечание. Под часовым поясом отображается дата и время следующего доступного обновления. При необходимости вы можете отложить обновление на следующий день, нажав Отложить на 24 часа. |
Изменить конфигурацию узла
-
Изменение сертификатов x.509 по истечении срока действия или по другим причинам.
Изменение доменного имени CN сертификата не поддерживается. Домен должен совпадать с исходным доменом, использованным для регистрации кластера.
-
Обновление настроек базы данных для работы с копией базы данных PostgreSQL или Microsoft SQL Server.
Перенос данных с PostgreSQL на Microsoft SQL Server или в обратном направлении не поддерживается. Чтобы переключить среду базы данных, начните новое развертывание службы безопасности данных гибридного типа.
-
Создание новой конфигурации для подготовки нового центра обработки данных.
Из соображений безопасности для учетных записей в службе безопасности данных гибридного типа используются пароли со сроком действия 9 месяцев. После того как инструмент настройки HDS создаст эти пароли, вам нужно будет развернуть их в каждом из своих узлов HDS в файле конфигурации ISO. При приближении даты окончания срока действия пароля команда Webex пришлет вам уведомление с запросом на сброс пароля учетной записи компьютера. (В сообщении электронной почты будет текст "Использование API учетной записи компьютера для обновления пароля".) Если срок действия паролей еще не истек, средство предоставляет два варианта.
-
Мягкий сброс— Старый и новый пароли действуют до 10 дней. Используйте этот период для постепенной замены файла ISO на узлах.
-
Жесткий сброс— Старые пароли немедленно перестают работать.
Если срок действия ваших паролей истекает без сброса, это влияет на работу вашей службы HDS. В этом случае требуется немедленный жесткий сброс и замена файла ISO на всех узлах.
Используйте эту процедуру, чтобы создать новый файл конфигурации ISO и применить его к кластеру.
Прежде чем начать
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Partner Hub с полными правами администратора партнера.
Если у вас нет лицензии Docker Desktop, вы можете использовать Podman Desktop для запуска инструмента настройки HDS для шагов 1.a–1.e в приведенной ниже процедуре. Подробности см. в разделе Запуск средства настройки HDS с помощью Podman Desktop.
Если в вашей среде инструмент настройки HDS работает через прокси-сервер, укажите параметры прокси-сервера (сервер, порт, учетные данные) через переменные среды Docker при запуске контейнера Docker в 1.e. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-прокси без аутентификации
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-прокси с аутентификацией
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS-прокси с аутентификацией
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Для создания новой конфигурации потребуется копия текущего файла конфигурации ISO. Файл ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. Файл ISO необходим для изменения конфигурации, в том числе учетных данных базы данных, обновления сертификатов или изменения политики авторизации.
| 1 |
Запустите инструмент настройки HDS, используя Docker на локальной машине. |
| 2 |
Если у вас работает только один узел HDS, создайте новую виртуальную машину узла Hybrid Data Security и зарегистрируйте ее с помощью нового файла конфигурации ISO. Более подробные инструкции см. в разделе Создание и регистрация дополнительных узлов. |
| 3 |
Для существующих узлов HDS, в которых используется старый файл конфигурации, необходимо установить файл ISO. Выполните следующую процедуру для каждого узла по очереди, обновив каждый узел до выключения следующего узла. |
| 4 |
Повторите шаг 3, чтобы заменить конфигурацию на каждом оставшемся узле со старой конфигурацией. |
Отключение режима блокировки разрешения внешних DNS
При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. Если DNS-сервер узла не может разрешать общедоступные имена DNS, узел автоматически переходит в режим блокировки разрешения внешних DNS.
Если узлы могут разрешать общедоступные имена DNS через внутренние DNS-серверы, можно отключить этот режим, повторно запустив тестирование подключения к прокси на каждом узле.
Прежде чем начать
| 1 |
В веб-браузере откройте интерфейс узла Hybrid Data Security (IP address/setup, например, https://192.0.2.0/setup), введите учетные данные администратора, которые вы настроили для узла, а затем нажмите Войти. |
| 2 |
Перейдите к разделу Overview (Обзор) (страница по умолчанию). Если режим включен, параметр Blocked External DNS Resolution (Блокировка разрешения внешних DNS) должен иметь значение Yes (Да). |
| 3 |
Перейдите на страницу Trust Store & Proxy (Зона доверия и прокси). |
| 4 |
Щелкните Check Proxy Connection (Проверить соединение с прокси). Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу и он останется в этом режиме. В противном случае после перезапуска узла и возврата на страницу Overview (Обзор) параметр блокировки разрешения внешних DNS должен иметь значение No (Нет). |
Дальнейшие действия
Удалить узел
| 1 |
Используйте клиент VMware vSphere на своем компьютере для входа в виртуальный хост ESXi и выключения виртуальной машины. |
| 2 |
Удалить узел: |
| 3 |
В клиенте vSphere удалите виртуальную машину. (В левой навигационной панели щелкните правой кнопкой мыши виртуальную машину и выберите Удалить.) Если вы не удаляете виртуальную машину, не забудьте отмонтировать ISO-файл конфигурации. Без файла ISO вы не сможете использовать виртуальную машину для доступа к данным безопасности. |
Аварийное восстановление с использованием резервного центра обработки данных
Самая важная услуга, которую предоставляет ваш кластер гибридной безопасности данных, — это создание и хранение ключей, используемых для шифрования сообщений и другого контента, хранящегося в облаке Webex. Для каждого пользователя в организации, которому назначена гибридная безопасность данных, новые запросы на создание ключа направляются в кластер. Кластер также отвечает за возврат созданных им ключей всем пользователям, имеющим право на их получение, например, участникам чата.
Поскольку кластер выполняет важнейшую функцию предоставления этих ключей, крайне важно, чтобы кластер продолжал работать и чтобы поддерживалось надлежащее резервное копирование. Потеря базы данных гибридной безопасности данных или конфигурации ISO, используемой для схемы, приведет к НЕВОССТАНОВИМОЙ ПОТЕРЕ клиентского контента. Для предотвращения таких потерь обязательны следующие меры:
Если в результате аварии развертывание HDS в основном центре обработки данных станет недоступно, выполните следующую процедуру, чтобы вручную выполнить переключение на резервный центр обработки данных.
Прежде чем начать
| 1 |
Запустите средство настройки HDS и следуйте инструкциям в разделе Создание образа ISO-образа конфигурации для хостов HDS. |
| 2 |
После настройки сервера Syslogd нажмите Дополнительные параметры |
| 3 |
На странице Дополнительные параметры добавьте указанную ниже конфигурацию или удалите конфигурацию
|
| 4 |
Завершите процесс настройки и сохраните ISO-файл в месте, которое легко найти. |
| 5 |
Создайте резервную копию ISO-файла на локальной системе. Сохраните резервную копию в надежном месте. Этот файл содержит главный ключ шифрования содержимого базы данных. Ограничьте доступ только тем администраторам гибридной безопасности данных, которые должны вносить изменения в конфигурацию. |
| 6 |
На левой навигационной панели клиента VMware vSphere щелкните правой кнопкой мыши виртуальную машину и выберите Изменить параметры.. |
| 7 |
Нажмите Изменить настройки. >CD/DVD Диск 1 и выберите файл ISO хранилища данных. Убедитесь, что флажки Подключено и Подключаться при включении питания установлены, чтобы обновленные изменения конфигурации вступили в силу после запуска узлов. |
| 8 |
Включите узел HDS и убедитесь, что в течение как минимум 15 минут не будет никаких сигналов тревоги. |
| 9 |
Повторите процесс для каждого узла в резервном центре обработки данных. Проверьте вывод системного журнала, чтобы убедиться, что узлы резервного центра обработки данных не находятся в пассивном режиме. «KMS настроен в пассивном режиме» не должно появляться в системных журналах. |
Дальнейшие действия
(Необязательно) Отмонтируйте ISO после настройки HDS
Стандартная конфигурация HDS работает с смонтированным ISO-образом. Однако некоторые клиенты предпочитают не оставлять файлы ISO постоянно подключенными. Вы сможете размонтировать ISO-файл после того, как все узлы HDS примут новую конфигурацию.
Для внесения изменений в конфигурацию вы по-прежнему будете использовать файлы ISO. При создании нового образа ISO или обновлении образа ISO с помощью инструмента настройки необходимо смонтировать обновленный образ ISO на всех узлах HDS. Как только все ваши узлы примут изменения конфигурации, вы сможете снова размонтировать ISO-образ, выполнив эту процедуру.
Прежде чем начать
Обновите все ваши узлы HDS до версии 2025.06.02.6983 или более поздней.
| 1 |
Отключите один из узлов HDS. |
| 2 |
В vCenter Server Appliance выберите узел HDS. |
| 3 |
Выберите и снимите флажок Файл ISO хранилища данных. |
| 4 |
Включите узел HDS и убедитесь, что в течение как минимум 20 минут не будет никаких сигналов тревоги. |
| 5 |
Повторите эти действия для каждого узла HDS по очереди. |
Устранение неполадок в гибридной безопасности данных
Просмотр оповещений и устранение неполадок
Развертывание гибридной системы безопасности данных считается недоступным, если все узлы в кластере недоступны или кластер работает настолько медленно, что запросы обрабатываются с задержкой. Если пользователи не могут получить доступ к вашему кластеру гибридной безопасности данных, они испытывают следующие симптомы:
-
Невозможно создать новые пространства (невозможно создать новые ключи)
-
Сообщения и заголовки пространств не удаётся расшифровать для:
-
Новые пользователи добавлены в пространство (невозможно получить ключи)
-
Существующие пользователи в пространстве используют новый клиент (невозможно получить ключи)
-
-
Существующие пользователи в пространстве продолжат успешно работать до тех пор, пока у их клиентов есть кэш ключей шифрования.
Важно должным образом контролировать кластер гибридной системы безопасности данных и оперативно реагировать на любые оповещения, чтобы не допустить перебоев в обслуживании.
Предупреждения
Если возникают проблемы с настройкой гибридной безопасности данных, Partner Hub отображает оповещения администратору организации и отправляет электронные письма на настроенный адрес электронной почты. Оповещения охватывают множество распространенных сценариев.
|
Предупреждать |
Действие |
|---|---|
|
Ошибка доступа к локальной базе данных. |
Проверьте наличие ошибок базы данных или проблем с локальной сетью. |
|
Ошибка подключения к локальной базе данных. |
Проверьте, доступен ли сервер базы данных и использовались ли при настройке узла правильные учетные данные учетной записи службы. |
|
Ошибка доступа к облачному сервису. |
Проверьте, могут ли узлы получить доступ к серверам Webex, как указано в Требованиях к внешнему подключению. |
|
Продление регистрации облачного сервиса. |
Регистрация на облачных сервисах прекращена. Продление регистрации находится в процессе реализации. |
|
Регистрация облачного сервиса прекращена. |
Регистрация на облачных сервисах прекращена. Служба закрывается. |
|
Услуга еще не активирована. |
Активируйте HDS в Partner Hub. |
|
Настроенный домен не соответствует сертификату сервера. |
Убедитесь, что сертификат вашего сервера соответствует настроенному домену активации службы. Наиболее вероятная причина в том, что CN-номер сертификата был недавно изменен и теперь отличается от CN, который использовался при первоначальной настройке. |
|
Не удалось выполнить аутентификацию в облачных сервисах. |
Проверьте точность и возможный срок действия учетных данных сервисной учетной записи. |
|
Не удалось открыть локальный файл хранилища ключей. |
Проверьте целостность и правильность пароля в локальном файле хранилища ключей. |
|
Сертификат локального сервера недействителен. |
Проверьте срок действия сертификата сервера и убедитесь, что он был выдан доверенным центром сертификации. |
|
Невозможно опубликовать метрики. |
Проверьте доступ локальной сети к внешним облачным сервисам. |
|
/media/configdrive/hds каталог не существует. |
Проверьте конфигурацию монтирования ISO на виртуальном хосте. Убедитесь, что файл ISO существует, настроен на монтирование при перезагрузке и успешно монтируется. |
|
Настройка организации-арендатора не завершена для добавленных организаций |
Завершите настройку, создав CMK для вновь добавленных организаций-арендаторов с помощью инструмента настройки HDS. |
|
Настройка организации-арендатора не завершена для удаленных организаций. |
Завершите настройку, отозвав CMK организаций-арендаторов, которые были удалены с помощью инструмента настройки HDS. |
Устранение неполадок в гибридной безопасности данных
| 1 |
Войдите в Partner Hub. |
| 2 |
В меню в левой части экрана выберите Услуги. |
| 3 |
В разделе «Гибрид» найдите «Безопасность гибридных данных» и нажмите События. |
| 4 |
Проверьте страницу истории событий на наличие оповещений и исправьте все обнаруженные там элементы. Для справки смотрите изображение ниже. |
| 5 |
Проверьте выходные данные сервера syslog на наличие активности, связанной с развертыванием гибридной системы безопасности данных. Фильтруйте по таким словам, как «Предупреждение» и «Ошибка», чтобы облегчить устранение неполадок. |
| 6 |
Обратитесь в службу поддержки Cisco. |
Другие заметки
Известные проблемы безопасности гибридных данных
-
Если вы отключите все активные кластеры гибридной системы безопасности данных (удалив их в Partner Hub или отключив все узлы), потеряете файл конфигурации ISO или потеряете доступ к базе данных хранилища ключей, пользователи приложения Webex из организаций клиентов больше не смогут использовать пространства под своим списком людей, созданные с помощью ключей из вашей KMS. В настоящее время у нас нет способа обойти или исправить эту проблему, и мы настоятельно рекомендуем вам не отключать службы HDS, пока они обрабатывают активные учетные записи пользователей.
-
Клиент, у которого имеется существующее соединение ECDH с KMS, поддерживает это соединение в течение определенного периода времени (вероятно, одного часа).
Запустите инструмент настройки HDS с помощью Podman Desktop
Podman — это бесплатный инструмент управления контейнерами с открытым исходным кодом, который позволяет запускать, управлять и создавать контейнеры. Podman Desktop можно загрузить с https://podman-desktop.io/downloads.
-
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить к нему доступ, загрузите и запустите Podman на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Control Hub с полными правами администратора вашей организации.
Если в вашей среде инструмент настройки HDS работает через прокси-сервер, укажите параметры прокси-сервера (сервер, порт, учетные данные) через переменные среды Docker при запуске контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-прокси без аутентификации
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-прокси с аутентификацией
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS-прокси с аутентификацией
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Создаваемый вами файл конфигурации ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. Вам понадобится последняя копия этого файла каждый раз, когда вы вносите изменения в конфигурацию, например:
-
Учетные данные базы данных
-
Обновления сертификатов
-
Изменения в политике авторизации
-
-
Если вы планируете шифровать соединения с базой данных, настройте развертывание PostgreSQL или SQL Server для использования TLS.
Процесс настройки гибридной безопасности данных создает ISO-файл. Затем вы используете ISO для настройки своего хоста гибридной безопасности данных.
| 1 |
Введите соответствующую команду для вашей среды в командной строке компьютера. В обычных средах: В средах FedRAMP: На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать. |
| 2 |
Чтобы войти в реестр образов Docker, введите следующее. |
| 3 |
Введите в запросе пароля этот хеш: |
| 4 |
Скачайте последнюю стабильную версию образа для вашей среды. В обычных средах: В средах FedRAMP: |
| 5 |
По завершении скачивания введите соответствующую команду для вашей среды.
Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080". |
Дальнейшие действия
Перенесите существующее развертывание однопользовательской HDS-системы партнерской организации в Control Hub в многопользовательскую конфигурацию HDS в Partner Hub.
Преобразование существующего однопользовательского развертывания HDS партнерской организации, управляемого в Control Hub, в многопользовательское развертывание HDS, управляемое в Partner Hub, в первую очередь включает деактивацию службы HDS в Control Hub, отмену регистрации узлов и удаление кластера. Затем вы можете войти в Partner Hub, зарегистрировать узлы, активировать Multi-Tenant HDS и добавить клиентов в свой кластер.
Термин «однопользовательская среда» просто относится к существующему развертыванию HDS в Control Hub.
Деактивируйте HDS, отмените регистрацию узлов и удалите все кластеры в Control Hub.
| 1 |
Войдите в Control Hub. На левой панели нажмите Гибрид. На карточке «Безопасность гибридных данных» нажмите Изменить настройки. |
| 2 |
На странице настроек прокрутите вниз до раздела «Деактивировать» и нажмите Деактивировать. |
| 3 |
После деактивации нажмите на вкладку Ресурсы. |
| 4 |
На странице Ресурсы перечислены кластеры в вашем развертывании HDS. Щелкните по кластеру, и откроется страница со всеми узлами этого кластера. |
| 5 |
Нажмите |
| 6 |
Если в вашем развертывании имеется несколько кластеров, повторяйте шаги 4 и 5, пока все узлы не будут отменены. |
| 7 |
Нажмите Настройки кластера. > Удалять. |
| 8 |
Нажмите Подтвердить удаление, чтобы отменить регистрацию кластера. |
| 9 |
Повторите этот процесс для всех кластеров в вашем развертывании HDS. После деактивации HDS, отмены регистрации узлов и удаления кластеров на карточке службы гибридных данных на Control Hub внизу будет отображаться сообщение Настройка не завершена. |
Активируйте Multi-Tenant HDS для партнерской организации в Partner Hub и добавьте клиентов
Прежде чем начать
Все предварительные условия, упомянутые в Требованиях к безопасности многопользовательских гибридных данных, применимы и здесь. Кроме того, убедитесь, что при переходе на Multi-Tenant HDS используются та же база данных и сертификаты.
| 1 |
Войдите в партнерский центр. Нажмите Услуги на левой панели. Для настройки узлов используйте тот же ISO-образ из предыдущего развертывания HDS. Это гарантирует, что сообщения и контент, созданные пользователями в предыдущем развертывании HDS, по-прежнему будут доступны в новой многопользовательской настройке. |
| 2 |
В разделе «Гибрид» найдите карту «Безопасность гибридных данных» и нажмите Настроить. |
| 3 |
На открывшейся странице нажмите Добавить ресурс. |
| 4 |
В первом поле карточки Создать кластер введите имя кластера, которому вы хотите назначить свой узел гибридной безопасности данных. Мы рекомендуем вам называть кластер на основе географического расположения узлов кластера. Примеры: «Сан-Франциско», «Нью-Йорк» или «Даллас». |
| 5 |
Во втором поле введите внутренний IP-адрес или полное доменное имя (FQDN) вашего узла и нажмите Добавить в нижней части экрана. Этот IP-адрес или полное доменное имя должны совпадать с IP-адресом или именем хоста и доменом, которые вы использовали в Настройка гибридной виртуальной машины безопасности данных. Появится сообщение о том, что вы можете зарегистрировать свой узел в Webex.
|
| 6 |
Нажмите Перейти к узлу. Через несколько мгновений вы будете перенаправлены на страницу тестов подключения узлов для служб Webex. Если все тесты пройдут успешно, откроется страница «Разрешить доступ к узлу безопасности гибридных данных». Там вы подтверждаете, что хотите предоставить своей организации Webex разрешения на доступ к вашему узлу. |
| 7 |
Установите флажок Разрешить доступ к узлу безопасности гибридных данных, а затем нажмите Продолжить. Ваша учетная запись проверена, и сообщение «Регистрация завершена» означает, что ваш узел теперь зарегистрирован в облаке Webex. На странице Гибридная безопасность данных новый кластер, содержащий зарегистрированный вами узел, отображается под вкладкой Ресурсы. Узел автоматически загрузит последнюю версию программного обеспечения из облака.
|
| 8 |
Перейдите на вкладку Настройки и нажмите Активировать на карточке состояния HDS. В нижней части экрана появится сообщение об активации HDS.
|
| 9 |
Нажмите на вкладку Назначенные клиенты. |
| 10 |
Нажмите Добавить клиентов. |
| 11 |
В раскрывающемся меню выберите клиента, которого хотите добавить. |
| 12 |
Нажмите Добавить, клиент будет добавлен в кластер. |
| 13 |
Повторите шаги с 11 по 13, чтобы добавить несколько клиентов в ваш кластер. |
| 14 |
После добавления клиентов нажмите кнопку Готово в нижней части экрана. |
Дальнейшие действия
Используйте OpenSSL для создания файла PKCS12
Прежде чем начать
-
OpenSSL — один из инструментов, который можно использовать для преобразования файла PKCS12 в нужный формат для загрузки в HDS Setup Tool. Существуют и другие способы сделать это, и мы не поддерживаем и не продвигаем какой-либо один способ в ущерб другому.
-
Если вы решите использовать OpenSSL, мы предоставляем эту процедуру в качестве руководства, которое поможет вам создать файл, соответствующий требованиям сертификата X.509, см . Требования к сертификату X.509. Прежде чем продолжить, ознакомьтесь с этими требованиями.
-
Установите OpenSSL в поддерживаемой среде. Программное обеспечение и документацию см. в https://www.openssl.org.
-
Создайте закрытый ключ.
-
Начните эту процедуру после получения сертификата сервера от вашего Центра Сертификации (ЦС).
| 1 |
Получив сертификат сервера от вашего центра сертификации, сохраните его как |
| 2 |
Отобразите сертификат в виде текста и проверьте данные.
|
| 3 |
Используйте текстовый редактор для создания файла пакета сертификатов с именем
|
| 4 |
Создайте файл . p12 с понятным именем
|
| 5 |
Проверьте данные сертификата сервера. |
Дальнейшие действия
Вернитесь к Выполните предварительные условия для гибридной безопасности данных. Файл hdsnode.p12 и установленный для него пароль будут использоваться в разделе Создание образа ISO конфигурации для хостов HDS.
Вы можете повторно использовать эти файлы для запроса нового сертификата по истечении срока действия исходного сертификата.
Трафик между узлами HDS и облаком
Сбор исходящих метрик трафика
Узлы гибридной безопасности данных отправляют определенные показатели в облако Webex. К ним относятся системные метрики для максимального размера кучи, используемой кучи, загрузки ЦП и количества потоков; метрики синхронных и асинхронных потоков; метрики оповещений, включающих пороговое значение шифрованных соединений, задержку или длину очереди запросов; метрики хранилища данных; и метрики шифрованных соединений. Узлы отправляют зашифрованный ключевой материал по внеполосному (отдельному от запроса) каналу.
Входящий трафик
Узлы гибридной безопасности данных получают следующие типы входящего трафика из облака Webex:
-
Запросы на шифрование от клиентов, которые маршрутизируются службой шифрования
-
Обновления программного обеспечения узла
Настройка прокси Squid для безопасности данных гибридного типа
Невозможно выполнить подключение веб-сокетов через прокси Squid
Прокси-серверы Squid, проверяющие трафик HTTPS, могут мешать установлению соединений websocket (wss:), требуемых гибридной безопасностью данных. В этих разделах приведены рекомендации по настройке различных версий Squid для игнорирования трафика wss: для корректной работы служб.
Squid 4 и 5
Добавьте директиву on_unsupported_protocol к squid.conf:
on_unsupported_protocol tunnel allSquid 3.5.27
Мы успешно протестировали гибридную безопасность данных, добавив следующие правила в squid.conf. Эти правила могут изменяться по мере разработки функций и обновления облака Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
