- Domov
- /
- Článok
Sprievodca nasadením pre Webex Hybrid Data Security
Nové a zmenené informácie
Dátum | Vykonané zmeny | ||
---|---|---|---|
20. októbra 2023 |
| ||
7. augusta 2023 |
| ||
23. mája 2023 |
| ||
6. decembra 2022 |
| ||
23. novembra 2022 |
| ||
13. októbra 2021 | Pred inštaláciou uzlov HDS musí Docker Desktop spustiť inštalačný program. Pozri Požiadavky na plochu Docker. | ||
24. júna 2021 | Upozorňujeme, že súbor so súkromným kľúčom a CSR môžete znova použiť na vyžiadanie ďalšieho certifikátu. Pozri Na vygenerovanie súboru PKCS12 použite OpenSSL pre podrobnosti. | ||
30. apríla 2021 | Požiadavka VM na lokálny pevný disk sa zmenila na 30 GB. Pozri Požiadavky na virtuálny hostiteľ pre podrobnosti. | ||
24. februára 2021 | HDS Setup Tool teraz môže bežať za serverom proxy. Pozri Vytvorte ISO konfigurácie pre hostiteľov HDS pre podrobnosti. | ||
2. februára 2021 | HDS teraz môže bežať bez pripojeného súboru ISO. Pozri (Voliteľné) Odpojte ISO po konfigurácii HDS pre podrobnosti. | ||
11. januára 2021 | Pridané informácie o nástroji HDS Setup a proxy serveroch Vytvorte ISO konfigurácie pre hostiteľov HDS. | ||
13. októbra 2020 | Aktualizované Stiahnite si inštalačné súbory. | ||
8. októbra 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS a Zmeňte konfiguráciu uzla s príkazmi pre prostredia FedRAMP. | ||
14. augusta 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS a Zmeňte konfiguráciu uzla so zmenami v procese prihlasovania. | ||
5. augusta 2020 | Aktualizované Otestujte svoje nasadenie hybridného zabezpečenia dát pre zmeny v protokolových správach. Aktualizované Požiadavky na virtuálny hostiteľ na odstránenie maximálneho počtu hostiteľov. | ||
16. júna 2020 | Aktualizované Odstráňte uzol pre zmeny v používateľskom rozhraní Control Hub. | ||
4. júna 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS pre zmeny v rozšírených nastaveniach, ktoré môžete nastaviť. | ||
29. mája 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS ukázať, že TLS môžete použiť aj s databázami SQL Server, zmenami používateľského rozhrania a ďalšími vysvetleniami. | ||
5. mája 2020 | Aktualizované Požiadavky na virtuálny hostiteľ ukázať novú požiadavku ESXi 6.5. | ||
21. apríla 2020 | Aktualizované Požiadavky na externé pripojenie s novými hostiteľmi Americas CI. | ||
1. apríla 2020 | Aktualizované Požiadavky na externé pripojenie s informáciami o regionálnych hostiteľoch CI. | ||
20. februára 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS s informáciami o novej voliteľnej obrazovke rozšírených nastavení v nástroji HDS Setup Tool. | ||
4. februára 2020 | Aktualizované Požiadavky na proxy server. | ||
16. decembra 2019 | Objasnená požiadavka, aby fungoval režim zablokovaného externého rozlíšenia DNS Požiadavky na proxy server. | ||
19. novembra 2019 | Pridané informácie o režime zablokovaného externého rozlíšenia DNS v nasledujúcich častiach: | ||
8. novembra 2019 | Teraz môžete konfigurovať sieťové nastavenia pre uzol počas nasadzovania OVA a nie neskôr. Podľa toho aktualizovali nasledujúce sekcie:
| ||
6. septembra 2019 | Pridaný SQL Server Standard do Požiadavky na databázový server. | ||
29. augusta 2019 | Pridané Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát príloha s návodom na konfiguráciu proxy serverov Squid tak, aby ignorovali prevádzku websocket pre správnu činnosť. | ||
20. augusta 2019 | Pridané a aktualizované sekcie pokrývajúce podporu proxy pre komunikáciu uzlov Hybrid Data Security do cloudu Webex. Ak chcete získať prístup len k obsahu podpory proxy pre existujúce nasadenie, pozrite si Podpora proxy pre hybridné zabezpečenie dát a Webex Video Mesh pomocný článok. | ||
13. júna 2019 | Aktualizované Skúšobný postup produkčných úloh s pripomienkou na synchronizáciu HdsTrialGroup skupinový objekt pred spustením skúšobnej verzie, ak vaša organizácia používa synchronizáciu adresárov. | ||
6. marca 2019 |
| ||
28. februára 2019 |
| ||
26. februára 2019 |
| ||
24. januára 2019 |
| ||
5. novembra 2018 |
| ||
19. októbra 2018 |
| ||
31. júla 2018 |
| ||
21. mája 2018 | Zmenená terminológia, aby odrážala rebranding Cisco Spark:
| ||
11. apríla 2018 |
| ||
22. februára 2018 |
| ||
15. február 2018 |
| ||
18. januára 2018 |
| ||
2. novembra 2017 |
| ||
18. augusta 2017 | Prvýkrát zverejnené |
Prehľad zabezpečenia hybridných údajov
Od prvého dňa bola bezpečnosť údajov prvoradá pri navrhovaní Aplikácia Webex. Základným kameňom tohto zabezpečenia je komplexné šifrovanie obsahu, ktoré umožňuje Aplikácia Webex klientov interagujúcich so službou správy kľúčov (KMS). KMS je zodpovedný za vytváranie a správu kryptografických kľúčov, ktoré klienti používajú na dynamické šifrovanie a dešifrovanie správ a súborov.
Štandardne všetky Aplikácia Webex zákazníci získajú end-to-end šifrovanie s dynamickými kľúčmi uloženými v cloudovom KMS v oblasti bezpečnosti Cisco. Hybrid Data Security presúva KMS a ďalšie funkcie súvisiace so zabezpečením do vášho podnikového dátového centra, takže kľúče k vášmu šifrovanému obsahu nemá nikto okrem vás.
Architektúra bezpečnostnej sféry
Cloudová architektúra Webex oddeľuje rôzne typy služieb do samostatných oblastí alebo dôveryhodných domén, ako je znázornené nižšie.
Aby sme lepšie porozumeli Hybrid Data Security, pozrime sa najprv na tento čistý cloud, kde Cisco poskytuje všetky funkcie vo svojich cloudových sférach. Služba identity, jediné miesto, kde môžu používatelia priamo korelovať so svojimi osobnými údajmi, ako je e-mailová adresa, je logicky a fyzicky oddelená od oblasti zabezpečenia v dátovom centre B. Obe sú zase oddelené od oblasti, kde je v konečnom dôsledku uložený šifrovaný obsah. , v dátovom centre C.
V tomto diagrame je klientom aplikácia Webex, ktorá beží na notebooku používateľa a je overená službou identity. Keď používateľ vytvorí správu na odoslanie do priestoru, vykonajú sa tieto kroky:
Klient vytvorí zabezpečené spojenie so službou správy kľúčov (KMS), potom požiada o kľúč na zašifrovanie správy. Zabezpečené pripojenie používa ECDH a KMS šifruje kľúč pomocou hlavného kľúča AES-256.
Správa je pred opustením klienta zašifrovaná. Klient ho odošle do indexovacej služby, ktorá vytvorí šifrované indexy vyhľadávania na pomoc pri budúcom vyhľadávaní obsahu.
Zašifrovaná správa sa odošle do služby súladu na kontrolu súladu.
Zašifrovaná správa je uložená v úložnej sfére.
Keď nasadíte Hybrid Data Security, presuniete funkcie bezpečnostnej sféry (KMS, indexovanie a súlad) do vášho lokálneho dátového centra. Ostatné cloudové služby, ktoré tvoria Webex (vrátane ukladania identity a obsahu), zostávajú v sférach spoločnosti Cisco.
Spolupráca s inými organizáciami
Používatelia vo vašej organizácii môžu pravidelne používať aplikáciu Webex na spoluprácu s externými účastníkmi v iných organizáciách. Keď jeden z vašich používateľov požaduje kľúč pre priestor, ktorý vlastní vaša organizácia (pretože ho vytvoril jeden z vašich používateľov), váš KMS odošle kľúč klientovi cez zabezpečený kanál ECDH. Keď však kľúč priestoru vlastní iná organizácia, váš KMS nasmeruje požiadavku do cloudu Webex cez samostatný kanál ECDH, aby získal kľúč z príslušného KMS, a potom vráti kľúč vášmu používateľovi na pôvodnom kanáli.
Služba KMS spustená v organizácii A overuje pripojenia ku KMS v iných organizáciách pomocou x.509 PKI certifikátov. Pozri Pripravte si prostredie podrobnosti o generovaní x.509 certifikátu na použitie s nasadením Hybrid Data Security.
Očakávania týkajúce sa nasadenia hybridnej bezpečnosti údajov
Nasadenie Hybrid Data Security si vyžaduje značné nasadenie zákazníkov a uvedomenie si rizík, ktoré so sebou prináša vlastníctvo šifrovacích kľúčov.
Ak chcete nasadiť Hybrid Data Security, musíte poskytnúť:
Bezpečné dátové centrum v krajine, ktorá je a podporované miesto pre plány Cisco Webex Teams.
Vybavenie, softvér a sieťový prístup popísané v Pripravte si prostredie.
Úplná strata buď konfiguračného ISO, ktoré ste vytvorili pre Hybrid Data Security, alebo databázy, ktorú poskytnete, bude mať za následok stratu kľúčov. Strata kľúča bráni používateľom dešifrovať obsah priestoru a ďalšie šifrované údaje v aplikácii Webex. Ak sa tak stane, môžete vytvoriť nové nasadenie, ale bude viditeľný iba nový obsah. Aby ste predišli strate prístupu k údajom, musíte:
Spravujte zálohovanie a obnovu databázy a konfiguračného ISO.
Buďte pripravení vykonať rýchlu obnovu po havárii, ak dôjde ku katastrofe, ako je zlyhanie databázového disku alebo katastrofa dátového centra.
Neexistuje žiadny mechanizmus na presun kľúčov späť do cloudu po nasadení HDS. |
Proces nastavenia na vysokej úrovni
Tento dokument pokrýva nastavenie a správu nasadenia Hybrid Data Security:
Nastavte Hybridné zabezpečenie dát—To zahŕňa prípravu požadovanej infraštruktúry a inštaláciu softvéru Hybrid Data Security, testovanie vášho nasadenia s podskupinou používateľov v skúšobnom režime a po dokončení testovania prechod do produkcie. To prevedie celú organizáciu na používanie vášho klastra Hybrid Data Security na bezpečnostné funkcie.
Fázy nastavenia, skúšania a výroby sú podrobne opísané v nasledujúcich troch kapitolách.
Udržujte svoje nasadenie Hybrid Data Security— Cloud Webex automaticky poskytuje priebežné aktualizácie. Vaše IT oddelenie môže poskytnúť podporu prvej úrovne pre toto nasadenie a podľa potreby zapojiť podporu Cisco. V Control Hub môžete používať upozornenia na obrazovke a nastaviť upozornenia prostredníctvom e-mailu.
Pochopte bežné upozornenia, kroky na riešenie problémov a známe problémy—Ak narazíte na problémy s nasadením alebo používaním Hybrid Data Security, posledná kapitola tejto príručky a príloha Známe problémy vám môžu pomôcť určiť a vyriešiť problém.
Hybridný model nasadenia zabezpečenia dát
V rámci podnikového dátového centra nasadíte Hybrid Data Security ako jeden klaster uzlov na samostatných virtuálnych hostiteľoch. Uzly komunikujú s cloudom Webex prostredníctvom zabezpečených webových zásuviek a zabezpečeného HTTP.
Počas procesu inštalácie vám poskytneme súbor OVA na nastavenie virtuálneho zariadenia na VM, ktoré poskytnete. Nástroj HDS Setup Tool použijete na vytvorenie vlastného konfiguračného súboru ISO klastra, ktorý pripojíte na každý uzol. Klaster Hybrid Data Security využíva váš poskytnutý server Syslogd a databázu PostgreSQL alebo Microsoft SQL Server. (Syslogd a podrobnosti o pripojení k databáze nakonfigurujete v nástroji HDS Setup Tool.)
Minimálny počet uzlov, ktoré môžete mať v klastri, sú dva. Odporúčame aspoň tri a môžete ich mať až päť. Viacnásobné uzly zaisťujú, že služba nebude prerušená počas aktualizácie softvéru alebo inej činnosti údržby na uzle. (Cloud Webex aktualizuje naraz iba jeden uzol.)
Všetky uzly v klastri pristupujú k rovnakému úložisku údajov kľúčov a zaznamenávajú aktivitu na rovnaký server syslog. Samotné uzly sú bez stavu a spracovávajú kľúčové požiadavky v režime round-robin podľa pokynov cloudu.
Uzly sa stanú aktívnymi, keď ich zaregistrujete v Control Hub. Ak chcete vyradiť jednotlivý uzol z prevádzky, môžete ho zrušiť a neskôr v prípade potreby znova zaregistrovať.
Podporujeme iba jeden klaster na organizáciu.
Skúšobný režim hybridnej bezpečnosti dát
Po nastavení nasadenia Hybrid Data Security ho najskôr vyskúšate so skupinou pilotných používateľov. Počas skúšobného obdobia títo používatelia používajú vašu lokálnu doménu Hybrid Data Security na šifrovacie kľúče a ďalšie služby v oblasti zabezpečenia. Ostatní vaši používatelia naďalej používajú oblasť zabezpečenia cloudu.
Ak sa rozhodnete nepokračovať v nasadzovaní počas skúšobného obdobia a službu deaktivujete, pilotní používatelia a všetci používatelia, s ktorými počas skúšobného obdobia interagovali vytvorením nových priestorov, stratia prístup k správam a obsahu. V aplikácii Webex sa im zobrazí „Táto správa sa nedá dešifrovať“.
Ak ste spokojní s tým, že vaše nasadenie funguje dobre pre skúšobných používateľov a ste pripravení rozšíriť Hybrid Data Security na všetkých svojich používateľov, presuniete nasadenie do produkcie. Pilotní používatelia majú naďalej prístup ku kľúčom, ktoré sa používali počas skúšobnej verzie. Nemôžete sa však pohybovať tam a späť medzi produkčným režimom a pôvodnou skúšobnou verziou. Ak musíte službu deaktivovať, napríklad vykonať obnovu po havárii, pri opätovnej aktivácii musíte spustiť novú skúšobnú verziu a nastaviť skupinu pilotných používateľov pre novú skúšobnú verziu, než sa vrátite späť do produkčného režimu. Či si používatelia v tomto bode zachovajú prístup k údajom, závisí od toho, či ste úspešne udržiavali zálohy úložiska kľúčových údajov a konfiguračného súboru ISO pre uzly Hybrid Data Security vo vašom klastri.
Pohotovostné dátové centrum pre obnovu po havárii
Počas nasadenia nastavíte zabezpečené pohotovostné dátové centrum. V prípade havárie dátového centra môžete manuálne zlyhať nasadenie do pohotovostného dátového centra.
Databázy aktívnych a pohotovostných dátových centier sú navzájom synchronizované, čo minimalizuje čas potrebný na vykonanie núdzového prepnutia. Súbor ISO pohotovostného dátového centra sa aktualizuje o ďalšie konfigurácie, ktoré zaisťujú, že uzly sú registrované v organizácii, ale nebudú spracovávať prevádzku. Preto uzly pohotovostného dátového centra zostávajú vždy aktuálne s najnovšou verziou softvéru HDS.
Aktívne uzly Hybrid Data Security musia byť vždy v rovnakom údajovom centre ako aktívny databázový server. |
Nastavte pohotovostné dátové centrum pre obnovu po havárii
Ak chcete nakonfigurovať súbor ISO pohotovostného dátového centra, postupujte podľa nasledujúcich krokov:
Predtým ako začneš
Pohotovostné dátové centrum by malo odrážať produkčné prostredie VM a záložnú databázu PostgreSQL alebo Microsoft SQL Server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM. (Pozri Pohotovostné dátové centrum pre obnovu po havárii pre prehľad tohto modelu núdzového prepnutia.)
Uistite sa, že je povolená synchronizácia databázy medzi databázou aktívnych a pasívnych uzlov klastra.
1 | Spustite nástroj HDS Setup a postupujte podľa krokov uvedených v Vytvorte ISO konfigurácie pre hostiteľov HDS.
| ||
2 | Po nakonfigurovaní servera Syslogd kliknite na Pokročilé nastavenia | ||
3 | Na Pokročilé nastavenia pridajte konfiguráciu nižšie, aby ste umiestnili uzol do pasívneho režimu. V tomto režime bude uzol zaregistrovaný v organizácii a pripojený ku cloudu, ale nebude spracovávať žiadny prenos.
| ||
4 | Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť. | ||
5 | Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. | ||
6 | V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na VM a kliknite Upraviť nastavenia.. | ||
7 | Kliknite Upraviť nastavenia >CD/DVD mechanika 1 a vyberte Datastore ISO File.
| ||
8 | Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy. | ||
9 | Opakujte proces pre každý uzol v pohotovostnom dátovom centre.
|
Čo urobiť ďalej
Po konfigurácii passiveMode
v súbore ISO a jeho uložením môžete vytvoriť ďalšiu kópiu súboru ISO bez súboru passiveMode
konfiguráciu a uložte ju na bezpečnom mieste. Táto kópia súboru ISO bez passiveMode
nakonfigurovaný môže pomôcť pri rýchlom procese núdzového prepnutia počas obnovy po havárii. Pozri Obnova po havárii pomocou pohotovostného dátového centra pre podrobný postup núdzového prepnutia.
Podpora proxy
Hybrid Data Security podporuje explicitné, transparentné kontrolné a nekontrolujúce proxy. Tieto servery proxy môžete prepojiť s nasadením, aby ste mohli zabezpečiť a monitorovať prevádzku z podniku do cloudu. Rozhranie správcu platformy na uzloch môžete použiť na správu certifikátov a na kontrolu celkového stavu pripojenia po nastavení servera proxy na uzloch.
Uzly Hybrid Data Security podporujú nasledujúce možnosti proxy:
Žiadny proxy—Predvolené, ak na integráciu servera proxy nepoužívate nastavenie uzla HDS Trust Store & Proxy. Nevyžaduje sa žiadna aktualizácia certifikátu.
Transparentný nekontrolujúci splnomocnenec– Uzly nie sú nakonfigurované na používanie špecifickej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.
Transparentné tunelovanie alebo kontrola proxy– Uzly nie sú nakonfigurované na používanie špecifickej adresy servera proxy. Na uzloch nie sú potrebné žiadne zmeny konfigurácie HTTP alebo HTTPS. Uzly však potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).
Explicitný proxy—S explicitným proxy, poviete HDS uzlom, ktorý proxy server a overovaciu schému použiť. Ak chcete nakonfigurovať explicitný server proxy, musíte do každého uzla zadať nasledujúce informácie:
Proxy IP/FQDN– Adresa, ktorú možno použiť na spojenie so zariadením proxy.
Port proxy—Číslo portu, ktoré server proxy používa na počúvanie prevádzky cez proxy.
Proxy protokol—V závislosti od toho, čo váš proxy server podporuje, vyberte si z nasledujúcich protokolov:
HTTP – zobrazuje a riadi všetky požiadavky, ktoré klient odosiela.
HTTPS – poskytuje kanál pre server. Klient prijme a overí certifikát servera.
autentický typ— Vyberte si z nasledujúcich typov autentifikácie:
žiadne— Nevyžaduje sa žiadna ďalšia autentifikácia.
Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.
Základné— Používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.
Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.
Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.
Digest– Používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.
Dostupné, iba ak vyberiete HTTPS ako protokol proxy.
Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.
Príklad uzlov na zabezpečenie hybridných dát a proxy
Tento diagram ukazuje príklad spojenia medzi Hybrid Data Security, sieťou a proxy. Pre možnosti transparentnej kontroly a explicitnej kontroly HTTPS proxy musí byť na serveri proxy aj na uzloch Hybrid Data Security nainštalovaný rovnaký koreňový certifikát.
Blokovaný režim externého rozlíšenia DNS (explicitné konfigurácie proxy)
Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. V nasadeniach s explicitnými konfiguráciami proxy, ktoré neumožňujú externé rozlíšenie DNS pre interných klientov, ak uzol nemôže dotazovať servery DNS, automaticky prejde do režimu blokovaného externého riešenia DNS. V tomto režime môže pokračovať registrácia uzla a ďalšie testy pripojenia proxy.
Požiadavky na hybridnú bezpečnosť dát
Požiadavky na licenciu Cisco Webex
Nasadenie Hybrid Data Security:
Musíte mať balík Pro Pack pre Cisco Webex Control Hub. (Pozri https://www.cisco.com/go/pro-pack.)
Požiadavky na plochu Docker
Pred inštaláciou uzlov HDS potrebujete Docker Desktop na spustenie inštalačného programu. Docker nedávno aktualizoval svoj licenčný model. Vaša organizácia môže vyžadovať platené predplatné pre Docker Desktop. Podrobnosti nájdete v blogovom príspevku Docker, " Docker aktualizuje a rozširuje naše predplatné produktov".
Požiadavky na certifikát X.509
Certifikačný reťazec musí spĺňať nasledujúce požiadavky:
Požiadavka | Podrobnosti |
---|---|
| V predvolenom nastavení dôverujeme CA v zozname Mozilly (s výnimkou WoSign a StartCom) na https://wiki.mozilla.org/CA:IncludedCAs. |
| CN nemusí byť dosiahnuteľné alebo živého hostiteľa. Odporúčame vám použiť názov, ktorý odráža vašu organizáciu, napr. KN nesmie obsahovať * (zástupný znak). CN sa používa na overenie uzlov Hybrid Data Security pre klientov Webex App. Všetky uzly Hybrid Data Security vo vašom klastri používajú rovnaký certifikát. Váš KMS sa identifikuje pomocou domény CN, nie akejkoľvek domény, ktorá je definovaná v poliach x.509v3 SAN. Po zaregistrovaní uzla s týmto certifikátom nepodporujeme zmenu názvu domény CN. Vyberte doménu, ktorá sa môže vzťahovať na skúšobné aj produkčné nasadenie. |
| Softvér KMS nepodporuje podpisy SHA1 na overenie pripojení k KMS iných organizácií. |
| Na zmenu formátu certifikátu môžete použiť konvertor, ako je OpenSSL. Pri spustení nástroja HDS Setup Tool budete musieť zadať heslo. |
Softvér KMS nevynucuje používanie kľúčov ani rozšírené obmedzenia používania kľúčov. Niektoré certifikačné autority vyžadujú, aby sa na každý certifikát aplikovali rozšírené obmedzenia používania kľúčov, ako je autentifikácia servera. Je v poriadku použiť overenie servera alebo iné nastavenia.
Požiadavky na virtuálny hostiteľ
Virtuálni hostitelia, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri, majú nasledujúce požiadavky:
Aspoň dvaja oddelení hostitelia (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre
VMware ESXi 6.5 (alebo novší) nainštalovaný a spustený.
Ak máte staršiu verziu ESXi, musíte vykonať inováciu.
Minimálne 4 vCPU, 8 GB hlavnej pamäte, 30 GB miesta na lokálnom pevnom disku na server
Požiadavky na databázový server
Vytvorte novú databázu pre uloženie kľúčov. Nepoužívajte predvolenú databázu. Aplikácie HDS, keď sú nainštalované, vytvoria schému databázy. |
Pre databázový server sú dve možnosti. Požiadavky na každú z nich sú nasledovné:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložný priestor) | Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložný priestor) |
Softvér HDS momentálne inštaluje nasledujúce verzie ovládačov na komunikáciu s databázovým serverom:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres JDBC ovládač 42.2.5 | Ovládač SQL Server JDBC 4.6 Táto verzia ovládača podporuje SQL Server Always On ( Vždy v prípade zlyhania klastra a Vždy zapnuté skupiny dostupnosti). |
Dodatočné požiadavky na overenie systému Windows voči Microsoft SQL Server
Ak chcete, aby uzly HDS používali autentifikáciu systému Windows na získanie prístupu k vašej databáze úložiska kľúčov na serveri Microsoft SQL Server, potrebujete vo svojom prostredí nasledujúcu konfiguráciu:
HDS uzly, infraštruktúra Active Directory a MS SQL Server musia byť synchronizované s NTP.
Účet Windows, ktorý poskytnete uzlom HDS, musí mať prístup k databáze na čítanie/zápis.
Servery DNS, ktoré poskytujete uzlom HDS, musia byť schopné vyriešiť vaše Centrum distribúcie kľúčov (KDC).
Inštanciu databázy HDS môžete zaregistrovať na svojom serveri Microsoft SQL Server ako hlavný názov služby (SPN) vo vašom adresári Active Directory. Pozri Zaregistrujte hlavný názov služby pre pripojenia Kerberos.
Nástroj na nastavenie HDS, spúšťač HDS a miestne KMS musia na prístup k databáze kľúčov používať overenie systému Windows. Používajú podrobnosti z vašej konfigurácie ISO na vytvorenie SPN pri požadovaní prístupu s overením Kerberos.
Požiadavky na externé pripojenie
Nakonfigurujte svoj firewall tak, aby umožňoval nasledujúce pripojenie pre aplikácie HDS:
Aplikácia | Protokol | Port | Smer z App | Destinácia |
---|---|---|---|---|
Hybridné uzly zabezpečenia údajov | TCP | 443 | Odchádzajúce HTTPS a WSS |
|
Nástroj na nastavenie HDS | TCP | 443 | Odchádzajúce HTTPS |
|
Uzly Hybrid Data Security pracujú s prekladom sieťového prístupu (NAT) alebo za bránou firewall, pokiaľ NAT alebo brána firewall umožňuje požadované odchádzajúce pripojenia k destináciám domény v predchádzajúcej tabuľke. Pre pripojenia prichádzajúce do uzlov Hybrid Data Security by nemali byť z internetu viditeľné žiadne porty. V rámci vášho dátového centra potrebujú klienti prístup k uzlom Hybrid Data Security na portoch TCP 443 a 22 na administratívne účely. |
Adresy URL hostiteľov Common Identity (CI) sú špecifické pre daný región. Toto sú súčasní hostitelia CI:
región | Spoločné adresy URL hostiteľa identity |
---|---|
Ameriky |
|
Európska únia |
|
Kanada |
|
Požiadavky na proxy server
Oficiálne podporujeme nasledujúce proxy riešenia, ktoré sa dajú integrovať s vašimi uzlami Hybrid Data Security.
Transparentný proxy – Cisco Web Security Appliance (WSA).
Explicitný proxy-Squid.
Proxy serverov chobotnice, ktoré kontrolujú prenos HTTPS, môžu zasahovať do vytvorenia webovej zásuvky (wss:) spojenia. Ak chcete tento problém obísť, pozrite si Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát.
Pre explicitné servery proxy podporujeme nasledujúce kombinácie typov overenia:
Žiadna autentifikácia pomocou HTTP alebo HTTPS
Základná autentifikácia pomocou HTTP alebo HTTPS
Digest overenie iba s HTTPS
Pre transparentný kontrolný proxy server alebo explicitný proxy server HTTPS musíte mať kópiu koreňového certifikátu servera proxy. Pokyny na nasadenie v tejto príručke vám povedia, ako nahrať kópiu do dôveryhodných obchodov uzlov Hybrid Data Security.
Sieť, ktorá hostí uzly HDS, musí byť nakonfigurovaná tak, aby vynútila smerovanie odchádzajúcej prevádzky TCP na porte 443 cez server proxy.
Proxy, ktoré kontrolujú webovú prevádzku, môžu narúšať pripojenia webových soketov. Ak sa vyskytne tento problém, obíďte (nie kontrolujte) premávku na
wbx2.com
aciscospark.com
problém vyrieši.
Vyplňte Predpoklady pre hybridnú bezpečnosť údajov
1 | Uistite sa, že vaša organizácia Webex má povolený balík Pro Pack pre Cisco Webex Control Hub a získajte prihlasovacie údaje účtu s úplnými právami správcu organizácie. Ak potrebujete pomoc s týmto procesom, kontaktujte svojho partnera Cisco alebo account manažéra. | ||
2 | Vyberte názov domény pre svoje nasadenie HDS (napr. | ||
3 | Pripravte si identických virtuálnych hostiteľov, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri. Potrebujete aspoň dvoch samostatných hostiteľov (odporúčajú sa 3) umiestnených v rovnakom zabezpečenom dátovom centre, ktorí spĺňajú požiadavky v Požiadavky na virtuálny hostiteľ. | ||
4 | Pripravte databázový server, ktorý bude fungovať ako úložisko kľúčových údajov pre klaster, podľa Požiadavky na databázový server. Databázový server musí byť umiestnený v zabezpečenom údajovom centre spolu s virtuálnymi hostiteľmi. | ||
5 | Pre rýchlu obnovu po havárii nastavte zálohovacie prostredie v inom dátovom centre. Zálohovacie prostredie odzrkadľuje produkčné prostredie VM a záložný databázový server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM. | ||
6 | Nastavte hostiteľa syslog na zhromažďovanie protokolov z uzlov v klastri. Získajte jeho sieťovú adresu a port syslog (predvolené je UDP 514). | ||
7 | Vytvorte politiku bezpečného zálohovania pre uzly Hybrid Data Security, databázový server a hostiteľa syslog. Aby ste predišli nenapraviteľnej strate údajov, musíte minimálne zálohovať databázu a konfiguračný súbor ISO vygenerovaný pre uzly Hybrid Data Security.
Klienti Webex App ukladajú svoje kľúče do vyrovnávacej pamäte, takže výpadok nemusí byť okamžite viditeľný, ale časom sa prejaví. Zatiaľ čo dočasným výpadkom nie je možné zabrániť, sú obnoviteľné. Úplná strata (nie sú k dispozícii žiadne zálohy) databázy alebo konfiguračného ISO súboru však bude mať za následok neobnoviteľné zákaznícke údaje. Od operátorov uzlov Hybrid Data Security sa očakáva, že budú pravidelne zálohovať databázu a konfiguračný ISO súbor a budú pripravení na prestavbu dátového centra Hybrid Data Security, ak dôjde ku katastrofálnej poruche. | ||
8 | Uistite sa, že vaša konfigurácia brány firewall umožňuje pripojenie pre vaše uzly Hybrid Data Security, ako je uvedené v Požiadavky na externé pripojenie. | ||
9 | Nainštalujte Docker ( https://www.docker.com) na akomkoľvek lokálnom počítači s podporovaným operačným systémom (Microsoft Windows 10 Professional alebo Enterprise 64-bit, alebo Mac OSX Yosemite 10.10.3 alebo novší) s webovým prehliadačom, ktorý k nemu môže pristupovať na http://127.0.0.1:8080. Inštanciu Docker použijete na stiahnutie a spustenie nástroja HDS Setup Tool, ktorý vytvorí informácie o lokálnej konfigurácii pre všetky uzly Hybrid Data Security. Vaša organizácia môže potrebovať licenciu Docker Desktop. Pozri Požiadavky na plochu Docker Pre viac informácií. Ak chcete nainštalovať a spustiť nástroj HDS Setup Tool, lokálny počítač musí mať konektivitu uvedenú v Požiadavky na externé pripojenie. | ||
10 | Ak integrujete proxy s Hybrid Data Security, uistite sa, že spĺňa Požiadavky na proxy server. | ||
11 | Ak vaša organizácia používa synchronizáciu adresárov, vytvorte skupinu v Active Directory s názvom
|
Tok úloh nasadenia zabezpečenia hybridných údajov
Predtým ako začneš
1 | Stiahnite si inštalačné súbory Stiahnite si súbor OVA na váš lokálny počítač pre neskoršie použitie. | ||
2 | Vytvorte ISO konfigurácie pre hostiteľov HDS Pomocou nástroja HDS Setup Tool vytvorte konfiguračný súbor ISO pre uzly Hybrid Data Security. | ||
3 |
Vytvorte virtuálny počítač zo súboru OVA a vykonajte počiatočnú konfiguráciu, ako sú nastavenia siete.
| ||
4 | Nastavte virtuálny počítač Hybrid Data Security Prihláste sa do konzoly VM a nastavte prihlasovacie poverenia. Nakonfigurujte sieťové nastavenia pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA. | ||
5 | Nahrajte a pripojte ISO konfiguráciu HDS Nakonfigurujte VM z konfiguračného súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool. | ||
6 | Nakonfigurujte uzol HDS na integráciu proxy Ak sieťové prostredie vyžaduje konfiguráciu servera proxy, zadajte typ servera proxy, ktorý použijete pre uzol, a v prípade potreby pridajte certifikát servera proxy do dôveryhodného úložiska. | ||
7 | Zaregistrujte prvý uzol v klastri Zaregistrujte VM v cloude Cisco Webex ako uzol Hybrid Data Security. | ||
8 | Vytvorte a zaregistrujte viac uzlov Dokončite nastavenie klastra. | ||
9 | Spustite skúšobnú verziu a prejdite do výroby (ďalšia kapitola) Kým nezačnete skúšobnú verziu, vaše uzly generujú alarm oznamujúci, že vaša služba ešte nie je aktivovaná. |
Stiahnite si inštalačné súbory
1 | Prihláste sa do https://admin.webex.coma potom kliknite Služby. | ||||
2 | V časti Hybridné služby nájdite kartu Hybrid Data Security a potom kliknite Nastaviť. Ak je karta zakázaná alebo ju nevidíte, kontaktujte tím spravujúci váš účet alebo partnerskú organizáciu. Poskytnite im svoje číslo účtu a požiadajte, aby vašej organizácii umožnili Hybridné zabezpečenie dát. Ak chcete nájsť číslo účtu, kliknite na ozubené koliesko vpravo hore vedľa názvu organizácie.
| ||||
3 | Vyberte Nie na označenie, že ste ešte nenastavili uzol, a potom kliknite Ďalšie. Automaticky sa začne sťahovať súbor OVA. Uložte súbor na miesto v počítači.
| ||||
4 | Voliteľne kliknite Otvorte Sprievodcu nasadením a skontrolujte, či je k dispozícii novšia verzia tejto príručky. |
Vytvorte ISO konfigurácie pre hostiteľov HDS
Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.
Predtým ako začneš
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Control Hub s úplnými administrátorskými právami pre vašu organizáciu.
Ak nástroj HDS Setup beží za serverom proxy vo vašom prostredí, pri spúšťaní kontajnera Docker v kroku poskytnite nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker 5. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS Proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:
Databázové poverenia
Aktualizácie certifikátov
Zmeny v politike autorizácie
Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.
1 | Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie: V bežných prostrediach:
V prostrediach FedRAMP:
| ||||||||||||
2 | Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:
| ||||||||||||
3 | Pri výzve na zadanie hesla zadajte tento hash:
| ||||||||||||
4 | Stiahnite si najnovší stabilný obraz pre vaše prostredie: V bežných prostrediach:
V prostrediach FedRAMP:
| ||||||||||||
5 | Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:
Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“. | ||||||||||||
6 |
Pomocou webového prehliadača prejdite na localhost, Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie. | ||||||||||||
7 | Po zobrazení výzvy zadajte svoje prihlasovacie poverenia správcu zákazníka Control Hub a potom kliknite Prihlásiť sa na umožnenie prístupu k požadovaným službám pre Hybridnú bezpečnosť dát. | ||||||||||||
8 | Na stránke prehľadu nástroja Setup kliknite na Začať. | ||||||||||||
9 | Na ISO import stránku, máte tieto možnosti:
| ||||||||||||
10 | Skontrolujte, či váš certifikát X.509 spĺňa požiadavky v Požiadavky na certifikát X.509.
| ||||||||||||
11 | Zadajte databázovú adresu a účet pre HDS, aby ste získali prístup k vášmu úložisku kľúčových údajov: | ||||||||||||
12 | Vyberte a Režim pripojenia databázy TLS:
Keď nahráte koreňový certifikát (ak je to potrebné) a kliknite na ďalej, HDS Setup Tool otestuje TLS pripojenie k databázovému serveru. Nástroj tiež overuje podpisovateľa certifikátu a názov hostiteľa, ak je to potrebné. Ak test zlyhá, nástroj zobrazí chybové hlásenie popisujúce problém. Môžete si vybrať, či chcete chybu ignorovať a pokračovať v nastavovaní. (Vzhľadom na rozdiely v konektivite môžu byť uzly HDS schopné nadviazať pripojenie TLS, aj keď ho zariadenie HDS Setup Tool nedokáže úspešne otestovať.) | ||||||||||||
13 | Na stránke Systémové denníky nakonfigurujte svoj server Syslogd: | ||||||||||||
14 | (Voliteľné) Môžete zmeniť predvolenú hodnotu pre niektoré parametre pripojenia k databáze v Pokročilé nastavenia. Vo všeobecnosti je tento parameter jediný, ktorý možno budete chcieť zmeniť:
| ||||||||||||
15 | Kliknite ďalej na Obnovte heslo servisných účtov obrazovke. Heslá k servisným účtom majú životnosť deväť mesiacov. Túto obrazovku použite, keď sa blíži koniec platnosti vašich hesiel alebo ich chcete resetovať, aby ste zrušili platnosť predchádzajúcich súborov ISO. | ||||||||||||
16 | Kliknite Stiahnite si súbor ISO. Uložte súbor na miesto, ktoré sa dá ľahko nájsť. | ||||||||||||
17 | Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. | ||||||||||||
18 | Ak chcete vypnúť nástroj Setup, zadajte |
Čo urobiť ďalej
Zálohujte konfiguračný súbor ISO. Potrebujete ho na vytvorenie ďalších uzlov na obnovu alebo na vykonanie zmien v konfigurácii. Ak stratíte všetky kópie súboru ISO, stratili ste aj hlavný kľúč. Obnovenie kľúčov z databázy PostgreSQL alebo Microsoft SQL Server nie je možné.
Nikdy nemáme kópiu tohto kľúča a nemôžeme vám pomôcť, ak ho stratíte. |
Nainštalujte HDS Host OVA
1 | Na prihlásenie do virtuálneho hostiteľa ESXi použite klienta VMware vSphere na vašom počítači. | ||||||
2 | Vyberte Súbor > Nasadiť šablónu OVF. | ||||||
3 | V sprievodcovi zadajte umiestnenie súboru OVA, ktorý ste si stiahli skôr, a potom kliknite Ďalšie . | ||||||
4 | Na Vyberte názov a priečinok stránku, zadajte a Názov virtuálneho počítača pre uzol (napríklad „HDS_Node_1"), vyberte umiestnenie, kde sa môže nachádzať nasadenie uzla virtuálneho počítača, a potom kliknite Ďalšie . | ||||||
5 | Na Vyberte výpočtový zdroj vyberte cieľový výpočtový zdroj a potom kliknite Ďalšie . Prebehne overovacia kontrola. Po dokončení sa zobrazia podrobnosti šablóny. | ||||||
6 | Overte podrobnosti šablóny a potom kliknite Ďalšie. | ||||||
7 | Ak sa zobrazí výzva na výber konfigurácie prostriedkov na Konfigurácia stránku, kliknite 4 CPU a potom kliknite Ďalšie . | ||||||
8 | Na Vyberte úložisko stránku, kliknite Ďalšie akceptovať predvolený formát disku a politiku úložiska VM. | ||||||
9 | Na Vyberte siete vyberte sieťovú možnosť zo zoznamu položiek, aby ste poskytli požadované pripojenie k VM. | ||||||
10 | Na Prispôsobiť šablónu nakonfigurujte nasledujúce nastavenia siete:
Ak chcete, môžete preskočiť konfiguráciu nastavenia siete a postupovať podľa krokov v Nastavte virtuálny počítač Hybrid Data Security na konfiguráciu nastavení z konzoly uzla.
| ||||||
11 | Kliknite pravým tlačidlom myši na uzol VM a potom vyberte .Softvér Hybrid Data Security je nainštalovaný ako hosť na hostiteľovi VM. Teraz ste pripravení prihlásiť sa do konzoly a nakonfigurovať uzol. Tipy na riešenie problémov Môžete zaznamenať oneskorenie niekoľkých minút, kým sa kontajnery uzlov objavia. Počas prvého spustenia, počas ktorého sa nemôžete prihlásiť, sa na konzole zobrazí správa brány firewall mosta. |
Nastavte virtuálny počítač Hybrid Data Security
Tento postup použite na prvé prihlásenie do konzoly VM uzla Hybrid Data Security a nastavenie prihlasovacích poverení. Konzolu môžete použiť aj na konfiguráciu sieťových nastavení pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.
1 | V klientovi VMware vSphere vyberte svoj uzol Hybrid Data Security VM a vyberte Konzola tab. VM sa spustí a zobrazí sa výzva na prihlásenie. Ak sa výzva na prihlásenie nezobrazí, stlačte Zadajte.
|
2 | Na prihlásenie a zmenu poverení použite nasledujúce predvolené prihlasovacie meno a heslo: Keďže sa do svojho VM prihlasujete prvýkrát, musíte zmeniť heslo správcu. |
3 | Ak ste už nakonfigurovali nastavenia siete v Nainštalujte HDS Host OVA, preskočte zvyšok tohto postupu. V opačnom prípade vyberte v hlavnom menu položku Upraviť konfiguráciu možnosť. |
4 | Nastavte statickú konfiguráciu s IP adresou, maskou, bránou a informáciami DNS. Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované. |
5 | (Voliteľné) Zmeňte názov hostiteľa, doménu alebo server(y) NTP, ak je to potrebné, aby zodpovedali zásadám vašej siete. Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509. |
6 | Uložte konfiguráciu siete a reštartujte VM, aby sa zmeny prejavili. |
Nahrajte a pripojte ISO konfiguráciu HDS
Predtým ako začneš
Pretože súbor ISO obsahuje hlavný kľúč, mal by byť zverejnený iba na základe „potreby vedieť“, aby k nemu mali prístup virtuálne počítače s hybridným zabezpečením údajov a všetci správcovia, ktorí môžu potrebovať vykonať zmeny. Uistite sa, že k úložisku údajov majú prístup iba títo správcovia.
1 | Nahrajte súbor ISO z počítača: |
2 | Pripojte súbor ISO: |
Čo urobiť ďalej
Ak to vyžaduje vaša politika IT, môžete voliteľne odpojiť súbor ISO po tom, čo všetky vaše uzly prevezmú zmeny konfigurácie. Pozri (Voliteľné) Odpojte ISO po konfigurácii HDS pre podrobnosti.
Nakonfigurujte uzol HDS na integráciu proxy
Ak sieťové prostredie vyžaduje server proxy, použite tento postup na určenie typu servera proxy, s ktorým sa chcete integrovať Hybridná bezpečnosť dát. Ak si vyberiete transparentný kontrolný proxy server alebo explicitný proxy server HTTPS, môžete použiť rozhranie uzla na nahranie a inštaláciu koreňového certifikátu. Môžete tiež skontrolovať pripojenie proxy z rozhrania a vyriešiť prípadné problémy.
Predtým ako začneš
Pozri Podpora proxy pre prehľad podporovaných možností proxy.
1 | Zadajte adresu URL nastavenia uzla HDS |
2 | Ísť do Trust Store a proxya potom vyberte možnosť:
Postupujte podľa nasledujúcich krokov pre transparentný kontrolný proxy server, explicitný proxy server HTTP so základným overením alebo explicitný proxy HTTPS. |
3 | Kliknite Nahrajte koreňový certifikát alebo certifikát koncovej entitya potom prejdite na výber koreňového certifikátu pre server proxy. Certifikát je nahraný, ale ešte nie je nainštalovaný, pretože na inštaláciu certifikátu musíte reštartovať uzol. Kliknutím na šípku v tvare šípky vedľa názvu vydavateľa certifikátu získate ďalšie podrobnosti alebo kliknite Odstrániť ak ste urobili chybu a chcete súbor znova nahrať. |
4 | Kliknite Skontrolujte pripojenie proxy na testovanie sieťového pripojenia medzi uzlom a proxy. Ak test pripojenia zlyhá, zobrazí sa chybové hlásenie, ktoré uvádza dôvod a spôsob, ako môžete problém vyriešiť. Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS. Tento stav sa očakáva v mnohých explicitných konfiguráciách proxy. Môžete pokračovať v nastavovaní a uzol bude fungovať v režime zablokovaného externého rozlíšenia DNS. Ak si myslíte, že ide o chybu, vykonajte tieto kroky a potom uvidíte Vypnite režim zablokovaného externého rozlíšenia DNS. |
5 | Po úspešnom teste pripojenia zapnite prepínač v prípade explicitného servera proxy nastaveného iba na https Smerujte všetky požiadavky https z tohto uzla na port 443/444 cez explicitný proxy server. Toto nastavenie sa prejaví po 15 sekundách. |
6 | Kliknite Nainštalujte všetky certifikáty do dôveryhodného úložiska (zobrazí sa pri explicitnom HTTPS proxy alebo transparentnom kontrolnom proxy serveri) alebo Reštartovať (zobrazí sa pri explicitnom serveri proxy HTTP), prečítajte si výzvu a potom kliknite Inštalácia ak si pripravený. Uzol sa reštartuje v priebehu niekoľkých minút. |
7 | Po reštartovaní uzla sa v prípade potreby znova prihláste a potom otvorte Prehľad stránku a skontrolujte kontroly pripojenia, aby ste sa uistili, že sú všetky v zelenom stave. Kontrola pripojenia proxy testuje iba subdoménu webex.com. Ak sa vyskytnú problémy s pripojením, bežným problémom je, že niektoré z cloudových domén uvedených v pokynoch na inštaláciu sú na serveri proxy blokované. |
Zaregistrujte prvý uzol v klastri
Keď zaregistrujete svoj prvý uzol, vytvoríte klaster, ku ktorému je uzol priradený. Klaster obsahuje jeden alebo viac uzlov nasadených na zabezpečenie redundancie.
Predtým ako začneš
Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.
Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.
1 | Prihláste sa do https://admin.webex.com. |
2 | V ponuke na ľavej strane obrazovky vyberte položku Služby. |
3 | V sekcii Hybridné služby nájdite Hybridné zabezpečenie dát a kliknite Nastaviť. Zobrazí sa stránka Register Hybrid Data Security Node.
|
4 | Vyberte Áno na označenie, že ste uzol nastavili a ste pripravení ho zaregistrovať, a potom kliknite Ďalšie. |
5 | Do prvého poľa zadajte názov klastra, ku ktorému chcete priradiť váš uzol Hybrid Data Security. Odporúčame pomenovať klaster podľa toho, kde sa geograficky nachádzajú uzly klastra. Príklady: „San Francisco“ alebo „New York“ alebo „Dallas“ |
6 | Do druhého poľa zadajte internú IP adresu alebo úplný názov domény (FQDN) vášho uzla a kliknite Ďalšie. Táto adresa IP alebo FQDN by sa mala zhodovať s adresou IP alebo názvom hostiteľa a doménou, ktorú ste použili Nastavte virtuálny počítač Hybrid Data Security. Zobrazí sa správa, že môžete zaregistrovať svoj uzol do Webexu.
|
7 | Kliknite Prejdite na Node. |
8 | Kliknite ďalej vo varovnej správe. Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že svojej organizácii Webex chcete udeliť povolenia na prístup k vášmu uzlu.
|
9 | Skontrolovať Povoľte prístup k svojmu uzlu zabezpečenia hybridných údajov začiarknite políčko a potom kliknite na ďalej. Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
|
10 | Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Hybrid Data Security Control Hub. Na Hybridná bezpečnosť dát sa zobrazí nový klaster obsahujúci uzol, ktorý ste zaregistrovali. Uzol si automaticky stiahne najnovší softvér z cloudu.
|
Vytvorte a zaregistrujte viac uzlov
V súčasnosti sú záložné virtuálne počítače, ktoré ste vytvorili Vyplňte Predpoklady pre hybridnú bezpečnosť údajov sú pohotovostní hostitelia, ktorí sa používajú iba v prípade obnovy po havárii; dovtedy nie sú registrovaní v systéme. Podrobnosti nájdete v časti Obnova po havárii pomocou pohotovostného dátového centra. |
Predtým ako začneš
Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.
Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.
1 | Vytvorte nový virtuálny počítač z OVA zopakovaním krokov Nainštalujte HDS Host OVA. |
2 | Nastavte počiatočnú konfiguráciu na novom VM zopakovaním krokov v Nastavte virtuálny počítač Hybrid Data Security. |
3 | Na novom virtuálnom počítači zopakujte kroky v Nahrajte a pripojte ISO konfiguráciu HDS. |
4 | Ak nastavujete server proxy pre svoje nasadenie, zopakujte kroky v Nakonfigurujte uzol HDS na integráciu proxy podľa potreby pre nový uzol. |
5 | Zaregistrujte uzol. Váš uzol je zaregistrovaný. Upozorňujeme, že kým nezačnete skúšobnú verziu, vaše uzly generujú alarm, ktorý oznamuje, že vaša služba ešte nie je aktivovaná.
|
Čo urobiť ďalej
Skúšobný postup produkčných úloh
Po nastavení klastra Hybrid Data Security môžete spustiť pilotný test, pridať doň používateľov a začať ho používať na testovanie a overovanie vášho nasadenia v rámci prípravy na prechod do produkcie.
Predtým ako začneš
1 | V prípade potreby synchronizujte Ak vaša organizácia používa synchronizáciu adresárov pre používateľov, musíte vybrať |
2 |
Začnite skúšobnú verziu. Kým nevykonáte túto úlohu, vaše uzly generujú alarm, ktorý oznamuje, že služba ešte nie je aktivovaná. |
3 | Otestujte svoje nasadenie hybridného zabezpečenia dát Skontrolujte, či kľúčové požiadavky prechádzajú do vášho nasadenia Hybrid Data Security. |
4 | Monitorujte zdravie Hybrid Data Security Health Skontrolujte stav a nastavte e-mailové upozornenia na budíky. |
5 | Pridajte alebo odstráňte používateľov z vašej skúšobnej verzie |
6 | Dokončite skúšobnú fázu jedným z nasledujúcich krokov: |
Aktivovať skúšobnú verziu
Predtým ako začneš
Ak vaša organizácia používa synchronizáciu adresárov pre používateľov, musíte vybrať HdsTrialGroup
skupinový objekt na synchronizáciu do cloudu predtým, ako začnete skúšobnú verziu pre vašu organizáciu. Pokyny nájdete na Sprievodca nasadením pre Cisco Directory Connector.
1 | Prihláste sa do https://admin.webex.coma potom vyberte Služby. |
2 | V časti Hybrid Data Security kliknite na nastavenie. |
3 | V časti Stav služby kliknite na Spustiť skúšku. Stav služby sa zmení na skúšobný režim.
|
4 | Kliknite Pridať používateľov a zadajte e-mailovú adresu jedného alebo viacerých používateľov na pilotné používanie vašich uzlov Hybrid Data Security na šifrovacie a indexovacie služby. (Ak vaša organizácia používa synchronizáciu adresárov, na správu skúšobnej skupiny použite službu Active Directory, |
Otestujte svoje nasadenie hybridného zabezpečenia dát
Predtým ako začneš
Nastavte nasadenie Hybrid Data Security.
Aktivujte skúšobnú verziu a pridajte niekoľko používateľov skúšobnej verzie.
Uistite sa, že máte prístup k syslog, aby ste si overili, že kľúčové požiadavky prechádzajú do vášho nasadenia Hybrid Data Security.
1 | Kľúče pre daný priestor nastavuje tvorca priestoru. Prihláste sa do aplikácie Webex ako jeden z pilotných používateľov a potom vytvorte priestor a pozvite aspoň jedného pilotného používateľa a jedného nepilotného používateľa.
| ||
2 | Posielajte správy do nového priestoru. | ||
3 | Skontrolujte výstup syslog, aby ste si overili, že požiadavky na kľúče prechádzajú do vášho nasadenia Hybrid Data Security. |
Monitorujte zdravie Hybrid Data Security Health
1 | In Control Hub, vyberte Služby z ponuky na ľavej strane obrazovky. |
2 | V sekcii Hybridné služby nájdite Hybridné zabezpečenie dát a kliknite nastavenie. Zobrazí sa stránka Hybrid Data Security Settings.
|
3 | V časti E-mailové upozornenia zadajte jednu alebo viac e-mailových adries oddelených čiarkami a stlačte Zadajte. |
Pridajte alebo odstráňte používateľov z vašej skúšobnej verzie
Ak odstránite používateľa zo skúšobnej verzie, klient tohto používateľa bude namiesto vášho KMS požadovať kľúče a vytvorenie kľúča z cloudového KMS. Ak klient potrebuje kľúč, ktorý je uložený vo vašom KMS, cloudový KMS ho načíta v mene používateľa.
Ak vaša organizácia používa synchronizáciu adresárov, použite Active Directory (namiesto tohto postupu) na správu skúšobnej skupiny, HdsTrialGroup
; členov skupiny môžete zobraziť v Control Hub, ale nemôžete ich pridávať ani odstraňovať.
1 | Prihláste sa do Control Hub a potom vyberte Služby. |
2 | V časti Hybrid Data Security kliknite na nastavenie. |
3 | V časti Skúšobný režim v oblasti Stav služby kliknite na Pridať používateľov, alebo kliknite zobraziť a upraviť na odstránenie používateľov zo skúšobnej verzie. |
4 | Zadajte e-mailovú adresu jedného alebo viacerých používateľov, ktorých chcete pridať, alebo kliknite na X pomocou ID používateľa na odstránenie používateľa zo skúšobnej verzie. Potom kliknite Uložiť. |
Presuňte sa zo skúšobnej do produkčnej verzie
1 | Prihláste sa do Control Hub a potom vyberte Služby. |
2 | V časti Hybrid Data Security kliknite na nastavenie. |
3 | V časti Stav služby kliknite na Presunúť do výroby. |
4 | Potvrďte, že chcete presunúť všetkých svojich používateľov do produkcie. |
Ukončite skúšobnú verziu bez presunu do výroby
1 | Prihláste sa do Control Hub a potom vyberte Služby. |
2 | V časti Hybrid Data Security kliknite na nastavenie. |
3 | V časti Deaktivovať kliknite na Deaktivovať. |
4 | Potvrďte, že chcete službu deaktivovať a ukončiť skúšobnú verziu. |
Spravujte nasadenie HDS
Pomocou tu popísaných úloh spravujte svoje nasadenie Hybrid Data Security.
Nastavte plán aktualizácie klastra
Ak chcete nastaviť plán aktualizácie:
1 | Prihláste sa do Control Hub. |
2 | Na stránke Prehľad v časti Hybridné služby vyberte Hybridná bezpečnosť dát. |
3 | Na stránke Hybrid Data Security Resources vyberte klaster. |
4 | Na paneli Prehľad vpravo v časti Nastavenia klastra vyberte názov klastra. |
5 | Na stránke Nastavenia v časti Aktualizácia vyberte čas a časové pásmo pre plán inovácie. Poznámka: Pod časovým pásmom sa zobrazí dátum a čas ďalšej dostupnej aktualizácie. Kliknutím na tlačidlo môžete v prípade potreby odložiť aktualizáciu na nasledujúci deň Odložiť. |
Zmeňte konfiguráciu uzla
Zmena x.509 certifikátov z dôvodu uplynutia platnosti alebo iných dôvodov.
Nepodporujeme zmenu názvu domény CN certifikátu. Doména sa musí zhodovať s pôvodnou doménou použitou na registráciu klastra.
Aktualizácia nastavení databázy pre zmenu na repliku databázy PostgreSQL alebo Microsoft SQL Server.
Nepodporujeme migráciu údajov z PostgreSQL na Microsoft SQL Server alebo opačným spôsobom. Ak chcete zmeniť prostredie databázy, spustite nové nasadenie Hybrid Data Security.
Vytvorenie novej konfigurácie na prípravu nového dátového centra.
Z bezpečnostných dôvodov používa Hybrid Data Security heslá servisných účtov, ktoré majú životnosť deväť mesiacov. Keď nástroj HDS Setup vygeneruje tieto heslá, nasadíte ich do každého z vašich uzlov HDS v konfiguračnom súbore ISO. Keď sa blíži koniec platnosti hesiel vašej organizácie, dostanete od tímu Webex upozornenie na resetovanie hesla pre váš počítačový účet. (E-mail obsahuje text „Na aktualizáciu hesla použite rozhranie API strojového účtu.“) Ak platnosť vašich hesiel ešte nevypršala, nástroj vám ponúka dve možnosti:
Mäkký reset—Staré aj nové heslo fungujú až 10 dní. Toto obdobie použite na postupnú výmenu súboru ISO na uzloch.
Tvrdý reštart—Staré heslá okamžite prestanú fungovať.
Ak platnosť vašich hesiel vyprší bez resetovania, ovplyvní to vašu službu HDS, čo si vyžaduje okamžitý tvrdý reset a nahradenie súboru ISO na všetkých uzloch.
Tento postup použite na vygenerovanie nového konfiguračného súboru ISO a jeho použitie vo vašom klastri.
Predtým ako začneš
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Control Hub s úplnými administrátorskými právami pre vašu organizáciu.
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker zadajte nastavenia proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker 1.e. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS Proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Na vygenerovanie novej konfigurácie potrebujete kópiu aktuálneho konfiguračného súboru ISO. ISO obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. ISO potrebujete, keď robíte zmeny v konfigurácii vrátane poverení databázy, aktualizácií certifikátov alebo zmien v politike autorizácie.
1 | Pomocou Docker na lokálnom počítači spustite nástroj HDS Setup Tool. |
2 | Ak máte spustený iba jeden uzol HDS, vytvorte nový VM uzla Hybrid Data Security a zaregistrujte ho pomocou nového konfiguračného súboru ISO. Podrobnejšie pokyny nájdete v časti Vytvorte a zaregistrujte viac uzlov. |
3 | Pre existujúce uzly HDS, na ktorých je spustený starší konfiguračný súbor, pripojte súbor ISO. Postupne vykonajte nasledujúci postup na každom uzle, pričom aktualizujte každý uzol pred vypnutím ďalšieho uzla: |
4 | Opakujte krok 3, aby ste nahradili konfiguráciu na každom zostávajúcom uzle, na ktorom je spustená stará konfigurácia. |
Vypnite režim zablokovaného externého rozlíšenia DNS
Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. Ak server DNS uzla nedokáže rozlíšiť verejné názvy DNS, uzol automaticky prejde do režimu zablokovaného externého rozlíšenia DNS.
Ak vaše uzly dokážu rozlíšiť verejné názvy DNS prostredníctvom interných serverov DNS, môžete tento režim vypnúť opätovným spustením testu pripojenia proxy na každom uzle.
Predtým ako začneš
1 | Vo webovom prehliadači otvorte rozhranie uzla Hybrid Data Security (IP adresa/nastavenie, napr. https://192.0.2.0/setup), zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite Prihlásiť sa. |
2 | Ísť do Prehľad (predvolená stránka). Keď je povolené, Zablokované externé rozlíšenie DNS je nastavený na Áno. |
3 | Choďte na Trust Store a proxy stránku. |
4 | Kliknite Skontrolujte pripojenie proxy. Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS a zostane v tomto režime. V opačnom prípade po reštartovaní uzla a návrate do Prehľad na stránke Blocked External DNS Resolution by mala byť nastavená na no. |
Čo urobiť ďalej
Odstráňte uzol
1 | Pomocou klienta VMware vSphere vo svojom počítači sa prihláste do virtuálneho hostiteľa ESXi a vypnite virtuálny počítač. |
2 | Odstráňte uzol: |
3 | V klientovi vSphere odstráňte VM. (Na ľavom navigačnom paneli kliknite pravým tlačidlom myši na VM a kliknite na Odstrániť.) Ak nevymažete VM, nezabudnite odpojiť konfiguračný súbor ISO. Bez súboru ISO nemôžete použiť VM na prístup k bezpečnostným údajom. |
Obnova po havárii pomocou pohotovostného dátového centra
Najdôležitejšou službou, ktorú váš klaster Hybrid Data Security poskytuje, je vytváranie a ukladanie kľúčov používaných na šifrovanie správ a iného obsahu uloženého v cloude Webex. Pre každého používateľa v rámci organizácie, ktorý je priradený k Hybrid Data Security, sú do klastra smerované nové požiadavky na vytvorenie kľúča. Klaster je tiež zodpovedný za vrátenie kľúčov, ktoré vytvoril, všetkým používateľom oprávneným na ich získanie, napríklad členom konverzačného priestoru.
Pretože klaster vykonáva kritickú funkciu poskytovania týchto kľúčov, je nevyhnutné, aby klaster zostal spustený a aby boli udržiavané správne zálohy. Strata databázy Hybrid Data Security alebo konfigurácie ISO použitej pre schému bude mať za následok NENÁVRATNÚ STRATU zákazníckeho obsahu. Aby sa predišlo takejto strate, sú povinné nasledujúce postupy:
Ak havária spôsobí, že nasadenie HDS v primárnom dátovom centre sa stane nedostupným, podľa tohto postupu manuálne prepnite na pohotovostné dátové centrum.
1 | Spustite nástroj HDS Setup a postupujte podľa krokov uvedených v Vytvorte ISO konfigurácie pre hostiteľov HDS. | ||
2 | Po nakonfigurovaní servera Syslogd kliknite na Pokročilé nastavenia | ||
3 | Na Pokročilé nastavenia pridajte konfiguráciu nižšie alebo odstráňte
| ||
4 | Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť. | ||
5 | Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. | ||
6 | V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na VM a kliknite Upraviť nastavenia.. | ||
7 | Kliknite Upraviť nastavenia >CD/DVD mechanika 1 a vyberte Datastore ISO File.
| ||
8 | Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy. | ||
9 | Opakujte proces pre každý uzol v pohotovostnom dátovom centre.
|
Čo urobiť ďalej
(Voliteľné) Odpojte ISO po konfigurácii HDS
Štandardná konfigurácia HDS beží s namontovaným ISO. Niektorí zákazníci však uprednostňujú neponechať súbory ISO nepretržite pripojené. Súbor ISO môžete odpojiť potom, čo všetky uzly HDS prevezmú novú konfiguráciu.
Na vykonanie zmien v konfigurácii stále používate súbory ISO. Keď vytvoríte nový ISO alebo aktualizujete ISO pomocou nástroja Setup Tool, musíte aktualizovaný ISO pripojiť na všetky vaše uzly HDS. Keď všetky vaše uzly zachytia zmeny konfigurácie, môžete ISO znova odpojiť pomocou tohto postupu.
Predtým ako začneš
Inovujte všetky svoje uzly HDS na verziu 2021.01.22.4720 alebo novšiu.
1 | Vypnite jeden z uzlov HDS. |
2 | V serverovom zariadení vCenter vyberte uzol HDS. |
3 | Vyberte si Súbor ISO úložiska údajov. a zrušte začiarknutie |
4 | Zapnite uzol HDS a uistite sa, že aspoň 20 minút nie sú žiadne alarmy. |
5 | Postup opakujte pre každý uzol HDS. |
Zobraziť upozornenia a riešenie problémov
Nasadenie Hybrid Data Security sa považuje za nedostupné, ak sú všetky uzly v klastri nedostupné alebo klaster pracuje tak pomaly, že si vyžaduje časový limit. Ak používatelia nemôžu dosiahnuť váš klaster Hybrid Data Security, zaznamenajú nasledujúce príznaky:
Nie je možné vytvoriť nové medzery (nemožno vytvoriť nové kľúče)
Správy a názvy priestorov sa nepodarilo dešifrovať pre:
Noví používatelia pridaní do priestoru (nemožno načítať kľúče)
Existujúci používatelia v priestore používajúci nového klienta (nemožno načítať kľúče)
Existujúci používatelia v priestore budú naďalej úspešne fungovať, pokiaľ budú mať ich klienti vyrovnávaciu pamäť šifrovacích kľúčov
Je dôležité, aby ste správne monitorovali svoj klaster Hybrid Data Security a okamžite riešili všetky výstrahy, aby ste predišli prerušeniu služby.
Upozornenia
Ak sa vyskytne problém s nastavením Hybrid Data Security, Control Hub zobrazí upozornenia správcovi organizácie a odošle e-maily na nakonfigurovanú e-mailovú adresu. Výstrahy pokrývajú mnoho bežných scenárov.
Upozornenie | Akcia |
---|---|
Zlyhanie prístupu k lokálnej databáze. |
Skontrolujte chyby databázy alebo problémy s lokálnou sieťou. |
Zlyhanie pripojenia k lokálnej databáze. |
Skontrolujte, či je databázový server dostupný a či boli v konfigurácii uzla použité správne poverenia servisného účtu. |
Zlyhanie prístupu k cloudovej službe. |
Skontrolujte, či majú uzly prístup k serverom Webex, ako je uvedené v Požiadavky na externé pripojenie. |
Obnovuje sa registrácia cloudovej služby. |
Registrácia do cloudových služieb bola zrušená. Prebieha obnova registrácie. |
Registrácia cloudovej služby bola zrušená. |
Registrácia do cloudových služieb bola ukončená. Služba sa vypína. |
Služba ešte nie je aktivovaná. |
Aktivujte skúšobnú verziu alebo dokončite presun skúšky do produkcie. |
Nakonfigurovaná doména sa nezhoduje s certifikátom servera. |
Uistite sa, že váš certifikát servera sa zhoduje s nakonfigurovanou doménou aktivácie služby. Najpravdepodobnejšou príčinou je, že certifikát CN bol nedávno zmenený a teraz sa líši od CN, ktorý bol použitý počas počiatočného nastavenia. |
Nepodarilo sa overiť v cloudových službách. |
Skontrolujte presnosť a možné vypršanie platnosti poverení servisného účtu. |
Nepodarilo sa otvoriť súbor lokálneho úložiska kľúčov. |
Skontrolujte integritu a presnosť hesla v lokálnom súbore skladu kľúčov. |
Certifikát lokálneho servera je neplatný. |
Skontrolujte dátum vypršania platnosti certifikátu servera a potvrďte, že bol vydaný dôveryhodnou certifikačnou autoritou. |
Nie je možné uverejniť metriky. |
Skontrolujte prístup k lokálnej sieti k externým cloudovým službám. |
Adresár /media/configdrive/hds neexistuje. |
Skontrolujte konfiguráciu pripojenia ISO na virtuálnom hostiteľovi. Overte, či súbor ISO existuje, či je nakonfigurovaný na pripojenie pri reštarte a či sa úspešne pripojí. |
Riešenie problémov so zabezpečením hybridných údajov
1 | Skontrolujte si v Control Hub všetky upozornenia a opravte všetky položky, ktoré tam nájdete. |
2 | Skontrolujte výstup servera syslog pre aktivitu z nasadenia Hybrid Data Security. |
3 | Kontakt Podpora Cisco. |
Známe problémy s hybridnou bezpečnosťou dát
Ak vypnete svoj klaster Hybrid Data Security (odstránením v Control Hub alebo vypnutím všetkých uzlov), stratíte svoj konfiguračný súbor ISO alebo stratíte prístup k databáze úložiska kľúčov, používatelia vašej aplikácie Webex App už nebudú môcť používať priestory pod svojimi ľuďmi. zoznam, ktorý bol vytvorený pomocou kľúčov z vášho KMS. Platí to pre skúšobné aj produkčné nasadenia. V súčasnosti nemáme riešenie ani opravu tohto problému a žiadame vás, aby ste nevypínali svoje služby HDS, keď budú spracovávať aktívne používateľské účty.
Klient, ktorý má existujúce pripojenie ECDH ku KMS, udržiava toto pripojenie určitý čas (pravdepodobne jednu hodinu). Keď sa používateľ stane členom skúšobnej verzie Hybrid Data Security, klient používateľa naďalej používa existujúce pripojenie ECDH, kým nevyprší časový limit. Prípadne sa používateľ môže odhlásiť a znova prihlásiť do aplikácie Webex App, aby aktualizoval umiestnenie, ktoré aplikácia kontaktuje pre šifrovacie kľúče.
Rovnaké správanie nastane, keď presuniete skúšobnú verziu do produkcie organizácie. Všetci neskúšobní používatelia s existujúcimi pripojeniami ECDH k predchádzajúcim službám zabezpečenia údajov budú tieto služby naďalej používať, kým sa znovu nedohodne pripojenie ECDH (prostredníctvom časového limitu alebo odhlásením a opätovným prihlásením).
Na vygenerovanie súboru PKCS12 použite OpenSSL
Predtým ako začneš
OpenSSL je jeden nástroj, ktorý možno použiť na vytvorenie súboru PKCS12 v správnom formáte na načítanie v nástroji HDS Setup Tool. Existujú aj iné spôsoby, ako to urobiť, a my nepodporujeme ani nepresadzujeme jeden spôsob oproti druhému.
Ak sa rozhodnete použiť OpenSSL, poskytujeme tento postup ako návod, ktorý vám pomôže vytvoriť súbor, ktorý spĺňa požiadavky certifikátu X.509 v Požiadavky na certifikát X.509. Než budete pokračovať, pochopte tieto požiadavky.
Nainštalujte OpenSSL v podporovanom prostredí. Pozri https://www.openssl.org pre softvér a dokumentáciu.
Vytvorte súkromný kľúč.
Tento postup začnite, keď dostanete certifikát servera od certifikačnej autority (CA).
1 | Keď dostanete certifikát servera od vašej CA, uložte ho ako |
2 | Zobrazte certifikát ako text a overte podrobnosti.
|
3 | Pomocou textového editora vytvorte súbor zväzku certifikátov s názvom
|
4 | Vytvorte súbor .p12 s popisným názvom
|
5 | Skontrolujte podrobnosti certifikátu servera. |
Čo urobiť ďalej
Návrat do Vyplňte Predpoklady pre hybridnú bezpečnosť údajov. Budete používať hdsnode.p12
súbor a heslo, ktoré ste preň nastavili Vytvorte ISO konfigurácie pre hostiteľov HDS.
Tieto súbory môžete znova použiť na vyžiadanie nového certifikátu, keď platnosť pôvodného certifikátu vyprší. |
Prevádzka medzi uzlami HDS a cloudom
Odchádzajúca návštevnosť zberu metrík
Uzly Hybrid Data Security odosielajú určité metriky do cloudu Webex. Patria sem systémové metriky pre maximálnu haldu, využitú haldu, zaťaženie procesora a počet vlákien; metriky na synchrónnych a asynchrónnych vláknach; metriky výstrah zahŕňajúce prah šifrovacích pripojení, latenciu alebo dĺžku frontu požiadaviek; metriky na dátovom úložisku; a metriky šifrovaného pripojenia. Uzly posielajú zašifrovaný kľúčový materiál cez kanál mimo pásma (oddelený od požiadavky).
Prichádzajúca premávka
Uzly Hybrid Data Security prijímajú nasledujúce typy prichádzajúcej prevádzky z cloudu Webex:
Šifrovacie požiadavky od klientov, ktoré sú smerované šifrovacou službou
Aktualizácie softvéru uzla
Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát
Websocket sa nemôže pripojiť cez Squid Proxy
Proxy serverov chobotnice, ktoré kontrolujú prenos HTTPS, môžu zasahovať do vytvorenia webovej zásuvky ( wss:
) pripojenia, ktoré vyžaduje Hybrid Data Security. Tieto časti poskytujú návod, ako nakonfigurovať rôzne verzie Squid na ignorovanie wss:
prevádzky pre správne fungovanie služieb.
Kalmáre 4 a 5
Pridajte on_unsupported_protocol
smernica k squid.conf
:
on_unsupported_protocol tunnel all
Kalmáre 3.5.27
Hybridnú bezpečnosť dát sme úspešne otestovali s nasledujúcimi pravidlami squid.conf
. Tieto pravidlá sa môžu meniť, pretože vyvíjame funkcie a aktualizujeme cloud Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Nové a zmenené informácie
Dátum | Vykonané zmeny | ||
---|---|---|---|
20. októbra 2023 |
| ||
7. augusta 2023 |
| ||
23. mája 2023 |
| ||
6. decembra 2022 |
| ||
23. novembra 2022 |
| ||
13. októbra 2021 | Pred inštaláciou uzlov HDS musí Docker Desktop spustiť inštalačný program. Pozri Požiadavky na plochu Docker. | ||
24. júna 2021 | Upozorňujeme, že súbor so súkromným kľúčom a CSR môžete znova použiť na vyžiadanie ďalšieho certifikátu. Pozri Na vygenerovanie súboru PKCS12 použite OpenSSL pre podrobnosti. | ||
30. apríla 2021 | Požiadavka VM na lokálny pevný disk sa zmenila na 30 GB. Pozri Požiadavky na virtuálny hostiteľ pre podrobnosti. | ||
24. februára 2021 | HDS Setup Tool teraz môže bežať za serverom proxy. Pozri Vytvorte ISO konfigurácie pre hostiteľov HDS pre podrobnosti. | ||
2. februára 2021 | HDS teraz môže bežať bez pripojeného súboru ISO. Pozri (Voliteľné) Odpojte ISO po konfigurácii HDS pre podrobnosti. | ||
11. januára 2021 | Pridané informácie o nástroji HDS Setup a proxy serveroch Vytvorte ISO konfigurácie pre hostiteľov HDS. | ||
13. októbra 2020 | Aktualizované Stiahnite si inštalačné súbory. | ||
8. októbra 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS a Zmeňte konfiguráciu uzla s príkazmi pre prostredia FedRAMP. | ||
14. augusta 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS a Zmeňte konfiguráciu uzla so zmenami v procese prihlasovania. | ||
5. augusta 2020 | Aktualizované Otestujte svoje nasadenie hybridného zabezpečenia dát pre zmeny v protokolových správach. Aktualizované Požiadavky na virtuálny hostiteľ na odstránenie maximálneho počtu hostiteľov. | ||
16. júna 2020 | Aktualizované Odstráňte uzol pre zmeny v používateľskom rozhraní Control Hub. | ||
4. júna 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS pre zmeny v rozšírených nastaveniach, ktoré môžete nastaviť. | ||
29. mája 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS ukázať, že TLS môžete použiť aj s databázami SQL Server, zmenami používateľského rozhrania a ďalšími vysvetleniami. | ||
5. mája 2020 | Aktualizované Požiadavky na virtuálny hostiteľ ukázať novú požiadavku ESXi 6.5. | ||
21. apríla 2020 | Aktualizované Požiadavky na externé pripojenie s novými hostiteľmi Americas CI. | ||
1. apríla 2020 | Aktualizované Požiadavky na externé pripojenie s informáciami o regionálnych hostiteľoch CI. | ||
20. februára 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS s informáciami o novej voliteľnej obrazovke rozšírených nastavení v nástroji HDS Setup Tool. | ||
4. februára 2020 | Aktualizované Požiadavky na proxy server. | ||
16. decembra 2019 | Objasnená požiadavka, aby fungoval režim zablokovaného externého rozlíšenia DNS Požiadavky na proxy server. | ||
19. novembra 2019 | Pridané informácie o režime zablokovaného externého rozlíšenia DNS v nasledujúcich častiach: | ||
8. novembra 2019 | Teraz môžete konfigurovať sieťové nastavenia pre uzol počas nasadzovania OVA a nie neskôr. Podľa toho aktualizovali nasledujúce sekcie:
| ||
6. septembra 2019 | Pridaný SQL Server Standard do Požiadavky na databázový server. | ||
29. augusta 2019 | Pridané Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát príloha s návodom na konfiguráciu proxy serverov Squid tak, aby ignorovali prevádzku websocket pre správnu činnosť. | ||
20. augusta 2019 | Pridané a aktualizované sekcie pokrývajúce podporu proxy pre komunikáciu uzlov Hybrid Data Security do cloudu Webex. Ak chcete získať prístup len k obsahu podpory proxy pre existujúce nasadenie, pozrite si Podpora proxy pre hybridné zabezpečenie dát a Webex Video Mesh pomocný článok. | ||
13. júna 2019 | Aktualizované Skúšobný postup produkčných úloh s pripomienkou na synchronizáciu HdsTrialGroup skupinový objekt pred spustením skúšobnej verzie, ak vaša organizácia používa synchronizáciu adresárov. | ||
6. marca 2019 |
| ||
28. februára 2019 |
| ||
26. februára 2019 |
| ||
24. januára 2019 |
| ||
5. novembra 2018 |
| ||
19. októbra 2018 |
| ||
31. júla 2018 |
| ||
21. mája 2018 | Zmenená terminológia, aby odrážala rebranding Cisco Spark:
| ||
11. apríla 2018 |
| ||
22. februára 2018 |
| ||
15. február 2018 |
| ||
18. januára 2018 |
| ||
2. novembra 2017 |
| ||
18. augusta 2017 | Prvýkrát zverejnené |
Prehľad zabezpečenia hybridných údajov
Od prvého dňa bola bezpečnosť údajov prvoradá pri navrhovaní Aplikácia Webex. Základným kameňom tohto zabezpečenia je komplexné šifrovanie obsahu, ktoré umožňuje Aplikácia Webex klientov interagujúcich so službou správy kľúčov (KMS). KMS je zodpovedný za vytváranie a správu kryptografických kľúčov, ktoré klienti používajú na dynamické šifrovanie a dešifrovanie správ a súborov.
Štandardne všetky Aplikácia Webex zákazníci získajú end-to-end šifrovanie s dynamickými kľúčmi uloženými v cloudovom KMS v oblasti bezpečnosti Cisco. Hybrid Data Security presúva KMS a ďalšie funkcie súvisiace so zabezpečením do vášho podnikového dátového centra, takže kľúče k vášmu šifrovanému obsahu nemá nikto okrem vás.
Architektúra bezpečnostnej sféry
Cloudová architektúra Webex oddeľuje rôzne typy služieb do samostatných oblastí alebo dôveryhodných domén, ako je znázornené nižšie.
Aby sme lepšie porozumeli Hybrid Data Security, pozrime sa najprv na tento čistý cloud, kde Cisco poskytuje všetky funkcie vo svojich cloudových sférach. Služba identity, jediné miesto, kde môžu používatelia priamo korelovať so svojimi osobnými údajmi, ako je e-mailová adresa, je logicky a fyzicky oddelená od oblasti zabezpečenia v dátovom centre B. Obe sú zase oddelené od oblasti, kde je v konečnom dôsledku uložený šifrovaný obsah. , v dátovom centre C.
V tomto diagrame je klientom aplikácia Webex, ktorá beží na notebooku používateľa a je overená službou identity. Keď používateľ vytvorí správu na odoslanie do priestoru, vykonajú sa tieto kroky:
Klient vytvorí zabezpečené spojenie so službou správy kľúčov (KMS), potom požiada o kľúč na zašifrovanie správy. Zabezpečené pripojenie používa ECDH a KMS šifruje kľúč pomocou hlavného kľúča AES-256.
Správa je pred opustením klienta zašifrovaná. Klient ho odošle do indexovacej služby, ktorá vytvorí šifrované indexy vyhľadávania na pomoc pri budúcom vyhľadávaní obsahu.
Zašifrovaná správa sa odošle do služby súladu na kontrolu súladu.
Zašifrovaná správa je uložená v úložnej sfére.
Keď nasadíte Hybrid Data Security, presuniete funkcie bezpečnostnej sféry (KMS, indexovanie a súlad) do vášho lokálneho dátového centra. Ostatné cloudové služby, ktoré tvoria Webex (vrátane ukladania identity a obsahu), zostávajú v sférach spoločnosti Cisco.
Spolupráca s inými organizáciami
Používatelia vo vašej organizácii môžu pravidelne používať aplikáciu Webex na spoluprácu s externými účastníkmi v iných organizáciách. Keď jeden z vašich používateľov požaduje kľúč pre priestor, ktorý vlastní vaša organizácia (pretože ho vytvoril jeden z vašich používateľov), váš KMS odošle kľúč klientovi cez zabezpečený kanál ECDH. Keď však kľúč priestoru vlastní iná organizácia, váš KMS nasmeruje požiadavku do cloudu Webex cez samostatný kanál ECDH, aby získal kľúč z príslušného KMS, a potom vráti kľúč vášmu používateľovi na pôvodnom kanáli.
Služba KMS spustená v organizácii A overuje pripojenia ku KMS v iných organizáciách pomocou x.509 PKI certifikátov. Pozri Pripravte si prostredie podrobnosti o generovaní x.509 certifikátu na použitie s nasadením Hybrid Data Security.
Očakávania týkajúce sa nasadenia hybridnej bezpečnosti údajov
Nasadenie Hybrid Data Security si vyžaduje značné nasadenie zákazníkov a uvedomenie si rizík, ktoré so sebou prináša vlastníctvo šifrovacích kľúčov.
Ak chcete nasadiť Hybrid Data Security, musíte poskytnúť:
Bezpečné dátové centrum v krajine, ktorá je a podporované miesto pre plány Cisco Webex Teams.
Vybavenie, softvér a sieťový prístup popísané v Pripravte si prostredie.
Úplná strata buď konfiguračného ISO, ktoré ste vytvorili pre Hybrid Data Security, alebo databázy, ktorú poskytnete, bude mať za následok stratu kľúčov. Strata kľúča bráni používateľom dešifrovať obsah priestoru a ďalšie šifrované údaje v aplikácii Webex. Ak sa tak stane, môžete vytvoriť nové nasadenie, ale bude viditeľný iba nový obsah. Aby ste predišli strate prístupu k údajom, musíte:
Spravujte zálohovanie a obnovu databázy a konfiguračného ISO.
Buďte pripravení vykonať rýchlu obnovu po havárii, ak dôjde ku katastrofe, ako je zlyhanie databázového disku alebo katastrofa dátového centra.
Neexistuje žiadny mechanizmus na presun kľúčov späť do cloudu po nasadení HDS. |
Proces nastavenia na vysokej úrovni
Tento dokument pokrýva nastavenie a správu nasadenia Hybrid Data Security:
Nastavte Hybridné zabezpečenie dát—To zahŕňa prípravu požadovanej infraštruktúry a inštaláciu softvéru Hybrid Data Security, testovanie vášho nasadenia s podskupinou používateľov v skúšobnom režime a po dokončení testovania prechod do produkcie. To prevedie celú organizáciu na používanie vášho klastra Hybrid Data Security na bezpečnostné funkcie.
Fázy nastavenia, skúšania a výroby sú podrobne opísané v nasledujúcich troch kapitolách.
Udržujte svoje nasadenie Hybrid Data Security— Cloud Webex automaticky poskytuje priebežné aktualizácie. Vaše IT oddelenie môže poskytnúť podporu prvej úrovne pre toto nasadenie a podľa potreby zapojiť podporu Cisco. V Control Hub môžete používať upozornenia na obrazovke a nastaviť upozornenia prostredníctvom e-mailu.
Pochopte bežné upozornenia, kroky na riešenie problémov a známe problémy—Ak narazíte na problémy s nasadením alebo používaním Hybrid Data Security, posledná kapitola tejto príručky a príloha Známe problémy vám môžu pomôcť určiť a vyriešiť problém.
Hybridný model nasadenia zabezpečenia dát
V rámci podnikového dátového centra nasadíte Hybrid Data Security ako jeden klaster uzlov na samostatných virtuálnych hostiteľoch. Uzly komunikujú s cloudom Webex prostredníctvom zabezpečených webových zásuviek a zabezpečeného HTTP.
Počas procesu inštalácie vám poskytneme súbor OVA na nastavenie virtuálneho zariadenia na VM, ktoré poskytnete. Nástroj HDS Setup Tool použijete na vytvorenie vlastného konfiguračného súboru ISO klastra, ktorý pripojíte na každý uzol. Klaster Hybrid Data Security využíva váš poskytnutý server Syslogd a databázu PostgreSQL alebo Microsoft SQL Server. (Syslogd a podrobnosti o pripojení k databáze nakonfigurujete v nástroji HDS Setup Tool.)
Minimálny počet uzlov, ktoré môžete mať v klastri, sú dva. Odporúčame aspoň tri a môžete ich mať až päť. Viacnásobné uzly zaisťujú, že služba nebude prerušená počas aktualizácie softvéru alebo inej činnosti údržby na uzle. (Cloud Webex aktualizuje naraz iba jeden uzol.)
Všetky uzly v klastri pristupujú k rovnakému úložisku údajov kľúčov a zaznamenávajú aktivitu na rovnaký server syslog. Samotné uzly sú bez stavu a spracovávajú kľúčové požiadavky v režime round-robin podľa pokynov cloudu.
Uzly sa stanú aktívnymi, keď ich zaregistrujete v Control Hub. Ak chcete vyradiť jednotlivý uzol z prevádzky, môžete ho zrušiť a neskôr v prípade potreby znova zaregistrovať.
Podporujeme iba jeden klaster na organizáciu.
Skúšobný režim hybridnej bezpečnosti dát
Po nastavení nasadenia Hybrid Data Security ho najskôr vyskúšate so skupinou pilotných používateľov. Počas skúšobného obdobia títo používatelia používajú vašu lokálnu doménu Hybrid Data Security na šifrovacie kľúče a ďalšie služby v oblasti zabezpečenia. Ostatní vaši používatelia naďalej používajú oblasť zabezpečenia cloudu.
Ak sa rozhodnete nepokračovať v nasadzovaní počas skúšobného obdobia a službu deaktivujete, pilotní používatelia a všetci používatelia, s ktorými počas skúšobného obdobia interagovali vytvorením nových priestorov, stratia prístup k správam a obsahu. V aplikácii Webex sa im zobrazí „Táto správa sa nedá dešifrovať“.
Ak ste spokojní s tým, že vaše nasadenie funguje dobre pre skúšobných používateľov a ste pripravení rozšíriť Hybrid Data Security na všetkých svojich používateľov, presuniete nasadenie do produkcie. Pilotní používatelia majú naďalej prístup ku kľúčom, ktoré sa používali počas skúšobnej verzie. Nemôžete sa však pohybovať tam a späť medzi produkčným režimom a pôvodnou skúšobnou verziou. Ak musíte službu deaktivovať, napríklad vykonať obnovu po havárii, pri opätovnej aktivácii musíte spustiť novú skúšobnú verziu a nastaviť skupinu pilotných používateľov pre novú skúšobnú verziu, než sa vrátite späť do produkčného režimu. Či si používatelia v tomto bode zachovajú prístup k údajom, závisí od toho, či ste úspešne udržiavali zálohy úložiska kľúčových údajov a konfiguračného súboru ISO pre uzly Hybrid Data Security vo vašom klastri.
Pohotovostné dátové centrum pre obnovu po havárii
Počas nasadenia nastavíte zabezpečené pohotovostné dátové centrum. V prípade havárie dátového centra môžete manuálne zlyhať nasadenie do pohotovostného dátového centra.
Databázy aktívnych a pohotovostných dátových centier sú navzájom synchronizované, čo minimalizuje čas potrebný na vykonanie núdzového prepnutia. Súbor ISO pohotovostného dátového centra sa aktualizuje o ďalšie konfigurácie, ktoré zaisťujú, že uzly sú registrované v organizácii, ale nebudú spracovávať prevádzku. Preto uzly pohotovostného dátového centra zostávajú vždy aktuálne s najnovšou verziou softvéru HDS.
Aktívne uzly Hybrid Data Security musia byť vždy v rovnakom údajovom centre ako aktívny databázový server. |
Nastavte pohotovostné dátové centrum pre obnovu po havárii
Ak chcete nakonfigurovať súbor ISO pohotovostného dátového centra, postupujte podľa nasledujúcich krokov:
Predtým ako začneš
Pohotovostné dátové centrum by malo odrážať produkčné prostredie VM a záložnú databázu PostgreSQL alebo Microsoft SQL Server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM. (Pozri Pohotovostné dátové centrum pre obnovu po havárii pre prehľad tohto modelu núdzového prepnutia.)
Uistite sa, že je povolená synchronizácia databázy medzi databázou aktívnych a pasívnych uzlov klastra.
1 | Spustite nástroj HDS Setup a postupujte podľa krokov uvedených v Vytvorte ISO konfigurácie pre hostiteľov HDS.
| ||
2 | Po nakonfigurovaní servera Syslogd kliknite na Pokročilé nastavenia | ||
3 | Na Pokročilé nastavenia pridajte konfiguráciu nižšie, aby ste umiestnili uzol do pasívneho režimu. V tomto režime bude uzol zaregistrovaný v organizácii a pripojený ku cloudu, ale nebude spracovávať žiadny prenos.
| ||
4 | Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť. | ||
5 | Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. | ||
6 | V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na VM a kliknite Upraviť nastavenia.. | ||
7 | Kliknite Upraviť nastavenia >CD/DVD mechanika 1 a vyberte Datastore ISO File.
| ||
8 | Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy. | ||
9 | Opakujte proces pre každý uzol v pohotovostnom dátovom centre.
|
Čo urobiť ďalej
Po konfigurácii passiveMode
v súbore ISO a jeho uložením môžete vytvoriť ďalšiu kópiu súboru ISO bez súboru passiveMode
konfiguráciu a uložte ju na bezpečnom mieste. Táto kópia súboru ISO bez passiveMode
nakonfigurovaný môže pomôcť pri rýchlom procese núdzového prepnutia počas obnovy po havárii. Pozri Obnova po havárii pomocou pohotovostného dátového centra pre podrobný postup núdzového prepnutia.
Podpora proxy
Hybrid Data Security podporuje explicitné, transparentné kontrolné a nekontrolujúce proxy. Tieto servery proxy môžete prepojiť s nasadením, aby ste mohli zabezpečiť a monitorovať prevádzku z podniku do cloudu. Rozhranie správcu platformy na uzloch môžete použiť na správu certifikátov a na kontrolu celkového stavu pripojenia po nastavení servera proxy na uzloch.
Uzly Hybrid Data Security podporujú nasledujúce možnosti proxy:
Žiadny proxy—Predvolené, ak na integráciu servera proxy nepoužívate nastavenie uzla HDS Trust Store & Proxy. Nevyžaduje sa žiadna aktualizácia certifikátu.
Transparentný nekontrolujúci splnomocnenec– Uzly nie sú nakonfigurované na používanie špecifickej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.
Transparentné tunelovanie alebo kontrola proxy– Uzly nie sú nakonfigurované na používanie špecifickej adresy servera proxy. Na uzloch nie sú potrebné žiadne zmeny konfigurácie HTTP alebo HTTPS. Uzly však potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).
Explicitný proxy—S explicitným proxy, poviete HDS uzlom, ktorý proxy server a overovaciu schému použiť. Ak chcete nakonfigurovať explicitný server proxy, musíte do každého uzla zadať nasledujúce informácie:
Proxy IP/FQDN– Adresa, ktorú možno použiť na spojenie so zariadením proxy.
Port proxy—Číslo portu, ktoré server proxy používa na počúvanie prevádzky cez proxy.
Proxy protokol—V závislosti od toho, čo váš proxy server podporuje, vyberte si z nasledujúcich protokolov:
HTTP – zobrazuje a riadi všetky požiadavky, ktoré klient odosiela.
HTTPS – poskytuje kanál pre server. Klient prijme a overí certifikát servera.
autentický typ— Vyberte si z nasledujúcich typov autentifikácie:
žiadne— Nevyžaduje sa žiadna ďalšia autentifikácia.
Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.
Základné— Používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.
Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.
Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.
Digest– Používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.
Dostupné, iba ak vyberiete HTTPS ako protokol proxy.
Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.
Príklad uzlov na zabezpečenie hybridných dát a proxy
Tento diagram ukazuje príklad spojenia medzi Hybrid Data Security, sieťou a proxy. Pre možnosti transparentnej kontroly a explicitnej kontroly HTTPS proxy musí byť na serveri proxy aj na uzloch Hybrid Data Security nainštalovaný rovnaký koreňový certifikát.
Blokovaný režim externého rozlíšenia DNS (explicitné konfigurácie proxy)
Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. V nasadeniach s explicitnými konfiguráciami proxy, ktoré neumožňujú externé rozlíšenie DNS pre interných klientov, ak uzol nemôže dotazovať servery DNS, automaticky prejde do režimu blokovaného externého riešenia DNS. V tomto režime môže pokračovať registrácia uzla a ďalšie testy pripojenia proxy.
Požiadavky na hybridnú bezpečnosť dát
Požiadavky na licenciu Cisco Webex
Nasadenie Hybrid Data Security:
Musíte mať balík Pro Pack pre Cisco Webex Control Hub. (Pozri https://www.cisco.com/go/pro-pack.)
Požiadavky na plochu Docker
Pred inštaláciou uzlov HDS potrebujete Docker Desktop na spustenie inštalačného programu. Docker nedávno aktualizoval svoj licenčný model. Vaša organizácia môže vyžadovať platené predplatné pre Docker Desktop. Podrobnosti nájdete v blogovom príspevku Docker, " Docker aktualizuje a rozširuje naše predplatné produktov".
Požiadavky na certifikát X.509
Certifikačný reťazec musí spĺňať nasledujúce požiadavky:
Požiadavka | Podrobnosti |
---|---|
| V predvolenom nastavení dôverujeme CA v zozname Mozilly (s výnimkou WoSign a StartCom) na https://wiki.mozilla.org/CA:IncludedCAs. |
| CN nemusí byť dosiahnuteľné alebo živého hostiteľa. Odporúčame vám použiť názov, ktorý odráža vašu organizáciu, napr. KN nesmie obsahovať * (zástupný znak). CN sa používa na overenie uzlov Hybrid Data Security pre klientov Webex App. Všetky uzly Hybrid Data Security vo vašom klastri používajú rovnaký certifikát. Váš KMS sa identifikuje pomocou domény CN, nie akejkoľvek domény, ktorá je definovaná v poliach x.509v3 SAN. Po zaregistrovaní uzla s týmto certifikátom nepodporujeme zmenu názvu domény CN. Vyberte doménu, ktorá sa môže vzťahovať na skúšobné aj produkčné nasadenie. |
| Softvér KMS nepodporuje podpisy SHA1 na overenie pripojení k KMS iných organizácií. |
| Na zmenu formátu certifikátu môžete použiť konvertor, ako je OpenSSL. Pri spustení nástroja HDS Setup Tool budete musieť zadať heslo. |
Softvér KMS nevynucuje používanie kľúčov ani rozšírené obmedzenia používania kľúčov. Niektoré certifikačné autority vyžadujú, aby sa na každý certifikát aplikovali rozšírené obmedzenia používania kľúčov, ako je autentifikácia servera. Je v poriadku použiť overenie servera alebo iné nastavenia.
Požiadavky na virtuálny hostiteľ
Virtuálni hostitelia, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri, majú nasledujúce požiadavky:
Aspoň dvaja oddelení hostitelia (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre
VMware ESXi 6.5 (alebo novší) nainštalovaný a spustený.
Ak máte staršiu verziu ESXi, musíte vykonať inováciu.
Minimálne 4 vCPU, 8 GB hlavnej pamäte, 30 GB miesta na lokálnom pevnom disku na server
Požiadavky na databázový server
Vytvorte novú databázu pre uloženie kľúčov. Nepoužívajte predvolenú databázu. Aplikácie HDS, keď sú nainštalované, vytvoria schému databázy. |
Pre databázový server sú dve možnosti. Požiadavky na každú z nich sú nasledovné:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložný priestor) | Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložný priestor) |
Softvér HDS momentálne inštaluje nasledujúce verzie ovládačov na komunikáciu s databázovým serverom:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres JDBC ovládač 42.2.5 | Ovládač SQL Server JDBC 4.6 Táto verzia ovládača podporuje SQL Server Always On ( Vždy v prípade zlyhania klastra a Vždy zapnuté skupiny dostupnosti). |
Dodatočné požiadavky na overenie systému Windows voči Microsoft SQL Server
Ak chcete, aby uzly HDS používali autentifikáciu systému Windows na získanie prístupu k vašej databáze úložiska kľúčov na serveri Microsoft SQL Server, potrebujete vo svojom prostredí nasledujúcu konfiguráciu:
HDS uzly, infraštruktúra Active Directory a MS SQL Server musia byť synchronizované s NTP.
Účet Windows, ktorý poskytnete uzlom HDS, musí mať prístup k databáze na čítanie/zápis.
Servery DNS, ktoré poskytujete uzlom HDS, musia byť schopné vyriešiť vaše Centrum distribúcie kľúčov (KDC).
Inštanciu databázy HDS môžete zaregistrovať na svojom serveri Microsoft SQL Server ako hlavný názov služby (SPN) vo vašom adresári Active Directory. Pozri Zaregistrujte hlavný názov služby pre pripojenia Kerberos.
Nástroj na nastavenie HDS, spúšťač HDS a miestne KMS musia na prístup k databáze kľúčov používať overenie systému Windows. Používajú podrobnosti z vašej konfigurácie ISO na vytvorenie SPN pri požadovaní prístupu s overením Kerberos.
Požiadavky na externé pripojenie
Nakonfigurujte svoj firewall tak, aby umožňoval nasledujúce pripojenie pre aplikácie HDS:
Aplikácia | Protokol | Port | Smer z App | Destinácia |
---|---|---|---|---|
Hybridné uzly zabezpečenia údajov | TCP | 443 | Odchádzajúce HTTPS a WSS |
|
Nástroj na nastavenie HDS | TCP | 443 | Odchádzajúce HTTPS |
|
Uzly Hybrid Data Security pracujú s prekladom sieťového prístupu (NAT) alebo za bránou firewall, pokiaľ NAT alebo brána firewall umožňuje požadované odchádzajúce pripojenia k destináciám domény v predchádzajúcej tabuľke. Pre pripojenia prichádzajúce do uzlov Hybrid Data Security by nemali byť z internetu viditeľné žiadne porty. V rámci vášho dátového centra potrebujú klienti prístup k uzlom Hybrid Data Security na portoch TCP 443 a 22 na administratívne účely. |
Adresy URL hostiteľov Common Identity (CI) sú špecifické pre daný región. Toto sú súčasní hostitelia CI:
región | Spoločné adresy URL hostiteľa identity |
---|---|
Ameriky |
|
Európska únia |
|
Kanada |
|
Požiadavky na proxy server
Oficiálne podporujeme nasledujúce proxy riešenia, ktoré sa dajú integrovať s vašimi uzlami Hybrid Data Security.
Transparentný proxy – Cisco Web Security Appliance (WSA).
Explicitný proxy-Squid.
Proxy serverov chobotnice, ktoré kontrolujú prenos HTTPS, môžu zasahovať do vytvorenia webovej zásuvky (wss:) spojenia. Ak chcete tento problém obísť, pozrite si Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát.
Pre explicitné servery proxy podporujeme nasledujúce kombinácie typov overenia:
Žiadna autentifikácia pomocou HTTP alebo HTTPS
Základná autentifikácia pomocou HTTP alebo HTTPS
Digest overenie iba s HTTPS
Pre transparentný kontrolný proxy server alebo explicitný proxy server HTTPS musíte mať kópiu koreňového certifikátu servera proxy. Pokyny na nasadenie v tejto príručke vám povedia, ako nahrať kópiu do dôveryhodných obchodov uzlov Hybrid Data Security.
Sieť, ktorá hostí uzly HDS, musí byť nakonfigurovaná tak, aby vynútila smerovanie odchádzajúcej prevádzky TCP na porte 443 cez server proxy.
Proxy, ktoré kontrolujú webovú prevádzku, môžu narúšať pripojenia webových soketov. Ak sa vyskytne tento problém, obíďte (nie kontrolujte) premávku na
wbx2.com
aciscospark.com
problém vyrieši.
Vyplňte Predpoklady pre hybridnú bezpečnosť údajov
1 | Uistite sa, že vaša organizácia Webex má povolený balík Pro Pack pre Cisco Webex Control Hub a získajte prihlasovacie údaje účtu s úplnými právami správcu organizácie. Ak potrebujete pomoc s týmto procesom, kontaktujte svojho partnera Cisco alebo account manažéra. | ||
2 | Vyberte názov domény pre svoje nasadenie HDS (napr. | ||
3 | Pripravte si identických virtuálnych hostiteľov, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri. Potrebujete aspoň dvoch samostatných hostiteľov (odporúčajú sa 3) umiestnených v rovnakom zabezpečenom dátovom centre, ktorí spĺňajú požiadavky v Požiadavky na virtuálny hostiteľ. | ||
4 | Pripravte databázový server, ktorý bude fungovať ako úložisko kľúčových údajov pre klaster, podľa Požiadavky na databázový server. Databázový server musí byť umiestnený v zabezpečenom údajovom centre spolu s virtuálnymi hostiteľmi. | ||
5 | Pre rýchlu obnovu po havárii nastavte zálohovacie prostredie v inom dátovom centre. Zálohovacie prostredie odzrkadľuje produkčné prostredie VM a záložný databázový server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM. | ||
6 | Nastavte hostiteľa syslog na zhromažďovanie protokolov z uzlov v klastri. Získajte jeho sieťovú adresu a port syslog (predvolené je UDP 514). | ||
7 | Vytvorte politiku bezpečného zálohovania pre uzly Hybrid Data Security, databázový server a hostiteľa syslog. Aby ste predišli nenapraviteľnej strate údajov, musíte minimálne zálohovať databázu a konfiguračný súbor ISO vygenerovaný pre uzly Hybrid Data Security.
Klienti Webex App ukladajú svoje kľúče do vyrovnávacej pamäte, takže výpadok nemusí byť okamžite viditeľný, ale časom sa prejaví. Zatiaľ čo dočasným výpadkom nie je možné zabrániť, sú obnoviteľné. Úplná strata (nie sú k dispozícii žiadne zálohy) databázy alebo konfiguračného ISO súboru však bude mať za následok neobnoviteľné zákaznícke údaje. Od operátorov uzlov Hybrid Data Security sa očakáva, že budú pravidelne zálohovať databázu a konfiguračný ISO súbor a budú pripravení na prestavbu dátového centra Hybrid Data Security, ak dôjde ku katastrofálnej poruche. | ||
8 | Uistite sa, že vaša konfigurácia brány firewall umožňuje pripojenie pre vaše uzly Hybrid Data Security, ako je uvedené v Požiadavky na externé pripojenie. | ||
9 | Nainštalujte Docker ( https://www.docker.com) na akomkoľvek lokálnom počítači s podporovaným operačným systémom (Microsoft Windows 10 Professional alebo Enterprise 64-bit, alebo Mac OSX Yosemite 10.10.3 alebo novší) s webovým prehliadačom, ktorý k nemu môže pristupovať na http://127.0.0.1:8080. Inštanciu Docker použijete na stiahnutie a spustenie nástroja HDS Setup Tool, ktorý vytvorí informácie o lokálnej konfigurácii pre všetky uzly Hybrid Data Security. Vaša organizácia môže potrebovať licenciu Docker Desktop. Pozri Požiadavky na plochu Docker Pre viac informácií. Ak chcete nainštalovať a spustiť nástroj HDS Setup Tool, lokálny počítač musí mať konektivitu uvedenú v Požiadavky na externé pripojenie. | ||
10 | Ak integrujete proxy s Hybrid Data Security, uistite sa, že spĺňa Požiadavky na proxy server. | ||
11 | Ak vaša organizácia používa synchronizáciu adresárov, vytvorte skupinu v Active Directory s názvom
|
Tok úloh nasadenia zabezpečenia hybridných údajov
Predtým ako začneš
1 | Stiahnite si inštalačné súbory Stiahnite si súbor OVA na váš lokálny počítač pre neskoršie použitie. | ||
2 | Vytvorte ISO konfigurácie pre hostiteľov HDS Pomocou nástroja HDS Setup Tool vytvorte konfiguračný súbor ISO pre uzly Hybrid Data Security. | ||
3 |
Vytvorte virtuálny počítač zo súboru OVA a vykonajte počiatočnú konfiguráciu, ako sú nastavenia siete.
| ||
4 | Nastavte virtuálny počítač Hybrid Data Security Prihláste sa do konzoly VM a nastavte prihlasovacie poverenia. Nakonfigurujte sieťové nastavenia pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA. | ||
5 | Nahrajte a pripojte ISO konfiguráciu HDS Nakonfigurujte VM z konfiguračného súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool. | ||
6 | Nakonfigurujte uzol HDS na integráciu proxy Ak sieťové prostredie vyžaduje konfiguráciu servera proxy, zadajte typ servera proxy, ktorý použijete pre uzol, a v prípade potreby pridajte certifikát servera proxy do dôveryhodného úložiska. | ||
7 | Zaregistrujte prvý uzol v klastri Zaregistrujte VM v cloude Cisco Webex ako uzol Hybrid Data Security. | ||
8 | Vytvorte a zaregistrujte viac uzlov Dokončite nastavenie klastra. | ||
9 | Spustite skúšobnú verziu a prejdite do výroby (ďalšia kapitola) Kým nezačnete skúšobnú verziu, vaše uzly generujú alarm oznamujúci, že vaša služba ešte nie je aktivovaná. |
Stiahnite si inštalačné súbory
1 | Prihláste sa do https://admin.webex.coma potom kliknite Služby. | ||||
2 | V časti Hybridné služby nájdite kartu Hybrid Data Security a potom kliknite Nastaviť. Ak je karta zakázaná alebo ju nevidíte, kontaktujte tím spravujúci váš účet alebo partnerskú organizáciu. Poskytnite im svoje číslo účtu a požiadajte, aby vašej organizácii umožnili Hybridné zabezpečenie dát. Ak chcete nájsť číslo účtu, kliknite na ozubené koliesko vpravo hore vedľa názvu organizácie.
| ||||
3 | Vyberte Nie na označenie, že ste ešte nenastavili uzol, a potom kliknite Ďalšie. Automaticky sa začne sťahovať súbor OVA. Uložte súbor na miesto v počítači.
| ||||
4 | Voliteľne kliknite Otvorte Sprievodcu nasadením a skontrolujte, či je k dispozícii novšia verzia tejto príručky. |
Vytvorte ISO konfigurácie pre hostiteľov HDS
Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.
Predtým ako začneš
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Control Hub s úplnými administrátorskými právami pre vašu organizáciu.
Ak nástroj HDS Setup beží za serverom proxy vo vašom prostredí, pri spúšťaní kontajnera Docker v kroku poskytnite nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker 5. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS Proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:
Databázové poverenia
Aktualizácie certifikátov
Zmeny v politike autorizácie
Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.
1 | Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie: V bežných prostrediach:
V prostrediach FedRAMP:
| ||||||||||||
2 | Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:
| ||||||||||||
3 | Pri výzve na zadanie hesla zadajte tento hash:
| ||||||||||||
4 | Stiahnite si najnovší stabilný obraz pre vaše prostredie: V bežných prostrediach:
V prostrediach FedRAMP:
| ||||||||||||
5 | Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:
Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“. | ||||||||||||
6 |
Pomocou webového prehliadača prejdite na localhost, Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie. | ||||||||||||
7 | Po zobrazení výzvy zadajte svoje prihlasovacie poverenia správcu zákazníka Control Hub a potom kliknite Prihlásiť sa na umožnenie prístupu k požadovaným službám pre Hybridnú bezpečnosť dát. | ||||||||||||
8 | Na stránke prehľadu nástroja Setup kliknite na Začať. | ||||||||||||
9 | Na ISO import stránku, máte tieto možnosti:
| ||||||||||||
10 | Skontrolujte, či váš certifikát X.509 spĺňa požiadavky v Požiadavky na certifikát X.509.
| ||||||||||||
11 | Zadajte databázovú adresu a účet pre HDS, aby ste získali prístup k vášmu úložisku kľúčových údajov: | ||||||||||||
12 | Vyberte a Režim pripojenia databázy TLS:
Keď nahráte koreňový certifikát (ak je to potrebné) a kliknite na ďalej, HDS Setup Tool otestuje TLS pripojenie k databázovému serveru. Nástroj tiež overuje podpisovateľa certifikátu a názov hostiteľa, ak je to potrebné. Ak test zlyhá, nástroj zobrazí chybové hlásenie popisujúce problém. Môžete si vybrať, či chcete chybu ignorovať a pokračovať v nastavovaní. (Vzhľadom na rozdiely v konektivite môžu byť uzly HDS schopné nadviazať pripojenie TLS, aj keď ho zariadenie HDS Setup Tool nedokáže úspešne otestovať.) | ||||||||||||
13 | Na stránke Systémové denníky nakonfigurujte svoj server Syslogd: | ||||||||||||
14 | (Voliteľné) Môžete zmeniť predvolenú hodnotu pre niektoré parametre pripojenia k databáze v Pokročilé nastavenia. Vo všeobecnosti je tento parameter jediný, ktorý možno budete chcieť zmeniť:
| ||||||||||||
15 | Kliknite ďalej na Obnovte heslo servisných účtov obrazovke. Heslá k servisným účtom majú životnosť deväť mesiacov. Túto obrazovku použite, keď sa blíži koniec platnosti vašich hesiel alebo ich chcete resetovať, aby ste zrušili platnosť predchádzajúcich súborov ISO. | ||||||||||||
16 | Kliknite Stiahnite si súbor ISO. Uložte súbor na miesto, ktoré sa dá ľahko nájsť. | ||||||||||||
17 | Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. | ||||||||||||
18 | Ak chcete vypnúť nástroj Setup, zadajte |
Čo urobiť ďalej
Zálohujte konfiguračný súbor ISO. Potrebujete ho na vytvorenie ďalších uzlov na obnovu alebo na vykonanie zmien v konfigurácii. Ak stratíte všetky kópie súboru ISO, stratili ste aj hlavný kľúč. Obnovenie kľúčov z databázy PostgreSQL alebo Microsoft SQL Server nie je možné.
Nikdy nemáme kópiu tohto kľúča a nemôžeme vám pomôcť, ak ho stratíte. |
Nainštalujte HDS Host OVA
1 | Na prihlásenie do virtuálneho hostiteľa ESXi použite klienta VMware vSphere na vašom počítači. | ||||||
2 | Vyberte Súbor > Nasadiť šablónu OVF. | ||||||
3 | V sprievodcovi zadajte umiestnenie súboru OVA, ktorý ste si stiahli skôr, a potom kliknite Ďalšie . | ||||||
4 | Na Vyberte názov a priečinok stránku, zadajte a Názov virtuálneho počítača pre uzol (napríklad „HDS_Node_1"), vyberte umiestnenie, kde sa môže nachádzať nasadenie uzla virtuálneho počítača, a potom kliknite Ďalšie . | ||||||
5 | Na Vyberte výpočtový zdroj vyberte cieľový výpočtový zdroj a potom kliknite Ďalšie . Prebehne overovacia kontrola. Po dokončení sa zobrazia podrobnosti šablóny. | ||||||
6 | Overte podrobnosti šablóny a potom kliknite Ďalšie. | ||||||
7 | Ak sa zobrazí výzva na výber konfigurácie prostriedkov na Konfigurácia stránku, kliknite 4 CPU a potom kliknite Ďalšie . | ||||||
8 | Na Vyberte úložisko stránku, kliknite Ďalšie akceptovať predvolený formát disku a politiku úložiska VM. | ||||||
9 | Na Vyberte siete vyberte sieťovú možnosť zo zoznamu položiek, aby ste poskytli požadované pripojenie k VM. | ||||||
10 | Na Prispôsobiť šablónu nakonfigurujte nasledujúce nastavenia siete:
Ak chcete, môžete preskočiť konfiguráciu nastavenia siete a postupovať podľa krokov v Nastavte virtuálny počítač Hybrid Data Security na konfiguráciu nastavení z konzoly uzla.
| ||||||
11 | Kliknite pravým tlačidlom myši na uzol VM a potom vyberte .Softvér Hybrid Data Security je nainštalovaný ako hosť na hostiteľovi VM. Teraz ste pripravení prihlásiť sa do konzoly a nakonfigurovať uzol. Tipy na riešenie problémov Môžete zaznamenať oneskorenie niekoľkých minút, kým sa kontajnery uzlov objavia. Počas prvého spustenia, počas ktorého sa nemôžete prihlásiť, sa na konzole zobrazí správa brány firewall mosta. |
Nastavte virtuálny počítač Hybrid Data Security
Tento postup použite na prvé prihlásenie do konzoly VM uzla Hybrid Data Security a nastavenie prihlasovacích poverení. Konzolu môžete použiť aj na konfiguráciu sieťových nastavení pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.
1 | V klientovi VMware vSphere vyberte svoj uzol Hybrid Data Security VM a vyberte Konzola tab. VM sa spustí a zobrazí sa výzva na prihlásenie. Ak sa výzva na prihlásenie nezobrazí, stlačte Zadajte.
|
2 | Na prihlásenie a zmenu poverení použite nasledujúce predvolené prihlasovacie meno a heslo: Keďže sa do svojho VM prihlasujete prvýkrát, musíte zmeniť heslo správcu. |
3 | Ak ste už nakonfigurovali nastavenia siete v Nainštalujte HDS Host OVA, preskočte zvyšok tohto postupu. V opačnom prípade vyberte v hlavnom menu položku Upraviť konfiguráciu možnosť. |
4 | Nastavte statickú konfiguráciu s IP adresou, maskou, bránou a informáciami DNS. Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované. |
5 | (Voliteľné) Zmeňte názov hostiteľa, doménu alebo server(y) NTP, ak je to potrebné, aby zodpovedali zásadám vašej siete. Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509. |
6 | Uložte konfiguráciu siete a reštartujte VM, aby sa zmeny prejavili. |
Nahrajte a pripojte ISO konfiguráciu HDS
Predtým ako začneš
Pretože súbor ISO obsahuje hlavný kľúč, mal by byť zverejnený iba na základe „potreby vedieť“, aby k nemu mali prístup virtuálne počítače s hybridným zabezpečením údajov a všetci správcovia, ktorí môžu potrebovať vykonať zmeny. Uistite sa, že k úložisku údajov majú prístup iba títo správcovia.
1 | Nahrajte súbor ISO z počítača: |
2 | Pripojte súbor ISO: |
Čo urobiť ďalej
Ak to vyžaduje vaša politika IT, môžete voliteľne odpojiť súbor ISO po tom, čo všetky vaše uzly prevezmú zmeny konfigurácie. Pozri (Voliteľné) Odpojte ISO po konfigurácii HDS pre podrobnosti.
Nakonfigurujte uzol HDS na integráciu proxy
Ak sieťové prostredie vyžaduje server proxy, použite tento postup na určenie typu servera proxy, s ktorým sa chcete integrovať Hybridná bezpečnosť dát. Ak si vyberiete transparentný kontrolný proxy server alebo explicitný proxy server HTTPS, môžete použiť rozhranie uzla na nahranie a inštaláciu koreňového certifikátu. Môžete tiež skontrolovať pripojenie proxy z rozhrania a vyriešiť prípadné problémy.
Predtým ako začneš
Pozri Podpora proxy pre prehľad podporovaných možností proxy.
1 | Zadajte adresu URL nastavenia uzla HDS |
2 | Ísť do Trust Store a proxya potom vyberte možnosť:
Postupujte podľa nasledujúcich krokov pre transparentný kontrolný proxy server, explicitný proxy server HTTP so základným overením alebo explicitný proxy HTTPS. |
3 | Kliknite Nahrajte koreňový certifikát alebo certifikát koncovej entitya potom prejdite na výber koreňového certifikátu pre server proxy. Certifikát je nahraný, ale ešte nie je nainštalovaný, pretože na inštaláciu certifikátu musíte reštartovať uzol. Kliknutím na šípku v tvare šípky vedľa názvu vydavateľa certifikátu získate ďalšie podrobnosti alebo kliknite Odstrániť ak ste urobili chybu a chcete súbor znova nahrať. |
4 | Kliknite Skontrolujte pripojenie proxy na testovanie sieťového pripojenia medzi uzlom a proxy. Ak test pripojenia zlyhá, zobrazí sa chybové hlásenie, ktoré uvádza dôvod a spôsob, ako môžete problém vyriešiť. Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS. Tento stav sa očakáva v mnohých explicitných konfiguráciách proxy. Môžete pokračovať v nastavovaní a uzol bude fungovať v režime zablokovaného externého rozlíšenia DNS. Ak si myslíte, že ide o chybu, vykonajte tieto kroky a potom uvidíte Vypnite režim zablokovaného externého rozlíšenia DNS. |
5 | Po úspešnom teste pripojenia zapnite prepínač v prípade explicitného servera proxy nastaveného iba na https Smerujte všetky požiadavky https z tohto uzla na port 443/444 cez explicitný proxy server. Toto nastavenie sa prejaví po 15 sekundách. |
6 | Kliknite Nainštalujte všetky certifikáty do dôveryhodného úložiska (zobrazí sa pri explicitnom HTTPS proxy alebo transparentnom kontrolnom proxy serveri) alebo Reštartovať (zobrazí sa pri explicitnom serveri proxy HTTP), prečítajte si výzvu a potom kliknite Inštalácia ak si pripravený. Uzol sa reštartuje v priebehu niekoľkých minút. |
7 | Po reštartovaní uzla sa v prípade potreby znova prihláste a potom otvorte Prehľad stránku a skontrolujte kontroly pripojenia, aby ste sa uistili, že sú všetky v zelenom stave. Kontrola pripojenia proxy testuje iba subdoménu webex.com. Ak sa vyskytnú problémy s pripojením, bežným problémom je, že niektoré z cloudových domén uvedených v pokynoch na inštaláciu sú na serveri proxy blokované. |
Zaregistrujte prvý uzol v klastri
Keď zaregistrujete svoj prvý uzol, vytvoríte klaster, ku ktorému je uzol priradený. Klaster obsahuje jeden alebo viac uzlov nasadených na zabezpečenie redundancie.
Predtým ako začneš
Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.
Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.
1 | Prihláste sa do https://admin.webex.com. |
2 | V ponuke na ľavej strane obrazovky vyberte položku Služby. |
3 | V sekcii Hybridné služby nájdite Hybridné zabezpečenie dát a kliknite Nastaviť. Zobrazí sa stránka Register Hybrid Data Security Node.
|
4 | Vyberte Áno na označenie, že ste uzol nastavili a ste pripravení ho zaregistrovať, a potom kliknite Ďalšie. |
5 | Do prvého poľa zadajte názov klastra, ku ktorému chcete priradiť váš uzol Hybrid Data Security. Odporúčame pomenovať klaster podľa toho, kde sa geograficky nachádzajú uzly klastra. Príklady: „San Francisco“ alebo „New York“ alebo „Dallas“ |
6 | Do druhého poľa zadajte internú IP adresu alebo úplný názov domény (FQDN) vášho uzla a kliknite Ďalšie. Táto adresa IP alebo FQDN by sa mala zhodovať s adresou IP alebo názvom hostiteľa a doménou, ktorú ste použili Nastavte virtuálny počítač Hybrid Data Security. Zobrazí sa správa, že môžete zaregistrovať svoj uzol do Webexu.
|
7 | Kliknite Prejdite na Node. |
8 | Kliknite ďalej vo varovnej správe. Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že svojej organizácii Webex chcete udeliť povolenia na prístup k vášmu uzlu.
|
9 | Skontrolovať Povoľte prístup k svojmu uzlu zabezpečenia hybridných údajov začiarknite políčko a potom kliknite na ďalej. Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
|
10 | Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Hybrid Data Security Control Hub. Na Hybridná bezpečnosť dát sa zobrazí nový klaster obsahujúci uzol, ktorý ste zaregistrovali. Uzol si automaticky stiahne najnovší softvér z cloudu.
|
Vytvorte a zaregistrujte viac uzlov
V súčasnosti sú záložné virtuálne počítače, ktoré ste vytvorili Vyplňte Predpoklady pre hybridnú bezpečnosť údajov sú pohotovostní hostitelia, ktorí sa používajú iba v prípade obnovy po havárii; dovtedy nie sú registrovaní v systéme. Podrobnosti nájdete v časti Obnova po havárii pomocou pohotovostného dátového centra. |
Predtým ako začneš
Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.
Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.
1 | Vytvorte nový virtuálny počítač z OVA zopakovaním krokov Nainštalujte HDS Host OVA. |
2 | Nastavte počiatočnú konfiguráciu na novom VM zopakovaním krokov v Nastavte virtuálny počítač Hybrid Data Security. |
3 | Na novom virtuálnom počítači zopakujte kroky v Nahrajte a pripojte ISO konfiguráciu HDS. |
4 | Ak nastavujete server proxy pre svoje nasadenie, zopakujte kroky v Nakonfigurujte uzol HDS na integráciu proxy podľa potreby pre nový uzol. |
5 | Zaregistrujte uzol. Váš uzol je zaregistrovaný. Upozorňujeme, že kým nezačnete skúšobnú verziu, vaše uzly generujú alarm, ktorý oznamuje, že vaša služba ešte nie je aktivovaná.
|
Čo urobiť ďalej
Skúšobný postup produkčných úloh
Po nastavení klastra Hybrid Data Security môžete spustiť pilotný test, pridať doň používateľov a začať ho používať na testovanie a overovanie vášho nasadenia v rámci prípravy na prechod do produkcie.
Predtým ako začneš
1 | V prípade potreby synchronizujte Ak vaša organizácia používa synchronizáciu adresárov pre používateľov, musíte vybrať |
2 |
Začnite skúšobnú verziu. Kým nevykonáte túto úlohu, vaše uzly generujú alarm, ktorý oznamuje, že služba ešte nie je aktivovaná. |
3 | Otestujte svoje nasadenie hybridného zabezpečenia dát Skontrolujte, či kľúčové požiadavky prechádzajú do vášho nasadenia Hybrid Data Security. |
4 | Monitorujte zdravie Hybrid Data Security Health Skontrolujte stav a nastavte e-mailové upozornenia na budíky. |
5 | Pridajte alebo odstráňte používateľov z vašej skúšobnej verzie |
6 | Dokončite skúšobnú fázu jedným z nasledujúcich krokov: |
Aktivovať skúšobnú verziu
Predtým ako začneš
Ak vaša organizácia používa synchronizáciu adresárov pre používateľov, musíte vybrať HdsTrialGroup
skupinový objekt na synchronizáciu do cloudu predtým, ako začnete skúšobnú verziu pre vašu organizáciu. Pokyny nájdete na Sprievodca nasadením pre Cisco Directory Connector.
1 | Prihláste sa do https://admin.webex.coma potom vyberte Služby. |
2 | V časti Hybrid Data Security kliknite na nastavenie. |
3 | V časti Stav služby kliknite na Spustiť skúšku. Stav služby sa zmení na skúšobný režim.
|
4 | Kliknite Pridať používateľov a zadajte e-mailovú adresu jedného alebo viacerých používateľov na pilotné používanie vašich uzlov Hybrid Data Security na šifrovacie a indexovacie služby. (Ak vaša organizácia používa synchronizáciu adresárov, na správu skúšobnej skupiny použite službu Active Directory, |
Otestujte svoje nasadenie hybridného zabezpečenia dát
Predtým ako začneš
Nastavte nasadenie Hybrid Data Security.
Aktivujte skúšobnú verziu a pridajte niekoľko používateľov skúšobnej verzie.
Uistite sa, že máte prístup k syslog, aby ste si overili, že kľúčové požiadavky prechádzajú do vášho nasadenia Hybrid Data Security.
1 | Kľúče pre daný priestor nastavuje tvorca priestoru. Prihláste sa do aplikácie Webex ako jeden z pilotných používateľov a potom vytvorte priestor a pozvite aspoň jedného pilotného používateľa a jedného nepilotného používateľa.
| ||
2 | Posielajte správy do nového priestoru. | ||
3 | Skontrolujte výstup syslog, aby ste si overili, že požiadavky na kľúče prechádzajú do vášho nasadenia Hybrid Data Security. |
Monitorujte zdravie Hybrid Data Security Health
1 | In Control Hub, vyberte Služby z ponuky na ľavej strane obrazovky. |
2 | V sekcii Hybridné služby nájdite Hybridné zabezpečenie dát a kliknite nastavenie. Zobrazí sa stránka Hybrid Data Security Settings.
|
3 | V časti E-mailové upozornenia zadajte jednu alebo viac e-mailových adries oddelených čiarkami a stlačte Zadajte. |
Pridajte alebo odstráňte používateľov z vašej skúšobnej verzie
Ak odstránite používateľa zo skúšobnej verzie, klient tohto používateľa bude namiesto vášho KMS požadovať kľúče a vytvorenie kľúča z cloudového KMS. Ak klient potrebuje kľúč, ktorý je uložený vo vašom KMS, cloudový KMS ho načíta v mene používateľa.
Ak vaša organizácia používa synchronizáciu adresárov, použite Active Directory (namiesto tohto postupu) na správu skúšobnej skupiny, HdsTrialGroup
; členov skupiny môžete zobraziť v Control Hub, ale nemôžete ich pridávať ani odstraňovať.
1 | Prihláste sa do Control Hub a potom vyberte Služby. |
2 | V časti Hybrid Data Security kliknite na nastavenie. |
3 | V časti Skúšobný režim v oblasti Stav služby kliknite na Pridať používateľov, alebo kliknite zobraziť a upraviť na odstránenie používateľov zo skúšobnej verzie. |
4 | Zadajte e-mailovú adresu jedného alebo viacerých používateľov, ktorých chcete pridať, alebo kliknite na X pomocou ID používateľa na odstránenie používateľa zo skúšobnej verzie. Potom kliknite Uložiť. |
Presuňte sa zo skúšobnej do produkčnej verzie
1 | Prihláste sa do Control Hub a potom vyberte Služby. |
2 | V časti Hybrid Data Security kliknite na nastavenie. |
3 | V časti Stav služby kliknite na Presunúť do výroby. |
4 | Potvrďte, že chcete presunúť všetkých svojich používateľov do produkcie. |
Ukončite skúšobnú verziu bez presunu do výroby
1 | Prihláste sa do Control Hub a potom vyberte Služby. |
2 | V časti Hybrid Data Security kliknite na nastavenie. |
3 | V časti Deaktivovať kliknite na Deaktivovať. |
4 | Potvrďte, že chcete službu deaktivovať a ukončiť skúšobnú verziu. |
Spravujte nasadenie HDS
Pomocou tu popísaných úloh spravujte svoje nasadenie Hybrid Data Security.
Nastavte plán aktualizácie klastra
Ak chcete nastaviť plán aktualizácie:
1 | Prihláste sa do Control Hub. |
2 | Na stránke Prehľad v časti Hybridné služby vyberte Hybridná bezpečnosť dát. |
3 | Na stránke Hybrid Data Security Resources vyberte klaster. |
4 | Na paneli Prehľad vpravo v časti Nastavenia klastra vyberte názov klastra. |
5 | Na stránke Nastavenia v časti Aktualizácia vyberte čas a časové pásmo pre plán inovácie. Poznámka: Pod časovým pásmom sa zobrazí dátum a čas ďalšej dostupnej aktualizácie. Kliknutím na tlačidlo môžete v prípade potreby odložiť aktualizáciu na nasledujúci deň Odložiť. |
Zmeňte konfiguráciu uzla
Zmena x.509 certifikátov z dôvodu uplynutia platnosti alebo iných dôvodov.
Nepodporujeme zmenu názvu domény CN certifikátu. Doména sa musí zhodovať s pôvodnou doménou použitou na registráciu klastra.
Aktualizácia nastavení databázy pre zmenu na repliku databázy PostgreSQL alebo Microsoft SQL Server.
Nepodporujeme migráciu údajov z PostgreSQL na Microsoft SQL Server alebo opačným spôsobom. Ak chcete zmeniť prostredie databázy, spustite nové nasadenie Hybrid Data Security.
Vytvorenie novej konfigurácie na prípravu nového dátového centra.
Z bezpečnostných dôvodov používa Hybrid Data Security heslá servisných účtov, ktoré majú životnosť deväť mesiacov. Keď nástroj HDS Setup vygeneruje tieto heslá, nasadíte ich do každého z vašich uzlov HDS v konfiguračnom súbore ISO. Keď sa blíži koniec platnosti hesiel vašej organizácie, dostanete od tímu Webex upozornenie na resetovanie hesla pre váš počítačový účet. (E-mail obsahuje text „Na aktualizáciu hesla použite rozhranie API strojového účtu.“) Ak platnosť vašich hesiel ešte nevypršala, nástroj vám ponúka dve možnosti:
Mäkký reset—Staré aj nové heslo fungujú až 10 dní. Toto obdobie použite na postupnú výmenu súboru ISO na uzloch.
Tvrdý reštart—Staré heslá okamžite prestanú fungovať.
Ak platnosť vašich hesiel vyprší bez resetovania, ovplyvní to vašu službu HDS, čo si vyžaduje okamžitý tvrdý reset a nahradenie súboru ISO na všetkých uzloch.
Tento postup použite na vygenerovanie nového konfiguračného súboru ISO a jeho použitie vo vašom klastri.
Predtým ako začneš
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Control Hub s úplnými administrátorskými právami pre vašu organizáciu.
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker zadajte nastavenia proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker 1.e. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS Proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Na vygenerovanie novej konfigurácie potrebujete kópiu aktuálneho konfiguračného súboru ISO. ISO obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. ISO potrebujete, keď robíte zmeny v konfigurácii vrátane poverení databázy, aktualizácií certifikátov alebo zmien v politike autorizácie.
1 | Pomocou Docker na lokálnom počítači spustite nástroj HDS Setup Tool. |
2 | Ak máte spustený iba jeden uzol HDS, vytvorte nový VM uzla Hybrid Data Security a zaregistrujte ho pomocou nového konfiguračného súboru ISO. Podrobnejšie pokyny nájdete v časti Vytvorte a zaregistrujte viac uzlov. |
3 | Pre existujúce uzly HDS, na ktorých je spustený starší konfiguračný súbor, pripojte súbor ISO. Postupne vykonajte nasledujúci postup na každom uzle, pričom aktualizujte každý uzol pred vypnutím ďalšieho uzla: |
4 | Opakujte krok 3, aby ste nahradili konfiguráciu na každom zostávajúcom uzle, na ktorom je spustená stará konfigurácia. |
Vypnite režim zablokovaného externého rozlíšenia DNS
Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. Ak server DNS uzla nedokáže rozlíšiť verejné názvy DNS, uzol automaticky prejde do režimu zablokovaného externého rozlíšenia DNS.
Ak vaše uzly dokážu rozlíšiť verejné názvy DNS prostredníctvom interných serverov DNS, môžete tento režim vypnúť opätovným spustením testu pripojenia proxy na každom uzle.
Predtým ako začneš
1 | Vo webovom prehliadači otvorte rozhranie uzla Hybrid Data Security (IP adresa/nastavenie, napr. https://192.0.2.0/setup), zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite Prihlásiť sa. |
2 | Ísť do Prehľad (predvolená stránka). Keď je povolené, Zablokované externé rozlíšenie DNS je nastavený na Áno. |
3 | Choďte na Trust Store a proxy stránku. |
4 | Kliknite Skontrolujte pripojenie proxy. Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS a zostane v tomto režime. V opačnom prípade po reštartovaní uzla a návrate do Prehľad na stránke Blocked External DNS Resolution by mala byť nastavená na no. |
Čo urobiť ďalej
Odstráňte uzol
1 | Pomocou klienta VMware vSphere vo svojom počítači sa prihláste do virtuálneho hostiteľa ESXi a vypnite virtuálny počítač. |
2 | Odstráňte uzol: |
3 | V klientovi vSphere odstráňte VM. (Na ľavom navigačnom paneli kliknite pravým tlačidlom myši na VM a kliknite na Odstrániť.) Ak nevymažete VM, nezabudnite odpojiť konfiguračný súbor ISO. Bez súboru ISO nemôžete použiť VM na prístup k bezpečnostným údajom. |
Obnova po havárii pomocou pohotovostného dátového centra
Najdôležitejšou službou, ktorú váš klaster Hybrid Data Security poskytuje, je vytváranie a ukladanie kľúčov používaných na šifrovanie správ a iného obsahu uloženého v cloude Webex. Pre každého používateľa v rámci organizácie, ktorý je priradený k Hybrid Data Security, sú do klastra smerované nové požiadavky na vytvorenie kľúča. Klaster je tiež zodpovedný za vrátenie kľúčov, ktoré vytvoril, všetkým používateľom oprávneným na ich získanie, napríklad členom konverzačného priestoru.
Pretože klaster vykonáva kritickú funkciu poskytovania týchto kľúčov, je nevyhnutné, aby klaster zostal spustený a aby boli udržiavané správne zálohy. Strata databázy Hybrid Data Security alebo konfigurácie ISO použitej pre schému bude mať za následok NENÁVRATNÚ STRATU zákazníckeho obsahu. Aby sa predišlo takejto strate, sú povinné nasledujúce postupy:
Ak havária spôsobí, že nasadenie HDS v primárnom dátovom centre sa stane nedostupným, podľa tohto postupu manuálne prepnite na pohotovostné dátové centrum.
1 | Spustite nástroj HDS Setup a postupujte podľa krokov uvedených v Vytvorte ISO konfigurácie pre hostiteľov HDS. | ||
2 | Po nakonfigurovaní servera Syslogd kliknite na Pokročilé nastavenia | ||
3 | Na Pokročilé nastavenia pridajte konfiguráciu nižšie alebo odstráňte
| ||
4 | Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť. | ||
5 | Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. | ||
6 | V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na VM a kliknite Upraviť nastavenia.. | ||
7 | Kliknite Upraviť nastavenia >CD/DVD mechanika 1 a vyberte Datastore ISO File.
| ||
8 | Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy. | ||
9 | Opakujte proces pre každý uzol v pohotovostnom dátovom centre.
|
Čo urobiť ďalej
(Voliteľné) Odpojte ISO po konfigurácii HDS
Štandardná konfigurácia HDS beží s namontovaným ISO. Niektorí zákazníci však uprednostňujú neponechať súbory ISO nepretržite pripojené. Súbor ISO môžete odpojiť potom, čo všetky uzly HDS prevezmú novú konfiguráciu.
Na vykonanie zmien v konfigurácii stále používate súbory ISO. Keď vytvoríte nový ISO alebo aktualizujete ISO pomocou nástroja Setup Tool, musíte aktualizovaný ISO pripojiť na všetky vaše uzly HDS. Keď všetky vaše uzly zachytia zmeny konfigurácie, môžete ISO znova odpojiť pomocou tohto postupu.
Predtým ako začneš
Inovujte všetky svoje uzly HDS na verziu 2021.01.22.4720 alebo novšiu.
1 | Vypnite jeden z uzlov HDS. |
2 | V serverovom zariadení vCenter vyberte uzol HDS. |
3 | Vyberte si Súbor ISO úložiska údajov. a zrušte začiarknutie |
4 | Zapnite uzol HDS a uistite sa, že aspoň 20 minút nie sú žiadne alarmy. |
5 | Postup opakujte pre každý uzol HDS. |
Zobraziť upozornenia a riešenie problémov
Nasadenie Hybrid Data Security sa považuje za nedostupné, ak sú všetky uzly v klastri nedostupné alebo klaster pracuje tak pomaly, že si vyžaduje časový limit. Ak používatelia nemôžu dosiahnuť váš klaster Hybrid Data Security, zaznamenajú nasledujúce príznaky:
Nie je možné vytvoriť nové medzery (nemožno vytvoriť nové kľúče)
Správy a názvy priestorov sa nepodarilo dešifrovať pre:
Noví používatelia pridaní do priestoru (nemožno načítať kľúče)
Existujúci používatelia v priestore používajúci nového klienta (nemožno načítať kľúče)
Existujúci používatelia v priestore budú naďalej úspešne fungovať, pokiaľ budú mať ich klienti vyrovnávaciu pamäť šifrovacích kľúčov
Je dôležité, aby ste správne monitorovali svoj klaster Hybrid Data Security a okamžite riešili všetky výstrahy, aby ste predišli prerušeniu služby.
Upozornenia
Ak sa vyskytne problém s nastavením Hybrid Data Security, Control Hub zobrazí upozornenia správcovi organizácie a odošle e-maily na nakonfigurovanú e-mailovú adresu. Výstrahy pokrývajú mnoho bežných scenárov.
Upozornenie | Akcia |
---|---|
Zlyhanie prístupu k lokálnej databáze. |
Skontrolujte chyby databázy alebo problémy s lokálnou sieťou. |
Zlyhanie pripojenia k lokálnej databáze. |
Skontrolujte, či je databázový server dostupný a či boli v konfigurácii uzla použité správne poverenia servisného účtu. |
Zlyhanie prístupu k cloudovej službe. |
Skontrolujte, či majú uzly prístup k serverom Webex, ako je uvedené v Požiadavky na externé pripojenie. |
Obnovuje sa registrácia cloudovej služby. |
Registrácia do cloudových služieb bola zrušená. Prebieha obnova registrácie. |
Registrácia cloudovej služby bola zrušená. |
Registrácia do cloudových služieb bola ukončená. Služba sa vypína. |
Služba ešte nie je aktivovaná. |
Aktivujte skúšobnú verziu alebo dokončite presun skúšky do produkcie. |
Nakonfigurovaná doména sa nezhoduje s certifikátom servera. |
Uistite sa, že váš certifikát servera sa zhoduje s nakonfigurovanou doménou aktivácie služby. Najpravdepodobnejšou príčinou je, že certifikát CN bol nedávno zmenený a teraz sa líši od CN, ktorý bol použitý počas počiatočného nastavenia. |
Nepodarilo sa overiť v cloudových službách. |
Skontrolujte presnosť a možné vypršanie platnosti poverení servisného účtu. |
Nepodarilo sa otvoriť súbor lokálneho úložiska kľúčov. |
Skontrolujte integritu a presnosť hesla v lokálnom súbore skladu kľúčov. |
Certifikát lokálneho servera je neplatný. |
Skontrolujte dátum vypršania platnosti certifikátu servera a potvrďte, že bol vydaný dôveryhodnou certifikačnou autoritou. |
Nie je možné uverejniť metriky. |
Skontrolujte prístup k lokálnej sieti k externým cloudovým službám. |
Adresár /media/configdrive/hds neexistuje. |
Skontrolujte konfiguráciu pripojenia ISO na virtuálnom hostiteľovi. Overte, či súbor ISO existuje, či je nakonfigurovaný na pripojenie pri reštarte a či sa úspešne pripojí. |
Riešenie problémov so zabezpečením hybridných údajov
1 | Skontrolujte si v Control Hub všetky upozornenia a opravte všetky položky, ktoré tam nájdete. |
2 | Skontrolujte výstup servera syslog pre aktivitu z nasadenia Hybrid Data Security. |
3 | Kontakt Podpora Cisco. |
Známe problémy s hybridnou bezpečnosťou dát
Ak vypnete svoj klaster Hybrid Data Security (odstránením v Control Hub alebo vypnutím všetkých uzlov), stratíte svoj konfiguračný súbor ISO alebo stratíte prístup k databáze úložiska kľúčov, používatelia vašej aplikácie Webex App už nebudú môcť používať priestory pod svojimi ľuďmi. zoznam, ktorý bol vytvorený pomocou kľúčov z vášho KMS. Platí to pre skúšobné aj produkčné nasadenia. V súčasnosti nemáme riešenie ani opravu tohto problému a žiadame vás, aby ste nevypínali svoje služby HDS, keď budú spracovávať aktívne používateľské účty.
Klient, ktorý má existujúce pripojenie ECDH ku KMS, udržiava toto pripojenie určitý čas (pravdepodobne jednu hodinu). Keď sa používateľ stane členom skúšobnej verzie Hybrid Data Security, klient používateľa naďalej používa existujúce pripojenie ECDH, kým nevyprší časový limit. Prípadne sa používateľ môže odhlásiť a znova prihlásiť do aplikácie Webex App, aby aktualizoval umiestnenie, ktoré aplikácia kontaktuje pre šifrovacie kľúče.
Rovnaké správanie nastane, keď presuniete skúšobnú verziu do produkcie organizácie. Všetci neskúšobní používatelia s existujúcimi pripojeniami ECDH k predchádzajúcim službám zabezpečenia údajov budú tieto služby naďalej používať, kým sa znovu nedohodne pripojenie ECDH (prostredníctvom časového limitu alebo odhlásením a opätovným prihlásením).
Na vygenerovanie súboru PKCS12 použite OpenSSL
Predtým ako začneš
OpenSSL je jeden nástroj, ktorý možno použiť na vytvorenie súboru PKCS12 v správnom formáte na načítanie v nástroji HDS Setup Tool. Existujú aj iné spôsoby, ako to urobiť, a my nepodporujeme ani nepresadzujeme jeden spôsob oproti druhému.
Ak sa rozhodnete použiť OpenSSL, poskytujeme tento postup ako návod, ktorý vám pomôže vytvoriť súbor, ktorý spĺňa požiadavky certifikátu X.509 v Požiadavky na certifikát X.509. Než budete pokračovať, pochopte tieto požiadavky.
Nainštalujte OpenSSL v podporovanom prostredí. Pozri https://www.openssl.org pre softvér a dokumentáciu.
Vytvorte súkromný kľúč.
Tento postup začnite, keď dostanete certifikát servera od certifikačnej autority (CA).
1 | Keď dostanete certifikát servera od vašej CA, uložte ho ako |
2 | Zobrazte certifikát ako text a overte podrobnosti.
|
3 | Pomocou textového editora vytvorte súbor zväzku certifikátov s názvom
|
4 | Vytvorte súbor .p12 s popisným názvom
|
5 | Skontrolujte podrobnosti certifikátu servera. |
Čo urobiť ďalej
Návrat do Vyplňte Predpoklady pre hybridnú bezpečnosť údajov. Budete používať hdsnode.p12
súbor a heslo, ktoré ste preň nastavili Vytvorte ISO konfigurácie pre hostiteľov HDS.
Tieto súbory môžete znova použiť na vyžiadanie nového certifikátu, keď platnosť pôvodného certifikátu vyprší. |
Prevádzka medzi uzlami HDS a cloudom
Odchádzajúca návštevnosť zberu metrík
Uzly Hybrid Data Security odosielajú určité metriky do cloudu Webex. Patria sem systémové metriky pre maximálnu haldu, využitú haldu, zaťaženie procesora a počet vlákien; metriky na synchrónnych a asynchrónnych vláknach; metriky výstrah zahŕňajúce prah šifrovacích pripojení, latenciu alebo dĺžku frontu požiadaviek; metriky na dátovom úložisku; a metriky šifrovaného pripojenia. Uzly posielajú zašifrovaný kľúčový materiál cez kanál mimo pásma (oddelený od požiadavky).
Prichádzajúca premávka
Uzly Hybrid Data Security prijímajú nasledujúce typy prichádzajúcej prevádzky z cloudu Webex:
Šifrovacie požiadavky od klientov, ktoré sú smerované šifrovacou službou
Aktualizácie softvéru uzla
Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát
Websocket sa nemôže pripojiť cez Squid Proxy
Proxy serverov chobotnice, ktoré kontrolujú prenos HTTPS, môžu zasahovať do vytvorenia webovej zásuvky ( wss:
) pripojenia, ktoré vyžaduje Hybrid Data Security. Tieto časti poskytujú návod, ako nakonfigurovať rôzne verzie Squid na ignorovanie wss:
prevádzky pre správne fungovanie služieb.
Kalmáre 4 a 5
Pridajte on_unsupported_protocol
smernica k squid.conf
:
on_unsupported_protocol tunnel all
Kalmáre 3.5.27
Hybridnú bezpečnosť dát sme úspešne otestovali s nasledujúcimi pravidlami squid.conf
. Tieto pravidlá sa môžu meniť, pretože vyvíjame funkcie a aktualizujeme cloud Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Nové a zmenené informácie
Dátum | Vykonané zmeny | ||
---|---|---|---|
20. októbra 2023 |
| ||
7. augusta 2023 |
| ||
23. mája 2023 |
| ||
6. decembra 2022 |
| ||
23. novembra 2022 |
| ||
13. októbra 2021 | Pred inštaláciou uzlov HDS musí Docker Desktop spustiť inštalačný program. Pozri Požiadavky na plochu Docker. | ||
24. júna 2021 | Upozorňujeme, že súbor so súkromným kľúčom a CSR môžete znova použiť na vyžiadanie ďalšieho certifikátu. Pozri Na vygenerovanie súboru PKCS12 použite OpenSSL pre podrobnosti. | ||
30. apríla 2021 | Požiadavka VM na lokálny pevný disk sa zmenila na 30 GB. Pozri Požiadavky na virtuálny hostiteľ pre podrobnosti. | ||
24. februára 2021 | HDS Setup Tool teraz môže bežať za serverom proxy. Pozri Vytvorte ISO konfigurácie pre hostiteľov HDS pre podrobnosti. | ||
2. februára 2021 | HDS teraz môže bežať bez pripojeného súboru ISO. Pozri (Voliteľné) Odpojte ISO po konfigurácii HDS pre podrobnosti. | ||
11. januára 2021 | Pridané informácie o nástroji HDS Setup a proxy serveroch Vytvorte ISO konfigurácie pre hostiteľov HDS. | ||
13. októbra 2020 | Aktualizované Stiahnite si inštalačné súbory. | ||
8. októbra 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS a Zmeňte konfiguráciu uzla s príkazmi pre prostredia FedRAMP. | ||
14. augusta 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS a Zmeňte konfiguráciu uzla so zmenami v procese prihlasovania. | ||
5. augusta 2020 | Aktualizované Otestujte svoje nasadenie hybridného zabezpečenia dát pre zmeny v protokolových správach. Aktualizované Požiadavky na virtuálny hostiteľ na odstránenie maximálneho počtu hostiteľov. | ||
16. júna 2020 | Aktualizované Odstráňte uzol pre zmeny v používateľskom rozhraní Control Hub. | ||
4. júna 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS pre zmeny v rozšírených nastaveniach, ktoré môžete nastaviť. | ||
29. mája 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS ukázať, že TLS môžete použiť aj s databázami SQL Server, zmenami používateľského rozhrania a ďalšími vysvetleniami. | ||
5. mája 2020 | Aktualizované Požiadavky na virtuálny hostiteľ ukázať novú požiadavku ESXi 6.5. | ||
21. apríla 2020 | Aktualizované Požiadavky na externé pripojenie s novými hostiteľmi Americas CI. | ||
1. apríla 2020 | Aktualizované Požiadavky na externé pripojenie s informáciami o regionálnych hostiteľoch CI. | ||
20. februára 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS s informáciami o novej voliteľnej obrazovke rozšírených nastavení v nástroji HDS Setup Tool. | ||
4. februára 2020 | Aktualizované Požiadavky na proxy server. | ||
16. decembra 2019 | Objasnená požiadavka, aby fungoval režim zablokovaného externého rozlíšenia DNS Požiadavky na proxy server. | ||
19. novembra 2019 | Pridané informácie o režime zablokovaného externého rozlíšenia DNS v nasledujúcich častiach: | ||
8. novembra 2019 | Teraz môžete konfigurovať sieťové nastavenia pre uzol počas nasadzovania OVA a nie neskôr. Podľa toho aktualizovali nasledujúce sekcie:
| ||
6. septembra 2019 | Pridaný SQL Server Standard do Požiadavky na databázový server. | ||
29. augusta 2019 | Pridané Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát príloha s návodom na konfiguráciu proxy serverov Squid tak, aby ignorovali prevádzku websocket pre správnu činnosť. | ||
20. augusta 2019 | Pridané a aktualizované sekcie pokrývajúce podporu proxy pre komunikáciu uzlov Hybrid Data Security do cloudu Webex. Ak chcete získať prístup len k obsahu podpory proxy pre existujúce nasadenie, pozrite si Podpora proxy pre hybridné zabezpečenie dát a Webex Video Mesh pomocný článok. | ||
13. júna 2019 | Aktualizované Skúšobný postup produkčných úloh s pripomienkou na synchronizáciu HdsTrialGroup skupinový objekt pred spustením skúšobnej verzie, ak vaša organizácia používa synchronizáciu adresárov. | ||
6. marca 2019 |
| ||
28. februára 2019 |
| ||
26. februára 2019 |
| ||
24. januára 2019 |
| ||
5. novembra 2018 |
| ||
19. októbra 2018 |
| ||
31. júla 2018 |
| ||
21. mája 2018 | Zmenená terminológia, aby odrážala rebranding Cisco Spark:
| ||
11. apríla 2018 |
| ||
22. februára 2018 |
| ||
15. február 2018 |
| ||
18. januára 2018 |
| ||
2. novembra 2017 |
| ||
18. augusta 2017 | Prvýkrát zverejnené |
Prehľad zabezpečenia hybridných údajov
Od prvého dňa bola bezpečnosť údajov prvoradá pri navrhovaní Aplikácia Webex. Základným kameňom tohto zabezpečenia je komplexné šifrovanie obsahu, ktoré umožňuje Aplikácia Webex klientov interagujúcich so službou správy kľúčov (KMS). KMS je zodpovedný za vytváranie a správu kryptografických kľúčov, ktoré klienti používajú na dynamické šifrovanie a dešifrovanie správ a súborov.
Štandardne všetky Aplikácia Webex zákazníci získajú end-to-end šifrovanie s dynamickými kľúčmi uloženými v cloudovom KMS v oblasti bezpečnosti Cisco. Hybrid Data Security presúva KMS a ďalšie funkcie súvisiace so zabezpečením do vášho podnikového dátového centra, takže kľúče k vášmu šifrovanému obsahu nemá nikto okrem vás.
Architektúra bezpečnostnej sféry
Cloudová architektúra Webex oddeľuje rôzne typy služieb do samostatných oblastí alebo dôveryhodných domén, ako je znázornené nižšie.
Aby sme lepšie porozumeli Hybrid Data Security, pozrime sa najprv na tento čistý cloud, kde Cisco poskytuje všetky funkcie vo svojich cloudových sférach. Služba identity, jediné miesto, kde môžu používatelia priamo korelovať so svojimi osobnými údajmi, ako je e-mailová adresa, je logicky a fyzicky oddelená od oblasti zabezpečenia v dátovom centre B. Obe sú zase oddelené od oblasti, kde je v konečnom dôsledku uložený šifrovaný obsah. , v dátovom centre C.
V tomto diagrame je klientom aplikácia Webex, ktorá beží na notebooku používateľa a je overená službou identity. Keď používateľ vytvorí správu na odoslanie do priestoru, vykonajú sa tieto kroky:
Klient vytvorí zabezpečené spojenie so službou správy kľúčov (KMS), potom požiada o kľúč na zašifrovanie správy. Zabezpečené pripojenie používa ECDH a KMS šifruje kľúč pomocou hlavného kľúča AES-256.
Správa je pred opustením klienta zašifrovaná. Klient ho odošle do indexovacej služby, ktorá vytvorí šifrované indexy vyhľadávania na pomoc pri budúcom vyhľadávaní obsahu.
Zašifrovaná správa sa odošle do služby súladu na kontrolu súladu.
Zašifrovaná správa je uložená v úložnej sfére.
Keď nasadíte Hybrid Data Security, presuniete funkcie bezpečnostnej sféry (KMS, indexovanie a súlad) do vášho lokálneho dátového centra. Ostatné cloudové služby, ktoré tvoria Webex (vrátane ukladania identity a obsahu), zostávajú v sférach spoločnosti Cisco.
Spolupráca s inými organizáciami
Používatelia vo vašej organizácii môžu pravidelne používať aplikáciu Webex na spoluprácu s externými účastníkmi v iných organizáciách. Keď jeden z vašich používateľov požaduje kľúč pre priestor, ktorý vlastní vaša organizácia (pretože ho vytvoril jeden z vašich používateľov), váš KMS odošle kľúč klientovi cez zabezpečený kanál ECDH. Keď však kľúč priestoru vlastní iná organizácia, váš KMS nasmeruje požiadavku do cloudu Webex cez samostatný kanál ECDH, aby získal kľúč z príslušného KMS, a potom vráti kľúč vášmu používateľovi na pôvodnom kanáli.
Služba KMS spustená v organizácii A overuje pripojenia ku KMS v iných organizáciách pomocou x.509 PKI certifikátov. Pozri Pripravte si prostredie podrobnosti o generovaní x.509 certifikátu na použitie s nasadením Hybrid Data Security.
Očakávania týkajúce sa nasadenia hybridnej bezpečnosti údajov
Nasadenie Hybrid Data Security si vyžaduje značné nasadenie zákazníkov a uvedomenie si rizík, ktoré so sebou prináša vlastníctvo šifrovacích kľúčov.
Ak chcete nasadiť Hybrid Data Security, musíte poskytnúť:
Bezpečné dátové centrum v krajine, ktorá je a podporované miesto pre plány Cisco Webex Teams.
Vybavenie, softvér a sieťový prístup popísané v Pripravte si prostredie.
Úplná strata buď konfiguračného ISO, ktoré ste vytvorili pre Hybrid Data Security, alebo databázy, ktorú poskytnete, bude mať za následok stratu kľúčov. Strata kľúča bráni používateľom dešifrovať obsah priestoru a ďalšie šifrované údaje v aplikácii Webex. Ak sa tak stane, môžete vytvoriť nové nasadenie, ale bude viditeľný iba nový obsah. Aby ste predišli strate prístupu k údajom, musíte:
Spravujte zálohovanie a obnovu databázy a konfiguračného ISO.
Buďte pripravení vykonať rýchlu obnovu po havárii, ak dôjde ku katastrofe, ako je zlyhanie databázového disku alebo katastrofa dátového centra.
Neexistuje žiadny mechanizmus na presun kľúčov späť do cloudu po nasadení HDS. |
Proces nastavenia na vysokej úrovni
Tento dokument pokrýva nastavenie a správu nasadenia Hybrid Data Security:
Nastavte Hybridné zabezpečenie dát—To zahŕňa prípravu požadovanej infraštruktúry a inštaláciu softvéru Hybrid Data Security, testovanie vášho nasadenia s podskupinou používateľov v skúšobnom režime a po dokončení testovania prechod do produkcie. To prevedie celú organizáciu na používanie vášho klastra Hybrid Data Security na bezpečnostné funkcie.
Fázy nastavenia, skúšania a výroby sú podrobne opísané v nasledujúcich troch kapitolách.
Udržujte svoje nasadenie Hybrid Data Security— Cloud Webex automaticky poskytuje priebežné aktualizácie. Vaše IT oddelenie môže poskytnúť podporu prvej úrovne pre toto nasadenie a podľa potreby zapojiť podporu Cisco. V Control Hub môžete používať upozornenia na obrazovke a nastaviť upozornenia prostredníctvom e-mailu.
Pochopte bežné upozornenia, kroky na riešenie problémov a známe problémy—Ak narazíte na problémy s nasadením alebo používaním Hybrid Data Security, posledná kapitola tejto príručky a príloha Známe problémy vám môžu pomôcť určiť a vyriešiť problém.
Hybridný model nasadenia zabezpečenia dát
V rámci podnikového dátového centra nasadíte Hybrid Data Security ako jeden klaster uzlov na samostatných virtuálnych hostiteľoch. Uzly komunikujú s cloudom Webex prostredníctvom zabezpečených webových zásuviek a zabezpečeného HTTP.
Počas procesu inštalácie vám poskytneme súbor OVA na nastavenie virtuálneho zariadenia na VM, ktoré poskytnete. Nástroj HDS Setup Tool použijete na vytvorenie vlastného konfiguračného súboru ISO klastra, ktorý pripojíte na každý uzol. Klaster Hybrid Data Security využíva váš poskytnutý server Syslogd a databázu PostgreSQL alebo Microsoft SQL Server. (Syslogd a podrobnosti o pripojení k databáze nakonfigurujete v nástroji HDS Setup Tool.)
Minimálny počet uzlov, ktoré môžete mať v klastri, sú dva. Odporúčame aspoň tri a môžete ich mať až päť. Viacnásobné uzly zaisťujú, že služba nebude prerušená počas aktualizácie softvéru alebo inej činnosti údržby na uzle. (Cloud Webex aktualizuje naraz iba jeden uzol.)
Všetky uzly v klastri pristupujú k rovnakému úložisku údajov kľúčov a zaznamenávajú aktivitu na rovnaký server syslog. Samotné uzly sú bez stavu a spracovávajú kľúčové požiadavky v režime round-robin podľa pokynov cloudu.
Uzly sa stanú aktívnymi, keď ich zaregistrujete v Control Hub. Ak chcete vyradiť jednotlivý uzol z prevádzky, môžete ho zrušiť a neskôr v prípade potreby znova zaregistrovať.
Podporujeme iba jeden klaster na organizáciu.
Skúšobný režim hybridnej bezpečnosti dát
Po nastavení nasadenia Hybrid Data Security ho najskôr vyskúšate so skupinou pilotných používateľov. Počas skúšobného obdobia títo používatelia používajú vašu lokálnu doménu Hybrid Data Security na šifrovacie kľúče a ďalšie služby v oblasti zabezpečenia. Ostatní vaši používatelia naďalej používajú oblasť zabezpečenia cloudu.
Ak sa rozhodnete nepokračovať v nasadzovaní počas skúšobného obdobia a službu deaktivujete, pilotní používatelia a všetci používatelia, s ktorými počas skúšobného obdobia interagovali vytvorením nových priestorov, stratia prístup k správam a obsahu. V aplikácii Webex sa im zobrazí „Táto správa sa nedá dešifrovať“.
Ak ste spokojní s tým, že vaše nasadenie funguje dobre pre skúšobných používateľov a ste pripravení rozšíriť Hybrid Data Security na všetkých svojich používateľov, presuniete nasadenie do produkcie. Pilotní používatelia majú naďalej prístup ku kľúčom, ktoré sa používali počas skúšobnej verzie. Nemôžete sa však pohybovať tam a späť medzi produkčným režimom a pôvodnou skúšobnou verziou. Ak musíte službu deaktivovať, napríklad vykonať obnovu po havárii, pri opätovnej aktivácii musíte spustiť novú skúšobnú verziu a nastaviť skupinu pilotných používateľov pre novú skúšobnú verziu, než sa vrátite späť do produkčného režimu. Či si používatelia v tomto bode zachovajú prístup k údajom, závisí od toho, či ste úspešne udržiavali zálohy úložiska kľúčových údajov a konfiguračného súboru ISO pre uzly Hybrid Data Security vo vašom klastri.
Pohotovostné dátové centrum pre obnovu po havárii
Počas nasadenia nastavíte zabezpečené pohotovostné dátové centrum. V prípade havárie dátového centra môžete manuálne zlyhať nasadenie do pohotovostného dátového centra.
Databázy aktívnych a pohotovostných dátových centier sú navzájom synchronizované, čo minimalizuje čas potrebný na vykonanie núdzového prepnutia. Súbor ISO pohotovostného dátového centra sa aktualizuje o ďalšie konfigurácie, ktoré zaisťujú, že uzly sú registrované v organizácii, ale nebudú spracovávať prevádzku. Preto uzly pohotovostného dátového centra zostávajú vždy aktuálne s najnovšou verziou softvéru HDS.
Aktívne uzly Hybrid Data Security musia byť vždy v rovnakom údajovom centre ako aktívny databázový server. |
Nastavte pohotovostné dátové centrum pre obnovu po havárii
Ak chcete nakonfigurovať súbor ISO pohotovostného dátového centra, postupujte podľa nasledujúcich krokov:
Predtým ako začneš
Pohotovostné dátové centrum by malo odrážať produkčné prostredie VM a záložnú databázu PostgreSQL alebo Microsoft SQL Server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM. (Pozri Pohotovostné dátové centrum pre obnovu po havárii pre prehľad tohto modelu núdzového prepnutia.)
Uistite sa, že je povolená synchronizácia databázy medzi databázou aktívnych a pasívnych uzlov klastra.
1 | Spustite nástroj HDS Setup a postupujte podľa krokov uvedených v Vytvorte ISO konfigurácie pre hostiteľov HDS.
| ||
2 | Po nakonfigurovaní servera Syslogd kliknite na Pokročilé nastavenia | ||
3 | Na Pokročilé nastavenia pridajte konfiguráciu nižšie, aby ste umiestnili uzol do pasívneho režimu. V tomto režime bude uzol zaregistrovaný v organizácii a pripojený ku cloudu, ale nebude spracovávať žiadny prenos.
| ||
4 | Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť. | ||
5 | Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. | ||
6 | V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na VM a kliknite Upraviť nastavenia.. | ||
7 | Kliknite Upraviť nastavenia >CD/DVD mechanika 1 a vyberte Datastore ISO File.
| ||
8 | Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy. | ||
9 | Opakujte proces pre každý uzol v pohotovostnom dátovom centre.
|
Čo urobiť ďalej
Po konfigurácii passiveMode
v súbore ISO a jeho uložením môžete vytvoriť ďalšiu kópiu súboru ISO bez súboru passiveMode
konfiguráciu a uložte ju na bezpečnom mieste. Táto kópia súboru ISO bez passiveMode
nakonfigurovaný môže pomôcť pri rýchlom procese núdzového prepnutia počas obnovy po havárii. Pozri Obnova po havárii pomocou pohotovostného dátového centra pre podrobný postup núdzového prepnutia.
Podpora proxy
Hybrid Data Security podporuje explicitné, transparentné kontrolné a nekontrolujúce proxy. Tieto servery proxy môžete prepojiť s nasadením, aby ste mohli zabezpečiť a monitorovať prevádzku z podniku do cloudu. Rozhranie správcu platformy na uzloch môžete použiť na správu certifikátov a na kontrolu celkového stavu pripojenia po nastavení servera proxy na uzloch.
Uzly Hybrid Data Security podporujú nasledujúce možnosti proxy:
Žiadny proxy—Predvolené, ak na integráciu servera proxy nepoužívate nastavenie uzla HDS Trust Store & Proxy. Nevyžaduje sa žiadna aktualizácia certifikátu.
Transparentný nekontrolujúci splnomocnenec– Uzly nie sú nakonfigurované na používanie špecifickej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.
Transparentné tunelovanie alebo kontrola proxy– Uzly nie sú nakonfigurované na používanie špecifickej adresy servera proxy. Na uzloch nie sú potrebné žiadne zmeny konfigurácie HTTP alebo HTTPS. Uzly však potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).
Explicitný proxy—S explicitným proxy, poviete HDS uzlom, ktorý proxy server a overovaciu schému použiť. Ak chcete nakonfigurovať explicitný server proxy, musíte do každého uzla zadať nasledujúce informácie:
Proxy IP/FQDN– Adresa, ktorú možno použiť na spojenie so zariadením proxy.
Port proxy—Číslo portu, ktoré server proxy používa na počúvanie prevádzky cez proxy.
Proxy protokol—V závislosti od toho, čo váš proxy server podporuje, vyberte si z nasledujúcich protokolov:
HTTP – zobrazuje a riadi všetky požiadavky, ktoré klient odosiela.
HTTPS – poskytuje kanál pre server. Klient prijme a overí certifikát servera.
autentický typ— Vyberte si z nasledujúcich typov autentifikácie:
žiadne— Nevyžaduje sa žiadna ďalšia autentifikácia.
Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.
Základné— Používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.
Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.
Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.
Digest– Používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.
Dostupné, iba ak vyberiete HTTPS ako protokol proxy.
Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.
Príklad uzlov na zabezpečenie hybridných dát a proxy
Tento diagram ukazuje príklad spojenia medzi Hybrid Data Security, sieťou a proxy. Pre možnosti transparentnej kontroly a explicitnej kontroly HTTPS proxy musí byť na serveri proxy aj na uzloch Hybrid Data Security nainštalovaný rovnaký koreňový certifikát.
Blokovaný režim externého rozlíšenia DNS (explicitné konfigurácie proxy)
Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. V nasadeniach s explicitnými konfiguráciami proxy, ktoré neumožňujú externé rozlíšenie DNS pre interných klientov, ak uzol nemôže dotazovať servery DNS, automaticky prejde do režimu blokovaného externého riešenia DNS. V tomto režime môže pokračovať registrácia uzla a ďalšie testy pripojenia proxy.
Požiadavky na hybridnú bezpečnosť dát
Požiadavky na licenciu Cisco Webex
Nasadenie Hybrid Data Security:
Musíte mať balík Pro Pack pre Cisco Webex Control Hub. (Pozri https://www.cisco.com/go/pro-pack.)
Požiadavky na plochu Docker
Pred inštaláciou uzlov HDS potrebujete Docker Desktop na spustenie inštalačného programu. Docker nedávno aktualizoval svoj licenčný model. Vaša organizácia môže vyžadovať platené predplatné pre Docker Desktop. Podrobnosti nájdete v blogovom príspevku Docker, " Docker aktualizuje a rozširuje naše predplatné produktov".
Požiadavky na certifikát X.509
Certifikačný reťazec musí spĺňať nasledujúce požiadavky:
Požiadavka | Podrobnosti |
---|---|
| V predvolenom nastavení dôverujeme CA v zozname Mozilly (s výnimkou WoSign a StartCom) na https://wiki.mozilla.org/CA:IncludedCAs. |
| CN nemusí byť dosiahnuteľné alebo živého hostiteľa. Odporúčame vám použiť názov, ktorý odráža vašu organizáciu, napr. KN nesmie obsahovať * (zástupný znak). CN sa používa na overenie uzlov Hybrid Data Security pre klientov Webex App. Všetky uzly Hybrid Data Security vo vašom klastri používajú rovnaký certifikát. Váš KMS sa identifikuje pomocou domény CN, nie akejkoľvek domény, ktorá je definovaná v poliach x.509v3 SAN. Po zaregistrovaní uzla s týmto certifikátom nepodporujeme zmenu názvu domény CN. Vyberte doménu, ktorá sa môže vzťahovať na skúšobné aj produkčné nasadenie. |
| Softvér KMS nepodporuje podpisy SHA1 na overenie pripojení k KMS iných organizácií. |
| Na zmenu formátu certifikátu môžete použiť konvertor, ako je OpenSSL. Pri spustení nástroja HDS Setup Tool budete musieť zadať heslo. |
Softvér KMS nevynucuje používanie kľúčov ani rozšírené obmedzenia používania kľúčov. Niektoré certifikačné autority vyžadujú, aby sa na každý certifikát aplikovali rozšírené obmedzenia používania kľúčov, ako je autentifikácia servera. Je v poriadku použiť overenie servera alebo iné nastavenia.
Požiadavky na virtuálny hostiteľ
Virtuálni hostitelia, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri, majú nasledujúce požiadavky:
Aspoň dvaja oddelení hostitelia (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre
VMware ESXi 6.5 (alebo novší) nainštalovaný a spustený.
Ak máte staršiu verziu ESXi, musíte vykonať inováciu.
Minimálne 4 vCPU, 8 GB hlavnej pamäte, 30 GB miesta na lokálnom pevnom disku na server
Požiadavky na databázový server
Vytvorte novú databázu pre uloženie kľúčov. Nepoužívajte predvolenú databázu. Aplikácie HDS, keď sú nainštalované, vytvoria schému databázy. |
Pre databázový server sú dve možnosti. Požiadavky na každú z nich sú nasledovné:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložný priestor) | Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložný priestor) |
Softvér HDS momentálne inštaluje nasledujúce verzie ovládačov na komunikáciu s databázovým serverom:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres JDBC ovládač 42.2.5 | Ovládač SQL Server JDBC 4.6 Táto verzia ovládača podporuje SQL Server Always On ( Vždy v prípade zlyhania klastra a Vždy zapnuté skupiny dostupnosti). |
Dodatočné požiadavky na overenie systému Windows voči Microsoft SQL Server
Ak chcete, aby uzly HDS používali autentifikáciu systému Windows na získanie prístupu k vašej databáze úložiska kľúčov na serveri Microsoft SQL Server, potrebujete vo svojom prostredí nasledujúcu konfiguráciu:
HDS uzly, infraštruktúra Active Directory a MS SQL Server musia byť synchronizované s NTP.
Účet Windows, ktorý poskytnete uzlom HDS, musí mať prístup k databáze na čítanie/zápis.
Servery DNS, ktoré poskytujete uzlom HDS, musia byť schopné vyriešiť vaše Centrum distribúcie kľúčov (KDC).
Inštanciu databázy HDS môžete zaregistrovať na svojom serveri Microsoft SQL Server ako hlavný názov služby (SPN) vo vašom adresári Active Directory. Pozri Zaregistrujte hlavný názov služby pre pripojenia Kerberos.
Nástroj na nastavenie HDS, spúšťač HDS a miestne KMS musia na prístup k databáze kľúčov používať overenie systému Windows. Používajú podrobnosti z vašej konfigurácie ISO na vytvorenie SPN pri požadovaní prístupu s overením Kerberos.
Požiadavky na externé pripojenie
Nakonfigurujte svoj firewall tak, aby umožňoval nasledujúce pripojenie pre aplikácie HDS:
Aplikácia | Protokol | Port | Smer z App | Destinácia |
---|---|---|---|---|
Hybridné uzly zabezpečenia údajov | TCP | 443 | Odchádzajúce HTTPS a WSS |
|
Nástroj na nastavenie HDS | TCP | 443 | Odchádzajúce HTTPS |
|
Uzly Hybrid Data Security pracujú s prekladom sieťového prístupu (NAT) alebo za bránou firewall, pokiaľ NAT alebo brána firewall umožňuje požadované odchádzajúce pripojenia k destináciám domény v predchádzajúcej tabuľke. Pre pripojenia prichádzajúce do uzlov Hybrid Data Security by nemali byť z internetu viditeľné žiadne porty. V rámci vášho dátového centra potrebujú klienti prístup k uzlom Hybrid Data Security na portoch TCP 443 a 22 na administratívne účely. |
Adresy URL hostiteľov Common Identity (CI) sú špecifické pre daný región. Toto sú súčasní hostitelia CI:
región | Spoločné adresy URL hostiteľa identity |
---|---|
Ameriky |
|
Európska únia |
|
Kanada |
|
Požiadavky na proxy server
Oficiálne podporujeme nasledujúce proxy riešenia, ktoré sa dajú integrovať s vašimi uzlami Hybrid Data Security.
Transparentný proxy – Cisco Web Security Appliance (WSA).
Explicitný proxy-Squid.
Proxy serverov chobotnice, ktoré kontrolujú prenos HTTPS, môžu zasahovať do vytvorenia webovej zásuvky (wss:) spojenia. Ak chcete tento problém obísť, pozrite si Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát.
Pre explicitné servery proxy podporujeme nasledujúce kombinácie typov overenia:
Žiadna autentifikácia pomocou HTTP alebo HTTPS
Základná autentifikácia pomocou HTTP alebo HTTPS
Digest overenie iba s HTTPS
Pre transparentný kontrolný proxy server alebo explicitný proxy server HTTPS musíte mať kópiu koreňového certifikátu servera proxy. Pokyny na nasadenie v tejto príručke vám povedia, ako nahrať kópiu do dôveryhodných obchodov uzlov Hybrid Data Security.
Sieť, ktorá hostí uzly HDS, musí byť nakonfigurovaná tak, aby vynútila smerovanie odchádzajúcej prevádzky TCP na porte 443 cez server proxy.
Proxy, ktoré kontrolujú webovú prevádzku, môžu narúšať pripojenia webových soketov. Ak sa vyskytne tento problém, obíďte (nie kontrolujte) premávku na
wbx2.com
aciscospark.com
problém vyrieši.
Vyplňte Predpoklady pre hybridnú bezpečnosť údajov
1 | Uistite sa, že vaša organizácia Webex má povolený balík Pro Pack pre Cisco Webex Control Hub a získajte prihlasovacie údaje účtu s úplnými právami správcu organizácie. Ak potrebujete pomoc s týmto procesom, kontaktujte svojho partnera Cisco alebo account manažéra. | ||
2 | Vyberte názov domény pre svoje nasadenie HDS (napr. | ||
3 | Pripravte si identických virtuálnych hostiteľov, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri. Potrebujete aspoň dvoch samostatných hostiteľov (odporúčajú sa 3) umiestnených v rovnakom zabezpečenom dátovom centre, ktorí spĺňajú požiadavky v Požiadavky na virtuálny hostiteľ. | ||
4 | Pripravte databázový server, ktorý bude fungovať ako úložisko kľúčových údajov pre klaster, podľa Požiadavky na databázový server. Databázový server musí byť umiestnený v zabezpečenom údajovom centre spolu s virtuálnymi hostiteľmi. | ||
5 | Pre rýchlu obnovu po havárii nastavte zálohovacie prostredie v inom dátovom centre. Zálohovacie prostredie odzrkadľuje produkčné prostredie VM a záložný databázový server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM. | ||
6 | Nastavte hostiteľa syslog na zhromažďovanie protokolov z uzlov v klastri. Získajte jeho sieťovú adresu a port syslog (predvolené je UDP 514). | ||
7 | Vytvorte politiku bezpečného zálohovania pre uzly Hybrid Data Security, databázový server a hostiteľa syslog. Aby ste predišli nenapraviteľnej strate údajov, musíte minimálne zálohovať databázu a konfiguračný súbor ISO vygenerovaný pre uzly Hybrid Data Security.
Klienti Webex App ukladajú svoje kľúče do vyrovnávacej pamäte, takže výpadok nemusí byť okamžite viditeľný, ale časom sa prejaví. Zatiaľ čo dočasným výpadkom nie je možné zabrániť, sú obnoviteľné. Úplná strata (nie sú k dispozícii žiadne zálohy) databázy alebo konfiguračného ISO súboru však bude mať za následok neobnoviteľné zákaznícke údaje. Od operátorov uzlov Hybrid Data Security sa očakáva, že budú pravidelne zálohovať databázu a konfiguračný ISO súbor a budú pripravení na prestavbu dátového centra Hybrid Data Security, ak dôjde ku katastrofálnej poruche. | ||
8 | Uistite sa, že vaša konfigurácia brány firewall umožňuje pripojenie pre vaše uzly Hybrid Data Security, ako je uvedené v Požiadavky na externé pripojenie. | ||
9 | Nainštalujte Docker ( https://www.docker.com) na akomkoľvek lokálnom počítači s podporovaným operačným systémom (Microsoft Windows 10 Professional alebo Enterprise 64-bit, alebo Mac OSX Yosemite 10.10.3 alebo novší) s webovým prehliadačom, ktorý k nemu môže pristupovať na http://127.0.0.1:8080. Inštanciu Docker použijete na stiahnutie a spustenie nástroja HDS Setup Tool, ktorý vytvorí informácie o lokálnej konfigurácii pre všetky uzly Hybrid Data Security. Vaša organizácia môže potrebovať licenciu Docker Desktop. Pozri Požiadavky na plochu Docker Pre viac informácií. Ak chcete nainštalovať a spustiť nástroj HDS Setup Tool, lokálny počítač musí mať konektivitu uvedenú v Požiadavky na externé pripojenie. | ||
10 | Ak integrujete proxy s Hybrid Data Security, uistite sa, že spĺňa Požiadavky na proxy server. | ||
11 | Ak vaša organizácia používa synchronizáciu adresárov, vytvorte skupinu v Active Directory s názvom
|
Tok úloh nasadenia zabezpečenia hybridných údajov
Predtým ako začneš
1 | Stiahnite si inštalačné súbory Stiahnite si súbor OVA na váš lokálny počítač pre neskoršie použitie. | ||
2 | Vytvorte ISO konfigurácie pre hostiteľov HDS Pomocou nástroja HDS Setup Tool vytvorte konfiguračný súbor ISO pre uzly Hybrid Data Security. | ||
3 |
Vytvorte virtuálny počítač zo súboru OVA a vykonajte počiatočnú konfiguráciu, ako sú nastavenia siete.
| ||
4 | Nastavte virtuálny počítač Hybrid Data Security Prihláste sa do konzoly VM a nastavte prihlasovacie poverenia. Nakonfigurujte sieťové nastavenia pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA. | ||
5 | Nahrajte a pripojte ISO konfiguráciu HDS Nakonfigurujte VM z konfiguračného súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool. | ||
6 | Nakonfigurujte uzol HDS na integráciu proxy Ak sieťové prostredie vyžaduje konfiguráciu servera proxy, zadajte typ servera proxy, ktorý použijete pre uzol, a v prípade potreby pridajte certifikát servera proxy do dôveryhodného úložiska. | ||
7 | Zaregistrujte prvý uzol v klastri Zaregistrujte VM v cloude Cisco Webex ako uzol Hybrid Data Security. | ||
8 | Vytvorte a zaregistrujte viac uzlov Dokončite nastavenie klastra. | ||
9 | Spustite skúšobnú verziu a prejdite do výroby (ďalšia kapitola) Kým nezačnete skúšobnú verziu, vaše uzly generujú alarm oznamujúci, že vaša služba ešte nie je aktivovaná. |
Stiahnite si inštalačné súbory
1 | Prihláste sa do https://admin.webex.coma potom kliknite Služby. | ||||
2 | V časti Hybridné služby nájdite kartu Hybrid Data Security a potom kliknite Nastaviť. Ak je karta zakázaná alebo ju nevidíte, kontaktujte tím spravujúci váš účet alebo partnerskú organizáciu. Poskytnite im svoje číslo účtu a požiadajte, aby vašej organizácii umožnili Hybridné zabezpečenie dát. Ak chcete nájsť číslo účtu, kliknite na ozubené koliesko vpravo hore vedľa názvu organizácie.
| ||||
3 | Vyberte Nie na označenie, že ste ešte nenastavili uzol, a potom kliknite Ďalšie. Automaticky sa začne sťahovať súbor OVA. Uložte súbor na miesto v počítači.
| ||||
4 | Voliteľne kliknite Otvorte Sprievodcu nasadením a skontrolujte, či je k dispozícii novšia verzia tejto príručky. |
Vytvorte ISO konfigurácie pre hostiteľov HDS
Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.
Predtým ako začneš
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Control Hub s úplnými administrátorskými právami pre vašu organizáciu.
Ak nástroj HDS Setup beží za serverom proxy vo vašom prostredí, pri spúšťaní kontajnera Docker v kroku poskytnite nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker 5. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS Proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:
Databázové poverenia
Aktualizácie certifikátov
Zmeny v politike autorizácie
Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.
1 | Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie: V bežných prostrediach:
V prostrediach FedRAMP:
| ||||||||||||
2 | Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:
| ||||||||||||
3 | Pri výzve na zadanie hesla zadajte tento hash:
| ||||||||||||
4 | Stiahnite si najnovší stabilný obraz pre vaše prostredie: V bežných prostrediach:
V prostrediach FedRAMP:
| ||||||||||||
5 | Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:
Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“. | ||||||||||||
6 |
Pomocou webového prehliadača prejdite na localhost, Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie. | ||||||||||||
7 | Po zobrazení výzvy zadajte svoje prihlasovacie poverenia správcu zákazníka Control Hub a potom kliknite Prihlásiť sa na umožnenie prístupu k požadovaným službám pre Hybridnú bezpečnosť dát. | ||||||||||||
8 | Na stránke prehľadu nástroja Setup kliknite na Začať. | ||||||||||||
9 | Na ISO import stránku, máte tieto možnosti:
| ||||||||||||
10 | Skontrolujte, či váš certifikát X.509 spĺňa požiadavky v Požiadavky na certifikát X.509.
| ||||||||||||
11 | Zadajte databázovú adresu a účet pre HDS, aby ste získali prístup k vášmu úložisku kľúčových údajov: | ||||||||||||
12 | Vyberte a Režim pripojenia databázy TLS:
Keď nahráte koreňový certifikát (ak je to potrebné) a kliknite na ďalej, HDS Setup Tool otestuje TLS pripojenie k databázovému serveru. Nástroj tiež overuje podpisovateľa certifikátu a názov hostiteľa, ak je to potrebné. Ak test zlyhá, nástroj zobrazí chybové hlásenie popisujúce problém. Môžete si vybrať, či chcete chybu ignorovať a pokračovať v nastavovaní. (Vzhľadom na rozdiely v konektivite môžu byť uzly HDS schopné nadviazať pripojenie TLS, aj keď ho zariadenie HDS Setup Tool nedokáže úspešne otestovať.) | ||||||||||||
13 | Na stránke Systémové denníky nakonfigurujte svoj server Syslogd: | ||||||||||||
14 | (Voliteľné) Môžete zmeniť predvolenú hodnotu pre niektoré parametre pripojenia k databáze v Pokročilé nastavenia. Vo všeobecnosti je tento parameter jediný, ktorý možno budete chcieť zmeniť:
| ||||||||||||
15 | Kliknite ďalej na Obnovte heslo servisných účtov obrazovke. Heslá k servisným účtom majú životnosť deväť mesiacov. Túto obrazovku použite, keď sa blíži koniec platnosti vašich hesiel alebo ich chcete resetovať, aby ste zrušili platnosť predchádzajúcich súborov ISO. | ||||||||||||
16 | Kliknite Stiahnite si súbor ISO. Uložte súbor na miesto, ktoré sa dá ľahko nájsť. | ||||||||||||
17 | Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. | ||||||||||||
18 | Ak chcete vypnúť nástroj Setup, zadajte |
Čo urobiť ďalej
Zálohujte konfiguračný súbor ISO. Potrebujete ho na vytvorenie ďalších uzlov na obnovu alebo na vykonanie zmien v konfigurácii. Ak stratíte všetky kópie súboru ISO, stratili ste aj hlavný kľúč. Obnovenie kľúčov z databázy PostgreSQL alebo Microsoft SQL Server nie je možné.
Nikdy nemáme kópiu tohto kľúča a nemôžeme vám pomôcť, ak ho stratíte. |
Nainštalujte HDS Host OVA
1 | Na prihlásenie do virtuálneho hostiteľa ESXi použite klienta VMware vSphere na vašom počítači. | ||||||
2 | Vyberte Súbor > Nasadiť šablónu OVF. | ||||||
3 | V sprievodcovi zadajte umiestnenie súboru OVA, ktorý ste si stiahli skôr, a potom kliknite Ďalšie . | ||||||
4 | Na Vyberte názov a priečinok stránku, zadajte a Názov virtuálneho počítača pre uzol (napríklad „HDS_Node_1"), vyberte umiestnenie, kde sa môže nachádzať nasadenie uzla virtuálneho počítača, a potom kliknite Ďalšie . | ||||||
5 | Na Vyberte výpočtový zdroj vyberte cieľový výpočtový zdroj a potom kliknite Ďalšie . Prebehne overovacia kontrola. Po dokončení sa zobrazia podrobnosti šablóny. | ||||||
6 | Overte podrobnosti šablóny a potom kliknite Ďalšie. | ||||||
7 | Ak sa zobrazí výzva na výber konfigurácie prostriedkov na Konfigurácia stránku, kliknite 4 CPU a potom kliknite Ďalšie . | ||||||
8 | Na Vyberte úložisko stránku, kliknite Ďalšie akceptovať predvolený formát disku a politiku úložiska VM. | ||||||
9 | Na Vyberte siete vyberte sieťovú možnosť zo zoznamu položiek, aby ste poskytli požadované pripojenie k VM. | ||||||
10 | Na Prispôsobiť šablónu nakonfigurujte nasledujúce nastavenia siete:
Ak chcete, môžete preskočiť konfiguráciu nastavenia siete a postupovať podľa krokov v Nastavte virtuálny počítač Hybrid Data Security na konfiguráciu nastavení z konzoly uzla.
| ||||||
11 | Kliknite pravým tlačidlom myši na uzol VM a potom vyberte .Softvér Hybrid Data Security je nainštalovaný ako hosť na hostiteľovi VM. Teraz ste pripravení prihlásiť sa do konzoly a nakonfigurovať uzol. Tipy na riešenie problémov Môžete zaznamenať oneskorenie niekoľkých minút, kým sa kontajnery uzlov objavia. Počas prvého spustenia, počas ktorého sa nemôžete prihlásiť, sa na konzole zobrazí správa brány firewall mosta. |
Nastavte virtuálny počítač Hybrid Data Security
Tento postup použite na prvé prihlásenie do konzoly VM uzla Hybrid Data Security a nastavenie prihlasovacích poverení. Konzolu môžete použiť aj na konfiguráciu sieťových nastavení pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.
1 | V klientovi VMware vSphere vyberte svoj uzol Hybrid Data Security VM a vyberte Konzola tab. VM sa spustí a zobrazí sa výzva na prihlásenie. Ak sa výzva na prihlásenie nezobrazí, stlačte Zadajte.
|
2 | Na prihlásenie a zmenu poverení použite nasledujúce predvolené prihlasovacie meno a heslo: Keďže sa do svojho VM prihlasujete prvýkrát, musíte zmeniť heslo správcu. |
3 | Ak ste už nakonfigurovali nastavenia siete v Nainštalujte HDS Host OVA, preskočte zvyšok tohto postupu. V opačnom prípade vyberte v hlavnom menu položku Upraviť konfiguráciu možnosť. |
4 | Nastavte statickú konfiguráciu s IP adresou, maskou, bránou a informáciami DNS. Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované. |
5 | (Voliteľné) Zmeňte názov hostiteľa, doménu alebo server(y) NTP, ak je to potrebné, aby zodpovedali zásadám vašej siete. Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509. |
6 | Uložte konfiguráciu siete a reštartujte VM, aby sa zmeny prejavili. |
Nahrajte a pripojte ISO konfiguráciu HDS
Predtým ako začneš
Pretože súbor ISO obsahuje hlavný kľúč, mal by byť zverejnený iba na základe „potreby vedieť“, aby k nemu mali prístup virtuálne počítače s hybridným zabezpečením údajov a všetci správcovia, ktorí môžu potrebovať vykonať zmeny. Uistite sa, že k úložisku údajov majú prístup iba títo správcovia.
1 | Nahrajte súbor ISO z počítača: |
2 | Pripojte súbor ISO: |
Čo urobiť ďalej
Ak to vyžaduje vaša politika IT, môžete voliteľne odpojiť súbor ISO po tom, čo všetky vaše uzly prevezmú zmeny konfigurácie. Pozri (Voliteľné) Odpojte ISO po konfigurácii HDS pre podrobnosti.
Nakonfigurujte uzol HDS na integráciu proxy
Ak sieťové prostredie vyžaduje server proxy, použite tento postup na určenie typu servera proxy, s ktorým sa chcete integrovať Hybridná bezpečnosť dát. Ak si vyberiete transparentný kontrolný proxy server alebo explicitný proxy server HTTPS, môžete použiť rozhranie uzla na nahranie a inštaláciu koreňového certifikátu. Môžete tiež skontrolovať pripojenie proxy z rozhrania a vyriešiť prípadné problémy.
Predtým ako začneš
Pozri Podpora proxy pre prehľad podporovaných možností proxy.
1 | Zadajte adresu URL nastavenia uzla HDS |
2 | Ísť do Trust Store a proxya potom vyberte možnosť:
Postupujte podľa nasledujúcich krokov pre transparentný kontrolný proxy server, explicitný proxy server HTTP so základným overením alebo explicitný proxy HTTPS. |
3 | Kliknite Nahrajte koreňový certifikát alebo certifikát koncovej entitya potom prejdite na výber koreňového certifikátu pre server proxy. Certifikát je nahraný, ale ešte nie je nainštalovaný, pretože na inštaláciu certifikátu musíte reštartovať uzol. Kliknutím na šípku v tvare šípky vedľa názvu vydavateľa certifikátu získate ďalšie podrobnosti alebo kliknite Odstrániť ak ste urobili chybu a chcete súbor znova nahrať. |
4 | Kliknite Skontrolujte pripojenie proxy na testovanie sieťového pripojenia medzi uzlom a proxy. Ak test pripojenia zlyhá, zobrazí sa chybové hlásenie, ktoré uvádza dôvod a spôsob, ako môžete problém vyriešiť. Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS. Tento stav sa očakáva v mnohých explicitných konfiguráciách proxy. Môžete pokračovať v nastavovaní a uzol bude fungovať v režime zablokovaného externého rozlíšenia DNS. Ak si myslíte, že ide o chybu, vykonajte tieto kroky a potom uvidíte Vypnite režim zablokovaného externého rozlíšenia DNS. |
5 | Po úspešnom teste pripojenia zapnite prepínač v prípade explicitného servera proxy nastaveného iba na https Smerujte všetky požiadavky https z tohto uzla na port 443/444 cez explicitný proxy server. Toto nastavenie sa prejaví po 15 sekundách. |
6 | Kliknite Nainštalujte všetky certifikáty do dôveryhodného úložiska (zobrazí sa pri explicitnom HTTPS proxy alebo transparentnom kontrolnom proxy serveri) alebo Reštartovať (zobrazí sa pri explicitnom serveri proxy HTTP), prečítajte si výzvu a potom kliknite Inštalácia ak si pripravený. Uzol sa reštartuje v priebehu niekoľkých minút. |
7 | Po reštartovaní uzla sa v prípade potreby znova prihláste a potom otvorte Prehľad stránku a skontrolujte kontroly pripojenia, aby ste sa uistili, že sú všetky v zelenom stave. Kontrola pripojenia proxy testuje iba subdoménu webex.com. Ak sa vyskytnú problémy s pripojením, bežným problémom je, že niektoré z cloudových domén uvedených v pokynoch na inštaláciu sú na serveri proxy blokované. |
Zaregistrujte prvý uzol v klastri
Keď zaregistrujete svoj prvý uzol, vytvoríte klaster, ku ktorému je uzol priradený. Klaster obsahuje jeden alebo viac uzlov nasadených na zabezpečenie redundancie.
Predtým ako začneš
Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.
Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.
1 | Prihláste sa do https://admin.webex.com. |
2 | V ponuke na ľavej strane obrazovky vyberte položku Služby. |
3 | V sekcii Hybridné služby nájdite Hybridné zabezpečenie dát a kliknite Nastaviť. Zobrazí sa stránka Register Hybrid Data Security Node.
|
4 | Vyberte Áno na označenie, že ste uzol nastavili a ste pripravení ho zaregistrovať, a potom kliknite Ďalšie. |
5 | Do prvého poľa zadajte názov klastra, ku ktorému chcete priradiť váš uzol Hybrid Data Security. Odporúčame pomenovať klaster podľa toho, kde sa geograficky nachádzajú uzly klastra. Príklady: „San Francisco“ alebo „New York“ alebo „Dallas“ |
6 | Do druhého poľa zadajte internú IP adresu alebo úplný názov domény (FQDN) vášho uzla a kliknite Ďalšie. Táto adresa IP alebo FQDN by sa mala zhodovať s adresou IP alebo názvom hostiteľa a doménou, ktorú ste použili Nastavte virtuálny počítač Hybrid Data Security. Zobrazí sa správa, že môžete zaregistrovať svoj uzol do Webexu.
|
7 | Kliknite Prejdite na Node. |
8 | Kliknite ďalej vo varovnej správe. Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že svojej organizácii Webex chcete udeliť povolenia na prístup k vášmu uzlu.
|
9 | Skontrolovať Povoľte prístup k svojmu uzlu zabezpečenia hybridných údajov začiarknite políčko a potom kliknite na ďalej. Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
|
10 | Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Hybrid Data Security Control Hub. Na Hybridná bezpečnosť dát sa zobrazí nový klaster obsahujúci uzol, ktorý ste zaregistrovali. Uzol si automaticky stiahne najnovší softvér z cloudu.
|
Vytvorte a zaregistrujte viac uzlov
V súčasnosti sú záložné virtuálne počítače, ktoré ste vytvorili Vyplňte Predpoklady pre hybridnú bezpečnosť údajov sú pohotovostní hostitelia, ktorí sa používajú iba v prípade obnovy po havárii; dovtedy nie sú registrovaní v systéme. Podrobnosti nájdete v časti Obnova po havárii pomocou pohotovostného dátového centra. |
Predtým ako začneš
Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.
Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.
1 | Vytvorte nový virtuálny počítač z OVA zopakovaním krokov Nainštalujte HDS Host OVA. |
2 | Nastavte počiatočnú konfiguráciu na novom VM zopakovaním krokov v Nastavte virtuálny počítač Hybrid Data Security. |
3 | Na novom virtuálnom počítači zopakujte kroky v Nahrajte a pripojte ISO konfiguráciu HDS. |
4 | Ak nastavujete server proxy pre svoje nasadenie, zopakujte kroky v Nakonfigurujte uzol HDS na integráciu proxy podľa potreby pre nový uzol. |
5 | Zaregistrujte uzol. Váš uzol je zaregistrovaný. Upozorňujeme, že kým nezačnete skúšobnú verziu, vaše uzly generujú alarm, ktorý oznamuje, že vaša služba ešte nie je aktivovaná.
|
Čo urobiť ďalej
Skúšobný postup produkčných úloh
Po nastavení klastra Hybrid Data Security môžete spustiť pilotný test, pridať doň používateľov a začať ho používať na testovanie a overovanie vášho nasadenia v rámci prípravy na prechod do produkcie.
Predtým ako začneš
1 | V prípade potreby synchronizujte Ak vaša organizácia používa synchronizáciu adresárov pre používateľov, musíte vybrať |
2 |
Začnite skúšobnú verziu. Kým nevykonáte túto úlohu, vaše uzly generujú alarm, ktorý oznamuje, že služba ešte nie je aktivovaná. |
3 | Otestujte svoje nasadenie hybridného zabezpečenia dát Skontrolujte, či kľúčové požiadavky prechádzajú do vášho nasadenia Hybrid Data Security. |
4 | Monitorujte zdravie Hybrid Data Security Health Skontrolujte stav a nastavte e-mailové upozornenia na budíky. |
5 | Pridajte alebo odstráňte používateľov z vašej skúšobnej verzie |
6 | Dokončite skúšobnú fázu jedným z nasledujúcich krokov: |
Aktivovať skúšobnú verziu
Predtým ako začneš
Ak vaša organizácia používa synchronizáciu adresárov pre používateľov, musíte vybrať HdsTrialGroup
skupinový objekt na synchronizáciu do cloudu predtým, ako začnete skúšobnú verziu pre vašu organizáciu. Pokyny nájdete na Sprievodca nasadením pre Cisco Directory Connector.
1 | Prihláste sa do https://admin.webex.coma potom vyberte Služby. |
2 | V časti Hybrid Data Security kliknite na nastavenie. |
3 | V časti Stav služby kliknite na Spustiť skúšku. Stav služby sa zmení na skúšobný režim.
|
4 | Kliknite Pridať používateľov a zadajte e-mailovú adresu jedného alebo viacerých používateľov na pilotné používanie vašich uzlov Hybrid Data Security na šifrovacie a indexovacie služby. (Ak vaša organizácia používa synchronizáciu adresárov, na správu skúšobnej skupiny použite službu Active Directory, |
Otestujte svoje nasadenie hybridného zabezpečenia dát
Predtým ako začneš
Nastavte nasadenie Hybrid Data Security.
Aktivujte skúšobnú verziu a pridajte niekoľko používateľov skúšobnej verzie.
Uistite sa, že máte prístup k syslog, aby ste si overili, že kľúčové požiadavky prechádzajú do vášho nasadenia Hybrid Data Security.
1 | Kľúče pre daný priestor nastavuje tvorca priestoru. Prihláste sa do aplikácie Webex ako jeden z pilotných používateľov a potom vytvorte priestor a pozvite aspoň jedného pilotného používateľa a jedného nepilotného používateľa.
| ||
2 | Posielajte správy do nového priestoru. | ||
3 | Skontrolujte výstup syslog, aby ste si overili, že požiadavky na kľúče prechádzajú do vášho nasadenia Hybrid Data Security. |
Monitorujte zdravie Hybrid Data Security Health
1 | In Control Hub, vyberte Služby z ponuky na ľavej strane obrazovky. |
2 | V sekcii Hybridné služby nájdite Hybridné zabezpečenie dát a kliknite nastavenie. Zobrazí sa stránka Hybrid Data Security Settings.
|
3 | V časti E-mailové upozornenia zadajte jednu alebo viac e-mailových adries oddelených čiarkami a stlačte Zadajte. |
Pridajte alebo odstráňte používateľov z vašej skúšobnej verzie
Ak odstránite používateľa zo skúšobnej verzie, klient tohto používateľa bude namiesto vášho KMS požadovať kľúče a vytvorenie kľúča z cloudového KMS. Ak klient potrebuje kľúč, ktorý je uložený vo vašom KMS, cloudový KMS ho načíta v mene používateľa.
Ak vaša organizácia používa synchronizáciu adresárov, použite Active Directory (namiesto tohto postupu) na správu skúšobnej skupiny, HdsTrialGroup
; členov skupiny môžete zobraziť v Control Hub, ale nemôžete ich pridávať ani odstraňovať.
1 | Prihláste sa do Control Hub a potom vyberte Služby. |
2 | V časti Hybrid Data Security kliknite na nastavenie. |
3 | V časti Skúšobný režim v oblasti Stav služby kliknite na Pridať používateľov, alebo kliknite zobraziť a upraviť na odstránenie používateľov zo skúšobnej verzie. |
4 | Zadajte e-mailovú adresu jedného alebo viacerých používateľov, ktorých chcete pridať, alebo kliknite na X pomocou ID používateľa na odstránenie používateľa zo skúšobnej verzie. Potom kliknite Uložiť. |
Presuňte sa zo skúšobnej do produkčnej verzie
1 | Prihláste sa do Control Hub a potom vyberte Služby. |
2 | V časti Hybrid Data Security kliknite na nastavenie. |
3 | V časti Stav služby kliknite na Presunúť do výroby. |
4 | Potvrďte, že chcete presunúť všetkých svojich používateľov do produkcie. |
Ukončite skúšobnú verziu bez presunu do výroby
1 | Prihláste sa do Control Hub a potom vyberte Služby. |
2 | V časti Hybrid Data Security kliknite na nastavenie. |
3 | V časti Deaktivovať kliknite na Deaktivovať. |
4 | Potvrďte, že chcete službu deaktivovať a ukončiť skúšobnú verziu. |
Spravujte nasadenie HDS
Pomocou tu popísaných úloh spravujte svoje nasadenie Hybrid Data Security.
Nastavte plán aktualizácie klastra
Ak chcete nastaviť plán aktualizácie:
1 | Prihláste sa do Control Hub. |
2 | Na stránke Prehľad v časti Hybridné služby vyberte Hybridná bezpečnosť dát. |
3 | Na stránke Hybrid Data Security Resources vyberte klaster. |
4 | Na paneli Prehľad vpravo v časti Nastavenia klastra vyberte názov klastra. |
5 | Na stránke Nastavenia v časti Aktualizácia vyberte čas a časové pásmo pre plán inovácie. Poznámka: Pod časovým pásmom sa zobrazí dátum a čas ďalšej dostupnej aktualizácie. Kliknutím na tlačidlo môžete v prípade potreby odložiť aktualizáciu na nasledujúci deň Odložiť. |
Zmeňte konfiguráciu uzla
Zmena x.509 certifikátov z dôvodu uplynutia platnosti alebo iných dôvodov.
Nepodporujeme zmenu názvu domény CN certifikátu. Doména sa musí zhodovať s pôvodnou doménou použitou na registráciu klastra.
Aktualizácia nastavení databázy pre zmenu na repliku databázy PostgreSQL alebo Microsoft SQL Server.
Nepodporujeme migráciu údajov z PostgreSQL na Microsoft SQL Server alebo opačným spôsobom. Ak chcete zmeniť prostredie databázy, spustite nové nasadenie Hybrid Data Security.
Vytvorenie novej konfigurácie na prípravu nového dátového centra.
Z bezpečnostných dôvodov používa Hybrid Data Security heslá servisných účtov, ktoré majú životnosť deväť mesiacov. Keď nástroj HDS Setup vygeneruje tieto heslá, nasadíte ich do každého z vašich uzlov HDS v konfiguračnom súbore ISO. Keď sa blíži koniec platnosti hesiel vašej organizácie, dostanete od tímu Webex upozornenie na resetovanie hesla pre váš počítačový účet. (E-mail obsahuje text „Na aktualizáciu hesla použite rozhranie API strojového účtu.“) Ak platnosť vašich hesiel ešte nevypršala, nástroj vám ponúka dve možnosti:
Mäkký reset—Staré aj nové heslo fungujú až 10 dní. Toto obdobie použite na postupnú výmenu súboru ISO na uzloch.
Tvrdý reštart—Staré heslá okamžite prestanú fungovať.
Ak platnosť vašich hesiel vyprší bez resetovania, ovplyvní to vašu službu HDS, čo si vyžaduje okamžitý tvrdý reset a nahradenie súboru ISO na všetkých uzloch.
Tento postup použite na vygenerovanie nového konfiguračného súboru ISO a jeho použitie vo vašom klastri.
Predtým ako začneš
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Control Hub s úplnými administrátorskými právami pre vašu organizáciu.
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker zadajte nastavenia proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker 1.e. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS Proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Na vygenerovanie novej konfigurácie potrebujete kópiu aktuálneho konfiguračného súboru ISO. ISO obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. ISO potrebujete, keď robíte zmeny v konfigurácii vrátane poverení databázy, aktualizácií certifikátov alebo zmien v politike autorizácie.
1 | Pomocou Docker na lokálnom počítači spustite nástroj HDS Setup Tool. |
2 | Ak máte spustený iba jeden uzol HDS, vytvorte nový VM uzla Hybrid Data Security a zaregistrujte ho pomocou nového konfiguračného súboru ISO. Podrobnejšie pokyny nájdete v časti Vytvorte a zaregistrujte viac uzlov. |
3 | Pre existujúce uzly HDS, na ktorých je spustený starší konfiguračný súbor, pripojte súbor ISO. Postupne vykonajte nasledujúci postup na každom uzle, pričom aktualizujte každý uzol pred vypnutím ďalšieho uzla: |
4 | Opakujte krok 3, aby ste nahradili konfiguráciu na každom zostávajúcom uzle, na ktorom je spustená stará konfigurácia. |
Vypnite režim zablokovaného externého rozlíšenia DNS
Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. Ak server DNS uzla nedokáže rozlíšiť verejné názvy DNS, uzol automaticky prejde do režimu zablokovaného externého rozlíšenia DNS.
Ak vaše uzly dokážu rozlíšiť verejné názvy DNS prostredníctvom interných serverov DNS, môžete tento režim vypnúť opätovným spustením testu pripojenia proxy na každom uzle.
Predtým ako začneš
1 | Vo webovom prehliadači otvorte rozhranie uzla Hybrid Data Security (IP adresa/nastavenie, napr. https://192.0.2.0/setup), zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite Prihlásiť sa. |
2 | Ísť do Prehľad (predvolená stránka). Keď je povolené, Zablokované externé rozlíšenie DNS je nastavený na Áno. |
3 | Choďte na Trust Store a proxy stránku. |
4 | Kliknite Skontrolujte pripojenie proxy. Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS a zostane v tomto režime. V opačnom prípade po reštartovaní uzla a návrate do Prehľad na stránke Blocked External DNS Resolution by mala byť nastavená na no. |
Čo urobiť ďalej
Odstráňte uzol
1 | Pomocou klienta VMware vSphere vo svojom počítači sa prihláste do virtuálneho hostiteľa ESXi a vypnite virtuálny počítač. |
2 | Odstráňte uzol: |
3 | V klientovi vSphere odstráňte VM. (Na ľavom navigačnom paneli kliknite pravým tlačidlom myši na VM a kliknite na Odstrániť.) Ak nevymažete VM, nezabudnite odpojiť konfiguračný súbor ISO. Bez súboru ISO nemôžete použiť VM na prístup k bezpečnostným údajom. |
Obnova po havárii pomocou pohotovostného dátového centra
Najdôležitejšou službou, ktorú váš klaster Hybrid Data Security poskytuje, je vytváranie a ukladanie kľúčov používaných na šifrovanie správ a iného obsahu uloženého v cloude Webex. Pre každého používateľa v rámci organizácie, ktorý je priradený k Hybrid Data Security, sú do klastra smerované nové požiadavky na vytvorenie kľúča. Klaster je tiež zodpovedný za vrátenie kľúčov, ktoré vytvoril, všetkým používateľom oprávneným na ich získanie, napríklad členom konverzačného priestoru.
Pretože klaster vykonáva kritickú funkciu poskytovania týchto kľúčov, je nevyhnutné, aby klaster zostal spustený a aby boli udržiavané správne zálohy. Strata databázy Hybrid Data Security alebo konfigurácie ISO použitej pre schému bude mať za následok NENÁVRATNÚ STRATU zákazníckeho obsahu. Aby sa predišlo takejto strate, sú povinné nasledujúce postupy:
Ak havária spôsobí, že nasadenie HDS v primárnom dátovom centre sa stane nedostupným, podľa tohto postupu manuálne prepnite na pohotovostné dátové centrum.
1 | Spustite nástroj HDS Setup a postupujte podľa krokov uvedených v Vytvorte ISO konfigurácie pre hostiteľov HDS. | ||
2 | Po nakonfigurovaní servera Syslogd kliknite na Pokročilé nastavenia | ||
3 | Na Pokročilé nastavenia pridajte konfiguráciu nižšie alebo odstráňte
| ||
4 | Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť. | ||
5 | Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. | ||
6 | V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na VM a kliknite Upraviť nastavenia.. | ||
7 | Kliknite Upraviť nastavenia >CD/DVD mechanika 1 a vyberte Datastore ISO File.
| ||
8 | Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy. | ||
9 | Opakujte proces pre každý uzol v pohotovostnom dátovom centre.
|
Čo urobiť ďalej
(Voliteľné) Odpojte ISO po konfigurácii HDS
Štandardná konfigurácia HDS beží s namontovaným ISO. Niektorí zákazníci však uprednostňujú neponechať súbory ISO nepretržite pripojené. Súbor ISO môžete odpojiť potom, čo všetky uzly HDS prevezmú novú konfiguráciu.
Na vykonanie zmien v konfigurácii stále používate súbory ISO. Keď vytvoríte nový ISO alebo aktualizujete ISO pomocou nástroja Setup Tool, musíte aktualizovaný ISO pripojiť na všetky vaše uzly HDS. Keď všetky vaše uzly zachytia zmeny konfigurácie, môžete ISO znova odpojiť pomocou tohto postupu.
Predtým ako začneš
Inovujte všetky svoje uzly HDS na verziu 2021.01.22.4720 alebo novšiu.
1 | Vypnite jeden z uzlov HDS. |
2 | V serverovom zariadení vCenter vyberte uzol HDS. |
3 | Vyberte si Súbor ISO úložiska údajov. a zrušte začiarknutie |
4 | Zapnite uzol HDS a uistite sa, že aspoň 20 minút nie sú žiadne alarmy. |
5 | Postup opakujte pre každý uzol HDS. |
Zobraziť upozornenia a riešenie problémov
Nasadenie Hybrid Data Security sa považuje za nedostupné, ak sú všetky uzly v klastri nedostupné alebo klaster pracuje tak pomaly, že si vyžaduje časový limit. Ak používatelia nemôžu dosiahnuť váš klaster Hybrid Data Security, zaznamenajú nasledujúce príznaky:
Nie je možné vytvoriť nové medzery (nemožno vytvoriť nové kľúče)
Správy a názvy priestorov sa nepodarilo dešifrovať pre:
Noví používatelia pridaní do priestoru (nemožno načítať kľúče)
Existujúci používatelia v priestore používajúci nového klienta (nemožno načítať kľúče)
Existujúci používatelia v priestore budú naďalej úspešne fungovať, pokiaľ budú mať ich klienti vyrovnávaciu pamäť šifrovacích kľúčov
Je dôležité, aby ste správne monitorovali svoj klaster Hybrid Data Security a okamžite riešili všetky výstrahy, aby ste predišli prerušeniu služby.
Upozornenia
Ak sa vyskytne problém s nastavením Hybrid Data Security, Control Hub zobrazí upozornenia správcovi organizácie a odošle e-maily na nakonfigurovanú e-mailovú adresu. Výstrahy pokrývajú mnoho bežných scenárov.
Upozornenie | Akcia |
---|---|
Zlyhanie prístupu k lokálnej databáze. |
Skontrolujte chyby databázy alebo problémy s lokálnou sieťou. |
Zlyhanie pripojenia k lokálnej databáze. |
Skontrolujte, či je databázový server dostupný a či boli v konfigurácii uzla použité správne poverenia servisného účtu. |
Zlyhanie prístupu k cloudovej službe. |
Skontrolujte, či majú uzly prístup k serverom Webex, ako je uvedené v Požiadavky na externé pripojenie. |
Obnovuje sa registrácia cloudovej služby. |
Registrácia do cloudových služieb bola zrušená. Prebieha obnova registrácie. |
Registrácia cloudovej služby bola zrušená. |
Registrácia do cloudových služieb bola ukončená. Služba sa vypína. |
Služba ešte nie je aktivovaná. |
Aktivujte skúšobnú verziu alebo dokončite presun skúšky do produkcie. |
Nakonfigurovaná doména sa nezhoduje s certifikátom servera. |
Uistite sa, že váš certifikát servera sa zhoduje s nakonfigurovanou doménou aktivácie služby. Najpravdepodobnejšou príčinou je, že certifikát CN bol nedávno zmenený a teraz sa líši od CN, ktorý bol použitý počas počiatočného nastavenia. |
Nepodarilo sa overiť v cloudových službách. |
Skontrolujte presnosť a možné vypršanie platnosti poverení servisného účtu. |
Nepodarilo sa otvoriť súbor lokálneho úložiska kľúčov. |
Skontrolujte integritu a presnosť hesla v lokálnom súbore skladu kľúčov. |
Certifikát lokálneho servera je neplatný. |
Skontrolujte dátum vypršania platnosti certifikátu servera a potvrďte, že bol vydaný dôveryhodnou certifikačnou autoritou. |
Nie je možné uverejniť metriky. |
Skontrolujte prístup k lokálnej sieti k externým cloudovým službám. |
Adresár /media/configdrive/hds neexistuje. |
Skontrolujte konfiguráciu pripojenia ISO na virtuálnom hostiteľovi. Overte, či súbor ISO existuje, či je nakonfigurovaný na pripojenie pri reštarte a či sa úspešne pripojí. |
Riešenie problémov so zabezpečením hybridných údajov
1 | Skontrolujte si v Control Hub všetky upozornenia a opravte všetky položky, ktoré tam nájdete. |
2 | Skontrolujte výstup servera syslog pre aktivitu z nasadenia Hybrid Data Security. |
3 | Kontakt Podpora Cisco. |
Známe problémy s hybridnou bezpečnosťou dát
Ak vypnete svoj klaster Hybrid Data Security (odstránením v Control Hub alebo vypnutím všetkých uzlov), stratíte svoj konfiguračný súbor ISO alebo stratíte prístup k databáze úložiska kľúčov, používatelia vašej aplikácie Webex App už nebudú môcť používať priestory pod svojimi ľuďmi. zoznam, ktorý bol vytvorený pomocou kľúčov z vášho KMS. Platí to pre skúšobné aj produkčné nasadenia. V súčasnosti nemáme riešenie ani opravu tohto problému a žiadame vás, aby ste nevypínali svoje služby HDS, keď budú spracovávať aktívne používateľské účty.
Klient, ktorý má existujúce pripojenie ECDH ku KMS, udržiava toto pripojenie určitý čas (pravdepodobne jednu hodinu). Keď sa používateľ stane členom skúšobnej verzie Hybrid Data Security, klient používateľa naďalej používa existujúce pripojenie ECDH, kým nevyprší časový limit. Prípadne sa používateľ môže odhlásiť a znova prihlásiť do aplikácie Webex App, aby aktualizoval umiestnenie, ktoré aplikácia kontaktuje pre šifrovacie kľúče.
Rovnaké správanie nastane, keď presuniete skúšobnú verziu do produkcie organizácie. Všetci neskúšobní používatelia s existujúcimi pripojeniami ECDH k predchádzajúcim službám zabezpečenia údajov budú tieto služby naďalej používať, kým sa znovu nedohodne pripojenie ECDH (prostredníctvom časového limitu alebo odhlásením a opätovným prihlásením).
Na vygenerovanie súboru PKCS12 použite OpenSSL
Predtým ako začneš
OpenSSL je jeden nástroj, ktorý možno použiť na vytvorenie súboru PKCS12 v správnom formáte na načítanie v nástroji HDS Setup Tool. Existujú aj iné spôsoby, ako to urobiť, a my nepodporujeme ani nepresadzujeme jeden spôsob oproti druhému.
Ak sa rozhodnete použiť OpenSSL, poskytujeme tento postup ako návod, ktorý vám pomôže vytvoriť súbor, ktorý spĺňa požiadavky certifikátu X.509 v Požiadavky na certifikát X.509. Než budete pokračovať, pochopte tieto požiadavky.
Nainštalujte OpenSSL v podporovanom prostredí. Pozri https://www.openssl.org pre softvér a dokumentáciu.
Vytvorte súkromný kľúč.
Tento postup začnite, keď dostanete certifikát servera od certifikačnej autority (CA).
1 | Keď dostanete certifikát servera od vašej CA, uložte ho ako |
2 | Zobrazte certifikát ako text a overte podrobnosti.
|
3 | Pomocou textového editora vytvorte súbor zväzku certifikátov s názvom
|
4 | Vytvorte súbor .p12 s popisným názvom
|
5 | Skontrolujte podrobnosti certifikátu servera. |
Čo urobiť ďalej
Návrat do Vyplňte Predpoklady pre hybridnú bezpečnosť údajov. Budete používať hdsnode.p12
súbor a heslo, ktoré ste preň nastavili Vytvorte ISO konfigurácie pre hostiteľov HDS.
Tieto súbory môžete znova použiť na vyžiadanie nového certifikátu, keď platnosť pôvodného certifikátu vyprší. |
Prevádzka medzi uzlami HDS a cloudom
Odchádzajúca návštevnosť zberu metrík
Uzly Hybrid Data Security odosielajú určité metriky do cloudu Webex. Patria sem systémové metriky pre maximálnu haldu, využitú haldu, zaťaženie procesora a počet vlákien; metriky na synchrónnych a asynchrónnych vláknach; metriky výstrah zahŕňajúce prah šifrovacích pripojení, latenciu alebo dĺžku frontu požiadaviek; metriky na dátovom úložisku; a metriky šifrovaného pripojenia. Uzly posielajú zašifrovaný kľúčový materiál cez kanál mimo pásma (oddelený od požiadavky).
Prichádzajúca premávka
Uzly Hybrid Data Security prijímajú nasledujúce typy prichádzajúcej prevádzky z cloudu Webex:
Šifrovacie požiadavky od klientov, ktoré sú smerované šifrovacou službou
Aktualizácie softvéru uzla
Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát
Websocket sa nemôže pripojiť cez Squid Proxy
Proxy serverov chobotnice, ktoré kontrolujú prenos HTTPS, môžu zasahovať do vytvorenia webovej zásuvky ( wss:
) pripojenia, ktoré vyžaduje Hybrid Data Security. Tieto časti poskytujú návod, ako nakonfigurovať rôzne verzie Squid na ignorovanie wss:
prevádzky pre správne fungovanie služieb.
Kalmáre 4 a 5
Pridajte on_unsupported_protocol
smernica k squid.conf
:
on_unsupported_protocol tunnel all
Kalmáre 3.5.27
Hybridnú bezpečnosť dát sme úspešne otestovali s nasledujúcimi pravidlami squid.conf
. Tieto pravidlá sa môžu meniť, pretože vyvíjame funkcie a aktualizujeme cloud Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Nové a zmenené informácie
Dátum | Vykonané zmeny | ||
---|---|---|---|
20. októbra 2023 |
| ||
7. augusta 2023 |
| ||
23. mája 2023 |
| ||
6. decembra 2022 |
| ||
23. novembra 2022 |
| ||
13. októbra 2021 | Pred inštaláciou uzlov HDS musí Docker Desktop spustiť inštalačný program. Pozri Požiadavky na plochu Docker. | ||
24. júna 2021 | Upozorňujeme, že súbor so súkromným kľúčom a CSR môžete znova použiť na vyžiadanie ďalšieho certifikátu. Pozri Na vygenerovanie súboru PKCS12 použite OpenSSL pre podrobnosti. | ||
30. apríla 2021 | Požiadavka VM na lokálny pevný disk sa zmenila na 30 GB. Pozri Požiadavky na virtuálny hostiteľ pre podrobnosti. | ||
24. februára 2021 | HDS Setup Tool teraz môže bežať za serverom proxy. Pozri Vytvorte ISO konfigurácie pre hostiteľov HDS pre podrobnosti. | ||
2. februára 2021 | HDS teraz môže bežať bez pripojeného súboru ISO. Pozri (Voliteľné) Odpojte ISO po konfigurácii HDS pre podrobnosti. | ||
11. januára 2021 | Pridané informácie o nástroji HDS Setup a proxy serveroch Vytvorte ISO konfigurácie pre hostiteľov HDS. | ||
13. októbra 2020 | Aktualizované Stiahnite si inštalačné súbory. | ||
8. októbra 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS a Zmeňte konfiguráciu uzla s príkazmi pre prostredia FedRAMP. | ||
14. augusta 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS a Zmeňte konfiguráciu uzla so zmenami v procese prihlasovania. | ||
5. augusta 2020 | Aktualizované Otestujte svoje nasadenie hybridného zabezpečenia dát pre zmeny v protokolových správach. Aktualizované Požiadavky na virtuálny hostiteľ na odstránenie maximálneho počtu hostiteľov. | ||
16. júna 2020 | Aktualizované Odstráňte uzol pre zmeny v používateľskom rozhraní Control Hub. | ||
4. júna 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS pre zmeny v rozšírených nastaveniach, ktoré môžete nastaviť. | ||
29. mája 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS ukázať, že TLS môžete použiť aj s databázami SQL Server, zmenami používateľského rozhrania a ďalšími vysvetleniami. | ||
5. mája 2020 | Aktualizované Požiadavky na virtuálny hostiteľ ukázať novú požiadavku ESXi 6.5. | ||
21. apríla 2020 | Aktualizované Požiadavky na externé pripojenie s novými hostiteľmi Americas CI. | ||
1. apríla 2020 | Aktualizované Požiadavky na externé pripojenie s informáciami o regionálnych hostiteľoch CI. | ||
20. februára 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS s informáciami o novej voliteľnej obrazovke rozšírených nastavení v nástroji HDS Setup Tool. | ||
4. februára 2020 | Aktualizované Požiadavky na proxy server. | ||
16. decembra 2019 | Objasnená požiadavka, aby fungoval režim zablokovaného externého rozlíšenia DNS Požiadavky na proxy server. | ||
19. novembra 2019 | Pridané informácie o režime zablokovaného externého rozlíšenia DNS v nasledujúcich častiach: | ||
8. novembra 2019 | Teraz môžete konfigurovať sieťové nastavenia pre uzol počas nasadzovania OVA a nie neskôr. Podľa toho aktualizovali nasledujúce sekcie:
| ||
6. septembra 2019 | Pridaný SQL Server Standard do Požiadavky na databázový server. | ||
29. augusta 2019 | Pridané Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát príloha s návodom na konfiguráciu proxy serverov Squid tak, aby ignorovali prevádzku websocket pre správnu činnosť. | ||
20. augusta 2019 | Pridané a aktualizované sekcie pokrývajúce podporu proxy pre komunikáciu uzlov Hybrid Data Security do cloudu Webex. Ak chcete získať prístup len k obsahu podpory proxy pre existujúce nasadenie, pozrite si Podpora proxy pre hybridné zabezpečenie dát a Webex Video Mesh pomocný článok. | ||
13. júna 2019 | Aktualizované Skúšobný postup produkčných úloh s pripomienkou na synchronizáciu HdsTrialGroup skupinový objekt pred spustením skúšobnej verzie, ak vaša organizácia používa synchronizáciu adresárov. | ||
6. marca 2019 |
| ||
28. februára 2019 |
| ||
26. februára 2019 |
| ||
24. januára 2019 |
| ||
5. novembra 2018 |
| ||
19. októbra 2018 |
| ||
31. júla 2018 |
| ||
21. mája 2018 | Zmenená terminológia, aby odrážala rebranding Cisco Spark:
| ||
11. apríla 2018 |
| ||
22. februára 2018 |
| ||
15. február 2018 |
| ||
18. januára 2018 |
| ||
2. novembra 2017 |
| ||
18. augusta 2017 | Prvýkrát zverejnené |
Prehľad zabezpečenia hybridných údajov
Od prvého dňa bola bezpečnosť údajov prvoradá pri navrhovaní Aplikácia Webex. Základným kameňom tohto zabezpečenia je komplexné šifrovanie obsahu, ktoré umožňuje Aplikácia Webex klientov interagujúcich so službou správy kľúčov (KMS). KMS je zodpovedný za vytváranie a správu kryptografických kľúčov, ktoré klienti používajú na dynamické šifrovanie a dešifrovanie správ a súborov.
Štandardne všetky Aplikácia Webex zákazníci získajú end-to-end šifrovanie s dynamickými kľúčmi uloženými v cloudovom KMS v oblasti bezpečnosti Cisco. Hybrid Data Security presúva KMS a ďalšie funkcie súvisiace so zabezpečením do vášho podnikového dátového centra, takže kľúče k vášmu šifrovanému obsahu nemá nikto okrem vás.
Architektúra bezpečnostnej sféry
Cloudová architektúra Webex oddeľuje rôzne typy služieb do samostatných oblastí alebo dôveryhodných domén, ako je znázornené nižšie.
Aby sme lepšie porozumeli Hybrid Data Security, pozrime sa najprv na tento čistý cloud, kde Cisco poskytuje všetky funkcie vo svojich cloudových sférach. Služba identity, jediné miesto, kde môžu používatelia priamo korelovať so svojimi osobnými údajmi, ako je e-mailová adresa, je logicky a fyzicky oddelená od oblasti zabezpečenia v dátovom centre B. Obe sú zase oddelené od oblasti, kde je v konečnom dôsledku uložený šifrovaný obsah. , v dátovom centre C.
V tomto diagrame je klientom aplikácia Webex, ktorá beží na notebooku používateľa a je overená službou identity. Keď používateľ vytvorí správu na odoslanie do priestoru, vykonajú sa tieto kroky:
Klient vytvorí zabezpečené spojenie so službou správy kľúčov (KMS), potom požiada o kľúč na zašifrovanie správy. Zabezpečené pripojenie používa ECDH a KMS šifruje kľúč pomocou hlavného kľúča AES-256.
Správa je pred opustením klienta zašifrovaná. Klient ho odošle do indexovacej služby, ktorá vytvorí šifrované indexy vyhľadávania na pomoc pri budúcom vyhľadávaní obsahu.
Zašifrovaná správa sa odošle do služby súladu na kontrolu súladu.
Zašifrovaná správa je uložená v úložnej sfére.
Keď nasadíte Hybrid Data Security, presuniete funkcie bezpečnostnej sféry (KMS, indexovanie a súlad) do vášho lokálneho dátového centra. Ostatné cloudové služby, ktoré tvoria Webex (vrátane ukladania identity a obsahu), zostávajú v sférach spoločnosti Cisco.
Spolupráca s inými organizáciami
Používatelia vo vašej organizácii môžu pravidelne používať aplikáciu Webex na spoluprácu s externými účastníkmi v iných organizáciách. Keď jeden z vašich používateľov požaduje kľúč pre priestor, ktorý vlastní vaša organizácia (pretože ho vytvoril jeden z vašich používateľov), váš KMS odošle kľúč klientovi cez zabezpečený kanál ECDH. Keď však kľúč priestoru vlastní iná organizácia, váš KMS nasmeruje požiadavku do cloudu Webex cez samostatný kanál ECDH, aby získal kľúč z príslušného KMS, a potom vráti kľúč vášmu používateľovi na pôvodnom kanáli.
Služba KMS spustená v organizácii A overuje pripojenia ku KMS v iných organizáciách pomocou x.509 PKI certifikátov. Pozri Pripravte si prostredie podrobnosti o generovaní x.509 certifikátu na použitie s nasadením Hybrid Data Security.
Očakávania týkajúce sa nasadenia hybridnej bezpečnosti údajov
Nasadenie Hybrid Data Security si vyžaduje značné nasadenie zákazníkov a uvedomenie si rizík, ktoré so sebou prináša vlastníctvo šifrovacích kľúčov.
Ak chcete nasadiť Hybrid Data Security, musíte poskytnúť:
Bezpečné dátové centrum v krajine, ktorá je a podporované miesto pre plány Cisco Webex Teams.
Vybavenie, softvér a sieťový prístup popísané v Pripravte si prostredie.
Úplná strata buď konfiguračného ISO, ktoré ste vytvorili pre Hybrid Data Security, alebo databázy, ktorú poskytnete, bude mať za následok stratu kľúčov. Strata kľúča bráni používateľom dešifrovať obsah priestoru a ďalšie šifrované údaje v aplikácii Webex. Ak sa tak stane, môžete vytvoriť nové nasadenie, ale bude viditeľný iba nový obsah. Aby ste predišli strate prístupu k údajom, musíte:
Spravujte zálohovanie a obnovu databázy a konfiguračného ISO.
Buďte pripravení vykonať rýchlu obnovu po havárii, ak dôjde ku katastrofe, ako je zlyhanie databázového disku alebo katastrofa dátového centra.
Neexistuje žiadny mechanizmus na presun kľúčov späť do cloudu po nasadení HDS. |
Proces nastavenia na vysokej úrovni
Tento dokument pokrýva nastavenie a správu nasadenia Hybrid Data Security:
Nastavte Hybridné zabezpečenie dát—To zahŕňa prípravu požadovanej infraštruktúry a inštaláciu softvéru Hybrid Data Security, testovanie vášho nasadenia s podskupinou používateľov v skúšobnom režime a po dokončení testovania prechod do produkcie. To prevedie celú organizáciu na používanie vášho klastra Hybrid Data Security na bezpečnostné funkcie.
Fázy nastavenia, skúšania a výroby sú podrobne opísané v nasledujúcich troch kapitolách.
Udržujte svoje nasadenie Hybrid Data Security— Cloud Webex automaticky poskytuje priebežné aktualizácie. Vaše IT oddelenie môže poskytnúť podporu prvej úrovne pre toto nasadenie a podľa potreby zapojiť podporu Cisco. V Control Hub môžete používať upozornenia na obrazovke a nastaviť upozornenia prostredníctvom e-mailu.
Pochopte bežné upozornenia, kroky na riešenie problémov a známe problémy—Ak narazíte na problémy s nasadením alebo používaním Hybrid Data Security, posledná kapitola tejto príručky a príloha Známe problémy vám môžu pomôcť určiť a vyriešiť problém.
Hybridný model nasadenia zabezpečenia dát
V rámci podnikového dátového centra nasadíte Hybrid Data Security ako jeden klaster uzlov na samostatných virtuálnych hostiteľoch. Uzly komunikujú s cloudom Webex prostredníctvom zabezpečených webových zásuviek a zabezpečeného HTTP.
Počas procesu inštalácie vám poskytneme súbor OVA na nastavenie virtuálneho zariadenia na VM, ktoré poskytnete. Nástroj HDS Setup Tool použijete na vytvorenie vlastného konfiguračného súboru ISO klastra, ktorý pripojíte na každý uzol. Klaster Hybrid Data Security využíva váš poskytnutý server Syslogd a databázu PostgreSQL alebo Microsoft SQL Server. (Syslogd a podrobnosti o pripojení k databáze nakonfigurujete v nástroji HDS Setup Tool.)
Minimálny počet uzlov, ktoré môžete mať v klastri, sú dva. Odporúčame aspoň tri a môžete ich mať až päť. Viacnásobné uzly zaisťujú, že služba nebude prerušená počas aktualizácie softvéru alebo inej činnosti údržby na uzle. (Cloud Webex aktualizuje naraz iba jeden uzol.)
Všetky uzly v klastri pristupujú k rovnakému úložisku údajov kľúčov a zaznamenávajú aktivitu na rovnaký server syslog. Samotné uzly sú bez stavu a spracovávajú kľúčové požiadavky v režime round-robin podľa pokynov cloudu.
Uzly sa stanú aktívnymi, keď ich zaregistrujete v Control Hub. Ak chcete vyradiť jednotlivý uzol z prevádzky, môžete ho zrušiť a neskôr v prípade potreby znova zaregistrovať.
Podporujeme iba jeden klaster na organizáciu.
Skúšobný režim hybridnej bezpečnosti dát
Po nastavení nasadenia Hybrid Data Security ho najskôr vyskúšate so skupinou pilotných používateľov. Počas skúšobného obdobia títo používatelia používajú vašu lokálnu doménu Hybrid Data Security na šifrovacie kľúče a ďalšie služby v oblasti zabezpečenia. Ostatní vaši používatelia naďalej používajú oblasť zabezpečenia cloudu.
Ak sa rozhodnete nepokračovať v nasadzovaní počas skúšobného obdobia a službu deaktivujete, pilotní používatelia a všetci používatelia, s ktorými počas skúšobného obdobia interagovali vytvorením nových priestorov, stratia prístup k správam a obsahu. V aplikácii Webex sa im zobrazí „Táto správa sa nedá dešifrovať“.
Ak ste spokojní s tým, že vaše nasadenie funguje dobre pre skúšobných používateľov a ste pripravení rozšíriť Hybrid Data Security na všetkých svojich používateľov, presuniete nasadenie do produkcie. Pilotní používatelia majú naďalej prístup ku kľúčom, ktoré sa používali počas skúšobnej verzie. Nemôžete sa však pohybovať tam a späť medzi produkčným režimom a pôvodnou skúšobnou verziou. Ak musíte službu deaktivovať, napríklad vykonať obnovu po havárii, pri opätovnej aktivácii musíte spustiť novú skúšobnú verziu a nastaviť skupinu pilotných používateľov pre novú skúšobnú verziu, než sa vrátite späť do produkčného režimu. Či si používatelia v tomto bode zachovajú prístup k údajom, závisí od toho, či ste úspešne udržiavali zálohy úložiska kľúčových údajov a konfiguračného súboru ISO pre uzly Hybrid Data Security vo vašom klastri.
Pohotovostné dátové centrum pre obnovu po havárii
Počas nasadenia nastavíte zabezpečené pohotovostné dátové centrum. V prípade havárie dátového centra môžete manuálne zlyhať nasadenie do pohotovostného dátového centra.
Databázy aktívnych a pohotovostných dátových centier sú navzájom synchronizované, čo minimalizuje čas potrebný na vykonanie núdzového prepnutia. Súbor ISO pohotovostného dátového centra sa aktualizuje o ďalšie konfigurácie, ktoré zaisťujú, že uzly sú registrované v organizácii, ale nebudú spracovávať prevádzku. Preto uzly pohotovostného dátového centra zostávajú vždy aktuálne s najnovšou verziou softvéru HDS.
Aktívne uzly Hybrid Data Security musia byť vždy v rovnakom údajovom centre ako aktívny databázový server. |
Nastavte pohotovostné dátové centrum pre obnovu po havárii
Ak chcete nakonfigurovať súbor ISO pohotovostného dátového centra, postupujte podľa nasledujúcich krokov:
Predtým ako začneš
Pohotovostné dátové centrum by malo odrážať produkčné prostredie VM a záložnú databázu PostgreSQL alebo Microsoft SQL Server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM. (Pozri Pohotovostné dátové centrum pre obnovu po havárii pre prehľad tohto modelu núdzového prepnutia.)
Uistite sa, že je povolená synchronizácia databázy medzi databázou aktívnych a pasívnych uzlov klastra.
1 | Spustite nástroj HDS Setup a postupujte podľa krokov uvedených v Vytvorte ISO konfigurácie pre hostiteľov HDS.
| ||
2 | Po nakonfigurovaní servera Syslogd kliknite na Pokročilé nastavenia | ||
3 | Na Pokročilé nastavenia pridajte konfiguráciu nižšie, aby ste umiestnili uzol do pasívneho režimu. V tomto režime bude uzol zaregistrovaný v organizácii a pripojený ku cloudu, ale nebude spracovávať žiadny prenos.
| ||
4 | Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť. | ||
5 | Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. | ||
6 | V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na VM a kliknite Upraviť nastavenia.. | ||
7 | Kliknite Upraviť nastavenia >CD/DVD mechanika 1 a vyberte Datastore ISO File.
| ||
8 | Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy. | ||
9 | Opakujte proces pre každý uzol v pohotovostnom dátovom centre.
|
Čo urobiť ďalej
Po konfigurácii passiveMode
v súbore ISO a jeho uložením môžete vytvoriť ďalšiu kópiu súboru ISO bez súboru passiveMode
konfiguráciu a uložte ju na bezpečnom mieste. Táto kópia súboru ISO bez passiveMode
nakonfigurovaný môže pomôcť pri rýchlom procese núdzového prepnutia počas obnovy po havárii. Pozri Obnova po havárii pomocou pohotovostného dátového centra pre podrobný postup núdzového prepnutia.
Podpora proxy
Hybrid Data Security podporuje explicitné, transparentné kontrolné a nekontrolujúce proxy. Tieto servery proxy môžete prepojiť s nasadením, aby ste mohli zabezpečiť a monitorovať prevádzku z podniku do cloudu. Rozhranie správcu platformy na uzloch môžete použiť na správu certifikátov a na kontrolu celkového stavu pripojenia po nastavení servera proxy na uzloch.
Uzly Hybrid Data Security podporujú nasledujúce možnosti proxy:
Žiadny proxy—Predvolené, ak na integráciu servera proxy nepoužívate nastavenie uzla HDS Trust Store & Proxy. Nevyžaduje sa žiadna aktualizácia certifikátu.
Transparentný nekontrolujúci splnomocnenec– Uzly nie sú nakonfigurované na používanie špecifickej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.
Transparentné tunelovanie alebo kontrola proxy– Uzly nie sú nakonfigurované na používanie špecifickej adresy servera proxy. Na uzloch nie sú potrebné žiadne zmeny konfigurácie HTTP alebo HTTPS. Uzly však potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).
Explicitný proxy—S explicitným proxy, poviete HDS uzlom, ktorý proxy server a overovaciu schému použiť. Ak chcete nakonfigurovať explicitný server proxy, musíte do každého uzla zadať nasledujúce informácie:
Proxy IP/FQDN– Adresa, ktorú možno použiť na spojenie so zariadením proxy.
Port proxy—Číslo portu, ktoré server proxy používa na počúvanie prevádzky cez proxy.
Proxy protokol—V závislosti od toho, čo váš proxy server podporuje, vyberte si z nasledujúcich protokolov:
HTTP – zobrazuje a riadi všetky požiadavky, ktoré klient odosiela.
HTTPS – poskytuje kanál pre server. Klient prijme a overí certifikát servera.
autentický typ— Vyberte si z nasledujúcich typov autentifikácie:
žiadne— Nevyžaduje sa žiadna ďalšia autentifikácia.
Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.
Základné— Používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.
Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.
Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.
Digest– Používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.
Dostupné, iba ak vyberiete HTTPS ako protokol proxy.
Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.
Príklad uzlov na zabezpečenie hybridných dát a proxy
Tento diagram ukazuje príklad spojenia medzi Hybrid Data Security, sieťou a proxy. Pre možnosti transparentnej kontroly a explicitnej kontroly HTTPS proxy musí byť na serveri proxy aj na uzloch Hybrid Data Security nainštalovaný rovnaký koreňový certifikát.
Blokovaný režim externého rozlíšenia DNS (explicitné konfigurácie proxy)
Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. V nasadeniach s explicitnými konfiguráciami proxy, ktoré neumožňujú externé rozlíšenie DNS pre interných klientov, ak uzol nemôže dotazovať servery DNS, automaticky prejde do režimu blokovaného externého riešenia DNS. V tomto režime môže pokračovať registrácia uzla a ďalšie testy pripojenia proxy.
Požiadavky na hybridnú bezpečnosť dát
Požiadavky na licenciu Cisco Webex
Nasadenie Hybrid Data Security:
Musíte mať balík Pro Pack pre Cisco Webex Control Hub. (Pozri https://www.cisco.com/go/pro-pack.)
Požiadavky na plochu Docker
Pred inštaláciou uzlov HDS potrebujete Docker Desktop na spustenie inštalačného programu. Docker nedávno aktualizoval svoj licenčný model. Vaša organizácia môže vyžadovať platené predplatné pre Docker Desktop. Podrobnosti nájdete v blogovom príspevku Docker, " Docker aktualizuje a rozširuje naše predplatné produktov".
Požiadavky na certifikát X.509
Certifikačný reťazec musí spĺňať nasledujúce požiadavky:
Požiadavka | Podrobnosti |
---|---|
| V predvolenom nastavení dôverujeme CA v zozname Mozilly (s výnimkou WoSign a StartCom) na https://wiki.mozilla.org/CA:IncludedCAs. |
| CN nemusí byť dosiahnuteľné alebo živého hostiteľa. Odporúčame vám použiť názov, ktorý odráža vašu organizáciu, napr. KN nesmie obsahovať * (zástupný znak). CN sa používa na overenie uzlov Hybrid Data Security pre klientov Webex App. Všetky uzly Hybrid Data Security vo vašom klastri používajú rovnaký certifikát. Váš KMS sa identifikuje pomocou domény CN, nie akejkoľvek domény, ktorá je definovaná v poliach x.509v3 SAN. Po zaregistrovaní uzla s týmto certifikátom nepodporujeme zmenu názvu domény CN. Vyberte doménu, ktorá sa môže vzťahovať na skúšobné aj produkčné nasadenie. |
| Softvér KMS nepodporuje podpisy SHA1 na overenie pripojení k KMS iných organizácií. |
| Na zmenu formátu certifikátu môžete použiť konvertor, ako je OpenSSL. Pri spustení nástroja HDS Setup Tool budete musieť zadať heslo. |
Softvér KMS nevynucuje používanie kľúčov ani rozšírené obmedzenia používania kľúčov. Niektoré certifikačné autority vyžadujú, aby sa na každý certifikát aplikovali rozšírené obmedzenia používania kľúčov, ako je autentifikácia servera. Je v poriadku použiť overenie servera alebo iné nastavenia.
Požiadavky na virtuálny hostiteľ
Virtuálni hostitelia, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri, majú nasledujúce požiadavky:
Aspoň dvaja oddelení hostitelia (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre
VMware ESXi 6.5 (alebo novší) nainštalovaný a spustený.
Ak máte staršiu verziu ESXi, musíte vykonať inováciu.
Minimálne 4 vCPU, 8 GB hlavnej pamäte, 30 GB miesta na lokálnom pevnom disku na server
Požiadavky na databázový server
Vytvorte novú databázu pre uloženie kľúčov. Nepoužívajte predvolenú databázu. Aplikácie HDS, keď sú nainštalované, vytvoria schému databázy. |
Pre databázový server sú dve možnosti. Požiadavky na každú z nich sú nasledovné:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložný priestor) | Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložný priestor) |
Softvér HDS momentálne inštaluje nasledujúce verzie ovládačov na komunikáciu s databázovým serverom:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres JDBC ovládač 42.2.5 | Ovládač SQL Server JDBC 4.6 Táto verzia ovládača podporuje SQL Server Always On ( Vždy v prípade zlyhania klastra a Vždy zapnuté skupiny dostupnosti). |
Dodatočné požiadavky na overenie systému Windows voči Microsoft SQL Server
Ak chcete, aby uzly HDS používali autentifikáciu systému Windows na získanie prístupu k vašej databáze úložiska kľúčov na serveri Microsoft SQL Server, potrebujete vo svojom prostredí nasledujúcu konfiguráciu:
HDS uzly, infraštruktúra Active Directory a MS SQL Server musia byť synchronizované s NTP.
Účet Windows, ktorý poskytnete uzlom HDS, musí mať prístup k databáze na čítanie/zápis.
Servery DNS, ktoré poskytujete uzlom HDS, musia byť schopné vyriešiť vaše Centrum distribúcie kľúčov (KDC).
Inštanciu databázy HDS môžete zaregistrovať na svojom serveri Microsoft SQL Server ako hlavný názov služby (SPN) vo vašom adresári Active Directory. Pozri Zaregistrujte hlavný názov služby pre pripojenia Kerberos.
Nástroj na nastavenie HDS, spúšťač HDS a miestne KMS musia na prístup k databáze kľúčov používať overenie systému Windows. Používajú podrobnosti z vašej konfigurácie ISO na vytvorenie SPN pri požadovaní prístupu s overením Kerberos.
Požiadavky na externé pripojenie
Nakonfigurujte svoj firewall tak, aby umožňoval nasledujúce pripojenie pre aplikácie HDS:
Aplikácia | Protokol | Port | Smer z App | Destinácia |
---|---|---|---|---|
Hybridné uzly zabezpečenia údajov | TCP | 443 | Odchádzajúce HTTPS a WSS |
|
Nástroj na nastavenie HDS | TCP | 443 | Odchádzajúce HTTPS |
|
Uzly Hybrid Data Security pracujú s prekladom sieťového prístupu (NAT) alebo za bránou firewall, pokiaľ NAT alebo brána firewall umožňuje požadované odchádzajúce pripojenia k destináciám domény v predchádzajúcej tabuľke. Pre pripojenia prichádzajúce do uzlov Hybrid Data Security by nemali byť z internetu viditeľné žiadne porty. V rámci vášho dátového centra potrebujú klienti prístup k uzlom Hybrid Data Security na portoch TCP 443 a 22 na administratívne účely. |
Adresy URL hostiteľov Common Identity (CI) sú špecifické pre daný región. Toto sú súčasní hostitelia CI:
región | Spoločné adresy URL hostiteľa identity |
---|---|
Ameriky |
|
Európska únia |
|
Kanada |
|
Požiadavky na proxy server
Oficiálne podporujeme nasledujúce proxy riešenia, ktoré sa dajú integrovať s vašimi uzlami Hybrid Data Security.
Transparentný proxy – Cisco Web Security Appliance (WSA).
Explicitný proxy-Squid.
Proxy serverov chobotnice, ktoré kontrolujú prenos HTTPS, môžu zasahovať do vytvorenia webovej zásuvky (wss:) spojenia. Ak chcete tento problém obísť, pozrite si Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát.
Pre explicitné servery proxy podporujeme nasledujúce kombinácie typov overenia:
Žiadna autentifikácia pomocou HTTP alebo HTTPS
Základná autentifikácia pomocou HTTP alebo HTTPS
Digest overenie iba s HTTPS
Pre transparentný kontrolný proxy server alebo explicitný proxy server HTTPS musíte mať kópiu koreňového certifikátu servera proxy. Pokyny na nasadenie v tejto príručke vám povedia, ako nahrať kópiu do dôveryhodných obchodov uzlov Hybrid Data Security.
Sieť, ktorá hostí uzly HDS, musí byť nakonfigurovaná tak, aby vynútila smerovanie odchádzajúcej prevádzky TCP na porte 443 cez server proxy.
Proxy, ktoré kontrolujú webovú prevádzku, môžu narúšať pripojenia webových soketov. Ak sa vyskytne tento problém, obíďte (nie kontrolujte) premávku na
wbx2.com
aciscospark.com
problém vyrieši.
Vyplňte Predpoklady pre hybridnú bezpečnosť údajov
1 | Uistite sa, že vaša organizácia Webex má povolený balík Pro Pack pre Cisco Webex Control Hub a získajte prihlasovacie údaje účtu s úplnými právami správcu organizácie. Ak potrebujete pomoc s týmto procesom, kontaktujte svojho partnera Cisco alebo account manažéra. | ||
2 | Vyberte názov domény pre svoje nasadenie HDS (napr. | ||
3 | Pripravte si identických virtuálnych hostiteľov, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri. Potrebujete aspoň dvoch samostatných hostiteľov (odporúčajú sa 3) umiestnených v rovnakom zabezpečenom dátovom centre, ktorí spĺňajú požiadavky v Požiadavky na virtuálny hostiteľ. | ||
4 | Pripravte databázový server, ktorý bude fungovať ako úložisko kľúčových údajov pre klaster, podľa Požiadavky na databázový server. Databázový server musí byť umiestnený v zabezpečenom údajovom centre spolu s virtuálnymi hostiteľmi. | ||
5 | Pre rýchlu obnovu po havárii nastavte zálohovacie prostredie v inom dátovom centre. Zálohovacie prostredie odzrkadľuje produkčné prostredie VM a záložný databázový server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM. | ||
6 | Nastavte hostiteľa syslog na zhromažďovanie protokolov z uzlov v klastri. Získajte jeho sieťovú adresu a port syslog (predvolené je UDP 514). | ||
7 | Vytvorte politiku bezpečného zálohovania pre uzly Hybrid Data Security, databázový server a hostiteľa syslog. Aby ste predišli nenapraviteľnej strate údajov, musíte minimálne zálohovať databázu a konfiguračný súbor ISO vygenerovaný pre uzly Hybrid Data Security.
Klienti Webex App ukladajú svoje kľúče do vyrovnávacej pamäte, takže výpadok nemusí byť okamžite viditeľný, ale časom sa prejaví. Zatiaľ čo dočasným výpadkom nie je možné zabrániť, sú obnoviteľné. Úplná strata (nie sú k dispozícii žiadne zálohy) databázy alebo konfiguračného ISO súboru však bude mať za následok neobnoviteľné zákaznícke údaje. Od operátorov uzlov Hybrid Data Security sa očakáva, že budú pravidelne zálohovať databázu a konfiguračný ISO súbor a budú pripravení na prestavbu dátového centra Hybrid Data Security, ak dôjde ku katastrofálnej poruche. | ||
8 | Uistite sa, že vaša konfigurácia brány firewall umožňuje pripojenie pre vaše uzly Hybrid Data Security, ako je uvedené v Požiadavky na externé pripojenie. | ||
9 | Nainštalujte Docker ( https://www.docker.com) na akomkoľvek lokálnom počítači s podporovaným operačným systémom (Microsoft Windows 10 Professional alebo Enterprise 64-bit, alebo Mac OSX Yosemite 10.10.3 alebo novší) s webovým prehliadačom, ktorý k nemu môže pristupovať na http://127.0.0.1:8080. Inštanciu Docker použijete na stiahnutie a spustenie nástroja HDS Setup Tool, ktorý vytvorí informácie o lokálnej konfigurácii pre všetky uzly Hybrid Data Security. Vaša organizácia môže potrebovať licenciu Docker Desktop. Pozri Požiadavky na plochu Docker Pre viac informácií. Ak chcete nainštalovať a spustiť nástroj HDS Setup Tool, lokálny počítač musí mať konektivitu uvedenú v Požiadavky na externé pripojenie. | ||
10 | Ak integrujete proxy s Hybrid Data Security, uistite sa, že spĺňa Požiadavky na proxy server. | ||
11 | Ak vaša organizácia používa synchronizáciu adresárov, vytvorte skupinu v Active Directory s názvom
|
Tok úloh nasadenia zabezpečenia hybridných údajov
Predtým ako začneš
1 | Stiahnite si inštalačné súbory Stiahnite si súbor OVA na váš lokálny počítač pre neskoršie použitie. | ||
2 | Vytvorte ISO konfigurácie pre hostiteľov HDS Pomocou nástroja HDS Setup Tool vytvorte konfiguračný súbor ISO pre uzly Hybrid Data Security. | ||
3 |
Vytvorte virtuálny počítač zo súboru OVA a vykonajte počiatočnú konfiguráciu, ako sú nastavenia siete.
| ||
4 | Nastavte virtuálny počítač Hybrid Data Security Prihláste sa do konzoly VM a nastavte prihlasovacie poverenia. Nakonfigurujte sieťové nastavenia pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA. | ||
5 | Nahrajte a pripojte ISO konfiguráciu HDS Nakonfigurujte VM z konfiguračného súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool. | ||
6 | Nakonfigurujte uzol HDS na integráciu proxy Ak sieťové prostredie vyžaduje konfiguráciu servera proxy, zadajte typ servera proxy, ktorý použijete pre uzol, a v prípade potreby pridajte certifikát servera proxy do dôveryhodného úložiska. | ||
7 | Zaregistrujte prvý uzol v klastri Zaregistrujte VM v cloude Cisco Webex ako uzol Hybrid Data Security. | ||
8 | Vytvorte a zaregistrujte viac uzlov Dokončite nastavenie klastra. | ||
9 | Spustite skúšobnú verziu a prejdite do výroby (ďalšia kapitola) Kým nezačnete skúšobnú verziu, vaše uzly generujú alarm oznamujúci, že vaša služba ešte nie je aktivovaná. |
Stiahnite si inštalačné súbory
1 | Prihláste sa do https://admin.webex.coma potom kliknite Služby. | ||||
2 | V časti Hybridné služby nájdite kartu Hybrid Data Security a potom kliknite Nastaviť. Ak je karta zakázaná alebo ju nevidíte, kontaktujte tím spravujúci váš účet alebo partnerskú organizáciu. Poskytnite im svoje číslo účtu a požiadajte, aby vašej organizácii umožnili Hybridné zabezpečenie dát. Ak chcete nájsť číslo účtu, kliknite na ozubené koliesko vpravo hore vedľa názvu organizácie.
| ||||
3 | Vyberte Nie na označenie, že ste ešte nenastavili uzol, a potom kliknite Ďalšie. Automaticky sa začne sťahovať súbor OVA. Uložte súbor na miesto v počítači.
| ||||
4 | Voliteľne kliknite Otvorte Sprievodcu nasadením a skontrolujte, či je k dispozícii novšia verzia tejto príručky. |
Vytvorte ISO konfigurácie pre hostiteľov HDS
Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.
Predtým ako začneš
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Control Hub s úplnými administrátorskými právami pre vašu organizáciu.
Ak nástroj HDS Setup beží za serverom proxy vo vašom prostredí, pri spúšťaní kontajnera Docker v kroku poskytnite nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker 5. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS Proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:
Databázové poverenia
Aktualizácie certifikátov
Zmeny v politike autorizácie
Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.
1 | Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie: V bežných prostrediach:
V prostrediach FedRAMP:
| ||||||||||||
2 | Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:
| ||||||||||||
3 | Pri výzve na zadanie hesla zadajte tento hash:
| ||||||||||||
4 | Stiahnite si najnovší stabilný obraz pre vaše prostredie: V bežných prostrediach:
V prostrediach FedRAMP:
| ||||||||||||
5 | Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:
Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“. | ||||||||||||
6 |
Pomocou webového prehliadača prejdite na localhost, Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie. | ||||||||||||
7 | Po zobrazení výzvy zadajte svoje prihlasovacie poverenia správcu zákazníka Control Hub a potom kliknite Prihlásiť sa na umožnenie prístupu k požadovaným službám pre Hybridnú bezpečnosť dát. | ||||||||||||
8 | Na stránke prehľadu nástroja Setup kliknite na Začať. | ||||||||||||
9 | Na ISO import stránku, máte tieto možnosti:
| ||||||||||||
10 | Skontrolujte, či váš certifikát X.509 spĺňa požiadavky v Požiadavky na certifikát X.509.
| ||||||||||||
11 | Zadajte databázovú adresu a účet pre HDS, aby ste získali prístup k vášmu úložisku kľúčových údajov: | ||||||||||||
12 | Vyberte a Režim pripojenia databázy TLS:
Keď nahráte koreňový certifikát (ak je to potrebné) a kliknite na ďalej, HDS Setup Tool otestuje TLS pripojenie k databázovému serveru. Nástroj tiež overuje podpisovateľa certifikátu a názov hostiteľa, ak je to potrebné. Ak test zlyhá, nástroj zobrazí chybové hlásenie popisujúce problém. Môžete si vybrať, či chcete chybu ignorovať a pokračovať v nastavovaní. (Vzhľadom na rozdiely v konektivite môžu byť uzly HDS schopné nadviazať pripojenie TLS, aj keď ho zariadenie HDS Setup Tool nedokáže úspešne otestovať.) | ||||||||||||
13 | Na stránke Systémové denníky nakonfigurujte svoj server Syslogd: | ||||||||||||
14 | (Voliteľné) Môžete zmeniť predvolenú hodnotu pre niektoré parametre pripojenia k databáze v Pokročilé nastavenia. Vo všeobecnosti je tento parameter jediný, ktorý možno budete chcieť zmeniť:
| ||||||||||||
15 | Kliknite ďalej na Obnovte heslo servisných účtov obrazovke. Heslá k servisným účtom majú životnosť deväť mesiacov. Túto obrazovku použite, keď sa blíži koniec platnosti vašich hesiel alebo ich chcete resetovať, aby ste zrušili platnosť predchádzajúcich súborov ISO. | ||||||||||||
16 | Kliknite Stiahnite si súbor ISO. Uložte súbor na miesto, ktoré sa dá ľahko nájsť. | ||||||||||||
17 | Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. | ||||||||||||
18 | Ak chcete vypnúť nástroj Setup, zadajte |
Čo urobiť ďalej
Zálohujte konfiguračný súbor ISO. Potrebujete ho na vytvorenie ďalších uzlov na obnovu alebo na vykonanie zmien v konfigurácii. Ak stratíte všetky kópie súboru ISO, stratili ste aj hlavný kľúč. Obnovenie kľúčov z databázy PostgreSQL alebo Microsoft SQL Server nie je možné.
Nikdy nemáme kópiu tohto kľúča a nemôžeme vám pomôcť, ak ho stratíte. |
Nainštalujte HDS Host OVA
1 | Na prihlásenie do virtuálneho hostiteľa ESXi použite klienta VMware vSphere na vašom počítači. | ||||||
2 | Vyberte Súbor > Nasadiť šablónu OVF. | ||||||
3 | V sprievodcovi zadajte umiestnenie súboru OVA, ktorý ste si stiahli skôr, a potom kliknite Ďalšie . | ||||||
4 | Na Vyberte názov a priečinok stránku, zadajte a Názov virtuálneho počítača pre uzol (napríklad „HDS_Node_1"), vyberte umiestnenie, kde sa môže nachádzať nasadenie uzla virtuálneho počítača, a potom kliknite Ďalšie . | ||||||
5 | Na Vyberte výpočtový zdroj vyberte cieľový výpočtový zdroj a potom kliknite Ďalšie . Prebehne overovacia kontrola. Po dokončení sa zobrazia podrobnosti šablóny. | ||||||
6 | Overte podrobnosti šablóny a potom kliknite Ďalšie. | ||||||
7 | Ak sa zobrazí výzva na výber konfigurácie prostriedkov na Konfigurácia stránku, kliknite 4 CPU a potom kliknite Ďalšie . | ||||||
8 | Na Vyberte úložisko stránku, kliknite Ďalšie akceptovať predvolený formát disku a politiku úložiska VM. | ||||||
9 | Na Vyberte siete vyberte sieťovú možnosť zo zoznamu položiek, aby ste poskytli požadované pripojenie k VM. | ||||||
10 | Na Prispôsobiť šablónu nakonfigurujte nasledujúce nastavenia siete:
Ak chcete, môžete preskočiť konfiguráciu nastavenia siete a postupovať podľa krokov v Nastavte virtuálny počítač Hybrid Data Security na konfiguráciu nastavení z konzoly uzla.
| ||||||
11 | Kliknite pravým tlačidlom myši na uzol VM a potom vyberte .Softvér Hybrid Data Security je nainštalovaný ako hosť na hostiteľovi VM. Teraz ste pripravení prihlásiť sa do konzoly a nakonfigurovať uzol. Tipy na riešenie problémov Môžete zaznamenať oneskorenie niekoľkých minút, kým sa kontajnery uzlov objavia. Počas prvého spustenia, počas ktorého sa nemôžete prihlásiť, sa na konzole zobrazí správa brány firewall mosta. |
Nastavte virtuálny počítač Hybrid Data Security
Tento postup použite na prvé prihlásenie do konzoly VM uzla Hybrid Data Security a nastavenie prihlasovacích poverení. Konzolu môžete použiť aj na konfiguráciu sieťových nastavení pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.
1 | V klientovi VMware vSphere vyberte svoj uzol Hybrid Data Security VM a vyberte Konzola tab. VM sa spustí a zobrazí sa výzva na prihlásenie. Ak sa výzva na prihlásenie nezobrazí, stlačte Zadajte.
|
2 | Na prihlásenie a zmenu poverení použite nasledujúce predvolené prihlasovacie meno a heslo: Keďže sa do svojho VM prihlasujete prvýkrát, musíte zmeniť heslo správcu. |
3 | Ak ste už nakonfigurovali nastavenia siete v Nainštalujte HDS Host OVA, preskočte zvyšok tohto postupu. V opačnom prípade vyberte v hlavnom menu položku Upraviť konfiguráciu možnosť. |
4 | Nastavte statickú konfiguráciu s IP adresou, maskou, bránou a informáciami DNS. Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované. |
5 | (Voliteľné) Zmeňte názov hostiteľa, doménu alebo server(y) NTP, ak je to potrebné, aby zodpovedali zásadám vašej siete. Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509. |
6 | Uložte konfiguráciu siete a reštartujte VM, aby sa zmeny prejavili. |
Nahrajte a pripojte ISO konfiguráciu HDS
Predtým ako začneš
Pretože súbor ISO obsahuje hlavný kľúč, mal by byť zverejnený iba na základe „potreby vedieť“, aby k nemu mali prístup virtuálne počítače s hybridným zabezpečením údajov a všetci správcovia, ktorí môžu potrebovať vykonať zmeny. Uistite sa, že k úložisku údajov majú prístup iba títo správcovia.
1 | Nahrajte súbor ISO z počítača: |
2 | Pripojte súbor ISO: |
Čo urobiť ďalej
Ak to vyžaduje vaša politika IT, môžete voliteľne odpojiť súbor ISO po tom, čo všetky vaše uzly prevezmú zmeny konfigurácie. Pozri (Voliteľné) Odpojte ISO po konfigurácii HDS pre podrobnosti.
Nakonfigurujte uzol HDS na integráciu proxy
Ak sieťové prostredie vyžaduje server proxy, použite tento postup na určenie typu servera proxy, s ktorým sa chcete integrovať Hybridná bezpečnosť dát. Ak si vyberiete transparentný kontrolný proxy server alebo explicitný proxy server HTTPS, môžete použiť rozhranie uzla na nahranie a inštaláciu koreňového certifikátu. Môžete tiež skontrolovať pripojenie proxy z rozhrania a vyriešiť prípadné problémy.
Predtým ako začneš
Pozri Podpora proxy pre prehľad podporovaných možností proxy.
1 | Zadajte adresu URL nastavenia uzla HDS |
2 | Ísť do Trust Store a proxya potom vyberte možnosť:
Postupujte podľa nasledujúcich krokov pre transparentný kontrolný proxy server, explicitný proxy server HTTP so základným overením alebo explicitný proxy HTTPS. |
3 | Kliknite Nahrajte koreňový certifikát alebo certifikát koncovej entitya potom prejdite na výber koreňového certifikátu pre server proxy. Certifikát je nahraný, ale ešte nie je nainštalovaný, pretože na inštaláciu certifikátu musíte reštartovať uzol. Kliknutím na šípku v tvare šípky vedľa názvu vydavateľa certifikátu získate ďalšie podrobnosti alebo kliknite Odstrániť ak ste urobili chybu a chcete súbor znova nahrať. |
4 | Kliknite Skontrolujte pripojenie proxy na testovanie sieťového pripojenia medzi uzlom a proxy. Ak test pripojenia zlyhá, zobrazí sa chybové hlásenie, ktoré uvádza dôvod a spôsob, ako môžete problém vyriešiť. Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS. Tento stav sa očakáva v mnohých explicitných konfiguráciách proxy. Môžete pokračovať v nastavovaní a uzol bude fungovať v režime zablokovaného externého rozlíšenia DNS. Ak si myslíte, že ide o chybu, vykonajte tieto kroky a potom uvidíte Vypnite režim zablokovaného externého rozlíšenia DNS. |
5 | Po úspešnom teste pripojenia zapnite prepínač v prípade explicitného servera proxy nastaveného iba na https Smerujte všetky požiadavky https z tohto uzla na port 443/444 cez explicitný proxy server. Toto nastavenie sa prejaví po 15 sekundách. |
6 | Kliknite Nainštalujte všetky certifikáty do dôveryhodného úložiska (zobrazí sa pri explicitnom HTTPS proxy alebo transparentnom kontrolnom proxy serveri) alebo Reštartovať (zobrazí sa pri explicitnom serveri proxy HTTP), prečítajte si výzvu a potom kliknite Inštalácia ak si pripravený. Uzol sa reštartuje v priebehu niekoľkých minút. |
7 | Po reštartovaní uzla sa v prípade potreby znova prihláste a potom otvorte Prehľad stránku a skontrolujte kontroly pripojenia, aby ste sa uistili, že sú všetky v zelenom stave. Kontrola pripojenia proxy testuje iba subdoménu webex.com. Ak sa vyskytnú problémy s pripojením, bežným problémom je, že niektoré z cloudových domén uvedených v pokynoch na inštaláciu sú na serveri proxy blokované. |
Zaregistrujte prvý uzol v klastri
Keď zaregistrujete svoj prvý uzol, vytvoríte klaster, ku ktorému je uzol priradený. Klaster obsahuje jeden alebo viac uzlov nasadených na zabezpečenie redundancie.
Predtým ako začneš
Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.
Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.
1 | Prihláste sa do https://admin.webex.com. |
2 | V ponuke na ľavej strane obrazovky vyberte položku Služby. |
3 | V sekcii Hybridné služby nájdite Hybridné zabezpečenie dát a kliknite Nastaviť. Zobrazí sa stránka Register Hybrid Data Security Node.
|
4 | Vyberte Áno na označenie, že ste uzol nastavili a ste pripravení ho zaregistrovať, a potom kliknite Ďalšie. |
5 | Do prvého poľa zadajte názov klastra, ku ktorému chcete priradiť váš uzol Hybrid Data Security. Odporúčame pomenovať klaster podľa toho, kde sa geograficky nachádzajú uzly klastra. Príklady: „San Francisco“ alebo „New York“ alebo „Dallas“ |
6 | Do druhého poľa zadajte internú IP adresu alebo úplný názov domény (FQDN) vášho uzla a kliknite Ďalšie. Táto adresa IP alebo FQDN by sa mala zhodovať s adresou IP alebo názvom hostiteľa a doménou, ktorú ste použili Nastavte virtuálny počítač Hybrid Data Security. Zobrazí sa správa, že môžete zaregistrovať svoj uzol do Webexu.
|
7 | Kliknite Prejdite na Node. |
8 | Kliknite ďalej vo varovnej správe. Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že svojej organizácii Webex chcete udeliť povolenia na prístup k vášmu uzlu.
|
9 | Skontrolovať Povoľte prístup k svojmu uzlu zabezpečenia hybridných údajov začiarknite políčko a potom kliknite na ďalej. Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
|
10 | Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Hybrid Data Security Control Hub. Na Hybridná bezpečnosť dát sa zobrazí nový klaster obsahujúci uzol, ktorý ste zaregistrovali. Uzol si automaticky stiahne najnovší softvér z cloudu.
|
Vytvorte a zaregistrujte viac uzlov
V súčasnosti sú záložné virtuálne počítače, ktoré ste vytvorili Vyplňte Predpoklady pre hybridnú bezpečnosť údajov sú pohotovostní hostitelia, ktorí sa používajú iba v prípade obnovy po havárii; dovtedy nie sú registrovaní v systéme. Podrobnosti nájdete v časti Obnova po havárii pomocou pohotovostného dátového centra. |
Predtým ako začneš
Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.
Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.
1 | Vytvorte nový virtuálny počítač z OVA zopakovaním krokov Nainštalujte HDS Host OVA. |
2 | Nastavte počiatočnú konfiguráciu na novom VM zopakovaním krokov v Nastavte virtuálny počítač Hybrid Data Security. |
3 | Na novom virtuálnom počítači zopakujte kroky v Nahrajte a pripojte ISO konfiguráciu HDS. |
4 | Ak nastavujete server proxy pre svoje nasadenie, zopakujte kroky v Nakonfigurujte uzol HDS na integráciu proxy podľa potreby pre nový uzol. |
5 | Zaregistrujte uzol. Váš uzol je zaregistrovaný. Upozorňujeme, že kým nezačnete skúšobnú verziu, vaše uzly generujú alarm, ktorý oznamuje, že vaša služba ešte nie je aktivovaná.
|
Čo urobiť ďalej
Skúšobný postup produkčných úloh
Po nastavení klastra Hybrid Data Security môžete spustiť pilotný test, pridať doň používateľov a začať ho používať na testovanie a overovanie vášho nasadenia v rámci prípravy na prechod do produkcie.
Predtým ako začneš
1 | V prípade potreby synchronizujte Ak vaša organizácia používa synchronizáciu adresárov pre používateľov, musíte vybrať |
2 |
Začnite skúšobnú verziu. Kým nevykonáte túto úlohu, vaše uzly generujú alarm, ktorý oznamuje, že služba ešte nie je aktivovaná. |
3 | Otestujte svoje nasadenie hybridného zabezpečenia dát Skontrolujte, či kľúčové požiadavky prechádzajú do vášho nasadenia Hybrid Data Security. |
4 | Monitorujte zdravie Hybrid Data Security Health Skontrolujte stav a nastavte e-mailové upozornenia na budíky. |
5 | Pridajte alebo odstráňte používateľov z vašej skúšobnej verzie |
6 | Dokončite skúšobnú fázu jedným z nasledujúcich krokov: |
Aktivovať skúšobnú verziu
Predtým ako začneš
Ak vaša organizácia používa synchronizáciu adresárov pre používateľov, musíte vybrať HdsTrialGroup
skupinový objekt na synchronizáciu do cloudu predtým, ako začnete skúšobnú verziu pre vašu organizáciu. Pokyny nájdete na Sprievodca nasadením pre Cisco Directory Connector.
1 | Prihláste sa do https://admin.webex.coma potom vyberte Služby. |
2 | V časti Hybrid Data Security kliknite na nastavenie. |
3 | V časti Stav služby kliknite na Spustiť skúšku. Stav služby sa zmení na skúšobný režim.
|
4 | Kliknite Pridať používateľov a zadajte e-mailovú adresu jedného alebo viacerých používateľov na pilotné používanie vašich uzlov Hybrid Data Security na šifrovacie a indexovacie služby. (Ak vaša organizácia používa synchronizáciu adresárov, na správu skúšobnej skupiny použite službu Active Directory, |
Otestujte svoje nasadenie hybridného zabezpečenia dát
Predtým ako začneš
Nastavte nasadenie Hybrid Data Security.
Aktivujte skúšobnú verziu a pridajte niekoľko používateľov skúšobnej verzie.
Uistite sa, že máte prístup k syslog, aby ste si overili, že kľúčové požiadavky prechádzajú do vášho nasadenia Hybrid Data Security.
1 | Kľúče pre daný priestor nastavuje tvorca priestoru. Prihláste sa do aplikácie Webex ako jeden z pilotných používateľov a potom vytvorte priestor a pozvite aspoň jedného pilotného používateľa a jedného nepilotného používateľa.
| ||
2 | Posielajte správy do nového priestoru. | ||
3 | Skontrolujte výstup syslog, aby ste si overili, že požiadavky na kľúče prechádzajú do vášho nasadenia Hybrid Data Security. |
Monitorujte zdravie Hybrid Data Security Health
1 | In Control Hub, vyberte Služby z ponuky na ľavej strane obrazovky. |
2 | V sekcii Hybridné služby nájdite Hybridné zabezpečenie dát a kliknite nastavenie. Zobrazí sa stránka Hybrid Data Security Settings.
|
3 | V časti E-mailové upozornenia zadajte jednu alebo viac e-mailových adries oddelených čiarkami a stlačte Zadajte. |
Pridajte alebo odstráňte používateľov z vašej skúšobnej verzie
Ak odstránite používateľa zo skúšobnej verzie, klient tohto používateľa bude namiesto vášho KMS požadovať kľúče a vytvorenie kľúča z cloudového KMS. Ak klient potrebuje kľúč, ktorý je uložený vo vašom KMS, cloudový KMS ho načíta v mene používateľa.
Ak vaša organizácia používa synchronizáciu adresárov, použite Active Directory (namiesto tohto postupu) na správu skúšobnej skupiny, HdsTrialGroup
; členov skupiny môžete zobraziť v Control Hub, ale nemôžete ich pridávať ani odstraňovať.
1 | Prihláste sa do Control Hub a potom vyberte Služby. |
2 | V časti Hybrid Data Security kliknite na nastavenie. |
3 | V časti Skúšobný režim v oblasti Stav služby kliknite na Pridať používateľov, alebo kliknite zobraziť a upraviť na odstránenie používateľov zo skúšobnej verzie. |
4 | Zadajte e-mailovú adresu jedného alebo viacerých používateľov, ktorých chcete pridať, alebo kliknite na X pomocou ID používateľa na odstránenie používateľa zo skúšobnej verzie. Potom kliknite Uložiť. |
Presuňte sa zo skúšobnej do produkčnej verzie
1 | Prihláste sa do Control Hub a potom vyberte Služby. |
2 | V časti Hybrid Data Security kliknite na nastavenie. |
3 | V časti Stav služby kliknite na Presunúť do výroby. |
4 | Potvrďte, že chcete presunúť všetkých svojich používateľov do produkcie. |
Ukončite skúšobnú verziu bez presunu do výroby
1 | Prihláste sa do Control Hub a potom vyberte Služby. |
2 | V časti Hybrid Data Security kliknite na nastavenie. |
3 | V časti Deaktivovať kliknite na Deaktivovať. |
4 | Potvrďte, že chcete službu deaktivovať a ukončiť skúšobnú verziu. |
Spravujte nasadenie HDS
Pomocou tu popísaných úloh spravujte svoje nasadenie Hybrid Data Security.
Nastavte plán aktualizácie klastra
Ak chcete nastaviť plán aktualizácie:
1 | Prihláste sa do Control Hub. |
2 | Na stránke Prehľad v časti Hybridné služby vyberte Hybridná bezpečnosť dát. |
3 | Na stránke Hybrid Data Security Resources vyberte klaster. |
4 | Na paneli Prehľad vpravo v časti Nastavenia klastra vyberte názov klastra. |
5 | Na stránke Nastavenia v časti Aktualizácia vyberte čas a časové pásmo pre plán inovácie. Poznámka: Pod časovým pásmom sa zobrazí dátum a čas ďalšej dostupnej aktualizácie. Kliknutím na tlačidlo môžete v prípade potreby odložiť aktualizáciu na nasledujúci deň Odložiť. |
Zmeňte konfiguráciu uzla
Zmena x.509 certifikátov z dôvodu uplynutia platnosti alebo iných dôvodov.
Nepodporujeme zmenu názvu domény CN certifikátu. Doména sa musí zhodovať s pôvodnou doménou použitou na registráciu klastra.
Aktualizácia nastavení databázy pre zmenu na repliku databázy PostgreSQL alebo Microsoft SQL Server.
Nepodporujeme migráciu údajov z PostgreSQL na Microsoft SQL Server alebo opačným spôsobom. Ak chcete zmeniť prostredie databázy, spustite nové nasadenie Hybrid Data Security.
Vytvorenie novej konfigurácie na prípravu nového dátového centra.
Z bezpečnostných dôvodov používa Hybrid Data Security heslá servisných účtov, ktoré majú životnosť deväť mesiacov. Keď nástroj HDS Setup vygeneruje tieto heslá, nasadíte ich do každého z vašich uzlov HDS v konfiguračnom súbore ISO. Keď sa blíži koniec platnosti hesiel vašej organizácie, dostanete od tímu Webex upozornenie na resetovanie hesla pre váš počítačový účet. (E-mail obsahuje text „Na aktualizáciu hesla použite rozhranie API strojového účtu.“) Ak platnosť vašich hesiel ešte nevypršala, nástroj vám ponúka dve možnosti:
Mäkký reset—Staré aj nové heslo fungujú až 10 dní. Toto obdobie použite na postupnú výmenu súboru ISO na uzloch.
Tvrdý reštart—Staré heslá okamžite prestanú fungovať.
Ak platnosť vašich hesiel vyprší bez resetovania, ovplyvní to vašu službu HDS, čo si vyžaduje okamžitý tvrdý reset a nahradenie súboru ISO na všetkých uzloch.
Tento postup použite na vygenerovanie nového konfiguračného súboru ISO a jeho použitie vo vašom klastri.
Predtým ako začneš
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Control Hub s úplnými administrátorskými právami pre vašu organizáciu.
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker zadajte nastavenia proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker 1.e. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS Proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Na vygenerovanie novej konfigurácie potrebujete kópiu aktuálneho konfiguračného súboru ISO. ISO obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. ISO potrebujete, keď robíte zmeny v konfigurácii vrátane poverení databázy, aktualizácií certifikátov alebo zmien v politike autorizácie.
1 | Pomocou Docker na lokálnom počítači spustite nástroj HDS Setup Tool. |
2 | Ak máte spustený iba jeden uzol HDS, vytvorte nový VM uzla Hybrid Data Security a zaregistrujte ho pomocou nového konfiguračného súboru ISO. Podrobnejšie pokyny nájdete v časti Vytvorte a zaregistrujte viac uzlov. |
3 | Pre existujúce uzly HDS, na ktorých je spustený starší konfiguračný súbor, pripojte súbor ISO. Postupne vykonajte nasledujúci postup na každom uzle, pričom aktualizujte každý uzol pred vypnutím ďalšieho uzla: |
4 | Opakujte krok 3, aby ste nahradili konfiguráciu na každom zostávajúcom uzle, na ktorom je spustená stará konfigurácia. |
Vypnite režim zablokovaného externého rozlíšenia DNS
Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. Ak server DNS uzla nedokáže rozlíšiť verejné názvy DNS, uzol automaticky prejde do režimu zablokovaného externého rozlíšenia DNS.
Ak vaše uzly dokážu rozlíšiť verejné názvy DNS prostredníctvom interných serverov DNS, môžete tento režim vypnúť opätovným spustením testu pripojenia proxy na každom uzle.
Predtým ako začneš
1 | Vo webovom prehliadači otvorte rozhranie uzla Hybrid Data Security (IP adresa/nastavenie, napr. https://192.0.2.0/setup), zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite Prihlásiť sa. |
2 | Ísť do Prehľad (predvolená stránka). Keď je povolené, Zablokované externé rozlíšenie DNS je nastavený na Áno. |
3 | Choďte na Trust Store a proxy stránku. |
4 | Kliknite Skontrolujte pripojenie proxy. Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS a zostane v tomto režime. V opačnom prípade po reštartovaní uzla a návrate do Prehľad na stránke Blocked External DNS Resolution by mala byť nastavená na no. |
Čo urobiť ďalej
Odstráňte uzol
1 | Pomocou klienta VMware vSphere vo svojom počítači sa prihláste do virtuálneho hostiteľa ESXi a vypnite virtuálny počítač. |
2 | Odstráňte uzol: |
3 | V klientovi vSphere odstráňte VM. (Na ľavom navigačnom paneli kliknite pravým tlačidlom myši na VM a kliknite na Odstrániť.) Ak nevymažete VM, nezabudnite odpojiť konfiguračný súbor ISO. Bez súboru ISO nemôžete použiť VM na prístup k bezpečnostným údajom. |
Obnova po havárii pomocou pohotovostného dátového centra
Najdôležitejšou službou, ktorú váš klaster Hybrid Data Security poskytuje, je vytváranie a ukladanie kľúčov používaných na šifrovanie správ a iného obsahu uloženého v cloude Webex. Pre každého používateľa v rámci organizácie, ktorý je priradený k Hybrid Data Security, sú do klastra smerované nové požiadavky na vytvorenie kľúča. Klaster je tiež zodpovedný za vrátenie kľúčov, ktoré vytvoril, všetkým používateľom oprávneným na ich získanie, napríklad členom konverzačného priestoru.
Pretože klaster vykonáva kritickú funkciu poskytovania týchto kľúčov, je nevyhnutné, aby klaster zostal spustený a aby boli udržiavané správne zálohy. Strata databázy Hybrid Data Security alebo konfigurácie ISO použitej pre schému bude mať za následok NENÁVRATNÚ STRATU zákazníckeho obsahu. Aby sa predišlo takejto strate, sú povinné nasledujúce postupy:
Ak havária spôsobí, že nasadenie HDS v primárnom dátovom centre sa stane nedostupným, podľa tohto postupu manuálne prepnite na pohotovostné dátové centrum.
1 | Spustite nástroj HDS Setup a postupujte podľa krokov uvedených v Vytvorte ISO konfigurácie pre hostiteľov HDS. | ||
2 | Po nakonfigurovaní servera Syslogd kliknite na Pokročilé nastavenia | ||
3 | Na Pokročilé nastavenia pridajte konfiguráciu nižšie alebo odstráňte
| ||
4 | Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť. | ||
5 | Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. | ||
6 | V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na VM a kliknite Upraviť nastavenia.. | ||
7 | Kliknite Upraviť nastavenia >CD/DVD mechanika 1 a vyberte Datastore ISO File.
| ||
8 | Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy. | ||
9 | Opakujte proces pre každý uzol v pohotovostnom dátovom centre.
|
Čo urobiť ďalej
(Voliteľné) Odpojte ISO po konfigurácii HDS
Štandardná konfigurácia HDS beží s namontovaným ISO. Niektorí zákazníci však uprednostňujú neponechať súbory ISO nepretržite pripojené. Súbor ISO môžete odpojiť potom, čo všetky uzly HDS prevezmú novú konfiguráciu.
Na vykonanie zmien v konfigurácii stále používate súbory ISO. Keď vytvoríte nový ISO alebo aktualizujete ISO pomocou nástroja Setup Tool, musíte aktualizovaný ISO pripojiť na všetky vaše uzly HDS. Keď všetky vaše uzly zachytia zmeny konfigurácie, môžete ISO znova odpojiť pomocou tohto postupu.
Predtým ako začneš
Inovujte všetky svoje uzly HDS na verziu 2021.01.22.4720 alebo novšiu.
1 | Vypnite jeden z uzlov HDS. |
2 | V serverovom zariadení vCenter vyberte uzol HDS. |
3 | Vyberte si Súbor ISO úložiska údajov. a zrušte začiarknutie |
4 | Zapnite uzol HDS a uistite sa, že aspoň 20 minút nie sú žiadne alarmy. |
5 | Postup opakujte pre každý uzol HDS. |
Zobraziť upozornenia a riešenie problémov
Nasadenie Hybrid Data Security sa považuje za nedostupné, ak sú všetky uzly v klastri nedostupné alebo klaster pracuje tak pomaly, že si vyžaduje časový limit. Ak používatelia nemôžu dosiahnuť váš klaster Hybrid Data Security, zaznamenajú nasledujúce príznaky:
Nie je možné vytvoriť nové medzery (nemožno vytvoriť nové kľúče)
Správy a názvy priestorov sa nepodarilo dešifrovať pre:
Noví používatelia pridaní do priestoru (nemožno načítať kľúče)
Existujúci používatelia v priestore používajúci nového klienta (nemožno načítať kľúče)
Existujúci používatelia v priestore budú naďalej úspešne fungovať, pokiaľ budú mať ich klienti vyrovnávaciu pamäť šifrovacích kľúčov
Je dôležité, aby ste správne monitorovali svoj klaster Hybrid Data Security a okamžite riešili všetky výstrahy, aby ste predišli prerušeniu služby.
Upozornenia
Ak sa vyskytne problém s nastavením Hybrid Data Security, Control Hub zobrazí upozornenia správcovi organizácie a odošle e-maily na nakonfigurovanú e-mailovú adresu. Výstrahy pokrývajú mnoho bežných scenárov.
Upozornenie | Akcia |
---|---|
Zlyhanie prístupu k lokálnej databáze. |
Skontrolujte chyby databázy alebo problémy s lokálnou sieťou. |
Zlyhanie pripojenia k lokálnej databáze. |
Skontrolujte, či je databázový server dostupný a či boli v konfigurácii uzla použité správne poverenia servisného účtu. |
Zlyhanie prístupu k cloudovej službe. |
Skontrolujte, či majú uzly prístup k serverom Webex, ako je uvedené v Požiadavky na externé pripojenie. |
Obnovuje sa registrácia cloudovej služby. |
Registrácia do cloudových služieb bola zrušená. Prebieha obnova registrácie. |
Registrácia cloudovej služby bola zrušená. |
Registrácia do cloudových služieb bola ukončená. Služba sa vypína. |
Služba ešte nie je aktivovaná. |
Aktivujte skúšobnú verziu alebo dokončite presun skúšky do produkcie. |
Nakonfigurovaná doména sa nezhoduje s certifikátom servera. |
Uistite sa, že váš certifikát servera sa zhoduje s nakonfigurovanou doménou aktivácie služby. Najpravdepodobnejšou príčinou je, že certifikát CN bol nedávno zmenený a teraz sa líši od CN, ktorý bol použitý počas počiatočného nastavenia. |
Nepodarilo sa overiť v cloudových službách. |
Skontrolujte presnosť a možné vypršanie platnosti poverení servisného účtu. |
Nepodarilo sa otvoriť súbor lokálneho úložiska kľúčov. |
Skontrolujte integritu a presnosť hesla v lokálnom súbore skladu kľúčov. |
Certifikát lokálneho servera je neplatný. |
Skontrolujte dátum vypršania platnosti certifikátu servera a potvrďte, že bol vydaný dôveryhodnou certifikačnou autoritou. |
Nie je možné uverejniť metriky. |
Skontrolujte prístup k lokálnej sieti k externým cloudovým službám. |
Adresár /media/configdrive/hds neexistuje. |
Skontrolujte konfiguráciu pripojenia ISO na virtuálnom hostiteľovi. Overte, či súbor ISO existuje, či je nakonfigurovaný na pripojenie pri reštarte a či sa úspešne pripojí. |
Riešenie problémov so zabezpečením hybridných údajov
1 | Skontrolujte si v Control Hub všetky upozornenia a opravte všetky položky, ktoré tam nájdete. |
2 | Skontrolujte výstup servera syslog pre aktivitu z nasadenia Hybrid Data Security. |
3 | Kontakt Podpora Cisco. |
Známe problémy s hybridnou bezpečnosťou dát
Ak vypnete svoj klaster Hybrid Data Security (odstránením v Control Hub alebo vypnutím všetkých uzlov), stratíte svoj konfiguračný súbor ISO alebo stratíte prístup k databáze úložiska kľúčov, používatelia vašej aplikácie Webex App už nebudú môcť používať priestory pod svojimi ľuďmi. zoznam, ktorý bol vytvorený pomocou kľúčov z vášho KMS. Platí to pre skúšobné aj produkčné nasadenia. V súčasnosti nemáme riešenie ani opravu tohto problému a žiadame vás, aby ste nevypínali svoje služby HDS, keď budú spracovávať aktívne používateľské účty.
Klient, ktorý má existujúce pripojenie ECDH ku KMS, udržiava toto pripojenie určitý čas (pravdepodobne jednu hodinu). Keď sa používateľ stane členom skúšobnej verzie Hybrid Data Security, klient používateľa naďalej používa existujúce pripojenie ECDH, kým nevyprší časový limit. Prípadne sa používateľ môže odhlásiť a znova prihlásiť do aplikácie Webex App, aby aktualizoval umiestnenie, ktoré aplikácia kontaktuje pre šifrovacie kľúče.
Rovnaké správanie nastane, keď presuniete skúšobnú verziu do produkcie organizácie. Všetci neskúšobní používatelia s existujúcimi pripojeniami ECDH k predchádzajúcim službám zabezpečenia údajov budú tieto služby naďalej používať, kým sa znovu nedohodne pripojenie ECDH (prostredníctvom časového limitu alebo odhlásením a opätovným prihlásením).
Na vygenerovanie súboru PKCS12 použite OpenSSL
Predtým ako začneš
OpenSSL je jeden nástroj, ktorý možno použiť na vytvorenie súboru PKCS12 v správnom formáte na načítanie v nástroji HDS Setup Tool. Existujú aj iné spôsoby, ako to urobiť, a my nepodporujeme ani nepresadzujeme jeden spôsob oproti druhému.
Ak sa rozhodnete použiť OpenSSL, poskytujeme tento postup ako návod, ktorý vám pomôže vytvoriť súbor, ktorý spĺňa požiadavky certifikátu X.509 v Požiadavky na certifikát X.509. Než budete pokračovať, pochopte tieto požiadavky.
Nainštalujte OpenSSL v podporovanom prostredí. Pozri https://www.openssl.org pre softvér a dokumentáciu.
Vytvorte súkromný kľúč.
Tento postup začnite, keď dostanete certifikát servera od certifikačnej autority (CA).
1 | Keď dostanete certifikát servera od vašej CA, uložte ho ako |
2 | Zobrazte certifikát ako text a overte podrobnosti.
|
3 | Pomocou textového editora vytvorte súbor zväzku certifikátov s názvom
|
4 | Vytvorte súbor .p12 s popisným názvom
|
5 | Skontrolujte podrobnosti certifikátu servera. |
Čo urobiť ďalej
Návrat do Vyplňte Predpoklady pre hybridnú bezpečnosť údajov. Budete používať hdsnode.p12
súbor a heslo, ktoré ste preň nastavili Vytvorte ISO konfigurácie pre hostiteľov HDS.
Tieto súbory môžete znova použiť na vyžiadanie nového certifikátu, keď platnosť pôvodného certifikátu vyprší. |
Prevádzka medzi uzlami HDS a cloudom
Odchádzajúca návštevnosť zberu metrík
Uzly Hybrid Data Security odosielajú určité metriky do cloudu Webex. Patria sem systémové metriky pre maximálnu haldu, využitú haldu, zaťaženie procesora a počet vlákien; metriky na synchrónnych a asynchrónnych vláknach; metriky výstrah zahŕňajúce prah šifrovacích pripojení, latenciu alebo dĺžku frontu požiadaviek; metriky na dátovom úložisku; a metriky šifrovaného pripojenia. Uzly posielajú zašifrovaný kľúčový materiál cez kanál mimo pásma (oddelený od požiadavky).
Prichádzajúca premávka
Uzly Hybrid Data Security prijímajú nasledujúce typy prichádzajúcej prevádzky z cloudu Webex:
Šifrovacie požiadavky od klientov, ktoré sú smerované šifrovacou službou
Aktualizácie softvéru uzla
Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát
Websocket sa nemôže pripojiť cez Squid Proxy
Proxy serverov chobotnice, ktoré kontrolujú prenos HTTPS, môžu zasahovať do vytvorenia webovej zásuvky ( wss:
) pripojenia, ktoré vyžaduje Hybrid Data Security. Tieto časti poskytujú návod, ako nakonfigurovať rôzne verzie Squid na ignorovanie wss:
prevádzky pre správne fungovanie služieb.
Kalmáre 4 a 5
Pridajte on_unsupported_protocol
smernica k squid.conf
:
on_unsupported_protocol tunnel all
Kalmáre 3.5.27
Hybridnú bezpečnosť dát sme úspešne otestovali s nasledujúcimi pravidlami squid.conf
. Tieto pravidlá sa môžu meniť, pretože vyvíjame funkcie a aktualizujeme cloud Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Nové a zmenené informácie
Dátum | Vykonané zmeny | ||
---|---|---|---|
20. októbra 2023 |
| ||
7. augusta 2023 |
| ||
23. mája 2023 |
| ||
6. decembra 2022 |
| ||
23. novembra 2022 |
| ||
13. októbra 2021 | Pred inštaláciou uzlov HDS musí Docker Desktop spustiť inštalačný program. Pozri Požiadavky na plochu Docker. | ||
24. júna 2021 | Upozorňujeme, že súbor so súkromným kľúčom a CSR môžete znova použiť na vyžiadanie ďalšieho certifikátu. Pozri Na vygenerovanie súboru PKCS12 použite OpenSSL pre podrobnosti. | ||
30. apríla 2021 | Požiadavka VM na lokálny pevný disk sa zmenila na 30 GB. Pozri Požiadavky na virtuálny hostiteľ pre podrobnosti. | ||
24. februára 2021 | HDS Setup Tool teraz môže bežať za serverom proxy. Pozri Vytvorte ISO konfigurácie pre hostiteľov HDS pre podrobnosti. | ||
2. februára 2021 | HDS teraz môže bežať bez pripojeného súboru ISO. Pozri (Voliteľné) Odpojte ISO po konfigurácii HDS pre podrobnosti. | ||
11. januára 2021 | Pridané informácie o nástroji HDS Setup a proxy serveroch Vytvorte ISO konfigurácie pre hostiteľov HDS. | ||
13. októbra 2020 | Aktualizované Stiahnite si inštalačné súbory. | ||
8. októbra 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS a Zmeňte konfiguráciu uzla s príkazmi pre prostredia FedRAMP. | ||
14. augusta 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS a Zmeňte konfiguráciu uzla so zmenami v procese prihlasovania. | ||
5. augusta 2020 | Aktualizované Otestujte svoje nasadenie hybridného zabezpečenia dát pre zmeny v protokolových správach. Aktualizované Požiadavky na virtuálny hostiteľ na odstránenie maximálneho počtu hostiteľov. | ||
16. júna 2020 | Aktualizované Odstráňte uzol pre zmeny v používateľskom rozhraní Control Hub. | ||
4. júna 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS pre zmeny v rozšírených nastaveniach, ktoré môžete nastaviť. | ||
29. mája 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS ukázať, že TLS môžete použiť aj s databázami SQL Server, zmenami používateľského rozhrania a ďalšími vysvetleniami. | ||
5. mája 2020 | Aktualizované Požiadavky na virtuálny hostiteľ ukázať novú požiadavku ESXi 6.5. | ||
21. apríla 2020 | Aktualizované Požiadavky na externé pripojenie s novými hostiteľmi Americas CI. | ||
1. apríla 2020 | Aktualizované Požiadavky na externé pripojenie s informáciami o regionálnych hostiteľoch CI. | ||
20. februára 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS s informáciami o novej voliteľnej obrazovke rozšírených nastavení v nástroji HDS Setup Tool. | ||
4. februára 2020 | Aktualizované Požiadavky na proxy server. | ||
16. decembra 2019 | Objasnená požiadavka, aby fungoval režim zablokovaného externého rozlíšenia DNS Požiadavky na proxy server. | ||
19. novembra 2019 | Pridané informácie o režime zablokovaného externého rozlíšenia DNS v nasledujúcich častiach: | ||
8. novembra 2019 | Teraz môžete konfigurovať sieťové nastavenia pre uzol počas nasadzovania OVA a nie neskôr. Podľa toho aktualizovali nasledujúce sekcie:
| ||
6. septembra 2019 | Pridaný SQL Server Standard do Požiadavky na databázový server. | ||
29. augusta 2019 | Pridané Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát príloha s návodom na konfiguráciu proxy serverov Squid tak, aby ignorovali prevádzku websocket pre správnu činnosť. | ||
20. augusta 2019 | Pridané a aktualizované sekcie pokrývajúce podporu proxy pre komunikáciu uzlov Hybrid Data Security do cloudu Webex. Ak chcete získať prístup len k obsahu podpory proxy pre existujúce nasadenie, pozrite si Podpora proxy pre hybridné zabezpečenie dát a Webex Video Mesh pomocný článok. | ||
13. júna 2019 | Aktualizované Skúšobný postup produkčných úloh s pripomienkou na synchronizáciu HdsTrialGroup skupinový objekt pred spustením skúšobnej verzie, ak vaša organizácia používa synchronizáciu adresárov. | ||
6. marca 2019 |
| ||
28. februára 2019 |
| ||
26. februára 2019 |
| ||
24. januára 2019 |
| ||
5. novembra 2018 |
| ||
19. októbra 2018 |
| ||
31. júla 2018 |
| ||
21. mája 2018 | Zmenená terminológia, aby odrážala rebranding Cisco Spark:
| ||
11. apríla 2018 |
| ||
22. februára 2018 |
| ||
15. február 2018 |
| ||
18. januára 2018 |
| ||
2. novembra 2017 |
| ||
18. augusta 2017 | Prvýkrát zverejnené |
Prehľad zabezpečenia hybridných údajov
Od prvého dňa bola bezpečnosť údajov prvoradá pri navrhovaní Aplikácia Webex. Základným kameňom tohto zabezpečenia je komplexné šifrovanie obsahu, ktoré umožňuje Aplikácia Webex klientov interagujúcich so službou správy kľúčov (KMS). KMS je zodpovedný za vytváranie a správu kryptografických kľúčov, ktoré klienti používajú na dynamické šifrovanie a dešifrovanie správ a súborov.
Štandardne všetky Aplikácia Webex zákazníci získajú end-to-end šifrovanie s dynamickými kľúčmi uloženými v cloudovom KMS v oblasti bezpečnosti Cisco. Hybrid Data Security presúva KMS a ďalšie funkcie súvisiace so zabezpečením do vášho podnikového dátového centra, takže kľúče k vášmu šifrovanému obsahu nemá nikto okrem vás.
Architektúra bezpečnostnej sféry
Cloudová architektúra Webex oddeľuje rôzne typy služieb do samostatných oblastí alebo dôveryhodných domén, ako je znázornené nižšie.
Aby sme lepšie porozumeli Hybrid Data Security, pozrime sa najprv na tento čistý cloud, kde Cisco poskytuje všetky funkcie vo svojich cloudových sférach. Služba identity, jediné miesto, kde môžu používatelia priamo korelovať so svojimi osobnými údajmi, ako je e-mailová adresa, je logicky a fyzicky oddelená od oblasti zabezpečenia v dátovom centre B. Obe sú zase oddelené od oblasti, kde je v konečnom dôsledku uložený šifrovaný obsah. , v dátovom centre C.
V tomto diagrame je klientom aplikácia Webex, ktorá beží na notebooku používateľa a je overená službou identity. Keď používateľ vytvorí správu na odoslanie do priestoru, vykonajú sa tieto kroky:
Klient vytvorí zabezpečené spojenie so službou správy kľúčov (KMS), potom požiada o kľúč na zašifrovanie správy. Zabezpečené pripojenie používa ECDH a KMS šifruje kľúč pomocou hlavného kľúča AES-256.
Správa je pred opustením klienta zašifrovaná. Klient ho odošle do indexovacej služby, ktorá vytvorí šifrované indexy vyhľadávania na pomoc pri budúcom vyhľadávaní obsahu.
Zašifrovaná správa sa odošle do služby súladu na kontrolu súladu.
Zašifrovaná správa je uložená v úložnej sfére.
Keď nasadíte Hybrid Data Security, presuniete funkcie bezpečnostnej sféry (KMS, indexovanie a súlad) do vášho lokálneho dátového centra. Ostatné cloudové služby, ktoré tvoria Webex (vrátane ukladania identity a obsahu), zostávajú v sférach spoločnosti Cisco.
Spolupráca s inými organizáciami
Používatelia vo vašej organizácii môžu pravidelne používať aplikáciu Webex na spoluprácu s externými účastníkmi v iných organizáciách. Keď jeden z vašich používateľov požaduje kľúč pre priestor, ktorý vlastní vaša organizácia (pretože ho vytvoril jeden z vašich používateľov), váš KMS odošle kľúč klientovi cez zabezpečený kanál ECDH. Keď však kľúč priestoru vlastní iná organizácia, váš KMS nasmeruje požiadavku do cloudu Webex cez samostatný kanál ECDH, aby získal kľúč z príslušného KMS, a potom vráti kľúč vášmu používateľovi na pôvodnom kanáli.
Služba KMS spustená v organizácii A overuje pripojenia ku KMS v iných organizáciách pomocou x.509 PKI certifikátov. Pozri Pripravte si prostredie podrobnosti o generovaní x.509 certifikátu na použitie s nasadením Hybrid Data Security.
Očakávania týkajúce sa nasadenia hybridnej bezpečnosti údajov
Nasadenie Hybrid Data Security si vyžaduje značné nasadenie zákazníkov a uvedomenie si rizík, ktoré so sebou prináša vlastníctvo šifrovacích kľúčov.
Ak chcete nasadiť Hybrid Data Security, musíte poskytnúť:
Bezpečné dátové centrum v krajine, ktorá je a podporované miesto pre plány Cisco Webex Teams.
Vybavenie, softvér a sieťový prístup popísané v Pripravte si prostredie.
Úplná strata buď konfiguračného ISO, ktoré ste vytvorili pre Hybrid Data Security, alebo databázy, ktorú poskytnete, bude mať za následok stratu kľúčov. Strata kľúča bráni používateľom dešifrovať obsah priestoru a ďalšie šifrované údaje v aplikácii Webex. Ak sa tak stane, môžete vytvoriť nové nasadenie, ale bude viditeľný iba nový obsah. Aby ste predišli strate prístupu k údajom, musíte:
Spravujte zálohovanie a obnovu databázy a konfiguračného ISO.
Buďte pripravení vykonať rýchlu obnovu po havárii, ak dôjde ku katastrofe, ako je zlyhanie databázového disku alebo katastrofa dátového centra.
Neexistuje žiadny mechanizmus na presun kľúčov späť do cloudu po nasadení HDS. |
Proces nastavenia na vysokej úrovni
Tento dokument pokrýva nastavenie a správu nasadenia Hybrid Data Security:
Nastavte Hybridné zabezpečenie dát—To zahŕňa prípravu požadovanej infraštruktúry a inštaláciu softvéru Hybrid Data Security, testovanie vášho nasadenia s podskupinou používateľov v skúšobnom režime a po dokončení testovania prechod do produkcie. To prevedie celú organizáciu na používanie vášho klastra Hybrid Data Security na bezpečnostné funkcie.
Fázy nastavenia, skúšania a výroby sú podrobne opísané v nasledujúcich troch kapitolách.
Udržujte svoje nasadenie Hybrid Data Security— Cloud Webex automaticky poskytuje priebežné aktualizácie. Vaše IT oddelenie môže poskytnúť podporu prvej úrovne pre toto nasadenie a podľa potreby zapojiť podporu Cisco. V Control Hub môžete používať upozornenia na obrazovke a nastaviť upozornenia prostredníctvom e-mailu.
Pochopte bežné upozornenia, kroky na riešenie problémov a známe problémy—Ak narazíte na problémy s nasadením alebo používaním Hybrid Data Security, posledná kapitola tejto príručky a príloha Známe problémy vám môžu pomôcť určiť a vyriešiť problém.
Hybridný model nasadenia zabezpečenia dát
V rámci podnikového dátového centra nasadíte Hybrid Data Security ako jeden klaster uzlov na samostatných virtuálnych hostiteľoch. Uzly komunikujú s cloudom Webex prostredníctvom zabezpečených webových zásuviek a zabezpečeného HTTP.
Počas procesu inštalácie vám poskytneme súbor OVA na nastavenie virtuálneho zariadenia na VM, ktoré poskytnete. Nástroj HDS Setup Tool použijete na vytvorenie vlastného konfiguračného súboru ISO klastra, ktorý pripojíte na každý uzol. Klaster Hybrid Data Security využíva váš poskytnutý server Syslogd a databázu PostgreSQL alebo Microsoft SQL Server. (Syslogd a podrobnosti o pripojení k databáze nakonfigurujete v nástroji HDS Setup Tool.)
Minimálny počet uzlov, ktoré môžete mať v klastri, sú dva. Odporúčame aspoň tri a môžete ich mať až päť. Viacnásobné uzly zaisťujú, že služba nebude prerušená počas aktualizácie softvéru alebo inej činnosti údržby na uzle. (Cloud Webex aktualizuje naraz iba jeden uzol.)
Všetky uzly v klastri pristupujú k rovnakému úložisku údajov kľúčov a zaznamenávajú aktivitu na rovnaký server syslog. Samotné uzly sú bez stavu a spracovávajú kľúčové požiadavky v režime round-robin podľa pokynov cloudu.
Uzly sa stanú aktívnymi, keď ich zaregistrujete v Control Hub. Ak chcete vyradiť jednotlivý uzol z prevádzky, môžete ho zrušiť a neskôr v prípade potreby znova zaregistrovať.
Podporujeme iba jeden klaster na organizáciu.
Skúšobný režim hybridnej bezpečnosti dát
Po nastavení nasadenia Hybrid Data Security ho najskôr vyskúšate so skupinou pilotných používateľov. Počas skúšobného obdobia títo používatelia používajú vašu lokálnu doménu Hybrid Data Security na šifrovacie kľúče a ďalšie služby v oblasti zabezpečenia. Ostatní vaši používatelia naďalej používajú oblasť zabezpečenia cloudu.
Ak sa rozhodnete nepokračovať v nasadzovaní počas skúšobného obdobia a službu deaktivujete, pilotní používatelia a všetci používatelia, s ktorými počas skúšobného obdobia interagovali vytvorením nových priestorov, stratia prístup k správam a obsahu. V aplikácii Webex sa im zobrazí „Táto správa sa nedá dešifrovať“.
Ak ste spokojní s tým, že vaše nasadenie funguje dobre pre skúšobných používateľov a ste pripravení rozšíriť Hybrid Data Security na všetkých svojich používateľov, presuniete nasadenie do produkcie. Pilotní používatelia majú naďalej prístup ku kľúčom, ktoré sa používali počas skúšobnej verzie. Nemôžete sa však pohybovať tam a späť medzi produkčným režimom a pôvodnou skúšobnou verziou. Ak musíte službu deaktivovať, napríklad vykonať obnovu po havárii, pri opätovnej aktivácii musíte spustiť novú skúšobnú verziu a nastaviť skupinu pilotných používateľov pre novú skúšobnú verziu, než sa vrátite späť do produkčného režimu. Či si používatelia v tomto bode zachovajú prístup k údajom, závisí od toho, či ste úspešne udržiavali zálohy úložiska kľúčových údajov a konfiguračného súboru ISO pre uzly Hybrid Data Security vo vašom klastri.
Pohotovostné dátové centrum pre obnovu po havárii
Počas nasadenia nastavíte zabezpečené pohotovostné dátové centrum. V prípade havárie dátového centra môžete manuálne zlyhať nasadenie do pohotovostného dátového centra.
Databázy aktívnych a pohotovostných dátových centier sú navzájom synchronizované, čo minimalizuje čas potrebný na vykonanie núdzového prepnutia. Súbor ISO pohotovostného dátového centra sa aktualizuje o ďalšie konfigurácie, ktoré zaisťujú, že uzly sú registrované v organizácii, ale nebudú spracovávať prevádzku. Preto uzly pohotovostného dátového centra zostávajú vždy aktuálne s najnovšou verziou softvéru HDS.
Aktívne uzly Hybrid Data Security musia byť vždy v rovnakom údajovom centre ako aktívny databázový server. |
Nastavte pohotovostné dátové centrum pre obnovu po havárii
Ak chcete nakonfigurovať súbor ISO pohotovostného dátového centra, postupujte podľa nasledujúcich krokov:
Predtým ako začneš
Pohotovostné dátové centrum by malo odrážať produkčné prostredie VM a záložnú databázu PostgreSQL alebo Microsoft SQL Server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM. (Pozri Pohotovostné dátové centrum pre obnovu po havárii pre prehľad tohto modelu núdzového prepnutia.)
Uistite sa, že je povolená synchronizácia databázy medzi databázou aktívnych a pasívnych uzlov klastra.
1 | Spustite nástroj HDS Setup a postupujte podľa krokov uvedených v Vytvorte ISO konfigurácie pre hostiteľov HDS.
| ||
2 | Po nakonfigurovaní servera Syslogd kliknite na Pokročilé nastavenia | ||
3 | Na Pokročilé nastavenia pridajte konfiguráciu nižšie, aby ste umiestnili uzol do pasívneho režimu. V tomto režime bude uzol zaregistrovaný v organizácii a pripojený ku cloudu, ale nebude spracovávať žiadny prenos.
| ||
4 | Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť. | ||
5 | Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. | ||
6 | V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na VM a kliknite Upraviť nastavenia.. | ||
7 | Kliknite Upraviť nastavenia >CD/DVD mechanika 1 a vyberte Datastore ISO File.
| ||
8 | Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy. | ||
9 | Opakujte proces pre každý uzol v pohotovostnom dátovom centre.
|
Čo urobiť ďalej
Po konfigurácii passiveMode
v súbore ISO a jeho uložením môžete vytvoriť ďalšiu kópiu súboru ISO bez súboru passiveMode
konfiguráciu a uložte ju na bezpečnom mieste. Táto kópia súboru ISO bez passiveMode
nakonfigurovaný môže pomôcť pri rýchlom procese núdzového prepnutia počas obnovy po havárii. Pozri Obnova po havárii pomocou pohotovostného dátového centra pre podrobný postup núdzového prepnutia.
Podpora proxy
Hybrid Data Security podporuje explicitné, transparentné kontrolné a nekontrolujúce proxy. Tieto servery proxy môžete prepojiť s nasadením, aby ste mohli zabezpečiť a monitorovať prevádzku z podniku do cloudu. Rozhranie správcu platformy na uzloch môžete použiť na správu certifikátov a na kontrolu celkového stavu pripojenia po nastavení servera proxy na uzloch.
Uzly Hybrid Data Security podporujú nasledujúce možnosti proxy:
Žiadny proxy—Predvolené, ak na integráciu servera proxy nepoužívate nastavenie uzla HDS Trust Store & Proxy. Nevyžaduje sa žiadna aktualizácia certifikátu.
Transparentný nekontrolujúci splnomocnenec– Uzly nie sú nakonfigurované na používanie špecifickej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.
Transparentné tunelovanie alebo kontrola proxy– Uzly nie sú nakonfigurované na používanie špecifickej adresy servera proxy. Na uzloch nie sú potrebné žiadne zmeny konfigurácie HTTP alebo HTTPS. Uzly však potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).
Explicitný proxy—S explicitným proxy, poviete HDS uzlom, ktorý proxy server a overovaciu schému použiť. Ak chcete nakonfigurovať explicitný server proxy, musíte do každého uzla zadať nasledujúce informácie:
Proxy IP/FQDN– Adresa, ktorú možno použiť na spojenie so zariadením proxy.
Port proxy—Číslo portu, ktoré server proxy používa na počúvanie prevádzky cez proxy.
Proxy protokol—V závislosti od toho, čo váš proxy server podporuje, vyberte si z nasledujúcich protokolov:
HTTP – zobrazuje a riadi všetky požiadavky, ktoré klient odosiela.
HTTPS – poskytuje kanál pre server. Klient prijme a overí certifikát servera.
autentický typ— Vyberte si z nasledujúcich typov autentifikácie:
žiadne— Nevyžaduje sa žiadna ďalšia autentifikácia.
Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.
Základné— Používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.
Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.
Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.
Digest– Používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.
Dostupné, iba ak vyberiete HTTPS ako protokol proxy.
Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.
Príklad uzlov na zabezpečenie hybridných dát a proxy
Tento diagram ukazuje príklad spojenia medzi Hybrid Data Security, sieťou a proxy. Pre možnosti transparentnej kontroly a explicitnej kontroly HTTPS proxy musí byť na serveri proxy aj na uzloch Hybrid Data Security nainštalovaný rovnaký koreňový certifikát.
Blokovaný režim externého rozlíšenia DNS (explicitné konfigurácie proxy)
Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. V nasadeniach s explicitnými konfiguráciami proxy, ktoré neumožňujú externé rozlíšenie DNS pre interných klientov, ak uzol nemôže dotazovať servery DNS, automaticky prejde do režimu blokovaného externého riešenia DNS. V tomto režime môže pokračovať registrácia uzla a ďalšie testy pripojenia proxy.
Požiadavky na hybridnú bezpečnosť dát
Požiadavky na licenciu Cisco Webex
Nasadenie Hybrid Data Security:
Musíte mať balík Pro Pack pre Cisco Webex Control Hub. (Pozri https://www.cisco.com/go/pro-pack.)
Požiadavky na plochu Docker
Pred inštaláciou uzlov HDS potrebujete Docker Desktop na spustenie inštalačného programu. Docker nedávno aktualizoval svoj licenčný model. Vaša organizácia môže vyžadovať platené predplatné pre Docker Desktop. Podrobnosti nájdete v blogovom príspevku Docker, " Docker aktualizuje a rozširuje naše predplatné produktov".
Požiadavky na certifikát X.509
Certifikačný reťazec musí spĺňať nasledujúce požiadavky:
Požiadavka | Podrobnosti |
---|---|
| V predvolenom nastavení dôverujeme CA v zozname Mozilly (s výnimkou WoSign a StartCom) na https://wiki.mozilla.org/CA:IncludedCAs. |
| CN nemusí byť dosiahnuteľné alebo živého hostiteľa. Odporúčame vám použiť názov, ktorý odráža vašu organizáciu, napr. KN nesmie obsahovať * (zástupný znak). CN sa používa na overenie uzlov Hybrid Data Security pre klientov Webex App. Všetky uzly Hybrid Data Security vo vašom klastri používajú rovnaký certifikát. Váš KMS sa identifikuje pomocou domény CN, nie akejkoľvek domény, ktorá je definovaná v poliach x.509v3 SAN. Po zaregistrovaní uzla s týmto certifikátom nepodporujeme zmenu názvu domény CN. Vyberte doménu, ktorá sa môže vzťahovať na skúšobné aj produkčné nasadenie. |
| Softvér KMS nepodporuje podpisy SHA1 na overenie pripojení k KMS iných organizácií. |
| Na zmenu formátu certifikátu môžete použiť konvertor, ako je OpenSSL. Pri spustení nástroja HDS Setup Tool budete musieť zadať heslo. |
Softvér KMS nevynucuje používanie kľúčov ani rozšírené obmedzenia používania kľúčov. Niektoré certifikačné autority vyžadujú, aby sa na každý certifikát aplikovali rozšírené obmedzenia používania kľúčov, ako je autentifikácia servera. Je v poriadku použiť overenie servera alebo iné nastavenia.
Požiadavky na virtuálny hostiteľ
Virtuálni hostitelia, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri, majú nasledujúce požiadavky:
Aspoň dvaja oddelení hostitelia (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre
VMware ESXi 6.5 (alebo novší) nainštalovaný a spustený.
Ak máte staršiu verziu ESXi, musíte vykonať inováciu.
Minimálne 4 vCPU, 8 GB hlavnej pamäte, 30 GB miesta na lokálnom pevnom disku na server
Požiadavky na databázový server
Vytvorte novú databázu pre uloženie kľúčov. Nepoužívajte predvolenú databázu. Aplikácie HDS, keď sú nainštalované, vytvoria schému databázy. |
Pre databázový server sú dve možnosti. Požiadavky na každú z nich sú nasledovné:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložný priestor) | Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložný priestor) |
Softvér HDS momentálne inštaluje nasledujúce verzie ovládačov na komunikáciu s databázovým serverom:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres JDBC ovládač 42.2.5 | Ovládač SQL Server JDBC 4.6 Táto verzia ovládača podporuje SQL Server Always On ( Vždy v prípade zlyhania klastra a Vždy zapnuté skupiny dostupnosti). |
Dodatočné požiadavky na overenie systému Windows voči Microsoft SQL Server
Ak chcete, aby uzly HDS používali autentifikáciu systému Windows na získanie prístupu k vašej databáze úložiska kľúčov na serveri Microsoft SQL Server, potrebujete vo svojom prostredí nasledujúcu konfiguráciu:
HDS uzly, infraštruktúra Active Directory a MS SQL Server musia byť synchronizované s NTP.
Účet Windows, ktorý poskytnete uzlom HDS, musí mať prístup k databáze na čítanie/zápis.
Servery DNS, ktoré poskytujete uzlom HDS, musia byť schopné vyriešiť vaše Centrum distribúcie kľúčov (KDC).
Inštanciu databázy HDS môžete zaregistrovať na svojom serveri Microsoft SQL Server ako hlavný názov služby (SPN) vo vašom adresári Active Directory. Pozri Zaregistrujte hlavný názov služby pre pripojenia Kerberos.
Nástroj na nastavenie HDS, spúšťač HDS a miestne KMS musia na prístup k databáze kľúčov používať overenie systému Windows. Používajú podrobnosti z vašej konfigurácie ISO na vytvorenie SPN pri požadovaní prístupu s overením Kerberos.
Požiadavky na externé pripojenie
Nakonfigurujte svoj firewall tak, aby umožňoval nasledujúce pripojenie pre aplikácie HDS:
Aplikácia | Protokol | Port | Smer z App | Destinácia |
---|---|---|---|---|
Hybridné uzly zabezpečenia údajov | TCP | 443 | Odchádzajúce HTTPS a WSS |
|
Nástroj na nastavenie HDS | TCP | 443 | Odchádzajúce HTTPS |
|
Uzly Hybrid Data Security pracujú s prekladom sieťového prístupu (NAT) alebo za bránou firewall, pokiaľ NAT alebo brána firewall umožňuje požadované odchádzajúce pripojenia k destináciám domény v predchádzajúcej tabuľke. Pre pripojenia prichádzajúce do uzlov Hybrid Data Security by nemali byť z internetu viditeľné žiadne porty. V rámci vášho dátového centra potrebujú klienti prístup k uzlom Hybrid Data Security na portoch TCP 443 a 22 na administratívne účely. |
Adresy URL hostiteľov Common Identity (CI) sú špecifické pre daný región. Toto sú súčasní hostitelia CI:
región | Spoločné adresy URL hostiteľa identity |
---|---|
Ameriky |
|
Európska únia |
|
Kanada |
|
Požiadavky na proxy server
Oficiálne podporujeme nasledujúce proxy riešenia, ktoré sa dajú integrovať s vašimi uzlami Hybrid Data Security.
Transparentný proxy – Cisco Web Security Appliance (WSA).
Explicitný proxy-Squid.
Proxy serverov chobotnice, ktoré kontrolujú prenos HTTPS, môžu zasahovať do vytvorenia webovej zásuvky (wss:) spojenia. Ak chcete tento problém obísť, pozrite si Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát.
Pre explicitné servery proxy podporujeme nasledujúce kombinácie typov overenia:
Žiadna autentifikácia pomocou HTTP alebo HTTPS
Základná autentifikácia pomocou HTTP alebo HTTPS
Digest overenie iba s HTTPS
Pre transparentný kontrolný proxy server alebo explicitný proxy server HTTPS musíte mať kópiu koreňového certifikátu servera proxy. Pokyny na nasadenie v tejto príručke vám povedia, ako nahrať kópiu do dôveryhodných obchodov uzlov Hybrid Data Security.
Sieť, ktorá hostí uzly HDS, musí byť nakonfigurovaná tak, aby vynútila smerovanie odchádzajúcej prevádzky TCP na porte 443 cez server proxy.
Proxy, ktoré kontrolujú webovú prevádzku, môžu narúšať pripojenia webových soketov. Ak sa vyskytne tento problém, obíďte (nie kontrolujte) premávku na
wbx2.com
aciscospark.com
problém vyrieši.
Vyplňte Predpoklady pre hybridnú bezpečnosť údajov
1 | Uistite sa, že vaša organizácia Webex má povolený balík Pro Pack pre Cisco Webex Control Hub a získajte prihlasovacie údaje účtu s úplnými právami správcu organizácie. Ak potrebujete pomoc s týmto procesom, kontaktujte svojho partnera Cisco alebo account manažéra. | ||
2 | Vyberte názov domény pre svoje nasadenie HDS (napr. | ||
3 | Pripravte si identických virtuálnych hostiteľov, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri. Potrebujete aspoň dvoch samostatných hostiteľov (odporúčajú sa 3) umiestnených v rovnakom zabezpečenom dátovom centre, ktorí spĺňajú požiadavky v Požiadavky na virtuálny hostiteľ. | ||
4 | Pripravte databázový server, ktorý bude fungovať ako úložisko kľúčových údajov pre klaster, podľa Požiadavky na databázový server. Databázový server musí byť umiestnený v zabezpečenom údajovom centre spolu s virtuálnymi hostiteľmi. | ||
5 | Pre rýchlu obnovu po havárii nastavte zálohovacie prostredie v inom dátovom centre. Zálohovacie prostredie odzrkadľuje produkčné prostredie VM a záložný databázový server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM. | ||
6 | Nastavte hostiteľa syslog na zhromažďovanie protokolov z uzlov v klastri. Získajte jeho sieťovú adresu a port syslog (predvolené je UDP 514). | ||
7 | Vytvorte politiku bezpečného zálohovania pre uzly Hybrid Data Security, databázový server a hostiteľa syslog. Aby ste predišli nenapraviteľnej strate údajov, musíte minimálne zálohovať databázu a konfiguračný súbor ISO vygenerovaný pre uzly Hybrid Data Security.
Klienti Webex App ukladajú svoje kľúče do vyrovnávacej pamäte, takže výpadok nemusí byť okamžite viditeľný, ale časom sa prejaví. Zatiaľ čo dočasným výpadkom nie je možné zabrániť, sú obnoviteľné. Úplná strata (nie sú k dispozícii žiadne zálohy) databázy alebo konfiguračného ISO súboru však bude mať za následok neobnoviteľné zákaznícke údaje. Od operátorov uzlov Hybrid Data Security sa očakáva, že budú pravidelne zálohovať databázu a konfiguračný ISO súbor a budú pripravení na prestavbu dátového centra Hybrid Data Security, ak dôjde ku katastrofálnej poruche. | ||
8 | Uistite sa, že vaša konfigurácia brány firewall umožňuje pripojenie pre vaše uzly Hybrid Data Security, ako je uvedené v Požiadavky na externé pripojenie. | ||
9 | Nainštalujte Docker ( https://www.docker.com) na akomkoľvek lokálnom počítači s podporovaným operačným systémom (Microsoft Windows 10 Professional alebo Enterprise 64-bit, alebo Mac OSX Yosemite 10.10.3 alebo novší) s webovým prehliadačom, ktorý k nemu môže pristupovať na http://127.0.0.1:8080. Inštanciu Docker použijete na stiahnutie a spustenie nástroja HDS Setup Tool, ktorý vytvorí informácie o lokálnej konfigurácii pre všetky uzly Hybrid Data Security. Vaša organizácia môže potrebovať licenciu Docker Desktop. Pozri Požiadavky na plochu Docker Pre viac informácií. Ak chcete nainštalovať a spustiť nástroj HDS Setup Tool, lokálny počítač musí mať konektivitu uvedenú v Požiadavky na externé pripojenie. | ||
10 | Ak integrujete proxy s Hybrid Data Security, uistite sa, že spĺňa Požiadavky na proxy server. | ||
11 | Ak vaša organizácia používa synchronizáciu adresárov, vytvorte skupinu v Active Directory s názvom
|
Tok úloh nasadenia zabezpečenia hybridných údajov
Predtým ako začneš
1 | Stiahnite si inštalačné súbory Stiahnite si súbor OVA na váš lokálny počítač pre neskoršie použitie. | ||
2 | Vytvorte ISO konfigurácie pre hostiteľov HDS Pomocou nástroja HDS Setup Tool vytvorte konfiguračný súbor ISO pre uzly Hybrid Data Security. | ||
3 |
Vytvorte virtuálny počítač zo súboru OVA a vykonajte počiatočnú konfiguráciu, ako sú nastavenia siete.
| ||
4 | Nastavte virtuálny počítač Hybrid Data Security Prihláste sa do konzoly VM a nastavte prihlasovacie poverenia. Nakonfigurujte sieťové nastavenia pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA. | ||
5 | Nahrajte a pripojte ISO konfiguráciu HDS Nakonfigurujte VM z konfiguračného súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool. | ||
6 | Nakonfigurujte uzol HDS na integráciu proxy Ak sieťové prostredie vyžaduje konfiguráciu servera proxy, zadajte typ servera proxy, ktorý použijete pre uzol, a v prípade potreby pridajte certifikát servera proxy do dôveryhodného úložiska. | ||
7 | Zaregistrujte prvý uzol v klastri Zaregistrujte VM v cloude Cisco Webex ako uzol Hybrid Data Security. | ||
8 | Vytvorte a zaregistrujte viac uzlov Dokončite nastavenie klastra. | ||
9 | Spustite skúšobnú verziu a prejdite do výroby (ďalšia kapitola) Kým nezačnete skúšobnú verziu, vaše uzly generujú alarm oznamujúci, že vaša služba ešte nie je aktivovaná. |
Stiahnite si inštalačné súbory
1 | Prihláste sa do https://admin.webex.coma potom kliknite Služby. | ||||
2 | V časti Hybridné služby nájdite kartu Hybrid Data Security a potom kliknite Nastaviť. Ak je karta zakázaná alebo ju nevidíte, kontaktujte tím spravujúci váš účet alebo partnerskú organizáciu. Poskytnite im svoje číslo účtu a požiadajte, aby vašej organizácii umožnili Hybridné zabezpečenie dát. Ak chcete nájsť číslo účtu, kliknite na ozubené koliesko vpravo hore vedľa názvu organizácie.
| ||||
3 | Vyberte Nie na označenie, že ste ešte nenastavili uzol, a potom kliknite Ďalšie. Automaticky sa začne sťahovať súbor OVA. Uložte súbor na miesto v počítači.
| ||||
4 | Voliteľne kliknite Otvorte Sprievodcu nasadením a skontrolujte, či je k dispozícii novšia verzia tejto príručky. |
Vytvorte ISO konfigurácie pre hostiteľov HDS
Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.
Predtým ako začneš
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Control Hub s úplnými administrátorskými právami pre vašu organizáciu.
Ak nástroj HDS Setup beží za serverom proxy vo vašom prostredí, pri spúšťaní kontajnera Docker v kroku poskytnite nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker 5. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS Proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:
Databázové poverenia
Aktualizácie certifikátov
Zmeny v politike autorizácie
Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.
1 | Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie: V bežných prostrediach:
V prostrediach FedRAMP:
| ||||||||||||
2 | Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:
| ||||||||||||
3 | Pri výzve na zadanie hesla zadajte tento hash:
| ||||||||||||
4 | Stiahnite si najnovší stabilný obraz pre vaše prostredie: V bežných prostrediach:
V prostrediach FedRAMP:
| ||||||||||||
5 | Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:
Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“. | ||||||||||||
6 |
Pomocou webového prehliadača prejdite na localhost, Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie. | ||||||||||||
7 | Po zobrazení výzvy zadajte svoje prihlasovacie poverenia správcu zákazníka Control Hub a potom kliknite Prihlásiť sa na umožnenie prístupu k požadovaným službám pre Hybridnú bezpečnosť dát. | ||||||||||||
8 | Na stránke prehľadu nástroja Setup kliknite na Začať. | ||||||||||||
9 | Na ISO import stránku, máte tieto možnosti:
| ||||||||||||
10 | Skontrolujte, či váš certifikát X.509 spĺňa požiadavky v Požiadavky na certifikát X.509.
| ||||||||||||
11 | Zadajte databázovú adresu a účet pre HDS, aby ste získali prístup k vášmu úložisku kľúčových údajov: | ||||||||||||
12 | Vyberte a Režim pripojenia databázy TLS:
Keď nahráte koreňový certifikát (ak je to potrebné) a kliknite na ďalej, HDS Setup Tool otestuje TLS pripojenie k databázovému serveru. Nástroj tiež overuje podpisovateľa certifikátu a názov hostiteľa, ak je to potrebné. Ak test zlyhá, nástroj zobrazí chybové hlásenie popisujúce problém. Môžete si vybrať, či chcete chybu ignorovať a pokračovať v nastavovaní. (Vzhľadom na rozdiely v konektivite môžu byť uzly HDS schopné nadviazať pripojenie TLS, aj keď ho zariadenie HDS Setup Tool nedokáže úspešne otestovať.) | ||||||||||||
13 | Na stránke Systémové denníky nakonfigurujte svoj server Syslogd: | ||||||||||||
14 | (Voliteľné) Môžete zmeniť predvolenú hodnotu pre niektoré parametre pripojenia k databáze v Pokročilé nastavenia. Vo všeobecnosti je tento parameter jediný, ktorý možno budete chcieť zmeniť:
| ||||||||||||
15 | Kliknite ďalej na Obnovte heslo servisných účtov obrazovke. Heslá k servisným účtom majú životnosť deväť mesiacov. Túto obrazovku použite, keď sa blíži koniec platnosti vašich hesiel alebo ich chcete resetovať, aby ste zrušili platnosť predchádzajúcich súborov ISO. | ||||||||||||
16 | Kliknite Stiahnite si súbor ISO. Uložte súbor na miesto, ktoré sa dá ľahko nájsť. | ||||||||||||
17 | Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. | ||||||||||||
18 | Ak chcete vypnúť nástroj Setup, zadajte |
Čo urobiť ďalej
Zálohujte konfiguračný súbor ISO. Potrebujete ho na vytvorenie ďalších uzlov na obnovu alebo na vykonanie zmien v konfigurácii. Ak stratíte všetky kópie súboru ISO, stratili ste aj hlavný kľúč. Obnovenie kľúčov z databázy PostgreSQL alebo Microsoft SQL Server nie je možné.
Nikdy nemáme kópiu tohto kľúča a nemôžeme vám pomôcť, ak ho stratíte. |
Nainštalujte HDS Host OVA
1 | Na prihlásenie do virtuálneho hostiteľa ESXi použite klienta VMware vSphere na vašom počítači. | ||||||
2 | Vyberte Súbor > Nasadiť šablónu OVF. | ||||||
3 | V sprievodcovi zadajte umiestnenie súboru OVA, ktorý ste si stiahli skôr, a potom kliknite Ďalšie . | ||||||
4 | Na Vyberte názov a priečinok stránku, zadajte a Názov virtuálneho počítača pre uzol (napríklad „HDS_Node_1"), vyberte umiestnenie, kde sa môže nachádzať nasadenie uzla virtuálneho počítača, a potom kliknite Ďalšie . | ||||||
5 | Na Vyberte výpočtový zdroj vyberte cieľový výpočtový zdroj a potom kliknite Ďalšie . Prebehne overovacia kontrola. Po dokončení sa zobrazia podrobnosti šablóny. | ||||||
6 | Overte podrobnosti šablóny a potom kliknite Ďalšie. | ||||||
7 | Ak sa zobrazí výzva na výber konfigurácie prostriedkov na Konfigurácia stránku, kliknite 4 CPU a potom kliknite Ďalšie . | ||||||
8 | Na Vyberte úložisko stránku, kliknite Ďalšie akceptovať predvolený formát disku a politiku úložiska VM. | ||||||
9 | Na Vyberte siete vyberte sieťovú možnosť zo zoznamu položiek, aby ste poskytli požadované pripojenie k VM. | ||||||
10 | Na Prispôsobiť šablónu nakonfigurujte nasledujúce nastavenia siete:
Ak chcete, môžete preskočiť konfiguráciu nastavenia siete a postupovať podľa krokov v Nastavte virtuálny počítač Hybrid Data Security na konfiguráciu nastavení z konzoly uzla.
| ||||||
11 | Kliknite pravým tlačidlom myši na uzol VM a potom vyberte .Softvér Hybrid Data Security je nainštalovaný ako hosť na hostiteľovi VM. Teraz ste pripravení prihlásiť sa do konzoly a nakonfigurovať uzol. Tipy na riešenie problémov Môžete zaznamenať oneskorenie niekoľkých minút, kým sa kontajnery uzlov objavia. Počas prvého spustenia, počas ktorého sa nemôžete prihlásiť, sa na konzole zobrazí správa brány firewall mosta. |
Nastavte virtuálny počítač Hybrid Data Security
Tento postup použite na prvé prihlásenie do konzoly VM uzla Hybrid Data Security a nastavenie prihlasovacích poverení. Konzolu môžete použiť aj na konfiguráciu sieťových nastavení pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.
1 | V klientovi VMware vSphere vyberte svoj uzol Hybrid Data Security VM a vyberte Konzola tab. VM sa spustí a zobrazí sa výzva na prihlásenie. Ak sa výzva na prihlásenie nezobrazí, stlačte Zadajte.
|
2 | Na prihlásenie a zmenu poverení použite nasledujúce predvolené prihlasovacie meno a heslo: Keďže sa do svojho VM prihlasujete prvýkrát, musíte zmeniť heslo správcu. |
3 | Ak ste už nakonfigurovali nastavenia siete v Nainštalujte HDS Host OVA, preskočte zvyšok tohto postupu. V opačnom prípade vyberte v hlavnom menu položku Upraviť konfiguráciu možnosť. |
4 | Nastavte statickú konfiguráciu s IP adresou, maskou, bránou a informáciami DNS. Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované. |
5 | (Voliteľné) Zmeňte názov hostiteľa, doménu alebo server(y) NTP, ak je to potrebné, aby zodpovedali zásadám vašej siete. Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509. |
6 | Uložte konfiguráciu siete a reštartujte VM, aby sa zmeny prejavili. |
Nahrajte a pripojte ISO konfiguráciu HDS
Predtým ako začneš
Pretože súbor ISO obsahuje hlavný kľúč, mal by byť zverejnený iba na základe „potreby vedieť“, aby k nemu mali prístup virtuálne počítače s hybridným zabezpečením údajov a všetci správcovia, ktorí môžu potrebovať vykonať zmeny. Uistite sa, že k úložisku údajov majú prístup iba títo správcovia.
1 | Nahrajte súbor ISO z počítača: |
2 | Pripojte súbor ISO: |
Čo urobiť ďalej
Ak to vyžaduje vaša politika IT, môžete voliteľne odpojiť súbor ISO po tom, čo všetky vaše uzly prevezmú zmeny konfigurácie. Pozri (Voliteľné) Odpojte ISO po konfigurácii HDS pre podrobnosti.
Nakonfigurujte uzol HDS na integráciu proxy
Ak sieťové prostredie vyžaduje server proxy, použite tento postup na určenie typu servera proxy, s ktorým sa chcete integrovať Hybridná bezpečnosť dát. Ak si vyberiete transparentný kontrolný proxy server alebo explicitný proxy server HTTPS, môžete použiť rozhranie uzla na nahranie a inštaláciu koreňového certifikátu. Môžete tiež skontrolovať pripojenie proxy z rozhrania a vyriešiť prípadné problémy.
Predtým ako začneš
Pozri Podpora proxy pre prehľad podporovaných možností proxy.
1 | Zadajte adresu URL nastavenia uzla HDS |
2 | Ísť do Trust Store a proxya potom vyberte možnosť:
Postupujte podľa nasledujúcich krokov pre transparentný kontrolný proxy server, explicitný proxy server HTTP so základným overením alebo explicitný proxy HTTPS. |
3 | Kliknite Nahrajte koreňový certifikát alebo certifikát koncovej entitya potom prejdite na výber koreňového certifikátu pre server proxy. Certifikát je nahraný, ale ešte nie je nainštalovaný, pretože na inštaláciu certifikátu musíte reštartovať uzol. Kliknutím na šípku v tvare šípky vedľa názvu vydavateľa certifikátu získate ďalšie podrobnosti alebo kliknite Odstrániť ak ste urobili chybu a chcete súbor znova nahrať. |
4 | Kliknite Skontrolujte pripojenie proxy na testovanie sieťového pripojenia medzi uzlom a proxy. Ak test pripojenia zlyhá, zobrazí sa chybové hlásenie, ktoré uvádza dôvod a spôsob, ako môžete problém vyriešiť. Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS. Tento stav sa očakáva v mnohých explicitných konfiguráciách proxy. Môžete pokračovať v nastavovaní a uzol bude fungovať v režime zablokovaného externého rozlíšenia DNS. Ak si myslíte, že ide o chybu, vykonajte tieto kroky a potom uvidíte Vypnite režim zablokovaného externého rozlíšenia DNS. |
5 | Po úspešnom teste pripojenia zapnite prepínač v prípade explicitného servera proxy nastaveného iba na https Smerujte všetky požiadavky https z tohto uzla na port 443/444 cez explicitný proxy server. Toto nastavenie sa prejaví po 15 sekundách. |
6 | Kliknite Nainštalujte všetky certifikáty do dôveryhodného úložiska (zobrazí sa pri explicitnom HTTPS proxy alebo transparentnom kontrolnom proxy serveri) alebo Reštartovať (zobrazí sa pri explicitnom serveri proxy HTTP), prečítajte si výzvu a potom kliknite Inštalácia ak si pripravený. Uzol sa reštartuje v priebehu niekoľkých minút. |
7 | Po reštartovaní uzla sa v prípade potreby znova prihláste a potom otvorte Prehľad stránku a skontrolujte kontroly pripojenia, aby ste sa uistili, že sú všetky v zelenom stave. Kontrola pripojenia proxy testuje iba subdoménu webex.com. Ak sa vyskytnú problémy s pripojením, bežným problémom je, že niektoré z cloudových domén uvedených v pokynoch na inštaláciu sú na serveri proxy blokované. |
Zaregistrujte prvý uzol v klastri
Keď zaregistrujete svoj prvý uzol, vytvoríte klaster, ku ktorému je uzol priradený. Klaster obsahuje jeden alebo viac uzlov nasadených na zabezpečenie redundancie.
Predtým ako začneš
Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.
Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.
1 | Prihláste sa do https://admin.webex.com. |
2 | V ponuke na ľavej strane obrazovky vyberte položku Služby. |
3 | V sekcii Hybridné služby nájdite Hybridné zabezpečenie dát a kliknite Nastaviť. Zobrazí sa stránka Register Hybrid Data Security Node.
|
4 | Vyberte Áno na označenie, že ste uzol nastavili a ste pripravení ho zaregistrovať, a potom kliknite Ďalšie. |
5 | Do prvého poľa zadajte názov klastra, ku ktorému chcete priradiť váš uzol Hybrid Data Security. Odporúčame pomenovať klaster podľa toho, kde sa geograficky nachádzajú uzly klastra. Príklady: „San Francisco“ alebo „New York“ alebo „Dallas“ |
6 | Do druhého poľa zadajte internú IP adresu alebo úplný názov domény (FQDN) vášho uzla a kliknite Ďalšie. Táto adresa IP alebo FQDN by sa mala zhodovať s adresou IP alebo názvom hostiteľa a doménou, ktorú ste použili Nastavte virtuálny počítač Hybrid Data Security. Zobrazí sa správa, že môžete zaregistrovať svoj uzol do Webexu.
|
7 | Kliknite Prejdite na Node. |
8 | Kliknite ďalej vo varovnej správe. Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že svojej organizácii Webex chcete udeliť povolenia na prístup k vášmu uzlu.
|
9 | Skontrolovať Povoľte prístup k svojmu uzlu zabezpečenia hybridných údajov začiarknite políčko a potom kliknite na ďalej. Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
|
10 | Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Hybrid Data Security Control Hub. Na Hybridná bezpečnosť dát sa zobrazí nový klaster obsahujúci uzol, ktorý ste zaregistrovali. Uzol si automaticky stiahne najnovší softvér z cloudu.
|
Vytvorte a zaregistrujte viac uzlov
V súčasnosti sú záložné virtuálne počítače, ktoré ste vytvorili Vyplňte Predpoklady pre hybridnú bezpečnosť údajov sú pohotovostní hostitelia, ktorí sa používajú iba v prípade obnovy po havárii; dovtedy nie sú registrovaní v systéme. Podrobnosti nájdete v časti Obnova po havárii pomocou pohotovostného dátového centra. |
Predtým ako začneš
Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.
Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.
1 | Vytvorte nový virtuálny počítač z OVA zopakovaním krokov Nainštalujte HDS Host OVA. |
2 | Nastavte počiatočnú konfiguráciu na novom VM zopakovaním krokov v Nastavte virtuálny počítač Hybrid Data Security. |
3 | Na novom virtuálnom počítači zopakujte kroky v Nahrajte a pripojte ISO konfiguráciu HDS. |
4 | Ak nastavujete server proxy pre svoje nasadenie, zopakujte kroky v Nakonfigurujte uzol HDS na integráciu proxy podľa potreby pre nový uzol. |
5 | Zaregistrujte uzol. Váš uzol je zaregistrovaný. Upozorňujeme, že kým nezačnete skúšobnú verziu, vaše uzly generujú alarm, ktorý oznamuje, že vaša služba ešte nie je aktivovaná.
|
Čo urobiť ďalej
Skúšobný postup produkčných úloh
Po nastavení klastra Hybrid Data Security môžete spustiť pilotný test, pridať doň používateľov a začať ho používať na testovanie a overovanie vášho nasadenia v rámci prípravy na prechod do produkcie.
Predtým ako začneš
1 | V prípade potreby synchronizujte Ak vaša organizácia používa synchronizáciu adresárov pre používateľov, musíte vybrať |
2 |
Začnite skúšobnú verziu. Kým nevykonáte túto úlohu, vaše uzly generujú alarm, ktorý oznamuje, že služba ešte nie je aktivovaná. |
3 | Otestujte svoje nasadenie hybridného zabezpečenia dát Skontrolujte, či kľúčové požiadavky prechádzajú do vášho nasadenia Hybrid Data Security. |
4 | Monitorujte zdravie Hybrid Data Security Health Skontrolujte stav a nastavte e-mailové upozornenia na budíky. |
5 | Pridajte alebo odstráňte používateľov z vašej skúšobnej verzie |
6 | Dokončite skúšobnú fázu jedným z nasledujúcich krokov: |
Aktivovať skúšobnú verziu
Predtým ako začneš
Ak vaša organizácia používa synchronizáciu adresárov pre používateľov, musíte vybrať HdsTrialGroup
skupinový objekt na synchronizáciu do cloudu predtým, ako začnete skúšobnú verziu pre vašu organizáciu. Pokyny nájdete na Sprievodca nasadením pre Cisco Directory Connector.
1 | Prihláste sa do https://admin.webex.coma potom vyberte Služby. |
2 | V časti Hybrid Data Security kliknite na nastavenie. |
3 | V časti Stav služby kliknite na Spustiť skúšku. Stav služby sa zmení na skúšobný režim.
|
4 | Kliknite Pridať používateľov a zadajte e-mailovú adresu jedného alebo viacerých používateľov na pilotné používanie vašich uzlov Hybrid Data Security na šifrovacie a indexovacie služby. (Ak vaša organizácia používa synchronizáciu adresárov, na správu skúšobnej skupiny použite službu Active Directory, |
Otestujte svoje nasadenie hybridného zabezpečenia dát
Predtým ako začneš
Nastavte nasadenie Hybrid Data Security.
Aktivujte skúšobnú verziu a pridajte niekoľko používateľov skúšobnej verzie.
Uistite sa, že máte prístup k syslog, aby ste si overili, že kľúčové požiadavky prechádzajú do vášho nasadenia Hybrid Data Security.
1 | Kľúče pre daný priestor nastavuje tvorca priestoru. Prihláste sa do aplikácie Webex ako jeden z pilotných používateľov a potom vytvorte priestor a pozvite aspoň jedného pilotného používateľa a jedného nepilotného používateľa.
| ||
2 | Posielajte správy do nového priestoru. | ||
3 | Skontrolujte výstup syslog, aby ste si overili, že požiadavky na kľúče prechádzajú do vášho nasadenia Hybrid Data Security. |
Monitorujte zdravie Hybrid Data Security Health
1 | In Control Hub, vyberte Služby z ponuky na ľavej strane obrazovky. |
2 | V sekcii Hybridné služby nájdite Hybridné zabezpečenie dát a kliknite nastavenie. Zobrazí sa stránka Hybrid Data Security Settings.
|
3 | V časti E-mailové upozornenia zadajte jednu alebo viac e-mailových adries oddelených čiarkami a stlačte Zadajte. |
Pridajte alebo odstráňte používateľov z vašej skúšobnej verzie
Ak odstránite používateľa zo skúšobnej verzie, klient tohto používateľa bude namiesto vášho KMS požadovať kľúče a vytvorenie kľúča z cloudového KMS. Ak klient potrebuje kľúč, ktorý je uložený vo vašom KMS, cloudový KMS ho načíta v mene používateľa.
Ak vaša organizácia používa synchronizáciu adresárov, použite Active Directory (namiesto tohto postupu) na správu skúšobnej skupiny, HdsTrialGroup
; členov skupiny môžete zobraziť v Control Hub, ale nemôžete ich pridávať ani odstraňovať.
1 | Prihláste sa do Control Hub a potom vyberte Služby. |
2 | V časti Hybrid Data Security kliknite na nastavenie. |
3 | V časti Skúšobný režim v oblasti Stav služby kliknite na Pridať používateľov, alebo kliknite zobraziť a upraviť na odstránenie používateľov zo skúšobnej verzie. |
4 | Zadajte e-mailovú adresu jedného alebo viacerých používateľov, ktorých chcete pridať, alebo kliknite na X pomocou ID používateľa na odstránenie používateľa zo skúšobnej verzie. Potom kliknite Uložiť. |
Presuňte sa zo skúšobnej do produkčnej verzie
1 | Prihláste sa do Control Hub a potom vyberte Služby. |
2 | V časti Hybrid Data Security kliknite na nastavenie. |
3 | V časti Stav služby kliknite na Presunúť do výroby. |
4 | Potvrďte, že chcete presunúť všetkých svojich používateľov do produkcie. |
Ukončite skúšobnú verziu bez presunu do výroby
1 | Prihláste sa do Control Hub a potom vyberte Služby. |
2 | V časti Hybrid Data Security kliknite na nastavenie. |
3 | V časti Deaktivovať kliknite na Deaktivovať. |
4 | Potvrďte, že chcete službu deaktivovať a ukončiť skúšobnú verziu. |
Spravujte nasadenie HDS
Pomocou tu popísaných úloh spravujte svoje nasadenie Hybrid Data Security.
Nastavte plán aktualizácie klastra
Ak chcete nastaviť plán aktualizácie:
1 | Prihláste sa do Control Hub. |
2 | Na stránke Prehľad v časti Hybridné služby vyberte Hybridná bezpečnosť dát. |
3 | Na stránke Hybrid Data Security Resources vyberte klaster. |
4 | Na paneli Prehľad vpravo v časti Nastavenia klastra vyberte názov klastra. |
5 | Na stránke Nastavenia v časti Aktualizácia vyberte čas a časové pásmo pre plán inovácie. Poznámka: Pod časovým pásmom sa zobrazí dátum a čas ďalšej dostupnej aktualizácie. Kliknutím na tlačidlo môžete v prípade potreby odložiť aktualizáciu na nasledujúci deň Odložiť. |
Zmeňte konfiguráciu uzla
Zmena x.509 certifikátov z dôvodu uplynutia platnosti alebo iných dôvodov.
Nepodporujeme zmenu názvu domény CN certifikátu. Doména sa musí zhodovať s pôvodnou doménou použitou na registráciu klastra.
Aktualizácia nastavení databázy pre zmenu na repliku databázy PostgreSQL alebo Microsoft SQL Server.
Nepodporujeme migráciu údajov z PostgreSQL na Microsoft SQL Server alebo opačným spôsobom. Ak chcete zmeniť prostredie databázy, spustite nové nasadenie Hybrid Data Security.
Vytvorenie novej konfigurácie na prípravu nového dátového centra.
Z bezpečnostných dôvodov používa Hybrid Data Security heslá servisných účtov, ktoré majú životnosť deväť mesiacov. Keď nástroj HDS Setup vygeneruje tieto heslá, nasadíte ich do každého z vašich uzlov HDS v konfiguračnom súbore ISO. Keď sa blíži koniec platnosti hesiel vašej organizácie, dostanete od tímu Webex upozornenie na resetovanie hesla pre váš počítačový účet. (E-mail obsahuje text „Na aktualizáciu hesla použite rozhranie API strojového účtu.“) Ak platnosť vašich hesiel ešte nevypršala, nástroj vám ponúka dve možnosti:
Mäkký reset—Staré aj nové heslo fungujú až 10 dní. Toto obdobie použite na postupnú výmenu súboru ISO na uzloch.
Tvrdý reštart—Staré heslá okamžite prestanú fungovať.
Ak platnosť vašich hesiel vyprší bez resetovania, ovplyvní to vašu službu HDS, čo si vyžaduje okamžitý tvrdý reset a nahradenie súboru ISO na všetkých uzloch.
Tento postup použite na vygenerovanie nového konfiguračného súboru ISO a jeho použitie vo vašom klastri.
Predtým ako začneš
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Control Hub s úplnými administrátorskými právami pre vašu organizáciu.
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker zadajte nastavenia proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker 1.e. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS Proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Na vygenerovanie novej konfigurácie potrebujete kópiu aktuálneho konfiguračného súboru ISO. ISO obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. ISO potrebujete, keď robíte zmeny v konfigurácii vrátane poverení databázy, aktualizácií certifikátov alebo zmien v politike autorizácie.
1 | Pomocou Docker na lokálnom počítači spustite nástroj HDS Setup Tool. |
2 | Ak máte spustený iba jeden uzol HDS, vytvorte nový VM uzla Hybrid Data Security a zaregistrujte ho pomocou nového konfiguračného súboru ISO. Podrobnejšie pokyny nájdete v časti Vytvorte a zaregistrujte viac uzlov. |
3 | Pre existujúce uzly HDS, na ktorých je spustený starší konfiguračný súbor, pripojte súbor ISO. Postupne vykonajte nasledujúci postup na každom uzle, pričom aktualizujte každý uzol pred vypnutím ďalšieho uzla: |
4 | Opakujte krok 3, aby ste nahradili konfiguráciu na každom zostávajúcom uzle, na ktorom je spustená stará konfigurácia. |
Vypnite režim zablokovaného externého rozlíšenia DNS
Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. Ak server DNS uzla nedokáže rozlíšiť verejné názvy DNS, uzol automaticky prejde do režimu zablokovaného externého rozlíšenia DNS.
Ak vaše uzly dokážu rozlíšiť verejné názvy DNS prostredníctvom interných serverov DNS, môžete tento režim vypnúť opätovným spustením testu pripojenia proxy na každom uzle.
Predtým ako začneš
1 | Vo webovom prehliadači otvorte rozhranie uzla Hybrid Data Security (IP adresa/nastavenie, napr. https://192.0.2.0/setup), zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite Prihlásiť sa. |
2 | Ísť do Prehľad (predvolená stránka). Keď je povolené, Zablokované externé rozlíšenie DNS je nastavený na Áno. |
3 | Choďte na Trust Store a proxy stránku. |
4 | Kliknite Skontrolujte pripojenie proxy. Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS a zostane v tomto režime. V opačnom prípade po reštartovaní uzla a návrate do Prehľad na stránke Blocked External DNS Resolution by mala byť nastavená na no. |
Čo urobiť ďalej
Odstráňte uzol
1 | Pomocou klienta VMware vSphere vo svojom počítači sa prihláste do virtuálneho hostiteľa ESXi a vypnite virtuálny počítač. |
2 | Odstráňte uzol: |
3 | V klientovi vSphere odstráňte VM. (Na ľavom navigačnom paneli kliknite pravým tlačidlom myši na VM a kliknite na Odstrániť.) Ak nevymažete VM, nezabudnite odpojiť konfiguračný súbor ISO. Bez súboru ISO nemôžete použiť VM na prístup k bezpečnostným údajom. |
Obnova po havárii pomocou pohotovostného dátového centra
Najdôležitejšou službou, ktorú váš klaster Hybrid Data Security poskytuje, je vytváranie a ukladanie kľúčov používaných na šifrovanie správ a iného obsahu uloženého v cloude Webex. Pre každého používateľa v rámci organizácie, ktorý je priradený k Hybrid Data Security, sú do klastra smerované nové požiadavky na vytvorenie kľúča. Klaster je tiež zodpovedný za vrátenie kľúčov, ktoré vytvoril, všetkým používateľom oprávneným na ich získanie, napríklad členom konverzačného priestoru.
Pretože klaster vykonáva kritickú funkciu poskytovania týchto kľúčov, je nevyhnutné, aby klaster zostal spustený a aby boli udržiavané správne zálohy. Strata databázy Hybrid Data Security alebo konfigurácie ISO použitej pre schému bude mať za následok NENÁVRATNÚ STRATU zákazníckeho obsahu. Aby sa predišlo takejto strate, sú povinné nasledujúce postupy:
Ak havária spôsobí, že nasadenie HDS v primárnom dátovom centre sa stane nedostupným, podľa tohto postupu manuálne prepnite na pohotovostné dátové centrum.
1 | Spustite nástroj HDS Setup a postupujte podľa krokov uvedených v Vytvorte ISO konfigurácie pre hostiteľov HDS. | ||
2 | Po nakonfigurovaní servera Syslogd kliknite na Pokročilé nastavenia | ||
3 | Na Pokročilé nastavenia pridajte konfiguráciu nižšie alebo odstráňte
| ||
4 | Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť. | ||
5 | Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. | ||
6 | V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na VM a kliknite Upraviť nastavenia.. | ||
7 | Kliknite Upraviť nastavenia >CD/DVD mechanika 1 a vyberte Datastore ISO File.
| ||
8 | Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy. | ||
9 | Opakujte proces pre každý uzol v pohotovostnom dátovom centre.
|
Čo urobiť ďalej
(Voliteľné) Odpojte ISO po konfigurácii HDS
Štandardná konfigurácia HDS beží s namontovaným ISO. Niektorí zákazníci však uprednostňujú neponechať súbory ISO nepretržite pripojené. Súbor ISO môžete odpojiť potom, čo všetky uzly HDS prevezmú novú konfiguráciu.
Na vykonanie zmien v konfigurácii stále používate súbory ISO. Keď vytvoríte nový ISO alebo aktualizujete ISO pomocou nástroja Setup Tool, musíte aktualizovaný ISO pripojiť na všetky vaše uzly HDS. Keď všetky vaše uzly zachytia zmeny konfigurácie, môžete ISO znova odpojiť pomocou tohto postupu.
Predtým ako začneš
Inovujte všetky svoje uzly HDS na verziu 2021.01.22.4720 alebo novšiu.
1 | Vypnite jeden z uzlov HDS. |
2 | V serverovom zariadení vCenter vyberte uzol HDS. |
3 | Vyberte si Súbor ISO úložiska údajov. a zrušte začiarknutie |
4 | Zapnite uzol HDS a uistite sa, že aspoň 20 minút nie sú žiadne alarmy. |
5 | Postup opakujte pre každý uzol HDS. |
Zobraziť upozornenia a riešenie problémov
Nasadenie Hybrid Data Security sa považuje za nedostupné, ak sú všetky uzly v klastri nedostupné alebo klaster pracuje tak pomaly, že si vyžaduje časový limit. Ak používatelia nemôžu dosiahnuť váš klaster Hybrid Data Security, zaznamenajú nasledujúce príznaky:
Nie je možné vytvoriť nové medzery (nemožno vytvoriť nové kľúče)
Správy a názvy priestorov sa nepodarilo dešifrovať pre:
Noví používatelia pridaní do priestoru (nemožno načítať kľúče)
Existujúci používatelia v priestore používajúci nového klienta (nemožno načítať kľúče)
Existujúci používatelia v priestore budú naďalej úspešne fungovať, pokiaľ budú mať ich klienti vyrovnávaciu pamäť šifrovacích kľúčov
Je dôležité, aby ste správne monitorovali svoj klaster Hybrid Data Security a okamžite riešili všetky výstrahy, aby ste predišli prerušeniu služby.
Upozornenia
Ak sa vyskytne problém s nastavením Hybrid Data Security, Control Hub zobrazí upozornenia správcovi organizácie a odošle e-maily na nakonfigurovanú e-mailovú adresu. Výstrahy pokrývajú mnoho bežných scenárov.
Upozornenie | Akcia |
---|---|
Zlyhanie prístupu k lokálnej databáze. |
Skontrolujte chyby databázy alebo problémy s lokálnou sieťou. |
Zlyhanie pripojenia k lokálnej databáze. |
Skontrolujte, či je databázový server dostupný a či boli v konfigurácii uzla použité správne poverenia servisného účtu. |
Zlyhanie prístupu k cloudovej službe. |
Skontrolujte, či majú uzly prístup k serverom Webex, ako je uvedené v Požiadavky na externé pripojenie. |
Obnovuje sa registrácia cloudovej služby. |
Registrácia do cloudových služieb bola zrušená. Prebieha obnova registrácie. |
Registrácia cloudovej služby bola zrušená. |
Registrácia do cloudových služieb bola ukončená. Služba sa vypína. |
Služba ešte nie je aktivovaná. |
Aktivujte skúšobnú verziu alebo dokončite presun skúšky do produkcie. |
Nakonfigurovaná doména sa nezhoduje s certifikátom servera. |
Uistite sa, že váš certifikát servera sa zhoduje s nakonfigurovanou doménou aktivácie služby. Najpravdepodobnejšou príčinou je, že certifikát CN bol nedávno zmenený a teraz sa líši od CN, ktorý bol použitý počas počiatočného nastavenia. |
Nepodarilo sa overiť v cloudových službách. |
Skontrolujte presnosť a možné vypršanie platnosti poverení servisného účtu. |
Nepodarilo sa otvoriť súbor lokálneho úložiska kľúčov. |
Skontrolujte integritu a presnosť hesla v lokálnom súbore skladu kľúčov. |
Certifikát lokálneho servera je neplatný. |
Skontrolujte dátum vypršania platnosti certifikátu servera a potvrďte, že bol vydaný dôveryhodnou certifikačnou autoritou. |
Nie je možné uverejniť metriky. |
Skontrolujte prístup k lokálnej sieti k externým cloudovým službám. |
Adresár /media/configdrive/hds neexistuje. |
Skontrolujte konfiguráciu pripojenia ISO na virtuálnom hostiteľovi. Overte, či súbor ISO existuje, či je nakonfigurovaný na pripojenie pri reštarte a či sa úspešne pripojí. |
Riešenie problémov so zabezpečením hybridných údajov
1 | Skontrolujte si v Control Hub všetky upozornenia a opravte všetky položky, ktoré tam nájdete. |
2 | Skontrolujte výstup servera syslog pre aktivitu z nasadenia Hybrid Data Security. |
3 | Kontakt Podpora Cisco. |
Známe problémy s hybridnou bezpečnosťou dát
Ak vypnete svoj klaster Hybrid Data Security (odstránením v Control Hub alebo vypnutím všetkých uzlov), stratíte svoj konfiguračný súbor ISO alebo stratíte prístup k databáze úložiska kľúčov, používatelia vašej aplikácie Webex App už nebudú môcť používať priestory pod svojimi ľuďmi. zoznam, ktorý bol vytvorený pomocou kľúčov z vášho KMS. Platí to pre skúšobné aj produkčné nasadenia. V súčasnosti nemáme riešenie ani opravu tohto problému a žiadame vás, aby ste nevypínali svoje služby HDS, keď budú spracovávať aktívne používateľské účty.
Klient, ktorý má existujúce pripojenie ECDH ku KMS, udržiava toto pripojenie určitý čas (pravdepodobne jednu hodinu). Keď sa používateľ stane členom skúšobnej verzie Hybrid Data Security, klient používateľa naďalej používa existujúce pripojenie ECDH, kým nevyprší časový limit. Prípadne sa používateľ môže odhlásiť a znova prihlásiť do aplikácie Webex App, aby aktualizoval umiestnenie, ktoré aplikácia kontaktuje pre šifrovacie kľúče.
Rovnaké správanie nastane, keď presuniete skúšobnú verziu do produkcie organizácie. Všetci neskúšobní používatelia s existujúcimi pripojeniami ECDH k predchádzajúcim službám zabezpečenia údajov budú tieto služby naďalej používať, kým sa znovu nedohodne pripojenie ECDH (prostredníctvom časového limitu alebo odhlásením a opätovným prihlásením).
Na vygenerovanie súboru PKCS12 použite OpenSSL
Predtým ako začneš
OpenSSL je jeden nástroj, ktorý možno použiť na vytvorenie súboru PKCS12 v správnom formáte na načítanie v nástroji HDS Setup Tool. Existujú aj iné spôsoby, ako to urobiť, a my nepodporujeme ani nepresadzujeme jeden spôsob oproti druhému.
Ak sa rozhodnete použiť OpenSSL, poskytujeme tento postup ako návod, ktorý vám pomôže vytvoriť súbor, ktorý spĺňa požiadavky certifikátu X.509 v Požiadavky na certifikát X.509. Než budete pokračovať, pochopte tieto požiadavky.
Nainštalujte OpenSSL v podporovanom prostredí. Pozri https://www.openssl.org pre softvér a dokumentáciu.
Vytvorte súkromný kľúč.
Tento postup začnite, keď dostanete certifikát servera od certifikačnej autority (CA).
1 | Keď dostanete certifikát servera od vašej CA, uložte ho ako |
2 | Zobrazte certifikát ako text a overte podrobnosti.
|
3 | Pomocou textového editora vytvorte súbor zväzku certifikátov s názvom
|
4 | Vytvorte súbor .p12 s popisným názvom
|
5 | Skontrolujte podrobnosti certifikátu servera. |
Čo urobiť ďalej
Návrat do Vyplňte Predpoklady pre hybridnú bezpečnosť údajov. Budete používať hdsnode.p12
súbor a heslo, ktoré ste preň nastavili Vytvorte ISO konfigurácie pre hostiteľov HDS.
Tieto súbory môžete znova použiť na vyžiadanie nového certifikátu, keď platnosť pôvodného certifikátu vyprší. |
Prevádzka medzi uzlami HDS a cloudom
Odchádzajúca návštevnosť zberu metrík
Uzly Hybrid Data Security odosielajú určité metriky do cloudu Webex. Patria sem systémové metriky pre maximálnu haldu, využitú haldu, zaťaženie procesora a počet vlákien; metriky na synchrónnych a asynchrónnych vláknach; metriky výstrah zahŕňajúce prah šifrovacích pripojení, latenciu alebo dĺžku frontu požiadaviek; metriky na dátovom úložisku; a metriky šifrovaného pripojenia. Uzly posielajú zašifrovaný kľúčový materiál cez kanál mimo pásma (oddelený od požiadavky).
Prichádzajúca premávka
Uzly Hybrid Data Security prijímajú nasledujúce typy prichádzajúcej prevádzky z cloudu Webex:
Šifrovacie požiadavky od klientov, ktoré sú smerované šifrovacou službou
Aktualizácie softvéru uzla
Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát
Websocket sa nemôže pripojiť cez Squid Proxy
Proxy serverov chobotnice, ktoré kontrolujú prenos HTTPS, môžu zasahovať do vytvorenia webovej zásuvky ( wss:
) pripojenia, ktoré vyžaduje Hybrid Data Security. Tieto časti poskytujú návod, ako nakonfigurovať rôzne verzie Squid na ignorovanie wss:
prevádzky pre správne fungovanie služieb.
Kalmáre 4 a 5
Pridajte on_unsupported_protocol
smernica k squid.conf
:
on_unsupported_protocol tunnel all
Kalmáre 3.5.27
Hybridnú bezpečnosť dát sme úspešne otestovali s nasledujúcimi pravidlami squid.conf
. Tieto pravidlá sa môžu meniť, pretože vyvíjame funkcie a aktualizujeme cloud Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
New and changed information
Dátum |
Changes Made | ||
---|---|---|---|
October 20, 2023 |
| ||
August 07, 2023 |
| ||
May 23, 2023 |
| ||
December 06, 2022 |
| ||
November 23, 2022 |
| ||
October 13, 2021 |
Docker Desktop needs to run a setup program before you can install HDS nodes. See Docker Desktop Requirements. | ||
June 24, 2021 |
Noted that you can reuse the private key file and CSR to request another certificate. See Use OpenSSL to Generate a PKCS12 File for details. | ||
April 30, 2021 |
Changed the VM requirement for local hard disk space to 30 GB. See Virtual Host Requirements for details. | ||
February 24, 2021 |
HDS Setup Tool can now run behind a proxy. See Create a Configuration ISO for the HDS Hosts for details. | ||
February 2, 2021 |
HDS can now run without a mounted ISO file. See (Optional) Unmount ISO After HDS Configuration for details. | ||
January 11, 2021 |
Added info on HDS Setup tool and proxies to Create a Configuration ISO for the HDS Hosts. | ||
October 13, 2020 |
Updated Download Installation Files. | ||
October 8, 2020 |
Updated Create a Configuration ISO for the HDS Hosts and Change the Node Configuration with commands for FedRAMP environments. | ||
August 14, 2020 |
Updated Create a Configuration ISO for the HDS Hosts and Change the Node Configuration with changes to the sign-in process. | ||
August 5, 2020 |
Updated Test Your Hybrid Data Security Deployment for changes in log messages. Updated Virtual Host Requirements to remove maximum number of hosts. | ||
June 16, 2020 |
Updated Remove a Node for changes in the Control Hub UI. | ||
June 4, 2020 |
Updated Create a Configuration ISO for the HDS Hosts for changes in the Advanced Settings that you might set. | ||
May 29, 2020 |
Updated Create a Configuration ISO for the HDS Hosts to show you can also use TLS with SQL Server databases, UI changes, and other clarifications. | ||
May 5, 2020 |
Updated Virtual Host Requirements to show new requirement of ESXi 6.5. | ||
April 21, 2020 |
Updated External connectivity requirements with new Americas CI hosts. | ||
April 1, 2020 |
Updated External connectivity requirements with information on regional CI hosts. | ||
February 20, 2020 | Updated Create a Configuration ISO for the HDS Hosts with information on new optional Advanced Settings screen in the HDS Setup Tool. | ||
February 4, 2020 | Updated Proxy Server Requirements. | ||
December 16, 2019 | Clarified the requirement for Blocked External DNS Resolution Mode to work in Proxy Server Requirements. | ||
November 19, 2019 |
Added information about Blocked External DNS Resolution Mode in the following sections: | ||
November 8, 2019 |
You can now configure network settings for a node while deploying the OVA rather than afterwards. Updated the following sections accordingly:
| ||
September 6, 2019 |
Added SQL Server Standard to Database server requirements. | ||
August 29, 2019 | Added Configure Squid Proxies for Hybrid Data Security appendix with guidance on configuring Squid proxies to ignore websocket traffic for proper operation. | ||
August 20, 2019 |
Added and updated sections to cover proxy support for Hybrid Data Security node communications to the Webex cloud. To access just the proxy support content for an existing deployment, see the Proxy Support for Hybrid Data Security and Webex Video Mesh help article. | ||
June 13, 2019 | Updated Trial to Production Task Flow with a reminder to synchronize the HdsTrialGroup group object before starting a trial if your organization uses directory synchronization. | ||
March 6, 2019 |
| ||
February 28, 2019 |
| ||
February 26, 2019 |
| ||
January 24, 2019 |
| ||
November 5, 2018 |
| ||
October 19, 2018 |
| ||
July 31, 2018 |
| ||
May 21, 2018 |
Changed terminology to reflect the rebranding of Cisco Spark:
| ||
April 11, 2018 |
| ||
February 22, 2018 |
| ||
February 15, 2018 |
| ||
January 18, 2018 |
| ||
November 2, 2017 |
| ||
August 18, 2017 |
First published |
Prehľad zabezpečenia hybridných údajov
Od prvého dňa bola bezpečnosť údajov hlavným zameraním pri navrhovaní Webex App. Základným kameňom tohto zabezpečenia je komplexné šifrovanie obsahu, ktoré umožňujú klienti Webex App interagujúci so službou správy kľúčov (KMS). KMS je zodpovedný za vytváranie a správu kryptografických kľúčov, ktoré klienti používajú na dynamické šifrovanie a dešifrovanie správ a súborov.
V predvolenom nastavení dostávajú všetci zákazníci Webex App end-to-end šifrovanie s dynamickými kľúčmi uloženými v cloudovom KMS v oblasti bezpečnosti Cisco. Hybrid Data Security presúva KMS a ďalšie funkcie súvisiace so zabezpečením do vášho podnikového dátového centra, takže kľúče k vášmu šifrovanému obsahu nemá nikto okrem vás.
Architektúra bezpečnostnej sféry
Cloudová architektúra Webex oddeľuje rôzne typy služieb do samostatných oblastí alebo dôveryhodných domén, ako je znázornené nižšie.
Aby sme lepšie porozumeli Hybrid Data Security, pozrime sa najprv na tento čistý cloud, kde Cisco poskytuje všetky funkcie vo svojich cloudových sférach. Služba identity, jediné miesto, kde môžu používatelia priamo korelovať so svojimi osobnými údajmi, ako je e-mailová adresa, je logicky a fyzicky oddelená od oblasti zabezpečenia v dátovom centre B. Obe sú zase oddelené od oblasti, kde je v konečnom dôsledku uložený šifrovaný obsah. , v dátovom centre C.
V tomto diagrame je klientom aplikácia Webex, ktorá beží na notebooku používateľa a je overená službou identity. Keď používateľ vytvorí správu na odoslanie do priestoru, vykonajú sa tieto kroky:
-
Klient vytvorí zabezpečené spojenie so službou správy kľúčov (KMS), potom požiada o kľúč na zašifrovanie správy. Zabezpečené pripojenie používa ECDH a KMS šifruje kľúč pomocou hlavného kľúča AES-256.
-
Správa je pred opustením klienta zašifrovaná. Klient ho odošle do indexovacej služby, ktorá vytvorí šifrované indexy vyhľadávania na pomoc pri budúcom vyhľadávaní obsahu.
-
Zašifrovaná správa sa odošle do služby súladu na kontrolu súladu.
-
Zašifrovaná správa je uložená v úložnej sfére.
Keď nasadíte Hybrid Data Security, presuniete funkcie bezpečnostnej sféry (KMS, indexovanie a súlad) do vášho lokálneho dátového centra. Ostatné cloudové služby, ktoré tvoria Webex (vrátane ukladania identity a obsahu), zostávajú v sférach spoločnosti Cisco.
Spolupráca s inými organizáciami
Používatelia vo vašej organizácii môžu pravidelne používať aplikáciu Webex na spoluprácu s externými účastníkmi v iných organizáciách. Keď jeden z vašich používateľov požaduje kľúč pre priestor, ktorý vlastní vaša organizácia (pretože ho vytvoril jeden z vašich používateľov), váš KMS odošle kľúč klientovi cez zabezpečený kanál ECDH. Keď však kľúč priestoru vlastní iná organizácia, váš KMS nasmeruje požiadavku do cloudu Webex cez samostatný kanál ECDH, aby získal kľúč z príslušného KMS, a potom vráti kľúč vášmu používateľovi na pôvodnom kanáli.
Služba KMS spustená v organizácii A overuje pripojenia ku KMS v iných organizáciách pomocou x.509 PKI certifikátov. Podrobnosti o generovaní certifikátu x.509 na použitie s nasadením Hybrid Data Security nájdete v časti Príprava prostredia .
Očakávania týkajúce sa nasadenia hybridnej bezpečnosti údajov
Nasadenie Hybrid Data Security si vyžaduje značné nasadenie zákazníkov a uvedomenie si rizík, ktoré so sebou prináša vlastníctvo šifrovacích kľúčov.
Ak chcete nasadiť Hybrid Data Security, musíte poskytnúť:
-
Zabezpečené dátové centrum v krajine, ktorá je podporovaným miestom pre plány Cisco Webex Teams.
-
Vybavenie, softvér a sieťový prístup popísané v časti Príprava prostredia.
Úplná strata buď konfiguračného ISO, ktoré ste vytvorili pre Hybrid Data Security, alebo databázy, ktorú poskytnete, bude mať za následok stratu kľúčov. Strata kľúča bráni používateľom dešifrovať obsah priestoru a ďalšie šifrované údaje v aplikácii Webex. Ak sa tak stane, môžete vytvoriť nové nasadenie, ale bude viditeľný iba nový obsah. Aby ste predišli strate prístupu k údajom, musíte:
-
Spravujte zálohovanie a obnovu databázy a konfiguračného ISO.
-
Buďte pripravení vykonať rýchlu obnovu po havárii, ak dôjde ku katastrofe, ako je zlyhanie databázového disku alebo katastrofa dátového centra.
Neexistuje žiadny mechanizmus na presun kľúčov späť do cloudu po nasadení HDS. |
Proces nastavenia na vysokej úrovni
Tento dokument pokrýva nastavenie a správu nasadenia Hybrid Data Security:
Nastavenie Hybrid Data Security – zahŕňa prípravu požadovanej infraštruktúry a inštaláciu softvéru Hybrid Data Security, testovanie vášho nasadenia s podskupinou používateľov v skúšobnom režime a po dokončení testovania prechod do produkcie. To prevedie celú organizáciu na používanie vášho klastra Hybrid Data Security na bezpečnostné funkcie.
Fázy nastavenia, skúšania a výroby sú podrobne opísané v nasledujúcich troch kapitolách.
-
Udržujte svoje nasadenie Hybrid Data Security – cloud Webex automaticky poskytuje priebežné inovácie. Vaše IT oddelenie môže poskytnúť podporu prvej úrovne pre toto nasadenie a podľa potreby zapojiť podporu Cisco. V Control Hub môžete používať upozornenia na obrazovke a nastaviť upozornenia prostredníctvom e-mailu.
-
Pochopte bežné upozornenia, kroky na riešenie problémov a známe problémy – Ak narazíte na problémy s nasadením alebo používaním Hybrid Data Security, posledná kapitola tejto príručky a príloha Známe problémy vám môžu pomôcť určiť a vyriešiť problém.
Hybridný model nasadenia zabezpečenia dát
V rámci podnikového dátového centra nasadíte Hybrid Data Security ako jeden klaster uzlov na samostatných virtuálnych hostiteľoch. Uzly komunikujú s cloudom Webex prostredníctvom zabezpečených webových zásuviek a zabezpečeného HTTP.
Počas procesu inštalácie vám poskytneme súbor OVA na nastavenie virtuálneho zariadenia na VM, ktoré poskytnete. Nástroj HDS Setup Tool použijete na vytvorenie vlastného konfiguračného súboru ISO klastra, ktorý pripojíte na každý uzol. Klaster Hybrid Data Security využíva váš poskytnutý server Syslogd a databázu PostgreSQL alebo Microsoft SQL Server. (Syslogd a podrobnosti o pripojení k databáze nakonfigurujete v nástroji HDS Setup Tool.)
Minimálny počet uzlov, ktoré môžete mať v klastri, sú dva. Odporúčame aspoň tri a môžete ich mať až päť. Viacnásobné uzly zaisťujú, že služba nebude prerušená počas aktualizácie softvéru alebo inej činnosti údržby na uzle. (Cloud Webex aktualizuje naraz iba jeden uzol.)
Všetky uzly v klastri pristupujú k rovnakému úložisku údajov kľúčov a zaznamenávajú aktivitu na rovnaký server syslog. Samotné uzly sú bez stavu a spracovávajú kľúčové požiadavky v režime round-robin podľa pokynov cloudu.
Uzly sa stanú aktívnymi, keď ich zaregistrujete v Control Hub. Ak chcete vyradiť jednotlivý uzol z prevádzky, môžete ho zrušiť a neskôr v prípade potreby znova zaregistrovať.
Podporujeme iba jeden klaster na organizáciu.
Skúšobný režim hybridnej bezpečnosti dát
Po nastavení nasadenia Hybrid Data Security ho najskôr vyskúšate so skupinou pilotných používateľov. Počas skúšobného obdobia títo používatelia používajú vašu lokálnu doménu Hybrid Data Security na šifrovacie kľúče a ďalšie služby v oblasti zabezpečenia. Ostatní vaši používatelia naďalej používajú oblasť zabezpečenia cloudu.
Ak sa rozhodnete nepokračovať v nasadzovaní počas skúšobného obdobia a službu deaktivujete, pilotní používatelia a všetci používatelia, s ktorými počas skúšobného obdobia interagovali vytvorením nových priestorov, stratia prístup k správam a obsahu. V aplikácii Webex sa im zobrazí „Táto správa sa nedá dešifrovať“.
Ak ste spokojní s tým, že vaše nasadenie funguje dobre pre skúšobných používateľov a ste pripravení rozšíriť Hybrid Data Security na všetkých svojich používateľov, presuniete nasadenie do produkcie. Pilotní používatelia majú naďalej prístup ku kľúčom, ktoré sa používali počas skúšobnej verzie. Nemôžete sa však pohybovať tam a späť medzi produkčným režimom a pôvodnou skúšobnou verziou. Ak musíte službu deaktivovať, napríklad vykonať obnovu po havárii, pri opätovnej aktivácii musíte spustiť novú skúšobnú verziu a nastaviť skupinu pilotných používateľov pre novú skúšobnú verziu, než sa vrátite späť do produkčného režimu. Či si používatelia v tomto bode zachovajú prístup k údajom, závisí od toho, či ste úspešne udržiavali zálohy úložiska kľúčových údajov a konfiguračného súboru ISO pre uzly Hybrid Data Security vo vašom klastri.
Pohotovostné dátové centrum pre obnovu po havárii
Počas nasadenia nastavíte zabezpečené pohotovostné dátové centrum. V prípade havárie dátového centra môžete manuálne zlyhať nasadenie do pohotovostného dátového centra.
Databázy aktívnych a pohotovostných dátových centier sú navzájom synchronizované, čo minimalizuje čas potrebný na vykonanie núdzového prepnutia. Súbor ISO pohotovostného dátového centra sa aktualizuje o ďalšie konfigurácie, ktoré zaisťujú, že uzly sú registrované v organizácii, ale nebudú spracovávať prevádzku. Preto uzly pohotovostného dátového centra zostávajú vždy aktuálne s najnovšou verziou softvéru HDS.
Aktívne uzly Hybrid Data Security musia byť vždy v rovnakom údajovom centre ako aktívny databázový server. |
Nastavte pohotovostné dátové centrum pre obnovu po havárii
Ak chcete nakonfigurovať súbor ISO pohotovostného dátového centra, postupujte podľa nasledujúcich krokov:
Skôr ako začnete
-
Pohotovostné dátové centrum by malo odrážať produkčné prostredie VM a záložnú databázu PostgreSQL alebo Microsoft SQL Server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM. (Prehľad tohto modelu núdzového prepnutia nájdete v časti Pohotovostné dátové centrum pre obnovu po havárii .)
-
Uistite sa, že je povolená synchronizácia databázy medzi databázou aktívnych a pasívnych uzlov klastra.
1 |
Spustite nástroj na nastavenie HDS a postupujte podľa krokov uvedených v časti Vytvorenie konfiguračného ISO pre hostiteľov HDS.
| ||
2 |
Po konfigurácii servera Syslogd kliknite na položku Rozšírené nastavenia | ||
3 |
Na stránke Rozšírené nastavenia pridajte nižšie uvedenú konfiguráciu, aby sa uzol dostal do pasívneho režimu. V tomto režime bude uzol zaregistrovaný v organizácii a pripojený ku cloudu, ale nebude spracovávať žiadny prenos.
| ||
4 |
Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť. | ||
5 |
Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. | ||
6 |
V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Upraviť nastavenia. | ||
7 |
Kliknite na položku Upraviť nastavenia >Jednotka CD/DVD 1 a vyberte položku Datastore ISO File.
| ||
8 |
Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy. | ||
9 |
Opakujte proces pre každý uzol v pohotovostnom dátovom centre.
|
Čo robiť ďalej
Po konfigurácii passiveMode
v súbore ISO a jeho uložení môžete vytvoriť ďalšiu kópiu súboru ISO bez konfigurácie passiveMode
a uložiť ju na bezpečné miesto. Táto kópia súboru ISO bez nakonfigurovaného passiveMode
môže pomôcť pri rýchlom procese núdzového prepnutia počas obnovy po havárii. Podrobný postup pri zlyhaní nájdete v časti Obnova po havárii pomocou pohotovostného dátového centra .
Podpora proxy
Hybrid Data Security podporuje explicitné, transparentné kontrolné a nekontrolujúce proxy. Tieto servery proxy môžete prepojiť s nasadením, aby ste mohli zabezpečiť a monitorovať prevádzku z podniku do cloudu. Rozhranie správcu platformy na uzloch môžete použiť na správu certifikátov a na kontrolu celkového stavu pripojenia po nastavení servera proxy na uzloch.
Uzly Hybrid Data Security podporujú nasledujúce možnosti proxy:
-
Bez servera proxy – predvolená hodnota, ak na integráciu servera proxy nepoužívate konfiguráciu dôveryhodného obchodu a servera proxy na nastavenie uzla HDS. Nevyžaduje sa žiadna aktualizácia certifikátu.
-
Transparentný nekontrolujúci proxy server – uzly nie sú nakonfigurované na používanie konkrétnej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.
-
Transparentné tunelovanie alebo kontrola servera proxy – uzly nie sú nakonfigurované na používanie konkrétnej adresy servera proxy. Na uzloch nie sú potrebné žiadne zmeny konfigurácie HTTP alebo HTTPS. Uzly však potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).
-
Explicitný server proxy – pomocou explicitného servera proxy poviete uzlom HDS, ktorý server proxy a schému overenia majú použiť. Ak chcete nakonfigurovať explicitný server proxy, musíte do každého uzla zadať nasledujúce informácie:
-
Proxy IP/FQDN – adresa, ktorú možno použiť na spojenie so zariadením proxy.
-
Port proxy – číslo portu, ktoré server proxy používa na počúvanie prenosu cez server proxy.
-
Protokol proxy – v závislosti od toho, čo váš server proxy podporuje, si vyberte z nasledujúcich protokolov:
-
HTTP – zobrazuje a riadi všetky požiadavky, ktoré klient odosiela.
-
HTTPS – poskytuje kanál pre server. Klient prijme a overí certifikát servera.
-
-
Typ overenia totožnosti – vyberte si z nasledujúcich typov overenia totožnosti:
-
Žiadne – nevyžaduje sa žiadne ďalšie overenie.
Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.
-
Základné – používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.
Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.
Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.
-
Súhrn – používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.
Dostupné, iba ak vyberiete HTTPS ako protokol proxy.
Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.
-
-
Príklad uzlov na zabezpečenie hybridných dát a proxy
Tento diagram ukazuje príklad spojenia medzi Hybrid Data Security, sieťou a serverom proxy. Pre možnosti transparentnej kontroly a explicitnej kontroly HTTPS musí byť na serveri proxy a na uzloch Hybrid Data Security nainštalovaný rovnaký koreňový certifikát.
Blokovaný režim externého rozlíšenia DNS (explicitné konfigurácie proxy)
Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. V nasadeniach s explicitnými konfiguráciami proxy, ktoré neumožňujú externé rozlíšenie DNS pre interných klientov, ak uzol nemôže dotazovať servery DNS, automaticky prejde do režimu blokovaného externého riešenia DNS. V tomto režime môže pokračovať registrácia uzla a ďalšie testy pripojenia proxy.
Požiadavky na hybridnú bezpečnosť dát
Požiadavky na licenciu Cisco Webex
Nasadenie Hybrid Data Security:
-
Musíte mať balík Pro Pack pre Cisco Webex Control Hub. (Pozrite si https://www.cisco.com/go/pro-pack.)
Požiadavky na plochu Docker
Pred inštaláciou uzlov HDS potrebujete Docker Desktop na spustenie inštalačného programu. Docker nedávno aktualizoval svoj licenčný model. Vaša organizácia môže vyžadovať platené predplatné pre Docker Desktop. Podrobnosti nájdete v blogovom príspevku Docker „ Docker aktualizuje a rozširuje naše predplatné produktov“.
Požiadavky na certifikát X.509
Certifikačný reťazec musí spĺňať nasledujúce požiadavky:
Požiadavka |
Podrobnosti |
---|---|
|
V predvolenom nastavení dôverujeme CA v zozname Mozilly (s výnimkou WoSign a StartCom) na https://wiki.mozilla.org/CA:IncludedCAs. |
|
CN nemusí byť dosiahnuteľné alebo živého hostiteľa. Odporúčame vám použiť názov, ktorý zodpovedá vašej organizácii, napríklad KN nesmie obsahovať * (zástupný znak). CN sa používa na overenie uzlov Hybrid Data Security pre klientov Webex App. Všetky uzly Hybrid Data Security vo vašom klastri používajú rovnaký certifikát. Váš KMS sa identifikuje pomocou domény CN, nie akejkoľvek domény, ktorá je definovaná v poliach x.509v3 SAN. Po zaregistrovaní uzla s týmto certifikátom nepodporujeme zmenu názvu domény CN. Vyberte doménu, ktorá sa môže vzťahovať na skúšobné aj produkčné nasadenie. |
|
Softvér KMS nepodporuje podpisy SHA1 na overenie pripojení k KMS iných organizácií. |
|
Na zmenu formátu certifikátu môžete použiť konvertor, ako je OpenSSL. Pri spustení nástroja HDS Setup Tool budete musieť zadať heslo. |
Softvér KMS nevynucuje používanie kľúčov ani rozšírené obmedzenia používania kľúčov. Niektoré certifikačné autority vyžadujú, aby sa na každý certifikát aplikovali rozšírené obmedzenia používania kľúčov, ako je autentifikácia servera. Je v poriadku použiť overenie servera alebo iné nastavenia.
Požiadavky na virtuálny hostiteľ
Virtuálni hostitelia, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri, majú nasledujúce požiadavky:
-
Aspoň dvaja oddelení hostitelia (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre
-
VMware ESXi 6.5 (alebo novší) nainštalovaný a spustený.
Ak máte staršiu verziu ESXi, musíte vykonať inováciu.
-
Minimálne 4 vCPU, 8 GB hlavnej pamäte, 30 GB miesta na lokálnom pevnom disku na server
Požiadavky na databázový server
Vytvorte novú databázu pre uloženie kľúčov. Nepoužívajte predvolenú databázu. Aplikácie HDS, keď sú nainštalované, vytvoria schému databázy. |
Pre databázový server sú dve možnosti. Požiadavky na každú z nich sú nasledovné:
PostgreSQL |
Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať po dlhú dobu bez toho, aby ste museli zväčšiť úložisko) |
Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať po dlhú dobu bez toho, aby ste museli zväčšiť úložisko) |
Softvér HDS momentálne inštaluje nasledujúce verzie ovládačov na komunikáciu s databázovým serverom:
PostgreSQL |
Microsoft SQL Server |
---|---|
Postgres JDBC ovládač 42.2.5 |
Ovládač SQL Server JDBC 4.6 Táto verzia ovládača podporuje server SQL Server Always On (Inštancie klastra prepnutia pri zlyhaní a skupiny dostupnosti Vždy zapnuté). |
Dodatočné požiadavky na overenie systému Windows voči Microsoft SQL Server
Ak chcete, aby uzly HDS používali autentifikáciu systému Windows na získanie prístupu k vašej databáze úložiska kľúčov na serveri Microsoft SQL Server, potrebujete vo svojom prostredí nasledujúcu konfiguráciu:
-
HDS uzly, infraštruktúra Active Directory a MS SQL Server musia byť synchronizované s NTP.
-
Účet Windows, ktorý poskytnete uzlom HDS, musí mať prístup k databáze na čítanie/zápis.
-
Servery DNS, ktoré poskytujete uzlom HDS, musia byť schopné vyriešiť vaše Centrum distribúcie kľúčov (KDC).
-
Inštanciu databázy HDS môžete zaregistrovať na svojom serveri Microsoft SQL Server ako hlavný názov služby (SPN) vo vašom adresári Active Directory. Pozrite si časť Registrácia hlavného názvu služby pre pripojenia Kerberos.
Nástroj na nastavenie HDS, spúšťač HDS a miestne KMS musia na prístup k databáze kľúčov používať overenie systému Windows. Používajú podrobnosti z vašej konfigurácie ISO na vytvorenie SPN pri požadovaní prístupu s overením Kerberos.
Požiadavky na externé pripojenie
Nakonfigurujte svoj firewall tak, aby umožňoval nasledujúce pripojenie pre aplikácie HDS:
Aplikácia |
Protokol |
Port |
Smer z App |
Cieľ |
---|---|---|---|---|
Hybridné uzly zabezpečenia údajov |
TCP |
443 |
Odchádzajúce HTTPS a WSS |
|
Nástroj na nastavenie HDS |
TCP |
443 |
Odchádzajúce HTTPS |
|
Uzly Hybrid Data Security pracujú s prekladom sieťového prístupu (NAT) alebo za bránou firewall, pokiaľ NAT alebo brána firewall umožňuje požadované odchádzajúce pripojenia k destináciám domény v predchádzajúcej tabuľke. Pre pripojenia prichádzajúce do uzlov Hybrid Data Security by nemali byť z internetu viditeľné žiadne porty. V rámci vášho dátového centra potrebujú klienti prístup k uzlom Hybrid Data Security na portoch TCP 443 a 22 na administratívne účely. |
Adresy URL hostiteľov Common Identity (CI) sú špecifické pre daný región. Toto sú súčasní hostitelia CI:
región |
Spoločné adresy URL hostiteľa identity |
---|---|
Ameriky |
|
Európskej únie |
|
Kanada |
|
Požiadavky na proxy server
-
Oficiálne podporujeme nasledujúce proxy riešenia, ktoré sa dajú integrovať s vašimi uzlami Hybrid Data Security.
-
Transparentný proxy – Cisco Web Security Appliance (WSA).
-
Explicitný proxy-Squid.
Squid proxy, ktoré kontrolujú prenos HTTPS, môžu narúšať vytváranie pripojení websocket (wss:). Ak chcete tento problém vyriešiť, prečítajte si časť Konfigurácia serverov proxy Squid pre hybridné zabezpečenie údajov.
-
-
Pre explicitné servery proxy podporujeme nasledujúce kombinácie typov overenia:
-
Žiadna autentifikácia pomocou HTTP alebo HTTPS
-
Základná autentifikácia pomocou HTTP alebo HTTPS
-
Digest overenie iba s HTTPS
-
-
Pre transparentný kontrolný proxy server alebo explicitný proxy server HTTPS musíte mať kópiu koreňového certifikátu servera proxy. Pokyny na nasadenie v tejto príručke vám povedia, ako nahrať kópiu do dôveryhodných obchodov uzlov Hybrid Data Security.
-
Sieť, ktorá hostí uzly HDS, musí byť nakonfigurovaná tak, aby vynútila smerovanie odchádzajúcej prevádzky TCP na porte 443 cez server proxy.
-
Proxy, ktoré kontrolujú webovú prevádzku, môžu narúšať pripojenia webových soketov. Ak sa vyskytne tento problém, problém vyrieši obídenie (nie kontrola) návštevnosti stránok
wbx2.com
aciscospark.com
.
Vyplňte Predpoklady pre hybridnú bezpečnosť údajov
1 |
Uistite sa, že vaša organizácia Webex má povolený balík Pro Pack pre Cisco Webex Control Hub a získajte prihlasovacie údaje účtu s úplnými právami správcu organizácie. Ak potrebujete pomoc s týmto procesom, kontaktujte svojho partnera Cisco alebo account manažéra. | ||
2 |
Vyberte názov domény pre svoje nasadenie HDS (napríklad | ||
3 |
Pripravte si identických virtuálnych hostiteľov, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri. Potrebujete aspoň dvoch samostatných hostiteľov (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre, ktorí spĺňajú požiadavky v časti Požiadavky na virtuálneho hostiteľa. | ||
4 |
Pripravte databázový server, ktorý bude fungovať ako úložisko kľúčových údajov pre klaster, v súlade s požiadavkami na databázový server. Databázový server musí byť umiestnený v zabezpečenom údajovom centre spolu s virtuálnymi hostiteľmi. | ||
5 |
Pre rýchlu obnovu po havárii nastavte zálohovacie prostredie v inom dátovom centre. Zálohovacie prostredie odzrkadľuje produkčné prostredie VM a záložný databázový server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM. | ||
6 |
Nastavte hostiteľa syslog na zhromažďovanie protokolov z uzlov v klastri. Získajte jeho sieťovú adresu a port syslog (predvolené je UDP 514). | ||
7 |
Vytvorte politiku bezpečného zálohovania pre uzly Hybrid Data Security, databázový server a hostiteľa syslog. Aby ste predišli nenapraviteľnej strate údajov, musíte minimálne zálohovať databázu a konfiguračný súbor ISO vygenerovaný pre uzly Hybrid Data Security.
Klienti Webex App ukladajú svoje kľúče do vyrovnávacej pamäte, takže výpadok nemusí byť okamžite viditeľný, ale časom sa prejaví. Zatiaľ čo dočasným výpadkom nie je možné zabrániť, sú obnoviteľné. Úplná strata (nie sú k dispozícii žiadne zálohy) databázy alebo konfiguračného ISO súboru však bude mať za následok neobnoviteľné zákaznícke údaje. Od operátorov uzlov Hybrid Data Security sa očakáva, že budú pravidelne zálohovať databázu a konfiguračný súbor ISO a budú pripravení na prestavbu dátového centra Hybrid Data Security, ak dôjde ku katastrofálnej poruche. | ||
8 |
Uistite sa, že konfigurácia brány firewall umožňuje pripojenie pre uzly Hybrid Data Security, ako je uvedené v časti Požiadavky na externé pripojenie. | ||
9 |
Nainštalujte Docker ( https://www.docker.com) na ľubovoľný lokálny počítač s podporovaným operačným systémom (Microsoft Windows 10 Professional alebo Enterprise 64-bitový alebo Mac OSX Yosemite 10.10.3 alebo novší) pomocou webového prehliadača, ktorý k nemu má prístup na adrese http://127.0.0.1:8080. Inštanciu Docker použijete na stiahnutie a spustenie nástroja HDS Setup Tool, ktorý vytvorí informácie o lokálnej konfigurácii pre všetky uzly Hybrid Data Security. Vaša organizácia môže potrebovať licenciu Docker Desktop. Ďalšie informácie nájdete v časti Požiadavky na pracovnú plochu Docker . Ak chcete nainštalovať a spustiť nástroj HDS Setup Tool, miestny počítač musí mať pripojenie uvedené v časti Požiadavky na externé pripojenie. | ||
10 |
Ak integrujete server proxy so službou Hybrid Data Security, uistite sa, že spĺňa požiadavky na server proxy. | ||
11 |
Ak vaša organizácia používa synchronizáciu adresárov, vytvorte v službe Active Directory skupinu s názvom
|
Tok úloh nasadenia zabezpečenia hybridných údajov
Skôr ako začnete
1 |
Stiahnite si inštalačné súbory Stiahnite si súbor OVA na váš lokálny počítač pre neskoršie použitie. | ||
2 |
Vytvorte ISO konfigurácie pre hostiteľov HDS Pomocou nástroja HDS Setup Tool vytvorte konfiguračný súbor ISO pre uzly Hybrid Data Security. | ||
3 |
Vytvorte virtuálny počítač zo súboru OVA a vykonajte počiatočnú konfiguráciu, ako sú nastavenia siete.
| ||
4 |
Nastavte virtuálny počítač Hybrid Data Security Prihláste sa do konzoly VM a nastavte prihlasovacie poverenia. Nakonfigurujte sieťové nastavenia pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA. | ||
5 |
Nahrajte a pripojte ISO konfiguráciu HDS Nakonfigurujte VM z konfiguračného súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool. | ||
6 |
Nakonfigurujte uzol HDS na integráciu proxy Ak sieťové prostredie vyžaduje konfiguráciu servera proxy, zadajte typ servera proxy, ktorý použijete pre uzol, a v prípade potreby pridajte certifikát servera proxy do dôveryhodného úložiska. | ||
7 |
Zaregistrujte prvý uzol v klastri Zaregistrujte VM v cloude Cisco Webex ako uzol Hybrid Data Security. | ||
8 |
Vytvorte a zaregistrujte viac uzlov Dokončite nastavenie klastra. | ||
9 |
Spustiť skúšobnú verziu a prejsť do produkcie (ďalšia kapitola) Kým nezačnete skúšobnú verziu, vaše uzly generujú alarm oznamujúci, že vaša služba ešte nie je aktivovaná. |
Stiahnite si inštalačné súbory
1 |
Prihláste sa do služby https://admin.webex.com a potom kliknite na položku Služby. | ||||
2 |
V sekcii Hybridné služby nájdite kartu Hybrid Data Security a kliknite na tlačidlo Nastaviť. Ak je karta zakázaná alebo ju nevidíte, kontaktujte tím spravujúci váš účet alebo partnerskú organizáciu. Poskytnite im svoje číslo účtu a požiadajte, aby vašej organizácii umožnili Hybridné zabezpečenie dát. Ak chcete nájsť číslo účtu, kliknite na ozubené koliesko vpravo hore vedľa názvu organizácie.
| ||||
3 |
Výberom možnosti Nie označíte, že ste ešte nenastavili uzol, a potom kliknite na tlačidlo Ďalej. Automaticky sa začne sťahovať súbor OVA. Uložte súbor na miesto v počítači.
| ||||
4 |
Voliteľne kliknite na položku Otvoriť sprievodcu nasadením a skontrolujte, či nie je k dispozícii novšia verzia tohto sprievodcu. |
Vytvorte ISO konfigurácie pre hostiteľov HDS
Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.
Skôr ako začnete
-
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Control Hub s úplnými administrátorskými právami pre vašu organizáciu.
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker v kroku 5 zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:
-
Databázové poverenia
-
Aktualizácie certifikátov
-
Zmeny v politike autorizácie
-
-
Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.
1 |
Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP:
| ||||||||||||
2 |
Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce: | ||||||||||||
3 |
Pri výzve na zadanie hesla zadajte tento hash: | ||||||||||||
4 |
Stiahnite si najnovší stabilný obraz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: | ||||||||||||
5 |
Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:
Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“. | ||||||||||||
6 |
Pomocou webového prehliadača prejdite na localhost, Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie. | ||||||||||||
7 |
Po zobrazení výzvy zadajte svoje prihlasovacie údaje správcu zákazníka Control Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre hybridné zabezpečenie údajov. | ||||||||||||
8 |
Na stránke prehľadu nástroja Setup kliknite na položku Začíname. | ||||||||||||
9 |
Na stránke Import ISO máte tieto možnosti:
| ||||||||||||
10 |
Skontrolujte, či váš certifikát X.509 spĺňa požiadavky uvedené v časti Požiadavky na certifikát X.509.
| ||||||||||||
11 |
Zadajte databázovú adresu a účet pre HDS, aby ste získali prístup k vášmu úložisku kľúčových údajov: | ||||||||||||
12 |
Vyberte Režim pripojenia databázy TLS:
Keď odovzdáte koreňový certifikát (ak je to potrebné) a kliknete na tlačidlo Pokračovať, nástroj HDS Setup Tool otestuje pripojenie TLS k databázovému serveru. Nástroj tiež overuje podpisovateľa certifikátu a názov hostiteľa, ak je to potrebné. Ak test zlyhá, nástroj zobrazí chybové hlásenie s popisom problému. Môžete si vybrať, či chcete chybu ignorovať a pokračovať v nastavovaní. (Vzhľadom na rozdiely v konektivite môžu byť uzly HDS schopné vytvoriť pripojenie TLS, aj keď ho zariadenie HDS Setup Tool nedokáže úspešne otestovať.) | ||||||||||||
13 |
Na stránke Systémové denníky nakonfigurujte svoj server Syslogd: | ||||||||||||
14 |
(Voliteľné) Predvolenú hodnotu niektorých parametrov pripojenia k databáze môžete zmeniť v časti Rozšírené nastavenia. Vo všeobecnosti je tento parameter jediný, ktorý možno budete chcieť zmeniť: | ||||||||||||
15 |
Kliknite na tlačidlo Pokračovať na obrazovke Obnoviť heslo servisných účtov . Heslá k servisným účtom majú životnosť deväť mesiacov. Túto obrazovku použite, keď sa blíži koniec platnosti vašich hesiel alebo ich chcete resetovať, aby ste zrušili platnosť predchádzajúcich súborov ISO. | ||||||||||||
16 |
Kliknite na položku Prevziať súbor ISO. Uložte súbor na miesto, ktoré sa dá ľahko nájsť. | ||||||||||||
17 |
Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. | ||||||||||||
18 |
Ak chcete vypnúť inštalačný nástroj, napíšte |
Čo robiť ďalej
Zálohujte konfiguračný súbor ISO. Potrebujete ho na vytvorenie ďalších uzlov na obnovu alebo na vykonanie zmien v konfigurácii. Ak stratíte všetky kópie súboru ISO, stratili ste aj hlavný kľúč. Obnovenie kľúčov z databázy PostgreSQL alebo Microsoft SQL Server nie je možné.
Nikdy nemáme kópiu tohto kľúča a nemôžeme vám pomôcť, ak ho stratíte. |
Nainštalujte HDS Host OVA
1 |
Na prihlásenie do virtuálneho hostiteľa ESXi použite klienta VMware vSphere na vašom počítači. | ||||||
2 |
Vyberte položku Súbor > Nasadiť šablónu OVF. | ||||||
3 |
V sprievodcovi zadajte umiestnenie súboru OVA, ktorý ste prevzali predtým, a potom kliknite na tlačidlo Ďalej. | ||||||
4 |
Na stránke Vyberte názov a priečinok zadajte Názov virtuálneho počítača pre uzol (napríklad „HDS_Node_1“) a vyberte umiestnenie, kde nasadenie uzla virtuálneho počítača sa môže nachádzať a potom kliknite na tlačidlo Ďalej. | ||||||
5 |
Na stránke Vyberte výpočtový zdroj vyberte cieľový výpočtový zdroj a potom kliknite na tlačidlo Ďalej. Prebehne overovacia kontrola. Po dokončení sa zobrazia podrobnosti šablóny. | ||||||
6 |
Overte podrobnosti šablóny a potom kliknite na tlačidlo Ďalej. | ||||||
7 |
Ak sa zobrazí výzva na výber konfigurácie prostriedkov na stránke Konfigurácia , kliknite na položku 4 CPU a potom kliknite na tlačidlo Ďalej. | ||||||
8 |
Na stránke Vybrať úložisko kliknite na tlačidlo Ďalej , čím prijmete predvolený formát disku a pravidlá úložiska VM. | ||||||
9 |
Na stránke Vybrať siete vyberte sieťovú možnosť zo zoznamu položiek, aby ste poskytli požadované pripojenie k virtuálnemu počítaču. | ||||||
10 |
Na stránke Prispôsobiť šablónu nakonfigurujte nasledujúce nastavenia siete:
Ak chcete, môžete preskočiť konfiguráciu nastavenia siete a podľa krokov v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov nakonfigurujte nastavenia z konzoly uzla.
| ||||||
11 |
Kliknite pravým tlačidlom myši na uzol VM a potom vyberte položky .Softvér Hybrid Data Security je nainštalovaný ako hosť na hostiteľovi VM. Teraz ste pripravení prihlásiť sa do konzoly a nakonfigurovať uzol. Tipy na riešenie problémov Môžete zaznamenať oneskorenie niekoľkých minút, kým sa kontajnery uzlov objavia. Počas prvého spustenia, počas ktorého sa nemôžete prihlásiť, sa na konzole zobrazí správa brány firewall mosta. |
Nastavte virtuálny počítač Hybrid Data Security
Tento postup použite na prvé prihlásenie do konzoly VM uzla Hybrid Data Security a nastavenie prihlasovacích poverení. Konzolu môžete použiť aj na konfiguráciu sieťových nastavení pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.
1 |
V klientovi VMware vSphere vyberte svoj uzol Hybrid Data Security VM a vyberte kartu Konzola . VM sa spustí a zobrazí sa výzva na prihlásenie. Ak sa výzva na prihlásenie nezobrazí, stlačte kláves Enter.
|
2 |
Na prihlásenie a zmenu poverení použite nasledujúce predvolené prihlasovacie meno a heslo: Keďže sa do svojho VM prihlasujete prvýkrát, musíte zmeniť heslo správcu. |
3 |
Ak ste už nakonfigurovali nastavenia siete v časti Inštalácia hostiteľa HDS OVA, preskočte zvyšok tohto postupu. V opačnom prípade vyberte v hlavnej ponuke možnosť Upraviť konfiguráciu . |
4 |
Nastavte statickú konfiguráciu s IP adresou, maskou, bránou a informáciami DNS. Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované. |
5 |
(Voliteľné) Zmeňte názov hostiteľa, doménu alebo server(y) NTP, ak je to potrebné, aby zodpovedali zásadám vašej siete. Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509. |
6 |
Uložte konfiguráciu siete a reštartujte VM, aby sa zmeny prejavili. |
Nahrajte a pripojte ISO konfiguráciu HDS
Skôr ako začnete
Keďže súbor ISO obsahuje hlavný kľúč, mal by byť zverejnený len na základe „potreby vedieť“, aby k nemu mali prístup virtuálne počítače s hybridným zabezpečením údajov a všetci správcovia, ktorí môžu potrebovať vykonať zmeny. Uistite sa, že k úložisku údajov majú prístup iba títo správcovia.
1 |
Nahrajte súbor ISO z počítača: |
2 |
Pripojte súbor ISO: |
Čo robiť ďalej
Ak to vyžaduje vaša politika IT, môžete voliteľne odpojiť súbor ISO po tom, čo všetky vaše uzly prevezmú zmeny konfigurácie. Podrobnosti nájdete v časti (Voliteľné) Odpojenie ISO po konfigurácii HDS .
Nakonfigurujte uzol HDS na integráciu proxy
Ak sieťové prostredie vyžaduje server proxy, použite tento postup na určenie typu servera proxy, ktorý chcete integrovať s Hybrid Data Security. Ak si vyberiete transparentný kontrolný proxy server alebo explicitný proxy server HTTPS, môžete použiť rozhranie uzla na nahranie a inštaláciu koreňového certifikátu. Môžete tiež skontrolovať pripojenie proxy z rozhrania a vyriešiť prípadné problémy.
Skôr ako začnete
-
Prehľad podporovaných možností servera proxy nájdete v časti Podpora servera proxy .
1 |
Do webového prehliadača zadajte adresu URL nastavenia uzla HDS |
2 |
Prejdite na stránku Trust Store & Proxy a potom vyberte jednu z možností:
Postupujte podľa nasledujúcich krokov pre transparentný kontrolný proxy server, explicitný proxy server HTTP so základným overením alebo explicitný proxy HTTPS. |
3 |
Kliknite na položku Odovzdať koreňový certifikát alebo certifikát ukončenia entity a potom prejdite na výber koreňového certifikátu pre server proxy. Certifikát je nahraný, ale ešte nie je nainštalovaný, pretože na inštaláciu certifikátu musíte reštartovať uzol. Ak chcete získať ďalšie podrobnosti, kliknite na šípku so šípkou vedľa názvu vydavateľa certifikátu. Ak ste urobili chybu a chcete súbor nahrať znova, kliknite na tlačidlo Odstrániť . |
4 |
Kliknutím na položku Skontrolovať pripojenie proxy otestujete sieťové pripojenie medzi uzlom a serverom proxy. Ak test pripojenia zlyhá, zobrazí sa chybové hlásenie, v ktorom je uvedený dôvod a ako môžete problém vyriešiť. Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS. Tento stav sa očakáva v mnohých explicitných konfiguráciách proxy. Môžete pokračovať v nastavovaní a uzol bude fungovať v režime zablokovaného externého rozlíšenia DNS. Ak si myslíte, že ide o chybu, vykonajte tieto kroky a potom si pozrite časť Vypnutie režimu zablokovaného externého rozlíšenia DNS. |
5 |
Po úspešnom teste pripojenia pre explicitný server proxy nastavený iba na https zapnite prepínač na možnosť Smerovať všetky požiadavky protokolu https z tohto uzla na port 443/444 cez explicitný server proxy. Toto nastavenie sa prejaví po 15 sekundách. |
6 |
Kliknite na položku Inštalovať všetky certifikáty do dôveryhodného úložiska (zobrazí sa pri explicitnom serveri proxy HTTPS alebo transparentnom kontrolnom serveri proxy) alebo Reštartovať (zobrazí sa pri explicitnom serveri proxy HTTP), prečítajte si výzvu a potom kliknite na tlačidlo Inštalovať , ak ste pripravení. Uzol sa reštartuje v priebehu niekoľkých minút. |
7 |
Keď sa uzol reštartuje, v prípade potreby sa znova prihláste a potom otvorte stránku Prehľad a skontrolujte kontroly pripojenia, aby ste sa uistili, že sú všetky v zelenom stave. Kontrola pripojenia proxy testuje iba subdoménu webex.com. Ak sa vyskytnú problémy s pripojením, bežným problémom je, že niektoré z cloudových domén uvedených v pokynoch na inštaláciu sú na serveri proxy blokované. |
Zaregistrujte prvý uzol v klastri
Keď zaregistrujete svoj prvý uzol, vytvoríte klaster, ku ktorému je uzol priradený. Klaster obsahuje jeden alebo viac uzlov nasadených na zabezpečenie redundancie.
Skôr ako začnete
-
Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.
-
Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.
1 |
Prihláste sa do https://admin.webex.com. |
2 |
V ponuke na ľavej strane obrazovky vyberte položku Služby. |
3 |
V sekcii Hybridné služby nájdite položku Hybrid Data Security a kliknite na tlačidlo Nastaviť. Zobrazí sa stránka Register Hybrid Data Security Node.
|
4 |
Výberom možnosti Áno označíte, že ste uzol nastavili a ste pripravení ho zaregistrovať, a potom kliknite na tlačidlo Ďalej. |
5 |
Do prvého poľa zadajte názov klastra, ku ktorému chcete priradiť váš uzol Hybrid Data Security. Odporúčame pomenovať klaster podľa toho, kde sa geograficky nachádzajú uzly klastra. Príklady: „San Francisco“ alebo „New York“ alebo „Dallas“ |
6 |
Do druhého poľa zadajte internú adresu IP alebo úplný názov domény (FQDN) svojho uzla a kliknite na tlačidlo Ďalej. Táto adresa IP alebo FQDN by sa mala zhodovať s adresou IP alebo názvom hostiteľa a doménou, ktoré ste použili v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov. Zobrazí sa správa, že môžete zaregistrovať svoj uzol do Webexu.
|
7 |
Kliknite na položku Prejsť do uzla. |
8 |
V správe s upozornením kliknite na tlačidlo Pokračovať . Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že svojej organizácii Webex chcete udeliť povolenia na prístup k vášmu uzlu.
|
9 |
Začiarknite políčko Povoliť prístup k vášmu uzlu zabezpečenia hybridných údajov a potom kliknite na tlačidlo Pokračovať. Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
|
10 |
Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Hybrid Data Security Control Hub. Na stránke Hybrid Data Security sa zobrazí nový klaster obsahujúci uzol, ktorý ste zaregistrovali. Uzol si automaticky stiahne najnovší softvér z cloudu.
|
Vytvorte a zaregistrujte viac uzlov
V súčasnosti sú záložné virtuálne počítače, ktoré ste vytvorili v časti Complete the Requirements for Hybrid Data Security , pohotovostnými hostiteľmi, ktorí sa používajú iba v prípade obnovy po havárii. dovtedy nie sú registrovaní v systéme. Podrobnosti nájdete v časti Obnova po havárii pomocou pohotovostného dátového centra. |
Skôr ako začnete
-
Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.
-
Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.
1 |
Vytvorte nový virtuálny počítač z OVA zopakovaním krokov v časti Inštalácia hostiteľského OVA HDS. |
2 |
Nastavte úvodnú konfiguráciu na novom virtuálnom počítači zopakovaním krokov v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov. |
3 |
Na novom virtuálnom počítači zopakujte kroky v časti Odovzdanie a pripojenie ISO konfigurácie HDS. |
4 |
Ak nastavujete server proxy pre svoje nasadenie, zopakujte kroky v časti Konfigurácia uzla HDS na integráciu servera proxy podľa potreby pre nový uzol. |
5 |
Zaregistrujte uzol. Váš uzol je zaregistrovaný. Upozorňujeme, že kým nezačnete skúšobnú verziu, vaše uzly generujú alarm, ktorý oznamuje, že vaša služba ešte nie je aktivovaná.
|
Čo robiť ďalej
Skúšobný postup produkčných úloh
Po nastavení klastra Hybrid Data Security môžete spustiť pilotný projekt, pridať doň používateľov a začať ho používať na testovanie a overovanie vášho nasadenia v rámci prípravy na prechod do produkcie.
Skôr ako začnete
1 |
Ak je to možné, synchronizujte objekt skupiny Ak vaša organizácia používa synchronizáciu adresárov pre používateľov, pred spustením skúšobnej verzie musíte vybrať objekt skupiny |
2 |
Začnite skúšobnú verziu. Kým nevykonáte túto úlohu, vaše uzly generujú alarm, ktorý oznamuje, že služba ešte nie je aktivovaná. |
3 |
Otestujte svoje nasadenie hybridného zabezpečenia dát Skontrolujte, či kľúčové požiadavky prechádzajú do vášho nasadenia Hybrid Data Security. |
4 |
Monitorujte zdravie Hybrid Data Security Health Skontrolujte stav a nastavte e-mailové upozornenia na budíky. |
5 |
Pridajte alebo odstráňte používateľov z vašej skúšobnej verzie |
6 |
Dokončite skúšobnú fázu jedným z nasledujúcich krokov: |
Aktivovať skúšobnú verziu
Skôr ako začnete
Ak vaša organizácia používa synchronizáciu adresárov pre používateľov, pred spustením skúšobnej verzie pre vašu organizáciu musíte vybrať objekt skupiny HdsTrialGroup
na synchronizáciu do cloudu. Pokyny nájdete v Príručke nasadenia pre Cisco Directory Connector.
1 |
Prihláste sa do služby https://admin.webex.com a potom vyberte položku Služby. |
2 |
V časti Hybrid Data Security kliknite na položku Nastavenia. |
3 |
V časti Stav služby kliknite na tlačidlo Spustiť skúšobnú verziu. Stav služby sa zmení na skúšobný režim.
|
4 |
Kliknite na položku Pridať používateľov a zadajte e-mailovú adresu jedného alebo viacerých používateľov, ktorí budú pilotne používať vaše uzly Hybrid Data Security pre šifrovacie a indexovacie služby. (Ak vaša organizácia používa synchronizáciu adresárov, na správu skúšobnej skupiny |
Otestujte svoje nasadenie hybridného zabezpečenia dát
Skôr ako začnete
-
Nastavte nasadenie Hybrid Data Security.
-
Aktivujte skúšobnú verziu a pridajte niekoľko používateľov skúšobnej verzie.
-
Uistite sa, že máte prístup k syslog, aby ste si overili, že kľúčové požiadavky prechádzajú do vášho nasadenia Hybrid Data Security.
1 |
Kľúče pre daný priestor nastavuje tvorca priestoru. Prihláste sa do aplikácie Webex ako jeden z pilotných používateľov a potom vytvorte priestor a pozvite aspoň jedného pilotného používateľa a jedného nepilotného používateľa.
| ||
2 |
Posielajte správy do nového priestoru. | ||
3 |
Skontrolujte výstup syslog, aby ste si overili, že požiadavky na kľúče prechádzajú do vášho nasadenia Hybrid Data Security. |
Monitorujte zdravie Hybrid Data Security Health
1 |
V Control Hub vyberte z ponuky na ľavej strane obrazovky položku Služby . |
2 |
V sekcii Hybridné služby nájdite položku Hybrid Data Security a kliknite na položku Nastavenia. Zobrazí sa stránka Hybrid Data Security Settings.
|
3 |
V časti E-mailové upozornenia zadajte jednu alebo viac e-mailových adries oddelených čiarkami a stlačte kláves Enter. |
Pridajte alebo odstráňte používateľov z vašej skúšobnej verzie
Ak odstránite používateľa zo skúšobnej verzie, klient tohto používateľa bude namiesto vášho KMS požadovať kľúče a vytvorenie kľúča z cloudového KMS. Ak klient potrebuje kľúč, ktorý je uložený vo vašom KMS, cloudový KMS ho načíta v mene používateľa.
Ak vaša organizácia používa synchronizáciu adresárov, použite službu Active Directory (namiesto tohto postupu) na správu skúšobnej skupiny HdsTrialGroup
. členov skupiny môžete zobraziť v Control Hub, ale nemôžete ich pridávať ani odstraňovať.
1 |
Prihláste sa do centra Control Hub a potom vyberte položku Služby. |
2 |
V časti Hybrid Data Security kliknite na položku Nastavenia. |
3 |
V sekcii Skúšobný režim v oblasti Stav služby kliknite na položku Pridať používateľov alebo kliknutím na položku zobraziť a upraviť odoberte používateľov zo skúšobnej verzie. |
4 |
Zadajte e-mailovú adresu jedného alebo viacerých používateľov, ktorých chcete pridať, alebo kliknutím na tlačidlo X pri ID používateľa odstráňte používateľa zo skúšobnej verzie. Potom kliknite na tlačidlo Uložiť. |
Presuňte sa zo skúšobnej do produkcie
1 |
Prihláste sa do centra Control Hub a potom vyberte položku Služby. |
2 |
V časti Hybrid Data Security kliknite na položku Nastavenia. |
3 |
V časti Stav služby kliknite na položku Presunúť do produkcie. |
4 |
Potvrďte, že chcete presunúť všetkých svojich používateľov do produkcie. |
Ukončite skúšobnú verziu bez presunu do výroby
1 |
Prihláste sa do centra Control Hub a potom vyberte položku Služby. |
2 |
V časti Hybrid Data Security kliknite na položku Nastavenia. |
3 |
V časti Deaktivovať kliknite na položku Deaktivovať. |
4 |
Potvrďte, že chcete službu deaktivovať a ukončiť skúšobnú verziu. |
Spravujte nasadenie HDS
Pomocou tu popísaných úloh spravujte svoje nasadenie Hybrid Data Security.
Nastavte plán aktualizácie klastra
Ak chcete nastaviť plán aktualizácie:
1 |
Prihláste sa do Control Hub. |
2 |
Na stránke Prehľad v časti Hybridné služby vyberte položku Bezpečnosť hybridných údajov. |
3 |
Na stránke Hybrid Data Security Resources vyberte klaster. |
4 |
Na paneli Prehľad vpravo v časti Nastavenia klastra vyberte názov klastra. |
5 |
Na stránke Nastavenia v časti Aktualizácia vyberte čas a časové pásmo pre plán inovácie. Poznámka: Pod časovým pásmom sa zobrazí dátum a čas ďalšej dostupnej aktualizácie. V prípade potreby môžete inováciu odložiť na nasledujúci deň kliknutím na tlačidlo Odložiť. |
Zmeňte konfiguráciu uzla
-
Zmena x.509 certifikátov z dôvodu uplynutia platnosti alebo iných dôvodov.
Nepodporujeme zmenu názvu domény CN certifikátu. Doména sa musí zhodovať s pôvodnou doménou použitou na registráciu klastra.
-
Aktualizácia nastavení databázy pre zmenu na repliku databázy PostgreSQL alebo Microsoft SQL Server.
Nepodporujeme migráciu údajov z PostgreSQL na Microsoft SQL Server ani opačným spôsobom. Ak chcete zmeniť prostredie databázy, spustite nové nasadenie Hybrid Data Security.
-
Vytvorenie novej konfigurácie na prípravu nového dátového centra.
Z bezpečnostných dôvodov používa Hybrid Data Security heslá servisných účtov, ktoré majú životnosť deväť mesiacov. Keď nástroj HDS Setup vygeneruje tieto heslá, nasadíte ich do každého z vašich uzlov HDS v konfiguračnom súbore ISO. Keď sa blíži koniec platnosti hesiel vašej organizácie, dostanete od tímu Webex upozornenie na resetovanie hesla pre váš počítačový účet. (E-mail obsahuje text „Na aktualizáciu hesla použite rozhranie API strojového účtu.“) Ak platnosť vašich hesiel ešte nevypršala, nástroj vám ponúka dve možnosti:
-
Mäkké obnovenie – staré aj nové heslo fungujú až 10 dní. Toto obdobie použite na postupnú výmenu súboru ISO na uzloch.
-
Tvrdý reset – staré heslá okamžite prestanú fungovať.
Ak platnosť vašich hesiel vyprší bez resetovania, ovplyvní to vašu službu HDS, čo si vyžaduje okamžitý tvrdý reset a nahradenie súboru ISO na všetkých uzloch.
Tento postup použite na vygenerovanie nového konfiguračného súboru ISO a jeho použitie vo vašom klastri.
Skôr ako začnete
-
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Control Hub s úplnými administrátorskými právami pre vašu organizáciu.
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri vytváraní kontajnera Docker v 1.e zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Na vygenerovanie novej konfigurácie potrebujete kópiu aktuálneho konfiguračného súboru ISO. ISO obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. ISO potrebujete, keď robíte zmeny v konfigurácii vrátane poverení databázy, aktualizácií certifikátov alebo zmien v politike autorizácie.
1 |
Pomocou Docker na lokálnom počítači spustite nástroj HDS Setup Tool. |
2 |
Ak máte spustený iba jeden uzol HDS, vytvorte nový virtuálny počítač s uzlom Hybrid Data Security a zaregistrujte ho pomocou nového konfiguračného súboru ISO. Podrobnejšie pokyny nájdete v časti Vytvorenie a registrácia ďalších uzlov. |
3 |
Pre existujúce uzly HDS, na ktorých je spustený starší konfiguračný súbor, pripojte súbor ISO. Postupne vykonajte nasledujúci postup na každom uzle a pred vypnutím ďalšieho uzla aktualizujte každý uzol: |
4 |
Opakujte krok 3, aby ste nahradili konfiguráciu na každom zostávajúcom uzle, na ktorom je spustená stará konfigurácia. |
Vypnite režim zablokovaného externého rozlíšenia DNS
Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. Ak server DNS uzla nedokáže rozlíšiť verejné názvy DNS, uzol automaticky prejde do režimu zablokovaného externého rozlíšenia DNS.
Ak vaše uzly dokážu rozlíšiť verejné názvy DNS prostredníctvom interných serverov DNS, môžete tento režim vypnúť opätovným spustením testu pripojenia proxy na každom uzle.
Skôr ako začnete
1 |
Vo webovom prehliadači otvorte rozhranie uzla Hybrid Data Security (napríklad adresa IP alebo nastavenie, https://192.0.2.0/setup), zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite na tlačidlo Prihlásiť sa). |
2 |
Prejdite na Prehľad (predvolená stránka). Keď je táto možnosť povolená, možnosť Blokované externé rozlíšenie DNS je nastavená na možnosť Áno. |
3 |
Prejdite na stránku Trust Store & Proxy . |
4 |
Kliknite na položku Skontrolovať pripojenie proxy. Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS a zostane v tomto režime. V opačnom prípade po reštartovaní uzla a návrate na stránku Prehľad by mala byť možnosť Blokované externé rozlíšenie DNS nastavené na možnosť Nie. |
Čo robiť ďalej
Odstráňte uzol
1 |
Pomocou klienta VMware vSphere vo svojom počítači sa prihláste do virtuálneho hostiteľa ESXi a vypnite virtuálny počítač. |
2 |
Odstráňte uzol: |
3 |
V klientovi vSphere odstráňte VM. (Na ľavom navigačnom paneli kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Odstrániť.) Ak nevymažete VM, nezabudnite odpojiť konfiguračný súbor ISO. Bez súboru ISO nemôžete použiť VM na prístup k bezpečnostným údajom. |
Obnova po havárii pomocou pohotovostného dátového centra
Najdôležitejšou službou, ktorú váš klaster Hybrid Data Security poskytuje, je vytváranie a ukladanie kľúčov používaných na šifrovanie správ a iného obsahu uloženého v cloude Webex. Pre každého používateľa v rámci organizácie, ktorý je priradený k Hybrid Data Security, sú do klastra smerované nové požiadavky na vytvorenie kľúča. Klaster je tiež zodpovedný za vrátenie kľúčov, ktoré vytvoril, všetkým používateľom oprávneným na ich získanie, napríklad členom konverzačného priestoru.
Pretože klaster vykonáva kritickú funkciu poskytovania týchto kľúčov, je nevyhnutné, aby klaster zostal spustený a aby sa udržiavali správne zálohy. Strata databázy Hybrid Data Security alebo konfigurácie ISO použitej pre schému bude mať za následok NENÁVRATNÚ STRATU zákazníckeho obsahu. Aby sa predišlo takejto strate, sú povinné nasledujúce postupy:
Ak havária spôsobí, že nasadenie HDS v primárnom dátovom centre sa stane nedostupným, podľa tohto postupu manuálne prepnite na pohotovostné dátové centrum.
1 |
Spustite nástroj na nastavenie HDS a postupujte podľa krokov uvedených v časti Vytvorenie konfiguračného ISO pre hostiteľov HDS. | ||
2 |
Po konfigurácii servera Syslogd kliknite na položku Rozšírené nastavenia | ||
3 |
Na stránke Rozšírené nastavenia pridajte konfiguráciu nižšie alebo odstráňte konfiguráciu
| ||
4 |
Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť. | ||
5 |
Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. | ||
6 |
V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Upraviť nastavenia. | ||
7 |
Kliknite na položku Upraviť nastavenia >Jednotka CD/DVD 1 a vyberte položku Datastore ISO File.
| ||
8 |
Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy. | ||
9 |
Opakujte proces pre každý uzol v pohotovostnom dátovom centre.
|
Čo robiť ďalej
(Voliteľné) Odpojte ISO po konfigurácii HDS
Štandardná konfigurácia HDS beží s namontovaným ISO. Niektorí zákazníci však uprednostňujú neponechať súbory ISO nepretržite pripojené. Súbor ISO môžete odpojiť potom, čo všetky uzly HDS prevezmú novú konfiguráciu.
Na vykonanie zmien v konfigurácii stále používate súbory ISO. Keď vytvoríte nový ISO alebo aktualizujete ISO pomocou nástroja Setup Tool, musíte aktualizovaný ISO pripojiť na všetky vaše uzly HDS. Keď všetky vaše uzly zachytia zmeny konfigurácie, môžete ISO znova odpojiť pomocou tohto postupu.
Skôr ako začnete
Inovujte všetky svoje uzly HDS na verziu 2021.01.22.4720 alebo novšiu.
1 |
Vypnite jeden z uzlov HDS. |
2 |
V serverovom zariadení vCenter vyberte uzol HDS. |
3 |
Vyberte položku Súbor ISO úložiska údajov. a zrušte začiarknutie políčka |
4 |
Zapnite uzol HDS a uistite sa, že aspoň 20 minút nie sú žiadne alarmy. |
5 |
Postup opakujte pre každý uzol HDS. |
Zobraziť upozornenia a riešenie problémov
Nasadenie Hybrid Data Security sa považuje za nedostupné, ak sú všetky uzly v klastri nedostupné alebo klaster pracuje tak pomaly, že si vyžaduje časový limit. Ak používatelia nemôžu dosiahnuť váš klaster Hybrid Data Security, zaznamenajú nasledujúce príznaky:
-
Nie je možné vytvoriť nové medzery (nemožno vytvoriť nové kľúče)
-
Správy a názvy priestorov sa nedajú dešifrovať pre:
-
Noví používatelia pridaní do priestoru (nemožno načítať kľúče)
-
Existujúci používatelia v priestore používajúci nového klienta (nemožno načítať kľúče)
-
-
Existujúci používatelia v priestore budú naďalej úspešne fungovať, pokiaľ ich klienti majú vyrovnávaciu pamäť šifrovacích kľúčov
Je dôležité, aby ste správne monitorovali svoj klaster Hybrid Data Security a okamžite riešili všetky výstrahy, aby ste predišli prerušeniu služby.
Upozornenia
Ak sa vyskytne problém s nastavením Hybrid Data Security, Control Hub zobrazí upozornenia správcovi organizácie a odošle e-maily na nakonfigurovanú e-mailovú adresu. Výstrahy pokrývajú mnoho bežných scenárov.
Upozornenie |
Akcia |
---|---|
Zlyhanie prístupu k lokálnej databáze. |
Skontrolujte chyby databázy alebo problémy s lokálnou sieťou. |
Zlyhanie pripojenia k lokálnej databáze. |
Skontrolujte, či je databázový server dostupný a či boli v konfigurácii uzla použité správne poverenia servisného účtu. |
Zlyhanie prístupu k cloudovej službe. |
Skontrolujte, či majú uzly prístup k serverom Webex, ako je uvedené v časti Požiadavky na externé pripojenie. |
Obnovuje sa registrácia cloudovej služby. |
Registrácia do cloudových služieb bola zrušená. Prebieha obnova registrácie. |
Registrácia cloudovej služby bola zrušená. |
Registrácia do cloudových služieb bola ukončená. Služba sa vypína. |
Služba ešte nie je aktivovaná. |
Aktivujte skúšobnú verziu alebo dokončite presun skúšky do produkcie. |
Nakonfigurovaná doména sa nezhoduje s certifikátom servera. |
Uistite sa, že váš certifikát servera sa zhoduje s nakonfigurovanou doménou aktivácie služby. Najpravdepodobnejšou príčinou je, že certifikát CN bol nedávno zmenený a teraz sa líši od CN, ktorý bol použitý počas počiatočného nastavenia. |
Nepodarilo sa overiť v cloudových službách. |
Skontrolujte presnosť a možné vypršanie platnosti poverení servisného účtu. |
Nepodarilo sa otvoriť súbor lokálneho úložiska kľúčov. |
Skontrolujte integritu a presnosť hesla v lokálnom súbore skladu kľúčov. |
Certifikát lokálneho servera je neplatný. |
Skontrolujte dátum vypršania platnosti certifikátu servera a potvrďte, že bol vydaný dôveryhodnou certifikačnou autoritou. |
Nie je možné uverejniť metriky. |
Skontrolujte prístup k lokálnej sieti k externým cloudovým službám. |
Adresár /media/configdrive/hds neexistuje. |
Skontrolujte konfiguráciu pripojenia ISO na virtuálnom hostiteľovi. Overte, či súbor ISO existuje, či je nakonfigurovaný na pripojenie pri reštarte a či sa úspešne pripojí. |
Riešenie problémov so zabezpečením hybridných údajov
1 |
Skontrolujte si v Control Hub všetky upozornenia a opravte všetky položky, ktoré tam nájdete. |
2 |
Skontrolujte výstup servera syslog pre aktivitu z nasadenia Hybrid Data Security. |
3 |
Kontaktujte podporu Cisco. |
Známe problémy s hybridnou bezpečnosťou dát
-
Ak vypnete svoj klaster Hybrid Data Security (odstránením v Control Hub alebo vypnutím všetkých uzlov), stratíte svoj konfiguračný súbor ISO alebo stratíte prístup k databáze úložiska kľúčov, používatelia vašej aplikácie Webex už nebudú môcť používať priestory pod svojimi ľuďmi. zoznam, ktorý bol vytvorený pomocou kľúčov z vášho KMS. Platí to pre skúšobné aj produkčné nasadenia. V súčasnosti nemáme riešenie ani opravu tohto problému a žiadame vás, aby ste nevypínali svoje služby HDS, keď budú spracovávať aktívne používateľské účty.
-
Klient, ktorý má existujúce pripojenie ECDH ku KMS, udržiava toto pripojenie určitý čas (pravdepodobne jednu hodinu). Keď sa používateľ stane členom skúšobnej verzie Hybrid Data Security, klient používateľa naďalej používa existujúce pripojenie ECDH, kým nevyprší časový limit. Prípadne sa používateľ môže odhlásiť a znova prihlásiť do aplikácie Webex App, aby aktualizoval umiestnenie, ktoré aplikácia kontaktuje pre šifrovacie kľúče.
Rovnaké správanie nastane, keď presuniete skúšobnú verziu do produkcie organizácie. Všetci neskúšobní používatelia s existujúcimi pripojeniami ECDH k predchádzajúcim službám zabezpečenia údajov budú tieto služby naďalej používať, kým sa znovu nedohodne pripojenie ECDH (prostredníctvom časového limitu alebo odhlásením a opätovným prihlásením).
Na vygenerovanie súboru PKCS12 použite OpenSSL
Skôr ako začnete
-
OpenSSL je jeden nástroj, ktorý možno použiť na vytvorenie súboru PKCS12 v správnom formáte na načítanie v nástroji HDS Setup Tool. Existujú aj iné spôsoby, ako to urobiť, a my nepodporujeme ani nepresadzujeme jeden spôsob oproti druhému.
-
Ak sa rozhodnete použiť OpenSSL, poskytujeme tento postup ako návod, ktorý vám pomôže vytvoriť súbor, ktorý spĺňa požiadavky na certifikát X.509 v časti Požiadavky na certifikát X.509. Než budete pokračovať, pochopte tieto požiadavky.
-
Nainštalujte OpenSSL v podporovanom prostredí. Softvér a dokumentáciu nájdete v časti https://www.openssl.org .
-
Vytvorte si súkromný kľúč.
-
Tento postup začnite, keď dostanete certifikát servera od certifikačnej autority (CA).
1 |
Keď od svojej CA dostanete certifikát servera, uložte ho ako |
2 |
Zobrazte certifikát ako text a overte podrobnosti.
|
3 |
Pomocou textového editora vytvorte súbor balíka certifikátov s názvom
|
4 |
Vytvorte súbor .p12 s priateľským názvom
|
5 |
Skontrolujte podrobnosti certifikátu servera. |
Čo robiť ďalej
Vráťte sa na stránku Dokončenie predpokladov pre hybridné zabezpečenie údajov. V časti Vytvorenie konfiguračného ISO pre hostiteľov HDS použijete súbor hdsnode.p12
a heslo, ktoré ste preň nastavili.
Tieto súbory môžete znova použiť na vyžiadanie nového certifikátu, keď platnosť pôvodného certifikátu vyprší. |
Prevádzka medzi uzlami HDS a cloudom
Odchádzajúca návštevnosť zberu metrík
Uzly Hybrid Data Security odosielajú určité metriky do cloudu Webex. Patria sem systémové metriky pre maximálnu haldu, využitú haldu, zaťaženie procesora a počet vlákien; metriky na synchrónnych a asynchrónnych vláknach; metriky výstrah zahŕňajúce prah šifrovacích pripojení, latenciu alebo dĺžku frontu žiadostí; metriky v dátovom sklade; a metriky šifrovaného pripojenia. Uzly posielajú zašifrovaný kľúčový materiál cez kanál mimo pásma (oddelený od požiadavky).
Prichádzajúca premávka
Uzly Hybrid Data Security prijímajú nasledujúce typy prichádzajúcej prevádzky z cloudu Webex:
-
Šifrovacie požiadavky od klientov, ktoré sú smerované šifrovacou službou
-
Aktualizácie softvéru uzla
Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát
Websocket sa nemôže pripojiť cez Squid Proxy
Servery proxy typu Squid, ktoré kontrolujú prenos HTTPS, môžu narúšať vytváranie pripojení websocket (wss:
), ktoré vyžaduje Hybrid Data Security. Tieto časti poskytujú návod, ako nakonfigurovať rôzne verzie Squid tak, aby ignorovali wss:
prevádzky pre správne fungovanie služieb.
Kalmáre 4 a 5
Pridajte on_unsupported_protocol
smernicu na stránku squid.conf
:
on_unsupported_protocol tunel všetko
Kalmáre 3.5.27
Úspešne sme testovali Hybrid Data Security pomocou nasledujúcich pravidiel pridaných na stránku squid.conf
. Tieto pravidlá sa môžu meniť, pretože vyvíjame funkcie a aktualizujeme cloud Webex.
acl wssMercuryConnection ssl::server_name_regex ortuťové pripojenie ssl_bump splice wssMercuryConnection acl krok1 at_step SslBump1 acl krok2 at_step SslBump2 acl krok3 at_step SslBump3 ssl_bump pohľad krok1 všetko ssl_bump pozerať krok2 všetko ssl_bump vyskočiť krok3 všetko
Nové a zmenené informácie
Dátum | Vykonané zmeny | ||
---|---|---|---|
Októbra 20, 2023 |
| ||
Augusta 07, 2023 |
| ||
Môže 23, 2023 |
| ||
Decembra 06, 2022 |
| ||
Novembra 23, 2022 |
| ||
Októbra 13, 2021 | Docker Desktop musí pred inštaláciou uzlov HDS spustiť inštalačný program. Pozrite si tému Požiadavkyna pracovnú plochu Dockeru. | ||
Júna 24, 2021 | Všimol som si, že súbor súkromného kľúča a CSR môžete znova použiť na vyžiadanie ďalšieho certifikátu. Podrobnosti nájdete v časti Použitie OpenSSL na vygenerovanie súboru PKCS12. | ||
Apríla 30, 2021 | Požiadavka na miesto na lokálnom pevnom disku na virtuálnom počítači sa zmenila na 30 GB. Podrobnosti nájdete v časti Požiadavky na virtuálneho hostiteľa. | ||
Februára 24, 2021 | HDS Setup Tool teraz môže bežať za proxy. Podrobnosti nájdete v časti Vytvorenie konfiguračného ISO pre hostiteľov HDS. | ||
Februára 2, 2021 | HDS teraz môže bežať bez pripojeného súboru ISO. Podrobnosti nájdete v časti (Voliteľné) Odpojenie ISO po konfigurácii HDS. | ||
Januára 11, 2021 | Pridané informácie o nástroji na nastavenie HDS a proxy serveroch na vytvorenie konfiguračného ISO pre hostiteľovHDS. | ||
Októbra 13, 2020 | Aktualizované inštalačné súboryna stiahnutie. | ||
Októbra 8, 2020 | Aktualizované Vytvorte konfiguračné ISO pre hostiteľov HDS a zmeňte konfiguráciu uzla pomocou príkazov pre prostredia FedRAMP. | ||
Augusta 14, 2020 | Aktualizované Vytvorte konfiguračné ISO pre hostiteľov HDS a zmeňte konfiguráciu uzla so zmenami v procese prihlásenia. | ||
Augusta 5, 2020 | Aktualizované Otestujte nasadenie hybridného zabezpečenia údajov na zmeny v správach denníka. Aktualizované požiadavky na virtuálneho hostiteľa na odstránenie maximálneho počtu hostiteľov. | ||
Júna 16, 2020 | Aktualizované Odstránenie uzla pre zmeny v používateľskom rozhraní riadiaceho centra. | ||
Júna 4, 2020 | Aktualizované Vytvorenie konfiguračného ISO pre hostiteľov HDS pre zmeny v rozšírených nastaveniach, ktoré môžete nastaviť. | ||
Môže 29, 2020 | Aktualizované Vytvorenie konfiguračného ISO pre hostiteľov HDS, aby sa ukázalo, že TLS môžete používať aj s databázami SQL Servera, zmenami používateľského rozhrania a ďalšími vysvetleniami. | ||
Môže 5, 2020 | Aktualizované požiadavky na virtuálneho hostiteľa, aby sa zobrazila nová požiadavka ESXi 6.5. | ||
Apríla 21, 2020 | Aktualizované požiadavky na externé pripojenie s novými hostiteľmi CI v Amerike. | ||
Apríla 1, 2020 | Aktualizované požiadavky na externé pripojenie s informáciami o regionálnych hostiteľoch CI. | ||
Februára 20, 2020 | Aktualizované Vytvorenie konfiguračného ISO pre hostiteľov HDS s informáciami o novej voliteľnej obrazovke Rozšírené nastavenia v nástroji HDS Setup Tool. | ||
Februára 4, 2020 | Aktualizované požiadavky naproxy server. | ||
Decembra 16, 2019 | Objasnili sme požiadavku na fungovanie režimu blokovaného externého rozlíšenia DNS v požiadavkách naproxy server. | ||
Novembra 19, 2019 | Pridané informácie o režime blokovaného externého rozlíšenia DNS v nasledujúcich častiach: | ||
Novembra 8, 2019 | Teraz môžete nakonfigurovať nastavenia siete pre uzol počas nasadenia OVA, a nie neskôr. Zodpovedajúcim spôsobom aktualizované nasledujúce sekcie:
| ||
6. septembra 2019 | Pridaný SQL Server Standard do požiadaviekdatabázového servera. | ||
Augusta 29, 2019 | Pridaná príloha Konfigurácia proxy Squid pre hybridné zabezpečenie údajov s pokynmi na konfiguráciu proxy Squid tak, aby ignorovali prevádzku websocketu pre správnu funkciu. | ||
Augusta 20, 2019 | Pridané a aktualizované sekcie pokrývajúce podporu servera proxy pre komunikáciu uzlov hybridného zabezpečenia údajov s cloudom Webex. Ak chcete získať prístup len k obsahu podpory servera proxy pre existujúce nasadenie, pozrite si článok pomocníka Podpora servera proxy pre zabezpečenie hybridných údajov a Webex Video Mesh . | ||
Júna 13, 2019 | Aktualizovaný postup skúšobnej do produkčnej úlohy s pripomenutím synchronizácie HdsTrialGroup Skupinový objekt pred spustením skúšobnej verzie, ak vaša organizácia používa synchronizáciu adresárov. | ||
6. marec 2019 |
| ||
Februára 28, 2019 |
| ||
Februára 26, 2019 |
| ||
Januára 24, 2019 |
| ||
5. novembra 2018 |
| ||
Októbra 19, 2018 |
| ||
Júla 31, 2018 |
| ||
Môže 21, 2018 | Zmenená terminológia tak, aby odrážala rebranding Cisco Spark:
| ||
Apríla 11, 2018 |
| ||
Februára 22, 2018 |
| ||
Februára 15, 2018 |
| ||
Januára 18, 2018 |
| ||
Novembra 2, 2017 |
| ||
Augusta 18, 2017 | Prvýkrát uverejnené |
Prehľad hybridného zabezpečenia údajov
Od prvého dňa bola bezpečnosť údajov primárnym zameraním pri navrhovaní aplikácie Webex. Základným kameňom tohto zabezpečenia je komplexné šifrovanie obsahu, ktoré umožňujú klienti aplikácie Webex pri interakcii so službou správy kľúčov (KMS). Služba KMS je zodpovedná za vytváranie a správu kryptografických kľúčov, ktoré klienti používajú na dynamické šifrovanie a dešifrovanie správ a súborov.
V predvolenom nastavení získajú všetci zákazníci aplikácie Webex end-to-end šifrovanie pomocou dynamických kľúčov uložených v cloudovej službe KMS v oblasti zabezpečenia spoločnosti Cisco. Hybrid Data Security presúva KMS a ďalšie funkcie súvisiace so zabezpečením do vášho podnikového dátového centra, takže nikto okrem vás nemá kľúče k vášmu šifrovanému obsahu.
Architektúra oblasti zabezpečenia
Cloudová architektúra Webex rozdeľuje rôzne typy služieb do samostatných sfér alebo dôveryhodných domén, ako je znázornené nižšie.
Aby sme lepšie pochopili hybridnú bezpečnosť údajov, pozrime sa najprv na tento čisto cloudový prípad, kde Cisco poskytuje všetky funkcie vo svojich cloudových sférach. Služba identity, jediné miesto, kde môžu byť používatelia priamo korelovaní so svojimi osobnými údajmi, ako je e-mailová adresa, je logicky a fyzicky oddelená od oblasti bezpečnosti v dátovom centre B. Obe sú zase oddelené od sféry, kde je v konečnom dôsledku uložený šifrovaný obsah, v dátovom centre C.
V tomto diagrame je klientom aplikácia Webex spustená na prenosnom počítači používateľa a overila sa v službe identity. Keď používateľ vytvorí správu na odoslanie do priestoru, vykonajú sa nasledujúce kroky:
Klient vytvorí zabezpečené spojenie so službou správy kľúčov (KMS) a potom požiada o kľúč na zašifrovanie správy. Zabezpečené pripojenie používa ECDH a KMS šifruje kľúč pomocou hlavného kľúča AES-256.
Správa je zašifrovaná skôr, ako opustí klienta. Klient ho odošle do indexovacej služby, ktorá vytvorí šifrované vyhľadávacie indexy, ktoré pomôžu pri budúcom vyhľadávaní obsahu.
Šifrovaná správa sa odošle do služby dodržiavania súladu na kontrolu súladu.
Zašifrovaná správa je uložená v oblasti úložiska.
Pri nasadení hybridného zabezpečenia údajov presuniete funkcie oblasti zabezpečenia (KMS, indexovanie a dodržiavanie súladu) do lokálneho údajového centra. Ostatné cloudové služby, ktoré tvoria Webex (vrátane identity a úložiska obsahu), zostávajú v sférach spoločnosti Cisco.
Spolupráca s inými organizáciami
Používatelia vo vašej organizácii môžu pravidelne používať aplikáciu Webex na spoluprácu s externými účastníkmi v iných organizáciách. Keď jeden z vašich používateľov požiada o kľúč pre priestor, ktorý vlastní vaša organizácia (pretože ho vytvoril jeden z vašich používateľov), vaša služba KMS odošle kľúč klientovi cez zabezpečený kanál ECDH. Ak však kľúč pre priestor vlastní iná organizácia, vaša služba KMS nasmeruje požiadavku do cloudu Webex prostredníctvom samostatného kanála ECDH, aby získala kľúč z príslušnej služby KMS, a potom vráti kľúč používateľovi na pôvodnom kanáli.
Služba KMS spustená v organizácii A overuje pripojenia k KMS v iných organizáciách pomocou certifikátov PKI x.509. Podrobnosti o generovaní certifikátu x.509 na použitie s nasadením hybridného zabezpečenia údajov nájdete v téme Príprava prostredia .
Očakávania týkajúce sa nasadenia hybridného zabezpečenia údajov
Nasadenie hybridného zabezpečenia údajov si vyžaduje značné odhodlanie zákazníkov a povedomie o rizikách, ktoré prináša vlastníctvo šifrovacích kľúčov.
Ak chcete nasadiť hybridné zabezpečenie údajov, musíte poskytnúť:
Zabezpečené dátové centrum v krajine, ktorá je podporovaným miestom pre plányCisco Webex Teams.
Vybavenie, softvér a prístup k sieti popísané v časti Príprava prostredia.
Úplná strata konfiguračného ISO, ktoré vytvoríte pre hybridné zabezpečenie údajov, alebo databázy, ktorú poskytnete, bude mať za následok stratu kľúčov. Strata kľúča bráni používateľom v dešifrovaní obsahu priestoru a iných šifrovaných údajov v aplikácii Webex. Ak k tomu dôjde, môžete vytvoriť nové nasadenie, ale bude viditeľný iba nový obsah. Aby ste predišli strate prístupu k údajom, musíte:
Spravujte zálohovanie a obnovu databázy a konfigurácie ISO.
Buďte pripravení vykonať rýchlu obnovu po havárii, ak dôjde ku katastrofe, ako je napríklad zlyhanie databázového disku alebo katastrofa dátového centra.
Neexistuje žiadny mechanizmus na presunutie kľúčov späť do cloudu po nasadení HDS. |
Proces nastavenia na vysokej úrovni
Tento dokument sa zaoberá nastavením a správou nasadenia hybridného zabezpečenia údajov:
Nastavenie hybridného zabezpečeniaúdajov – to zahŕňa prípravu požadovanej infraštruktúry a inštaláciu softvéru Hybrid Data Security, testovanie nasadenia s podmnožinou používateľov v skúšobnom režime a po dokončení testovania prechod do produkcie. Tým sa celá organizácia prevedie na používanie klastra Hybrid Data Security na funkcie zabezpečenia.
Fázy nastavenia, skúšky a výroby sú podrobne popísané v nasledujúcich troch kapitolách.
Udržujte nasadeniehybridného zabezpečenia údajov – cloud Webex automaticky poskytuje priebežné inovácie. Vaše IT oddelenie môže poskytnúť podporu prvej úrovne pre toto nasadenie a podľa potreby zapojiť podporu spoločnosti Cisco. V Centre ovládania môžete používať upozornenia na obrazovke a nastaviť e-mailové upozornenia.
Pochopte bežné upozornenia, kroky na riešenie problémov a známe problémy– ak narazíte na problémy s nasadením alebo používaním hybridného zabezpečenia údajov, posledná kapitola tejto príručky a príloha Známe problémy vám môžu pomôcť určiť a vyriešiť problém.
Model nasadenia hybridného zabezpečenia údajov
V rámci podnikového dátového centra nasadíte Hybrid Data Security ako jeden klaster uzlov na samostatných virtuálnych hostiteľoch. Uzly komunikujú s cloudom Webex prostredníctvom zabezpečených websocketov a zabezpečeného protokolu HTTP.
Počas procesu inštalácie vám poskytneme súbor OVA na nastavenie virtuálneho zariadenia na virtuálnych počítačoch, ktoré poskytnete. Pomocou nástroja HDS Setup Tool vytvoríte vlastný súbor ISO konfigurácie klastra, ktorý pripojíte ku každému uzlu. Klaster Hybrid Data Security používa vami poskytnutý server Syslogd a databázu PostgreSQL alebo Microsoft SQL Server. (Podrobnosti o systémovom pripojení a databázovom pripojení nakonfigurujete v nástroji HDS Setup Tool.)
Minimálny počet uzlov, ktoré môžete mať v klastri, sú dva. Odporúčame aspoň tri a môžete ich mať až päť. Viaceré uzly zaisťujú, že služba nie je prerušená počas aktualizácie softvéru alebo inej činnosti údržby uzla. (Oblak Webex aktualizuje naraz iba jeden uzol.)
Všetky uzly v klastri pristupujú k rovnakému úložisku údajov kľúčov a zaznamenávajú aktivitu na rovnakom serveri syslogu. Samotné uzly sú bezstavové a spracovávajú kľúčové požiadavky kruhovým spôsobom podľa pokynov cloudu.
Uzly sa stanú aktívnymi, keď ich zaregistrujete v Centre ovládania. Ak chcete jednotlivý uzol vyradiť z prevádzky, môžete ho zrušiť a v prípade potreby neskôr znova zaregistrovať.
Podporujeme iba jeden klaster na organizáciu.
Skúšobný režim hybridného zabezpečenia údajov
Po nastavení nasadenia hybridného zabezpečenia údajov ho najskôr vyskúšate so skupinou pilotných používateľov. Počas skúšobného obdobia títo používatelia používajú vašu lokálnu doménu Hybrid Data Security na šifrovanie kľúčov a ďalšie služby sféry zabezpečenia. Ostatní používatelia budú naďalej používať oblasť zabezpečenia cloudu.
Ak sa rozhodnete nepokračovať v nasadení počas skúšobnej verzie a deaktivujete službu, pilotní používatelia a všetci používatelia, s ktorými komunikovali vytvorením nových priestorov počas skúšobného obdobia, stratia prístup k správam a obsahu. V aplikácii Webex uvidia "Túto správu nie je možné dešifrovať".
Ak ste spokojní s tým, že vaše nasadenie funguje dobre pre používateľov skúšobnej verzie a ste pripravení rozšíriť hybridné zabezpečenie údajov na všetkých používateľov, presuňte nasadenie do produkčnej verzie. Pilotní používatelia majú naďalej prístup ku kľúčom, ktoré sa používali počas skúšobnej verzie. Nemôžete sa však pohybovať tam a späť medzi produkčným režimom a pôvodnou skúšobnou verziou. Ak musíte službu deaktivovať, napríklad na obnovu po havárii, pri opätovnej aktivácii musíte spustiť novú skúšobnú verziu a nastaviť skupinu pilotných používateľov pre novú skúšobnú verziu pred návratom do produkčného režimu. To, či si používatelia v tomto bode zachovajú prístup k údajom, závisí od toho, či ste úspešne udržiavali zálohy kľúčového ukladacieho priestoru údajov a konfiguračného súboru ISO pre uzly hybridného zabezpečenia údajov v klastri.
Pohotovostné dátové centrum na obnovu po havárii
Počas nasadenia nastavíte zabezpečené pohotovostné dátové centrum. V prípade havárie dátového centra môžete manuálne zlyhať nasadenie do pohotovostného dátového centra.
Databázy aktívnych a pohotovostných dátových centier sú navzájom synchronizované, čo minimalizuje čas potrebný na vykonanie prepnutia pri zlyhaní. Súbor ISO pohotovostného dátového centra je aktualizovaný o ďalšie konfigurácie, ktoré zabezpečujú, že uzly sú zaregistrované v organizácii, ale nebudú spracovávať prevádzku. Uzly pohotovostného dátového centra preto zostávajú vždy aktuálne s najnovšou verziou softvéru HDS.
Aktívne uzly Hybrid Data Security musia byť vždy v rovnakom dátovom centre ako aktívny databázový server. |
Nastavenie pohotovostného dátového centra na obnovu po havárii
Ak chcete nakonfigurovať ISO file pohotovostného dátového centra postupujte podľa nasledujúcich krokov:
Skôr než začnete
Pohotovostné dátové centrum by malo zrkadliť produkčné prostredie virtuálnych počítačov a záložnú databázu PostgreSQL alebo Microsoft SQL Server. Ak má napríklad produkcia 3 virtuálne počítače s uzlami HDS, zálohovacie prostredie by malo mať 3 virtuálne počítače. (Prehľad tohto modelu prepnutia pri zlyhaní nájdete v časti Pohotovostné dátové centrum pre obnovu po havárii.)
Uistite sa, že je povolená synchronizácia databázy medzi databázou aktívnych a pasívnych uzlov klastra.
1 | Spustite nástroj HDS Setup a postupujte podľa krokov uvedených v časti Vytvorenie konfiguračného ISO pre hostiteľovHDS.
| ||
2 | Po nakonfigurovaní servera Syslogd kliknite na Rozšírené nastavenia | ||
3 | Na stránke Rozšírené nastavenia pridajte nižšie uvedenú konfiguráciu, aby sa uzol prepol do pasívneho režimu. V tomto režime bude uzol zaregistrovaný v organizácii a pripojený ku cloudu, ale nebude spracovávať žiadnu prevádzku.
| ||
4 | Dokončite proces konfigurácie a uložte súbor ISO do umiestnenia, ktoré sa dá ľahko nájsť. | ||
5 | Vytvorte záložnú kópiu súboru ISO v lokálnom systéme. Uchovávajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov hybridného zabezpečenia údajov, ktorí by mali vykonať zmeny konfigurácie. | ||
6 | Na ľavej navigačnej table klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Upraviť nastavenia. | ||
7 | Kliknite na položku Upraviť nastavenia >Jednotka CD/DVD 1 a vyberte položku Súbor ISO ukladacieho priestoru údajov.
| ||
8 | Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy. | ||
9 | Zopakujte postup pre každý uzol v pohotovostnom dátovom centre.
|
Čo robiť ďalej
Po konfigurácii passiveMode
v súbore ISO a jeho uložení môžete vytvoriť ďalšiu kópiu súboru ISO bez možnosti passiveMode
konfiguráciu a uložte ho na bezpečné miesto. Táto kópia súboru ISO bez passiveMode
Configure môže pomôcť pri rýchlom procese prepnutia pri zlyhaní počas obnovy po havárii. Podrobný postup prepnutia pri zlyhaní nájdete v časti Obnova po havárii pomocou dátového centra v pohotovostnom režime.
Podpora proxy servera
Hybridné zabezpečenie údajov podporuje explicitné, transparentné kontrolné a nekontrolujúce proxy servery. Tieto proxy servery môžete prepojiť s nasadením, aby ste mohli zabezpečiť a monitorovať prevádzku z podniku do cloudu. Rozhranie správcu platformy na uzloch môžete použiť na správu certifikátov a na kontrolu celkového stavu pripojenia po nastavení proxy servera na uzloch.
Uzly Hybrid Data Security podporujú nasledujúce možnosti servera proxy:
Žiadny server proxy– predvolené, ak na integráciu servera proxy nepoužívate konfiguráciu ukladacieho priestoru dôveryhodnosti a proxy uzlu HDS. Nie je potrebná žiadna aktualizácia certifikátu.
Transparentný nekontrolujúci server proxy– uzly nie sú nakonfigurované na používanie konkrétnej adresy servera proxy a nemali by vyžadovať žiadne zmeny na prácu s nekontrolujúcim serverom proxy. Nie je potrebná žiadna aktualizácia certifikátu.
Transparentné tunelovanie alebo kontrola proxyservera – uzly nie sú nakonfigurované na používanie konkrétnej adresy proxy servera. Na uzloch nie sú potrebné žiadne zmeny konfigurácie HTTP alebo HTTPS. Uzly však potrebujú koreňový certifikát, aby dôverovali serveru proxy. Kontrolné proxy servery zvyčajne používa IT na presadzovanie politík, ktoré webové stránky je možné navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy dešifruje všetku vašu prevádzku (dokonca aj HTTPS).
Explicitný proxy server– pomocou explicitného proxy servera HDS poviete, ktorý proxy server a autentifikačnú schému majú použiť. Ak chcete nakonfigurovať explicitný server, musíte zadať nasledujúce informácie o každom uzle:
Proxy IP/FQDN– adresa, ktorú možno použiť na spojenie s proxy.
Portservera proxy – číslo portu, ktoré server proxy používa na načúvanie prenosu servera proxy.
Protokol proxy –v závislosti od toho, čo váš proxy server podporuje, si vyberte z nasledujúcich protokolov:
HTTP – zobrazuje a riadi všetky požiadavky, ktoré klient odosiela.
HTTPS – poskytuje kanál k serveru. Klient dostane a overí certifikát servera.
Typoverenia – vyberte si z nasledujúcich typov overovania:
Žiadne– nevyžaduje sa žiadne ďalšie overenie.
K dispozícii, ak ako protokol proxy vyberiete HTTP alebo HTTPS.
Základné– používa sa pre HTTP User Agent na zadanie používateľského mena a hesla pri zadávaní žiadosti. Používa kódovanie Base64.
K dispozícii, ak ako protokol proxy vyberiete HTTP alebo HTTPS.
Vyžaduje zadanie mena používateľa a hesla v každom uzle.
Digest– používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije hašovaciu funkciu na meno používateľa a heslo pred odoslaním cez sieť.
K dispozícii len v prípade, že ako protokol proxy vyberiete protokol HTTPS.
Vyžaduje zadanie mena používateľa a hesla v každom uzle.
Príklad hybridných uzlov zabezpečenia údajov a proxy
Tento diagram znázorňuje príklad prepojenia medzi hybridným zabezpečením údajov, sieťou a proxy. Pre možnosti transparentnej kontroly a explicitnej kontroly HTTPS proxy servera musí byť na proxy serveri a na uzloch Hybrid Data Security nainštalovaný rovnaký koreňový certifikát.
Režim blokovaného externého rozlíšenia DNS (explicitné konfigurácie servera proxy)
Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. V nasadeniach s explicitnými konfiguráciami servera proxy, ktoré nepovoľujú externé rozlíšenie DNS pre interných klientov, ak uzol nemôže dotazovať servery DNS, automaticky prejde do režimu blokovaného externého rozlíšenia DNS. V tomto režime môže pokračovať registrácia uzla a ďalšie testy pripojenia proxy servera.
Požiadavky na zabezpečenie hybridných údajov
Licenčné požiadavky Cisco Webex
Nasadenie hybridného zabezpečenia údajov:
Musíte mať balík Pro pre Cisco Webex Control Hub. (Pozri https://www.cisco.com/go/pro-pack.)
Požiadavky na pracovnú plochu Dockeru
Pred inštaláciou uzlov HDS potrebujete Docker Desktop na spustenie inštalačného programu. Docker nedávno aktualizoval svoj licenčný model. Vaša organizácia môže vyžadovať platené predplatné pre Docker Desktop. Podrobnosti nájdete v blogovom príspevku Dockeru " Docker aktualizuje a rozširuje naše predplatnéproduktov".
Požiadavky na certifikát X.509
Reťazec certifikátov musí spĺňať nasledujúce požiadavky:
Požiadavka | Podrobnosti |
---|---|
| V predvolenom nastavení dôverujeme certifikačným autoritám v zozname Mozilla (s výnimkou WoSign a StartCom) na https://wiki.mozilla.org/CA:IncludedCAs. |
| CN nemusí byť dostupný ani živý hostiteľ. Odporúčame vám použiť názov, ktorý odráža vašu organizáciu, napríklad KN nesmie obsahovať * (zástupný znak). CN sa používa na overenie uzlov hybridného zabezpečenia údajov pre klientov aplikácie Webex. Všetky uzly hybridného zabezpečenia údajov v klastri používajú rovnaký certifikát. Služba KMS sa identifikuje pomocou domény CN, nie akejkoľvek domény, ktorá je definovaná v poliach siete SAN x.509v3. Po registrácii uzla s týmto certifikátom nepodporujeme zmenu názvu domény CN. Vyberte doménu, ktorá sa môže vzťahovať na skúšobné aj produkčné nasadenie. |
| Softvér KMS nepodporuje podpisy SHA1 na overovanie pripojení k KMS iných organizácií. |
| Na zmenu formátu certifikátu môžete použiť konvertor, ako je napríklad OpenSSL. Pri spustení nástroja HDS Setup Tool budete musieť zadať heslo. |
Softvér KMS nevynucuje používanie klávesov ani rozšírené obmedzenia používania kľúčov. Niektoré certifikačné autority vyžadujú, aby sa na každý certifikát použili rozšírené obmedzenia používania kľúčov, ako je napríklad overovanie servera. Je v poriadku použiť overenie servera alebo iné nastavenia.
Požiadavky na virtuálneho hostiteľa
Virtuálni hostitelia, ktorých nastavíte ako uzly hybridného zabezpečenia údajov v klastri, majú nasledujúce požiadavky:
Aspoň dvaja samostatní hostitelia (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre
Nainštalovaný a spustený VMware ESXi 6.5 (alebo novší).
Ak máte staršiu verziu ESXi, musíte inovovať.
Minimálne 4 virtuálne procesory, 8 GB hlavnej pamäte, 30 GB miesta na lokálnom pevnom disku na server
Požiadavky na databázový server
Vytvorte novú databázu pre ukladanie kľúčov. Nepoužívajte predvolenú databázu. Aplikácie HDS po nainštalovaní vytvárajú databázovú schému. |
Existujú dve možnosti pre databázový server. Požiadavky na každý z nich sú tieto:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Minimálne 8 virtuálnych procesorov, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby nedošlo k jeho prekročeniu (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhší čas bez potreby zväčšovania úložiska) | Minimálne 8 virtuálnych procesorov, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby nedošlo k jeho prekročeniu (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhší čas bez potreby zväčšovania úložiska) |
Softvér HDS v súčasnosti inštaluje nasledujúce verzie ovládačov pre komunikáciu s databázovým serverom:
PostgreSQL | Microsoft SQL Server |
---|---|
Ovládač Postgres JDBC 42.2.5 | Ovládač JDBC servera SQL Server 4.6 Táto verzia ovládača podporuje SQL Server Always On ( inštancie klastra s podporou prevzatia pri zlyhaní vždy zapnuté a skupinydostupnosti Always On). |
Ďalšie požiadavky na overenie systému Windows na serveri Microsoft SQL Server
Ak chcete, aby uzly HDS používali overenie systému Windows na získanie prístupu k databáze úložiska kľúčov na serveri Microsoft SQL Server, potrebujete vo svojom prostredí nasledujúcu konfiguráciu:
Uzly HDS, infraštruktúra Active Directory a MS SQL Server musia byť synchronizované s NTP.
Konto Windows, ktoré poskytnete uzlom HDS, musí mať prístup na čítanie a zápis do databázy.
Servery DNS, ktoré poskytnete uzlom HDS, musia byť schopné rozpoznať vaše centrum distribúcie kľúčov (KDC).
Inštanciu databázy HDS môžete zaregistrovať na serveri Microsoft SQL Server ako hlavný názov služby (SPN) v službe Active Directory. Pozrite si tému Registrácia hlavného názvu služby pre pripojeniaprotokolu Kerberos.
Nástroj na nastavenie HDS, spúšťač HDS a lokálny KMS musia na prístup k databáze úložiska kľúčov používať overenie systému Windows. Používajú podrobnosti z konfigurácie ISO na vytvorenie hlavného názvu služby pri žiadosti o prístup pomocou overovania protokolom Kerberos.
Požiadavky na externé pripojenie
Nakonfigurujte bránu firewall tak, aby umožňovala nasledujúce pripojenie pre aplikácie HDS:
Aplikácia | Protokol | Prístav | Smer z aplikácie | Cieľ |
---|---|---|---|---|
Hybridné uzly zabezpečenia údajov | Protokol tcp | 443 | Odchádzajúce protokoly HTTPS a WSS |
|
Nástroj na nastavenie HDS | Protokol tcp | 443 | Odchádzajúci protokol HTTPS |
|
Uzly Hybrid Data Security pracujú s prekladom prístupu k sieti (NAT) alebo za bránou firewall, pokiaľ preklad sieťových adries alebo brána firewall povoľuje požadované odchádzajúce pripojenia k cieľom domény v predchádzajúcej tabuľke. V prípade pripojení prichádzajúcich do uzlov Hybrid Data Security by nemali byť z internetu viditeľné žiadne porty. V rámci vášho dátového centra potrebujú klienti prístup k uzlom hybridného zabezpečenia údajov na portoch TCP 443 a 22 na administratívne účely. |
URL adresy hostiteľov Common Identity (CI) sú špecifické pre oblasť. Toto sú súčasní hostitelia CI:
Región | Bežné adresy URL hostiteľa identity |
---|---|
Amerika |
|
Európska únia |
|
Kanada |
|
Požiadavky na proxy server
Oficiálne podporujeme nasledujúce proxy riešenia, ktoré je možné integrovať s vašimi uzlami Hybrid Data Security.
Transparentný proxy server – Cisco Web Security Appliance (WSA).
Explicitný zástupca – chobotnica.
Proxy servery chobotníc, ktoré kontrolujú prevádzku HTTPS, môžu interferovať s vytvorením websocketu (wss:) Pripojenia. Ak chcete tento problém obísť, pozrite si tému Konfigurácia proxy serverov Squid pre hybridné zabezpečenieúdajov.
Podporujeme nasledujúce kombinácie typov overovania pre explicitné proxy servery:
Žiadna autentifikácia pomocou protokolu HTTP alebo HTTPS
Základná autentifikácia pomocou protokolu HTTP alebo HTTPS
Overovanie súhrnu iba pomocou protokolu HTTPS
V prípade transparentného kontrolného proxy servera alebo explicitného proxy servera HTTPS musíte mať kópiu koreňového certifikátu servera proxy. Pokyny na nasadenie v tejto príručke vám povedia, ako nahrať kópiu do dôveryhodných úložísk uzlov Hybrid Data Security.
Sieť, ktorá je hostiteľom uzlov HDS, musí byť nakonfigurovaná tak, aby vynútila smerovanie odchádzajúcej prevádzky TCP na porte 443 cez proxy.
Servery Proxy, ktoré kontrolujú webovú prevádzku, môžu rušiť pripojenia webových soketov. Ak sa vyskytne tento problém, obídenie (nie kontrola) premávky
wbx2.com
aciscospark.com
vyrieši problém.
Splnenie predpokladov pre hybridné zabezpečenie údajov
1 | Uistite sa, že vaša organizácia Webex má povolený balík Pro Pack pre Cisco Webex Control Hub, a získajte poverenia účtu s úplnými právami správcu organizácie. Požiadajte o pomoc s týmto procesom svojho partnera Cisco alebo správcu účtu. | ||
2 | Vyberte názov domény pre nasadenie HDS (napríklad | ||
3 | Pripravte si identických virtuálnych hostiteľov, ktorých nastavíte ako uzly hybridného zabezpečenia údajov v klastri. Potrebujete aspoň dvoch samostatných hostiteľov (odporúčajú sa 3) umiestnených v rovnakom zabezpečenom dátovom centre, ktoré spĺňajú požiadavky v požiadavkáchna virtuálneho hostiteľa. | ||
4 | Pripravte databázový server, ktorý bude fungovať ako kľúčové dátové úložisko pre klaster podľa požiadaviekdatabázového servera. Databázový server musí byť umiestnený v zabezpečenom dátovom centre s virtuálnymi hostiteľmi. | ||
5 | Pre rýchle zotavenie po havárii nastavte prostredie zálohovania v inom dátovom centre. Zálohovacie prostredie zrkadlí produkčné prostredie virtuálnych počítačov a záložného databázového servera. Ak má napríklad produkcia 3 virtuálne počítače s uzlami HDS, zálohovacie prostredie by malo mať 3 virtuálne počítače. | ||
6 | Nastavte hostiteľa syslog na zhromažďovanie denníkov z uzlov v klastri. Zhromaždite jeho sieťovú adresu a port syslog (predvolená hodnota je UDP 514). | ||
7 | Vytvorte politiku bezpečného zálohovania pre uzly Hybrid Data Security, databázový server a hostiteľa syslogu. Aby ste predišli neobnoviteľnej strate údajov, musíte minimálne zálohovať databázu a konfiguračný súbor ISO vygenerovaný pre uzly Hybrid Data Security.
Klienti aplikácie Webex ukladajú svoje kľúče do vyrovnávacej pamäte, takže výpadok nemusí byť okamžite viditeľný, ale časom sa prejaví. Zatiaľ čo dočasným výpadkom nie je možné zabrániť, dajú sa obnoviť. Úplná strata (nie sú k dispozícii žiadne zálohy) databázy alebo konfiguračného súboru ISO však bude mať za následok neobnoviteľné údaje o zákazníkoch. Od prevádzkovateľov uzlov Hybrid Data Security sa očakáva, že budú udržiavať časté zálohy databázy a konfiguračného súboru ISO a budú pripravení prebudovať dátové centrum Hybrid Data Security, ak dôjde ku katastrofálnemu zlyhaniu. | ||
8 | Uistite sa, že konfigurácia brány firewall umožňuje pripojenie pre uzly hybridného zabezpečenia údajov, ako je uvedené v časti Požiadavky naexterné pripojenie. | ||
9 | Nainštalujte Docker ( https://www.docker.com) na ľubovoľný lokálny počítač s podporovaným operačným systémom (Microsoft Windows 10 Professional alebo Enterprise 64-bit, alebo Mac OSX Yosemite 10.10.3 alebo novší) s webovým prehliadačom, ktorý k nemu má prístup na adrese http://127.0.0.1:8080. Inštanciu Dockeru použijete na stiahnutie a spustenie nástroja HDS Setup Tool, ktorý vytvára informácie o lokálnej konfigurácii pre všetky uzly Hybrid Data Security. Vaša organizácia môže potrebovať licenciu na Docker Desktop. Ďalšie informácie nájdete v téme Požiadavky na pracovnú plochu Dockeru. Ak chcete nainštalovať a spustiť nástroj HDS Setup Tool, lokálny počítač musí mať pripojenie uvedené v časti Požiadavky naexterné pripojenie. | ||
10 | Ak integrujete server proxy s hybridným zabezpečením údajov, uistite sa, že spĺňa požiadavkyna server proxy. | ||
11 | Ak vaša organizácia používa synchronizáciu adresárov, vytvorte v službe Active Directory skupinu s názvom
|
Postup úlohy nasadenia hybridného zabezpečenia údajov
Skôr než začnete
1 | Stiahnite si inštalačné súbory Stiahnite si súbor OVA do lokálneho počítača na neskoršie použitie. | ||
2 | Vytvorenie konfiguračného ISO pre hostiteľov HDS Pomocou nástroja HDS Setup Tool vytvorte konfiguračný súbor ISO pre uzly Hybrid Data Security. | ||
3 |
Vytvorte virtuálny počítač zo súboru OVA a vykonajte počiatočnú konfiguráciu, napríklad nastavenia siete.
| ||
4 | Nastavenie virtuálneho počítača Hybrid Data Security Prihláste sa do konzoly virtuálneho počítača a nastavte prihlasovacie poverenia. Nakonfigurujte nastavenia siete pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA. | ||
5 | Nahrajte a pripojte konfiguračné ISO HDS Nakonfigurujte virtuálny počítač z konfiguračného súboru ISO, ktorý ste vytvorili pomocou nástroja na nastavenie HDS. | ||
6 | Konfigurácia uzla HDS na integráciu proxy servera Ak sieťové prostredie vyžaduje konfiguráciu servera proxy, zadajte typ servera proxy, ktorý použijete pre uzol, a v prípade potreby pridajte certifikát servera proxy do úložiska dôveryhodných serverov. | ||
7 | Registrácia prvého uzla v klastri Zaregistrujte virtuálny počítač v cloude Cisco Webex ako uzol hybridného zabezpečenia údajov. | ||
8 | Vytvorenie a registrácia ďalších uzlov Dokončite nastavenie klastra. | ||
9 | Spustenie skúšobnej verzie a prechod do produkcie (ďalšia kapitola) Kým nespustíte skúšobnú verziu, vaše uzly generujú alarm, ktorý signalizuje, že vaša služba ešte nie je aktivovaná. |
Stiahnite si inštalačné súbory
1 | Prihláste sa do ponuky https://admin.webex.coma potom kliknite na položku Služby. | ||||
2 | V časti Hybridné služby vyhľadajte kartu Zabezpečenie hybridných údajov a potom kliknite na tlačidlo Nastaviť. Ak je karta deaktivovaná alebo sa nezobrazuje, obráťte sa na tím účtu alebo partnerskú organizáciu. Dajte im číslo svojho konta a požiadajte o povolenie hybridného zabezpečenia údajov pre vašu organizáciu. Ak chcete nájsť číslo účtu, kliknite na ozubené koliesko vpravo hore vedľa názvu vašej organizácie.
| ||||
3 | Výberom položky Nie označte, že ste uzol ešte nenastavili, a potom kliknite na tlačidlo Ďalej. Súbor OVA sa automaticky začne sťahovať. Uložte súbor do umiestnenia v počítači.
| ||||
4 | Voliteľne kliknite na položku Otvoriť sprievodcu nasadením a skontrolujte, či je k dispozícii novšia verzia tejto príručky. |
Vytvorenie konfiguračného ISO pre hostiteľov HDS
Proces nastavenia hybridného zabezpečenia údajov vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.
Skôr než začnete
Nástroj HDS Setup sa spúšťa ako kontajner Dockeru na lokálnom počítači. Ak k nemu chcete získať prístup, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Control Hub s úplnými právami správcu pre vašu organizáciu.
Ak je nástroj na nastavenie HDS spustený za serverom proxy vo vašom prostredí, pri vyvolaní kontajnera Docker v kroku 5zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Dockeru. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Premenná
HTTP Proxy bez overenia
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS Proxy bez overenia
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s overením
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč šifrujúci databázu PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny konfigurácie, napríklad tieto:
Poverenia databázy
Aktualizácie certifikátov
Zmeny pravidiel autorizácie
Ak plánujete šifrovať databázové pripojenia, nastavte nasadenie PostgreSQL alebo SQL Server pre TLS.
1 | Do príkazového riadka počítača zadajte príslušný príkaz pre vaše prostredie: V bežnom prostredí:
V prostrediach FedRAMP:
| ||||||||||||
2 | Ak sa chcete prihlásiť do databázy Docker Image Registry, zadajte nasledovné:
| ||||||||||||
3 | Do výzvy na zadanie hesla zadajte tento hash:
| ||||||||||||
4 | Stiahnite si najnovší stabilný obraz pre svoje prostredie: V bežnom prostredí:
V prostrediach FedRAMP:
| ||||||||||||
5 | Po dokončení vyžiadania zadajte príslušný príkaz pre vaše prostredie:
Keď je kontajner spustený, zobrazí sa "Express server listening on port 8080". | ||||||||||||
6 |
Použite webový prehliadač na prechod na localhost, Nástroj použije túto prvú položku používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie. | ||||||||||||
7 | Po zobrazení výzvy zadajte prihlasovacie poverenia správcu zákazníka Control Hub a potom kliknutím na tlačidlo Prihlásiť sa povolte prístup k požadovaným službám pre hybridné zabezpečenie údajov. | ||||||||||||
8 | Na stránke Prehľad nástroja na nastavenie kliknite na položku Začíname. | ||||||||||||
9 | Na stránke Import ISO máte tieto možnosti:
| ||||||||||||
10 | Skontrolujte, či váš certifikát X.509 spĺňa požiadavky v požiadavkáchna certifikát X.509.
| ||||||||||||
11 | Zadajte databázovú adresu a účet pre HDS na prístup k vášmu kľúčovému úložisku údajov: | ||||||||||||
12 | Vyberte režimpripojenia k databáze TLS:
Keď nahráte koreňový certifikát (ak je to potrebné) a kliknete na tlačidlo Pokračovať, nástroj HDS Setup Tool otestuje pripojenie TLS k databázovému serveru. Nástroj tiež overí podpisovateľa certifikátu a názov hostiteľa, ak je to možné. Ak test zlyhá, nástroj zobrazí chybové hlásenie s popisom problému. Môžete si vybrať, či chcete chybu ignorovať a pokračovať v nastavovaní. (Z dôvodu rozdielov v pripojení môžu byť uzly HDS schopné nadviazať pripojenie TLS, aj keď ho zariadenie HDS Setup Tool nedokáže úspešne otestovať.) | ||||||||||||
13 | Na stránke Systémové denníky nakonfigurujte server Syslogd: | ||||||||||||
14 | (Voliteľné) Predvolenú hodnotu pre niektoré parametre pripojenia k databáze môžete zmeniť v časti Rozšírené nastavenia. Vo všeobecnosti je tento parameter jediný, ktorý by ste mohli chcieť zmeniť:
| ||||||||||||
15 | Kliknite na tlačidlo Pokračovať na obrazovke Obnoviť heslo kont služieb. Heslá účtov služieb majú deväťmesačnú životnosť. Túto obrazovku použite, keď sa blíži platnosť vašich hesiel alebo ich chcete obnoviť, aby sa zrušili platnosť predchádzajúcich súborov ISO. | ||||||||||||
16 | Kliknite na položku Stiahnuť súborISO. Uložte súbor do umiestnenia, ktoré sa dá ľahko nájsť. | ||||||||||||
17 | Vytvorte záložnú kópiu súboru ISO v lokálnom systéme. Uchovávajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov hybridného zabezpečenia údajov, ktorí by mali vykonať zmeny konfigurácie. | ||||||||||||
18 | Ak chcete vypnúť nástroj na nastavenie, zadajte |
Čo robiť ďalej
Zálohujte konfiguračný súbor ISO. Potrebujete ho na vytvorenie ďalších uzlov na obnovenie alebo na vykonanie zmien konfigurácie. Ak stratíte všetky kópie súboru ISO, stratili ste aj hlavný kľúč. Obnovenie kľúčov z databázy PostgreSQL alebo Microsoft SQL Server nie je možné.
Nikdy nemáme kópiu tohto kľúča a nemôžeme vám pomôcť, ak ho stratíte. |
Nainštalujte HDS Host OVA
1 | Pomocou klienta VMware vSphere na vašom počítači sa prihláste do virtuálneho hostiteľa ESXi. | ||||||
2 | Vyberte položku Súbor > Nasadiť šablónuOVF. | ||||||
3 | V sprievodcovi zadajte umiestnenie súboru OVA, ktorý ste si predtým stiahli, a potom kliknite na tlačidlo Ďalej . | ||||||
4 | Na stránke Výber názvu a priečinka zadajte názov virtuálneho počítača pre uzol (napríklad "HDS_Node_1"), vyberte umiestnenie, kde sa môže nachádzať nasadenie uzla virtuálneho počítača, a potom kliknite na tlačidlo Ďalej. | ||||||
5 | Na stránke Výber výpočtového prostriedku vyberte cieľový výpočtový zdroj a potom kliknite na tlačidlo Ďalej. Spustí sa overovacia kontrola. Po dokončení sa zobrazia podrobnosti šablóny. | ||||||
6 | Overte podrobnosti šablóny a potom kliknite na tlačidlo Ďalej . | ||||||
7 | Ak sa na stránke Konfigurácia zobrazí výzva na výber konfigurácie prostriedku, kliknite na položku 4 CPU a potom kliknite na tlačidlo Ďalej. | ||||||
8 | Na stránke Vybrať úložisko kliknite na tlačidlo Ďalej a prijmite predvolený formát disku a politiku úložiska virtuálneho počítača. | ||||||
9 | Na stránke Výber sietí vyberte zo zoznamu položiek možnosť siete a poskytnite požadované pripojenie k virtuálnemu počítaču. | ||||||
10 | Na stránke Prispôsobiť šablónu nakonfigurujte nasledujúce nastavenia siete:
Ak uprednostňujete, môžete preskočiť konfiguráciu nastavenia siete a podľa krokov v téme Nastavenie virtuálneho počítača Hybrid Data Security nakonfigurujte nastavenia z konzoly uzla.
| ||||||
11 | Kliknite pravým tlačidlom myši na virtuálny počítač uzla a potom vyberte položku Softvér Hybrid Data Security je nainštalovaný ako hosť na hostiteľovi virtuálneho počítača. Teraz ste pripravení prihlásiť sa do konzoly a nakonfigurovať uzol. Tipy na riešenie problémov Môže dôjsť k niekoľkominútovému oneskoreniu, kým sa objavia kontajnery uzlov. Počas prvého spustenia sa v konzole zobrazí hlásenie brány firewall mosta, počas ktorého sa nemôžete prihlásiť. |
Nastavenie virtuálneho počítača Hybrid Data Security
Tento postup použite na prvé prihlásenie do konzoly virtuálneho počítača uzla Hybrid Data Security a nastavenie prihlasovacích poverení. Konzolu môžete použiť aj na konfiguráciu sieťových nastavení pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.
1 | V klientovi VMware vSphere vyberte virtuálny počítač uzla Hybrid Data Security a vyberte kartu Konzola . Virtuálny počítač sa spustí a zobrazí sa výzva na prihlásenie. Ak sa výzva na prihlásenie nezobrazí, stlačte kláves Enter.
|
2 | Na prihlásenie a zmenu poverení použite nasledujúce predvolené prihlasovacie meno a heslo: Keďže sa do virtuálneho počítača prihlasujete prvýkrát, musíte zmeniť heslo správcu. |
3 | Ak ste už nakonfigurovali nastavenia siete v časti Inštalácia OVAhostiteľa HDS, zvyšok tohto postupu preskočte. V opačnom prípade v hlavnom menu vyberte možnosť Upraviť konfiguráciu . |
4 | Nastavte statickú konfiguráciu s IP adresou, maskou, bránou a informáciami DNS. Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporovaný. |
5 | (Voliteľné) V prípade potreby zmeňte názov hostiteľa, doménu alebo servery NTP tak, aby zodpovedali vašej sieťovej politike. Doménu nemusíte nastavovať tak, aby zodpovedala doméne, ktorú ste použili na získanie certifikátu X.509. |
6 | Uložte konfiguráciu siete a reštartujte virtuálny počítač, aby sa zmeny prejavili. |
Nahrajte a pripojte konfiguračné ISO HDS
Skôr než začnete
Keďže súbor ISO obsahuje hlavný kľúč, mal by byť vystavený iba na základe potreby pre prístup virtuálnych počítačov Hybrid Data Security a všetkých správcov, ktorí môžu potrebovať vykonať zmeny. Uistite sa, že iba títo správcovia majú prístup k úložisku údajov.
1 | Nahrajte súbor ISO z počítača: |
2 | Pripojte súbor ISO: |
Čo robiť ďalej
Ak to vyžaduje vaša IT politika, môžete voliteľne odpojiť súbor ISO po tom, čo všetky vaše uzly prevezmú zmeny konfigurácie. Podrobnosti nájdete v časti (Voliteľné) Odpojenie ISO po konfigurácii HDS.
Konfigurácia uzla HDS na integráciu proxy servera
Ak sieťové prostredie vyžaduje server proxy, pomocou tohto postupu zadajte typ servera proxy, ktorý chcete integrovať s hybridným zabezpečením údajov. Ak si vyberiete transparentný kontrolný server proxy alebo explicitný server proxy HTTPS, môžete použiť rozhranie uzla na nahranie a inštaláciu koreňového certifikátu. Môžete tiež skontrolovať pripojenie proxy z rozhrania a vyriešiť prípadné problémy.
Skôr než začnete
Pozrite si časť Podpora proxy servera, kde nájdete prehľad podporovaných možností servera proxy.
1 | Zadajte adresu URL nastavenia uzla HDS |
2 | Prejdite na položku Trust Store & Proxya potom vyberte jednu z možností:
Postupujte podľa nasledujúcich krokov pre transparentný kontrolný server proxy, explicitný server proxy HTTP so základným overovaním alebo explicitný server proxy HTTPS. |
3 | Kliknite na položku Nahrať koreňový certifikát alebo Certifikátkoncovej entity a potom prejdite na položku a vyberte koreňový certifikát pre server proxy. Certifikát je nahraný, ale ešte nie je nainštalovaný, pretože na inštaláciu certifikátu musíte reštartovať uzol. Kliknutím na šípku šípky vedľa názvu vydavateľa certifikátu zobrazíte ďalšie podrobnosti alebo kliknite na položku Odstrániť , ak ste urobili chybu a chcete súbor znova nahrať. |
4 | Kliknite na položku Skontrolovať pripojenie servera proxy a otestujte sieťové pripojenie medzi uzlom a serverom proxy. Ak test pripojenia zlyhá, zobrazí sa chybové hlásenie s dôvodom a spôsobom riešenia problému. Ak sa zobrazí hlásenie, že externý preklad DNS nebol úspešný, uzol sa nemohol pripojiť k serveru DNS. Táto podmienka sa očakáva v mnohých explicitných konfiguráciách proxy servera. Môžete pokračovať v nastavovaní a uzol bude fungovať v režime blokovaného externého rozlíšenia DNS. Ak si myslíte, že ide o chybu, vykonajte tieto kroky a potom si pozrite tému Vypnutie režimublokovaného externého rozlíšenia DNS. |
5 | Po úspešnom absolvovaní testu pripojenia pre explicitný server proxy nastavený iba na https zapnite prepínač do polohy Smerovať všetky požiadavky https portu 443/444 z tohto uzla cez explicitný server proxy. Toto nastavenie trvá 15 sekúnd, kým sa prejaví. |
6 | Kliknite na položku Inštalovať všetky certifikáty do úložiska dôveryhodných certifikátov (zobrazí sa pre explicitný server proxy HTTPS alebo transparentný kontrolný server proxy) alebo Reštartovať ( zobrazí sa pre explicitný server proxy HTTP), prečítajte si výzvu a potom kliknite na tlačidlo Inštalovať , ak ste pripravení. Uzol sa reštartuje v priebehu niekoľkých minút. |
7 | Po reštartovaní uzla sa v prípade potreby znova prihláste a potom otvorte stránku Prehľad a skontrolujte kontroly pripojenia, aby ste sa uistili, že sú všetky v zelenom stave. Kontrola pripojenia servera proxy testuje iba subdoménu webex.com. Ak sa vyskytnú problémy s pripojením, bežným problémom je, že niektoré cloudové domény uvedené v pokynoch na inštaláciu sú blokované na serveri proxy. |
Registrácia prvého uzla v klastri
Pri registrácii prvého uzla vytvoríte klaster, ku ktorému je uzol priradený. Klaster obsahuje jeden alebo viac uzlov nasadených na zabezpečenie redundancie.
Skôr než začnete
Po spustení registrácie uzla ju musíte dokončiť do 60 minút, inak musíte začať odznova.
Uistite sa, že sú všetky blokátory automaticky otváraných okien vo vašom prehliadači zakázané alebo že povoľujete výnimku pre admin.webex.com.
1 | Prihláste sa do https://admin.webex.com. |
2 | V ponuke na ľavej strane obrazovky vyberte položku Služby . |
3 | V časti Hybridné služby vyhľadajte položku Hybrid Data Security (Hybridné zabezpečenie údajov) a kliknite na položku Nastaviť. Zobrazí sa stránka Register Hybrid Data Security Node (Registrácia uzla hybridného zabezpečenia údajov).
|
4 | Výberom položky Áno označte, že ste nastavili uzol a ste pripravení ho zaregistrovať, a potom kliknite na tlačidlo Ďalej. |
5 | Do prvého poľa zadajte názov klastra, ku ktorému chcete priradiť uzol Hybrid Data Security. Odporúčame pomenovať klaster podľa toho, kde sa geograficky nachádzajú uzly klastra. Príklady: "San Francisco" alebo "New York" alebo "Dallas" |
6 | Do druhého poľa zadajte internú IP adresu alebo plne kvalifikovaný názov domény (FQDN) vášho uzla a kliknite na tlačidlo Ďalej. Táto IP adresa alebo úplný názov domény by sa mal zhodovať s IP adresou alebo názvom hostiteľa a doménou, ktoré ste použili v časti Nastavenie virtuálneho počítačaHybrid Data Security. Zobrazí sa správa, že môžete zaregistrovať svoj uzol na Webex.
|
7 | Kliknite na položku Prejsť do uzla. |
8 | V správe s upozornením kliknite na tlačidlo Pokračovať . Po niekoľkých chvíľach budete presmerovaní na testy pripojenia uzlov pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Povoliť prístup k uzlu hybridného zabezpečenia údajov. Tam potvrdíte, že chcete vašej organizácii Webex udeliť povolenia na prístup k vášmu uzlu.
|
9 | Začiarknite políčko Povoliť prístup k uzlu zabezpečenia hybridných údajov a potom kliknite na tlačidlo Pokračovať. Váš účet je overený a správa "Registrácia dokončená" znamená, že váš uzol je teraz zaregistrovaný v cloude Webex.
|
10 | Kliknutím na odkaz alebo zatvorením karty sa vráťte na stránku Control Hub Hybrid Data Security. Na stránke Zabezpečenie hybridných údajov sa zobrazí nový klaster obsahujúci uzol, ktorý ste zaregistrovali. Uzol automaticky stiahne najnovší softvér z cloudu.
|
Vytvorenie a registrácia ďalších uzlov
V súčasnosti sú záložné virtuálne počítače, ktoré ste vytvorili v časti Dokončenie predpokladov pre zabezpečenie hybridných údajov, pohotovostnými hostiteľmi, ktorí sa používajú iba v prípade obnovy po havárii. Podrobnosti nájdete v téme Obnova po havárii pomocou pohotovostného dátového centra. |
Skôr než začnete
Po spustení registrácie uzla ju musíte dokončiť do 60 minút, inak musíte začať odznova.
Uistite sa, že sú všetky blokátory automaticky otváraných okien vo vašom prehliadači zakázané alebo že povoľujete výnimku pre admin.webex.com.
1 | Vytvorte nový virtuálny počítač z OVA a zopakujte kroky v časti Inštalácia OVAhostiteľa HDS. |
2 | Nastavte počiatočnú konfiguráciu na novom virtuálnom počítači a zopakujte kroky v téme Nastavenie virtuálneho počítačas hybridným zabezpečením údajov. |
3 | Na novom virtuálnom počítači zopakujte kroky v časti Nahratie a pripojenie ISO konfigurácieHDS. |
4 | Ak nastavujete server proxy pre nasadenie, zopakujte kroky v časti Konfigurácia uzla HDS pre integráciu servera proxy podľa potreby pre nový uzol. |
5 | Zaregistrujte uzol. Váš uzol je zaregistrovaný. Upozorňujeme, že kým nespustíte skúšobnú verziu, vaše uzly vygenerujú alarm, ktorý signalizuje, že vaša služba ešte nie je aktivovaná.
|
Čo robiť ďalej
Postup skúšobnej a výrobnej úlohy
Po nastavení klastra Hybrid Data Security môžete spustiť pilotný projekt, pridať doň používateľov a začať ho používať na testovanie a overovanie nasadenia v rámci prípravy na prechod do produkcie.
Skôr než začnete
1 | Ak je to možné, synchronizujte Ak vaša organizácia používa synchronizáciu adresárov pre používateľov, musíte vybrať ikonu |
2 |
Spustite skúšobnú verziu. Kým túto úlohu nevykonáte, vaše uzly vygenerujú alarm, ktorý signalizuje, že služba ešte nie je aktivovaná. |
3 | Otestujte nasadenie hybridného zabezpečenia údajov Skontrolujte, či sa kľúčové požiadavky odovzdávajú do nasadenia hybridného zabezpečenia údajov. |
4 | Monitorovanie stavu zabezpečenia hybridných údajov Skontrolujte stav a nastavte e-mailové upozornenia na budíky. |
5 | |
6 | Dokončite skúšobnú fázu jednou z nasledujúcich akcií: |
Aktivovať skúšobnú verziu
Skôr než začnete
Ak vaša organizácia používa synchronizáciu adresárov pre používateľov, musíte vybrať ikonu HdsTrialGroup
Skupinový objekt na synchronizáciu s cloudom pred spustením skúšobnej verzie pre vašu organizáciu. Pokyny nájdete v Príručke nasadenia pre Cisco Directory Connector.
1 | Prihláste sa do ponuky https://admin.webex.coma potom vyberte položku Služby. |
2 | V časti Zabezpečenie hybridných údajov kliknite na položku Nastavenia. |
3 | V časti Stav služby kliknite na položku Spustiť skúšobnú verziu. Stav služby sa zmení na skúšobný režim.
|
4 | Kliknite na položku Pridať používateľov a zadajte e-mailovú adresu jedného alebo viacerých používateľov, ktorí majú pilotne používať uzly Hybrid Data Security na šifrovanie a indexovanie služieb. (Ak vaša organizácia používa synchronizáciu adresárov, na spravovanie skúšobnej skupiny použite službu Active Directory. |
Otestujte nasadenie hybridného zabezpečenia údajov
Skôr než začnete
Nastavte nasadenie hybridného zabezpečenia údajov.
Aktivujte skúšobnú verziu a pridajte niekoľko používateľov skúšobnej verzie.
Uistite sa, že máte prístup k syslogu, aby ste overili, či kľúčové požiadavky prechádzajú do nasadenia hybridného zabezpečenia údajov.
1 | Klávesy pre daný priestor nastavuje tvorca priestoru. Prihláste sa do aplikácie Webex ako jeden z pilotných používateľov a potom vytvorte priestor a pozvite aspoň jedného pilotného používateľa a jedného nepilotného používateľa.
| ||
2 | Odosielanie správ do nového priestoru. | ||
3 | Skontrolujte výstup syslogu a overte, či sa kľúčové požiadavky odovzdávajú do nasadenia hybridného zabezpečenia údajov. |
Monitorovanie stavu zabezpečenia hybridných údajov
1 | V Centre Control Hubvyberte z ponuky na ľavej strane obrazovky položku Služby . |
2 | V časti Hybridné služby vyhľadajte položku Zabezpečenie hybridných údajov a kliknite na položku Nastavenia. Zobrazí sa stránka Nastavenia hybridného zabezpečenia údajov.
|
3 | V časti E-mailové oznámenia zadajte jednu alebo viac e-mailových adries oddelených čiarkami a stlačte kláves Enter. |
Pridanie alebo odstránenie používateľov zo skúšobnej verzie
Ak odstránite používateľa zo skúšobnej verzie, klient používateľa požiada o kľúče a vytvorenie kľúčov z cloudovej služby KMS namiesto vášho KMS. Ak klient potrebuje kľúč, ktorý je uložený vo vašej službe KMS, cloudová služba KMS ho načíta v mene používateľa.
Ak vaša organizácia používa synchronizáciu adresárov, na spravovanie skúšobnej skupiny použite Active Directory (namiesto tohto postupu), HdsTrialGroup
; Členov skupiny môžete zobraziť v Centre ovládania, ale nemôžete ich pridať ani odstrániť.
1 | Prihláste sa do centra ovládania a potom vyberte položku Služby . |
2 | V časti Zabezpečenie hybridných údajov kliknite na položku Nastavenia. |
3 | V časti Skúšobný režim v oblasti Stav služby kliknite na položku Pridať používateľovalebo kliknutím na položku Zobraziť a upraviť odstráňte používateľov zo skúšobnej verzie. |
4 | Zadajte e-mailovú adresu jedného alebo viacerých používateľov, ktorých chcete pridať, alebo kliknite na X pri identifikácii používateľa a odstráňte používateľa zo skúšobnej verzie. Potom kliknite na Uložiť. |
Prechod zo skúšobnej verzie do produkcie
1 | Prihláste sa do centra ovládania a potom vyberte položku Služby . |
2 | V časti Zabezpečenie hybridných údajov kliknite na položku Nastavenia. |
3 | V časti Stav služby kliknite na položku Presunúť do produkcie. |
4 | Potvrďte, že chcete presunúť všetkých používateľov do produkcie. |
Ukončite skúšobnú verziu bez prechodu do produkcie
1 | Prihláste sa do centra ovládania a potom vyberte položku Služby . |
2 | V časti Zabezpečenie hybridných údajov kliknite na položku Nastavenia. |
3 | V časti Deaktivovať kliknite na Deaktivovať . |
4 | Potvrďte, že chcete službu deaktivovať a ukončiť skúšobnú verziu. |
Správa nasadenia HDS
Pomocou tu popísaných úloh môžete spravovať nasadenie hybridného zabezpečenia údajov.
Nastavenie plánu inovácie klastra
Nastavenie plánu inovácie:
1 | Prihláste sa do centra ovládania. |
2 | Na stránke Prehľad v časti Hybridné služby vyberte položku Zabezpečeniehybridných údajov. |
3 | Na stránke Hybridné zdroje zabezpečenia údajov vyberte klaster. |
4 | Na paneli Prehľad na pravej strane v časti Nastavenia klastra vyberte názov klastra. |
5 | Na stránke Nastavenia v časti Inovácia vyberte čas a časové pásmo plánu inovácie. Poznámka: V časovom pásme sa zobrazí dátum a čas ďalšej dostupnej inovácie. V prípade potreby môžete inováciu odložiť na nasledujúci deň kliknutím na tlačidlo Odložiť. |
Zmena konfigurácie uzla
Zmena certifikátov x.509 z dôvodu vypršania platnosti alebo z iných dôvodov.
Nepodporujeme zmenu názvu domény CN certifikátu. Doména sa musí zhodovať s pôvodnou doménou použitou na registráciu klastra.
Aktualizácia nastavení databázy na zmenu na repliku databázy PostgreSQL alebo Microsoft SQL Server.
Nepodporujeme migráciu údajov z PostgreSQL na Microsoft SQL Server alebo naopak. Ak chcete prepnúť databázové prostredie, spustite nové nasadenie hybridného zabezpečenia údajov.
Vytvorenie novej konfigurácie na prípravu nového dátového centra.
Z bezpečnostných dôvodov používa Hybrid Data Security aj heslá účtov služieb, ktoré majú deväťmesačnú životnosť. Keď nástroj HDS Setup vygeneruje tieto heslá, nasadíte ich do každého z uzlov HDS v konfiguračnom súbore ISO. Keď sa blíži uplynutie platnosti hesiel vašej organizácie, dostanete od tímu Webex upozornenie na obnovenie hesla pre váš počítačový účet. (E-mail obsahuje text: "Na aktualizáciu hesla použite rozhranie API účtu počítača.") Ak platnosť hesiel ešte nevypršala, nástroj vám ponúka dve možnosti:
Mäkký reset– staré aj nové heslá fungujú až 10 dní. Toto obdobie použite na postupné nahradenie súboru ISO na uzloch.
Tvrdý reset– staré heslá okamžite prestanú fungovať.
Ak platnosť vašich hesiel vyprší bez resetovania, ovplyvní to vašu službu HDS, čo si vyžaduje okamžitý tvrdý reset a nahradenie súboru ISO na všetkých uzloch.
Tento postup použite na vygenerovanie nového konfiguračného súboru ISO a jeho použitie v klastri.
Skôr než začnete
Nástroj HDS Setup sa spúšťa ako kontajner Dockeru na lokálnom počítači. Ak k nemu chcete získať prístup, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Control Hub s úplnými právami správcu pre vašu organizáciu.
Ak nástroj na nastavenie HDS beží za serverom proxy vo vašom prostredí, pri vyvolaní kontajnera Docker v 1.ezadajte nastavenia proxy (server, port, poverenia) prostredníctvom premenných prostredia Dockeru. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Premenná
HTTP Proxy bez overenia
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS Proxy bez overenia
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s overením
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Na vygenerovanie novej konfigurácie potrebujete kópiu aktuálneho konfiguračného súboru ISO. ISO obsahuje hlavný kľúč šifrujúci databázu PostgreSQL alebo Microsoft SQL Server. ISO potrebujete pri vykonávaní zmien konfigurácie vrátane poverení databázy, aktualizácií certifikátov alebo zmien autorizačných politík.
1 | Pomocou Dockeru na lokálnom počítači spustite nástroj HDS Setup Tool. |
2 | Ak máte spustenýiba jeden uzol HDS, vytvorte nový virtuálny počítač uzla Hybrid Data Security a zaregistrujte ho pomocou nového konfiguračného súboru ISO. Podrobnejšie pokyny nájdete v téme Vytvorenie a registrácia ďalších uzlov. |
3 | V prípade existujúcich uzlov HDS, na ktorých je spustený starší konfiguračný súbor, pripojte súbor ISO. Postupne vykonajte nasledujúci postup na každom uzle a pred vypnutím ďalšieho uzla aktualizujte každý uzol: |
4 | Opakovaním kroku 3 nahraďte konfiguráciu na každom zostávajúcom uzle, na ktorom je spustená stará konfigurácia. |
Vypnutie režimu blokovaného externého rozlíšenia DNS
Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. Ak server DNS uzla nedokáže preložiť verejné názvy DNS, uzol automaticky prejde do režimu blokovaného externého rozlíšenia DNS.
Ak sú vaše uzly schopné preložiť verejné názvy DNS prostredníctvom interných serverov DNS, môžete tento režim vypnúť opätovným spustením testu pripojenia proxy na každom uzle.
Skôr než začnete
1 | Vo webovom prehliadači otvorte rozhranie uzla Hybrid Data Security (napríklad IP adresa/nastavenie, https://192.0.2.0/setup), zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite na položku Prihlásiť sa. |
2 | Prejdite na Prehľad (predvolená stránka). Ak je táto možnosť povolená, blokované externé rozlíšenie DNS je nastavené na možnosť Áno. |
3 | Prejdite na stránku Trust Store & Proxy . |
4 | Kliknite na položku Skontrolovať pripojenieservera proxy. Ak sa zobrazí hlásenie, že externé riešenie DNS nebolo úspešné, uzol sa nemohol pripojiť k serveru DNS a zostane v tomto režime. V opačnom prípade by po reštartovaní uzla a návrate na stránku Prehľad mala byť položka Blokované externé rozlíšenie DNS nastavená na hodnotu Nie. |
Čo robiť ďalej
Odstránenie uzla
1 | Pomocou klienta VMware vSphere v počítači sa prihláste do virtuálneho hostiteľa ESXi a vypnite virtuálny počítač. |
2 | Odstráňte uzol: |
3 | V klientovi vSphere odstráňte virtuálny počítač. (Na ľavej navigačnej table kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Odstrániť.) Ak virtuálny počítač neodstránite, nezabudnite odpojiť konfiguračný súbor ISO. Bez súboru ISO nemôžete použiť virtuálny počítač na prístup k údajom zabezpečenia. |
Obnova po havárii pomocou pohotovostného dátového centra
Najdôležitejšou službou, ktorú váš klaster Hybrid Data Security poskytuje, je vytváranie a ukladanie kľúčov používaných na šifrovanie správ a iného obsahu uloženého v cloude Webex. Pre každého používateľa v rámci organizácie, ktorý je priradený k hybridnému zabezpečeniu údajov, sa do klastra smerujú nové žiadosti o vytvorenie kľúča. Klaster je tiež zodpovedný za vrátenie kľúčov, ktoré vytvoril, všetkým používateľom oprávneným na ich načítanie, napríklad členom konverzačného priestoru.
Keďže klaster vykonáva kritickú funkciu poskytovania týchto kľúčov, je nevyhnutné, aby klaster zostal spustený a aby sa udržiavali správne zálohy. Strata databázy Hybrid Data Security alebo konfiguračného ISO použitého pre schému bude mať za následok NENAPRAVITEĽNÚ STRATU zákazníckeho obsahu. Na zabránenie takejto strate sú povinné tieto postupy:
Ak havária spôsobí, že nasadenie HDS v primárnom dátovom centre bude nedostupné, postupujte podľa tohto postupu na manuálne prepnutie pri zlyhaní do pohotovostného dátového centra.
1 | Spustite nástroj HDS Setup a postupujte podľa krokov uvedených v časti Vytvorenie konfiguračného ISO pre hostiteľovHDS. | ||
2 | Po nakonfigurovaní servera Syslogd kliknite na Rozšírené nastavenia | ||
3 | Na stránke Rozšírené nastavenia pridajte konfiguráciu nižšie alebo odstráňte ikonu
| ||
4 | Dokončite proces konfigurácie a uložte súbor ISO do umiestnenia, ktoré sa dá ľahko nájsť. | ||
5 | Vytvorte záložnú kópiu súboru ISO v lokálnom systéme. Uchovávajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov hybridného zabezpečenia údajov, ktorí by mali vykonať zmeny konfigurácie. | ||
6 | Na ľavej navigačnej table klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Upraviť nastavenia. | ||
7 | Kliknite na položku Upraviť nastavenia >Jednotka CD/DVD 1 a vyberte položku Súbor ISO ukladacieho priestoru údajov.
| ||
8 | Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy. | ||
9 | Zopakujte postup pre každý uzol v pohotovostnom dátovom centre.
|
Čo robiť ďalej
(Voliteľné) Odpojte ISO po konfigurácii HDS
Štandardná konfigurácia HDS beží s namontovaným ISO. Niektorí zákazníci však radšej nenechávajú súbory ISO nepretržite pripojené. Súbor ISO môžete odpojiť po tom, čo všetky uzly HDS prevezmú novú konfiguráciu.
Súbory ISO stále používate na vykonávanie zmien konfigurácie. Keď vytvoríte novú ISO alebo aktualizujete ISO pomocou nástroja na nastavenie, musíte aktualizovanú ISO pripojiť na všetky uzly HDS. Keď všetky vaše uzly zachytia zmeny konfigurácie, môžete pomocou tohto postupu znova odpojiť ISO.
Skôr než začnete
Inovujte všetky uzly HDS na verziu 2021.01.22.4720 alebo novšiu.
1 | Vypnite jeden z uzlov HDS. |
2 | V zariadení vCenter Server vyberte uzol HDS. |
3 | Vyberte položku SúborISO ukladacieho priestoru údajov. CD/DVD a zrušte začiarknutie políčka |
4 | Zapnite uzol HDS a uistite sa, že aspoň 20 minút nebudú žiadne alarmy. |
5 | Postupne opakujte pre každý uzol HDS. |
Zobrazenie upozornení a riešenie problémov
Nasadenie hybridného zabezpečenia údajov sa považuje za nedostupné, ak sú všetky uzly v klastri nedostupné alebo klaster pracuje tak pomaly, že vyprší časový limit požiadaviek. Ak sa používatelia nemôžu pripojiť k klastru hybridného zabezpečenia údajov, vyskytnú sa u nich nasledujúce príznaky:
Nové priestory nie je možné vytvoriť (nie je možné vytvoriť nové kľúče)
Správy a názvy priestorov sa nepodarí dešifrovať pre:
Noví používatelia pridaní do priestoru (nemôžu načítať kľúče)
Existujúci používatelia v priestore pomocou nového klienta (nedá sa načítať kľúče)
Existujúci používatelia v priestore budú naďalej úspešne fungovať, pokiaľ budú mať ich klienti vyrovnávaciu pamäť šifrovacích kľúčov
Je dôležité, aby ste klaster Hybrid Data Security správne monitorovali a okamžite riešili všetky upozornenia, aby ste predišli prerušeniu služby.
Upozornenia
Ak sa vyskytne problém s nastavením hybridného zabezpečenia údajov, Control Hub zobrazí upozornenia správcovi organizácie a odošle e-maily na nakonfigurovanú e-mailovú adresu. Upozornenia pokrývajú mnoho bežných scenárov.
Poplach | Akcia |
---|---|
Zlyhanie prístupu k lokálnej databáze. |
Skontrolujte chyby databázy alebo problémy s lokálnou sieťou. |
Zlyhanie pripojenia k lokálnej databáze. |
Skontrolujte, či je databázový server k dispozícii a či sa pri konfigurácii uzla použili správne poverenia konta služby. |
Zlyhanie prístupu ku cloudovej službe. |
Skontrolujte, či uzly majú prístup k serverom Webex, ako je uvedené v časti Požiadavky naexterné pripojenie. |
Obnovenie registrácie cloudovej služby. |
Registrácia do cloudových služieb bola zrušená. Prebieha obnovenie registrácie. |
Registrácia cloudovej služby klesla. |
Registrácia do cloudových služieb ukončená. Služba sa vypína. |
Služba ešte nie je aktivovaná. |
Aktivujte skúšobnú verziu alebo dokončite presunutie skúšobnej verzie do produkcie. |
Nakonfigurovaná doména sa nezhoduje s certifikátom servera. |
Uistite sa, že certifikát servera sa zhoduje s nakonfigurovanou doménou aktivácie služby. Najpravdepodobnejšou príčinou je, že certifikát CN bol nedávno zmenený a teraz sa líši od CN, ktorý bol použitý pri počiatočnom nastavení. |
Nepodarilo sa overiť v cloudových službách. |
Skontrolujte presnosť a možné vypršanie platnosti prihlasovacích údajov účtu služby. |
Nepodarilo sa otvoriť lokálny súbor úložiska kľúčov. |
Skontrolujte integritu a presnosť hesla v lokálnom úložisku kľúčov file. |
Certifikát lokálneho servera je neplatný. |
Skontrolujte dátum vypršania platnosti certifikátu servera a potvrďte, že bol vydaný dôveryhodnou certifikačnou autoritou. |
Metriky nie je možné uverejniť. |
Skontrolujte prístup k externým cloudovým službám v lokálnej sieti. |
Adresár /media/configdrive/hds neexistuje. |
Skontrolujte konfiguráciu pripojenia ISO na virtuálnom hostiteľovi. Overte, či súbor ISO existuje, či je nakonfigurovaný na pripojenie pri reštarte a či sa úspešne pripojil. |
Riešenie problémov s hybridným zabezpečením údajov
1 | Skontrolujte Centrum ovládania, kde nájdete všetky upozornenia a opravte všetky položky, ktoré tam nájdete. |
2 | Skontrolujte výstup servera syslog pre aktivitu z nasadenia hybridného zabezpečenia údajov. |
3 | Kontaktujte podporuspoločnosti Cisco. |
Známe problémy so zabezpečením hybridných údajov
Ak vypnete klaster Hybrid Data Security (odstránením v Riadiacom centre alebo vypnutím všetkých uzlov), stratíte konfiguračný súbor ISO alebo stratíte prístup k databáze úložiska kľúčov, používatelia aplikácie Webex už nebudú môcť používať medzery v zozname ľudí, ktoré boli vytvorené pomocou kľúčov z vášho KMS. To platí pre skúšobné aj produkčné nasadenia. Momentálne nemáme riešenie ani opravu tohto problému a vyzývame vás, aby ste nevypínali služby HDS, keď spracúvajú aktívne používateľské účty.
Klient, ktorý má existujúce pripojenie ECDH k KMS, udržuje toto pripojenie po určitú dobu (pravdepodobne jednu hodinu). Keď sa používateľ stane členom skúšobnej verzie Hybrid Data Security, klient používateľa bude naďalej používať existujúce pripojenie ECDH až do vypršania časového limitu. Prípadne sa používateľ môže odhlásiť a znova prihlásiť do aplikácie Webex, aby aktualizoval umiestnenie, ktoré aplikácia kontaktuje so žiadosťou o šifrovacie kľúče.
Rovnaké správanie nastane, keď presuniete skúšobnú verziu do produkcie pre organizáciu. Všetci používatelia, ktorí nemajú skúšobnú verziu s existujúcimi pripojeniami ECDH k predchádzajúcim službám zabezpečenia údajov, budú tieto služby naďalej používať, kým nebude pripojenie ECDH opätovne prerokované (prostredníctvom časového limitu alebo odhlásením a opätovným pripojením).
Použitie OpenSSL na vygenerovanie súboru PKCS12
Skôr než začnete
OpenSSL je jedným z nástrojov, ktorý možno použiť na vytvorenie súboru PKCS12 v správnom formáte na načítanie v nástroji HDS Setup Tool. Existujú aj iné spôsoby, ako to urobiť, a my nepodporujeme ani nepropagujeme jeden spôsob pred druhým.
Ak sa rozhodnete použiť OpenSSL, poskytujeme tento postup ako usmernenie, ktoré vám pomôže vytvoriť súbor, ktorý spĺňa požiadavky na certifikát X.509 v X.509 Požiadavky nacertifikát. Skôr než budete pokračovať, pochopte tieto požiadavky.
Nainštalujte OpenSSL v podporovanom prostredí. Pozrite si https://www.openssl.org softvér a dokumentáciu.
Vytvorte súkromný kľúč.
Tento postup spustite po prijatí certifikátu servera od certifikačnej autority (CA).
1 | Keď dostanete certifikát servera od certifikačnej autority, uložte ho ako |
2 | Zobrazte certifikát ako text a overte podrobnosti.
|
3 | Pomocou textového editora vytvorte súbor balíka certifikátov s názvom
|
4 | Vytvorte súbor .p12 s popisným názvom
|
5 | Skontrolujte podrobnosti o certifikáte servera. |
Čo robiť ďalej
Vráťte sa a dokončite predpoklady na zabezpečeniehybridných údajov. Použijete hdsnode.p12
a heslo, ktoré ste preň nastavili, v časti Vytvorenie konfiguračného ISO pre hostiteľovHDS.
Tieto súbory môžete znova použiť na vyžiadanie nového certifikátu po uplynutí platnosti pôvodného certifikátu. |
Prenos medzi uzlami HDS a cloudom
Návštevnosť zhromažďovania odchádzajúcich metrík
Uzly Hybrid Data Security odosielajú určité metriky do cloudu Webex. Patria sem systémové metriky pre maximálnu haldu, použitú haldu, zaťaženie procesora a počet vlákien; metriky synchrónnych a asynchrónnych vlákien; metriky upozornení zahŕňajúce prahovú hodnotu šifrovacích pripojení, latenciu alebo dĺžku frontu požiadaviek; metriky v úložisku údajov; a metriky šifrovania pripojenia. Uzly odosielajú šifrovaný kľúčový materiál cez kanál mimo pásma (oddelene od požiadavky).
Prichádzajúca prevádzka
Uzly Hybrid Data Security prijímajú nasledujúce typy prichádzajúcej prevádzky z cloudu Webex:
Požiadavky na šifrovanie od klientov, ktoré sú smerované šifrovacou službou
Aktualizácie softvéru uzla
Konfigurácia proxy serverov Squid pre zabezpečenie hybridných údajov
Websocket sa nemôže pripojiť cez Squid Proxy
Squid proxy, ktoré kontrolujú prevádzku HTTPS, môžu rušiť vytvorenie websocketu ( wss:
), ktoré vyžaduje hybridné zabezpečenie údajov. Tieto časti poskytujú návod, ako nakonfigurovať rôzne verzie Squid na ignorovanie wss:
prevádzka pre riadnu prevádzku služieb.
Chobotnica 4 a 5
Pridajte on_unsupported_protocol
smernica o squid.conf
:
on_unsupported_protocol tunnel all
Chobotnica 3.5.27
Úspešne sme otestovali Hybrid Data Security s pridanými nasledujúcimi pravidlami squid.conf
. Tieto pravidlá sa môžu zmeniť pri vývoji funkcií a aktualizácii cloudu Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Predslov
Nové a zmenené informácie
Dátum |
Vykonané zmeny |
---|---|
20. októbra 2023 |
|
7. augusta 2023 |
|
23. mája 2023 |
|
6. decembra 2022 |
|
23. novembra 2022 |
|
13. októbra 2021 |
Pred inštaláciou uzlov HDS musí Docker Desktop spustiť inštalačný program. Pozrite si časť Požiadavky na pracovnú plochu Docker. |
24. júna 2021 |
Upozorňujeme, že súbor so súkromným kľúčom a CSR môžete znova použiť na vyžiadanie ďalšieho certifikátu. Podrobnosti nájdete v časti Použitie OpenSSL na vygenerovanie súboru PKCS12 . |
30. apríla 2021 |
Požiadavka VM na lokálny pevný disk sa zmenila na 30 GB. Podrobnosti nájdete v časti Požiadavky na virtuálneho hostiteľa . |
24. februára 2021 |
Nástroj HDS Setup Tool teraz môže bežať za serverom proxy. Podrobnosti nájdete v časti Vytvorenie konfiguračného ISO pre hostiteľov HDS . |
2. februára 2021 |
HDS teraz môže bežať bez pripojeného súboru ISO. Podrobnosti nájdete v časti (Voliteľné) Odpojenie ISO po konfigurácii HDS . |
11. januára 2021 |
Pridané informácie o nástroji na nastavenie HDS a serveroch proxy na vytvorenie konfiguračného ISO pre hostiteľov HDS. |
13. októbra 2020 |
Aktualizované Prevziať inštalačné súbory. |
8. októbra 2020 |
Aktualizované Vytvorenie konfiguračného ISO pre hostiteľov HDS a Zmena konfigurácie uzla pomocou príkazov pre prostredia FedRAMP. |
14. augusta 2020 |
Aktualizované Vytvorenie konfiguračného ISO pre hostiteľov HDS a Zmena konfigurácie uzla so zmenami v procese prihlásenia. |
5. augusta 2020 |
Aktualizovaný článok Otestujte svoje nasadenie hybridného zabezpečenia údajov na zmeny v správach denníka. Aktualizované Požiadavky na virtuálneho hostiteľa s cieľom odstrániť maximálny počet hostiteľov. |
16. júna 2020 |
Aktualizované Odstrániť uzol pre zmeny v používateľskom rozhraní Control Hub. |
4. júna 2020 |
Aktualizované Vytvorenie konfiguračného ISO pre hostiteľov HDS pre zmeny v rozšírených nastaveniach, ktoré môžete nastaviť. |
29. mája 2020 |
Aktualizované Vytvorenie konfiguračného ISO pre hostiteľov HDS , aby sa ukázalo, že TLS môžete použiť aj s databázami SQL Server, zmenami používateľského rozhrania a ďalšími vysvetleniami. |
5. mája 2020 |
Aktualizované Požiadavky na virtuálneho hostiteľa , aby zobrazovali novú požiadavku ESXi 6.5. |
21. apríla 2020 |
Aktualizované požiadavky na externé pripojenie o nových hostiteľov CI v Amerike. |
1. apríla 2020 |
Aktualizované požiadavky na externé pripojenie o informácie o regionálnych hostiteľoch CI. |
20. februára 2020 | Aktualizované Vytvorenie konfiguračného ISO pre hostiteľov HDS s informáciami o novej voliteľnej obrazovke Rozšírené nastavenia v nástroji HDS Setup Tool. |
4. februára 2020 | Aktualizované požiadavky na server proxy. |
16. decembra 2019 | V časti Požiadavky na server proxy bola objasnená požiadavka, aby režim zablokovaného externého rozlíšenia DNS fungoval. |
19. novembra 2019 |
Pridané informácie o režime zablokovaného externého rozlíšenia DNS v nasledujúcich častiach: |
8. novembra 2019 |
Teraz môžete konfigurovať sieťové nastavenia pre uzol počas nasadzovania OVA a nie neskôr. Podľa toho aktualizovali nasledujúce sekcie: Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 6.5. Táto možnosť nemusí byť dostupná v starších verziách. |
6. septembra 2019 |
Pridaný SQL Server Standard do požiadaviek na databázový server. |
29. augusta 2019 | Pridaná príloha Konfigurácia serverov proxy Squid pre hybridné zabezpečenie údajov s pokynmi na konfiguráciu serverov proxy Squid tak, aby pre správnu činnosť ignorovali prevádzku webových soketov. |
20. augusta 2019 |
Pridané a aktualizované sekcie pokrývajúce podporu proxy pre komunikáciu uzlov Hybrid Data Security do cloudu Webex. Ak chcete získať prístup len k obsahu podpory servera proxy pre existujúce nasadenie, prečítajte si článok pomocníka Podpora servera proxy pre hybridné zabezpečenie údajov a Webex Video Mesh . |
13. júna 2019 | Aktualizovaný Skúšobný postup na produkčný postup s pripomenutím, aby ste pred spustením skúšobného obdobia synchronizovali objekt skupiny HdsTrialGroup , ak vaša organizácia používa synchronizáciu adresárov. |
6. marca 2019 |
|
28. februára 2019 |
|
26. februára 2019 |
|
24. januára 2019 |
|
5. novembra 2018 |
|
19. októbra 2018 |
|
31. júla 2018 |
|
21. mája 2018 |
Zmenená terminológia, aby odrážala rebranding Cisco Spark:
|
11. apríla 2018 |
|
22. februára 2018 |
|
15. február 2018 |
|
18. januára 2018 |
|
2. novembra 2017 |
|
18. augusta 2017 |
Prvýkrát zverejnené |
Začnite s hybridným zabezpečením dát
Prehľad zabezpečenia hybridných údajov
Od prvého dňa bola bezpečnosť údajov hlavným zameraním pri navrhovaní aplikácie Webex. Základným kameňom tohto zabezpečenia je komplexné šifrovanie obsahu, ktoré umožňujú klienti Webex App interagujúci so službou Key Management Service (KMS). KMS je zodpovedný za vytváranie a správu kryptografických kľúčov, ktoré klienti používajú na dynamické šifrovanie a dešifrovanie správ a súborov.
V predvolenom nastavení dostávajú všetci zákazníci Webex App end-to-end šifrovanie s dynamickými kľúčmi uloženými v cloudovom KMS v oblasti bezpečnosti Cisco. Hybrid Data Security presúva KMS a ďalšie funkcie súvisiace so zabezpečením do vášho podnikového dátového centra, takže kľúče k vášmu šifrovanému obsahu nemá nikto okrem vás.
Architektúra bezpečnostnej sféry
Cloudová architektúra Webex oddeľuje rôzne typy služieb do samostatných oblastí alebo dôveryhodných domén, ako je znázornené nižšie.
Aby sme lepšie porozumeli Hybrid Data Security, pozrime sa najprv na tento čistý cloud, kde Cisco poskytuje všetky funkcie vo svojich cloudových sférach. Služba identity, jediné miesto, kde môžu používatelia priamo korelovať so svojimi osobnými údajmi, ako je e-mailová adresa, je logicky a fyzicky oddelená od oblasti zabezpečenia v dátovom centre B. Obe sú zase oddelené od oblasti, kde je v konečnom dôsledku uložený šifrovaný obsah. , v dátovom centre C.
V tomto diagrame je klientom aplikácia Webex, ktorá beží na notebooku používateľa a je overená službou identity. Keď používateľ vytvorí správu na odoslanie do priestoru, vykonajú sa tieto kroky:
-
Klient vytvorí zabezpečené spojenie so službou správy kľúčov (KMS), potom požiada o kľúč na zašifrovanie správy. Zabezpečené pripojenie používa ECDH a KMS šifruje kľúč pomocou hlavného kľúča AES-256.
-
Správa je pred opustením klienta zašifrovaná. Klient ho odošle do indexovacej služby, ktorá vytvorí zašifrované indexy vyhľadávania na pomoc pri budúcom vyhľadávaní obsahu.
-
Zašifrovaná správa sa odošle do služby súladu na kontrolu súladu.
-
Zašifrovaná správa je uložená v úložnej sfére.
Keď nasadíte Hybrid Data Security, presuniete funkcie bezpečnostnej sféry (KMS, indexovanie a súlad) do vášho lokálneho dátového centra. Ostatné cloudové služby, ktoré tvoria Webex (vrátane ukladania identity a obsahu), zostávajú v sférach spoločnosti Cisco.
Spolupráca s inými organizáciami
Používatelia vo vašej organizácii môžu pravidelne používať aplikáciu Webex na spoluprácu s externými účastníkmi v iných organizáciách. Keď jeden z vašich používateľov požaduje kľúč pre priestor, ktorý vlastní vaša organizácia (pretože ho vytvoril jeden z vašich používateľov), váš KMS odošle kľúč klientovi cez zabezpečený kanál ECDH. Keď však kľúč priestoru vlastní iná organizácia, váš KMS nasmeruje požiadavku do cloudu Webex cez samostatný kanál ECDH, aby získal kľúč z príslušného KMS, a potom vráti kľúč vášmu používateľovi na pôvodnom kanáli.
Služba KMS spustená v organizácii A overuje pripojenia ku KMS v iných organizáciách pomocou x.509 PKI certifikátov. Podrobnosti o generovaní certifikátu x.509 na použitie s nasadením Hybrid Data Security nájdete v časti Príprava prostredia .
Očakávania týkajúce sa nasadenia hybridnej bezpečnosti údajov
Nasadenie Hybrid Data Security si vyžaduje značné nasadenie zákazníkov a uvedomenie si rizík, ktoré so sebou prináša vlastníctvo šifrovacích kľúčov.
Ak chcete nasadiť Hybrid Data Security, musíte poskytnúť:
-
Zabezpečené dátové centrum v krajine, ktorá je podporovaným miestom pre plány Cisco Webex Teams.
Úplná strata buď konfiguračného ISO, ktoré ste vytvorili pre Hybrid Data Security, alebo databázy, ktorú poskytnete, bude mať za následok stratu kľúčov. Strata kľúča bráni používateľom dešifrovať obsah priestoru a ďalšie šifrované údaje v aplikácii Webex. Ak sa tak stane, môžete vytvoriť nové nasadenie, ale bude viditeľný iba nový obsah. Aby ste predišli strate prístupu k údajom, musíte:
-
Spravujte zálohovanie a obnovu databázy a konfiguračného ISO.
-
Buďte pripravení vykonať rýchlu obnovu po havárii, ak dôjde ku katastrofe, ako je zlyhanie databázového disku alebo katastrofa dátového centra.
Neexistuje žiadny mechanizmus na presun kľúčov späť do cloudu po nasadení HDS.
Proces nastavenia na vysokej úrovni
Tento dokument pokrýva nastavenie a správu nasadenia Hybrid Data Security:
Nastavenie Hybrid Data Security – zahŕňa prípravu požadovanej infraštruktúry a inštaláciu softvéru Hybrid Data Security, testovanie vášho nasadenia s podskupinou používateľov v skúšobnom režime a po dokončení testovania prechod do produkcie. To prevedie celú organizáciu na používanie vášho klastra Hybrid Data Security na bezpečnostné funkcie.
Fázy nastavenia, skúšania a výroby sú podrobne opísané v nasledujúcich troch kapitolách.
-
Udržujte svoje nasadenie Hybrid Data Security – cloud Webex automaticky poskytuje priebežné inovácie. Vaše IT oddelenie môže poskytnúť podporu prvej úrovne pre toto nasadenie a podľa potreby zapojiť podporu Cisco. V Control Hub môžete používať upozornenia na obrazovke a nastaviť upozornenia prostredníctvom e-mailu.
-
Pochopte bežné upozornenia, kroky na riešenie problémov a známe problémy – Ak narazíte na problémy s nasadením alebo používaním Hybrid Data Security, posledná kapitola tejto príručky a príloha Známe problémy vám môžu pomôcť určiť a vyriešiť problém.
Hybridný model nasadenia zabezpečenia dát
V rámci podnikového dátového centra nasadíte Hybrid Data Security ako jeden klaster uzlov na samostatných virtuálnych hostiteľoch. Uzly komunikujú s cloudom Webex cez zabezpečené websockety a zabezpečené HTTP.
Počas procesu inštalácie vám poskytneme súbor OVA na nastavenie virtuálneho zariadenia na VM, ktoré poskytnete. Nástroj HDS Setup Tool použijete na vytvorenie vlastného konfiguračného súboru ISO klastra, ktorý pripojíte na každý uzol. Klaster Hybrid Data Security využíva váš poskytnutý server Syslogd a databázu PostgreSQL alebo Microsoft SQL Server. (Syslogd a podrobnosti o pripojení k databáze nakonfigurujete v nástroji HDS Setup Tool.)
Minimálny počet uzlov, ktoré môžete mať v klastri, sú dva. Odporúčame aspoň tri na klaster. Viacnásobné uzly zaisťujú, že služba nebude prerušená počas aktualizácie softvéru alebo inej činnosti údržby na uzle. (Cloud Webex aktualizuje naraz iba jeden uzol.)
Všetky uzly v klastri pristupujú k rovnakému úložisku údajov kľúčov a zaznamenávajú aktivitu na rovnaký server syslog. Samotné uzly sú bez stavu a spracovávajú kľúčové požiadavky v režime round-robin podľa pokynov cloudu.
Uzly sa stanú aktívnymi, keď ich zaregistrujete v Control Hub. Ak chcete vyradiť jednotlivý uzol z prevádzky, môžete ho zrušiť a neskôr v prípade potreby znova zaregistrovať.
Podporujeme iba jeden klaster na organizáciu.
Skúšobný režim hybridnej bezpečnosti dát
Po nastavení nasadenia Hybrid Data Security ho najskôr vyskúšate so skupinou pilotných používateľov. Počas skúšobného obdobia títo používatelia používajú vašu lokálnu doménu Hybrid Data Security na šifrovacie kľúče a ďalšie služby v oblasti zabezpečenia. Ostatní vaši používatelia naďalej používajú oblasť zabezpečenia cloudu.
Ak sa rozhodnete nepokračovať v nasadzovaní počas skúšobného obdobia a službu deaktivujete, pilotní používatelia a všetci používatelia, s ktorými počas skúšobného obdobia interagovali vytvorením nových priestorov, stratia prístup k správam a obsahu. V aplikácii Webex sa im zobrazí „Táto správa sa nedá dešifrovať“.
Ak ste spokojní s tým, že vaše nasadenie funguje dobre pre skúšobných používateľov a ste pripravení rozšíriť Hybrid Data Security na všetkých svojich používateľov, presuniete nasadenie do produkcie. Pilotní používatelia majú naďalej prístup ku kľúčom, ktoré sa používali počas skúšobnej verzie. Nemôžete sa však pohybovať tam a späť medzi produkčným režimom a pôvodnou skúšobnou verziou. Ak musíte službu deaktivovať, napríklad vykonať obnovu po havárii, pri opätovnej aktivácii musíte spustiť novú skúšobnú verziu a nastaviť skupinu pilotných používateľov pre novú skúšobnú verziu, než sa vrátite späť do produkčného režimu. Či si používatelia v tomto bode zachovajú prístup k údajom, závisí od toho, či ste úspešne udržiavali zálohy úložiska kľúčových údajov a konfiguračného súboru ISO pre uzly Hybrid Data Security vo vašom klastri.
Pohotovostné dátové centrum pre obnovu po havárii
Počas nasadenia nastavíte zabezpečené pohotovostné dátové centrum. V prípade havárie dátového centra môžete manuálne zlyhať nasadenie do pohotovostného dátového centra.
Databázy aktívnych a pohotovostných dátových centier sú navzájom synchronizované, čo minimalizuje čas potrebný na vykonanie núdzového prepnutia. Súbor ISO pohotovostného dátového centra sa aktualizuje o ďalšie konfigurácie, ktoré zaisťujú, že uzly sú registrované v organizácii, ale nebudú spracovávať prevádzku. Preto uzly pohotovostného dátového centra zostávajú vždy aktuálne s najnovšou verziou softvéru HDS.
Aktívne uzly Hybrid Data Security musia byť vždy v rovnakom údajovom centre ako aktívny databázový server.
Nastavte pohotovostné dátové centrum pre obnovu po havárii
Ak chcete nakonfigurovať súbor ISO pohotovostného dátového centra, postupujte podľa nasledujúcich krokov:
Skôr ako začnete
-
Pohotovostné dátové centrum by malo odrážať produkčné prostredie VM a záložnú databázu PostgreSQL alebo Microsoft SQL Server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM. (Prehľad tohto modelu núdzového prepnutia nájdete v časti Pohotovostné dátové centrum pre obnovu po havárii .)
-
Uistite sa, že je povolená synchronizácia databázy medzi databázou aktívnych a pasívnych uzlov klastra.
1 |
Spustite nástroj na nastavenie HDS a postupujte podľa krokov uvedených v časti Vytvorenie konfiguračného ISO pre hostiteľov HDS. Súbor ISO musí byť kópiou pôvodného súboru ISO primárneho dátového centra, v ktorom sa majú vykonať nasledujúce aktualizácie konfigurácie. |
2 |
Po konfigurácii servera Syslogd kliknite na položku Rozšírené nastavenia |
3 |
Na stránke Rozšírené nastavenia pridajte nižšie uvedenú konfiguráciu, aby sa uzol dostal do pasívneho režimu. V tomto režime bude uzol zaregistrovaný v organizácii a pripojený ku cloudu, ale nebude spracovávať žiadny prenos.
|
4 |
Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť. |
5 |
Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. |
6 |
V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Upraviť nastavenia. |
7 |
Kliknite na položku Upraviť nastavenia >Jednotka CD/DVD 1 a vyberte položku Datastore ISO File. Uistite sa, že sú začiarknuté položky Pripojené a Pripojiť pri zapnutí , aby sa aktualizované zmeny konfigurácie prejavili po spustení uzlov. |
8 |
Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy. |
9 |
Opakujte proces pre každý uzol v pohotovostnom dátovom centre. Skontrolujte syslogy a overte, či sú uzly v pasívnom režime. V syslogoch by ste mali vidieť správu „KMS nakonfigurovaná v pasívnom režime“. |
Čo robiť ďalej
Po konfigurácii passiveMode
v súbore ISO a jeho uložení môžete vytvoriť ďalšiu kópiu súboru ISO bez konfigurácie passiveMode
a uložiť ju na bezpečné miesto. Táto kópia súboru ISO bez nakonfigurovaného passiveMode
môže pomôcť pri rýchlom procese núdzového prepnutia počas obnovy po havárii. Podrobný postup pri zlyhaní nájdete v časti Obnova po havárii pomocou pohotovostného dátového centra .
Podpora proxy
Hybrid Data Security podporuje explicitné, transparentné kontrolné a nekontrolujúce proxy. Tieto servery proxy môžete prepojiť s nasadením, aby ste mohli zabezpečiť a monitorovať prevádzku z podniku do cloudu. Rozhranie správcu platformy na uzloch môžete použiť na správu certifikátov a na kontrolu celkového stavu pripojenia po nastavení servera proxy na uzloch.
Uzly Hybrid Data Security podporujú nasledujúce možnosti proxy:
-
Bez servera proxy – predvolená hodnota, ak na integráciu servera proxy nepoužívate konfiguráciu dôveryhodného obchodu a servera proxy na nastavenie uzla HDS. Nevyžaduje sa žiadna aktualizácia certifikátu.
-
Transparentný nekontrolujúci proxy server – uzly nie sú nakonfigurované na používanie konkrétnej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.
-
Transparentné tunelovanie alebo kontrola servera proxy – uzly nie sú nakonfigurované na používanie konkrétnej adresy servera proxy. Na uzloch nie sú potrebné žiadne zmeny konfigurácie HTTP alebo HTTPS. Uzly však potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).
-
Explicitný server proxy – pomocou explicitného servera proxy poviete uzlom HDS, ktorý server proxy a schému overenia majú použiť. Ak chcete nakonfigurovať explicitný server proxy, musíte do každého uzla zadať nasledujúce informácie:
-
Proxy IP/FQDN – adresa, ktorú možno použiť na spojenie so zariadením proxy.
-
Port proxy – číslo portu, ktoré server proxy používa na počúvanie prenosu cez server proxy.
-
Protokol proxy – v závislosti od toho, čo váš server proxy podporuje, si vyberte z nasledujúcich protokolov:
-
HTTP – zobrazuje a riadi všetky požiadavky, ktoré klient odosiela.
-
HTTPS – poskytuje kanál pre server. Klient prijme a overí certifikát servera.
-
-
Typ overenia totožnosti – vyberte si z nasledujúcich typov overenia totožnosti:
-
Žiadne – nevyžaduje sa žiadne ďalšie overenie.
Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.
-
Základné – používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.
Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.
Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.
-
Súhrn – používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.
Dostupné, iba ak vyberiete HTTPS ako protokol proxy.
Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.
-
-
Príklad uzlov na zabezpečenie hybridných dát a proxy
Tento diagram ukazuje príklad spojenia medzi Hybrid Data Security, sieťou a proxy. Pre možnosti transparentnej kontroly a explicitnej kontroly HTTPS proxy musí byť nainštalovaný rovnaký koreňový certifikát na proxy a na uzloch Hybrid Data Security.
Blokovaný režim externého rozlíšenia DNS (explicitné konfigurácie proxy)
Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. V nasadeniach s explicitnými konfiguráciami proxy, ktoré neumožňujú externé rozlíšenie DNS pre interných klientov, ak uzol nemôže dotazovať servery DNS, automaticky prejde do režimu blokovaného externého riešenia DNS. V tomto režime môže pokračovať registrácia uzla a ďalšie testy pripojenia proxy.
Pripravte si prostredie
Požiadavky na zabezpečenie hybridných údajov
Licenčné požiadavky Cisco Webex
Nasadenie hybridného zabezpečenia údajov:
-
Musíte mať balík Pro pre Cisco Webex Control Hub. (Pozri https://www.cisco.com/go/pro-pack.)
Požiadavky na pracovnú plochu Dockeru
Pred inštaláciou uzlov HDS potrebujete Docker Desktop na spustenie inštalačného programu. Docker nedávno aktualizoval svoj licenčný model. Vaša organizácia môže vyžadovať platené predplatné pre Docker Desktop. Podrobnosti nájdete v blogovom príspevku Dockeru " Docker aktualizuje a rozširuje naše predplatnéproduktov".
Požiadavky na certifikát X.509
Reťazec certifikátov musí spĺňať nasledujúce požiadavky:
Požiadavka |
Detaily |
---|---|
|
V predvolenom nastavení dôverujeme certifikačným autoritám v zozname Mozilla (s výnimkou WoSign a StartCom) na https://wiki.mozilla.org/CA:IncludedCAs. |
|
CN nemusí byť dostupný ani živý hostiteľ. Odporúčame vám použiť názov, ktorý odráža vašu organizáciu, napríklad KN nesmie obsahovať * (zástupný znak). CN sa používa na overenie uzlov hybridného zabezpečenia údajov pre klientov aplikácie Webex. Všetky uzly hybridného zabezpečenia údajov v klastri používajú rovnaký certifikát. Služba KMS sa identifikuje pomocou domény CN, nie akejkoľvek domény, ktorá je definovaná v poliach siete SAN x.509v3. Po registrácii uzla s týmto certifikátom nepodporujeme zmenu názvu domény CN. Vyberte doménu, ktorá sa môže vzťahovať na skúšobné aj produkčné nasadenie. |
|
Softvér KMS nepodporuje podpisy SHA1 na overovanie pripojení k KMS iných organizácií. |
|
Na zmenu formátu certifikátu môžete použiť konvertor, ako je napríklad OpenSSL. Pri spustení nástroja HDS Setup Tool budete musieť zadať heslo. |
Softvér KMS nevynucuje používanie klávesov ani rozšírené obmedzenia používania kľúčov. Niektoré certifikačné autority vyžadujú, aby sa na každý certifikát použili rozšírené obmedzenia používania kľúčov, ako je napríklad overovanie servera. Je v poriadku použiť overenie servera alebo iné nastavenia.
Požiadavky na virtuálneho hostiteľa
Virtuálni hostitelia, ktorých nastavíte ako uzly hybridného zabezpečenia údajov v klastri, majú nasledujúce požiadavky:
-
Aspoň dvaja samostatní hostitelia (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre
-
Nainštalovaný a spustený VMware ESXi 6.5 (alebo novší).
Ak máte staršiu verziu ESXi, musíte inovovať.
-
Minimálne 4 virtuálne procesory, 8 GB hlavnej pamäte, 30 GB miesta na lokálnom pevnom disku na server
Požiadavky na databázový server
Vytvorte novú databázu pre ukladanie kľúčov. Nepoužívajte predvolenú databázu. Aplikácie HDS po nainštalovaní vytvárajú databázovú schému.
Existujú dve možnosti pre databázový server. Požiadavky na každý z nich sú tieto:
PostgreSQL |
Microsoft SQL Server |
---|---|
|
|
Minimálne 8 virtuálnych procesorov, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby nedošlo k jeho prekročeniu (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhší čas bez potreby zväčšovania úložiska) |
Minimálne 8 virtuálnych procesorov, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby nedošlo k jeho prekročeniu (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhší čas bez potreby zväčšovania úložiska) |
Softvér HDS v súčasnosti inštaluje nasledujúce verzie ovládačov pre komunikáciu s databázovým serverom:
PostgreSQL |
Microsoft SQL Server |
---|---|
Ovládač Postgres JDBC 42.2.5 |
Ovládač JDBC servera SQL Server 4.6 Táto verzia ovládača podporuje SQL Server Always On ( inštancie klastra s podporou prevzatia pri zlyhaní vždy zapnuté a skupinydostupnosti Always On). |
Ďalšie požiadavky na overenie systému Windows na serveri Microsoft SQL Server
Ak chcete, aby uzly HDS používali overenie systému Windows na získanie prístupu k databáze úložiska kľúčov na serveri Microsoft SQL Server, potrebujete vo svojom prostredí nasledujúcu konfiguráciu:
-
Uzly HDS, infraštruktúra Active Directory a MS SQL Server musia byť synchronizované s NTP.
-
Konto Windows, ktoré poskytnete uzlom HDS, musí mať prístup na čítanie a zápis do databázy.
-
Servery DNS, ktoré poskytnete uzlom HDS, musia byť schopné rozpoznať vaše centrum distribúcie kľúčov (KDC).
-
Inštanciu databázy HDS môžete zaregistrovať na serveri Microsoft SQL Server ako hlavný názov služby (SPN) v službe Active Directory. Pozrite si tému Registrácia hlavného názvu služby pre pripojeniaprotokolu Kerberos.
Nástroj na nastavenie HDS, spúšťač HDS a lokálny KMS musia na prístup k databáze úložiska kľúčov používať overenie systému Windows. Používajú podrobnosti z konfigurácie ISO na vytvorenie hlavného názvu služby pri žiadosti o prístup pomocou overovania protokolom Kerberos.
Požiadavky na externé pripojenie
Nakonfigurujte bránu firewall tak, aby umožňovala nasledujúce pripojenie pre aplikácie HDS:
Aplikácia |
Protokol |
Prístav |
Smer z aplikácie |
Cieľ |
---|---|---|---|---|
Hybridné uzly zabezpečenia údajov |
Protokol tcp |
443 |
Odchádzajúce protokoly HTTPS a WSS |
|
Nástroj na nastavenie HDS |
Protokol tcp |
443 |
Odchádzajúci protokol HTTPS |
|
Uzly Hybrid Data Security pracujú s prekladom prístupu k sieti (NAT) alebo za bránou firewall, pokiaľ preklad sieťových adries alebo brána firewall povoľuje požadované odchádzajúce pripojenia k cieľom domény v predchádzajúcej tabuľke. V prípade pripojení prichádzajúcich do uzlov Hybrid Data Security by nemali byť z internetu viditeľné žiadne porty. V rámci vášho dátového centra potrebujú klienti prístup k uzlom hybridného zabezpečenia údajov na portoch TCP 443 a 22 na administratívne účely.
URL adresy hostiteľov Common Identity (CI) sú špecifické pre oblasť. Toto sú súčasní hostitelia CI:
Región |
Bežné adresy URL hostiteľa identity |
---|---|
Amerika |
|
Európska únia |
|
Kanada |
|
Požiadavky na proxy server
-
Oficiálne podporujeme nasledujúce proxy riešenia, ktoré je možné integrovať s vašimi uzlami Hybrid Data Security.
-
Transparentný proxy server – Cisco Web Security Appliance (WSA).
-
Explicitný zástupca – chobotnica.
Proxy servery chobotníc, ktoré kontrolujú prevádzku HTTPS, môžu interferovať s vytvorením websocketu (wss:) Pripojenia. Ak chcete tento problém obísť, pozrite si tému Konfigurácia proxy serverov Squid pre hybridné zabezpečenieúdajov.
-
-
Podporujeme nasledujúce kombinácie typov overovania pre explicitné proxy servery:
-
Žiadna autentifikácia pomocou protokolu HTTP alebo HTTPS
-
Základná autentifikácia pomocou protokolu HTTP alebo HTTPS
-
Overovanie súhrnu iba pomocou protokolu HTTPS
-
-
V prípade transparentného kontrolného proxy servera alebo explicitného proxy servera HTTPS musíte mať kópiu koreňového certifikátu servera proxy. Pokyny na nasadenie v tejto príručke vám povedia, ako nahrať kópiu do dôveryhodných úložísk uzlov Hybrid Data Security.
-
Sieť, ktorá je hostiteľom uzlov HDS, musí byť nakonfigurovaná tak, aby vynútila smerovanie odchádzajúcej prevádzky TCP na porte 443 cez proxy.
-
Servery Proxy, ktoré kontrolujú webovú prevádzku, môžu rušiť pripojenia webových soketov. Ak sa vyskytne tento problém, problém sa vyrieši obídením (nie kontrolou) premávky do
wbx2.com
aciscospark.com
.
Splnenie predpokladov pre hybridné zabezpečenie údajov
1 |
Uistite sa, že vaša organizácia Webex má povolený balík Pro Pack pre Cisco Webex Control Hub, a získajte poverenia účtu s úplnými právami správcu organizácie. Požiadajte o pomoc s týmto procesom svojho partnera Cisco alebo správcu účtu. |
2 |
Vyberte názov domény pre nasadenie HDS (napríklad |
3 |
Pripravte si identických virtuálnych hostiteľov, ktorých nastavíte ako uzly hybridného zabezpečenia údajov v klastri. Potrebujete aspoň dvoch samostatných hostiteľov (odporúčajú sa 3) umiestnených v rovnakom zabezpečenom dátovom centre, ktoré spĺňajú požiadavky v požiadavkáchna virtuálneho hostiteľa. |
4 |
Pripravte databázový server, ktorý bude fungovať ako kľúčové dátové úložisko pre klaster podľa požiadaviekdatabázového servera. Databázový server musí byť umiestnený v zabezpečenom dátovom centre s virtuálnymi hostiteľmi. |
5 |
Pre rýchle zotavenie po havárii nastavte prostredie zálohovania v inom dátovom centre. Zálohovacie prostredie zrkadlí produkčné prostredie virtuálnych počítačov a záložného databázového servera. Ak má napríklad produkcia 3 virtuálne počítače s uzlami HDS, zálohovacie prostredie by malo mať 3 virtuálne počítače. |
6 |
Nastavte hostiteľa syslog na zhromažďovanie denníkov z uzlov v klastri. Zhromaždite jeho sieťovú adresu a port syslog (predvolená hodnota je UDP 514). |
7 |
Vytvorte politiku bezpečného zálohovania pre uzly Hybrid Data Security, databázový server a hostiteľa syslogu. Aby ste predišli neobnoviteľnej strate údajov, musíte minimálne zálohovať databázu a konfiguračný súbor ISO vygenerovaný pre uzly Hybrid Data Security. Keďže uzly Hybrid Data Security ukladajú kľúče používané pri šifrovaní a dešifrovaní obsahu, nezachovanie prevádzkového nasadenia bude mať za následok NEOBNOVITEĽNÚ STRATU tohto obsahu. Klienti aplikácie Webex ukladajú svoje kľúče do vyrovnávacej pamäte, takže výpadok nemusí byť okamžite viditeľný, ale časom sa prejaví. Zatiaľ čo dočasným výpadkom nie je možné zabrániť, dajú sa obnoviť. Úplná strata (nie sú k dispozícii žiadne zálohy) databázy alebo konfiguračného súboru ISO však bude mať za následok neobnoviteľné údaje o zákazníkoch. Od prevádzkovateľov uzlov Hybrid Data Security sa očakáva, že budú udržiavať časté zálohy databázy a konfiguračného súboru ISO a budú pripravení prebudovať dátové centrum Hybrid Data Security, ak dôjde ku katastrofálnemu zlyhaniu. |
8 |
Uistite sa, že konfigurácia brány firewall umožňuje pripojenie pre uzly hybridného zabezpečenia údajov, ako je uvedené v časti Požiadavky naexterné pripojenie. |
9 |
Nainštalujte Docker ( https://www.docker.com) na ľubovoľný lokálny počítač s podporovaným operačným systémom (Microsoft Windows 10 Professional alebo Enterprise 64-bit, alebo Mac OSX Yosemite 10.10.3 alebo novší) pomocou webového prehliadača, ktorý k nemu má prístup na http://127.0.0.1:8080. Inštanciu Dockeru použijete na stiahnutie a spustenie nástroja HDS Setup Tool, ktorý vytvára informácie o lokálnej konfigurácii pre všetky uzly Hybrid Data Security. Vaša organizácia môže potrebovať licenciu na Docker Desktop. Ďalšie informácie nájdete v téme Požiadavky na pracovnú plochu Dockeru. Ak chcete nainštalovať a spustiť nástroj HDS Setup Tool, lokálny počítač musí mať pripojenie uvedené v časti Požiadavky naexterné pripojenie. |
10 |
Ak integrujete server proxy s hybridným zabezpečením údajov, uistite sa, že spĺňa požiadavkyna server proxy. |
11 |
Ak vaša organizácia používa synchronizáciu adresárov, vytvorte v službe Active Directory skupinu s názvom Klávesy pre daný priestor nastavuje tvorca priestoru. Pri výbere pilotných používateľov majte na pamäti, že ak sa rozhodnete natrvalo deaktivovať nasadenie Hybrid Data Security, všetci používatelia stratia prístup k obsahu v priestoroch, ktoré vytvorili pilotní používatelia. Strata sa prejaví hneď, ako aplikácie používateľov obnovia svoje kópie obsahu uložené vo vyrovnávacej pamäti. |
Nastavte Hybrid Data Security Cluster
Tok úloh nasadenia zabezpečenia hybridných údajov
Skôr ako začnete
1 |
Vykonajte počiatočné nastavenie a stiahnite inštalačné súbory Stiahnite si súbor OVA na váš lokálny počítač pre neskoršie použitie. |
2 |
Vytvorte ISO konfigurácie pre hostiteľov HDS Pomocou nástroja HDS Setup Tool vytvorte konfiguračný súbor ISO pre uzly Hybrid Data Security. |
3 |
Vytvorte virtuálny počítač zo súboru OVA a vykonajte počiatočnú konfiguráciu, ako sú nastavenia siete. Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 6.5. Táto možnosť nemusí byť dostupná v starších verziách. |
4 |
Nastavte virtuálny počítač Hybrid Data Security Prihláste sa do konzoly VM a nastavte prihlasovacie poverenia. Nakonfigurujte sieťové nastavenia pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA. |
5 |
Nahrajte a pripojte ISO konfiguráciu HDS Nakonfigurujte VM z konfiguračného súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool. |
6 |
Nakonfigurujte uzol HDS na integráciu proxy Ak sieťové prostredie vyžaduje konfiguráciu servera proxy, zadajte typ servera proxy, ktorý použijete pre uzol, a v prípade potreby pridajte certifikát servera proxy do dôveryhodného úložiska. |
7 |
Zaregistrujte prvý uzol v klastri Zaregistrujte VM v cloude Cisco Webex ako uzol Hybrid Data Security. |
8 |
Vytvorte a zaregistrujte viac uzlov Dokončite nastavenie klastra. |
9 |
Spustiť skúšobnú verziu a prejsť do produkcie (ďalšia kapitola) Kým nezačnete skúšobnú verziu, vaše uzly generujú alarm oznamujúci, že vaša služba ešte nie je aktivovaná. |
Stiahnite si inštalačné súbory
1 |
Prihláste sa do služby https://admin.webex.com a potom kliknite na položku Služby. |
2 |
V sekcii Hybridné služby nájdite kartu Hybrid Data Security a kliknite na tlačidlo Nastaviť. Ak je karta zakázaná alebo ju nevidíte, kontaktujte tím spravujúci váš účet alebo partnerskú organizáciu. Poskytnite im svoje číslo účtu a požiadajte, aby vašej organizácii umožnili Hybridné zabezpečenie dát. Ak chcete nájsť číslo účtu, kliknite na ozubené koliesko vpravo hore vedľa názvu organizácie. OVA si tiež môžete kedykoľvek stiahnuť zo sekcie Pomocník na stránke Nastavenia . Na karte Hybrid Data Security kliknite na položku Upraviť nastavenia , čím otvoríte stránku. Potom kliknite na položku Prevziať softvér Hybrid Data Security v sekcii Pomocník . Staršie verzie softvérového balíka (OVA) nebudú kompatibilné s najnovšími aktualizáciami Hybrid Data Security. To môže viesť k problémom pri inovácii aplikácie. Uistite sa, že ste si stiahli najnovšiu verziu súboru OVA. |
3 |
Výberom možnosti Nie označíte, že ste ešte nenastavili uzol, a potom kliknite na tlačidlo Ďalej. Súbor OVA sa začne automaticky sťahovať. Uložte súbor na miesto v počítači.
|
4 |
Voliteľne kliknite na položku Otvoriť sprievodcu nasadením a skontrolujte, či nie je k dispozícii novšia verzia tohto sprievodcu. |
Vytvorte ISO konfigurácie pre hostiteľov HDS
Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.
Skôr ako začnete
-
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Control Hub s úplnými administrátorskými právami pre vašu organizáciu.
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker v kroku 5 zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:
-
Databázové poverenia
-
Aktualizácie certifikátov
-
Zmeny v politike autorizácie
-
-
Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.
1 |
Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať. | ||||||||||
2 |
Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce: | ||||||||||
3 |
Pri výzve na zadanie hesla zadajte tento hash: | ||||||||||
4 |
Stiahnite si najnovší stabilný obraz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: | ||||||||||
5 |
Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:
Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“. | ||||||||||
6 |
Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 . Pomocou webového prehliadača prejdite na localhost, Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie. | ||||||||||
7 |
Po zobrazení výzvy zadajte svoje prihlasovacie údaje správcu zákazníka Control Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre hybridné zabezpečenie údajov. | ||||||||||
8 |
Na stránke prehľadu nástroja Setup kliknite na položku Začíname. | ||||||||||
9 |
Na stránke Import ISO máte tieto možnosti:
| ||||||||||
10 |
Skontrolujte, či váš certifikát X.509 spĺňa požiadavky uvedené v časti Požiadavky na certifikát X.509.
| ||||||||||
11 |
Zadajte databázovú adresu a účet pre HDS, aby ste získali prístup k vášmu úložisku kľúčových údajov: | ||||||||||
12 |
Vyberte Režim pripojenia databázy TLS:
Keď odovzdáte koreňový certifikát (ak je to potrebné) a kliknete na tlačidlo Pokračovať, nástroj HDS Setup Tool otestuje pripojenie TLS k databázovému serveru. Nástroj tiež overuje podpisovateľa certifikátu a názov hostiteľa, ak je to potrebné. Ak test zlyhá, nástroj zobrazí chybové hlásenie s popisom problému. Môžete si vybrať, či chcete chybu ignorovať a pokračovať v nastavovaní. (Vzhľadom na rozdiely v konektivite môžu byť uzly HDS schopné nadviazať pripojenie TLS, aj keď ho zariadenie HDS Setup Tool nedokáže úspešne otestovať.) | ||||||||||
13 |
Na stránke Systémové denníky nakonfigurujte svoj server Syslogd: | ||||||||||
14 |
(Voliteľné) Predvolenú hodnotu niektorých parametrov pripojenia k databáze môžete zmeniť v časti Rozšírené nastavenia. Vo všeobecnosti je tento parameter jediný, ktorý možno budete chcieť zmeniť: | ||||||||||
15 |
Kliknite na tlačidlo Pokračovať na obrazovke Obnoviť heslo servisných účtov . Heslá k servisným účtom majú životnosť deväť mesiacov. Túto obrazovku použite, keď sa blíži koniec platnosti vašich hesiel alebo ich chcete resetovať, aby ste zrušili platnosť predchádzajúcich súborov ISO. | ||||||||||
16 |
Kliknite na položku Prevziať súbor ISO. Uložte súbor na miesto, ktoré sa dá ľahko nájsť. | ||||||||||
17 |
Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. | ||||||||||
18 |
Ak chcete vypnúť inštalačný nástroj, napíšte |
Čo robiť ďalej
Zálohujte konfiguračný súbor ISO. Potrebujete ho na vytvorenie ďalších uzlov na obnovu alebo na vykonanie zmien v konfigurácii. Ak stratíte všetky kópie súboru ISO, stratili ste aj hlavný kľúč. Obnovenie kľúčov z databázy PostgreSQL alebo Microsoft SQL Server nie je možné.
Nikdy nemáme kópiu tohto kľúča a nemôžeme vám pomôcť, ak ho stratíte.
Nainštalujte HDS Host OVA
1 |
Na prihlásenie do virtuálneho hostiteľa ESXi použite klienta VMware vSphere na vašom počítači. |
2 |
Vyberte položku Súbor > Nasadiť šablónu OVF. |
3 |
V sprievodcovi zadajte umiestnenie súboru OVA, ktorý ste prevzali predtým, a potom kliknite na tlačidlo Ďalej. |
4 |
Na stránke Vyberte názov a priečinok zadajte Názov virtuálneho počítača pre uzol (napríklad „HDS_Node_1“) a vyberte umiestnenie, kde nasadenie uzla virtuálneho počítača sa môže nachádzať a potom kliknite na tlačidlo Ďalej. |
5 |
Na stránke Vyberte výpočtový zdroj vyberte cieľový výpočtový zdroj a potom kliknite na tlačidlo Ďalej. Prebehne overovacia kontrola. Po dokončení sa zobrazia podrobnosti šablóny. |
6 |
Overte podrobnosti šablóny a potom kliknite na tlačidlo Ďalej. |
7 |
Ak sa zobrazí výzva na výber konfigurácie prostriedkov na stránke Konfigurácia , kliknite na položku 4 CPU a potom kliknite na tlačidlo Ďalej. |
8 |
Na stránke Vybrať úložisko kliknite na tlačidlo Ďalej , čím prijmete predvolený formát disku a pravidlá úložiska VM. |
9 |
Na stránke Vybrať siete vyberte sieťovú možnosť zo zoznamu položiek, aby ste poskytli požadované pripojenie k virtuálnemu počítaču. |
10 |
Na stránke Prispôsobiť šablónu nakonfigurujte nasledujúce nastavenia siete:
Ak chcete, môžete preskočiť konfiguráciu nastavenia siete a podľa krokov v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov nakonfigurujte nastavenia z konzoly uzla. Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 6.5. Táto možnosť nemusí byť dostupná v starších verziách. |
11 |
Kliknite pravým tlačidlom myši na uzol VM a potom vyberte položky .Softvér Hybrid Data Security je nainštalovaný ako hosť na hostiteľovi VM. Teraz ste pripravení prihlásiť sa do konzoly a nakonfigurovať uzol. Tipy na riešenie problémov Môžete zaznamenať oneskorenie niekoľkých minút, kým sa kontajnery uzlov objavia. Počas prvého spustenia, počas ktorého sa nemôžete prihlásiť, sa na konzole zobrazí správa brány firewall mosta. |
Nastavte virtuálny počítač Hybrid Data Security
Tento postup použite na prvé prihlásenie do konzoly VM uzla Hybrid Data Security a nastavenie prihlasovacích poverení. Konzolu môžete použiť aj na konfiguráciu sieťových nastavení pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.
1 |
V klientovi VMware vSphere vyberte svoj uzol Hybrid Data Security VM a vyberte kartu Konzola . VM sa spustí a zobrazí sa výzva na prihlásenie. Ak sa výzva na prihlásenie nezobrazí, stlačte kláves Enter.
|
2 |
Na prihlásenie a zmenu poverení použite nasledujúce predvolené prihlasovacie meno a heslo: Keďže sa do svojho VM prihlasujete prvýkrát, musíte zmeniť heslo správcu. |
3 |
Ak ste už nakonfigurovali nastavenia siete v časti Inštalácia hostiteľa HDS OVA, preskočte zvyšok tohto postupu. V opačnom prípade vyberte v hlavnej ponuke možnosť Upraviť konfiguráciu . |
4 |
Nastavte statickú konfiguráciu s IP adresou, maskou, bránou a informáciami DNS. Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované. |
5 |
(Voliteľné) Zmeňte názov hostiteľa, doménu alebo server(y) NTP, ak je to potrebné, aby zodpovedali zásadám vašej siete. Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509. |
6 |
Uložte konfiguráciu siete a reštartujte VM, aby sa zmeny prejavili. |
Nahrajte a pripojte ISO konfiguráciu HDS
Skôr ako začnete
Pretože súbor ISO obsahuje hlavný kľúč, mal by byť zverejnený iba na základe „potreby vedieť“, aby k nemu mali prístup virtuálne počítače s hybridným zabezpečením údajov a všetci správcovia, ktorí môžu potrebovať vykonať zmeny. Uistite sa, že k úložisku údajov majú prístup iba títo správcovia.
1 |
Nahrajte súbor ISO z počítača: |
2 |
Pripojte súbor ISO: |
Čo robiť ďalej
Ak to vyžaduje vaša politika IT, môžete voliteľne odpojiť súbor ISO po tom, čo všetky vaše uzly prevezmú zmeny konfigurácie. Podrobnosti nájdete v časti (Voliteľné) Odpojenie ISO po konfigurácii HDS .
Nakonfigurujte uzol HDS na integráciu proxy
Ak sieťové prostredie vyžaduje server proxy, použite tento postup na určenie typu servera proxy, ktorý chcete integrovať s Hybrid Data Security. Ak si vyberiete transparentný kontrolný proxy server alebo explicitný proxy server HTTPS, môžete použiť rozhranie uzla na nahranie a inštaláciu koreňového certifikátu. Môžete tiež skontrolovať pripojenie proxy z rozhrania a vyriešiť prípadné problémy.
Skôr ako začnete
-
Prehľad podporovaných možností servera proxy nájdete v časti Podpora servera proxy .
1 |
Do webového prehliadača zadajte adresu URL nastavenia uzla HDS |
2 |
Prejdite na stránku Trust Store & Proxy a potom vyberte jednu z možností:
Postupujte podľa nasledujúcich krokov pre transparentný kontrolný proxy server, explicitný proxy server HTTP so základným overením alebo explicitný proxy HTTPS. |
3 |
Kliknite na položku Odovzdať koreňový certifikát alebo certifikát ukončenia entity a potom prejdite na výber koreňového certifikátu pre server proxy. Certifikát je nahraný, ale ešte nie je nainštalovaný, pretože na inštaláciu certifikátu musíte reštartovať uzol. Ak chcete získať ďalšie podrobnosti, kliknite na šípku so šípkou vedľa názvu vydavateľa certifikátu. Ak ste urobili chybu a chcete súbor nahrať znova, kliknite na tlačidlo Odstrániť . |
4 |
Kliknutím na položku Skontrolovať pripojenie proxy otestujete sieťové pripojenie medzi uzlom a serverom proxy. Ak test pripojenia zlyhá, zobrazí sa chybové hlásenie, ktoré uvádza dôvod a spôsob, ako môžete problém vyriešiť. Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS. Tento stav sa očakáva v mnohých explicitných konfiguráciách proxy. Môžete pokračovať v nastavovaní a uzol bude fungovať v režime zablokovaného externého rozlíšenia DNS. Ak si myslíte, že ide o chybu, vykonajte tieto kroky a potom si pozrite časť Vypnutie režimu zablokovaného externého rozlíšenia DNS. |
5 |
Po úspešnom teste pripojenia pre explicitný server proxy nastavený iba na https zapnite prepínač na možnosť Smerovať všetky požiadavky protokolu https z tohto uzla na port 443/444 cez explicitný server proxy. Toto nastavenie sa prejaví po 15 sekundách. |
6 |
Kliknite na položku Inštalovať všetky certifikáty do dôveryhodného úložiska (zobrazí sa pri explicitnom serveri proxy HTTPS alebo transparentnom kontrolnom serveri proxy) alebo Reštartovať (zobrazí sa pri explicitnom serveri proxy HTTP), prečítajte si výzvu a potom kliknite na tlačidlo Inštalovať , ak ste pripravení. Uzol sa reštartuje v priebehu niekoľkých minút. |
7 |
Keď sa uzol reštartuje, v prípade potreby sa znova prihláste a potom otvorte stránku Prehľad a skontrolujte kontroly pripojenia, aby ste sa uistili, že sú všetky v zelenom stave. Kontrola pripojenia proxy testuje iba subdoménu webex.com. Ak sa vyskytnú problémy s pripojením, bežným problémom je, že niektoré z cloudových domén uvedených v pokynoch na inštaláciu sú na serveri proxy blokované. |
Zaregistrujte prvý uzol v klastri
Keď zaregistrujete svoj prvý uzol, vytvoríte klaster, ku ktorému je uzol priradený. Klaster obsahuje jeden alebo viac uzlov nasadených na zabezpečenie redundancie.
Skôr ako začnete
-
Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.
-
Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.
1 |
Prihláste sa do https://admin.webex.com. |
2 |
V ponuke na ľavej strane obrazovky vyberte položku Služby. |
3 |
V sekcii Hybridné služby nájdite položku Hybrid Data Security a kliknite na tlačidlo Nastaviť. Zobrazí sa stránka Register Hybrid Data Security Node.
|
4 |
Výberom možnosti Áno označíte, že ste uzol nastavili a ste pripravení ho zaregistrovať, a potom kliknite na tlačidlo Ďalej. |
5 |
Do prvého poľa zadajte názov klastra, ku ktorému chcete priradiť váš uzol Hybrid Data Security. Odporúčame pomenovať klaster podľa toho, kde sa geograficky nachádzajú uzly klastra. Príklady: „San Francisco“ alebo „New York“ alebo „Dallas“ |
6 |
Do druhého poľa zadajte internú adresu IP alebo úplný názov domény (FQDN) svojho uzla a kliknite na tlačidlo Ďalej. Táto adresa IP alebo FQDN by sa mala zhodovať s adresou IP alebo názvom hostiteľa a doménou, ktoré ste použili v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov. Zobrazí sa správa, že môžete zaregistrovať svoj uzol do Webexu.
|
7 |
Kliknite na položku Prejsť do uzla. |
8 |
V správe s upozornením kliknite na tlačidlo Pokračovať . Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že svojej organizácii Webex chcete udeliť povolenia na prístup k vášmu uzlu.
|
9 |
Začiarknite políčko Povoliť prístup k vášmu uzlu zabezpečenia hybridných údajov a potom kliknite na tlačidlo Pokračovať. Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
|
10 |
Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Hybrid Data Security Control Hub. Na stránke Hybrid Data Security sa zobrazí nový klaster obsahujúci uzol, ktorý ste zaregistrovali. Uzol si automaticky stiahne najnovší softvér z cloudu.
|
Vytvorte a zaregistrujte viac uzlov
V súčasnosti sú záložné virtuálne počítače, ktoré ste vytvorili v časti Complete the Requirements for Hybrid Data Security , pohotovostnými hostiteľmi, ktorí sa používajú iba v prípade obnovy po havárii. dovtedy nie sú registrovaní v systéme. Podrobnosti nájdete v časti Obnova po havárii pomocou pohotovostného dátového centra.
Skôr ako začnete
-
Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.
-
Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.
1 |
Vytvorte nový virtuálny počítač z OVA zopakovaním krokov v časti Inštalácia hostiteľského OVA HDS. |
2 |
Nastavte úvodnú konfiguráciu na novom virtuálnom počítači zopakovaním krokov v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov. |
3 |
Na novom virtuálnom počítači zopakujte kroky v časti Odovzdanie a pripojenie ISO konfigurácie HDS. |
4 |
Ak nastavujete server proxy pre svoje nasadenie, zopakujte kroky v časti Konfigurácia uzla HDS na integráciu servera proxy podľa potreby pre nový uzol. |
5 |
Zaregistrujte uzol. Váš uzol je zaregistrovaný. Všimnite si, že kým nezačnete skúšobnú verziu, vaše uzly generujú alarm, ktorý oznamuje, že vaša služba ešte nie je aktivovaná.
|
Čo robiť ďalej
Spustite skúšobnú verziu a prejdite do výroby
Skúšobný postup produkčných úloh
Po nastavení klastra Hybrid Data Security môžete spustiť pilotný test, pridať doň používateľov a začať ho používať na testovanie a overovanie vášho nasadenia v rámci prípravy na prechod do produkcie.
Skôr ako začnete
1 |
Ak je to možné, synchronizujte objekt skupiny Ak vaša organizácia používa synchronizáciu adresárov pre používateľov, pred spustením skúšobnej verzie musíte vybrať objekt skupiny |
2 |
Začnite skúšobnú verziu. Kým nevykonáte túto úlohu, vaše uzly generujú alarm, ktorý oznamuje, že služba ešte nie je aktivovaná. |
3 |
Otestujte svoje nasadenie hybridného zabezpečenia dát Skontrolujte, či kľúčové požiadavky prechádzajú do vášho nasadenia Hybrid Data Security. |
4 |
Monitorujte zdravie Hybrid Data Security Health Skontrolujte stav a nastavte e-mailové upozornenia na budíky. |
5 |
Pridajte alebo odstráňte používateľov z vašej skúšobnej verzie |
6 |
Dokončite skúšobnú fázu jedným z nasledujúcich krokov: |
Aktivovať skúšobnú verziu
Skôr ako začnete
Ak vaša organizácia používa synchronizáciu adresárov pre používateľov, pred spustením skúšobnej verzie pre vašu organizáciu musíte vybrať objekt skupiny HdsTrialGroup
na synchronizáciu do cloudu. Pokyny nájdete v Príručke nasadenia pre Cisco Directory Connector.
1 |
Prihláste sa do služby https://admin.webex.com a potom vyberte položku Služby. |
2 |
V časti Hybrid Data Security kliknite na položku Nastavenia. |
3 |
V časti Stav služby kliknite na položku Spustiť skúšobnú verziu. Stav služby sa zmení na skúšobný režim.
|
4 |
Kliknite na položku Pridať používateľov a zadajte e-mailovú adresu jedného alebo viacerých používateľov, ktorí budú pilotne používať vaše uzly Hybrid Data Security pre šifrovacie a indexovacie služby. (Ak vaša organizácia používa synchronizáciu adresárov, na správu skúšobnej skupiny |
Otestujte svoje nasadenie hybridného zabezpečenia dát
Skôr ako začnete
-
Nastavte nasadenie Hybrid Data Security.
-
Aktivujte skúšobnú verziu a pridajte niekoľko používateľov skúšobnej verzie.
-
Uistite sa, že máte prístup k syslog, aby ste si overili, že kľúčové požiadavky prechádzajú do vášho nasadenia Hybrid Data Security.
1 |
Kľúče pre daný priestor nastavuje tvorca priestoru. Prihláste sa do aplikácie Webex ako jeden z pilotných používateľov a potom vytvorte priestor a pozvite aspoň jedného pilotného používateľa a jedného nepilotného používateľa. Ak deaktivujete nasadenie Hybrid Data Security, obsah v priestoroch, ktoré vytvoria pilotní používatelia, už nebude prístupný po výmene kópií šifrovacích kľúčov uložených vo vyrovnávacej pamäti klienta. |
2 |
Posielajte správy do nového priestoru. |
3 |
Skontrolujte výstup syslog, aby ste si overili, že požiadavky na kľúče prechádzajú do vášho nasadenia Hybrid Data Security. |
Monitorujte zdravie Hybrid Data Security Health
1 |
V Control Hub vyberte z ponuky na ľavej strane obrazovky položku Služby . |
2 |
V sekcii Hybridné služby nájdite položku Hybrid Data Security a kliknite na položku Nastavenia. Zobrazí sa stránka Hybrid Data Security Settings.
|
3 |
V časti E-mailové upozornenia zadajte jednu alebo viac e-mailových adries oddelených čiarkami a stlačte kláves Enter. |
Pridajte alebo odstráňte používateľov z vašej skúšobnej verzie
Ak odstránite používateľa zo skúšobnej verzie, klient tohto používateľa bude namiesto vášho KMS požadovať kľúče a vytvorenie kľúča z cloudového KMS. Ak klient potrebuje kľúč, ktorý je uložený vo vašom KMS, cloudový KMS ho načíta v mene používateľa.
Ak vaša organizácia používa synchronizáciu adresárov, použite službu Active Directory (namiesto tohto postupu) na správu skúšobnej skupiny HdsTrialGroup
. členov skupiny môžete zobraziť v Control Hub, ale nemôžete ich pridávať ani odstraňovať.
1 |
Prihláste sa do centra Control Hub a potom vyberte položku Služby. |
2 |
V časti Hybrid Data Security kliknite na položku Nastavenia. |
3 |
V sekcii Skúšobný režim v oblasti Stav služby kliknite na položku Pridať používateľov alebo kliknutím na položku zobraziť a upraviť odoberte používateľov zo skúšobnej verzie. |
4 |
Zadajte e-mailovú adresu jedného alebo viacerých používateľov, ktorých chcete pridať, alebo kliknutím na tlačidlo X pri ID používateľa odstráňte používateľa zo skúšobnej verzie. Potom kliknite na tlačidlo Uložiť. |
Presuňte sa zo skúšobnej do produkcie
1 |
Prihláste sa do centra Control Hub a potom vyberte položku Služby. |
2 |
V časti Hybrid Data Security kliknite na položku Nastavenia. |
3 |
V časti Stav služby kliknite na položku Presunúť do produkcie. |
4 |
Potvrďte, že chcete presunúť všetkých svojich používateľov do produkcie. |
Ukončite skúšobnú verziu bez presunu do výroby
1 |
Prihláste sa do centra Control Hub a potom vyberte položku Služby. |
2 |
V časti Hybrid Data Security kliknite na položku Nastavenia. |
3 |
V časti Deaktivovať kliknite na položku Deaktivovať. |
4 |
Potvrďte, že chcete službu deaktivovať a ukončiť skúšobnú verziu. |
Spravujte svoje nasadenie HDS
Spravujte nasadenie HDS
Pomocou tu popísaných úloh spravujte svoje nasadenie Hybrid Data Security.
Nastavte plán aktualizácie klastra
Ak chcete nastaviť plán aktualizácie:
1 |
Prihláste sa do Control Hub. |
2 |
Na stránke Prehľad v časti Hybridné služby vyberte položku Bezpečnosť hybridných údajov. |
3 |
Na stránke Hybrid Data Security Resources vyberte klaster. |
4 |
Na paneli Prehľad vpravo v časti Nastavenia klastra vyberte názov klastra. |
5 |
Na stránke Nastavenia v časti Aktualizácia vyberte čas a časové pásmo pre plán inovácie. Poznámka: Pod časovým pásmom sa zobrazí dátum a čas ďalšej dostupnej aktualizácie. V prípade potreby môžete inováciu odložiť na nasledujúci deň kliknutím na tlačidlo Odložiť. |
Zmeňte konfiguráciu uzla
-
Zmena x.509 certifikátov z dôvodu uplynutia platnosti alebo iných dôvodov.
Nepodporujeme zmenu názvu domény CN certifikátu. Doména sa musí zhodovať s pôvodnou doménou použitou na registráciu klastra.
-
Aktualizácia nastavení databázy pre zmenu na repliku databázy PostgreSQL alebo Microsoft SQL Server.
Nepodporujeme migráciu údajov z PostgreSQL na Microsoft SQL Server ani opačným spôsobom. Ak chcete zmeniť prostredie databázy, spustite nové nasadenie Hybrid Data Security.
-
Vytvorenie novej konfigurácie na prípravu nového dátového centra.
Z bezpečnostných dôvodov používa Hybrid Data Security heslá servisných účtov, ktoré majú životnosť deväť mesiacov. Keď nástroj HDS Setup vygeneruje tieto heslá, nasadíte ich do každého z vašich uzlov HDS v konfiguračnom súbore ISO. Keď sa blíži koniec platnosti hesiel vašej organizácie, dostanete od tímu Webex upozornenie na resetovanie hesla pre váš počítačový účet. (E-mail obsahuje text „Na aktualizáciu hesla použite rozhranie API strojového účtu.“) Ak platnosť vašich hesiel ešte nevypršala, nástroj vám ponúka dve možnosti:
-
Mäkké obnovenie – staré aj nové heslo fungujú až 10 dní. Toto obdobie použite na postupnú výmenu súboru ISO na uzloch.
-
Tvrdý reset – staré heslá okamžite prestanú fungovať.
Ak platnosť vašich hesiel vyprší bez resetovania, ovplyvní to vašu službu HDS, čo si vyžaduje okamžitý tvrdý reset a nahradenie súboru ISO na všetkých uzloch.
Tento postup použite na vygenerovanie nového konfiguračného súboru ISO a jeho použitie vo vašom klastri.
Skôr ako začnete
-
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Control Hub s úplnými administrátorskými právami pre vašu organizáciu.
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri vytváraní kontajnera Docker v 1.e zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Na vygenerovanie novej konfigurácie potrebujete kópiu aktuálneho konfiguračného súboru ISO. ISO obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. ISO potrebujete, keď robíte zmeny v konfigurácii vrátane poverení databázy, aktualizácií certifikátov alebo zmien v politike autorizácie.
1 |
Pomocou Docker na lokálnom počítači spustite nástroj HDS Setup Tool. |
2 |
Ak máte spustený iba jeden uzol HDS, vytvorte nový virtuálny počítač s uzlom Hybrid Data Security a zaregistrujte ho pomocou nového konfiguračného súboru ISO. Podrobnejšie pokyny nájdete v časti Vytvorenie a registrácia ďalších uzlov. |
3 |
Pre existujúce uzly HDS, na ktorých je spustený starší konfiguračný súbor, pripojte súbor ISO. Postupne vykonajte nasledujúci postup na každom uzle, pričom aktualizujte každý uzol pred vypnutím ďalšieho uzla: |
4 |
Opakujte krok 3, aby ste nahradili konfiguráciu na každom zostávajúcom uzle, na ktorom je spustená stará konfigurácia. |
Vypnite režim zablokovaného externého rozlíšenia DNS
Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. Ak server DNS uzla nedokáže rozlíšiť verejné názvy DNS, uzol automaticky prejde do režimu zablokovaného externého rozlíšenia DNS.
Ak vaše uzly dokážu rozlíšiť verejné názvy DNS prostredníctvom interných serverov DNS, môžete tento režim vypnúť opätovným spustením testu pripojenia proxy na každom uzle.
Skôr ako začnete
1 |
Vo webovom prehliadači otvorte rozhranie uzla Hybrid Data Security (napríklad adresa IP alebo nastavenie, https://192.0.2.0/setup), zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite na tlačidlo Prihlásiť sa). |
2 |
Prejdite na Prehľad (predvolená stránka). Keď je táto možnosť povolená, možnosť Blokované externé rozlíšenie DNS je nastavená na možnosť Áno. |
3 |
Prejdite na stránku Trust Store & Proxy . |
4 |
Kliknite na položku Skontrolovať pripojenie proxy. Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS a zostane v tomto režime. V opačnom prípade po reštartovaní uzla a návrate na stránku Prehľad by mala byť položka Blocked External DNS Resolution nastavená na hodnotu No. |
Čo robiť ďalej
Odstráňte uzol
1 |
Pomocou klienta VMware vSphere vo svojom počítači sa prihláste do virtuálneho hostiteľa ESXi a vypnite virtuálny počítač. |
2 |
Odstráňte uzol: |
3 |
V klientovi vSphere odstráňte VM. (Na ľavom navigačnom paneli kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Odstrániť.) Ak nevymažete VM, nezabudnite odpojiť konfiguračný súbor ISO. Bez súboru ISO nemôžete použiť VM na prístup k bezpečnostným údajom. |
Obnova po havárii pomocou pohotovostného dátového centra
Najdôležitejšou službou, ktorú váš klaster Hybrid Data Security poskytuje, je vytváranie a ukladanie kľúčov používaných na šifrovanie správ a iného obsahu uloženého v cloude Webex. Pre každého používateľa v rámci organizácie, ktorý je priradený k Hybrid Data Security, sú do klastra smerované nové požiadavky na vytvorenie kľúča. Klaster je tiež zodpovedný za vrátenie kľúčov, ktoré vytvoril, všetkým používateľom oprávneným na ich získanie, napríklad členom konverzačného priestoru.
Pretože klaster vykonáva kritickú funkciu poskytovania týchto kľúčov, je nevyhnutné, aby klaster zostal spustený a aby sa udržiavali správne zálohy. Strata databázy Hybrid Data Security alebo konfigurácie ISO použitej pre schému bude mať za následok NENÁVRATNÚ STRATU zákazníckeho obsahu. Aby sa predišlo takejto strate, sú povinné nasledujúce postupy:
Ak havária spôsobí, že nasadenie HDS v primárnom dátovom centre sa stane nedostupným, podľa tohto postupu manuálne prepnite na pohotovostné dátové centrum.
1 |
Spustite nástroj na nastavenie HDS a postupujte podľa krokov uvedených v časti Vytvorenie konfiguračného ISO pre hostiteľov HDS. |
2 |
Po konfigurácii servera Syslogd kliknite na položku Rozšírené nastavenia |
3 |
Na stránke Rozšírené nastavenia pridajte konfiguráciu nižšie alebo odstráňte konfiguráciu
|
4 |
Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť. |
5 |
Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. |
6 |
V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Upraviť nastavenia. |
7 |
Kliknite na položku Upraviť nastavenia >Jednotka CD/DVD 1 a vyberte položku Datastore ISO File. Uistite sa, že sú začiarknuté položky Pripojené a Pripojiť pri zapnutí , aby sa aktualizované zmeny konfigurácie prejavili po spustení uzlov. |
8 |
Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy. |
9 |
Opakujte proces pre každý uzol v pohotovostnom dátovom centre. Skontrolujte výstup syslog a overte, či uzly pohotovostného dátového centra nie sú v pasívnom režime. „KMS nakonfigurovaný v pasívnom režime“ by sa nemal objaviť v syslogoch. |
Čo robiť ďalej
(Voliteľné) Odpojte ISO po konfigurácii HDS
Štandardná konfigurácia HDS beží s namontovaným ISO. Niektorí zákazníci však uprednostňujú neponechať súbory ISO nepretržite pripojené. Súbor ISO môžete odpojiť potom, čo všetky uzly HDS prevezmú novú konfiguráciu.
Na vykonanie zmien v konfigurácii stále používate súbory ISO. Keď vytvoríte nový ISO alebo aktualizujete ISO pomocou nástroja Setup Tool, musíte aktualizovaný ISO pripojiť na všetky vaše uzly HDS. Keď všetky vaše uzly zachytia zmeny konfigurácie, môžete ISO znova odpojiť pomocou tohto postupu.
Skôr ako začnete
Inovujte všetky svoje uzly HDS na verziu 2021.01.22.4720 alebo novšiu.
1 |
Vypnite jeden z uzlov HDS. |
2 |
V serverovom zariadení vCenter vyberte uzol HDS. |
3 |
Vyberte položku Súbor ISO úložiska údajov. a zrušte začiarknutie políčka |
4 |
Zapnite uzol HDS a uistite sa, že aspoň 20 minút nie sú žiadne alarmy. |
5 |
Postup opakujte pre každý uzol HDS. |
Riešenie problémov so zabezpečením hybridných údajov
Zobraziť upozornenia a riešenie problémov
Nasadenie Hybrid Data Security sa považuje za nedostupné, ak sú všetky uzly v klastri nedostupné alebo klaster pracuje tak pomaly, že si vyžaduje časový limit. Ak používatelia nemôžu dosiahnuť váš klaster Hybrid Data Security, zaznamenajú nasledujúce príznaky:
-
Nie je možné vytvoriť nové medzery (nemožno vytvoriť nové kľúče)
-
Správy a názvy priestorov sa nedajú dešifrovať pre:
-
Noví používatelia pridaní do priestoru (nemožno načítať kľúče)
-
Existujúci používatelia v priestore používajúci nového klienta (nemožno načítať kľúče)
-
-
Existujúci používatelia v priestore budú naďalej úspešne fungovať, pokiaľ ich klienti majú vyrovnávaciu pamäť šifrovacích kľúčov
Je dôležité, aby ste správne monitorovali svoj klaster Hybrid Data Security a okamžite riešili všetky výstrahy, aby ste predišli prerušeniu služby.
Upozornenia
Ak sa vyskytne problém s nastavením Hybrid Data Security, Control Hub zobrazí upozornenia správcovi organizácie a odošle e-maily na nakonfigurovanú e-mailovú adresu. Výstrahy pokrývajú mnoho bežných scenárov.
Upozornenie |
Akcia |
---|---|
Zlyhanie prístupu k lokálnej databáze. |
Skontrolujte chyby databázy alebo problémy s lokálnou sieťou. |
Zlyhanie pripojenia k lokálnej databáze. |
Skontrolujte, či je databázový server dostupný a či boli v konfigurácii uzla použité správne poverenia servisného účtu. |
Zlyhanie prístupu k cloudovej službe. |
Skontrolujte, či majú uzly prístup k serverom Webex, ako je uvedené v časti Požiadavky na externé pripojenie. |
Obnovuje sa registrácia cloudovej služby. |
Registrácia do cloudových služieb bola zrušená. Prebieha obnova registrácie. |
Registrácia cloudovej služby bola zrušená. |
Registrácia do cloudových služieb bola ukončená. Služba sa vypína. |
Služba ešte nie je aktivovaná. |
Aktivujte skúšobnú verziu alebo dokončite presun skúšky do produkcie. |
Nakonfigurovaná doména sa nezhoduje s certifikátom servera. |
Uistite sa, že váš certifikát servera sa zhoduje s nakonfigurovanou doménou aktivácie služby. Najpravdepodobnejšou príčinou je, že certifikát CN bol nedávno zmenený a teraz sa líši od CN, ktorý bol použitý počas počiatočného nastavenia. |
Nepodarilo sa overiť v cloudových službách. |
Skontrolujte presnosť a možné vypršanie platnosti poverení servisného účtu. |
Nepodarilo sa otvoriť súbor lokálneho úložiska kľúčov. |
Skontrolujte integritu a presnosť hesla v lokálnom súbore skladu kľúčov. |
Certifikát lokálneho servera je neplatný. |
Skontrolujte dátum vypršania platnosti certifikátu servera a potvrďte, že bol vydaný dôveryhodnou certifikačnou autoritou. |
Nie je možné uverejniť metriky. |
Skontrolujte prístup k lokálnej sieti k externým cloudovým službám. |
Adresár /media/configdrive/hds neexistuje. |
Skontrolujte konfiguráciu pripojenia ISO na virtuálnom hostiteľovi. Overte, či súbor ISO existuje, či je nakonfigurovaný na pripojenie pri reštarte a či sa úspešne pripojí. |
Riešenie problémov so zabezpečením hybridných údajov
1 |
Skontrolujte si v Control Hub všetky upozornenia a opravte všetky položky, ktoré tam nájdete. |
2 |
Skontrolujte výstup servera syslog pre aktivitu z nasadenia Hybrid Data Security. |
3 |
Kontaktujte podporu Cisco. |
Ďalšie poznámky
Známe problémy s hybridnou bezpečnosťou údajov
-
Ak vypnete svoj klaster Hybrid Data Security (odstránením v Control Hub alebo vypnutím všetkých uzlov), stratíte svoj konfiguračný súbor ISO alebo stratíte prístup k databáze úložiska kľúčov, používatelia vašej aplikácie Webex už nebudú môcť používať priestory pod svojimi ľuďmi. zoznam, ktorý bol vytvorený pomocou kľúčov z vášho KMS. Platí to pre skúšobné aj produkčné nasadenia. V súčasnosti nemáme riešenie ani opravu tohto problému a žiadame vás, aby ste nevypínali svoje služby HDS, keď budú spracovávať aktívne používateľské účty.
-
Klient, ktorý má existujúce pripojenie ECDH ku KMS, udržiava toto pripojenie určitý čas (pravdepodobne jednu hodinu). Keď sa používateľ stane členom skúšobnej verzie Hybrid Data Security, klient používateľa naďalej používa existujúce pripojenie ECDH, kým nevyprší časový limit. Prípadne sa používateľ môže odhlásiť a znova prihlásiť do aplikácie Webex App, aby aktualizoval umiestnenie, ktoré aplikácia kontaktuje pre šifrovacie kľúče.
Rovnaké správanie nastane, keď presuniete skúšobnú verziu do produkcie organizácie. Všetci neskúšobní používatelia s existujúcimi pripojeniami ECDH k predchádzajúcim službám zabezpečenia údajov budú tieto služby naďalej používať, kým sa znovu nedohodne pripojenie ECDH (prostredníctvom časového limitu alebo odhlásením a opätovným prihlásením).
Na vygenerovanie súboru PKCS12 použite OpenSSL
Skôr ako začnete
-
OpenSSL je jeden nástroj, ktorý možno použiť na vytvorenie súboru PKCS12 v správnom formáte na načítanie v nástroji HDS Setup Tool. Existujú aj iné spôsoby, ako to urobiť, a my nepodporujeme ani nepresadzujeme jeden spôsob oproti druhému.
-
Ak sa rozhodnete použiť OpenSSL, poskytujeme tento postup ako návod, ktorý vám pomôže vytvoriť súbor, ktorý spĺňa požiadavky na certifikát X.509 v časti Požiadavky na certifikát X.509. Než budete pokračovať, pochopte tieto požiadavky.
-
Nainštalujte OpenSSL v podporovanom prostredí. Softvér a dokumentáciu nájdete v časti https://www.openssl.org .
-
Vytvorte súkromný kľúč.
-
Tento postup začnite, keď dostanete certifikát servera od certifikačnej autority (CA).
1 |
Keď od svojej CA dostanete certifikát servera, uložte ho ako |
2 |
Zobrazte certifikát ako text a overte podrobnosti.
|
3 |
Pomocou textového editora vytvorte súbor balíka certifikátov s názvom
|
4 |
Vytvorte súbor .p12 s priateľským názvom
|
5 |
Skontrolujte podrobnosti certifikátu servera. |
Čo robiť ďalej
Vráťte sa na stránku Dokončenie predpokladov pre hybridné zabezpečenie údajov. V časti Vytvorenie konfiguračného ISO pre hostiteľov HDS použijete súbor hdsnode.p12
a heslo, ktoré ste preň nastavili.
Tieto súbory môžete znova použiť na vyžiadanie nového certifikátu, keď platnosť pôvodného certifikátu vyprší.
Prevádzka medzi uzlami HDS a cloudom
Odchádzajúca návštevnosť zberu metrík
Uzly Hybrid Data Security odosielajú určité metriky do cloudu Webex. Patria sem systémové metriky pre maximálnu haldu, využitú haldu, zaťaženie procesora a počet vlákien; metriky na synchrónnych a asynchrónnych vláknach; metriky výstrah zahŕňajúce prah šifrovacích pripojení, latenciu alebo dĺžku frontu požiadaviek; metriky v dátovom sklade; a metriky šifrovaného pripojenia. Uzly posielajú zašifrovaný kľúčový materiál cez kanál mimo pásma (oddelený od požiadavky).
Prichádzajúca premávka
Uzly Hybrid Data Security prijímajú nasledujúce typy prichádzajúcej prevádzky z cloudu Webex:
-
Šifrovacie požiadavky od klientov, ktoré sú smerované šifrovacou službou
-
Aktualizácie softvéru uzla
Nakonfigurujte Squid proxy pre hybridné zabezpečenie dát
Websocket sa nemôže pripojiť cez Squid Proxy
Servery proxy typu Squid, ktoré kontrolujú prenos HTTPS, môžu narúšať vytváranie pripojení websocket (wss:
), ktoré vyžaduje Hybrid Data Security. Tieto časti poskytujú návod, ako nakonfigurovať rôzne verzie Squid tak, aby ignorovali wss:
prevádzky pre správne fungovanie služieb.
Kalmáre 4 a 5
Pridajte on_unsupported_protocol
smernicu na stránku squid.conf
:
on_unsupported_protocol tunel všetko
Kalmáre 3.5.27
Úspešne sme testovali Hybrid Data Security pomocou nasledujúcich pravidiel pridaných na stránku squid.conf
. Tieto pravidlá sa môžu meniť, pretože vyvíjame funkcie a aktualizujeme cloud Webex.
acl wssMercuryConnection ssl::server_name_regex ortuťové pripojenie ssl_bump splice wssMercuryConnection acl krok1 at_step SslBump1 acl krok2 at_step SslBump2 acl krok3 at_step SslBump3 ssl_bump pohľad krok1 všetko ssl_bump pozerať krok2 všetko ssl_bump vyskočiť krok3 všetko