Možno ste si všimli, že niektoré články zobrazujú obsah nekonzistentne. Ospravedlňte drobný neporiadok, práve pracujeme na aktualizácii stránky.
cross icon
V tomto článku
dropdown icon
Predslov
    Nové a zmenené informácie
    dropdown icon
    Začnite s hybridným zabezpečením dát
      Prehľad zabezpečenia hybridných údajov
        dropdown icon
        Architektúra bezpečnostnej sféry
          Realms of Separation (bez Hybrid Data Security)
        Spolupráca s inými organizáciami
          Očakávania týkajúce sa nasadenia hybridnej bezpečnosti údajov
            Proces nastavenia na vysokej úrovni
              dropdown icon
              Hybridný model nasadenia zabezpečenia dát
                Hybridný model nasadenia zabezpečenia dát
              Skúšobný režim hybridnej bezpečnosti dát
                dropdown icon
                Pohotovostné dátové centrum pre obnovu po havárii
                  Nastavte pohotovostné dátové centrum pre obnovu po havárii
                Podpora proxy
                dropdown icon
                Pripravte si prostredie
                  dropdown icon
                  Požiadavky na hybridnú bezpečnosť dát
                    Požiadavky na licenciu Cisco Webex
                    Požiadavky na plochu Docker
                    Požiadavky na certifikát X.509
                    Požiadavky na virtuálny hostiteľ
                    Požiadavky na databázový server
                    Požiadavky na externé pripojenie
                    Požiadavky na proxy server
                  Vyplňte Predpoklady pre hybridnú bezpečnosť údajov
                  dropdown icon
                  Nastavte Hybrid Data Security Cluster
                    Tok úloh nasadenia zabezpečenia hybridných údajov
                      Stiahnite si inštalačné súbory
                        Vytvorte ISO konfigurácie pre hostiteľov HDS
                          Nainštalujte HDS Host OVA
                            Nastavte virtuálny počítač Hybrid Data Security
                              Nahrajte a pripojte ISO konfiguráciu HDS
                                Nakonfigurujte uzol HDS na integráciu proxy
                                  Zaregistrujte prvý uzol v klastri
                                    Vytvorte a zaregistrujte viac uzlov
                                    dropdown icon
                                    Spustite skúšobnú verziu a prejdite do výroby
                                      Skúšobný postup produkčných úloh
                                        Aktivovať skúšobnú verziu
                                          Otestujte svoje nasadenie hybridného zabezpečenia dát
                                            Monitorujte zdravie Hybrid Data Security Health
                                              Pridajte alebo odstráňte používateľov z vašej skúšobnej verzie
                                                Presuňte sa zo skúšobnej do produkcie
                                                  Ukončite skúšobnú verziu bez presunu do výroby
                                                  dropdown icon
                                                  Spravujte svoje nasadenie HDS
                                                    Spravujte nasadenie HDS
                                                      Nastavte plán aktualizácie klastra
                                                        Zmeňte konfiguráciu uzla
                                                          Vypnite režim zablokovaného externého rozlíšenia DNS
                                                            Odstráňte uzol
                                                              Obnova po havárii pomocou pohotovostného dátového centra
                                                                (Voliteľné) Odpojte ISO po konfigurácii HDS
                                                                dropdown icon
                                                                Riešenie problémov so zabezpečením hybridných údajov
                                                                  Zobraziť upozornenia a riešenie problémov
                                                                    dropdown icon
                                                                    Upozornenia
                                                                      Bežné problémy a kroky na ich vyriešenie
                                                                    Riešenie problémov so zabezpečením hybridných údajov
                                                                    dropdown icon
                                                                    Ďalšie poznámky
                                                                      Známe problémy s hybridnou bezpečnosťou dát
                                                                        Na vygenerovanie súboru PKCS12 použite OpenSSL
                                                                          Prevádzka medzi uzlami HDS a cloudom
                                                                            dropdown icon
                                                                            Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát
                                                                              Websocket sa nemôže pripojiť cez Squid Proxy
                                                                          V tomto článku
                                                                          cross icon
                                                                          dropdown icon
                                                                          Predslov
                                                                            Nové a zmenené informácie
                                                                            dropdown icon
                                                                            Začnite s hybridným zabezpečením dát
                                                                              Prehľad zabezpečenia hybridných údajov
                                                                                dropdown icon
                                                                                Architektúra bezpečnostnej sféry
                                                                                  Realms of Separation (bez Hybrid Data Security)
                                                                                Spolupráca s inými organizáciami
                                                                                  Očakávania týkajúce sa nasadenia hybridnej bezpečnosti údajov
                                                                                    Proces nastavenia na vysokej úrovni
                                                                                      dropdown icon
                                                                                      Hybridný model nasadenia zabezpečenia dát
                                                                                        Hybridný model nasadenia zabezpečenia dát
                                                                                      Skúšobný režim hybridnej bezpečnosti dát
                                                                                        dropdown icon
                                                                                        Pohotovostné dátové centrum pre obnovu po havárii
                                                                                          Nastavte pohotovostné dátové centrum pre obnovu po havárii
                                                                                        Podpora proxy
                                                                                        dropdown icon
                                                                                        Pripravte si prostredie
                                                                                          dropdown icon
                                                                                          Požiadavky na hybridnú bezpečnosť dát
                                                                                            Požiadavky na licenciu Cisco Webex
                                                                                            Požiadavky na plochu Docker
                                                                                            Požiadavky na certifikát X.509
                                                                                            Požiadavky na virtuálny hostiteľ
                                                                                            Požiadavky na databázový server
                                                                                            Požiadavky na externé pripojenie
                                                                                            Požiadavky na proxy server
                                                                                          Vyplňte Predpoklady pre hybridnú bezpečnosť údajov
                                                                                          dropdown icon
                                                                                          Nastavte Hybrid Data Security Cluster
                                                                                            Tok úloh nasadenia zabezpečenia hybridných údajov
                                                                                              Stiahnite si inštalačné súbory
                                                                                                Vytvorte ISO konfigurácie pre hostiteľov HDS
                                                                                                  Nainštalujte HDS Host OVA
                                                                                                    Nastavte virtuálny počítač Hybrid Data Security
                                                                                                      Nahrajte a pripojte ISO konfiguráciu HDS
                                                                                                        Nakonfigurujte uzol HDS na integráciu proxy
                                                                                                          Zaregistrujte prvý uzol v klastri
                                                                                                            Vytvorte a zaregistrujte viac uzlov
                                                                                                            dropdown icon
                                                                                                            Spustite skúšobnú verziu a prejdite do výroby
                                                                                                              Skúšobný postup produkčných úloh
                                                                                                                Aktivovať skúšobnú verziu
                                                                                                                  Otestujte svoje nasadenie hybridného zabezpečenia dát
                                                                                                                    Monitorujte zdravie Hybrid Data Security Health
                                                                                                                      Pridajte alebo odstráňte používateľov z vašej skúšobnej verzie
                                                                                                                        Presuňte sa zo skúšobnej do produkcie
                                                                                                                          Ukončite skúšobnú verziu bez presunu do výroby
                                                                                                                          dropdown icon
                                                                                                                          Spravujte svoje nasadenie HDS
                                                                                                                            Spravujte nasadenie HDS
                                                                                                                              Nastavte plán aktualizácie klastra
                                                                                                                                Zmeňte konfiguráciu uzla
                                                                                                                                  Vypnite režim zablokovaného externého rozlíšenia DNS
                                                                                                                                    Odstráňte uzol
                                                                                                                                      Obnova po havárii pomocou pohotovostného dátového centra
                                                                                                                                        (Voliteľné) Odpojte ISO po konfigurácii HDS
                                                                                                                                        dropdown icon
                                                                                                                                        Riešenie problémov so zabezpečením hybridných údajov
                                                                                                                                          Zobraziť upozornenia a riešenie problémov
                                                                                                                                            dropdown icon
                                                                                                                                            Upozornenia
                                                                                                                                              Bežné problémy a kroky na ich vyriešenie
                                                                                                                                            Riešenie problémov so zabezpečením hybridných údajov
                                                                                                                                            dropdown icon
                                                                                                                                            Ďalšie poznámky
                                                                                                                                              Známe problémy s hybridnou bezpečnosťou dát
                                                                                                                                                Na vygenerovanie súboru PKCS12 použite OpenSSL
                                                                                                                                                  Prevádzka medzi uzlami HDS a cloudom
                                                                                                                                                    dropdown icon
                                                                                                                                                    Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát
                                                                                                                                                      Websocket sa nemôže pripojiť cez Squid Proxy
                                                                                                                                                  Sprievodca nasadením pre Webex Hybrid Data Security
                                                                                                                                                  list-menuV tomto článku
                                                                                                                                                  Predslov

                                                                                                                                                  Nové a zmenené informácie

                                                                                                                                                  Dátum

                                                                                                                                                  Vykonané zmeny

                                                                                                                                                  20. októbra 2023

                                                                                                                                                  7. augusta 2023

                                                                                                                                                  23. mája 2023

                                                                                                                                                  6. decembra 2022

                                                                                                                                                  23. novembra 2022

                                                                                                                                                  13. októbra 2021

                                                                                                                                                  Pred inštaláciou uzlov HDS musí Docker Desktop spustiť inštalačný program. Pozri Požiadavky na plochu Docker.

                                                                                                                                                  24. júna 2021

                                                                                                                                                  Upozorňujeme, že súbor so súkromným kľúčom a CSR môžete znova použiť na vyžiadanie ďalšieho certifikátu. Pozri Na vygenerovanie súboru PKCS12 použite OpenSSL pre podrobnosti.

                                                                                                                                                  30. apríla 2021

                                                                                                                                                  Požiadavka VM na lokálny pevný disk sa zmenila na 30 GB. Pozri Požiadavky na virtuálny hostiteľ pre podrobnosti.

                                                                                                                                                  24. februára 2021

                                                                                                                                                  HDS Setup Tool teraz môže bežať za serverom proxy. Pozri Vytvorte ISO konfigurácie pre hostiteľov HDS pre podrobnosti.

                                                                                                                                                  2. februára 2021

                                                                                                                                                  HDS teraz môže bežať bez pripojeného súboru ISO. Pozri (Voliteľné) Odpojte ISO po konfigurácii HDS pre podrobnosti.

                                                                                                                                                  11. januára 2021

                                                                                                                                                  Pridané informácie o nástroji HDS Setup a proxy serveroch Vytvorte ISO konfigurácie pre hostiteľov HDS.

                                                                                                                                                  13. októbra 2020

                                                                                                                                                  Aktualizované Stiahnite si inštalačné súbory.

                                                                                                                                                  8. októbra 2020

                                                                                                                                                  Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS a Zmeňte konfiguráciu uzla s príkazmi pre prostredia FedRAMP.

                                                                                                                                                  14. augusta 2020

                                                                                                                                                  Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS a Zmeňte konfiguráciu uzla so zmenami v procese prihlasovania.

                                                                                                                                                  5. augusta 2020

                                                                                                                                                  Aktualizované Otestujte svoje nasadenie hybridného zabezpečenia dát pre zmeny v protokolových správach.

                                                                                                                                                  Aktualizované Požiadavky na virtuálny hostiteľ na odstránenie maximálneho počtu hostiteľov.

                                                                                                                                                  16. júna 2020

                                                                                                                                                  Aktualizované Odstráňte uzol pre zmeny v používateľskom rozhraní Control Hub.

                                                                                                                                                  4. júna 2020

                                                                                                                                                  Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS pre zmeny v rozšírených nastaveniach, ktoré môžete nastaviť.

                                                                                                                                                  29. mája 2020

                                                                                                                                                  Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS ukázať, že TLS môžete použiť aj s databázami SQL Server, zmenami používateľského rozhrania a ďalšími vysvetleniami.

                                                                                                                                                  5. mája 2020

                                                                                                                                                  Aktualizované Požiadavky na virtuálny hostiteľ ukázať novú požiadavku ESXi 6.5.

                                                                                                                                                  21. apríla 2020

                                                                                                                                                  Aktualizované Požiadavky na externé pripojenie s novými hostiteľmi Americas CI.

                                                                                                                                                  1. apríla 2020

                                                                                                                                                  Aktualizované Požiadavky na externé pripojenie s informáciami o regionálnych hostiteľoch CI.

                                                                                                                                                  20. februára 2020Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS s informáciami o novej voliteľnej obrazovke rozšírených nastavení v nástroji HDS Setup Tool.
                                                                                                                                                  4. februára 2020Aktualizované Požiadavky na proxy server.
                                                                                                                                                  16. decembra 2019Objasnená požiadavka, aby fungoval režim zablokovaného externého rozlíšenia DNS Požiadavky na proxy server.
                                                                                                                                                  19. novembra 2019

                                                                                                                                                  Pridané informácie o režime zablokovaného externého rozlíšenia DNS v nasledujúcich častiach:

                                                                                                                                                  8. novembra 2019

                                                                                                                                                  Teraz môžete konfigurovať sieťové nastavenia pre uzol počas nasadzovania OVA a nie neskôr.

                                                                                                                                                  Podľa toho aktualizovali nasledujúce sekcie:


                                                                                                                                                   

                                                                                                                                                  Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 6.5. Táto možnosť nemusí byť dostupná v starších verziách.

                                                                                                                                                  6. septembra 2019

                                                                                                                                                  Pridaný SQL Server Standard do Požiadavky na databázový server.

                                                                                                                                                  29. augusta 2019Pridané Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát príloha s návodom na konfiguráciu proxy serverov Squid tak, aby ignorovali prevádzku websocket pre správnu činnosť.
                                                                                                                                                  20. augusta 2019

                                                                                                                                                  Pridané a aktualizované sekcie pokrývajúce podporu proxy pre komunikáciu uzlov Hybrid Data Security do cloudu Webex.

                                                                                                                                                  Ak chcete získať prístup len k obsahu podpory proxy pre existujúce nasadenie, pozrite si Podpora proxy pre hybridné zabezpečenie dát a Webex Video Mesh pomocný článok.

                                                                                                                                                  13. júna 2019Aktualizované Skúšobný postup produkčných úloh s pripomienkou na synchronizáciu HdsTrialGroup skupinový objekt pred spustením skúšobnej verzie, ak vaša organizácia používa synchronizáciu adresárov.
                                                                                                                                                  6. marca 2019
                                                                                                                                                  28. februára 2019
                                                                                                                                                  • Opravené množstvo miesta na lokálnom pevnom disku na server, ktoré by ste si mali vyčleniť pri príprave virtuálnych hostiteľov, ktorí sa stanú uzlami Hybrid Data Security, z 50 GB na 20 GB, aby odrážali veľkosť disku, ktorý vytvára OVA.

                                                                                                                                                  26. februára 2019
                                                                                                                                                  • Uzly Hybrid Data Security teraz podporujú šifrované pripojenia s databázovými servermi PostgreSQL a šifrované protokolované pripojenia k serveru syslog s podporou TLS. Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS s návodom.

                                                                                                                                                  • Odstránili sa cieľové adresy URL z tabuľky „Požiadavky na internetové pripojenie pre virtuálne počítače s uzlom na zabezpečenie hybridných údajov“. Tabuľka teraz odkazuje na zoznam udržiavaný v tabuľke „Ďalšie adresy URL pre hybridné služby Webex Teams“ Sieťové požiadavky pre Webex Teams Services.

                                                                                                                                                  24. januára 2019

                                                                                                                                                  • Hybrid Data Security teraz podporuje Microsoft SQL Server ako databázu. SQL Server Always On (Always On Failover Clusters a Always On Availability Groups) je podporovaný ovládačmi JDBC, ktoré sa používajú v Hybrid Data Security. Pridaný obsah súvisiaci s nasadením so serverom SQL Server.


                                                                                                                                                     

                                                                                                                                                    Podpora Microsoft SQL Server je určená len pre nové nasadenia Hybrid Data Security. Momentálne nepodporujeme migráciu údajov z PostgreSQL na Microsoft SQL Server v existujúcom nasadení.

                                                                                                                                                  5. novembra 2018
                                                                                                                                                  19. októbra 2018

                                                                                                                                                  31. júla 2018

                                                                                                                                                  21. mája 2018

                                                                                                                                                  Zmenená terminológia, aby odrážala rebranding Cisco Spark:

                                                                                                                                                  • Cisco Spark Hybrid Data Security je teraz Hybrid Data Security.

                                                                                                                                                  • Aplikácia Cisco Spark je teraz aplikáciou Webex App.

                                                                                                                                                  • Cisco Collaboraton Cloud je teraz cloud Webex.

                                                                                                                                                  11. apríla 2018
                                                                                                                                                  22. februára 2018
                                                                                                                                                  15. február 2018
                                                                                                                                                  • V Požiadavky na certifikát X.509 Tabuľka špecifikovala, že certifikát nemôže byť zástupný certifikát a že KMS používa doménu CN, nie akúkoľvek doménu, ktorá je definovaná v poliach x.509v3 SAN.

                                                                                                                                                  18. januára 2018

                                                                                                                                                  2. novembra 2017

                                                                                                                                                  • Vyjasnená synchronizácia adresárov skupiny HdsTrialGroup.

                                                                                                                                                  • Opravené pokyny na nahrávanie konfiguračného súboru ISO na pripojenie do uzlov VM.

                                                                                                                                                  18. augusta 2017

                                                                                                                                                  Prvýkrát zverejnené

                                                                                                                                                  Začnite s hybridným zabezpečením dát

                                                                                                                                                  Prehľad zabezpečenia hybridných údajov

                                                                                                                                                  Od prvého dňa bola bezpečnosť údajov prvoradá pri navrhovaní Aplikácia Webex. Základným kameňom tohto zabezpečenia je komplexné šifrovanie obsahu, ktoré umožňuje Aplikácia Webex klientov interagujúcich so službou správy kľúčov (KMS). KMS je zodpovedný za vytváranie a správu kryptografických kľúčov, ktoré klienti používajú na dynamické šifrovanie a dešifrovanie správ a súborov.

                                                                                                                                                  Štandardne všetky Aplikácia Webex zákazníci získajú end-to-end šifrovanie s dynamickými kľúčmi uloženými v cloudovom KMS v oblasti bezpečnosti Cisco. Hybrid Data Security presúva KMS a ďalšie funkcie súvisiace so zabezpečením do vášho podnikového dátového centra, takže kľúče k vášmu šifrovanému obsahu nemá nikto okrem vás.

                                                                                                                                                  Architektúra bezpečnostnej sféry

                                                                                                                                                  Cloudová architektúra Webex oddeľuje rôzne typy služieb do samostatných oblastí alebo dôveryhodných domén, ako je znázornené nižšie.

                                                                                                                                                  Realms of Separation (bez Hybrid Data Security)

                                                                                                                                                  Aby sme lepšie porozumeli Hybrid Data Security, pozrime sa najprv na tento čistý cloud, kde Cisco poskytuje všetky funkcie vo svojich cloudových sférach. Služba identity, jediné miesto, kde môžu používatelia priamo korelovať so svojimi osobnými údajmi, ako je e-mailová adresa, je logicky a fyzicky oddelená od oblasti zabezpečenia v dátovom centre B. Obe sú zase oddelené od oblasti, kde je v konečnom dôsledku uložený šifrovaný obsah. , v dátovom centre C.

                                                                                                                                                  V tomto diagrame je klientom aplikácia Webex, ktorá beží na notebooku používateľa a je overená službou identity. Keď používateľ vytvorí správu na odoslanie do priestoru, vykonajú sa tieto kroky:

                                                                                                                                                  1. Klient vytvorí zabezpečené spojenie so službou správy kľúčov (KMS), potom požiada o kľúč na zašifrovanie správy. Zabezpečené pripojenie používa ECDH a KMS šifruje kľúč pomocou hlavného kľúča AES-256.

                                                                                                                                                  2. Správa je pred opustením klienta zašifrovaná. Klient ho odošle do indexovacej služby, ktorá vytvorí šifrované indexy vyhľadávania na pomoc pri budúcom vyhľadávaní obsahu.

                                                                                                                                                  3. Zašifrovaná správa sa odošle do služby súladu na kontrolu súladu.

                                                                                                                                                  4. Zašifrovaná správa je uložená v úložnej sfére.

                                                                                                                                                  Keď nasadíte Hybrid Data Security, presuniete funkcie bezpečnostnej sféry (KMS, indexovanie a súlad) do vášho lokálneho dátového centra. Ostatné cloudové služby, ktoré tvoria Webex (vrátane ukladania identity a obsahu), zostávajú v sférach spoločnosti Cisco.

                                                                                                                                                  Spolupráca s inými organizáciami

                                                                                                                                                  Používatelia vo vašej organizácii môžu pravidelne používať aplikáciu Webex na spoluprácu s externými účastníkmi v iných organizáciách. Keď jeden z vašich používateľov požaduje kľúč pre priestor, ktorý vlastní vaša organizácia (pretože ho vytvoril jeden z vašich používateľov), váš KMS odošle kľúč klientovi cez zabezpečený kanál ECDH. Keď však kľúč priestoru vlastní iná organizácia, váš KMS nasmeruje požiadavku do cloudu Webex cez samostatný kanál ECDH, aby získal kľúč z príslušného KMS, a potom vráti kľúč vášmu používateľovi na pôvodnom kanáli.

                                                                                                                                                  Služba KMS spustená v organizácii A overuje pripojenia ku KMS v iných organizáciách pomocou x.509 PKI certifikátov. Pozri Pripravte si prostredie podrobnosti o generovaní x.509 certifikátu na použitie s nasadením Hybrid Data Security.

                                                                                                                                                  Očakávania týkajúce sa nasadenia hybridnej bezpečnosti údajov

                                                                                                                                                  Nasadenie Hybrid Data Security si vyžaduje značné nasadenie zákazníkov a uvedomenie si rizík, ktoré so sebou prináša vlastníctvo šifrovacích kľúčov.

                                                                                                                                                  Ak chcete nasadiť Hybrid Data Security, musíte poskytnúť:

                                                                                                                                                  Úplná strata buď konfiguračného ISO, ktoré ste vytvorili pre Hybrid Data Security, alebo databázy, ktorú poskytnete, bude mať za následok stratu kľúčov. Strata kľúča bráni používateľom dešifrovať obsah priestoru a ďalšie šifrované údaje v aplikácii Webex. Ak sa tak stane, môžete vytvoriť nové nasadenie, ale bude viditeľný iba nový obsah. Aby ste predišli strate prístupu k údajom, musíte:

                                                                                                                                                  • Spravujte zálohovanie a obnovu databázy a konfiguračného ISO.

                                                                                                                                                  • Buďte pripravení vykonať rýchlu obnovu po havárii, ak dôjde ku katastrofe, ako je zlyhanie databázového disku alebo katastrofa dátového centra.


                                                                                                                                                   

                                                                                                                                                  Neexistuje žiadny mechanizmus na presun kľúčov späť do cloudu po nasadení HDS.

                                                                                                                                                  Proces nastavenia na vysokej úrovni

                                                                                                                                                  Tento dokument pokrýva nastavenie a správu nasadenia Hybrid Data Security:

                                                                                                                                                  • Nastavte Hybridné zabezpečenie dát—To zahŕňa prípravu požadovanej infraštruktúry a inštaláciu softvéru Hybrid Data Security, testovanie vášho nasadenia s podskupinou používateľov v skúšobnom režime a po dokončení testovania prechod do produkcie. To prevedie celú organizáciu na používanie vášho klastra Hybrid Data Security na bezpečnostné funkcie.

                                                                                                                                                    Fázy nastavenia, skúšania a výroby sú podrobne opísané v nasledujúcich troch kapitolách.

                                                                                                                                                  • Udržujte svoje nasadenie Hybrid Data Security— Cloud Webex automaticky poskytuje priebežné aktualizácie. Vaše IT oddelenie môže poskytnúť podporu prvej úrovne pre toto nasadenie a podľa potreby zapojiť podporu Cisco. V Control Hub môžete používať upozornenia na obrazovke a nastaviť upozornenia prostredníctvom e-mailu.

                                                                                                                                                  • Pochopte bežné upozornenia, kroky na riešenie problémov a známe problémy—Ak narazíte na problémy s nasadením alebo používaním Hybrid Data Security, posledná kapitola tejto príručky a príloha Známe problémy vám môžu pomôcť určiť a vyriešiť problém.

                                                                                                                                                  Hybridný model nasadenia zabezpečenia dát

                                                                                                                                                  V rámci podnikového dátového centra nasadíte Hybrid Data Security ako jeden klaster uzlov na samostatných virtuálnych hostiteľoch. Uzly komunikujú s cloudom Webex prostredníctvom zabezpečených webových zásuviek a zabezpečeného HTTP.

                                                                                                                                                  Počas procesu inštalácie vám poskytneme súbor OVA na nastavenie virtuálneho zariadenia na VM, ktoré poskytnete. Nástroj HDS Setup Tool použijete na vytvorenie vlastného konfiguračného súboru ISO klastra, ktorý pripojíte na každý uzol. Klaster Hybrid Data Security využíva váš poskytnutý server Syslogd a databázu PostgreSQL alebo Microsoft SQL Server. (Syslogd a podrobnosti o pripojení k databáze nakonfigurujete v nástroji HDS Setup Tool.)

                                                                                                                                                  Hybridný model nasadenia zabezpečenia dát

                                                                                                                                                  Minimálny počet uzlov, ktoré môžete mať v klastri, sú dva. Odporúčame aspoň tri a môžete ich mať až päť. Viacnásobné uzly zaisťujú, že služba nebude prerušená počas aktualizácie softvéru alebo inej činnosti údržby na uzle. (Cloud Webex aktualizuje naraz iba jeden uzol.)

                                                                                                                                                  Všetky uzly v klastri pristupujú k rovnakému úložisku údajov kľúčov a zaznamenávajú aktivitu na rovnaký server syslog. Samotné uzly sú bez stavu a spracovávajú kľúčové požiadavky v režime round-robin podľa pokynov cloudu.

                                                                                                                                                  Uzly sa stanú aktívnymi, keď ich zaregistrujete v Control Hub. Ak chcete vyradiť jednotlivý uzol z prevádzky, môžete ho zrušiť a neskôr v prípade potreby znova zaregistrovať.

                                                                                                                                                  Podporujeme iba jeden klaster na organizáciu.

                                                                                                                                                  Skúšobný režim hybridnej bezpečnosti dát

                                                                                                                                                  Po nastavení nasadenia Hybrid Data Security ho najskôr vyskúšate so skupinou pilotných používateľov. Počas skúšobného obdobia títo používatelia používajú vašu lokálnu doménu Hybrid Data Security na šifrovacie kľúče a ďalšie služby v oblasti zabezpečenia. Ostatní vaši používatelia naďalej používajú oblasť zabezpečenia cloudu.

                                                                                                                                                  Ak sa rozhodnete nepokračovať v nasadzovaní počas skúšobného obdobia a službu deaktivujete, pilotní používatelia a všetci používatelia, s ktorými počas skúšobného obdobia interagovali vytvorením nových priestorov, stratia prístup k správam a obsahu. V aplikácii Webex sa im zobrazí „Táto správa sa nedá dešifrovať“.

                                                                                                                                                  Ak ste spokojní s tým, že vaše nasadenie funguje dobre pre skúšobných používateľov a ste pripravení rozšíriť Hybrid Data Security na všetkých svojich používateľov, presuniete nasadenie do produkcie. Pilotní používatelia majú naďalej prístup ku kľúčom, ktoré sa používali počas skúšobnej verzie. Nemôžete sa však pohybovať tam a späť medzi produkčným režimom a pôvodnou skúšobnou verziou. Ak musíte službu deaktivovať, napríklad vykonať obnovu po havárii, pri opätovnej aktivácii musíte spustiť novú skúšobnú verziu a nastaviť skupinu pilotných používateľov pre novú skúšobnú verziu, než sa vrátite späť do produkčného režimu. Či si používatelia v tomto bode zachovajú prístup k údajom, závisí od toho, či ste úspešne udržiavali zálohy úložiska kľúčových údajov a konfiguračného súboru ISO pre uzly Hybrid Data Security vo vašom klastri.

                                                                                                                                                  Pohotovostné dátové centrum pre obnovu po havárii

                                                                                                                                                  Počas nasadenia nastavíte zabezpečené pohotovostné dátové centrum. V prípade havárie dátového centra môžete manuálne zlyhať nasadenie do pohotovostného dátového centra.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Manuálne prepnutie do pohotovostného dátového centra

                                                                                                                                                  Databázy aktívnych a pohotovostných dátových centier sú navzájom synchronizované, čo minimalizuje čas potrebný na vykonanie núdzového prepnutia. Súbor ISO pohotovostného dátového centra sa aktualizuje o ďalšie konfigurácie, ktoré zaisťujú, že uzly sú registrované v organizácii, ale nebudú spracovávať prevádzku. Preto uzly pohotovostného dátového centra zostávajú vždy aktuálne s najnovšou verziou softvéru HDS.


                                                                                                                                                   

                                                                                                                                                  Aktívne uzly Hybrid Data Security musia byť vždy v rovnakom údajovom centre ako aktívny databázový server.

                                                                                                                                                  Nastavte pohotovostné dátové centrum pre obnovu po havárii

                                                                                                                                                  Ak chcete nakonfigurovať súbor ISO pohotovostného dátového centra, postupujte podľa nasledujúcich krokov:

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  • Pohotovostné dátové centrum by malo odrážať produkčné prostredie VM a záložnú databázu PostgreSQL alebo Microsoft SQL Server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM. (Pozri Pohotovostné dátové centrum pre obnovu po havárii pre prehľad tohto modelu núdzového prepnutia.)

                                                                                                                                                  • Uistite sa, že je povolená synchronizácia databázy medzi databázou aktívnych a pasívnych uzlov klastra.

                                                                                                                                                  1

                                                                                                                                                  Spustite nástroj HDS Setup a postupujte podľa krokov uvedených v Vytvorte ISO konfigurácie pre hostiteľov HDS.


                                                                                                                                                   

                                                                                                                                                  Súbor ISO musí byť kópiou pôvodného súboru ISO primárneho dátového centra, v ktorom sa majú vykonať nasledujúce aktualizácie konfigurácie.

                                                                                                                                                  2

                                                                                                                                                  Po nakonfigurovaní servera Syslogd kliknite na Pokročilé nastavenia

                                                                                                                                                  3

                                                                                                                                                  Na Pokročilé nastavenia pridajte konfiguráciu nižšie, aby ste umiestnili uzol do pasívneho režimu. V tomto režime bude uzol zaregistrovaný v organizácii a pripojený ku cloudu, ale nebude spracovávať žiadny prenos.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť.

                                                                                                                                                  5

                                                                                                                                                  Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii.

                                                                                                                                                  6

                                                                                                                                                  V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na VM a kliknite Upraviť nastavenia..

                                                                                                                                                  7

                                                                                                                                                  Kliknite Upraviť nastavenia >CD/DVD mechanika 1 a vyberte Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Uisti sa Pripojené a Pripojte pri zapnutí sú skontrolované, aby sa aktualizované zmeny konfigurácie prejavili po spustení uzlov.

                                                                                                                                                  8

                                                                                                                                                  Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy.

                                                                                                                                                  9

                                                                                                                                                  Opakujte proces pre každý uzol v pohotovostnom dátovom centre.


                                                                                                                                                   

                                                                                                                                                  Skontrolujte syslogy a overte, či sú uzly v pasívnom režime. V syslogoch by ste mali vidieť správu „KMS nakonfigurovaná v pasívnom režime“.

                                                                                                                                                  Čo urobiť ďalej

                                                                                                                                                  Po konfigurácii passiveMode v súbore ISO a jeho uložením môžete vytvoriť ďalšiu kópiu súboru ISO bez súboru passiveMode konfiguráciu a uložte ju na bezpečnom mieste. Táto kópia súboru ISO bez passiveMode nakonfigurovaný môže pomôcť pri rýchlom procese núdzového prepnutia počas obnovy po havárii. Pozri Obnova po havárii pomocou pohotovostného dátového centra pre podrobný postup núdzového prepnutia.

                                                                                                                                                  Podpora proxy

                                                                                                                                                  Hybrid Data Security podporuje explicitné, transparentné kontrolné a nekontrolujúce proxy. Tieto servery proxy môžete prepojiť s nasadením, aby ste mohli zabezpečiť a monitorovať prevádzku z podniku do cloudu. Rozhranie správcu platformy na uzloch môžete použiť na správu certifikátov a na kontrolu celkového stavu pripojenia po nastavení servera proxy na uzloch.

                                                                                                                                                  Uzly Hybrid Data Security podporujú nasledujúce možnosti proxy:

                                                                                                                                                  • Žiadny proxy—Predvolené, ak na integráciu servera proxy nepoužívate nastavenie uzla HDS Trust Store & Proxy. Nevyžaduje sa žiadna aktualizácia certifikátu.

                                                                                                                                                  • Transparentný nekontrolujúci splnomocnenec– Uzly nie sú nakonfigurované na používanie špecifickej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.

                                                                                                                                                  • Transparentné tunelovanie alebo kontrola proxy– Uzly nie sú nakonfigurované na používanie špecifickej adresy servera proxy. Na uzloch nie sú potrebné žiadne zmeny konfigurácie HTTP alebo HTTPS. Uzly však potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).

                                                                                                                                                  • Explicitný proxy—S explicitným proxy, poviete HDS uzlom, ktorý proxy server a overovaciu schému použiť. Ak chcete nakonfigurovať explicitný server proxy, musíte do každého uzla zadať nasledujúce informácie:

                                                                                                                                                    1. Proxy IP/FQDN– Adresa, ktorú možno použiť na spojenie so zariadením proxy.

                                                                                                                                                    2. Port proxy—Číslo portu, ktoré server proxy používa na počúvanie prevádzky cez proxy.

                                                                                                                                                    3. Proxy protokol—V závislosti od toho, čo váš proxy server podporuje, vyberte si z nasledujúcich protokolov:

                                                                                                                                                      • HTTP – zobrazuje a riadi všetky požiadavky, ktoré klient odosiela.

                                                                                                                                                      • HTTPS – poskytuje kanál pre server. Klient prijme a overí certifikát servera.

                                                                                                                                                    4. autentický typ— Vyberte si z nasledujúcich typov autentifikácie:

                                                                                                                                                      • žiadne— Nevyžaduje sa žiadna ďalšia autentifikácia.

                                                                                                                                                        Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.

                                                                                                                                                      • Základné— Používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.

                                                                                                                                                        Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.

                                                                                                                                                        Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.

                                                                                                                                                      • Digest– Používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.

                                                                                                                                                        Dostupné, iba ak vyberiete HTTPS ako protokol proxy.

                                                                                                                                                        Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.

                                                                                                                                                  Príklad uzlov na zabezpečenie hybridných dát a proxy

                                                                                                                                                  Tento diagram ukazuje príklad spojenia medzi Hybrid Data Security, sieťou a proxy. Pre možnosti transparentnej kontroly a explicitnej kontroly HTTPS proxy musí byť na serveri proxy aj na uzloch Hybrid Data Security nainštalovaný rovnaký koreňový certifikát.

                                                                                                                                                  Blokovaný režim externého rozlíšenia DNS (explicitné konfigurácie proxy)

                                                                                                                                                  Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. V nasadeniach s explicitnými konfiguráciami proxy, ktoré neumožňujú externé rozlíšenie DNS pre interných klientov, ak uzol nemôže dotazovať servery DNS, automaticky prejde do režimu blokovaného externého riešenia DNS. V tomto režime môže pokračovať registrácia uzla a ďalšie testy pripojenia proxy.

                                                                                                                                                  Pripravte si prostredie

                                                                                                                                                  Požiadavky na hybridnú bezpečnosť dát

                                                                                                                                                  Požiadavky na licenciu Cisco Webex

                                                                                                                                                  Nasadenie Hybrid Data Security:

                                                                                                                                                  Požiadavky na plochu Docker

                                                                                                                                                  Pred inštaláciou uzlov HDS potrebujete Docker Desktop na spustenie inštalačného programu. Docker nedávno aktualizoval svoj licenčný model. Vaša organizácia môže vyžadovať platené predplatné pre Docker Desktop. Podrobnosti nájdete v blogovom príspevku Docker, " Docker aktualizuje a rozširuje naše predplatné produktov".

                                                                                                                                                  Požiadavky na certifikát X.509

                                                                                                                                                  Certifikačný reťazec musí spĺňať nasledujúce požiadavky:

                                                                                                                                                  Stôl 1. Požiadavky certifikátu X.509 pre nasadenie hybridného zabezpečenia dát

                                                                                                                                                  Požiadavka

                                                                                                                                                  Podrobnosti

                                                                                                                                                  • Podpísané dôveryhodnou certifikačnou autoritou (CA)

                                                                                                                                                  V predvolenom nastavení dôverujeme CA v zozname Mozilly (s výnimkou WoSign a StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Nesie názov domény Common Name (CN), ktorý identifikuje vaše nasadenie Hybrid Data Security

                                                                                                                                                  • Nie je to zástupný certifikát

                                                                                                                                                  CN nemusí byť dosiahnuteľné alebo živého hostiteľa. Odporúčame vám použiť názov, ktorý odráža vašu organizáciu, napr. hds.company.com.

                                                                                                                                                  KN nesmie obsahovať * (zástupný znak).

                                                                                                                                                  CN sa používa na overenie uzlov Hybrid Data Security pre klientov Webex App. Všetky uzly Hybrid Data Security vo vašom klastri používajú rovnaký certifikát. Váš KMS sa identifikuje pomocou domény CN, nie akejkoľvek domény, ktorá je definovaná v poliach x.509v3 SAN.

                                                                                                                                                  Po zaregistrovaní uzla s týmto certifikátom nepodporujeme zmenu názvu domény CN. Vyberte doménu, ktorá sa môže vzťahovať na skúšobné aj produkčné nasadenie.

                                                                                                                                                  • Podpis iný ako SHA1

                                                                                                                                                  Softvér KMS nepodporuje podpisy SHA1 na overenie pripojení k KMS iných organizácií.

                                                                                                                                                  • Naformátovaný ako súbor PKCS #12 chránený heslom

                                                                                                                                                  • Použite priateľský názov kms-private-key na označenie certifikátu, súkromného kľúča a akýchkoľvek sprostredkujúcich certifikátov na odovzdanie.

                                                                                                                                                  Na zmenu formátu certifikátu môžete použiť konvertor, ako je OpenSSL.

                                                                                                                                                  Pri spustení nástroja HDS Setup Tool budete musieť zadať heslo.

                                                                                                                                                  Softvér KMS nevynucuje používanie kľúčov ani rozšírené obmedzenia používania kľúčov. Niektoré certifikačné autority vyžadujú, aby sa na každý certifikát aplikovali rozšírené obmedzenia používania kľúčov, ako je autentifikácia servera. Je v poriadku použiť overenie servera alebo iné nastavenia.

                                                                                                                                                  Požiadavky na virtuálny hostiteľ

                                                                                                                                                  Virtuálni hostitelia, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri, majú nasledujúce požiadavky:

                                                                                                                                                  • Aspoň dvaja oddelení hostitelia (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre

                                                                                                                                                  • VMware ESXi 6.5 (alebo novší) nainštalovaný a spustený.


                                                                                                                                                     

                                                                                                                                                    Ak máte staršiu verziu ESXi, musíte vykonať inováciu.

                                                                                                                                                  • Minimálne 4 vCPU, 8 GB hlavnej pamäte, 30 GB miesta na lokálnom pevnom disku na server

                                                                                                                                                  Požiadavky na databázový server


                                                                                                                                                   

                                                                                                                                                  Vytvorte novú databázu pre uloženie kľúčov. Nepoužívajte predvolenú databázu. Aplikácie HDS, keď sú nainštalované, vytvoria schému databázy.

                                                                                                                                                  Pre databázový server sú dve možnosti. Požiadavky na každú z nich sú nasledovné:

                                                                                                                                                  Tabuľka 2 Požiadavky na databázový server podľa typu databázy

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 alebo 16, nainštalovaný a spustený.

                                                                                                                                                  • SQL Server 2016, 2017 alebo 2019 (Enterprise alebo Standard) nainštalovaný.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 vyžaduje Service Pack 2 a Kumulatívna aktualizácia 2 alebo novšia.

                                                                                                                                                  Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložný priestor)

                                                                                                                                                  Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložný priestor)

                                                                                                                                                  Softvér HDS momentálne inštaluje nasledujúce verzie ovládačov na komunikáciu s databázovým serverom:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC ovládač 42.2.5

                                                                                                                                                  Ovládač SQL Server JDBC 4.6

                                                                                                                                                  Táto verzia ovládača podporuje SQL Server Always On ( Vždy v prípade zlyhania klastra a Vždy zapnuté skupiny dostupnosti).

                                                                                                                                                  Dodatočné požiadavky na overenie systému Windows voči Microsoft SQL Server

                                                                                                                                                  Ak chcete, aby uzly HDS používali autentifikáciu systému Windows na získanie prístupu k vašej databáze úložiska kľúčov na serveri Microsoft SQL Server, potrebujete vo svojom prostredí nasledujúcu konfiguráciu:

                                                                                                                                                  • HDS uzly, infraštruktúra Active Directory a MS SQL Server musia byť synchronizované s NTP.

                                                                                                                                                  • Účet Windows, ktorý poskytnete uzlom HDS, musí mať prístup k databáze na čítanie/zápis.

                                                                                                                                                  • Servery DNS, ktoré poskytujete uzlom HDS, musia byť schopné vyriešiť vaše Centrum distribúcie kľúčov (KDC).

                                                                                                                                                  • Inštanciu databázy HDS môžete zaregistrovať na svojom serveri Microsoft SQL Server ako hlavný názov služby (SPN) vo vašom adresári Active Directory. Pozri Zaregistrujte hlavný názov služby pre pripojenia Kerberos.

                                                                                                                                                    Nástroj na nastavenie HDS, spúšťač HDS a miestne KMS musia na prístup k databáze kľúčov používať overenie systému Windows. Používajú podrobnosti z vašej konfigurácie ISO na vytvorenie SPN pri požadovaní prístupu s overením Kerberos.

                                                                                                                                                  Požiadavky na externé pripojenie

                                                                                                                                                  Nakonfigurujte svoj firewall tak, aby umožňoval nasledujúce pripojenie pre aplikácie HDS:

                                                                                                                                                  Aplikácia

                                                                                                                                                  Protokol

                                                                                                                                                  Port

                                                                                                                                                  Smer z App

                                                                                                                                                  Destinácia

                                                                                                                                                  Hybridné uzly zabezpečenia údajov

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odchádzajúce HTTPS a WSS

                                                                                                                                                  • Webex servery:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Všetci hostitelia Common Identity

                                                                                                                                                  • Ďalšie adresy URL, ktoré sú uvedené pre Hybrid Data Security v Ďalšie adresy URL pre hybridné služby Webex tabuľka Sieťové požiadavky pre služby Webex

                                                                                                                                                  Nástroj na nastavenie HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odchádzajúce HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Všetci hostitelia Common Identity

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Uzly Hybrid Data Security pracujú s prekladom sieťového prístupu (NAT) alebo za bránou firewall, pokiaľ NAT alebo brána firewall umožňuje požadované odchádzajúce pripojenia k destináciám domény v predchádzajúcej tabuľke. Pre pripojenia prichádzajúce do uzlov Hybrid Data Security by nemali byť z internetu viditeľné žiadne porty. V rámci vášho dátového centra potrebujú klienti prístup k uzlom Hybrid Data Security na portoch TCP 443 a 22 na administratívne účely.

                                                                                                                                                  Adresy URL hostiteľov Common Identity (CI) sú špecifické pre daný región. Toto sú súčasní hostitelia CI:

                                                                                                                                                  región

                                                                                                                                                  Spoločné adresy URL hostiteľa identity

                                                                                                                                                  Ameriky

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Európska únia

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Požiadavky na proxy server

                                                                                                                                                  • Oficiálne podporujeme nasledujúce proxy riešenia, ktoré sa dajú integrovať s vašimi uzlami Hybrid Data Security.

                                                                                                                                                    • Transparentný proxy – Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Explicitný proxy-Squid.


                                                                                                                                                       

                                                                                                                                                      Proxy serverov chobotnice, ktoré kontrolujú prenos HTTPS, môžu zasahovať do vytvorenia webovej zásuvky (wss:) spojenia. Ak chcete tento problém obísť, pozrite si Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát.

                                                                                                                                                  • Pre explicitné servery proxy podporujeme nasledujúce kombinácie typov overenia:

                                                                                                                                                    • Žiadna autentifikácia pomocou HTTP alebo HTTPS

                                                                                                                                                    • Základná autentifikácia pomocou HTTP alebo HTTPS

                                                                                                                                                    • Digest overenie iba s HTTPS

                                                                                                                                                  • Pre transparentný kontrolný proxy server alebo explicitný proxy server HTTPS musíte mať kópiu koreňového certifikátu servera proxy. Pokyny na nasadenie v tejto príručke vám povedia, ako nahrať kópiu do dôveryhodných obchodov uzlov Hybrid Data Security.

                                                                                                                                                  • Sieť, ktorá hostí uzly HDS, musí byť nakonfigurovaná tak, aby vynútila smerovanie odchádzajúcej prevádzky TCP na porte 443 cez server proxy.

                                                                                                                                                  • Proxy, ktoré kontrolujú webovú prevádzku, môžu narúšať pripojenia webových soketov. Ak sa vyskytne tento problém, obíďte (nie kontrolujte) premávku na wbx2.com a ciscospark.com problém vyrieši.

                                                                                                                                                  Vyplňte Predpoklady pre hybridnú bezpečnosť údajov

                                                                                                                                                  Pomocou tohto kontrolného zoznamu sa uistite, že ste pripravení na inštaláciu a konfiguráciu klastra Hybrid Data Security.
                                                                                                                                                  1

                                                                                                                                                  Uistite sa, že vaša organizácia Webex má povolený balík Pro Pack pre Cisco Webex Control Hub a získajte prihlasovacie údaje účtu s úplnými právami správcu organizácie. Ak potrebujete pomoc s týmto procesom, kontaktujte svojho partnera Cisco alebo account manažéra.

                                                                                                                                                  2

                                                                                                                                                  Vyberte názov domény pre svoje nasadenie HDS (napr. hds.company.com) a získajte reťaz certifikátov obsahujúci certifikát X.509, súkromný kľúč a akékoľvek sprostredkujúce certifikáty. Certifikačný reťazec musí spĺňať požiadavky v Požiadavky na certifikát X.509.

                                                                                                                                                  3

                                                                                                                                                  Pripravte si identických virtuálnych hostiteľov, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri. Potrebujete aspoň dvoch samostatných hostiteľov (odporúčajú sa 3) umiestnených v rovnakom zabezpečenom dátovom centre, ktorí spĺňajú požiadavky v Požiadavky na virtuálny hostiteľ.

                                                                                                                                                  4

                                                                                                                                                  Pripravte databázový server, ktorý bude fungovať ako úložisko kľúčových údajov pre klaster, podľa Požiadavky na databázový server. Databázový server musí byť umiestnený v zabezpečenom údajovom centre spolu s virtuálnymi hostiteľmi.

                                                                                                                                                  1. Vytvorte databázu pre ukladanie kľúčov. (Túto databázu musíte vytvoriť – nepoužívajte predvolenú databázu. Aplikácie HDS po nainštalovaní vytvoria schému databázy.)

                                                                                                                                                  2. Zhromaždite podrobnosti, ktoré budú uzly používať na komunikáciu s databázovým serverom:

                                                                                                                                                    • názov hostiteľa alebo IP adresa (hostiteľ) a port

                                                                                                                                                    • názov databázy (dbname) pre uloženie kľúčov

                                                                                                                                                    • užívateľské meno a heslo užívateľa so všetkými privilégiami v databáze kľúča

                                                                                                                                                  5

                                                                                                                                                  Pre rýchlu obnovu po havárii nastavte zálohovacie prostredie v inom dátovom centre. Zálohovacie prostredie odzrkadľuje produkčné prostredie VM a záložný databázový server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM.

                                                                                                                                                  6

                                                                                                                                                  Nastavte hostiteľa syslog na zhromažďovanie protokolov z uzlov v klastri. Získajte jeho sieťovú adresu a port syslog (predvolené je UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Vytvorte politiku bezpečného zálohovania pre uzly Hybrid Data Security, databázový server a hostiteľa syslog. Aby ste predišli nenapraviteľnej strate údajov, musíte minimálne zálohovať databázu a konfiguračný súbor ISO vygenerovaný pre uzly Hybrid Data Security.


                                                                                                                                                   

                                                                                                                                                  Pretože uzly Hybrid Data Security ukladajú kľúče používané na šifrovanie a dešifrovanie obsahu, zlyhanie pri udržiavaní operačného nasadenia bude mať za následok NENÁHRADITEĽNÁ STRATA tohto obsahu.

                                                                                                                                                  Klienti Webex App ukladajú svoje kľúče do vyrovnávacej pamäte, takže výpadok nemusí byť okamžite viditeľný, ale časom sa prejaví. Zatiaľ čo dočasným výpadkom nie je možné zabrániť, sú obnoviteľné. Úplná strata (nie sú k dispozícii žiadne zálohy) databázy alebo konfiguračného ISO súboru však bude mať za následok neobnoviteľné zákaznícke údaje. Od operátorov uzlov Hybrid Data Security sa očakáva, že budú pravidelne zálohovať databázu a konfiguračný ISO súbor a budú pripravení na prestavbu dátového centra Hybrid Data Security, ak dôjde ku katastrofálnej poruche.

                                                                                                                                                  8

                                                                                                                                                  Uistite sa, že vaša konfigurácia brány firewall umožňuje pripojenie pre vaše uzly Hybrid Data Security, ako je uvedené v Požiadavky na externé pripojenie.

                                                                                                                                                  9

                                                                                                                                                  Nainštalujte Docker ( https://www.docker.com) na akomkoľvek lokálnom počítači s podporovaným operačným systémom (Microsoft Windows 10 Professional alebo Enterprise 64-bit, alebo Mac OSX Yosemite 10.10.3 alebo novší) s webovým prehliadačom, ktorý k nemu môže pristupovať na http://127.0.0.1:8080.

                                                                                                                                                  Inštanciu Docker použijete na stiahnutie a spustenie nástroja HDS Setup Tool, ktorý vytvorí informácie o lokálnej konfigurácii pre všetky uzly Hybrid Data Security. Vaša organizácia môže potrebovať licenciu Docker Desktop. Pozri Požiadavky na plochu Docker Pre viac informácií.

                                                                                                                                                  Ak chcete nainštalovať a spustiť nástroj HDS Setup Tool, lokálny počítač musí mať konektivitu uvedenú v Požiadavky na externé pripojenie.

                                                                                                                                                  10

                                                                                                                                                  Ak integrujete proxy s Hybrid Data Security, uistite sa, že spĺňa Požiadavky na proxy server.

                                                                                                                                                  11

                                                                                                                                                  Ak vaša organizácia používa synchronizáciu adresárov, vytvorte skupinu v Active Directory s názvom HdsTrialGroup a pridajte pilotných používateľov. Skúšobná skupina môže mať až 250 používateľov. The HdsTrialGroup Pred spustením skúšobnej verzie pre vašu organizáciu musí byť objekt synchronizovaný s cloudom. Ak chcete synchronizovať objekt skupiny, vyberte ho v priečinku Directory Connector Konfigurácia > Výber objektu Ponuka. (Podrobné pokyny nájdete na Sprievodca nasadením pre Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Kľúče pre daný priestor nastavuje tvorca priestoru. Pri výbere pilotných používateľov majte na pamäti, že ak sa rozhodnete natrvalo deaktivovať nasadenie Hybrid Data Security, všetci používatelia stratia prístup k obsahu v priestoroch, ktoré vytvorili pilotní používatelia. Strata sa prejaví hneď, ako aplikácie používateľov obnovia svoje kópie obsahu uložené vo vyrovnávacej pamäti.

                                                                                                                                                  Nastavte Hybrid Data Security Cluster

                                                                                                                                                  Tok úloh nasadenia zabezpečenia hybridných údajov

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  Pripravte si prostredie

                                                                                                                                                  1

                                                                                                                                                  Stiahnite si inštalačné súbory

                                                                                                                                                  Stiahnite si súbor OVA na váš lokálny počítač pre neskoršie použitie.

                                                                                                                                                  2

                                                                                                                                                  Vytvorte ISO konfigurácie pre hostiteľov HDS

                                                                                                                                                  Pomocou nástroja HDS Setup Tool vytvorte konfiguračný súbor ISO pre uzly Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Nainštalujte HDS Host OVA

                                                                                                                                                  Vytvorte virtuálny počítač zo súboru OVA a vykonajte počiatočnú konfiguráciu, ako sú nastavenia siete.


                                                                                                                                                   

                                                                                                                                                  Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 6.5. Táto možnosť nemusí byť dostupná v starších verziách.

                                                                                                                                                  4

                                                                                                                                                  Nastavte virtuálny počítač Hybrid Data Security

                                                                                                                                                  Prihláste sa do konzoly VM a nastavte prihlasovacie poverenia. Nakonfigurujte sieťové nastavenia pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.

                                                                                                                                                  5

                                                                                                                                                  Nahrajte a pripojte ISO konfiguráciu HDS

                                                                                                                                                  Nakonfigurujte VM z konfiguračného súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool.

                                                                                                                                                  6

                                                                                                                                                  Nakonfigurujte uzol HDS na integráciu proxy

                                                                                                                                                  Ak sieťové prostredie vyžaduje konfiguráciu servera proxy, zadajte typ servera proxy, ktorý použijete pre uzol, a v prípade potreby pridajte certifikát servera proxy do dôveryhodného úložiska.

                                                                                                                                                  7

                                                                                                                                                  Zaregistrujte prvý uzol v klastri

                                                                                                                                                  Zaregistrujte VM v cloude Cisco Webex ako uzol Hybrid Data Security.

                                                                                                                                                  8

                                                                                                                                                  Vytvorte a zaregistrujte viac uzlov

                                                                                                                                                  Dokončite nastavenie klastra.

                                                                                                                                                  9

                                                                                                                                                  Spustite skúšobnú verziu a prejdite do výroby (ďalšia kapitola)

                                                                                                                                                  Kým nezačnete skúšobnú verziu, vaše uzly generujú alarm oznamujúci, že vaša služba ešte nie je aktivovaná.

                                                                                                                                                  Stiahnite si inštalačné súbory

                                                                                                                                                  V tejto úlohe stiahnete súbor OVA do svojho počítača (nie na servery, ktoré ste nastavili ako uzly Hybrid Data Security). Tento súbor použijete neskôr v procese inštalácie.
                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do https://admin.webex.coma potom kliknite Služby.

                                                                                                                                                  2

                                                                                                                                                  V časti Hybridné služby nájdite kartu Hybrid Data Security a potom kliknite Nastaviť.

                                                                                                                                                  Ak je karta zakázaná alebo ju nevidíte, kontaktujte tím spravujúci váš účet alebo partnerskú organizáciu. Poskytnite im svoje číslo účtu a požiadajte, aby vašej organizácii umožnili Hybridné zabezpečenie dát. Ak chcete nájsť číslo účtu, kliknite na ozubené koliesko vpravo hore vedľa názvu organizácie.


                                                                                                                                                   

                                                                                                                                                  OVA si tiež môžete kedykoľvek stiahnuť z Pomoc oddiel na nastavenie stránku. Na karte Hybrid Data Security kliknite na Upraviť nastavenia otvorte stránku. Potom kliknite Stiahnite si softvér Hybrid Data Security v Pomoc oddiele.


                                                                                                                                                   

                                                                                                                                                  Staršie verzie softvérového balíka (OVA) nebudú kompatibilné s najnovšími aktualizáciami Hybrid Data Security. To môže viesť k problémom pri inovácii aplikácie. Uistite sa, že ste si stiahli najnovšiu verziu súboru OVA.

                                                                                                                                                  3

                                                                                                                                                  Vyberte Nie na označenie, že ste ešte nenastavili uzol, a potom kliknite Ďalšie.

                                                                                                                                                  Automaticky sa začne sťahovať súbor OVA. Uložte súbor na miesto v počítači.
                                                                                                                                                  4

                                                                                                                                                  Voliteľne kliknite Otvorte Sprievodcu nasadením a skontrolujte, či je k dispozícii novšia verzia tejto príručky.

                                                                                                                                                  Vytvorte ISO konfigurácie pre hostiteľov HDS

                                                                                                                                                  Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  • Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Control Hub s úplnými administrátorskými právami pre vašu organizáciu.

                                                                                                                                                    Ak nástroj HDS Setup beží za serverom proxy vo vašom prostredí, pri spúšťaní kontajnera Docker v kroku poskytnite nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker 5. Táto tabuľka uvádza niektoré možné premenné prostredia:

                                                                                                                                                    Opis

                                                                                                                                                    Variabilné

                                                                                                                                                    HTTP Proxy bez autentifikácie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy bez autentifikácie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy s autentifikáciou

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy s autentifikáciou

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:

                                                                                                                                                    • Databázové poverenia

                                                                                                                                                    • Aktualizácie certifikátov

                                                                                                                                                    • Zmeny v politike autorizácie

                                                                                                                                                  • Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.

                                                                                                                                                  1

                                                                                                                                                  Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

                                                                                                                                                  V bežných prostrediach:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  V prostrediach FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

                                                                                                                                                  2

                                                                                                                                                  Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Pri výzve na zadanie hesla zadajte tento hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Stiahnite si najnovší stabilný obraz pre vaše prostredie:

                                                                                                                                                  V bežných prostrediach:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  V prostrediach FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

                                                                                                                                                  • V bežných prostrediach bez servera proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • V bežných prostrediach s HTTP proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • V bežných prostrediach s HTTPS proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • V prostrediach FedRAMP bez proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • V prostrediach FedRAMP s HTTP proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • V prostrediach FedRAMP s HTTPS proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Inštalačný nástroj nepodporuje pripojenie k localhost prostredníctvom http://localhost:8080. Použite http://127.0.0.1:8080 na pripojenie k localhost.

                                                                                                                                                  Pomocou webového prehliadača prejdite na localhost, http://127.0.0.1:8080 a po výzve zadajte používateľské meno správcu zákazníka pre Control Hub.

                                                                                                                                                  Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie.

                                                                                                                                                  7

                                                                                                                                                  Po zobrazení výzvy zadajte svoje prihlasovacie poverenia správcu zákazníka Control Hub a potom kliknite Prihlásiť sa na umožnenie prístupu k požadovaným službám pre Hybridnú bezpečnosť dát.

                                                                                                                                                  8

                                                                                                                                                  Na stránke prehľadu nástroja Setup kliknite na Začať.

                                                                                                                                                  9

                                                                                                                                                  Na ISO import stránku, máte tieto možnosti:

                                                                                                                                                  • Nie—Ak vytvárate svoj prvý uzol HDS, nemáte súbor ISO na nahranie.
                                                                                                                                                  • Áno—Ak ste už vytvorili uzly HDS, vyberte súbor ISO v prehľadávaní a nahrajte ho.
                                                                                                                                                  10

                                                                                                                                                  Skontrolujte, či váš certifikát X.509 spĺňa požiadavky v Požiadavky na certifikát X.509.

                                                                                                                                                  • Ak ste nikdy predtým nenahrali certifikát, nahrajte certifikát X.509, zadajte heslo a kliknite ďalej.
                                                                                                                                                  • Ak je váš certifikát v poriadku, kliknite ďalej.
                                                                                                                                                  • Ak platnosť vášho certifikátu vypršala alebo ho chcete nahradiť, vyberte Nie pre Pokračovať v používaní reťazca certifikátov HDS a súkromného kľúča z predchádzajúceho ISO?. Nahrajte nový certifikát X.509, zadajte heslo a kliknite ďalej.
                                                                                                                                                  11

                                                                                                                                                  Zadajte databázovú adresu a účet pre HDS, aby ste získali prístup k vášmu úložisku kľúčových údajov:

                                                                                                                                                  1. Vyberte si svoj Typ databázy (PostgreSQL alebo Microsoft SQL Server).

                                                                                                                                                    Ak si vyberiete Microsoft SQL Server, získate pole Typ overenia.

                                                                                                                                                  2. (Microsoft SQL Server iba) Vyberte si autentický typ:

                                                                                                                                                    • Základná autentifikácia: Potrebujete názov lokálneho účtu SQL Server v súbore Používateľské meno lúka.

                                                                                                                                                    • Overenie systému Windows: Potrebujete účet Windows vo formáte username@DOMAIN v Používateľské meno lúka.

                                                                                                                                                  3. Do formulára zadajte adresu databázového servera <hostname>:<port> alebo <IP-address>:<port>.

                                                                                                                                                    Príklad:
                                                                                                                                                    dbhost.example.org:1433 alebo 198.51.100.17:1433

                                                                                                                                                    Môžete použiť IP adresu na základnú autentifikáciu, ak uzly nemôžu použiť DNS na rozlíšenie názvu hostiteľa.

                                                                                                                                                    Ak používate overovanie systému Windows, musíte zadať úplný názov domény vo formáte dbhost.example.org:1433

                                                                                                                                                  4. Zadajte Názov databázy.

                                                                                                                                                  5. Zadajte Používateľské meno a heslo používateľa so všetkými oprávneniami na databázu úložiska kľúčov.

                                                                                                                                                  12

                                                                                                                                                  Vyberte a Režim pripojenia databázy TLS:

                                                                                                                                                  Režim

                                                                                                                                                  Opis

                                                                                                                                                  Preferujem TLS (predvolená možnosť)

                                                                                                                                                  HDS uzly nevyžadujú TLS na pripojenie k databázovému serveru. Ak povolíte TLS na databázovom serveri, uzly sa pokúsia o šifrované pripojenie.

                                                                                                                                                  Vyžadovať TLS

                                                                                                                                                  Uzly HDS sa pripájajú iba vtedy, ak databázový server dokáže dohodnúť TLS.

                                                                                                                                                  Vyžadovať TLS a overiť podpisovateľa certifikátu


                                                                                                                                                   

                                                                                                                                                  Tento režim nie je použiteľný pre databázy SQL Server.

                                                                                                                                                  • Uzly HDS sa pripájajú iba vtedy, ak databázový server dokáže dohodnúť TLS.

                                                                                                                                                  • Po nadviazaní pripojenia TLS uzol porovnáva podpisovateľa certifikátu z databázového servera s certifikačnou autoritou v Koreňový certifikát databázy. Ak sa nezhodujú, uzol zruší spojenie.

                                                                                                                                                  Použi Koreňový certifikát databázy ovládač pod rozbaľovacím zoznamom na nahranie koreňového certifikátu pre túto možnosť.

                                                                                                                                                  Vyžadovať TLS a overiť podpisovateľa certifikátu a názov hostiteľa

                                                                                                                                                  • Uzly HDS sa pripájajú iba vtedy, ak databázový server dokáže dohodnúť TLS.

                                                                                                                                                  • Po nadviazaní pripojenia TLS uzol porovnáva podpisovateľa certifikátu z databázového servera s certifikačnou autoritou v Koreňový certifikát databázy. Ak sa nezhodujú, uzol zruší spojenie.

                                                                                                                                                  • Uzly tiež overujú, či sa názov hostiteľa v certifikáte servera zhoduje s názvom hostiteľa v Hostiteľ databázy a port lúka. Názvy sa musia presne zhodovať, inak uzol zruší spojenie.

                                                                                                                                                  Použi Koreňový certifikát databázy ovládač pod rozbaľovacím zoznamom na nahranie koreňového certifikátu pre túto možnosť.

                                                                                                                                                  Keď nahráte koreňový certifikát (ak je to potrebné) a kliknite na ďalej, HDS Setup Tool otestuje TLS pripojenie k databázovému serveru. Nástroj tiež overuje podpisovateľa certifikátu a názov hostiteľa, ak je to potrebné. Ak test zlyhá, nástroj zobrazí chybové hlásenie popisujúce problém. Môžete si vybrať, či chcete chybu ignorovať a pokračovať v nastavovaní. (Vzhľadom na rozdiely v konektivite môžu byť uzly HDS schopné nadviazať pripojenie TLS, aj keď ho zariadenie HDS Setup Tool nedokáže úspešne otestovať.)

                                                                                                                                                  13

                                                                                                                                                  Na stránke Systémové denníky nakonfigurujte svoj server Syslogd:

                                                                                                                                                  1. Zadajte adresu URL servera syslog.

                                                                                                                                                    Ak server nie je schopný rozlíšiť DNS z uzlov pre váš klaster HDS, použite v adrese URL adresu IP.

                                                                                                                                                    Príklad:
                                                                                                                                                    udp://10.92.43.23:514 označuje prihlásenie do hostiteľa Syslogd 10.92.43.23 na porte UDP 514.
                                                                                                                                                  2. Ak ste nastavili svoj server na používanie šifrovania TLS, skontrolujte Je váš server syslog nakonfigurovaný na šifrovanie SSL?.

                                                                                                                                                    Ak začiarknete toto políčko, uistite sa, že ste zadali TCP URL, ako napr tcp://10.92.43.23:514.

                                                                                                                                                  3. Z Vyberte ukončenie záznamu syslog v rozbaľovacej ponuke vyberte vhodné nastavenie pre váš súbor ISO: Choose alebo Newline sa používa pre Graylog a Rsyslog TCP

                                                                                                                                                    • Null byte -- \x00

                                                                                                                                                    • Nový riadok -- \n—Vyberte túto voľbu pre Graylog a Rsyslog TCP.

                                                                                                                                                  4. Kliknite ďalej.

                                                                                                                                                  14

                                                                                                                                                  (Voliteľné) Môžete zmeniť predvolenú hodnotu pre niektoré parametre pripojenia k databáze v Pokročilé nastavenia. Vo všeobecnosti je tento parameter jediný, ktorý možno budete chcieť zmeniť:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Kliknite ďalej na Obnovte heslo servisných účtov obrazovke.

                                                                                                                                                  Heslá k servisným účtom majú životnosť deväť mesiacov. Túto obrazovku použite, keď sa blíži koniec platnosti vašich hesiel alebo ich chcete resetovať, aby ste zrušili platnosť predchádzajúcich súborov ISO.

                                                                                                                                                  16

                                                                                                                                                  Kliknite Stiahnite si súbor ISO. Uložte súbor na miesto, ktoré sa dá ľahko nájsť.

                                                                                                                                                  17

                                                                                                                                                  Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme.

                                                                                                                                                  Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii.

                                                                                                                                                  18

                                                                                                                                                  Ak chcete vypnúť nástroj Setup, zadajte CTRL+C.

                                                                                                                                                  Čo urobiť ďalej

                                                                                                                                                  Zálohujte konfiguračný súbor ISO. Potrebujete ho na vytvorenie ďalších uzlov na obnovu alebo na vykonanie zmien v konfigurácii. Ak stratíte všetky kópie súboru ISO, stratili ste aj hlavný kľúč. Obnovenie kľúčov z databázy PostgreSQL alebo Microsoft SQL Server nie je možné.


                                                                                                                                                   

                                                                                                                                                  Nikdy nemáme kópiu tohto kľúča a nemôžeme vám pomôcť, ak ho stratíte.

                                                                                                                                                  Nainštalujte HDS Host OVA

                                                                                                                                                  Tento postup použite na vytvorenie virtuálneho počítača zo súboru OVA.
                                                                                                                                                  1

                                                                                                                                                  Na prihlásenie do virtuálneho hostiteľa ESXi použite klienta VMware vSphere na vašom počítači.

                                                                                                                                                  2

                                                                                                                                                  Vyberte Súbor > Nasadiť šablónu OVF.

                                                                                                                                                  3

                                                                                                                                                  V sprievodcovi zadajte umiestnenie súboru OVA, ktorý ste si stiahli skôr, a potom kliknite Ďalšie .

                                                                                                                                                  4

                                                                                                                                                  Na Vyberte názov a priečinok stránku, zadajte a Názov virtuálneho počítača pre uzol (napríklad „HDS_Node_1"), vyberte umiestnenie, kde sa môže nachádzať nasadenie uzla virtuálneho počítača, a potom kliknite Ďalšie .

                                                                                                                                                  5

                                                                                                                                                  Na Vyberte výpočtový zdroj vyberte cieľový výpočtový zdroj a potom kliknite Ďalšie .

                                                                                                                                                  Prebehne overovacia kontrola. Po dokončení sa zobrazia podrobnosti šablóny.

                                                                                                                                                  6

                                                                                                                                                  Overte podrobnosti šablóny a potom kliknite Ďalšie.

                                                                                                                                                  7

                                                                                                                                                  Ak sa zobrazí výzva na výber konfigurácie prostriedkov na Konfigurácia stránku, kliknite 4 CPU a potom kliknite Ďalšie .

                                                                                                                                                  8

                                                                                                                                                  Na Vyberte úložisko stránku, kliknite Ďalšie akceptovať predvolený formát disku a politiku úložiska VM.

                                                                                                                                                  9

                                                                                                                                                  Na Vyberte siete vyberte sieťovú možnosť zo zoznamu položiek, aby ste poskytli požadované pripojenie k VM.

                                                                                                                                                  10

                                                                                                                                                  Na Prispôsobiť šablónu nakonfigurujte nasledujúce nastavenia siete:

                                                                                                                                                  • Meno hosťa— Zadajte FQDN (názov hostiteľa a doménu) alebo jednoslovný názov hostiteľa pre uzol.

                                                                                                                                                     
                                                                                                                                                    • Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509.

                                                                                                                                                    • Ak chcete zabezpečiť úspešnú registráciu do cloudu, použite iba malé písmená v FQDN alebo názve hostiteľa, ktorý ste nastavili pre uzol. Veľké písmená momentálne nie sú podporované.

                                                                                                                                                    • Celková dĺžka FQDN nesmie presiahnuť 64 znakov.

                                                                                                                                                  • IP adresa— Zadajte IP adresu interného rozhrania uzla.

                                                                                                                                                     

                                                                                                                                                    Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované.

                                                                                                                                                  • Maska— Zadajte adresu masky podsiete v desiatkovom formáte bodka. Napríklad, 255.255.255.0.
                                                                                                                                                  • Brána— Zadajte IP adresu brány. Brána je sieťový uzol, ktorý slúži ako prístupový bod do inej siete.
                                                                                                                                                  • DNS servery— Zadajte čiarkami oddelený zoznam serverov DNS, ktoré sa starajú o preklad názvov domén na číselné adresy IP. (Povolené sú až 4 záznamy DNS.)
                                                                                                                                                  • NTP servery—Zadajte server NTP vašej organizácie alebo iný externý server NTP, ktorý možno použiť vo vašej organizácii. Predvolené servery NTP nemusia fungovať pre všetky podniky. Na zadanie viacerých serverov NTP môžete použiť aj zoznam oddelený čiarkami.
                                                                                                                                                  • Nasaďte všetky uzly v rovnakej podsieti alebo VLAN, aby boli všetky uzly v klastri dosiahnuteľné z klientov vo vašej sieti na administratívne účely.

                                                                                                                                                  Ak chcete, môžete preskočiť konfiguráciu nastavenia siete a postupovať podľa krokov v Nastavte virtuálny počítač Hybrid Data Security na konfiguráciu nastavení z konzoly uzla.


                                                                                                                                                   

                                                                                                                                                  Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 6.5. Táto možnosť nemusí byť dostupná v starších verziách.

                                                                                                                                                  11

                                                                                                                                                  Kliknite pravým tlačidlom myši na uzol VM a potom vyberte Moc > Zapnutie .

                                                                                                                                                  Softvér Hybrid Data Security je nainštalovaný ako hosť na hostiteľovi VM. Teraz ste pripravení prihlásiť sa do konzoly a nakonfigurovať uzol.

                                                                                                                                                  Tipy na riešenie problémov

                                                                                                                                                  Môžete zaznamenať oneskorenie niekoľkých minút, kým sa kontajnery uzlov objavia. Počas prvého spustenia, počas ktorého sa nemôžete prihlásiť, sa na konzole zobrazí správa brány firewall mosta.

                                                                                                                                                  Nastavte virtuálny počítač Hybrid Data Security

                                                                                                                                                  Tento postup použite na prvé prihlásenie do konzoly VM uzla Hybrid Data Security a nastavenie prihlasovacích poverení. Konzolu môžete použiť aj na konfiguráciu sieťových nastavení pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.

                                                                                                                                                  1

                                                                                                                                                  V klientovi VMware vSphere vyberte svoj uzol Hybrid Data Security VM a vyberte Konzola tab.

                                                                                                                                                  VM sa spustí a zobrazí sa výzva na prihlásenie. Ak sa výzva na prihlásenie nezobrazí, stlačte Zadajte.
                                                                                                                                                  2

                                                                                                                                                  Na prihlásenie a zmenu poverení použite nasledujúce predvolené prihlasovacie meno a heslo:

                                                                                                                                                  1. Prihlásiť sa: admin

                                                                                                                                                  2. heslo: cisco

                                                                                                                                                  Keďže sa do svojho VM prihlasujete prvýkrát, musíte zmeniť heslo správcu.

                                                                                                                                                  3

                                                                                                                                                  Ak ste už nakonfigurovali nastavenia siete v Nainštalujte HDS Host OVA, preskočte zvyšok tohto postupu. V opačnom prípade vyberte v hlavnom menu položku Upraviť konfiguráciu možnosť.

                                                                                                                                                  4

                                                                                                                                                  Nastavte statickú konfiguráciu s IP adresou, maskou, bránou a informáciami DNS. Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované.

                                                                                                                                                  5

                                                                                                                                                  (Voliteľné) Zmeňte názov hostiteľa, doménu alebo server(y) NTP, ak je to potrebné, aby zodpovedali zásadám vašej siete.

                                                                                                                                                  Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509.

                                                                                                                                                  6

                                                                                                                                                  Uložte konfiguráciu siete a reštartujte VM, aby sa zmeny prejavili.

                                                                                                                                                  Nahrajte a pripojte ISO konfiguráciu HDS

                                                                                                                                                  Tento postup použite na konfiguráciu virtuálneho počítača zo súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool.

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  Pretože súbor ISO obsahuje hlavný kľúč, mal by byť zverejnený iba na základe „potreby vedieť“, aby k nemu mali prístup virtuálne počítače s hybridným zabezpečením údajov a všetci správcovia, ktorí môžu potrebovať vykonať zmeny. Uistite sa, že k úložisku údajov majú prístup iba títo správcovia.

                                                                                                                                                  1

                                                                                                                                                  Nahrajte súbor ISO z počítača:

                                                                                                                                                  1. V ľavom navigačnom paneli klienta VMware vSphere kliknite na server ESXi.

                                                                                                                                                  2. Na karte Konfigurácia v zozname Hardvér kliknite na Skladovanie.

                                                                                                                                                  3. V zozname Úložisko údajov kliknite pravým tlačidlom myši na úložisko údajov pre vaše VM a kliknite Prehľadávať Datastore.

                                                                                                                                                  4. Kliknite na ikonu Nahrať súbory a potom kliknite na Nahrajte súbor.

                                                                                                                                                  5. Prejdite do umiestnenia, z ktorého ste si stiahli súbor ISO do počítača, a kliknite OTVORENÉ.

                                                                                                                                                  6. Kliknite Áno akceptujte varovanie o operácii nahrávania/sťahovania a zatvorte dialógové okno úložiska údajov.

                                                                                                                                                  2

                                                                                                                                                  Pripojte súbor ISO:

                                                                                                                                                  1. V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na VM a kliknite Upraviť nastavenia.

                                                                                                                                                  2. Kliknite OK akceptujete varovanie s obmedzenými možnosťami úprav.

                                                                                                                                                  3. Kliknite CD/DVD Drive 1, vyberte možnosť pripojenia zo súboru ISO úložiska údajov a prejdite do umiestnenia, kam ste nahrali konfiguračný súbor ISO.

                                                                                                                                                  4. Skontrolujte Pripojené a Pripojte pri zapnutí.

                                                                                                                                                  5. Uložte zmeny a reštartujte virtuálny počítač.

                                                                                                                                                  Čo urobiť ďalej

                                                                                                                                                  Ak to vyžaduje vaša politika IT, môžete voliteľne odpojiť súbor ISO po tom, čo všetky vaše uzly prevezmú zmeny konfigurácie. Pozri (Voliteľné) Odpojte ISO po konfigurácii HDS pre podrobnosti.

                                                                                                                                                  Nakonfigurujte uzol HDS na integráciu proxy

                                                                                                                                                  Ak sieťové prostredie vyžaduje server proxy, použite tento postup na určenie typu servera proxy, s ktorým sa chcete integrovať Hybridná bezpečnosť dát. Ak si vyberiete transparentný kontrolný proxy server alebo explicitný proxy server HTTPS, môžete použiť rozhranie uzla na nahranie a inštaláciu koreňového certifikátu. Môžete tiež skontrolovať pripojenie proxy z rozhrania a vyriešiť prípadné problémy.

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  1

                                                                                                                                                  Zadajte adresu URL nastavenia uzla HDS https://[HDS Node IP or FQDN]/setup vo webovom prehliadači zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite Prihlásiť sa.

                                                                                                                                                  2

                                                                                                                                                  Ísť do Trust Store a proxya potom vyberte možnosť:

                                                                                                                                                  • Žiadny proxy– Predvolená možnosť pred integráciou servera proxy. Nevyžaduje sa žiadna aktualizácia certifikátu.
                                                                                                                                                  • Transparentný nekontrolujúci zástupca—Uzly nie sú nakonfigurované na používanie špecifickej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.
                                                                                                                                                  • Transparentný kontrolný zástupca—Uzly nie sú nakonfigurované na používanie špecifickej adresy proxy servera. Na serveri nie sú potrebné žiadne zmeny konfigurácie HTTPS Hybridná bezpečnosť dát nasadenie, uzly HDS však potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).
                                                                                                                                                  • Explicitný proxy—Pri explicitnom serveri proxy poviete klientovi (uzly HDS), ktorý server proxy má použiť, a táto možnosť podporuje niekoľko typov autentifikácie. Po výbere tejto možnosti musíte zadať nasledujúce informácie:
                                                                                                                                                    1. Proxy IP/FQDN– Adresa, ktorú možno použiť na spojenie so zariadením proxy.

                                                                                                                                                    2. Port proxy—Číslo portu, ktoré server proxy používa na počúvanie prevádzky cez proxy.

                                                                                                                                                    3. Proxy protokol— Vyberte si http (prezerá a kontroluje všetky požiadavky, ktoré sú prijaté od klienta) resp https (poskytuje kanál pre server a klient prijíma a overuje certifikát servera). Vyberte možnosť podľa toho, čo váš proxy server podporuje.

                                                                                                                                                    4. autentický typ— Vyberte si z nasledujúcich typov autentifikácie:

                                                                                                                                                      • žiadne— Nevyžaduje sa žiadna ďalšia autentifikácia.

                                                                                                                                                        Dostupné pre servery proxy HTTP alebo HTTPS.

                                                                                                                                                      • Základné— Používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.

                                                                                                                                                        Dostupné pre servery proxy HTTP alebo HTTPS.

                                                                                                                                                        Ak zvolíte túto možnosť, musíte zadať aj meno používateľa a heslo.

                                                                                                                                                      • Digest– Používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.

                                                                                                                                                        Dostupné iba pre servery proxy HTTPS.

                                                                                                                                                        Ak zvolíte túto možnosť, musíte zadať aj meno používateľa a heslo.

                                                                                                                                                  Postupujte podľa nasledujúcich krokov pre transparentný kontrolný proxy server, explicitný proxy server HTTP so základným overením alebo explicitný proxy HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Kliknite Nahrajte koreňový certifikát alebo certifikát koncovej entitya potom prejdite na výber koreňového certifikátu pre server proxy.

                                                                                                                                                  Certifikát je nahraný, ale ešte nie je nainštalovaný, pretože na inštaláciu certifikátu musíte reštartovať uzol. Kliknutím na šípku v tvare šípky vedľa názvu vydavateľa certifikátu získate ďalšie podrobnosti alebo kliknite Odstrániť ak ste urobili chybu a chcete súbor znova nahrať.

                                                                                                                                                  4

                                                                                                                                                  Kliknite Skontrolujte pripojenie proxy na testovanie sieťového pripojenia medzi uzlom a proxy.

                                                                                                                                                  Ak test pripojenia zlyhá, zobrazí sa chybové hlásenie, ktoré uvádza dôvod a spôsob, ako môžete problém vyriešiť.

                                                                                                                                                  Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS. Tento stav sa očakáva v mnohých explicitných konfiguráciách proxy. Môžete pokračovať v nastavovaní a uzol bude fungovať v režime zablokovaného externého rozlíšenia DNS. Ak si myslíte, že ide o chybu, vykonajte tieto kroky a potom uvidíte Vypnite režim zablokovaného externého rozlíšenia DNS.

                                                                                                                                                  5

                                                                                                                                                  Po úspešnom teste pripojenia zapnite prepínač v prípade explicitného servera proxy nastaveného iba na https Smerujte všetky požiadavky https z tohto uzla na port 443/444 cez explicitný proxy server. Toto nastavenie sa prejaví po 15 sekundách.

                                                                                                                                                  6

                                                                                                                                                  Kliknite Nainštalujte všetky certifikáty do dôveryhodného úložiska (zobrazí sa pri explicitnom HTTPS proxy alebo transparentnom kontrolnom proxy serveri) alebo Reštartovať (zobrazí sa pri explicitnom serveri proxy HTTP), prečítajte si výzvu a potom kliknite Inštalácia ak si pripravený.

                                                                                                                                                  Uzol sa reštartuje v priebehu niekoľkých minút.

                                                                                                                                                  7

                                                                                                                                                  Po reštartovaní uzla sa v prípade potreby znova prihláste a potom otvorte Prehľad stránku a skontrolujte kontroly pripojenia, aby ste sa uistili, že sú všetky v zelenom stave.

                                                                                                                                                  Kontrola pripojenia proxy testuje iba subdoménu webex.com. Ak sa vyskytnú problémy s pripojením, bežným problémom je, že niektoré z cloudových domén uvedených v pokynoch na inštaláciu sú na serveri proxy blokované.

                                                                                                                                                  Zaregistrujte prvý uzol v klastri

                                                                                                                                                  Táto úloha preberá všeobecný uzol, ktorý ste vytvorili v Nastavte virtuálny počítač Hybrid Data Security, zaregistruje uzol do cloudu Webex a zmení ho na uzol Hybrid Data Security.

                                                                                                                                                  Keď zaregistrujete svoj prvý uzol, vytvoríte klaster, ku ktorému je uzol priradený. Klaster obsahuje jeden alebo viac uzlov nasadených na zabezpečenie redundancie.

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  • Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.

                                                                                                                                                  • Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  V ponuke na ľavej strane obrazovky vyberte položku Služby.

                                                                                                                                                  3

                                                                                                                                                  V sekcii Hybridné služby nájdite Hybridné zabezpečenie dát a kliknite Nastaviť.

                                                                                                                                                  Zobrazí sa stránka Register Hybrid Data Security Node.
                                                                                                                                                  4

                                                                                                                                                  Vyberte Áno na označenie, že ste uzol nastavili a ste pripravení ho zaregistrovať, a potom kliknite Ďalšie.

                                                                                                                                                  5

                                                                                                                                                  Do prvého poľa zadajte názov klastra, ku ktorému chcete priradiť váš uzol Hybrid Data Security.

                                                                                                                                                  Odporúčame pomenovať klaster podľa toho, kde sa geograficky nachádzajú uzly klastra. Príklady: „San Francisco“ alebo „New York“ alebo „Dallas“

                                                                                                                                                  6

                                                                                                                                                  Do druhého poľa zadajte internú IP adresu alebo úplný názov domény (FQDN) vášho uzla a kliknite Ďalšie.

                                                                                                                                                  Táto adresa IP alebo FQDN by sa mala zhodovať s adresou IP alebo názvom hostiteľa a doménou, ktorú ste použili Nastavte virtuálny počítač Hybrid Data Security.

                                                                                                                                                  Zobrazí sa správa, že môžete zaregistrovať svoj uzol do Webexu.
                                                                                                                                                  7

                                                                                                                                                  Kliknite Prejdite na Node.

                                                                                                                                                  8

                                                                                                                                                  Kliknite ďalej vo varovnej správe.

                                                                                                                                                  Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že svojej organizácii Webex chcete udeliť povolenia na prístup k vášmu uzlu.
                                                                                                                                                  9

                                                                                                                                                  Skontrolovať Povoľte prístup k svojmu uzlu zabezpečenia hybridných údajov začiarknite políčko a potom kliknite na ďalej.

                                                                                                                                                  Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
                                                                                                                                                  10

                                                                                                                                                  Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Hybrid Data Security Control Hub.

                                                                                                                                                  Na Hybridná bezpečnosť dát sa zobrazí nový klaster obsahujúci uzol, ktorý ste zaregistrovali. Uzol si automaticky stiahne najnovší softvér z cloudu.

                                                                                                                                                  Vytvorte a zaregistrujte viac uzlov

                                                                                                                                                  Ak chcete do svojho klastra pridať ďalšie uzly, jednoducho vytvoríte ďalšie virtuálne počítače a pripojíte rovnaký konfiguračný súbor ISO a potom uzol zaregistrujete. Odporúčame, aby ste mali aspoň 3 uzly.

                                                                                                                                                   

                                                                                                                                                  V súčasnosti sú záložné virtuálne počítače, ktoré ste vytvorili Vyplňte Predpoklady pre hybridnú bezpečnosť údajov sú pohotovostní hostitelia, ktorí sa používajú iba v prípade obnovy po havárii; dovtedy nie sú registrovaní v systéme. Podrobnosti nájdete v časti Obnova po havárii pomocou pohotovostného dátového centra.

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  • Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.

                                                                                                                                                  • Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Vytvorte nový virtuálny počítač z OVA zopakovaním krokov Nainštalujte HDS Host OVA.

                                                                                                                                                  2

                                                                                                                                                  Nastavte počiatočnú konfiguráciu na novom VM zopakovaním krokov v Nastavte virtuálny počítač Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Na novom virtuálnom počítači zopakujte kroky v Nahrajte a pripojte ISO konfiguráciu HDS.

                                                                                                                                                  4

                                                                                                                                                  Ak nastavujete server proxy pre svoje nasadenie, zopakujte kroky v Nakonfigurujte uzol HDS na integráciu proxy podľa potreby pre nový uzol.

                                                                                                                                                  5

                                                                                                                                                  Zaregistrujte uzol.

                                                                                                                                                  1. In https://admin.webex.com, vyberte Služby z ponuky na ľavej strane obrazovky.

                                                                                                                                                  2. V časti Hybridné služby nájdite kartu Hybrid Data Security a kliknite na ňu Zdroje.

                                                                                                                                                    Zobrazí sa stránka Hybrid Data Security Resources.
                                                                                                                                                  3. Kliknite Pridať zdroj.

                                                                                                                                                  4. V prvom poli vyberte názov vášho existujúceho klastra.

                                                                                                                                                  5. Do druhého poľa zadajte internú IP adresu alebo úplný názov domény (FQDN) vášho uzla a kliknite Ďalšie.

                                                                                                                                                    Zobrazí sa správa oznamujúca, že svoj uzol môžete zaregistrovať do cloudu Webex.
                                                                                                                                                  6. Kliknite Prejdite na Node.

                                                                                                                                                    Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že chcete svojej organizácii udeliť povolenia na prístup k vášmu uzlu.
                                                                                                                                                  7. Skontrolovať Povoľte prístup k svojmu uzlu zabezpečenia hybridných údajov začiarknite políčko a potom kliknite na ďalej.

                                                                                                                                                    Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
                                                                                                                                                  8. Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Hybrid Data Security Control Hub.

                                                                                                                                                  Váš uzol je zaregistrovaný. Upozorňujeme, že kým nezačnete skúšobnú verziu, vaše uzly generujú alarm, ktorý oznamuje, že vaša služba ešte nie je aktivovaná.

                                                                                                                                                  Čo urobiť ďalej

                                                                                                                                                  Spustite skúšobnú verziu a prejdite do výroby (ďalšia kapitola)
                                                                                                                                                  Spustite skúšobnú verziu a prejdite do výroby

                                                                                                                                                  Skúšobný postup produkčných úloh

                                                                                                                                                  Po nastavení klastra Hybrid Data Security môžete spustiť pilotný test, pridať doň používateľov a začať ho používať na testovanie a overovanie vášho nasadenia v rámci prípravy na prechod do produkcie.

                                                                                                                                                  1

                                                                                                                                                  V prípade potreby synchronizujte HdsTrialGroup skupinový objekt.

                                                                                                                                                  Ak vaša organizácia používa synchronizáciu adresárov pre používateľov, musíte vybrať HdsTrialGroup skupinový objekt na synchronizáciu do cloudu pred spustením skúšobnej verzie. Pokyny nájdete na Sprievodca nasadením pre Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Aktivovať skúšobnú verziu

                                                                                                                                                  Začnite skúšobnú verziu. Kým nevykonáte túto úlohu, vaše uzly generujú alarm, ktorý oznamuje, že služba ešte nie je aktivovaná.

                                                                                                                                                  3

                                                                                                                                                  Otestujte svoje nasadenie hybridného zabezpečenia dát

                                                                                                                                                  Skontrolujte, či kľúčové požiadavky prechádzajú do vášho nasadenia Hybrid Data Security.

                                                                                                                                                  4

                                                                                                                                                  Monitorujte zdravie Hybrid Data Security Health

                                                                                                                                                  Skontrolujte stav a nastavte e-mailové upozornenia na budíky.

                                                                                                                                                  5

                                                                                                                                                  Pridajte alebo odstráňte používateľov z vašej skúšobnej verzie

                                                                                                                                                  6

                                                                                                                                                  Dokončite skúšobnú fázu jedným z nasledujúcich krokov:

                                                                                                                                                  Aktivovať skúšobnú verziu

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  Ak vaša organizácia používa synchronizáciu adresárov pre používateľov, musíte vybrať HdsTrialGroup skupinový objekt na synchronizáciu do cloudu predtým, ako začnete skúšobnú verziu pre vašu organizáciu. Pokyny nájdete na Sprievodca nasadením pre Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do https://admin.webex.coma potom vyberte Služby.

                                                                                                                                                  2

                                                                                                                                                  V časti Hybrid Data Security kliknite na nastavenie.

                                                                                                                                                  3

                                                                                                                                                  V časti Stav služby kliknite na Spustiť skúšku.

                                                                                                                                                  Stav služby sa zmení na skúšobný režim.
                                                                                                                                                  4

                                                                                                                                                  Kliknite Pridať používateľov a zadajte e-mailovú adresu jedného alebo viacerých používateľov na pilotné používanie vašich uzlov Hybrid Data Security na šifrovacie a indexovacie služby.

                                                                                                                                                  (Ak vaša organizácia používa synchronizáciu adresárov, na správu skúšobnej skupiny použite službu Active Directory, HdsTrialGroup.)

                                                                                                                                                  Otestujte svoje nasadenie hybridného zabezpečenia dát

                                                                                                                                                  Tento postup použite na testovanie scenárov šifrovania Hybrid Data Security.

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  • Nastavte nasadenie Hybrid Data Security.

                                                                                                                                                  • Aktivujte skúšobnú verziu a pridajte niekoľko používateľov skúšobnej verzie.

                                                                                                                                                  • Uistite sa, že máte prístup k syslog, aby ste si overili, že kľúčové požiadavky prechádzajú do vášho nasadenia Hybrid Data Security.

                                                                                                                                                  1

                                                                                                                                                  Kľúče pre daný priestor nastavuje tvorca priestoru. Prihláste sa do aplikácie Webex ako jeden z pilotných používateľov a potom vytvorte priestor a pozvite aspoň jedného pilotného používateľa a jedného nepilotného používateľa.


                                                                                                                                                   

                                                                                                                                                  Ak deaktivujete nasadenie Hybrid Data Security, obsah v priestoroch, ktoré vytvoria pilotní používatelia, už nebude prístupný po výmene kópií šifrovacích kľúčov uložených vo vyrovnávacej pamäti klienta.

                                                                                                                                                  2

                                                                                                                                                  Posielajte správy do nového priestoru.

                                                                                                                                                  3

                                                                                                                                                  Skontrolujte výstup syslog, aby ste si overili, že požiadavky na kľúče prechádzajú do vášho nasadenia Hybrid Data Security.

                                                                                                                                                  1. Ak chcete skontrolovať, či používateľ najprv vytvoril zabezpečený kanál pre KMS, filtrujte kms.data.method=create a kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Mali by ste nájsť záznam, ako je tento (identifikátory skrátené kvôli čitateľnosti):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Ak chcete skontrolovať používateľa, ktorý požaduje existujúci kľúč z KMS, filtrujte kms.data.method=retrieve a kms.data.type=KEY:

                                                                                                                                                    Mali by ste nájsť záznam ako:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Ak chcete skontrolovať používateľa požadujúceho vytvorenie nového kľúča KMS, filtrujte kms.data.method=create a kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Mali by ste nájsť záznam ako:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Ak chcete pri vytváraní priestoru alebo iného chráneného zdroja skontrolovať používateľa požadujúceho vytvorenie nového objektu KMS (KRO), filtrujte na kms.data.method=create a kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Mali by ste nájsť záznam ako:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Monitorujte zdravie Hybrid Data Security Health

                                                                                                                                                  Indikátor stavu v Control Hub vám ukáže, či je s nasadením Hybrid Data Security všetko v poriadku. Ak chcete dostávať proaktívnejšie upozornenia, prihláste sa na odber e-mailových upozornení. Budete upozornení, keď sa vyskytnú alarmy alebo aktualizácie softvéru ovplyvňujúce službu.
                                                                                                                                                  1

                                                                                                                                                  In Control Hub, vyberte Služby z ponuky na ľavej strane obrazovky.

                                                                                                                                                  2

                                                                                                                                                  V sekcii Hybridné služby nájdite Hybridné zabezpečenie dát a kliknite nastavenie.

                                                                                                                                                  Zobrazí sa stránka Hybrid Data Security Settings.
                                                                                                                                                  3

                                                                                                                                                  V časti E-mailové upozornenia zadajte jednu alebo viac e-mailových adries oddelených čiarkami a stlačte Zadajte.

                                                                                                                                                  Pridajte alebo odstráňte používateľov z vašej skúšobnej verzie

                                                                                                                                                  Po aktivácii skúšobnej verzie a pridaní počiatočnej skupiny používateľov skúšobnej verzie môžete členov skúšobnej verzie kedykoľvek pridať alebo odstrániť, kým je skúšobná verzia aktívna.

                                                                                                                                                  Ak odstránite používateľa zo skúšobnej verzie, klient tohto používateľa bude namiesto vášho KMS požadovať kľúče a vytvorenie kľúča z cloudového KMS. Ak klient potrebuje kľúč, ktorý je uložený vo vašom KMS, cloudový KMS ho načíta v mene používateľa.

                                                                                                                                                  Ak vaša organizácia používa synchronizáciu adresárov, použite Active Directory (namiesto tohto postupu) na správu skúšobnej skupiny, HdsTrialGroup; členov skupiny môžete zobraziť v Control Hub, ale nemôžete ich pridávať ani odstraňovať.

                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do Control Hub a potom vyberte Služby.

                                                                                                                                                  2

                                                                                                                                                  V časti Hybrid Data Security kliknite na nastavenie.

                                                                                                                                                  3

                                                                                                                                                  V časti Skúšobný režim v oblasti Stav služby kliknite na Pridať používateľov, alebo kliknite zobraziť a upraviť na odstránenie používateľov zo skúšobnej verzie.

                                                                                                                                                  4

                                                                                                                                                  Zadajte e-mailovú adresu jedného alebo viacerých používateľov, ktorých chcete pridať, alebo kliknite na X pomocou ID používateľa na odstránenie používateľa zo skúšobnej verzie. Potom kliknite Uložiť.

                                                                                                                                                  Presuňte sa zo skúšobnej do produkčnej verzie

                                                                                                                                                  Keď ste spokojní, že vaše nasadenie funguje dobre pre skúšobných používateľov, môžete prejsť do produkcie. Keď prejdete do produkcie, všetci používatelia v organizácii budú používať vašu lokálnu doménu Hybrid Data Security na šifrovacie kľúče a ďalšie služby v oblasti zabezpečenia. Z produkcie sa nemôžete vrátiť späť do skúšobného režimu, pokiaľ službu nedeaktivujete ako súčasť obnovy po havárii. Opätovná aktivácia služby vyžaduje nastavenie novej skúšobnej verzie.
                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do Control Hub a potom vyberte Služby.

                                                                                                                                                  2

                                                                                                                                                  V časti Hybrid Data Security kliknite na nastavenie.

                                                                                                                                                  3

                                                                                                                                                  V časti Stav služby kliknite na Presunúť do výroby.

                                                                                                                                                  4

                                                                                                                                                  Potvrďte, že chcete presunúť všetkých svojich používateľov do produkcie.

                                                                                                                                                  Ukončite skúšobnú verziu bez presunu do výroby

                                                                                                                                                  Ak sa počas skúšobného obdobia rozhodnete nepokračovať v nasadení Hybrid Data Security, môžete deaktivovať Hybrid Data Security, čím sa skúšobná verzia ukončí a skúšobní používatelia sa presunú späť ku cloudovým službám zabezpečenia údajov. Používatelia skúšobnej verzie stratia prístup k údajom, ktoré boli počas skúšobnej verzie zašifrované.
                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do Control Hub a potom vyberte Služby.

                                                                                                                                                  2

                                                                                                                                                  V časti Hybrid Data Security kliknite na nastavenie.

                                                                                                                                                  3

                                                                                                                                                  V časti Deaktivovať kliknite na Deaktivovať.

                                                                                                                                                  4

                                                                                                                                                  Potvrďte, že chcete službu deaktivovať a ukončiť skúšobnú verziu.

                                                                                                                                                  Spravujte svoje nasadenie HDS

                                                                                                                                                  Spravujte nasadenie HDS

                                                                                                                                                  Pomocou tu popísaných úloh spravujte svoje nasadenie Hybrid Data Security.

                                                                                                                                                  Nastavte plán aktualizácie klastra

                                                                                                                                                  Aktualizácie softvéru pre Hybrid Data Security sa vykonávajú automaticky na úrovni klastra, čo zaisťuje, že všetky uzly vždy bežia s rovnakou verziou softvéru. Inovácie sa vykonávajú podľa plánu aktualizácie pre klaster. Keď bude k dispozícii aktualizácia softvéru, máte možnosť manuálne aktualizovať klaster pred plánovaným časom aktualizácie. Môžete nastaviť konkrétny plán inovácie alebo použiť predvolený plán na 3:00 denne v USA: Amerika/Los Angeles. V prípade potreby môžete tiež odložiť nadchádzajúcu inováciu.

                                                                                                                                                  Ak chcete nastaviť plán aktualizácie:

                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Na stránke Prehľad v časti Hybridné služby vyberte Hybridná bezpečnosť dát.

                                                                                                                                                  3

                                                                                                                                                  Na stránke Hybrid Data Security Resources vyberte klaster.

                                                                                                                                                  4

                                                                                                                                                  Na paneli Prehľad vpravo v časti Nastavenia klastra vyberte názov klastra.

                                                                                                                                                  5

                                                                                                                                                  Na stránke Nastavenia v časti Aktualizácia vyberte čas a časové pásmo pre plán inovácie.

                                                                                                                                                  Poznámka: Pod časovým pásmom sa zobrazí dátum a čas ďalšej dostupnej aktualizácie. Kliknutím na tlačidlo môžete v prípade potreby odložiť aktualizáciu na nasledujúci deň Odložiť.

                                                                                                                                                  Zmeňte konfiguráciu uzla

                                                                                                                                                  Príležitostne možno budete musieť zmeniť konfiguráciu uzla Hybrid Data Security z nasledujúcich dôvodov:
                                                                                                                                                  • Zmena x.509 certifikátov z dôvodu uplynutia platnosti alebo iných dôvodov.


                                                                                                                                                     

                                                                                                                                                    Nepodporujeme zmenu názvu domény CN certifikátu. Doména sa musí zhodovať s pôvodnou doménou použitou na registráciu klastra.

                                                                                                                                                  • Aktualizácia nastavení databázy pre zmenu na repliku databázy PostgreSQL alebo Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Nepodporujeme migráciu údajov z PostgreSQL na Microsoft SQL Server alebo opačným spôsobom. Ak chcete zmeniť prostredie databázy, spustite nové nasadenie Hybrid Data Security.

                                                                                                                                                  • Vytvorenie novej konfigurácie na prípravu nového dátového centra.

                                                                                                                                                  Z bezpečnostných dôvodov používa Hybrid Data Security heslá servisných účtov, ktoré majú životnosť deväť mesiacov. Keď nástroj HDS Setup vygeneruje tieto heslá, nasadíte ich do každého z vašich uzlov HDS v konfiguračnom súbore ISO. Keď sa blíži koniec platnosti hesiel vašej organizácie, dostanete od tímu Webex upozornenie na resetovanie hesla pre váš počítačový účet. (E-mail obsahuje text „Na aktualizáciu hesla použite rozhranie API strojového účtu.“) Ak platnosť vašich hesiel ešte nevypršala, nástroj vám ponúka dve možnosti:

                                                                                                                                                  • Mäkký reset—Staré aj nové heslo fungujú až 10 dní. Toto obdobie použite na postupnú výmenu súboru ISO na uzloch.

                                                                                                                                                  • Tvrdý reštart—Staré heslá okamžite prestanú fungovať.

                                                                                                                                                  Ak platnosť vašich hesiel vyprší bez resetovania, ovplyvní to vašu službu HDS, čo si vyžaduje okamžitý tvrdý reset a nahradenie súboru ISO na všetkých uzloch.

                                                                                                                                                  Tento postup použite na vygenerovanie nového konfiguračného súboru ISO a jeho použitie vo vašom klastri.

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  • Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Control Hub s úplnými administrátorskými právami pre vašu organizáciu.

                                                                                                                                                    Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker zadajte nastavenia proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker 1.e. Táto tabuľka uvádza niektoré možné premenné prostredia:

                                                                                                                                                    Opis

                                                                                                                                                    Variabilné

                                                                                                                                                    HTTP Proxy bez autentifikácie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy bez autentifikácie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy s autentifikáciou

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy s autentifikáciou

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Na vygenerovanie novej konfigurácie potrebujete kópiu aktuálneho konfiguračného súboru ISO. ISO obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. ISO potrebujete, keď robíte zmeny v konfigurácii vrátane poverení databázy, aktualizácií certifikátov alebo zmien v politike autorizácie.

                                                                                                                                                  1

                                                                                                                                                  Pomocou Docker na lokálnom počítači spustite nástroj HDS Setup Tool.

                                                                                                                                                  1. Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

                                                                                                                                                    V bežných prostrediach:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    V prostrediach FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

                                                                                                                                                  2. Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Pri výzve na zadanie hesla zadajte tento hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Stiahnite si najnovší stabilný obraz pre vaše prostredie:

                                                                                                                                                    V bežných prostrediach:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    V prostrediach FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Uistite sa, že ste na tento postup použili najnovší nástroj Setup. Verzie nástroja vytvorené pred 22. februárom 2018 neobsahujú obrazovky na obnovenie hesla.

                                                                                                                                                  5. Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

                                                                                                                                                    • V bežných prostrediach bez servera proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • V bežných prostrediach s HTTP proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • V bežných prostrediach s HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • V prostrediach FedRAMP bez proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • V prostrediach FedRAMP s HTTP proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • V prostrediach FedRAMP s HTTPS proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“.

                                                                                                                                                  6. Použite prehliadač na pripojenie k localhost, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Inštalačný nástroj nepodporuje pripojenie k localhost prostredníctvom http://localhost:8080. Použite http://127.0.0.1:8080 na pripojenie k localhost.

                                                                                                                                                  7. Po zobrazení výzvy zadajte svoje prihlasovacie údaje zákazníka Control Hub a potom kliknite súhlasiť pokračovať.

                                                                                                                                                  8. Importujte aktuálny konfiguračný súbor ISO.

                                                                                                                                                  9. Postupujte podľa pokynov na dokončenie nástroja a stiahnite si aktualizovaný súbor.

                                                                                                                                                    Ak chcete vypnúť nástroj Setup, zadajte CTRL+C.

                                                                                                                                                  10. Vytvorte záložnú kópiu aktualizovaného súboru v inom údajovom centre.

                                                                                                                                                  2

                                                                                                                                                  Ak máte spustený iba jeden uzol HDS, vytvorte nový VM uzla Hybrid Data Security a zaregistrujte ho pomocou nového konfiguračného súboru ISO. Podrobnejšie pokyny nájdete v časti Vytvorte a zaregistrujte viac uzlov.

                                                                                                                                                  1. Nainštalujte hostiteľský OVA HDS.

                                                                                                                                                  2. Nastavte HDS VM.

                                                                                                                                                  3. Pripojte aktualizovaný konfiguračný súbor.

                                                                                                                                                  4. Zaregistrujte nový uzol v Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Pre existujúce uzly HDS, na ktorých je spustený starší konfiguračný súbor, pripojte súbor ISO. Postupne vykonajte nasledujúci postup na každom uzle, pričom aktualizujte každý uzol pred vypnutím ďalšieho uzla:

                                                                                                                                                  1. Vypnite virtuálny stroj.

                                                                                                                                                  2. V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na VM a kliknite Upraviť nastavenia.

                                                                                                                                                  3. Kliknite CD/DVD Drive 1, vyberte možnosť pripojenia zo súboru ISO a prejdite do umiestnenia, kam ste stiahli nový konfiguračný súbor ISO.

                                                                                                                                                  4. Skontrolujte Pripojte pri zapnutí.

                                                                                                                                                  5. Uložte zmeny a zapnite virtuálny počítač.

                                                                                                                                                  4

                                                                                                                                                  Opakujte krok 3, aby ste nahradili konfiguráciu na každom zostávajúcom uzle, na ktorom je spustená stará konfigurácia.

                                                                                                                                                  Vypnite režim zablokovaného externého rozlíšenia DNS

                                                                                                                                                  Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. Ak server DNS uzla nedokáže rozlíšiť verejné názvy DNS, uzol automaticky prejde do režimu zablokovaného externého rozlíšenia DNS.

                                                                                                                                                  Ak vaše uzly dokážu rozlíšiť verejné názvy DNS prostredníctvom interných serverov DNS, môžete tento režim vypnúť opätovným spustením testu pripojenia proxy na každom uzle.

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  Uistite sa, že vaše interné servery DNS dokážu rozlíšiť verejné názvy DNS a že vaše uzly s nimi môžu komunikovať.
                                                                                                                                                  1

                                                                                                                                                  Vo webovom prehliadači otvorte rozhranie uzla Hybrid Data Security (IP adresa/nastavenie, napr. https://192.0.2.0/setup), zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite Prihlásiť sa.

                                                                                                                                                  2

                                                                                                                                                  Ísť do Prehľad (predvolená stránka).

                                                                                                                                                  Keď je povolené, Zablokované externé rozlíšenie DNS je nastavený na Áno.

                                                                                                                                                  3

                                                                                                                                                  Choďte na Trust Store a proxy stránku.

                                                                                                                                                  4

                                                                                                                                                  Kliknite Skontrolujte pripojenie proxy.

                                                                                                                                                  Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS a zostane v tomto režime. V opačnom prípade po reštartovaní uzla a návrate do Prehľad na stránke Blocked External DNS Resolution by mala byť nastavená na no.

                                                                                                                                                  Čo urobiť ďalej

                                                                                                                                                  Zopakujte test pripojenia proxy na každom uzle v klastri Hybrid Data Security.

                                                                                                                                                  Odstráňte uzol

                                                                                                                                                  Tento postup použite na odstránenie uzla Hybrid Data Security z cloudu Webex. Po odstránení uzla z klastra odstráňte virtuálny počítač, aby ste zabránili ďalšiemu prístupu k vašim bezpečnostným údajom.
                                                                                                                                                  1

                                                                                                                                                  Pomocou klienta VMware vSphere vo svojom počítači sa prihláste do virtuálneho hostiteľa ESXi a vypnite virtuálny počítač.

                                                                                                                                                  2

                                                                                                                                                  Odstráňte uzol:

                                                                                                                                                  1. Prihláste sa do Control Hub a potom vyberte Služby.

                                                                                                                                                  2. Na karte Hybrid Data Security kliknite na Zobraziť všetko zobrazíte stránku Hybrid Data Security Resources.

                                                                                                                                                  3. Vyberte svoj klaster, aby sa zobrazil jeho panel Prehľad.

                                                                                                                                                  4. Kliknite Otvorte zoznam uzlov.

                                                                                                                                                  5. Na karte Uzly vyberte uzol, ktorý chcete odstrániť.

                                                                                                                                                  6. Kliknite Akcie > Zrušte registráciu uzla.

                                                                                                                                                  3

                                                                                                                                                  V klientovi vSphere odstráňte VM. (Na ľavom navigačnom paneli kliknite pravým tlačidlom myši na VM a kliknite na Odstrániť.)

                                                                                                                                                  Ak nevymažete VM, nezabudnite odpojiť konfiguračný súbor ISO. Bez súboru ISO nemôžete použiť VM na prístup k bezpečnostným údajom.

                                                                                                                                                  Obnova po havárii pomocou pohotovostného dátového centra

                                                                                                                                                  Najdôležitejšou službou, ktorú váš klaster Hybrid Data Security poskytuje, je vytváranie a ukladanie kľúčov používaných na šifrovanie správ a iného obsahu uloženého v cloude Webex. Pre každého používateľa v rámci organizácie, ktorý je priradený k Hybrid Data Security, sú do klastra smerované nové požiadavky na vytvorenie kľúča. Klaster je tiež zodpovedný za vrátenie kľúčov, ktoré vytvoril, všetkým používateľom oprávneným na ich získanie, napríklad členom konverzačného priestoru.

                                                                                                                                                  Pretože klaster vykonáva kritickú funkciu poskytovania týchto kľúčov, je nevyhnutné, aby klaster zostal spustený a aby boli udržiavané správne zálohy. Strata databázy Hybrid Data Security alebo konfigurácie ISO použitej pre schému bude mať za následok NENÁVRATNÚ STRATU zákazníckeho obsahu. Aby sa predišlo takejto strate, sú povinné nasledujúce postupy:

                                                                                                                                                  Ak havária spôsobí, že nasadenie HDS v primárnom dátovom centre sa stane nedostupným, podľa tohto postupu manuálne prepnite na pohotovostné dátové centrum.

                                                                                                                                                  1

                                                                                                                                                  Spustite nástroj HDS Setup a postupujte podľa krokov uvedených v Vytvorte ISO konfigurácie pre hostiteľov HDS.

                                                                                                                                                  2

                                                                                                                                                  Po nakonfigurovaní servera Syslogd kliknite na Pokročilé nastavenia

                                                                                                                                                  3

                                                                                                                                                  Na Pokročilé nastavenia pridajte konfiguráciu nižšie alebo odstráňte passiveMode konfiguráciu, aby bol uzol aktívny. Keď je toto nakonfigurované, uzol môže spracovať prevádzku.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť.

                                                                                                                                                  5

                                                                                                                                                  Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii.

                                                                                                                                                  6

                                                                                                                                                  V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na VM a kliknite Upraviť nastavenia..

                                                                                                                                                  7

                                                                                                                                                  Kliknite Upraviť nastavenia >CD/DVD mechanika 1 a vyberte Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Uisti sa Pripojené a Pripojte pri zapnutí sú skontrolované, aby sa aktualizované zmeny konfigurácie prejavili po spustení uzlov.

                                                                                                                                                  8

                                                                                                                                                  Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy.

                                                                                                                                                  9

                                                                                                                                                  Opakujte proces pre každý uzol v pohotovostnom dátovom centre.


                                                                                                                                                   

                                                                                                                                                  Skontrolujte výstup syslog a overte, či uzly pohotovostného dátového centra nie sú v pasívnom režime. V syslogoch by sa nemalo objaviť „KMS nakonfigurované v pasívnom režime“.

                                                                                                                                                  Čo urobiť ďalej

                                                                                                                                                  Ak sa po prepnutí pri zlyhaní opäť aktivuje primárne dátové centrum, uveďte pohotovostné dátové centrum opäť do pasívneho režimu podľa krokov popísaných v časti Nastavte pohotovostné dátové centrum pre obnovu po havárii.

                                                                                                                                                  (Voliteľné) Odpojte ISO po konfigurácii HDS

                                                                                                                                                  Štandardná konfigurácia HDS beží s namontovaným ISO. Niektorí zákazníci však uprednostňujú neponechať súbory ISO nepretržite pripojené. Súbor ISO môžete odpojiť potom, čo všetky uzly HDS prevezmú novú konfiguráciu.

                                                                                                                                                  Na vykonanie zmien v konfigurácii stále používate súbory ISO. Keď vytvoríte nový ISO alebo aktualizujete ISO pomocou nástroja Setup Tool, musíte aktualizovaný ISO pripojiť na všetky vaše uzly HDS. Keď všetky vaše uzly zachytia zmeny konfigurácie, môžete ISO znova odpojiť pomocou tohto postupu.

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  Inovujte všetky svoje uzly HDS na verziu 2021.01.22.4720 alebo novšiu.

                                                                                                                                                  1

                                                                                                                                                  Vypnite jeden z uzlov HDS.

                                                                                                                                                  2

                                                                                                                                                  V serverovom zariadení vCenter vyberte uzol HDS.

                                                                                                                                                  3

                                                                                                                                                  Vyberte si Upraviť nastavenia > CD/DVD mechanika a zrušte začiarknutie Súbor ISO úložiska údajov.

                                                                                                                                                  4

                                                                                                                                                  Zapnite uzol HDS a uistite sa, že aspoň 20 minút nie sú žiadne alarmy.

                                                                                                                                                  5

                                                                                                                                                  Postup opakujte pre každý uzol HDS.

                                                                                                                                                  Riešenie problémov so zabezpečením hybridných údajov

                                                                                                                                                  Zobraziť upozornenia a riešenie problémov

                                                                                                                                                  Nasadenie Hybrid Data Security sa považuje za nedostupné, ak sú všetky uzly v klastri nedostupné alebo klaster pracuje tak pomaly, že si vyžaduje časový limit. Ak používatelia nemôžu dosiahnuť váš klaster Hybrid Data Security, zaznamenajú nasledujúce príznaky:

                                                                                                                                                  • Nie je možné vytvoriť nové medzery (nemožno vytvoriť nové kľúče)

                                                                                                                                                  • Správy a názvy priestorov sa nepodarilo dešifrovať pre:

                                                                                                                                                    • Noví používatelia pridaní do priestoru (nemožno načítať kľúče)

                                                                                                                                                    • Existujúci používatelia v priestore používajúci nového klienta (nemožno načítať kľúče)

                                                                                                                                                  • Existujúci používatelia v priestore budú naďalej úspešne fungovať, pokiaľ budú mať ich klienti vyrovnávaciu pamäť šifrovacích kľúčov

                                                                                                                                                  Je dôležité, aby ste správne monitorovali svoj klaster Hybrid Data Security a okamžite riešili všetky výstrahy, aby ste predišli prerušeniu služby.

                                                                                                                                                  Upozornenia

                                                                                                                                                  Ak sa vyskytne problém s nastavením Hybrid Data Security, Control Hub zobrazí upozornenia správcovi organizácie a odošle e-maily na nakonfigurovanú e-mailovú adresu. Výstrahy pokrývajú mnoho bežných scenárov.

                                                                                                                                                  Stôl 1. Bežné problémy a kroky na ich vyriešenie

                                                                                                                                                  Upozornenie

                                                                                                                                                  Akcia

                                                                                                                                                  Zlyhanie prístupu k lokálnej databáze.

                                                                                                                                                  Skontrolujte chyby databázy alebo problémy s lokálnou sieťou.

                                                                                                                                                  Zlyhanie pripojenia k lokálnej databáze.

                                                                                                                                                  Skontrolujte, či je databázový server dostupný a či boli v konfigurácii uzla použité správne poverenia servisného účtu.

                                                                                                                                                  Zlyhanie prístupu k cloudovej službe.

                                                                                                                                                  Skontrolujte, či majú uzly prístup k serverom Webex, ako je uvedené v Požiadavky na externé pripojenie.

                                                                                                                                                  Obnovuje sa registrácia cloudovej služby.

                                                                                                                                                  Registrácia do cloudových služieb bola zrušená. Prebieha obnova registrácie.

                                                                                                                                                  Registrácia cloudovej služby bola zrušená.

                                                                                                                                                  Registrácia do cloudových služieb bola ukončená. Služba sa vypína.

                                                                                                                                                  Služba ešte nie je aktivovaná.

                                                                                                                                                  Aktivujte skúšobnú verziu alebo dokončite presun skúšky do produkcie.

                                                                                                                                                  Nakonfigurovaná doména sa nezhoduje s certifikátom servera.

                                                                                                                                                  Uistite sa, že váš certifikát servera sa zhoduje s nakonfigurovanou doménou aktivácie služby.

                                                                                                                                                  Najpravdepodobnejšou príčinou je, že certifikát CN bol nedávno zmenený a teraz sa líši od CN, ktorý bol použitý počas počiatočného nastavenia.

                                                                                                                                                  Nepodarilo sa overiť v cloudových službách.

                                                                                                                                                  Skontrolujte presnosť a možné vypršanie platnosti poverení servisného účtu.

                                                                                                                                                  Nepodarilo sa otvoriť súbor lokálneho úložiska kľúčov.

                                                                                                                                                  Skontrolujte integritu a presnosť hesla v lokálnom súbore skladu kľúčov.

                                                                                                                                                  Certifikát lokálneho servera je neplatný.

                                                                                                                                                  Skontrolujte dátum vypršania platnosti certifikátu servera a potvrďte, že bol vydaný dôveryhodnou certifikačnou autoritou.

                                                                                                                                                  Nie je možné uverejniť metriky.

                                                                                                                                                  Skontrolujte prístup k lokálnej sieti k externým cloudovým službám.

                                                                                                                                                  Adresár /media/configdrive/hds neexistuje.

                                                                                                                                                  Skontrolujte konfiguráciu pripojenia ISO na virtuálnom hostiteľovi. Overte, či súbor ISO existuje, či je nakonfigurovaný na pripojenie pri reštarte a či sa úspešne pripojí.

                                                                                                                                                  Riešenie problémov so zabezpečením hybridných údajov

                                                                                                                                                  Pri riešení problémov s Hybrid Data Security použite nasledujúce všeobecné pokyny.
                                                                                                                                                  1

                                                                                                                                                  Skontrolujte si v Control Hub všetky upozornenia a opravte všetky položky, ktoré tam nájdete.

                                                                                                                                                  2

                                                                                                                                                  Skontrolujte výstup servera syslog pre aktivitu z nasadenia Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Kontakt Podpora Cisco.

                                                                                                                                                  Ďalšie poznámky

                                                                                                                                                  Známe problémy s hybridnou bezpečnosťou dát

                                                                                                                                                  • Ak vypnete svoj klaster Hybrid Data Security (odstránením v Control Hub alebo vypnutím všetkých uzlov), stratíte svoj konfiguračný súbor ISO alebo stratíte prístup k databáze úložiska kľúčov, používatelia vašej aplikácie Webex App už nebudú môcť používať priestory pod svojimi ľuďmi. zoznam, ktorý bol vytvorený pomocou kľúčov z vášho KMS. Platí to pre skúšobné aj produkčné nasadenia. V súčasnosti nemáme riešenie ani opravu tohto problému a žiadame vás, aby ste nevypínali svoje služby HDS, keď budú spracovávať aktívne používateľské účty.

                                                                                                                                                  • Klient, ktorý má existujúce pripojenie ECDH ku KMS, udržiava toto pripojenie určitý čas (pravdepodobne jednu hodinu). Keď sa používateľ stane členom skúšobnej verzie Hybrid Data Security, klient používateľa naďalej používa existujúce pripojenie ECDH, kým nevyprší časový limit. Prípadne sa používateľ môže odhlásiť a znova prihlásiť do aplikácie Webex App, aby aktualizoval umiestnenie, ktoré aplikácia kontaktuje pre šifrovacie kľúče.

                                                                                                                                                    Rovnaké správanie nastane, keď presuniete skúšobnú verziu do produkcie organizácie. Všetci neskúšobní používatelia s existujúcimi pripojeniami ECDH k predchádzajúcim službám zabezpečenia údajov budú tieto služby naďalej používať, kým sa znovu nedohodne pripojenie ECDH (prostredníctvom časového limitu alebo odhlásením a opätovným prihlásením).

                                                                                                                                                  Na vygenerovanie súboru PKCS12 použite OpenSSL

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  • OpenSSL je jeden nástroj, ktorý možno použiť na vytvorenie súboru PKCS12 v správnom formáte na načítanie v nástroji HDS Setup Tool. Existujú aj iné spôsoby, ako to urobiť, a my nepodporujeme ani nepresadzujeme jeden spôsob oproti druhému.

                                                                                                                                                  • Ak sa rozhodnete použiť OpenSSL, poskytujeme tento postup ako návod, ktorý vám pomôže vytvoriť súbor, ktorý spĺňa požiadavky certifikátu X.509 v Požiadavky na certifikát X.509. Než budete pokračovať, pochopte tieto požiadavky.

                                                                                                                                                  • Nainštalujte OpenSSL v podporovanom prostredí. Pozri https://www.openssl.org pre softvér a dokumentáciu.

                                                                                                                                                  • Vytvorte súkromný kľúč.

                                                                                                                                                  • Tento postup začnite, keď dostanete certifikát servera od certifikačnej autority (CA).

                                                                                                                                                  1

                                                                                                                                                  Keď dostanete certifikát servera od vašej CA, uložte ho ako hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Zobrazte certifikát ako text a overte podrobnosti.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Pomocou textového editora vytvorte súbor zväzku certifikátov s názvom hdsnode-bundle.pem. Súbor balíka musí obsahovať certifikát servera, akékoľvek sprostredkujúce certifikáty CA a certifikáty koreňovej CA vo formáte nižšie:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Vytvorte súbor .p12 s popisným názvom kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Skontrolujte podrobnosti certifikátu servera.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Vo výzve zadajte heslo na zašifrovanie súkromného kľúča, aby bol uvedený vo výstupe. Potom skontrolujte, či súkromný kľúč a prvý certifikát obsahujú riadky friendlyName: kms-private-key.

                                                                                                                                                    Príklad:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Čo urobiť ďalej

                                                                                                                                                  Návrat do Vyplňte Predpoklady pre hybridnú bezpečnosť údajov. Budete používať hdsnode.p12 súbor a heslo, ktoré ste preň nastavili Vytvorte ISO konfigurácie pre hostiteľov HDS.


                                                                                                                                                   

                                                                                                                                                  Tieto súbory môžete znova použiť na vyžiadanie nového certifikátu, keď platnosť pôvodného certifikátu vyprší.

                                                                                                                                                  Prevádzka medzi uzlami HDS a cloudom

                                                                                                                                                  Odchádzajúca návštevnosť zberu metrík

                                                                                                                                                  Uzly Hybrid Data Security odosielajú určité metriky do cloudu Webex. Patria sem systémové metriky pre maximálnu haldu, využitú haldu, zaťaženie procesora a počet vlákien; metriky na synchrónnych a asynchrónnych vláknach; metriky výstrah zahŕňajúce prah šifrovacích pripojení, latenciu alebo dĺžku frontu požiadaviek; metriky na dátovom úložisku; a metriky šifrovaného pripojenia. Uzly posielajú zašifrovaný kľúčový materiál cez kanál mimo pásma (oddelený od požiadavky).

                                                                                                                                                  Prichádzajúca premávka

                                                                                                                                                  Uzly Hybrid Data Security prijímajú nasledujúce typy prichádzajúcej prevádzky z cloudu Webex:

                                                                                                                                                  • Šifrovacie požiadavky od klientov, ktoré sú smerované šifrovacou službou

                                                                                                                                                  • Aktualizácie softvéru uzla

                                                                                                                                                  Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát

                                                                                                                                                  Websocket sa nemôže pripojiť cez Squid Proxy

                                                                                                                                                  Proxy serverov chobotnice, ktoré kontrolujú prenos HTTPS, môžu zasahovať do vytvorenia webovej zásuvky ( wss:) pripojenia, ktoré vyžaduje Hybrid Data Security. Tieto časti poskytujú návod, ako nakonfigurovať rôzne verzie Squid na ignorovanie wss: prevádzky pre správne fungovanie služieb.

                                                                                                                                                  Kalmáre 4 a 5

                                                                                                                                                  Pridajte on_unsupported_protocol smernica k squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Kalmáre 3.5.27

                                                                                                                                                  Hybridnú bezpečnosť dát sme úspešne otestovali s nasledujúcimi pravidlami squid.conf. Tieto pravidlá sa môžu meniť, pretože vyvíjame funkcie a aktualizujeme cloud Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Predslov

                                                                                                                                                  Nové a zmenené informácie

                                                                                                                                                  Dátum

                                                                                                                                                  Vykonané zmeny

                                                                                                                                                  20. októbra 2023

                                                                                                                                                  7. augusta 2023

                                                                                                                                                  23. mája 2023

                                                                                                                                                  6. decembra 2022

                                                                                                                                                  23. novembra 2022

                                                                                                                                                  13. októbra 2021

                                                                                                                                                  Pred inštaláciou uzlov HDS musí Docker Desktop spustiť inštalačný program. Pozri Požiadavky na plochu Docker.

                                                                                                                                                  24. júna 2021

                                                                                                                                                  Upozorňujeme, že súbor so súkromným kľúčom a CSR môžete znova použiť na vyžiadanie ďalšieho certifikátu. Pozri Na vygenerovanie súboru PKCS12 použite OpenSSL pre podrobnosti.

                                                                                                                                                  30. apríla 2021

                                                                                                                                                  Požiadavka VM na lokálny pevný disk sa zmenila na 30 GB. Pozri Požiadavky na virtuálny hostiteľ pre podrobnosti.

                                                                                                                                                  24. februára 2021

                                                                                                                                                  HDS Setup Tool teraz môže bežať za serverom proxy. Pozri Vytvorte ISO konfigurácie pre hostiteľov HDS pre podrobnosti.

                                                                                                                                                  2. februára 2021

                                                                                                                                                  HDS teraz môže bežať bez pripojeného súboru ISO. Pozri (Voliteľné) Odpojte ISO po konfigurácii HDS pre podrobnosti.

                                                                                                                                                  11. januára 2021

                                                                                                                                                  Pridané informácie o nástroji HDS Setup a proxy serveroch Vytvorte ISO konfigurácie pre hostiteľov HDS.

                                                                                                                                                  13. októbra 2020

                                                                                                                                                  Aktualizované Stiahnite si inštalačné súbory.

                                                                                                                                                  8. októbra 2020

                                                                                                                                                  Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS a Zmeňte konfiguráciu uzla s príkazmi pre prostredia FedRAMP.

                                                                                                                                                  14. augusta 2020

                                                                                                                                                  Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS a Zmeňte konfiguráciu uzla so zmenami v procese prihlasovania.

                                                                                                                                                  5. augusta 2020

                                                                                                                                                  Aktualizované Otestujte svoje nasadenie hybridného zabezpečenia dát pre zmeny v protokolových správach.

                                                                                                                                                  Aktualizované Požiadavky na virtuálny hostiteľ na odstránenie maximálneho počtu hostiteľov.

                                                                                                                                                  16. júna 2020

                                                                                                                                                  Aktualizované Odstráňte uzol pre zmeny v používateľskom rozhraní Control Hub.

                                                                                                                                                  4. júna 2020

                                                                                                                                                  Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS pre zmeny v rozšírených nastaveniach, ktoré môžete nastaviť.

                                                                                                                                                  29. mája 2020

                                                                                                                                                  Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS ukázať, že TLS môžete použiť aj s databázami SQL Server, zmenami používateľského rozhrania a ďalšími vysvetleniami.

                                                                                                                                                  5. mája 2020

                                                                                                                                                  Aktualizované Požiadavky na virtuálny hostiteľ ukázať novú požiadavku ESXi 6.5.

                                                                                                                                                  21. apríla 2020

                                                                                                                                                  Aktualizované Požiadavky na externé pripojenie s novými hostiteľmi Americas CI.

                                                                                                                                                  1. apríla 2020

                                                                                                                                                  Aktualizované Požiadavky na externé pripojenie s informáciami o regionálnych hostiteľoch CI.

                                                                                                                                                  20. februára 2020Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS s informáciami o novej voliteľnej obrazovke rozšírených nastavení v nástroji HDS Setup Tool.
                                                                                                                                                  4. februára 2020Aktualizované Požiadavky na proxy server.
                                                                                                                                                  16. decembra 2019Objasnená požiadavka, aby fungoval režim zablokovaného externého rozlíšenia DNS Požiadavky na proxy server.
                                                                                                                                                  19. novembra 2019

                                                                                                                                                  Pridané informácie o režime zablokovaného externého rozlíšenia DNS v nasledujúcich častiach:

                                                                                                                                                  8. novembra 2019

                                                                                                                                                  Teraz môžete konfigurovať sieťové nastavenia pre uzol počas nasadzovania OVA a nie neskôr.

                                                                                                                                                  Podľa toho aktualizovali nasledujúce sekcie:


                                                                                                                                                   

                                                                                                                                                  Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 6.5. Táto možnosť nemusí byť dostupná v starších verziách.

                                                                                                                                                  6. septembra 2019

                                                                                                                                                  Pridaný SQL Server Standard do Požiadavky na databázový server.

                                                                                                                                                  29. augusta 2019Pridané Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát príloha s návodom na konfiguráciu proxy serverov Squid tak, aby ignorovali prevádzku websocket pre správnu činnosť.
                                                                                                                                                  20. augusta 2019

                                                                                                                                                  Pridané a aktualizované sekcie pokrývajúce podporu proxy pre komunikáciu uzlov Hybrid Data Security do cloudu Webex.

                                                                                                                                                  Ak chcete získať prístup len k obsahu podpory proxy pre existujúce nasadenie, pozrite si Podpora proxy pre hybridné zabezpečenie dát a Webex Video Mesh pomocný článok.

                                                                                                                                                  13. júna 2019Aktualizované Skúšobný postup produkčných úloh s pripomienkou na synchronizáciu HdsTrialGroup skupinový objekt pred spustením skúšobnej verzie, ak vaša organizácia používa synchronizáciu adresárov.
                                                                                                                                                  6. marca 2019
                                                                                                                                                  28. februára 2019
                                                                                                                                                  • Opravené množstvo miesta na lokálnom pevnom disku na server, ktoré by ste si mali vyčleniť pri príprave virtuálnych hostiteľov, ktorí sa stanú uzlami Hybrid Data Security, z 50 GB na 20 GB, aby odrážali veľkosť disku, ktorý vytvára OVA.

                                                                                                                                                  26. februára 2019
                                                                                                                                                  • Uzly Hybrid Data Security teraz podporujú šifrované pripojenia s databázovými servermi PostgreSQL a šifrované protokolované pripojenia k serveru syslog s podporou TLS. Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS s návodom.

                                                                                                                                                  • Odstránili sa cieľové adresy URL z tabuľky „Požiadavky na internetové pripojenie pre virtuálne počítače s uzlom na zabezpečenie hybridných údajov“. Tabuľka teraz odkazuje na zoznam udržiavaný v tabuľke „Ďalšie adresy URL pre hybridné služby Webex Teams“ Sieťové požiadavky pre Webex Teams Services.

                                                                                                                                                  24. januára 2019

                                                                                                                                                  • Hybrid Data Security teraz podporuje Microsoft SQL Server ako databázu. SQL Server Always On (Always On Failover Clusters a Always On Availability Groups) je podporovaný ovládačmi JDBC, ktoré sa používajú v Hybrid Data Security. Pridaný obsah súvisiaci s nasadením so serverom SQL Server.


                                                                                                                                                     

                                                                                                                                                    Podpora Microsoft SQL Server je určená len pre nové nasadenia Hybrid Data Security. Momentálne nepodporujeme migráciu údajov z PostgreSQL na Microsoft SQL Server v existujúcom nasadení.

                                                                                                                                                  5. novembra 2018
                                                                                                                                                  19. októbra 2018

                                                                                                                                                  31. júla 2018

                                                                                                                                                  21. mája 2018

                                                                                                                                                  Zmenená terminológia, aby odrážala rebranding Cisco Spark:

                                                                                                                                                  • Cisco Spark Hybrid Data Security je teraz Hybrid Data Security.

                                                                                                                                                  • Aplikácia Cisco Spark je teraz aplikáciou Webex App.

                                                                                                                                                  • Cisco Collaboraton Cloud je teraz cloud Webex.

                                                                                                                                                  11. apríla 2018
                                                                                                                                                  22. februára 2018
                                                                                                                                                  15. február 2018
                                                                                                                                                  • V Požiadavky na certifikát X.509 Tabuľka špecifikovala, že certifikát nemôže byť zástupný certifikát a že KMS používa doménu CN, nie akúkoľvek doménu, ktorá je definovaná v poliach x.509v3 SAN.

                                                                                                                                                  18. januára 2018

                                                                                                                                                  2. novembra 2017

                                                                                                                                                  • Vyjasnená synchronizácia adresárov skupiny HdsTrialGroup.

                                                                                                                                                  • Opravené pokyny na nahrávanie konfiguračného súboru ISO na pripojenie do uzlov VM.

                                                                                                                                                  18. augusta 2017

                                                                                                                                                  Prvýkrát zverejnené

                                                                                                                                                  Začnite s hybridným zabezpečením dát

                                                                                                                                                  Prehľad zabezpečenia hybridných údajov

                                                                                                                                                  Od prvého dňa bola bezpečnosť údajov prvoradá pri navrhovaní Aplikácia Webex. Základným kameňom tohto zabezpečenia je komplexné šifrovanie obsahu, ktoré umožňuje Aplikácia Webex klientov interagujúcich so službou správy kľúčov (KMS). KMS je zodpovedný za vytváranie a správu kryptografických kľúčov, ktoré klienti používajú na dynamické šifrovanie a dešifrovanie správ a súborov.

                                                                                                                                                  Štandardne všetky Aplikácia Webex zákazníci získajú end-to-end šifrovanie s dynamickými kľúčmi uloženými v cloudovom KMS v oblasti bezpečnosti Cisco. Hybrid Data Security presúva KMS a ďalšie funkcie súvisiace so zabezpečením do vášho podnikového dátového centra, takže kľúče k vášmu šifrovanému obsahu nemá nikto okrem vás.

                                                                                                                                                  Architektúra bezpečnostnej sféry

                                                                                                                                                  Cloudová architektúra Webex oddeľuje rôzne typy služieb do samostatných oblastí alebo dôveryhodných domén, ako je znázornené nižšie.

                                                                                                                                                  Realms of Separation (bez Hybrid Data Security)

                                                                                                                                                  Aby sme lepšie porozumeli Hybrid Data Security, pozrime sa najprv na tento čistý cloud, kde Cisco poskytuje všetky funkcie vo svojich cloudových sférach. Služba identity, jediné miesto, kde môžu používatelia priamo korelovať so svojimi osobnými údajmi, ako je e-mailová adresa, je logicky a fyzicky oddelená od oblasti zabezpečenia v dátovom centre B. Obe sú zase oddelené od oblasti, kde je v konečnom dôsledku uložený šifrovaný obsah. , v dátovom centre C.

                                                                                                                                                  V tomto diagrame je klientom aplikácia Webex, ktorá beží na notebooku používateľa a je overená službou identity. Keď používateľ vytvorí správu na odoslanie do priestoru, vykonajú sa tieto kroky:

                                                                                                                                                  1. Klient vytvorí zabezpečené spojenie so službou správy kľúčov (KMS), potom požiada o kľúč na zašifrovanie správy. Zabezpečené pripojenie používa ECDH a KMS šifruje kľúč pomocou hlavného kľúča AES-256.

                                                                                                                                                  2. Správa je pred opustením klienta zašifrovaná. Klient ho odošle do indexovacej služby, ktorá vytvorí šifrované indexy vyhľadávania na pomoc pri budúcom vyhľadávaní obsahu.

                                                                                                                                                  3. Zašifrovaná správa sa odošle do služby súladu na kontrolu súladu.

                                                                                                                                                  4. Zašifrovaná správa je uložená v úložnej sfére.

                                                                                                                                                  Keď nasadíte Hybrid Data Security, presuniete funkcie bezpečnostnej sféry (KMS, indexovanie a súlad) do vášho lokálneho dátového centra. Ostatné cloudové služby, ktoré tvoria Webex (vrátane ukladania identity a obsahu), zostávajú v sférach spoločnosti Cisco.

                                                                                                                                                  Spolupráca s inými organizáciami

                                                                                                                                                  Používatelia vo vašej organizácii môžu pravidelne používať aplikáciu Webex na spoluprácu s externými účastníkmi v iných organizáciách. Keď jeden z vašich používateľov požaduje kľúč pre priestor, ktorý vlastní vaša organizácia (pretože ho vytvoril jeden z vašich používateľov), váš KMS odošle kľúč klientovi cez zabezpečený kanál ECDH. Keď však kľúč priestoru vlastní iná organizácia, váš KMS nasmeruje požiadavku do cloudu Webex cez samostatný kanál ECDH, aby získal kľúč z príslušného KMS, a potom vráti kľúč vášmu používateľovi na pôvodnom kanáli.

                                                                                                                                                  Služba KMS spustená v organizácii A overuje pripojenia ku KMS v iných organizáciách pomocou x.509 PKI certifikátov. Pozri Pripravte si prostredie podrobnosti o generovaní x.509 certifikátu na použitie s nasadením Hybrid Data Security.

                                                                                                                                                  Očakávania týkajúce sa nasadenia hybridnej bezpečnosti údajov

                                                                                                                                                  Nasadenie Hybrid Data Security si vyžaduje značné nasadenie zákazníkov a uvedomenie si rizík, ktoré so sebou prináša vlastníctvo šifrovacích kľúčov.

                                                                                                                                                  Ak chcete nasadiť Hybrid Data Security, musíte poskytnúť:

                                                                                                                                                  Úplná strata buď konfiguračného ISO, ktoré ste vytvorili pre Hybrid Data Security, alebo databázy, ktorú poskytnete, bude mať za následok stratu kľúčov. Strata kľúča bráni používateľom dešifrovať obsah priestoru a ďalšie šifrované údaje v aplikácii Webex. Ak sa tak stane, môžete vytvoriť nové nasadenie, ale bude viditeľný iba nový obsah. Aby ste predišli strate prístupu k údajom, musíte:

                                                                                                                                                  • Spravujte zálohovanie a obnovu databázy a konfiguračného ISO.

                                                                                                                                                  • Buďte pripravení vykonať rýchlu obnovu po havárii, ak dôjde ku katastrofe, ako je zlyhanie databázového disku alebo katastrofa dátového centra.


                                                                                                                                                   

                                                                                                                                                  Neexistuje žiadny mechanizmus na presun kľúčov späť do cloudu po nasadení HDS.

                                                                                                                                                  Proces nastavenia na vysokej úrovni

                                                                                                                                                  Tento dokument pokrýva nastavenie a správu nasadenia Hybrid Data Security:

                                                                                                                                                  • Nastavte Hybridné zabezpečenie dát—To zahŕňa prípravu požadovanej infraštruktúry a inštaláciu softvéru Hybrid Data Security, testovanie vášho nasadenia s podskupinou používateľov v skúšobnom režime a po dokončení testovania prechod do produkcie. To prevedie celú organizáciu na používanie vášho klastra Hybrid Data Security na bezpečnostné funkcie.

                                                                                                                                                    Fázy nastavenia, skúšania a výroby sú podrobne opísané v nasledujúcich troch kapitolách.

                                                                                                                                                  • Udržujte svoje nasadenie Hybrid Data Security— Cloud Webex automaticky poskytuje priebežné aktualizácie. Vaše IT oddelenie môže poskytnúť podporu prvej úrovne pre toto nasadenie a podľa potreby zapojiť podporu Cisco. V Control Hub môžete používať upozornenia na obrazovke a nastaviť upozornenia prostredníctvom e-mailu.

                                                                                                                                                  • Pochopte bežné upozornenia, kroky na riešenie problémov a známe problémy—Ak narazíte na problémy s nasadením alebo používaním Hybrid Data Security, posledná kapitola tejto príručky a príloha Známe problémy vám môžu pomôcť určiť a vyriešiť problém.

                                                                                                                                                  Hybridný model nasadenia zabezpečenia dát

                                                                                                                                                  V rámci podnikového dátového centra nasadíte Hybrid Data Security ako jeden klaster uzlov na samostatných virtuálnych hostiteľoch. Uzly komunikujú s cloudom Webex prostredníctvom zabezpečených webových zásuviek a zabezpečeného HTTP.

                                                                                                                                                  Počas procesu inštalácie vám poskytneme súbor OVA na nastavenie virtuálneho zariadenia na VM, ktoré poskytnete. Nástroj HDS Setup Tool použijete na vytvorenie vlastného konfiguračného súboru ISO klastra, ktorý pripojíte na každý uzol. Klaster Hybrid Data Security využíva váš poskytnutý server Syslogd a databázu PostgreSQL alebo Microsoft SQL Server. (Syslogd a podrobnosti o pripojení k databáze nakonfigurujete v nástroji HDS Setup Tool.)

                                                                                                                                                  Hybridný model nasadenia zabezpečenia dát

                                                                                                                                                  Minimálny počet uzlov, ktoré môžete mať v klastri, sú dva. Odporúčame aspoň tri a môžete ich mať až päť. Viacnásobné uzly zaisťujú, že služba nebude prerušená počas aktualizácie softvéru alebo inej činnosti údržby na uzle. (Cloud Webex aktualizuje naraz iba jeden uzol.)

                                                                                                                                                  Všetky uzly v klastri pristupujú k rovnakému úložisku údajov kľúčov a zaznamenávajú aktivitu na rovnaký server syslog. Samotné uzly sú bez stavu a spracovávajú kľúčové požiadavky v režime round-robin podľa pokynov cloudu.

                                                                                                                                                  Uzly sa stanú aktívnymi, keď ich zaregistrujete v Control Hub. Ak chcete vyradiť jednotlivý uzol z prevádzky, môžete ho zrušiť a neskôr v prípade potreby znova zaregistrovať.

                                                                                                                                                  Podporujeme iba jeden klaster na organizáciu.

                                                                                                                                                  Skúšobný režim hybridnej bezpečnosti dát

                                                                                                                                                  Po nastavení nasadenia Hybrid Data Security ho najskôr vyskúšate so skupinou pilotných používateľov. Počas skúšobného obdobia títo používatelia používajú vašu lokálnu doménu Hybrid Data Security na šifrovacie kľúče a ďalšie služby v oblasti zabezpečenia. Ostatní vaši používatelia naďalej používajú oblasť zabezpečenia cloudu.

                                                                                                                                                  Ak sa rozhodnete nepokračovať v nasadzovaní počas skúšobného obdobia a službu deaktivujete, pilotní používatelia a všetci používatelia, s ktorými počas skúšobného obdobia interagovali vytvorením nových priestorov, stratia prístup k správam a obsahu. V aplikácii Webex sa im zobrazí „Táto správa sa nedá dešifrovať“.

                                                                                                                                                  Ak ste spokojní s tým, že vaše nasadenie funguje dobre pre skúšobných používateľov a ste pripravení rozšíriť Hybrid Data Security na všetkých svojich používateľov, presuniete nasadenie do produkcie. Pilotní používatelia majú naďalej prístup ku kľúčom, ktoré sa používali počas skúšobnej verzie. Nemôžete sa však pohybovať tam a späť medzi produkčným režimom a pôvodnou skúšobnou verziou. Ak musíte službu deaktivovať, napríklad vykonať obnovu po havárii, pri opätovnej aktivácii musíte spustiť novú skúšobnú verziu a nastaviť skupinu pilotných používateľov pre novú skúšobnú verziu, než sa vrátite späť do produkčného režimu. Či si používatelia v tomto bode zachovajú prístup k údajom, závisí od toho, či ste úspešne udržiavali zálohy úložiska kľúčových údajov a konfiguračného súboru ISO pre uzly Hybrid Data Security vo vašom klastri.

                                                                                                                                                  Pohotovostné dátové centrum pre obnovu po havárii

                                                                                                                                                  Počas nasadenia nastavíte zabezpečené pohotovostné dátové centrum. V prípade havárie dátového centra môžete manuálne zlyhať nasadenie do pohotovostného dátového centra.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Manuálne prepnutie do pohotovostného dátového centra

                                                                                                                                                  Databázy aktívnych a pohotovostných dátových centier sú navzájom synchronizované, čo minimalizuje čas potrebný na vykonanie núdzového prepnutia. Súbor ISO pohotovostného dátového centra sa aktualizuje o ďalšie konfigurácie, ktoré zaisťujú, že uzly sú registrované v organizácii, ale nebudú spracovávať prevádzku. Preto uzly pohotovostného dátového centra zostávajú vždy aktuálne s najnovšou verziou softvéru HDS.


                                                                                                                                                   

                                                                                                                                                  Aktívne uzly Hybrid Data Security musia byť vždy v rovnakom údajovom centre ako aktívny databázový server.

                                                                                                                                                  Nastavte pohotovostné dátové centrum pre obnovu po havárii

                                                                                                                                                  Ak chcete nakonfigurovať súbor ISO pohotovostného dátového centra, postupujte podľa nasledujúcich krokov:

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  • Pohotovostné dátové centrum by malo odrážať produkčné prostredie VM a záložnú databázu PostgreSQL alebo Microsoft SQL Server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM. (Pozri Pohotovostné dátové centrum pre obnovu po havárii pre prehľad tohto modelu núdzového prepnutia.)

                                                                                                                                                  • Uistite sa, že je povolená synchronizácia databázy medzi databázou aktívnych a pasívnych uzlov klastra.

                                                                                                                                                  1

                                                                                                                                                  Spustite nástroj HDS Setup a postupujte podľa krokov uvedených v Vytvorte ISO konfigurácie pre hostiteľov HDS.


                                                                                                                                                   

                                                                                                                                                  Súbor ISO musí byť kópiou pôvodného súboru ISO primárneho dátového centra, v ktorom sa majú vykonať nasledujúce aktualizácie konfigurácie.

                                                                                                                                                  2

                                                                                                                                                  Po nakonfigurovaní servera Syslogd kliknite na Pokročilé nastavenia

                                                                                                                                                  3

                                                                                                                                                  Na Pokročilé nastavenia pridajte konfiguráciu nižšie, aby ste umiestnili uzol do pasívneho režimu. V tomto režime bude uzol zaregistrovaný v organizácii a pripojený ku cloudu, ale nebude spracovávať žiadny prenos.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť.

                                                                                                                                                  5

                                                                                                                                                  Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii.

                                                                                                                                                  6

                                                                                                                                                  V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na VM a kliknite Upraviť nastavenia..

                                                                                                                                                  7

                                                                                                                                                  Kliknite Upraviť nastavenia >CD/DVD mechanika 1 a vyberte Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Uisti sa Pripojené a Pripojte pri zapnutí sú skontrolované, aby sa aktualizované zmeny konfigurácie prejavili po spustení uzlov.

                                                                                                                                                  8

                                                                                                                                                  Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy.

                                                                                                                                                  9

                                                                                                                                                  Opakujte proces pre každý uzol v pohotovostnom dátovom centre.


                                                                                                                                                   

                                                                                                                                                  Skontrolujte syslogy a overte, či sú uzly v pasívnom režime. V syslogoch by ste mali vidieť správu „KMS nakonfigurovaná v pasívnom režime“.

                                                                                                                                                  Čo urobiť ďalej

                                                                                                                                                  Po konfigurácii passiveMode v súbore ISO a jeho uložením môžete vytvoriť ďalšiu kópiu súboru ISO bez súboru passiveMode konfiguráciu a uložte ju na bezpečnom mieste. Táto kópia súboru ISO bez passiveMode nakonfigurovaný môže pomôcť pri rýchlom procese núdzového prepnutia počas obnovy po havárii. Pozri Obnova po havárii pomocou pohotovostného dátového centra pre podrobný postup núdzového prepnutia.

                                                                                                                                                  Podpora proxy

                                                                                                                                                  Hybrid Data Security podporuje explicitné, transparentné kontrolné a nekontrolujúce proxy. Tieto servery proxy môžete prepojiť s nasadením, aby ste mohli zabezpečiť a monitorovať prevádzku z podniku do cloudu. Rozhranie správcu platformy na uzloch môžete použiť na správu certifikátov a na kontrolu celkového stavu pripojenia po nastavení servera proxy na uzloch.

                                                                                                                                                  Uzly Hybrid Data Security podporujú nasledujúce možnosti proxy:

                                                                                                                                                  • Žiadny proxy—Predvolené, ak na integráciu servera proxy nepoužívate nastavenie uzla HDS Trust Store & Proxy. Nevyžaduje sa žiadna aktualizácia certifikátu.

                                                                                                                                                  • Transparentný nekontrolujúci splnomocnenec– Uzly nie sú nakonfigurované na používanie špecifickej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.

                                                                                                                                                  • Transparentné tunelovanie alebo kontrola proxy– Uzly nie sú nakonfigurované na používanie špecifickej adresy servera proxy. Na uzloch nie sú potrebné žiadne zmeny konfigurácie HTTP alebo HTTPS. Uzly však potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).

                                                                                                                                                  • Explicitný proxy—S explicitným proxy, poviete HDS uzlom, ktorý proxy server a overovaciu schému použiť. Ak chcete nakonfigurovať explicitný server proxy, musíte do každého uzla zadať nasledujúce informácie:

                                                                                                                                                    1. Proxy IP/FQDN– Adresa, ktorú možno použiť na spojenie so zariadením proxy.

                                                                                                                                                    2. Port proxy—Číslo portu, ktoré server proxy používa na počúvanie prevádzky cez proxy.

                                                                                                                                                    3. Proxy protokol—V závislosti od toho, čo váš proxy server podporuje, vyberte si z nasledujúcich protokolov:

                                                                                                                                                      • HTTP – zobrazuje a riadi všetky požiadavky, ktoré klient odosiela.

                                                                                                                                                      • HTTPS – poskytuje kanál pre server. Klient prijme a overí certifikát servera.

                                                                                                                                                    4. autentický typ— Vyberte si z nasledujúcich typov autentifikácie:

                                                                                                                                                      • žiadne— Nevyžaduje sa žiadna ďalšia autentifikácia.

                                                                                                                                                        Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.

                                                                                                                                                      • Základné— Používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.

                                                                                                                                                        Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.

                                                                                                                                                        Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.

                                                                                                                                                      • Digest– Používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.

                                                                                                                                                        Dostupné, iba ak vyberiete HTTPS ako protokol proxy.

                                                                                                                                                        Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.

                                                                                                                                                  Príklad uzlov na zabezpečenie hybridných dát a proxy

                                                                                                                                                  Tento diagram ukazuje príklad spojenia medzi Hybrid Data Security, sieťou a proxy. Pre možnosti transparentnej kontroly a explicitnej kontroly HTTPS proxy musí byť na serveri proxy aj na uzloch Hybrid Data Security nainštalovaný rovnaký koreňový certifikát.

                                                                                                                                                  Blokovaný režim externého rozlíšenia DNS (explicitné konfigurácie proxy)

                                                                                                                                                  Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. V nasadeniach s explicitnými konfiguráciami proxy, ktoré neumožňujú externé rozlíšenie DNS pre interných klientov, ak uzol nemôže dotazovať servery DNS, automaticky prejde do režimu blokovaného externého riešenia DNS. V tomto režime môže pokračovať registrácia uzla a ďalšie testy pripojenia proxy.

                                                                                                                                                  Pripravte si prostredie

                                                                                                                                                  Požiadavky na hybridnú bezpečnosť dát

                                                                                                                                                  Požiadavky na licenciu Cisco Webex

                                                                                                                                                  Nasadenie Hybrid Data Security:

                                                                                                                                                  Požiadavky na plochu Docker

                                                                                                                                                  Pred inštaláciou uzlov HDS potrebujete Docker Desktop na spustenie inštalačného programu. Docker nedávno aktualizoval svoj licenčný model. Vaša organizácia môže vyžadovať platené predplatné pre Docker Desktop. Podrobnosti nájdete v blogovom príspevku Docker, " Docker aktualizuje a rozširuje naše predplatné produktov".

                                                                                                                                                  Požiadavky na certifikát X.509

                                                                                                                                                  Certifikačný reťazec musí spĺňať nasledujúce požiadavky:

                                                                                                                                                  Tabuľka č. 1 Požiadavky certifikátu X.509 pre nasadenie hybridného zabezpečenia dát

                                                                                                                                                  Požiadavka

                                                                                                                                                  Podrobnosti

                                                                                                                                                  • Podpísané dôveryhodnou certifikačnou autoritou (CA)

                                                                                                                                                  V predvolenom nastavení dôverujeme CA v zozname Mozilly (s výnimkou WoSign a StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Nesie názov domény Common Name (CN), ktorý identifikuje vaše nasadenie Hybrid Data Security

                                                                                                                                                  • Nie je to zástupný certifikát

                                                                                                                                                  CN nemusí byť dosiahnuteľné alebo živého hostiteľa. Odporúčame vám použiť názov, ktorý odráža vašu organizáciu, napr. hds.company.com.

                                                                                                                                                  KN nesmie obsahovať * (zástupný znak).

                                                                                                                                                  CN sa používa na overenie uzlov Hybrid Data Security pre klientov Webex App. Všetky uzly Hybrid Data Security vo vašom klastri používajú rovnaký certifikát. Váš KMS sa identifikuje pomocou domény CN, nie akejkoľvek domény, ktorá je definovaná v poliach x.509v3 SAN.

                                                                                                                                                  Po zaregistrovaní uzla s týmto certifikátom nepodporujeme zmenu názvu domény CN. Vyberte doménu, ktorá sa môže vzťahovať na skúšobné aj produkčné nasadenie.

                                                                                                                                                  • Podpis iný ako SHA1

                                                                                                                                                  Softvér KMS nepodporuje podpisy SHA1 na overenie pripojení k KMS iných organizácií.

                                                                                                                                                  • Naformátovaný ako súbor PKCS #12 chránený heslom

                                                                                                                                                  • Použite priateľský názov kms-private-key na označenie certifikátu, súkromného kľúča a akýchkoľvek sprostredkujúcich certifikátov na odovzdanie.

                                                                                                                                                  Na zmenu formátu certifikátu môžete použiť konvertor, ako je OpenSSL.

                                                                                                                                                  Pri spustení nástroja HDS Setup Tool budete musieť zadať heslo.

                                                                                                                                                  Softvér KMS nevynucuje používanie kľúčov ani rozšírené obmedzenia používania kľúčov. Niektoré certifikačné autority vyžadujú, aby sa na každý certifikát aplikovali rozšírené obmedzenia používania kľúčov, ako je autentifikácia servera. Je v poriadku použiť overenie servera alebo iné nastavenia.

                                                                                                                                                  Požiadavky na virtuálny hostiteľ

                                                                                                                                                  Virtuálni hostitelia, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri, majú nasledujúce požiadavky:

                                                                                                                                                  • Aspoň dvaja oddelení hostitelia (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre

                                                                                                                                                  • VMware ESXi 6.5 (alebo novší) nainštalovaný a spustený.


                                                                                                                                                     

                                                                                                                                                    Ak máte staršiu verziu ESXi, musíte vykonať inováciu.

                                                                                                                                                  • Minimálne 4 vCPU, 8 GB hlavnej pamäte, 30 GB miesta na lokálnom pevnom disku na server

                                                                                                                                                  Požiadavky na databázový server


                                                                                                                                                   

                                                                                                                                                  Vytvorte novú databázu pre uloženie kľúčov. Nepoužívajte predvolenú databázu. Aplikácie HDS, keď sú nainštalované, vytvoria schému databázy.

                                                                                                                                                  Pre databázový server sú dve možnosti. Požiadavky na každú z nich sú nasledovné:

                                                                                                                                                  Tabuľka 2 Požiadavky na databázový server podľa typu databázy

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 alebo 16, nainštalovaný a spustený.

                                                                                                                                                  • SQL Server 2016, 2017 alebo 2019 (Enterprise alebo Standard) nainštalovaný.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 vyžaduje Service Pack 2 a Kumulatívna aktualizácia 2 alebo novšia.

                                                                                                                                                  Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložný priestor)

                                                                                                                                                  Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložný priestor)

                                                                                                                                                  Softvér HDS momentálne inštaluje nasledujúce verzie ovládačov na komunikáciu s databázovým serverom:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC ovládač 42.2.5

                                                                                                                                                  Ovládač SQL Server JDBC 4.6

                                                                                                                                                  Táto verzia ovládača podporuje SQL Server Always On ( Vždy v prípade zlyhania klastra a Vždy zapnuté skupiny dostupnosti).

                                                                                                                                                  Dodatočné požiadavky na overenie systému Windows voči Microsoft SQL Server

                                                                                                                                                  Ak chcete, aby uzly HDS používali autentifikáciu systému Windows na získanie prístupu k vašej databáze úložiska kľúčov na serveri Microsoft SQL Server, potrebujete vo svojom prostredí nasledujúcu konfiguráciu:

                                                                                                                                                  • HDS uzly, infraštruktúra Active Directory a MS SQL Server musia byť synchronizované s NTP.

                                                                                                                                                  • Účet Windows, ktorý poskytnete uzlom HDS, musí mať prístup k databáze na čítanie/zápis.

                                                                                                                                                  • Servery DNS, ktoré poskytujete uzlom HDS, musia byť schopné vyriešiť vaše Centrum distribúcie kľúčov (KDC).

                                                                                                                                                  • Inštanciu databázy HDS môžete zaregistrovať na svojom serveri Microsoft SQL Server ako hlavný názov služby (SPN) vo vašom adresári Active Directory. Pozri Zaregistrujte hlavný názov služby pre pripojenia Kerberos.

                                                                                                                                                    Nástroj na nastavenie HDS, spúšťač HDS a miestne KMS musia na prístup k databáze kľúčov používať overenie systému Windows. Používajú podrobnosti z vašej konfigurácie ISO na vytvorenie SPN pri požadovaní prístupu s overením Kerberos.

                                                                                                                                                  Požiadavky na externé pripojenie

                                                                                                                                                  Nakonfigurujte svoj firewall tak, aby umožňoval nasledujúce pripojenie pre aplikácie HDS:

                                                                                                                                                  Aplikácia

                                                                                                                                                  Protokol

                                                                                                                                                  Port

                                                                                                                                                  Smer z App

                                                                                                                                                  Destinácia

                                                                                                                                                  Hybridné uzly zabezpečenia údajov

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odchádzajúce HTTPS a WSS

                                                                                                                                                  • Webex servery:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Všetci hostitelia Common Identity

                                                                                                                                                  • Ďalšie adresy URL, ktoré sú uvedené pre Hybrid Data Security v Ďalšie adresy URL pre hybridné služby Webex tabuľka Sieťové požiadavky pre služby Webex

                                                                                                                                                  Nástroj na nastavenie HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odchádzajúce HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Všetci hostitelia Common Identity

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Uzly Hybrid Data Security pracujú s prekladom sieťového prístupu (NAT) alebo za bránou firewall, pokiaľ NAT alebo brána firewall umožňuje požadované odchádzajúce pripojenia k destináciám domény v predchádzajúcej tabuľke. Pre pripojenia prichádzajúce do uzlov Hybrid Data Security by nemali byť z internetu viditeľné žiadne porty. V rámci vášho dátového centra potrebujú klienti prístup k uzlom Hybrid Data Security na portoch TCP 443 a 22 na administratívne účely.

                                                                                                                                                  Adresy URL hostiteľov Common Identity (CI) sú špecifické pre daný región. Toto sú súčasní hostitelia CI:

                                                                                                                                                  región

                                                                                                                                                  Spoločné adresy URL hostiteľa identity

                                                                                                                                                  Ameriky

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Európska únia

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Požiadavky na proxy server

                                                                                                                                                  • Oficiálne podporujeme nasledujúce proxy riešenia, ktoré sa dajú integrovať s vašimi uzlami Hybrid Data Security.

                                                                                                                                                    • Transparentný proxy – Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Explicitný proxy-Squid.


                                                                                                                                                       

                                                                                                                                                      Proxy serverov chobotnice, ktoré kontrolujú prenos HTTPS, môžu zasahovať do vytvorenia webovej zásuvky (wss:) spojenia. Ak chcete tento problém obísť, pozrite si Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát.

                                                                                                                                                  • Pre explicitné servery proxy podporujeme nasledujúce kombinácie typov overenia:

                                                                                                                                                    • Žiadna autentifikácia pomocou HTTP alebo HTTPS

                                                                                                                                                    • Základná autentifikácia pomocou HTTP alebo HTTPS

                                                                                                                                                    • Digest overenie iba s HTTPS

                                                                                                                                                  • Pre transparentný kontrolný proxy server alebo explicitný proxy server HTTPS musíte mať kópiu koreňového certifikátu servera proxy. Pokyny na nasadenie v tejto príručke vám povedia, ako nahrať kópiu do dôveryhodných obchodov uzlov Hybrid Data Security.

                                                                                                                                                  • Sieť, ktorá hostí uzly HDS, musí byť nakonfigurovaná tak, aby vynútila smerovanie odchádzajúcej prevádzky TCP na porte 443 cez server proxy.

                                                                                                                                                  • Proxy, ktoré kontrolujú webovú prevádzku, môžu narúšať pripojenia webových soketov. Ak sa vyskytne tento problém, obíďte (nie kontrolujte) premávku na wbx2.com a ciscospark.com problém vyrieši.

                                                                                                                                                  Vyplňte Predpoklady pre hybridnú bezpečnosť údajov

                                                                                                                                                  Pomocou tohto kontrolného zoznamu sa uistite, že ste pripravení na inštaláciu a konfiguráciu klastra Hybrid Data Security.
                                                                                                                                                  1

                                                                                                                                                  Uistite sa, že vaša organizácia Webex má povolený balík Pro Pack pre Cisco Webex Control Hub a získajte prihlasovacie údaje účtu s úplnými právami správcu organizácie. Ak potrebujete pomoc s týmto procesom, kontaktujte svojho partnera Cisco alebo account manažéra.

                                                                                                                                                  2

                                                                                                                                                  Vyberte názov domény pre svoje nasadenie HDS (napr. hds.company.com) a získajte reťaz certifikátov obsahujúci certifikát X.509, súkromný kľúč a akékoľvek sprostredkujúce certifikáty. Certifikačný reťazec musí spĺňať požiadavky v Požiadavky na certifikát X.509.

                                                                                                                                                  3

                                                                                                                                                  Pripravte si identických virtuálnych hostiteľov, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri. Potrebujete aspoň dvoch samostatných hostiteľov (odporúčajú sa 3) umiestnených v rovnakom zabezpečenom dátovom centre, ktorí spĺňajú požiadavky v Požiadavky na virtuálny hostiteľ.

                                                                                                                                                  4

                                                                                                                                                  Pripravte databázový server, ktorý bude fungovať ako úložisko kľúčových údajov pre klaster, podľa Požiadavky na databázový server. Databázový server musí byť umiestnený v zabezpečenom údajovom centre spolu s virtuálnymi hostiteľmi.

                                                                                                                                                  1. Vytvorte databázu pre ukladanie kľúčov. (Túto databázu musíte vytvoriť – nepoužívajte predvolenú databázu. Aplikácie HDS po nainštalovaní vytvoria schému databázy.)

                                                                                                                                                  2. Zhromaždite podrobnosti, ktoré budú uzly používať na komunikáciu s databázovým serverom:

                                                                                                                                                    • názov hostiteľa alebo IP adresa (hostiteľ) a port

                                                                                                                                                    • názov databázy (dbname) pre uloženie kľúčov

                                                                                                                                                    • užívateľské meno a heslo užívateľa so všetkými privilégiami v databáze kľúča

                                                                                                                                                  5

                                                                                                                                                  Pre rýchlu obnovu po havárii nastavte zálohovacie prostredie v inom dátovom centre. Zálohovacie prostredie odzrkadľuje produkčné prostredie VM a záložný databázový server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM.

                                                                                                                                                  6

                                                                                                                                                  Nastavte hostiteľa syslog na zhromažďovanie protokolov z uzlov v klastri. Získajte jeho sieťovú adresu a port syslog (predvolené je UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Vytvorte politiku bezpečného zálohovania pre uzly Hybrid Data Security, databázový server a hostiteľa syslog. Aby ste predišli nenapraviteľnej strate údajov, musíte minimálne zálohovať databázu a konfiguračný súbor ISO vygenerovaný pre uzly Hybrid Data Security.


                                                                                                                                                   

                                                                                                                                                  Pretože uzly Hybrid Data Security ukladajú kľúče používané na šifrovanie a dešifrovanie obsahu, zlyhanie pri udržiavaní operačného nasadenia bude mať za následok NENÁHRADITEĽNÁ STRATA tohto obsahu.

                                                                                                                                                  Klienti Webex App ukladajú svoje kľúče do vyrovnávacej pamäte, takže výpadok nemusí byť okamžite viditeľný, ale časom sa prejaví. Zatiaľ čo dočasným výpadkom nie je možné zabrániť, sú obnoviteľné. Úplná strata (nie sú k dispozícii žiadne zálohy) databázy alebo konfiguračného ISO súboru však bude mať za následok neobnoviteľné zákaznícke údaje. Od operátorov uzlov Hybrid Data Security sa očakáva, že budú pravidelne zálohovať databázu a konfiguračný ISO súbor a budú pripravení na prestavbu dátového centra Hybrid Data Security, ak dôjde ku katastrofálnej poruche.

                                                                                                                                                  8

                                                                                                                                                  Uistite sa, že vaša konfigurácia brány firewall umožňuje pripojenie pre vaše uzly Hybrid Data Security, ako je uvedené v Požiadavky na externé pripojenie.

                                                                                                                                                  9

                                                                                                                                                  Nainštalujte Docker ( https://www.docker.com) na akomkoľvek lokálnom počítači s podporovaným operačným systémom (Microsoft Windows 10 Professional alebo Enterprise 64-bit, alebo Mac OSX Yosemite 10.10.3 alebo novší) s webovým prehliadačom, ktorý k nemu môže pristupovať na http://127.0.0.1:8080.

                                                                                                                                                  Inštanciu Docker použijete na stiahnutie a spustenie nástroja HDS Setup Tool, ktorý vytvorí informácie o lokálnej konfigurácii pre všetky uzly Hybrid Data Security. Vaša organizácia môže potrebovať licenciu Docker Desktop. Pozri Požiadavky na plochu Docker Pre viac informácií.

                                                                                                                                                  Ak chcete nainštalovať a spustiť nástroj HDS Setup Tool, lokálny počítač musí mať konektivitu uvedenú v Požiadavky na externé pripojenie.

                                                                                                                                                  10

                                                                                                                                                  Ak integrujete proxy s Hybrid Data Security, uistite sa, že spĺňa Požiadavky na proxy server.

                                                                                                                                                  11

                                                                                                                                                  Ak vaša organizácia používa synchronizáciu adresárov, vytvorte skupinu v Active Directory s názvom HdsTrialGroup a pridajte pilotných používateľov. Skúšobná skupina môže mať až 250 používateľov. The HdsTrialGroup Pred spustením skúšobnej verzie pre vašu organizáciu musí byť objekt synchronizovaný s cloudom. Ak chcete synchronizovať objekt skupiny, vyberte ho v priečinku Directory Connector Konfigurácia > Výber objektu Ponuka. (Podrobné pokyny nájdete na Sprievodca nasadením pre Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Kľúče pre daný priestor nastavuje tvorca priestoru. Pri výbere pilotných používateľov majte na pamäti, že ak sa rozhodnete natrvalo deaktivovať nasadenie Hybrid Data Security, všetci používatelia stratia prístup k obsahu v priestoroch, ktoré vytvorili pilotní používatelia. Strata sa prejaví hneď, ako aplikácie používateľov obnovia svoje kópie obsahu uložené vo vyrovnávacej pamäti.

                                                                                                                                                  Nastavte Hybrid Data Security Cluster

                                                                                                                                                  Tok úloh nasadenia zabezpečenia hybridných údajov

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  Pripravte si prostredie

                                                                                                                                                  1

                                                                                                                                                  Stiahnite si inštalačné súbory

                                                                                                                                                  Stiahnite si súbor OVA na váš lokálny počítač pre neskoršie použitie.

                                                                                                                                                  2

                                                                                                                                                  Vytvorte ISO konfigurácie pre hostiteľov HDS

                                                                                                                                                  Pomocou nástroja HDS Setup Tool vytvorte konfiguračný súbor ISO pre uzly Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Nainštalujte HDS Host OVA

                                                                                                                                                  Vytvorte virtuálny počítač zo súboru OVA a vykonajte počiatočnú konfiguráciu, ako sú nastavenia siete.


                                                                                                                                                   

                                                                                                                                                  Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 6.5. Táto možnosť nemusí byť dostupná v starších verziách.

                                                                                                                                                  4

                                                                                                                                                  Nastavte virtuálny počítač Hybrid Data Security

                                                                                                                                                  Prihláste sa do konzoly VM a nastavte prihlasovacie poverenia. Nakonfigurujte sieťové nastavenia pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.

                                                                                                                                                  5

                                                                                                                                                  Nahrajte a pripojte ISO konfiguráciu HDS

                                                                                                                                                  Nakonfigurujte VM z konfiguračného súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool.

                                                                                                                                                  6

                                                                                                                                                  Nakonfigurujte uzol HDS na integráciu proxy

                                                                                                                                                  Ak sieťové prostredie vyžaduje konfiguráciu servera proxy, zadajte typ servera proxy, ktorý použijete pre uzol, a v prípade potreby pridajte certifikát servera proxy do dôveryhodného úložiska.

                                                                                                                                                  7

                                                                                                                                                  Zaregistrujte prvý uzol v klastri

                                                                                                                                                  Zaregistrujte VM v cloude Cisco Webex ako uzol Hybrid Data Security.

                                                                                                                                                  8

                                                                                                                                                  Vytvorte a zaregistrujte viac uzlov

                                                                                                                                                  Dokončite nastavenie klastra.

                                                                                                                                                  9

                                                                                                                                                  Spustite skúšobnú verziu a prejdite do výroby (ďalšia kapitola)

                                                                                                                                                  Kým nezačnete skúšobnú verziu, vaše uzly generujú alarm oznamujúci, že vaša služba ešte nie je aktivovaná.

                                                                                                                                                  Stiahnite si inštalačné súbory

                                                                                                                                                  V tejto úlohe stiahnete súbor OVA do svojho počítača (nie na servery, ktoré ste nastavili ako uzly Hybrid Data Security). Tento súbor použijete neskôr v procese inštalácie.
                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do https://admin.webex.coma potom kliknite Služby.

                                                                                                                                                  2

                                                                                                                                                  V časti Hybridné služby nájdite kartu Hybrid Data Security a potom kliknite Nastaviť.

                                                                                                                                                  Ak je karta zakázaná alebo ju nevidíte, kontaktujte tím spravujúci váš účet alebo partnerskú organizáciu. Poskytnite im svoje číslo účtu a požiadajte, aby vašej organizácii umožnili Hybridné zabezpečenie dát. Ak chcete nájsť číslo účtu, kliknite na ozubené koliesko vpravo hore vedľa názvu organizácie.


                                                                                                                                                   

                                                                                                                                                  OVA si tiež môžete kedykoľvek stiahnuť z Pomoc oddiel na nastavenie stránku. Na karte Hybrid Data Security kliknite na Upraviť nastavenia otvorte stránku. Potom kliknite Stiahnite si softvér Hybrid Data Security v Pomoc oddiele.


                                                                                                                                                   

                                                                                                                                                  Staršie verzie softvérového balíka (OVA) nebudú kompatibilné s najnovšími aktualizáciami Hybrid Data Security. To môže viesť k problémom pri inovácii aplikácie. Uistite sa, že ste si stiahli najnovšiu verziu súboru OVA.

                                                                                                                                                  3

                                                                                                                                                  Vyberte Nie na označenie, že ste ešte nenastavili uzol, a potom kliknite Ďalšie.

                                                                                                                                                  Automaticky sa začne sťahovať súbor OVA. Uložte súbor na miesto v počítači.
                                                                                                                                                  4

                                                                                                                                                  Voliteľne kliknite Otvorte Sprievodcu nasadením a skontrolujte, či je k dispozícii novšia verzia tejto príručky.

                                                                                                                                                  Vytvorte ISO konfigurácie pre hostiteľov HDS

                                                                                                                                                  Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  • Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Control Hub s úplnými administrátorskými právami pre vašu organizáciu.

                                                                                                                                                    Ak nástroj HDS Setup beží za serverom proxy vo vašom prostredí, pri spúšťaní kontajnera Docker v kroku poskytnite nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker 5. Táto tabuľka uvádza niektoré možné premenné prostredia:

                                                                                                                                                    Opis

                                                                                                                                                    Variabilné

                                                                                                                                                    HTTP Proxy bez autentifikácie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy bez autentifikácie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy s autentifikáciou

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy s autentifikáciou

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:

                                                                                                                                                    • Databázové poverenia

                                                                                                                                                    • Aktualizácie certifikátov

                                                                                                                                                    • Zmeny v politike autorizácie

                                                                                                                                                  • Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.

                                                                                                                                                  1

                                                                                                                                                  Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

                                                                                                                                                  V bežných prostrediach:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  V prostrediach FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

                                                                                                                                                  2

                                                                                                                                                  Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Pri výzve na zadanie hesla zadajte tento hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Stiahnite si najnovší stabilný obraz pre vaše prostredie:

                                                                                                                                                  V bežných prostrediach:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  V prostrediach FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

                                                                                                                                                  • V bežných prostrediach bez servera proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • V bežných prostrediach s HTTP proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • V bežných prostrediach s HTTPS proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • V prostrediach FedRAMP bez proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • V prostrediach FedRAMP s HTTP proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • V prostrediach FedRAMP s HTTPS proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Inštalačný nástroj nepodporuje pripojenie k localhost prostredníctvom http://localhost:8080. Použite http://127.0.0.1:8080 na pripojenie k localhost.

                                                                                                                                                  Pomocou webového prehliadača prejdite na localhost, http://127.0.0.1:8080 a po výzve zadajte používateľské meno správcu zákazníka pre Control Hub.

                                                                                                                                                  Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie.

                                                                                                                                                  7

                                                                                                                                                  Po zobrazení výzvy zadajte svoje prihlasovacie poverenia správcu zákazníka Control Hub a potom kliknite Prihlásiť sa na umožnenie prístupu k požadovaným službám pre Hybridnú bezpečnosť dát.

                                                                                                                                                  8

                                                                                                                                                  Na stránke prehľadu nástroja Setup kliknite na Začať.

                                                                                                                                                  9

                                                                                                                                                  Na ISO import stránku, máte tieto možnosti:

                                                                                                                                                  • Nie—Ak vytvárate svoj prvý uzol HDS, nemáte súbor ISO na nahranie.
                                                                                                                                                  • Áno—Ak ste už vytvorili uzly HDS, vyberte súbor ISO v prehľadávaní a nahrajte ho.
                                                                                                                                                  10

                                                                                                                                                  Skontrolujte, či váš certifikát X.509 spĺňa požiadavky v Požiadavky na certifikát X.509.

                                                                                                                                                  • Ak ste nikdy predtým nenahrali certifikát, nahrajte certifikát X.509, zadajte heslo a kliknite ďalej.
                                                                                                                                                  • Ak je váš certifikát v poriadku, kliknite ďalej.
                                                                                                                                                  • Ak platnosť vášho certifikátu vypršala alebo ho chcete nahradiť, vyberte Nie pre Pokračovať v používaní reťazca certifikátov HDS a súkromného kľúča z predchádzajúceho ISO?. Nahrajte nový certifikát X.509, zadajte heslo a kliknite ďalej.
                                                                                                                                                  11

                                                                                                                                                  Zadajte databázovú adresu a účet pre HDS, aby ste získali prístup k vášmu úložisku kľúčových údajov:

                                                                                                                                                  1. Vyberte si svoj Typ databázy (PostgreSQL alebo Microsoft SQL Server).

                                                                                                                                                    Ak si vyberiete Microsoft SQL Server, získate pole Typ overenia.

                                                                                                                                                  2. (Microsoft SQL Server iba) Vyberte si autentický typ:

                                                                                                                                                    • Základná autentifikácia: Potrebujete názov lokálneho účtu SQL Server v súbore Používateľské meno lúka.

                                                                                                                                                    • Overenie systému Windows: Potrebujete účet Windows vo formáte username@DOMAIN v Používateľské meno lúka.

                                                                                                                                                  3. Do formulára zadajte adresu databázového servera <hostname>:<port> alebo <IP-address>:<port>.

                                                                                                                                                    Príklad:
                                                                                                                                                    dbhost.example.org:1433 alebo 198.51.100.17:1433

                                                                                                                                                    Môžete použiť IP adresu na základnú autentifikáciu, ak uzly nemôžu použiť DNS na rozlíšenie názvu hostiteľa.

                                                                                                                                                    Ak používate overovanie systému Windows, musíte zadať úplný názov domény vo formáte dbhost.example.org:1433

                                                                                                                                                  4. Zadajte Názov databázy.

                                                                                                                                                  5. Zadajte Používateľské meno a heslo používateľa so všetkými oprávneniami na databázu úložiska kľúčov.

                                                                                                                                                  12

                                                                                                                                                  Vyberte a Režim pripojenia databázy TLS:

                                                                                                                                                  Režim

                                                                                                                                                  Opis

                                                                                                                                                  Preferujem TLS (predvolená možnosť)

                                                                                                                                                  HDS uzly nevyžadujú TLS na pripojenie k databázovému serveru. Ak povolíte TLS na databázovom serveri, uzly sa pokúsia o šifrované pripojenie.

                                                                                                                                                  Vyžadovať TLS

                                                                                                                                                  Uzly HDS sa pripájajú iba vtedy, ak databázový server dokáže dohodnúť TLS.

                                                                                                                                                  Vyžadovať TLS a overiť podpisovateľa certifikátu


                                                                                                                                                   

                                                                                                                                                  Tento režim nie je použiteľný pre databázy SQL Server.

                                                                                                                                                  • Uzly HDS sa pripájajú iba vtedy, ak databázový server dokáže dohodnúť TLS.

                                                                                                                                                  • Po nadviazaní pripojenia TLS uzol porovnáva podpisovateľa certifikátu z databázového servera s certifikačnou autoritou v Koreňový certifikát databázy. Ak sa nezhodujú, uzol zruší spojenie.

                                                                                                                                                  Použi Koreňový certifikát databázy ovládač pod rozbaľovacím zoznamom na nahranie koreňového certifikátu pre túto možnosť.

                                                                                                                                                  Vyžadovať TLS a overiť podpisovateľa certifikátu a názov hostiteľa

                                                                                                                                                  • Uzly HDS sa pripájajú iba vtedy, ak databázový server dokáže dohodnúť TLS.

                                                                                                                                                  • Po nadviazaní pripojenia TLS uzol porovnáva podpisovateľa certifikátu z databázového servera s certifikačnou autoritou v Koreňový certifikát databázy. Ak sa nezhodujú, uzol zruší spojenie.

                                                                                                                                                  • Uzly tiež overujú, či sa názov hostiteľa v certifikáte servera zhoduje s názvom hostiteľa v Hostiteľ databázy a port lúka. Názvy sa musia presne zhodovať, inak uzol zruší spojenie.

                                                                                                                                                  Použi Koreňový certifikát databázy ovládač pod rozbaľovacím zoznamom na nahranie koreňového certifikátu pre túto možnosť.

                                                                                                                                                  Keď nahráte koreňový certifikát (ak je to potrebné) a kliknite na ďalej, HDS Setup Tool otestuje TLS pripojenie k databázovému serveru. Nástroj tiež overuje podpisovateľa certifikátu a názov hostiteľa, ak je to potrebné. Ak test zlyhá, nástroj zobrazí chybové hlásenie popisujúce problém. Môžete si vybrať, či chcete chybu ignorovať a pokračovať v nastavovaní. (Vzhľadom na rozdiely v konektivite môžu byť uzly HDS schopné nadviazať pripojenie TLS, aj keď ho zariadenie HDS Setup Tool nedokáže úspešne otestovať.)

                                                                                                                                                  13

                                                                                                                                                  Na stránke Systémové denníky nakonfigurujte svoj server Syslogd:

                                                                                                                                                  1. Zadajte adresu URL servera syslog.

                                                                                                                                                    Ak server nie je schopný rozlíšiť DNS z uzlov pre váš klaster HDS, použite v adrese URL adresu IP.

                                                                                                                                                    Príklad:
                                                                                                                                                    udp://10.92.43.23:514 označuje prihlásenie do hostiteľa Syslogd 10.92.43.23 na porte UDP 514.
                                                                                                                                                  2. Ak ste nastavili svoj server na používanie šifrovania TLS, skontrolujte Je váš server syslog nakonfigurovaný na šifrovanie SSL?.

                                                                                                                                                    Ak začiarknete toto políčko, uistite sa, že ste zadali TCP URL, ako napr tcp://10.92.43.23:514.

                                                                                                                                                  3. Z Vyberte ukončenie záznamu syslog v rozbaľovacej ponuke vyberte vhodné nastavenie pre váš súbor ISO: Choose alebo Newline sa používa pre Graylog a Rsyslog TCP

                                                                                                                                                    • Null byte -- \x00

                                                                                                                                                    • Nový riadok -- \n—Vyberte túto voľbu pre Graylog a Rsyslog TCP.

                                                                                                                                                  4. Kliknite ďalej.

                                                                                                                                                  14

                                                                                                                                                  (Voliteľné) Môžete zmeniť predvolenú hodnotu pre niektoré parametre pripojenia k databáze v Pokročilé nastavenia. Vo všeobecnosti je tento parameter jediný, ktorý možno budete chcieť zmeniť:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Kliknite ďalej na Obnovte heslo servisných účtov obrazovke.

                                                                                                                                                  Heslá k servisným účtom majú životnosť deväť mesiacov. Túto obrazovku použite, keď sa blíži koniec platnosti vašich hesiel alebo ich chcete resetovať, aby ste zrušili platnosť predchádzajúcich súborov ISO.

                                                                                                                                                  16

                                                                                                                                                  Kliknite Stiahnite si súbor ISO. Uložte súbor na miesto, ktoré sa dá ľahko nájsť.

                                                                                                                                                  17

                                                                                                                                                  Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme.

                                                                                                                                                  Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii.

                                                                                                                                                  18

                                                                                                                                                  Ak chcete vypnúť nástroj Setup, zadajte CTRL+C.

                                                                                                                                                  Čo urobiť ďalej

                                                                                                                                                  Zálohujte konfiguračný súbor ISO. Potrebujete ho na vytvorenie ďalších uzlov na obnovu alebo na vykonanie zmien v konfigurácii. Ak stratíte všetky kópie súboru ISO, stratili ste aj hlavný kľúč. Obnovenie kľúčov z databázy PostgreSQL alebo Microsoft SQL Server nie je možné.


                                                                                                                                                   

                                                                                                                                                  Nikdy nemáme kópiu tohto kľúča a nemôžeme vám pomôcť, ak ho stratíte.

                                                                                                                                                  Nainštalujte HDS Host OVA

                                                                                                                                                  Tento postup použite na vytvorenie virtuálneho počítača zo súboru OVA.
                                                                                                                                                  1

                                                                                                                                                  Na prihlásenie do virtuálneho hostiteľa ESXi použite klienta VMware vSphere na vašom počítači.

                                                                                                                                                  2

                                                                                                                                                  Vyberte Súbor > Nasadiť šablónu OVF.

                                                                                                                                                  3

                                                                                                                                                  V sprievodcovi zadajte umiestnenie súboru OVA, ktorý ste si stiahli skôr, a potom kliknite Ďalšie .

                                                                                                                                                  4

                                                                                                                                                  Na Vyberte názov a priečinok stránku, zadajte a Názov virtuálneho počítača pre uzol (napríklad „HDS_Node_1"), vyberte umiestnenie, kde sa môže nachádzať nasadenie uzla virtuálneho počítača, a potom kliknite Ďalšie .

                                                                                                                                                  5

                                                                                                                                                  Na Vyberte výpočtový zdroj vyberte cieľový výpočtový zdroj a potom kliknite Ďalšie .

                                                                                                                                                  Prebehne overovacia kontrola. Po dokončení sa zobrazia podrobnosti šablóny.

                                                                                                                                                  6

                                                                                                                                                  Overte podrobnosti šablóny a potom kliknite Ďalšie.

                                                                                                                                                  7

                                                                                                                                                  Ak sa zobrazí výzva na výber konfigurácie prostriedkov na Konfigurácia stránku, kliknite 4 CPU a potom kliknite Ďalšie .

                                                                                                                                                  8

                                                                                                                                                  Na Vyberte úložisko stránku, kliknite Ďalšie akceptovať predvolený formát disku a politiku úložiska VM.

                                                                                                                                                  9

                                                                                                                                                  Na Vyberte siete vyberte sieťovú možnosť zo zoznamu položiek, aby ste poskytli požadované pripojenie k VM.

                                                                                                                                                  10

                                                                                                                                                  Na Prispôsobiť šablónu nakonfigurujte nasledujúce nastavenia siete:

                                                                                                                                                  • Meno hosťa— Zadajte FQDN (názov hostiteľa a doménu) alebo jednoslovný názov hostiteľa pre uzol.

                                                                                                                                                     
                                                                                                                                                    • Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509.

                                                                                                                                                    • Ak chcete zabezpečiť úspešnú registráciu do cloudu, použite iba malé písmená v FQDN alebo názve hostiteľa, ktorý ste nastavili pre uzol. Veľké písmená momentálne nie sú podporované.

                                                                                                                                                    • Celková dĺžka FQDN nesmie presiahnuť 64 znakov.

                                                                                                                                                  • IP adresa— Zadajte IP adresu interného rozhrania uzla.

                                                                                                                                                     

                                                                                                                                                    Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované.

                                                                                                                                                  • Maska— Zadajte adresu masky podsiete v desiatkovom formáte bodka. Napríklad, 255.255.255.0.
                                                                                                                                                  • Brána— Zadajte IP adresu brány. Brána je sieťový uzol, ktorý slúži ako prístupový bod do inej siete.
                                                                                                                                                  • DNS servery— Zadajte čiarkami oddelený zoznam serverov DNS, ktoré sa starajú o preklad názvov domén na číselné adresy IP. (Povolené sú až 4 záznamy DNS.)
                                                                                                                                                  • NTP servery—Zadajte server NTP vašej organizácie alebo iný externý server NTP, ktorý možno použiť vo vašej organizácii. Predvolené servery NTP nemusia fungovať pre všetky podniky. Na zadanie viacerých serverov NTP môžete použiť aj zoznam oddelený čiarkami.
                                                                                                                                                  • Nasaďte všetky uzly v rovnakej podsieti alebo VLAN, aby boli všetky uzly v klastri dosiahnuteľné z klientov vo vašej sieti na administratívne účely.

                                                                                                                                                  Ak chcete, môžete preskočiť konfiguráciu nastavenia siete a postupovať podľa krokov v Nastavte virtuálny počítač Hybrid Data Security na konfiguráciu nastavení z konzoly uzla.


                                                                                                                                                   

                                                                                                                                                  Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 6.5. Táto možnosť nemusí byť dostupná v starších verziách.

                                                                                                                                                  11

                                                                                                                                                  Kliknite pravým tlačidlom myši na uzol VM a potom vyberte Moc > Zapnutie .

                                                                                                                                                  Softvér Hybrid Data Security je nainštalovaný ako hosť na hostiteľovi VM. Teraz ste pripravení prihlásiť sa do konzoly a nakonfigurovať uzol.

                                                                                                                                                  Tipy na riešenie problémov

                                                                                                                                                  Môžete zaznamenať oneskorenie niekoľkých minút, kým sa kontajnery uzlov objavia. Počas prvého spustenia, počas ktorého sa nemôžete prihlásiť, sa na konzole zobrazí správa brány firewall mosta.

                                                                                                                                                  Nastavte virtuálny počítač Hybrid Data Security

                                                                                                                                                  Tento postup použite na prvé prihlásenie do konzoly VM uzla Hybrid Data Security a nastavenie prihlasovacích poverení. Konzolu môžete použiť aj na konfiguráciu sieťových nastavení pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.

                                                                                                                                                  1

                                                                                                                                                  V klientovi VMware vSphere vyberte svoj uzol Hybrid Data Security VM a vyberte Konzola tab.

                                                                                                                                                  VM sa spustí a zobrazí sa výzva na prihlásenie. Ak sa výzva na prihlásenie nezobrazí, stlačte Zadajte.
                                                                                                                                                  2

                                                                                                                                                  Na prihlásenie a zmenu poverení použite nasledujúce predvolené prihlasovacie meno a heslo:

                                                                                                                                                  1. Prihlásiť sa: admin

                                                                                                                                                  2. heslo: cisco

                                                                                                                                                  Keďže sa do svojho VM prihlasujete prvýkrát, musíte zmeniť heslo správcu.

                                                                                                                                                  3

                                                                                                                                                  Ak ste už nakonfigurovali nastavenia siete v Nainštalujte HDS Host OVA, preskočte zvyšok tohto postupu. V opačnom prípade vyberte v hlavnom menu položku Upraviť konfiguráciu možnosť.

                                                                                                                                                  4

                                                                                                                                                  Nastavte statickú konfiguráciu s IP adresou, maskou, bránou a informáciami DNS. Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované.

                                                                                                                                                  5

                                                                                                                                                  (Voliteľné) Zmeňte názov hostiteľa, doménu alebo server(y) NTP, ak je to potrebné, aby zodpovedali zásadám vašej siete.

                                                                                                                                                  Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509.

                                                                                                                                                  6

                                                                                                                                                  Uložte konfiguráciu siete a reštartujte VM, aby sa zmeny prejavili.

                                                                                                                                                  Nahrajte a pripojte ISO konfiguráciu HDS

                                                                                                                                                  Tento postup použite na konfiguráciu virtuálneho počítača zo súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool.

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  Pretože súbor ISO obsahuje hlavný kľúč, mal by byť zverejnený iba na základe „potreby vedieť“, aby k nemu mali prístup virtuálne počítače s hybridným zabezpečením údajov a všetci správcovia, ktorí môžu potrebovať vykonať zmeny. Uistite sa, že k úložisku údajov majú prístup iba títo správcovia.

                                                                                                                                                  1

                                                                                                                                                  Nahrajte súbor ISO z počítača:

                                                                                                                                                  1. V ľavom navigačnom paneli klienta VMware vSphere kliknite na server ESXi.

                                                                                                                                                  2. Na karte Konfigurácia v zozname Hardvér kliknite na Skladovanie.

                                                                                                                                                  3. V zozname Úložisko údajov kliknite pravým tlačidlom myši na úložisko údajov pre vaše VM a kliknite Prehľadávať Datastore.

                                                                                                                                                  4. Kliknite na ikonu Nahrať súbory a potom kliknite na Nahrajte súbor.

                                                                                                                                                  5. Prejdite do umiestnenia, z ktorého ste si stiahli súbor ISO do počítača, a kliknite OTVORENÉ.

                                                                                                                                                  6. Kliknite Áno akceptujte varovanie o operácii nahrávania/sťahovania a zatvorte dialógové okno úložiska údajov.

                                                                                                                                                  2

                                                                                                                                                  Pripojte súbor ISO:

                                                                                                                                                  1. V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na VM a kliknite Upraviť nastavenia.

                                                                                                                                                  2. Kliknite OK akceptujete varovanie s obmedzenými možnosťami úprav.

                                                                                                                                                  3. Kliknite CD/DVD Drive 1, vyberte možnosť pripojenia zo súboru ISO úložiska údajov a prejdite do umiestnenia, kam ste nahrali konfiguračný súbor ISO.

                                                                                                                                                  4. Skontrolujte Pripojené a Pripojte pri zapnutí.

                                                                                                                                                  5. Uložte zmeny a reštartujte virtuálny počítač.

                                                                                                                                                  Čo urobiť ďalej

                                                                                                                                                  Ak to vyžaduje vaša politika IT, môžete voliteľne odpojiť súbor ISO po tom, čo všetky vaše uzly prevezmú zmeny konfigurácie. Pozri (Voliteľné) Odpojte ISO po konfigurácii HDS pre podrobnosti.

                                                                                                                                                  Nakonfigurujte uzol HDS na integráciu proxy

                                                                                                                                                  Ak sieťové prostredie vyžaduje server proxy, použite tento postup na určenie typu servera proxy, s ktorým sa chcete integrovať Hybridná bezpečnosť dát. Ak si vyberiete transparentný kontrolný proxy server alebo explicitný proxy server HTTPS, môžete použiť rozhranie uzla na nahranie a inštaláciu koreňového certifikátu. Môžete tiež skontrolovať pripojenie proxy z rozhrania a vyriešiť prípadné problémy.

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  1

                                                                                                                                                  Zadajte adresu URL nastavenia uzla HDS https://[HDS Node IP or FQDN]/setup vo webovom prehliadači zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite Prihlásiť sa.

                                                                                                                                                  2

                                                                                                                                                  Ísť do Trust Store a proxya potom vyberte možnosť:

                                                                                                                                                  • Žiadny proxy– Predvolená možnosť pred integráciou servera proxy. Nevyžaduje sa žiadna aktualizácia certifikátu.
                                                                                                                                                  • Transparentný nekontrolujúci zástupca—Uzly nie sú nakonfigurované na používanie špecifickej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.
                                                                                                                                                  • Transparentný kontrolný zástupca—Uzly nie sú nakonfigurované na používanie špecifickej adresy proxy servera. Na serveri nie sú potrebné žiadne zmeny konfigurácie HTTPS Hybridná bezpečnosť dát nasadenie, uzly HDS však potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).
                                                                                                                                                  • Explicitný proxy—Pri explicitnom serveri proxy poviete klientovi (uzly HDS), ktorý server proxy má použiť, a táto možnosť podporuje niekoľko typov autentifikácie. Po výbere tejto možnosti musíte zadať nasledujúce informácie:
                                                                                                                                                    1. Proxy IP/FQDN– Adresa, ktorú možno použiť na spojenie so zariadením proxy.

                                                                                                                                                    2. Port proxy—Číslo portu, ktoré server proxy používa na počúvanie prevádzky cez proxy.

                                                                                                                                                    3. Proxy protokol— Vyberte si http (prezerá a kontroluje všetky požiadavky, ktoré sú prijaté od klienta) resp https (poskytuje kanál pre server a klient prijíma a overuje certifikát servera). Vyberte možnosť podľa toho, čo váš proxy server podporuje.

                                                                                                                                                    4. autentický typ— Vyberte si z nasledujúcich typov autentifikácie:

                                                                                                                                                      • žiadne— Nevyžaduje sa žiadna ďalšia autentifikácia.

                                                                                                                                                        Dostupné pre servery proxy HTTP alebo HTTPS.

                                                                                                                                                      • Základné— Používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.

                                                                                                                                                        Dostupné pre servery proxy HTTP alebo HTTPS.

                                                                                                                                                        Ak zvolíte túto možnosť, musíte zadať aj meno používateľa a heslo.

                                                                                                                                                      • Digest– Používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.

                                                                                                                                                        Dostupné iba pre servery proxy HTTPS.

                                                                                                                                                        Ak zvolíte túto možnosť, musíte zadať aj meno používateľa a heslo.

                                                                                                                                                  Postupujte podľa nasledujúcich krokov pre transparentný kontrolný proxy server, explicitný proxy server HTTP so základným overením alebo explicitný proxy HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Kliknite Nahrajte koreňový certifikát alebo certifikát koncovej entitya potom prejdite na výber koreňového certifikátu pre server proxy.

                                                                                                                                                  Certifikát je nahraný, ale ešte nie je nainštalovaný, pretože na inštaláciu certifikátu musíte reštartovať uzol. Kliknutím na šípku v tvare šípky vedľa názvu vydavateľa certifikátu získate ďalšie podrobnosti alebo kliknite Odstrániť ak ste urobili chybu a chcete súbor znova nahrať.

                                                                                                                                                  4

                                                                                                                                                  Kliknite Skontrolujte pripojenie proxy na testovanie sieťového pripojenia medzi uzlom a proxy.

                                                                                                                                                  Ak test pripojenia zlyhá, zobrazí sa chybové hlásenie, ktoré uvádza dôvod a spôsob, ako môžete problém vyriešiť.

                                                                                                                                                  Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS. Tento stav sa očakáva v mnohých explicitných konfiguráciách proxy. Môžete pokračovať v nastavovaní a uzol bude fungovať v režime zablokovaného externého rozlíšenia DNS. Ak si myslíte, že ide o chybu, vykonajte tieto kroky a potom uvidíte Vypnite režim zablokovaného externého rozlíšenia DNS.

                                                                                                                                                  5

                                                                                                                                                  Po úspešnom teste pripojenia zapnite prepínač v prípade explicitného servera proxy nastaveného iba na https Smerujte všetky požiadavky https z tohto uzla na port 443/444 cez explicitný proxy server. Toto nastavenie sa prejaví po 15 sekundách.

                                                                                                                                                  6

                                                                                                                                                  Kliknite Nainštalujte všetky certifikáty do dôveryhodného úložiska (zobrazí sa pri explicitnom HTTPS proxy alebo transparentnom kontrolnom proxy serveri) alebo Reštartovať (zobrazí sa pri explicitnom serveri proxy HTTP), prečítajte si výzvu a potom kliknite Inštalácia ak si pripravený.

                                                                                                                                                  Uzol sa reštartuje v priebehu niekoľkých minút.

                                                                                                                                                  7

                                                                                                                                                  Po reštartovaní uzla sa v prípade potreby znova prihláste a potom otvorte Prehľad stránku a skontrolujte kontroly pripojenia, aby ste sa uistili, že sú všetky v zelenom stave.

                                                                                                                                                  Kontrola pripojenia proxy testuje iba subdoménu webex.com. Ak sa vyskytnú problémy s pripojením, bežným problémom je, že niektoré z cloudových domén uvedených v pokynoch na inštaláciu sú na serveri proxy blokované.

                                                                                                                                                  Zaregistrujte prvý uzol v klastri

                                                                                                                                                  Táto úloha preberá všeobecný uzol, ktorý ste vytvorili v Nastavte virtuálny počítač Hybrid Data Security, zaregistruje uzol do cloudu Webex a zmení ho na uzol Hybrid Data Security.

                                                                                                                                                  Keď zaregistrujete svoj prvý uzol, vytvoríte klaster, ku ktorému je uzol priradený. Klaster obsahuje jeden alebo viac uzlov nasadených na zabezpečenie redundancie.

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  • Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.

                                                                                                                                                  • Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  V ponuke na ľavej strane obrazovky vyberte položku Služby.

                                                                                                                                                  3

                                                                                                                                                  V sekcii Hybridné služby nájdite Hybridné zabezpečenie dát a kliknite Nastaviť.

                                                                                                                                                  Zobrazí sa stránka Register Hybrid Data Security Node.
                                                                                                                                                  4

                                                                                                                                                  Vyberte Áno na označenie, že ste uzol nastavili a ste pripravení ho zaregistrovať, a potom kliknite Ďalšie.

                                                                                                                                                  5

                                                                                                                                                  Do prvého poľa zadajte názov klastra, ku ktorému chcete priradiť váš uzol Hybrid Data Security.

                                                                                                                                                  Odporúčame pomenovať klaster podľa toho, kde sa geograficky nachádzajú uzly klastra. Príklady: „San Francisco“ alebo „New York“ alebo „Dallas“

                                                                                                                                                  6

                                                                                                                                                  Do druhého poľa zadajte internú IP adresu alebo úplný názov domény (FQDN) vášho uzla a kliknite Ďalšie.

                                                                                                                                                  Táto adresa IP alebo FQDN by sa mala zhodovať s adresou IP alebo názvom hostiteľa a doménou, ktorú ste použili Nastavte virtuálny počítač Hybrid Data Security.

                                                                                                                                                  Zobrazí sa správa, že môžete zaregistrovať svoj uzol do Webexu.
                                                                                                                                                  7

                                                                                                                                                  Kliknite Prejdite na Node.

                                                                                                                                                  8

                                                                                                                                                  Kliknite ďalej vo varovnej správe.

                                                                                                                                                  Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že svojej organizácii Webex chcete udeliť povolenia na prístup k vášmu uzlu.
                                                                                                                                                  9

                                                                                                                                                  Skontrolovať Povoľte prístup k svojmu uzlu zabezpečenia hybridných údajov začiarknite políčko a potom kliknite na ďalej.

                                                                                                                                                  Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
                                                                                                                                                  10

                                                                                                                                                  Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Hybrid Data Security Control Hub.

                                                                                                                                                  Na Hybridná bezpečnosť dát sa zobrazí nový klaster obsahujúci uzol, ktorý ste zaregistrovali. Uzol si automaticky stiahne najnovší softvér z cloudu.

                                                                                                                                                  Vytvorte a zaregistrujte viac uzlov

                                                                                                                                                  Ak chcete do svojho klastra pridať ďalšie uzly, jednoducho vytvoríte ďalšie virtuálne počítače a pripojíte rovnaký konfiguračný súbor ISO a potom uzol zaregistrujete. Odporúčame, aby ste mali aspoň 3 uzly.

                                                                                                                                                   

                                                                                                                                                  V súčasnosti sú záložné virtuálne počítače, ktoré ste vytvorili Vyplňte Predpoklady pre hybridnú bezpečnosť údajov sú pohotovostní hostitelia, ktorí sa používajú iba v prípade obnovy po havárii; dovtedy nie sú registrovaní v systéme. Podrobnosti nájdete v časti Obnova po havárii pomocou pohotovostného dátového centra.

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  • Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.

                                                                                                                                                  • Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Vytvorte nový virtuálny počítač z OVA zopakovaním krokov Nainštalujte HDS Host OVA.

                                                                                                                                                  2

                                                                                                                                                  Nastavte počiatočnú konfiguráciu na novom VM zopakovaním krokov v Nastavte virtuálny počítač Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Na novom virtuálnom počítači zopakujte kroky v Nahrajte a pripojte ISO konfiguráciu HDS.

                                                                                                                                                  4

                                                                                                                                                  Ak nastavujete server proxy pre svoje nasadenie, zopakujte kroky v Nakonfigurujte uzol HDS na integráciu proxy podľa potreby pre nový uzol.

                                                                                                                                                  5

                                                                                                                                                  Zaregistrujte uzol.

                                                                                                                                                  1. In https://admin.webex.com, vyberte Služby z ponuky na ľavej strane obrazovky.

                                                                                                                                                  2. V časti Hybridné služby nájdite kartu Hybrid Data Security a kliknite na ňu Zdroje.

                                                                                                                                                    Zobrazí sa stránka Hybrid Data Security Resources.
                                                                                                                                                  3. Kliknite Pridať zdroj.

                                                                                                                                                  4. V prvom poli vyberte názov vášho existujúceho klastra.

                                                                                                                                                  5. Do druhého poľa zadajte internú IP adresu alebo úplný názov domény (FQDN) vášho uzla a kliknite Ďalšie.

                                                                                                                                                    Zobrazí sa správa oznamujúca, že svoj uzol môžete zaregistrovať do cloudu Webex.
                                                                                                                                                  6. Kliknite Prejdite na Node.

                                                                                                                                                    Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že chcete svojej organizácii udeliť povolenia na prístup k vášmu uzlu.
                                                                                                                                                  7. Skontrolovať Povoľte prístup k svojmu uzlu zabezpečenia hybridných údajov začiarknite políčko a potom kliknite na ďalej.

                                                                                                                                                    Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
                                                                                                                                                  8. Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Hybrid Data Security Control Hub.

                                                                                                                                                  Váš uzol je zaregistrovaný. Upozorňujeme, že kým nezačnete skúšobnú verziu, vaše uzly generujú alarm, ktorý oznamuje, že vaša služba ešte nie je aktivovaná.

                                                                                                                                                  Čo urobiť ďalej

                                                                                                                                                  Spustite skúšobnú verziu a prejdite do výroby (ďalšia kapitola)
                                                                                                                                                  Spustite skúšobnú verziu a prejdite do výroby

                                                                                                                                                  Skúšobný postup produkčných úloh

                                                                                                                                                  Po nastavení klastra Hybrid Data Security môžete spustiť pilotný test, pridať doň používateľov a začať ho používať na testovanie a overovanie vášho nasadenia v rámci prípravy na prechod do produkcie.

                                                                                                                                                  1

                                                                                                                                                  V prípade potreby synchronizujte HdsTrialGroup skupinový objekt.

                                                                                                                                                  Ak vaša organizácia používa synchronizáciu adresárov pre používateľov, musíte vybrať HdsTrialGroup skupinový objekt na synchronizáciu do cloudu pred spustením skúšobnej verzie. Pokyny nájdete na Sprievodca nasadením pre Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Aktivovať skúšobnú verziu

                                                                                                                                                  Začnite skúšobnú verziu. Kým nevykonáte túto úlohu, vaše uzly generujú alarm, ktorý oznamuje, že služba ešte nie je aktivovaná.

                                                                                                                                                  3

                                                                                                                                                  Otestujte svoje nasadenie hybridného zabezpečenia dát

                                                                                                                                                  Skontrolujte, či kľúčové požiadavky prechádzajú do vášho nasadenia Hybrid Data Security.

                                                                                                                                                  4

                                                                                                                                                  Monitorujte zdravie Hybrid Data Security Health

                                                                                                                                                  Skontrolujte stav a nastavte e-mailové upozornenia na budíky.

                                                                                                                                                  5

                                                                                                                                                  Pridajte alebo odstráňte používateľov z vašej skúšobnej verzie

                                                                                                                                                  6

                                                                                                                                                  Dokončite skúšobnú fázu jedným z nasledujúcich krokov:

                                                                                                                                                  Aktivovať skúšobnú verziu

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  Ak vaša organizácia používa synchronizáciu adresárov pre používateľov, musíte vybrať HdsTrialGroup skupinový objekt na synchronizáciu do cloudu predtým, ako začnete skúšobnú verziu pre vašu organizáciu. Pokyny nájdete na Sprievodca nasadením pre Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do https://admin.webex.coma potom vyberte Služby.

                                                                                                                                                  2

                                                                                                                                                  V časti Hybrid Data Security kliknite na nastavenie.

                                                                                                                                                  3

                                                                                                                                                  V časti Stav služby kliknite na Spustiť skúšku.

                                                                                                                                                  Stav služby sa zmení na skúšobný režim.
                                                                                                                                                  4

                                                                                                                                                  Kliknite Pridať používateľov a zadajte e-mailovú adresu jedného alebo viacerých používateľov na pilotné používanie vašich uzlov Hybrid Data Security na šifrovacie a indexovacie služby.

                                                                                                                                                  (Ak vaša organizácia používa synchronizáciu adresárov, na správu skúšobnej skupiny použite službu Active Directory, HdsTrialGroup.)

                                                                                                                                                  Otestujte svoje nasadenie hybridného zabezpečenia dát

                                                                                                                                                  Tento postup použite na testovanie scenárov šifrovania Hybrid Data Security.

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  • Nastavte nasadenie Hybrid Data Security.

                                                                                                                                                  • Aktivujte skúšobnú verziu a pridajte niekoľko používateľov skúšobnej verzie.

                                                                                                                                                  • Uistite sa, že máte prístup k syslog, aby ste si overili, že kľúčové požiadavky prechádzajú do vášho nasadenia Hybrid Data Security.

                                                                                                                                                  1

                                                                                                                                                  Kľúče pre daný priestor nastavuje tvorca priestoru. Prihláste sa do aplikácie Webex ako jeden z pilotných používateľov a potom vytvorte priestor a pozvite aspoň jedného pilotného používateľa a jedného nepilotného používateľa.


                                                                                                                                                   

                                                                                                                                                  Ak deaktivujete nasadenie Hybrid Data Security, obsah v priestoroch, ktoré vytvoria pilotní používatelia, už nebude prístupný po výmene kópií šifrovacích kľúčov uložených vo vyrovnávacej pamäti klienta.

                                                                                                                                                  2

                                                                                                                                                  Posielajte správy do nového priestoru.

                                                                                                                                                  3

                                                                                                                                                  Skontrolujte výstup syslog, aby ste si overili, že požiadavky na kľúče prechádzajú do vášho nasadenia Hybrid Data Security.

                                                                                                                                                  1. Ak chcete skontrolovať, či používateľ najprv vytvoril zabezpečený kanál pre KMS, filtrujte kms.data.method=create a kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Mali by ste nájsť záznam, ako je tento (identifikátory skrátené kvôli čitateľnosti):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Ak chcete skontrolovať používateľa, ktorý požaduje existujúci kľúč z KMS, filtrujte kms.data.method=retrieve a kms.data.type=KEY:

                                                                                                                                                    Mali by ste nájsť záznam ako:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Ak chcete skontrolovať používateľa požadujúceho vytvorenie nového kľúča KMS, filtrujte kms.data.method=create a kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Mali by ste nájsť záznam ako:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Ak chcete pri vytváraní priestoru alebo iného chráneného zdroja skontrolovať používateľa požadujúceho vytvorenie nového objektu KMS (KRO), filtrujte na kms.data.method=create a kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Mali by ste nájsť záznam ako:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Monitorujte zdravie Hybrid Data Security Health

                                                                                                                                                  Indikátor stavu v Control Hub vám ukáže, či je s nasadením Hybrid Data Security všetko v poriadku. Ak chcete dostávať proaktívnejšie upozornenia, prihláste sa na odber e-mailových upozornení. Budete upozornení, keď sa vyskytnú alarmy alebo aktualizácie softvéru ovplyvňujúce službu.
                                                                                                                                                  1

                                                                                                                                                  In Control Hub, vyberte Služby z ponuky na ľavej strane obrazovky.

                                                                                                                                                  2

                                                                                                                                                  V sekcii Hybridné služby nájdite Hybridné zabezpečenie dát a kliknite nastavenie.

                                                                                                                                                  Zobrazí sa stránka Hybrid Data Security Settings.
                                                                                                                                                  3

                                                                                                                                                  V časti E-mailové upozornenia zadajte jednu alebo viac e-mailových adries oddelených čiarkami a stlačte Zadajte.

                                                                                                                                                  Pridajte alebo odstráňte používateľov z vašej skúšobnej verzie

                                                                                                                                                  Po aktivácii skúšobnej verzie a pridaní počiatočnej skupiny používateľov skúšobnej verzie môžete členov skúšobnej verzie kedykoľvek pridať alebo odstrániť, kým je skúšobná verzia aktívna.

                                                                                                                                                  Ak odstránite používateľa zo skúšobnej verzie, klient tohto používateľa bude namiesto vášho KMS požadovať kľúče a vytvorenie kľúča z cloudového KMS. Ak klient potrebuje kľúč, ktorý je uložený vo vašom KMS, cloudový KMS ho načíta v mene používateľa.

                                                                                                                                                  Ak vaša organizácia používa synchronizáciu adresárov, použite Active Directory (namiesto tohto postupu) na správu skúšobnej skupiny, HdsTrialGroup; členov skupiny môžete zobraziť v Control Hub, ale nemôžete ich pridávať ani odstraňovať.

                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do Control Hub a potom vyberte Služby.

                                                                                                                                                  2

                                                                                                                                                  V časti Hybrid Data Security kliknite na nastavenie.

                                                                                                                                                  3

                                                                                                                                                  V časti Skúšobný režim v oblasti Stav služby kliknite na Pridať používateľov, alebo kliknite zobraziť a upraviť na odstránenie používateľov zo skúšobnej verzie.

                                                                                                                                                  4

                                                                                                                                                  Zadajte e-mailovú adresu jedného alebo viacerých používateľov, ktorých chcete pridať, alebo kliknite na X pomocou ID používateľa na odstránenie používateľa zo skúšobnej verzie. Potom kliknite Uložiť.

                                                                                                                                                  Presuňte sa zo skúšobnej do produkčnej verzie

                                                                                                                                                  Keď ste spokojní, že vaše nasadenie funguje dobre pre skúšobných používateľov, môžete prejsť do produkcie. Keď prejdete do produkcie, všetci používatelia v organizácii budú používať vašu lokálnu doménu Hybrid Data Security na šifrovacie kľúče a ďalšie služby v oblasti zabezpečenia. Z produkcie sa nemôžete vrátiť späť do skúšobného režimu, pokiaľ službu nedeaktivujete ako súčasť obnovy po havárii. Opätovná aktivácia služby vyžaduje nastavenie novej skúšobnej verzie.
                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do Control Hub a potom vyberte Služby.

                                                                                                                                                  2

                                                                                                                                                  V časti Hybrid Data Security kliknite na nastavenie.

                                                                                                                                                  3

                                                                                                                                                  V časti Stav služby kliknite na Presunúť do výroby.

                                                                                                                                                  4

                                                                                                                                                  Potvrďte, že chcete presunúť všetkých svojich používateľov do produkcie.

                                                                                                                                                  Ukončite skúšobnú verziu bez presunu do výroby

                                                                                                                                                  Ak sa počas skúšobného obdobia rozhodnete nepokračovať v nasadení Hybrid Data Security, môžete deaktivovať Hybrid Data Security, čím sa skúšobná verzia ukončí a skúšobní používatelia sa presunú späť ku cloudovým službám zabezpečenia údajov. Používatelia skúšobnej verzie stratia prístup k údajom, ktoré boli počas skúšobnej verzie zašifrované.
                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do Control Hub a potom vyberte Služby.

                                                                                                                                                  2

                                                                                                                                                  V časti Hybrid Data Security kliknite na nastavenie.

                                                                                                                                                  3

                                                                                                                                                  V časti Deaktivovať kliknite na Deaktivovať.

                                                                                                                                                  4

                                                                                                                                                  Potvrďte, že chcete službu deaktivovať a ukončiť skúšobnú verziu.

                                                                                                                                                  Spravujte svoje nasadenie HDS

                                                                                                                                                  Spravujte nasadenie HDS

                                                                                                                                                  Pomocou tu popísaných úloh spravujte svoje nasadenie Hybrid Data Security.

                                                                                                                                                  Nastavte plán aktualizácie klastra

                                                                                                                                                  Aktualizácie softvéru pre Hybrid Data Security sa vykonávajú automaticky na úrovni klastra, čo zaisťuje, že všetky uzly vždy bežia s rovnakou verziou softvéru. Inovácie sa vykonávajú podľa plánu aktualizácie pre klaster. Keď bude k dispozícii aktualizácia softvéru, máte možnosť manuálne aktualizovať klaster pred plánovaným časom aktualizácie. Môžete nastaviť konkrétny plán inovácie alebo použiť predvolený plán na 3:00 denne v USA: Amerika/Los Angeles. V prípade potreby môžete tiež odložiť nadchádzajúcu inováciu.

                                                                                                                                                  Ak chcete nastaviť plán aktualizácie:

                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Na stránke Prehľad v časti Hybridné služby vyberte Hybridná bezpečnosť dát.

                                                                                                                                                  3

                                                                                                                                                  Na stránke Hybrid Data Security Resources vyberte klaster.

                                                                                                                                                  4

                                                                                                                                                  Na paneli Prehľad vpravo v časti Nastavenia klastra vyberte názov klastra.

                                                                                                                                                  5

                                                                                                                                                  Na stránke Nastavenia v časti Aktualizácia vyberte čas a časové pásmo pre plán inovácie.

                                                                                                                                                  Poznámka: Pod časovým pásmom sa zobrazí dátum a čas ďalšej dostupnej aktualizácie. Kliknutím na tlačidlo môžete v prípade potreby odložiť aktualizáciu na nasledujúci deň Odložiť.

                                                                                                                                                  Zmeňte konfiguráciu uzla

                                                                                                                                                  Príležitostne možno budete musieť zmeniť konfiguráciu uzla Hybrid Data Security z nasledujúcich dôvodov:
                                                                                                                                                  • Zmena x.509 certifikátov z dôvodu uplynutia platnosti alebo iných dôvodov.


                                                                                                                                                     

                                                                                                                                                    Nepodporujeme zmenu názvu domény CN certifikátu. Doména sa musí zhodovať s pôvodnou doménou použitou na registráciu klastra.

                                                                                                                                                  • Aktualizácia nastavení databázy pre zmenu na repliku databázy PostgreSQL alebo Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Nepodporujeme migráciu údajov z PostgreSQL na Microsoft SQL Server alebo opačným spôsobom. Ak chcete zmeniť prostredie databázy, spustite nové nasadenie Hybrid Data Security.

                                                                                                                                                  • Vytvorenie novej konfigurácie na prípravu nového dátového centra.

                                                                                                                                                  Z bezpečnostných dôvodov používa Hybrid Data Security heslá servisných účtov, ktoré majú životnosť deväť mesiacov. Keď nástroj HDS Setup vygeneruje tieto heslá, nasadíte ich do každého z vašich uzlov HDS v konfiguračnom súbore ISO. Keď sa blíži koniec platnosti hesiel vašej organizácie, dostanete od tímu Webex upozornenie na resetovanie hesla pre váš počítačový účet. (E-mail obsahuje text „Na aktualizáciu hesla použite rozhranie API strojového účtu.“) Ak platnosť vašich hesiel ešte nevypršala, nástroj vám ponúka dve možnosti:

                                                                                                                                                  • Mäkký reset—Staré aj nové heslo fungujú až 10 dní. Toto obdobie použite na postupnú výmenu súboru ISO na uzloch.

                                                                                                                                                  • Tvrdý reštart—Staré heslá okamžite prestanú fungovať.

                                                                                                                                                  Ak platnosť vašich hesiel vyprší bez resetovania, ovplyvní to vašu službu HDS, čo si vyžaduje okamžitý tvrdý reset a nahradenie súboru ISO na všetkých uzloch.

                                                                                                                                                  Tento postup použite na vygenerovanie nového konfiguračného súboru ISO a jeho použitie vo vašom klastri.

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  • Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Control Hub s úplnými administrátorskými právami pre vašu organizáciu.

                                                                                                                                                    Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker zadajte nastavenia proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker 1.e. Táto tabuľka uvádza niektoré možné premenné prostredia:

                                                                                                                                                    Opis

                                                                                                                                                    Variabilné

                                                                                                                                                    HTTP Proxy bez autentifikácie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy bez autentifikácie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy s autentifikáciou

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy s autentifikáciou

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Na vygenerovanie novej konfigurácie potrebujete kópiu aktuálneho konfiguračného súboru ISO. ISO obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. ISO potrebujete, keď robíte zmeny v konfigurácii vrátane poverení databázy, aktualizácií certifikátov alebo zmien v politike autorizácie.

                                                                                                                                                  1

                                                                                                                                                  Pomocou Docker na lokálnom počítači spustite nástroj HDS Setup Tool.

                                                                                                                                                  1. Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

                                                                                                                                                    V bežných prostrediach:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    V prostrediach FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

                                                                                                                                                  2. Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Pri výzve na zadanie hesla zadajte tento hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Stiahnite si najnovší stabilný obraz pre vaše prostredie:

                                                                                                                                                    V bežných prostrediach:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    V prostrediach FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Uistite sa, že ste na tento postup použili najnovší nástroj Setup. Verzie nástroja vytvorené pred 22. februárom 2018 neobsahujú obrazovky na obnovenie hesla.

                                                                                                                                                  5. Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

                                                                                                                                                    • V bežných prostrediach bez servera proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • V bežných prostrediach s HTTP proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • V bežných prostrediach s HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • V prostrediach FedRAMP bez proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • V prostrediach FedRAMP s HTTP proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • V prostrediach FedRAMP s HTTPS proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“.

                                                                                                                                                  6. Použite prehliadač na pripojenie k localhost, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Inštalačný nástroj nepodporuje pripojenie k localhost prostredníctvom http://localhost:8080. Použite http://127.0.0.1:8080 na pripojenie k localhost.

                                                                                                                                                  7. Po zobrazení výzvy zadajte svoje prihlasovacie údaje zákazníka Control Hub a potom kliknite súhlasiť pokračovať.

                                                                                                                                                  8. Importujte aktuálny konfiguračný súbor ISO.

                                                                                                                                                  9. Postupujte podľa pokynov na dokončenie nástroja a stiahnite si aktualizovaný súbor.

                                                                                                                                                    Ak chcete vypnúť nástroj Setup, zadajte CTRL+C.

                                                                                                                                                  10. Vytvorte záložnú kópiu aktualizovaného súboru v inom údajovom centre.

                                                                                                                                                  2

                                                                                                                                                  Ak máte spustený iba jeden uzol HDS, vytvorte nový VM uzla Hybrid Data Security a zaregistrujte ho pomocou nového konfiguračného súboru ISO. Podrobnejšie pokyny nájdete v časti Vytvorte a zaregistrujte viac uzlov.

                                                                                                                                                  1. Nainštalujte hostiteľský OVA HDS.

                                                                                                                                                  2. Nastavte HDS VM.

                                                                                                                                                  3. Pripojte aktualizovaný konfiguračný súbor.

                                                                                                                                                  4. Zaregistrujte nový uzol v Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Pre existujúce uzly HDS, na ktorých je spustený starší konfiguračný súbor, pripojte súbor ISO. Postupne vykonajte nasledujúci postup na každom uzle, pričom aktualizujte každý uzol pred vypnutím ďalšieho uzla:

                                                                                                                                                  1. Vypnite virtuálny stroj.

                                                                                                                                                  2. V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na VM a kliknite Upraviť nastavenia.

                                                                                                                                                  3. Kliknite CD/DVD Drive 1, vyberte možnosť pripojenia zo súboru ISO a prejdite do umiestnenia, kam ste stiahli nový konfiguračný súbor ISO.

                                                                                                                                                  4. Skontrolujte Pripojte pri zapnutí.

                                                                                                                                                  5. Uložte zmeny a zapnite virtuálny počítač.

                                                                                                                                                  4

                                                                                                                                                  Opakujte krok 3, aby ste nahradili konfiguráciu na každom zostávajúcom uzle, na ktorom je spustená stará konfigurácia.

                                                                                                                                                  Vypnite režim zablokovaného externého rozlíšenia DNS

                                                                                                                                                  Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. Ak server DNS uzla nedokáže rozlíšiť verejné názvy DNS, uzol automaticky prejde do režimu zablokovaného externého rozlíšenia DNS.

                                                                                                                                                  Ak vaše uzly dokážu rozlíšiť verejné názvy DNS prostredníctvom interných serverov DNS, môžete tento režim vypnúť opätovným spustením testu pripojenia proxy na každom uzle.

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  Uistite sa, že vaše interné servery DNS dokážu rozlíšiť verejné názvy DNS a že vaše uzly s nimi môžu komunikovať.
                                                                                                                                                  1

                                                                                                                                                  Vo webovom prehliadači otvorte rozhranie uzla Hybrid Data Security (IP adresa/nastavenie, napr. https://192.0.2.0/setup), zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite Prihlásiť sa.

                                                                                                                                                  2

                                                                                                                                                  Ísť do Prehľad (predvolená stránka).

                                                                                                                                                  Keď je povolené, Zablokované externé rozlíšenie DNS je nastavený na Áno.

                                                                                                                                                  3

                                                                                                                                                  Choďte na Trust Store a proxy stránku.

                                                                                                                                                  4

                                                                                                                                                  Kliknite Skontrolujte pripojenie proxy.

                                                                                                                                                  Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS a zostane v tomto režime. V opačnom prípade po reštartovaní uzla a návrate do Prehľad na stránke Blocked External DNS Resolution by mala byť nastavená na no.

                                                                                                                                                  Čo urobiť ďalej

                                                                                                                                                  Zopakujte test pripojenia proxy na každom uzle v klastri Hybrid Data Security.

                                                                                                                                                  Odstráňte uzol

                                                                                                                                                  Tento postup použite na odstránenie uzla Hybrid Data Security z cloudu Webex. Po odstránení uzla z klastra odstráňte virtuálny počítač, aby ste zabránili ďalšiemu prístupu k vašim bezpečnostným údajom.
                                                                                                                                                  1

                                                                                                                                                  Pomocou klienta VMware vSphere vo svojom počítači sa prihláste do virtuálneho hostiteľa ESXi a vypnite virtuálny počítač.

                                                                                                                                                  2

                                                                                                                                                  Odstráňte uzol:

                                                                                                                                                  1. Prihláste sa do Control Hub a potom vyberte Služby.

                                                                                                                                                  2. Na karte Hybrid Data Security kliknite na Zobraziť všetko zobrazíte stránku Hybrid Data Security Resources.

                                                                                                                                                  3. Vyberte svoj klaster, aby sa zobrazil jeho panel Prehľad.

                                                                                                                                                  4. Kliknite Otvorte zoznam uzlov.

                                                                                                                                                  5. Na karte Uzly vyberte uzol, ktorý chcete odstrániť.

                                                                                                                                                  6. Kliknite Akcie > Zrušte registráciu uzla.

                                                                                                                                                  3

                                                                                                                                                  V klientovi vSphere odstráňte VM. (Na ľavom navigačnom paneli kliknite pravým tlačidlom myši na VM a kliknite na Odstrániť.)

                                                                                                                                                  Ak nevymažete VM, nezabudnite odpojiť konfiguračný súbor ISO. Bez súboru ISO nemôžete použiť VM na prístup k bezpečnostným údajom.

                                                                                                                                                  Obnova po havárii pomocou pohotovostného dátového centra

                                                                                                                                                  Najdôležitejšou službou, ktorú váš klaster Hybrid Data Security poskytuje, je vytváranie a ukladanie kľúčov používaných na šifrovanie správ a iného obsahu uloženého v cloude Webex. Pre každého používateľa v rámci organizácie, ktorý je priradený k Hybrid Data Security, sú do klastra smerované nové požiadavky na vytvorenie kľúča. Klaster je tiež zodpovedný za vrátenie kľúčov, ktoré vytvoril, všetkým používateľom oprávneným na ich získanie, napríklad členom konverzačného priestoru.

                                                                                                                                                  Pretože klaster vykonáva kritickú funkciu poskytovania týchto kľúčov, je nevyhnutné, aby klaster zostal spustený a aby boli udržiavané správne zálohy. Strata databázy Hybrid Data Security alebo konfigurácie ISO použitej pre schému bude mať za následok NENÁVRATNÚ STRATU zákazníckeho obsahu. Aby sa predišlo takejto strate, sú povinné nasledujúce postupy:

                                                                                                                                                  Ak havária spôsobí, že nasadenie HDS v primárnom dátovom centre sa stane nedostupným, podľa tohto postupu manuálne prepnite na pohotovostné dátové centrum.

                                                                                                                                                  1

                                                                                                                                                  Spustite nástroj HDS Setup a postupujte podľa krokov uvedených v Vytvorte ISO konfigurácie pre hostiteľov HDS.

                                                                                                                                                  2

                                                                                                                                                  Po nakonfigurovaní servera Syslogd kliknite na Pokročilé nastavenia

                                                                                                                                                  3

                                                                                                                                                  Na Pokročilé nastavenia pridajte konfiguráciu nižšie alebo odstráňte passiveMode konfiguráciu, aby bol uzol aktívny. Keď je toto nakonfigurované, uzol môže spracovať prevádzku.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť.

                                                                                                                                                  5

                                                                                                                                                  Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii.

                                                                                                                                                  6

                                                                                                                                                  V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na VM a kliknite Upraviť nastavenia..

                                                                                                                                                  7

                                                                                                                                                  Kliknite Upraviť nastavenia >CD/DVD mechanika 1 a vyberte Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Uisti sa Pripojené a Pripojte pri zapnutí sú skontrolované, aby sa aktualizované zmeny konfigurácie prejavili po spustení uzlov.

                                                                                                                                                  8

                                                                                                                                                  Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy.

                                                                                                                                                  9

                                                                                                                                                  Opakujte proces pre každý uzol v pohotovostnom dátovom centre.


                                                                                                                                                   

                                                                                                                                                  Skontrolujte výstup syslog a overte, či uzly pohotovostného dátového centra nie sú v pasívnom režime. V syslogoch by sa nemalo objaviť „KMS nakonfigurované v pasívnom režime“.

                                                                                                                                                  Čo urobiť ďalej

                                                                                                                                                  Ak sa po prepnutí pri zlyhaní opäť aktivuje primárne dátové centrum, uveďte pohotovostné dátové centrum opäť do pasívneho režimu podľa krokov popísaných v časti Nastavte pohotovostné dátové centrum pre obnovu po havárii.

                                                                                                                                                  (Voliteľné) Odpojte ISO po konfigurácii HDS

                                                                                                                                                  Štandardná konfigurácia HDS beží s namontovaným ISO. Niektorí zákazníci však uprednostňujú neponechať súbory ISO nepretržite pripojené. Súbor ISO môžete odpojiť potom, čo všetky uzly HDS prevezmú novú konfiguráciu.

                                                                                                                                                  Na vykonanie zmien v konfigurácii stále používate súbory ISO. Keď vytvoríte nový ISO alebo aktualizujete ISO pomocou nástroja Setup Tool, musíte aktualizovaný ISO pripojiť na všetky vaše uzly HDS. Keď všetky vaše uzly zachytia zmeny konfigurácie, môžete ISO znova odpojiť pomocou tohto postupu.

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  Inovujte všetky svoje uzly HDS na verziu 2021.01.22.4720 alebo novšiu.

                                                                                                                                                  1

                                                                                                                                                  Vypnite jeden z uzlov HDS.

                                                                                                                                                  2

                                                                                                                                                  V serverovom zariadení vCenter vyberte uzol HDS.

                                                                                                                                                  3

                                                                                                                                                  Vyberte si Upraviť nastavenia > CD/DVD mechanika a zrušte začiarknutie Súbor ISO úložiska údajov.

                                                                                                                                                  4

                                                                                                                                                  Zapnite uzol HDS a uistite sa, že aspoň 20 minút nie sú žiadne alarmy.

                                                                                                                                                  5

                                                                                                                                                  Postup opakujte pre každý uzol HDS.

                                                                                                                                                  Riešenie problémov so zabezpečením hybridných údajov

                                                                                                                                                  Zobraziť upozornenia a riešenie problémov

                                                                                                                                                  Nasadenie Hybrid Data Security sa považuje za nedostupné, ak sú všetky uzly v klastri nedostupné alebo klaster pracuje tak pomaly, že si vyžaduje časový limit. Ak používatelia nemôžu dosiahnuť váš klaster Hybrid Data Security, zaznamenajú nasledujúce príznaky:

                                                                                                                                                  • Nie je možné vytvoriť nové medzery (nemožno vytvoriť nové kľúče)

                                                                                                                                                  • Správy a názvy priestorov sa nepodarilo dešifrovať pre:

                                                                                                                                                    • Noví používatelia pridaní do priestoru (nemožno načítať kľúče)

                                                                                                                                                    • Existujúci používatelia v priestore používajúci nového klienta (nemožno načítať kľúče)

                                                                                                                                                  • Existujúci používatelia v priestore budú naďalej úspešne fungovať, pokiaľ budú mať ich klienti vyrovnávaciu pamäť šifrovacích kľúčov

                                                                                                                                                  Je dôležité, aby ste správne monitorovali svoj klaster Hybrid Data Security a okamžite riešili všetky výstrahy, aby ste predišli prerušeniu služby.

                                                                                                                                                  Upozornenia

                                                                                                                                                  Ak sa vyskytne problém s nastavením Hybrid Data Security, Control Hub zobrazí upozornenia správcovi organizácie a odošle e-maily na nakonfigurovanú e-mailovú adresu. Výstrahy pokrývajú mnoho bežných scenárov.

                                                                                                                                                  Tabuľka č. 1 Bežné problémy a kroky na ich vyriešenie

                                                                                                                                                  Upozornenie

                                                                                                                                                  Akcia

                                                                                                                                                  Zlyhanie prístupu k lokálnej databáze.

                                                                                                                                                  Skontrolujte chyby databázy alebo problémy s lokálnou sieťou.

                                                                                                                                                  Zlyhanie pripojenia k lokálnej databáze.

                                                                                                                                                  Skontrolujte, či je databázový server dostupný a či boli v konfigurácii uzla použité správne poverenia servisného účtu.

                                                                                                                                                  Zlyhanie prístupu k cloudovej službe.

                                                                                                                                                  Skontrolujte, či majú uzly prístup k serverom Webex, ako je uvedené v Požiadavky na externé pripojenie.

                                                                                                                                                  Obnovuje sa registrácia cloudovej služby.

                                                                                                                                                  Registrácia do cloudových služieb bola zrušená. Prebieha obnova registrácie.

                                                                                                                                                  Registrácia cloudovej služby bola zrušená.

                                                                                                                                                  Registrácia do cloudových služieb bola ukončená. Služba sa vypína.

                                                                                                                                                  Služba ešte nie je aktivovaná.

                                                                                                                                                  Aktivujte skúšobnú verziu alebo dokončite presun skúšky do produkcie.

                                                                                                                                                  Nakonfigurovaná doména sa nezhoduje s certifikátom servera.

                                                                                                                                                  Uistite sa, že váš certifikát servera sa zhoduje s nakonfigurovanou doménou aktivácie služby.

                                                                                                                                                  Najpravdepodobnejšou príčinou je, že certifikát CN bol nedávno zmenený a teraz sa líši od CN, ktorý bol použitý počas počiatočného nastavenia.

                                                                                                                                                  Nepodarilo sa overiť v cloudových službách.

                                                                                                                                                  Skontrolujte presnosť a možné vypršanie platnosti poverení servisného účtu.

                                                                                                                                                  Nepodarilo sa otvoriť súbor lokálneho úložiska kľúčov.

                                                                                                                                                  Skontrolujte integritu a presnosť hesla v lokálnom súbore skladu kľúčov.

                                                                                                                                                  Certifikát lokálneho servera je neplatný.

                                                                                                                                                  Skontrolujte dátum vypršania platnosti certifikátu servera a potvrďte, že bol vydaný dôveryhodnou certifikačnou autoritou.

                                                                                                                                                  Nie je možné uverejniť metriky.

                                                                                                                                                  Skontrolujte prístup k lokálnej sieti k externým cloudovým službám.

                                                                                                                                                  Adresár /media/configdrive/hds neexistuje.

                                                                                                                                                  Skontrolujte konfiguráciu pripojenia ISO na virtuálnom hostiteľovi. Overte, či súbor ISO existuje, či je nakonfigurovaný na pripojenie pri reštarte a či sa úspešne pripojí.

                                                                                                                                                  Riešenie problémov so zabezpečením hybridných údajov

                                                                                                                                                  Pri riešení problémov s Hybrid Data Security použite nasledujúce všeobecné pokyny.
                                                                                                                                                  1

                                                                                                                                                  Skontrolujte si v Control Hub všetky upozornenia a opravte všetky položky, ktoré tam nájdete.

                                                                                                                                                  2

                                                                                                                                                  Skontrolujte výstup servera syslog pre aktivitu z nasadenia Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Kontakt Podpora Cisco.

                                                                                                                                                  Ďalšie poznámky

                                                                                                                                                  Známe problémy s hybridnou bezpečnosťou dát

                                                                                                                                                  • Ak vypnete svoj klaster Hybrid Data Security (odstránením v Control Hub alebo vypnutím všetkých uzlov), stratíte svoj konfiguračný súbor ISO alebo stratíte prístup k databáze úložiska kľúčov, používatelia vašej aplikácie Webex App už nebudú môcť používať priestory pod svojimi ľuďmi. zoznam, ktorý bol vytvorený pomocou kľúčov z vášho KMS. Platí to pre skúšobné aj produkčné nasadenia. V súčasnosti nemáme riešenie ani opravu tohto problému a žiadame vás, aby ste nevypínali svoje služby HDS, keď budú spracovávať aktívne používateľské účty.

                                                                                                                                                  • Klient, ktorý má existujúce pripojenie ECDH ku KMS, udržiava toto pripojenie určitý čas (pravdepodobne jednu hodinu). Keď sa používateľ stane členom skúšobnej verzie Hybrid Data Security, klient používateľa naďalej používa existujúce pripojenie ECDH, kým nevyprší časový limit. Prípadne sa používateľ môže odhlásiť a znova prihlásiť do aplikácie Webex App, aby aktualizoval umiestnenie, ktoré aplikácia kontaktuje pre šifrovacie kľúče.

                                                                                                                                                    Rovnaké správanie nastane, keď presuniete skúšobnú verziu do produkcie organizácie. Všetci neskúšobní používatelia s existujúcimi pripojeniami ECDH k predchádzajúcim službám zabezpečenia údajov budú tieto služby naďalej používať, kým sa znovu nedohodne pripojenie ECDH (prostredníctvom časového limitu alebo odhlásením a opätovným prihlásením).

                                                                                                                                                  Na vygenerovanie súboru PKCS12 použite OpenSSL

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  • OpenSSL je jeden nástroj, ktorý možno použiť na vytvorenie súboru PKCS12 v správnom formáte na načítanie v nástroji HDS Setup Tool. Existujú aj iné spôsoby, ako to urobiť, a my nepodporujeme ani nepresadzujeme jeden spôsob oproti druhému.

                                                                                                                                                  • Ak sa rozhodnete použiť OpenSSL, poskytujeme tento postup ako návod, ktorý vám pomôže vytvoriť súbor, ktorý spĺňa požiadavky certifikátu X.509 v Požiadavky na certifikát X.509. Než budete pokračovať, pochopte tieto požiadavky.

                                                                                                                                                  • Nainštalujte OpenSSL v podporovanom prostredí. Pozri https://www.openssl.org pre softvér a dokumentáciu.

                                                                                                                                                  • Vytvorte súkromný kľúč.

                                                                                                                                                  • Tento postup začnite, keď dostanete certifikát servera od certifikačnej autority (CA).

                                                                                                                                                  1

                                                                                                                                                  Keď dostanete certifikát servera od vašej CA, uložte ho ako hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Zobrazte certifikát ako text a overte podrobnosti.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Pomocou textového editora vytvorte súbor zväzku certifikátov s názvom hdsnode-bundle.pem. Súbor balíka musí obsahovať certifikát servera, akékoľvek sprostredkujúce certifikáty CA a certifikáty koreňovej CA vo formáte nižšie:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Vytvorte súbor .p12 s popisným názvom kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Skontrolujte podrobnosti certifikátu servera.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Vo výzve zadajte heslo na zašifrovanie súkromného kľúča, aby bol uvedený vo výstupe. Potom skontrolujte, či súkromný kľúč a prvý certifikát obsahujú riadky friendlyName: kms-private-key.

                                                                                                                                                    Príklad:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Čo urobiť ďalej

                                                                                                                                                  Návrat do Vyplňte Predpoklady pre hybridnú bezpečnosť údajov. Budete používať hdsnode.p12 súbor a heslo, ktoré ste preň nastavili Vytvorte ISO konfigurácie pre hostiteľov HDS.


                                                                                                                                                   

                                                                                                                                                  Tieto súbory môžete znova použiť na vyžiadanie nového certifikátu, keď platnosť pôvodného certifikátu vyprší.

                                                                                                                                                  Prevádzka medzi uzlami HDS a cloudom

                                                                                                                                                  Odchádzajúca návštevnosť zberu metrík

                                                                                                                                                  Uzly Hybrid Data Security odosielajú určité metriky do cloudu Webex. Patria sem systémové metriky pre maximálnu haldu, využitú haldu, zaťaženie procesora a počet vlákien; metriky na synchrónnych a asynchrónnych vláknach; metriky výstrah zahŕňajúce prah šifrovacích pripojení, latenciu alebo dĺžku frontu požiadaviek; metriky na dátovom úložisku; a metriky šifrovaného pripojenia. Uzly posielajú zašifrovaný kľúčový materiál cez kanál mimo pásma (oddelený od požiadavky).

                                                                                                                                                  Prichádzajúca premávka

                                                                                                                                                  Uzly Hybrid Data Security prijímajú nasledujúce typy prichádzajúcej prevádzky z cloudu Webex:

                                                                                                                                                  • Šifrovacie požiadavky od klientov, ktoré sú smerované šifrovacou službou

                                                                                                                                                  • Aktualizácie softvéru uzla

                                                                                                                                                  Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát

                                                                                                                                                  Websocket sa nemôže pripojiť cez Squid Proxy

                                                                                                                                                  Proxy serverov chobotnice, ktoré kontrolujú prenos HTTPS, môžu zasahovať do vytvorenia webovej zásuvky ( wss:) pripojenia, ktoré vyžaduje Hybrid Data Security. Tieto časti poskytujú návod, ako nakonfigurovať rôzne verzie Squid na ignorovanie wss: prevádzky pre správne fungovanie služieb.

                                                                                                                                                  Kalmáre 4 a 5

                                                                                                                                                  Pridajte on_unsupported_protocol smernica k squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Kalmáre 3.5.27

                                                                                                                                                  Hybridnú bezpečnosť dát sme úspešne otestovali s nasledujúcimi pravidlami squid.conf. Tieto pravidlá sa môžu meniť, pretože vyvíjame funkcie a aktualizujeme cloud Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Predslov

                                                                                                                                                  Nové a zmenené informácie

                                                                                                                                                  Dátum

                                                                                                                                                  Vykonané zmeny

                                                                                                                                                  20. októbra 2023

                                                                                                                                                  7. augusta 2023

                                                                                                                                                  23. mája 2023

                                                                                                                                                  6. decembra 2022

                                                                                                                                                  23. novembra 2022

                                                                                                                                                  13. októbra 2021

                                                                                                                                                  Pred inštaláciou uzlov HDS musí Docker Desktop spustiť inštalačný program. Pozri Požiadavky na plochu Docker.

                                                                                                                                                  24. júna 2021

                                                                                                                                                  Upozorňujeme, že súbor so súkromným kľúčom a CSR môžete znova použiť na vyžiadanie ďalšieho certifikátu. Pozri Na vygenerovanie súboru PKCS12 použite OpenSSL pre podrobnosti.

                                                                                                                                                  30. apríla 2021

                                                                                                                                                  Požiadavka VM na lokálny pevný disk sa zmenila na 30 GB. Pozri Požiadavky na virtuálny hostiteľ pre podrobnosti.

                                                                                                                                                  24. februára 2021

                                                                                                                                                  HDS Setup Tool teraz môže bežať za serverom proxy. Pozri Vytvorte ISO konfigurácie pre hostiteľov HDS pre podrobnosti.

                                                                                                                                                  2. februára 2021

                                                                                                                                                  HDS teraz môže bežať bez pripojeného súboru ISO. Pozri (Voliteľné) Odpojte ISO po konfigurácii HDS pre podrobnosti.

                                                                                                                                                  11. januára 2021

                                                                                                                                                  Pridané informácie o nástroji HDS Setup a proxy serveroch Vytvorte ISO konfigurácie pre hostiteľov HDS.

                                                                                                                                                  13. októbra 2020

                                                                                                                                                  Aktualizované Stiahnite si inštalačné súbory.

                                                                                                                                                  8. októbra 2020

                                                                                                                                                  Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS a Zmeňte konfiguráciu uzla s príkazmi pre prostredia FedRAMP.

                                                                                                                                                  14. augusta 2020

                                                                                                                                                  Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS a Zmeňte konfiguráciu uzla so zmenami v procese prihlasovania.

                                                                                                                                                  5. augusta 2020

                                                                                                                                                  Aktualizované Otestujte svoje nasadenie hybridného zabezpečenia dát pre zmeny v protokolových správach.

                                                                                                                                                  Aktualizované Požiadavky na virtuálny hostiteľ na odstránenie maximálneho počtu hostiteľov.

                                                                                                                                                  16. júna 2020

                                                                                                                                                  Aktualizované Odstráňte uzol pre zmeny v používateľskom rozhraní Control Hub.

                                                                                                                                                  4. júna 2020

                                                                                                                                                  Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS pre zmeny v rozšírených nastaveniach, ktoré môžete nastaviť.

                                                                                                                                                  29. mája 2020

                                                                                                                                                  Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS ukázať, že TLS môžete použiť aj s databázami SQL Server, zmenami používateľského rozhrania a ďalšími vysvetleniami.

                                                                                                                                                  5. mája 2020

                                                                                                                                                  Aktualizované Požiadavky na virtuálny hostiteľ ukázať novú požiadavku ESXi 6.5.

                                                                                                                                                  21. apríla 2020

                                                                                                                                                  Aktualizované Požiadavky na externé pripojenie s novými hostiteľmi Americas CI.

                                                                                                                                                  1. apríla 2020

                                                                                                                                                  Aktualizované Požiadavky na externé pripojenie s informáciami o regionálnych hostiteľoch CI.

                                                                                                                                                  20. februára 2020Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS s informáciami o novej voliteľnej obrazovke rozšírených nastavení v nástroji HDS Setup Tool.
                                                                                                                                                  4. februára 2020Aktualizované Požiadavky na proxy server.
                                                                                                                                                  16. decembra 2019Objasnená požiadavka, aby fungoval režim zablokovaného externého rozlíšenia DNS Požiadavky na proxy server.
                                                                                                                                                  19. novembra 2019

                                                                                                                                                  Pridané informácie o režime zablokovaného externého rozlíšenia DNS v nasledujúcich častiach:

                                                                                                                                                  8. novembra 2019

                                                                                                                                                  Teraz môžete konfigurovať sieťové nastavenia pre uzol počas nasadzovania OVA a nie neskôr.

                                                                                                                                                  Podľa toho aktualizovali nasledujúce sekcie:


                                                                                                                                                   

                                                                                                                                                  Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 6.5. Táto možnosť nemusí byť dostupná v starších verziách.

                                                                                                                                                  6. septembra 2019

                                                                                                                                                  Pridaný SQL Server Standard do Požiadavky na databázový server.

                                                                                                                                                  29. augusta 2019Pridané Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát príloha s návodom na konfiguráciu proxy serverov Squid tak, aby ignorovali prevádzku websocket pre správnu činnosť.
                                                                                                                                                  20. augusta 2019

                                                                                                                                                  Pridané a aktualizované sekcie pokrývajúce podporu proxy pre komunikáciu uzlov Hybrid Data Security do cloudu Webex.

                                                                                                                                                  Ak chcete získať prístup len k obsahu podpory proxy pre existujúce nasadenie, pozrite si Podpora proxy pre hybridné zabezpečenie dát a Webex Video Mesh pomocný článok.

                                                                                                                                                  13. júna 2019Aktualizované Skúšobný postup produkčných úloh s pripomienkou na synchronizáciu HdsTrialGroup skupinový objekt pred spustením skúšobnej verzie, ak vaša organizácia používa synchronizáciu adresárov.
                                                                                                                                                  6. marca 2019
                                                                                                                                                  28. februára 2019
                                                                                                                                                  • Opravené množstvo miesta na lokálnom pevnom disku na server, ktoré by ste si mali vyčleniť pri príprave virtuálnych hostiteľov, ktorí sa stanú uzlami Hybrid Data Security, z 50 GB na 20 GB, aby odrážali veľkosť disku, ktorý vytvára OVA.

                                                                                                                                                  26. februára 2019
                                                                                                                                                  • Uzly Hybrid Data Security teraz podporujú šifrované pripojenia s databázovými servermi PostgreSQL a šifrované protokolované pripojenia k serveru syslog s podporou TLS. Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS s návodom.

                                                                                                                                                  • Odstránili sa cieľové adresy URL z tabuľky „Požiadavky na internetové pripojenie pre virtuálne počítače s uzlom na zabezpečenie hybridných údajov“. Tabuľka teraz odkazuje na zoznam udržiavaný v tabuľke „Ďalšie adresy URL pre hybridné služby Webex Teams“ Sieťové požiadavky pre Webex Teams Services.

                                                                                                                                                  24. januára 2019

                                                                                                                                                  • Hybrid Data Security teraz podporuje Microsoft SQL Server ako databázu. SQL Server Always On (Always On Failover Clusters a Always On Availability Groups) je podporovaný ovládačmi JDBC, ktoré sa používajú v Hybrid Data Security. Pridaný obsah súvisiaci s nasadením so serverom SQL Server.


                                                                                                                                                     

                                                                                                                                                    Podpora Microsoft SQL Server je určená len pre nové nasadenia Hybrid Data Security. Momentálne nepodporujeme migráciu údajov z PostgreSQL na Microsoft SQL Server v existujúcom nasadení.

                                                                                                                                                  5. novembra 2018
                                                                                                                                                  19. októbra 2018

                                                                                                                                                  31. júla 2018

                                                                                                                                                  21. mája 2018

                                                                                                                                                  Zmenená terminológia, aby odrážala rebranding Cisco Spark:

                                                                                                                                                  • Cisco Spark Hybrid Data Security je teraz Hybrid Data Security.

                                                                                                                                                  • Aplikácia Cisco Spark je teraz aplikáciou Webex App.

                                                                                                                                                  • Cisco Collaboraton Cloud je teraz cloud Webex.

                                                                                                                                                  11. apríla 2018
                                                                                                                                                  22. februára 2018
                                                                                                                                                  15. február 2018
                                                                                                                                                  • V Požiadavky na certifikát X.509 Tabuľka špecifikovala, že certifikát nemôže byť zástupný certifikát a že KMS používa doménu CN, nie akúkoľvek doménu, ktorá je definovaná v poliach x.509v3 SAN.

                                                                                                                                                  18. januára 2018

                                                                                                                                                  2. novembra 2017

                                                                                                                                                  • Vyjasnená synchronizácia adresárov skupiny HdsTrialGroup.

                                                                                                                                                  • Opravené pokyny na nahrávanie konfiguračného súboru ISO na pripojenie do uzlov VM.

                                                                                                                                                  18. augusta 2017

                                                                                                                                                  Prvýkrát zverejnené

                                                                                                                                                  Začnite s hybridným zabezpečením dát

                                                                                                                                                  Prehľad zabezpečenia hybridných údajov

                                                                                                                                                  Od prvého dňa bola bezpečnosť údajov prvoradá pri navrhovaní Aplikácia Webex. Základným kameňom tohto zabezpečenia je komplexné šifrovanie obsahu, ktoré umožňuje Aplikácia Webex klientov interagujúcich so službou správy kľúčov (KMS). KMS je zodpovedný za vytváranie a správu kryptografických kľúčov, ktoré klienti používajú na dynamické šifrovanie a dešifrovanie správ a súborov.

                                                                                                                                                  Štandardne všetky Aplikácia Webex zákazníci získajú end-to-end šifrovanie s dynamickými kľúčmi uloženými v cloudovom KMS v oblasti bezpečnosti Cisco. Hybrid Data Security presúva KMS a ďalšie funkcie súvisiace so zabezpečením do vášho podnikového dátového centra, takže kľúče k vášmu šifrovanému obsahu nemá nikto okrem vás.

                                                                                                                                                  Architektúra bezpečnostnej sféry

                                                                                                                                                  Cloudová architektúra Webex oddeľuje rôzne typy služieb do samostatných oblastí alebo dôveryhodných domén, ako je znázornené nižšie.

                                                                                                                                                  Realms of Separation (bez Hybrid Data Security)

                                                                                                                                                  Aby sme lepšie porozumeli Hybrid Data Security, pozrime sa najprv na tento čistý cloud, kde Cisco poskytuje všetky funkcie vo svojich cloudových sférach. Služba identity, jediné miesto, kde môžu používatelia priamo korelovať so svojimi osobnými údajmi, ako je e-mailová adresa, je logicky a fyzicky oddelená od oblasti zabezpečenia v dátovom centre B. Obe sú zase oddelené od oblasti, kde je v konečnom dôsledku uložený šifrovaný obsah. , v dátovom centre C.

                                                                                                                                                  V tomto diagrame je klientom aplikácia Webex, ktorá beží na notebooku používateľa a je overená službou identity. Keď používateľ vytvorí správu na odoslanie do priestoru, vykonajú sa tieto kroky:

                                                                                                                                                  1. Klient vytvorí zabezpečené spojenie so službou správy kľúčov (KMS), potom požiada o kľúč na zašifrovanie správy. Zabezpečené pripojenie používa ECDH a KMS šifruje kľúč pomocou hlavného kľúča AES-256.

                                                                                                                                                  2. Správa je pred opustením klienta zašifrovaná. Klient ho odošle do indexovacej služby, ktorá vytvorí šifrované indexy vyhľadávania na pomoc pri budúcom vyhľadávaní obsahu.

                                                                                                                                                  3. Zašifrovaná správa sa odošle do služby súladu na kontrolu súladu.

                                                                                                                                                  4. Zašifrovaná správa je uložená v úložnej sfére.

                                                                                                                                                  Keď nasadíte Hybrid Data Security, presuniete funkcie bezpečnostnej sféry (KMS, indexovanie a súlad) do vášho lokálneho dátového centra. Ostatné cloudové služby, ktoré tvoria Webex (vrátane ukladania identity a obsahu), zostávajú v sférach spoločnosti Cisco.

                                                                                                                                                  Spolupráca s inými organizáciami

                                                                                                                                                  Používatelia vo vašej organizácii môžu pravidelne používať aplikáciu Webex na spoluprácu s externými účastníkmi v iných organizáciách. Keď jeden z vašich používateľov požaduje kľúč pre priestor, ktorý vlastní vaša organizácia (pretože ho vytvoril jeden z vašich používateľov), váš KMS odošle kľúč klientovi cez zabezpečený kanál ECDH. Keď však kľúč priestoru vlastní iná organizácia, váš KMS nasmeruje požiadavku do cloudu Webex cez samostatný kanál ECDH, aby získal kľúč z príslušného KMS, a potom vráti kľúč vášmu používateľovi na pôvodnom kanáli.

                                                                                                                                                  Služba KMS spustená v organizácii A overuje pripojenia ku KMS v iných organizáciách pomocou x.509 PKI certifikátov. Pozri Pripravte si prostredie podrobnosti o generovaní x.509 certifikátu na použitie s nasadením Hybrid Data Security.

                                                                                                                                                  Očakávania týkajúce sa nasadenia hybridnej bezpečnosti údajov

                                                                                                                                                  Nasadenie Hybrid Data Security si vyžaduje značné nasadenie zákazníkov a uvedomenie si rizík, ktoré so sebou prináša vlastníctvo šifrovacích kľúčov.

                                                                                                                                                  Ak chcete nasadiť Hybrid Data Security, musíte poskytnúť:

                                                                                                                                                  Úplná strata buď konfiguračného ISO, ktoré ste vytvorili pre Hybrid Data Security, alebo databázy, ktorú poskytnete, bude mať za následok stratu kľúčov. Strata kľúča bráni používateľom dešifrovať obsah priestoru a ďalšie šifrované údaje v aplikácii Webex. Ak sa tak stane, môžete vytvoriť nové nasadenie, ale bude viditeľný iba nový obsah. Aby ste predišli strate prístupu k údajom, musíte:

                                                                                                                                                  • Spravujte zálohovanie a obnovu databázy a konfiguračného ISO.

                                                                                                                                                  • Buďte pripravení vykonať rýchlu obnovu po havárii, ak dôjde ku katastrofe, ako je zlyhanie databázového disku alebo katastrofa dátového centra.


                                                                                                                                                   

                                                                                                                                                  Neexistuje žiadny mechanizmus na presun kľúčov späť do cloudu po nasadení HDS.

                                                                                                                                                  Proces nastavenia na vysokej úrovni

                                                                                                                                                  Tento dokument pokrýva nastavenie a správu nasadenia Hybrid Data Security:

                                                                                                                                                  • Nastavte Hybridné zabezpečenie dát—To zahŕňa prípravu požadovanej infraštruktúry a inštaláciu softvéru Hybrid Data Security, testovanie vášho nasadenia s podskupinou používateľov v skúšobnom režime a po dokončení testovania prechod do produkcie. To prevedie celú organizáciu na používanie vášho klastra Hybrid Data Security na bezpečnostné funkcie.

                                                                                                                                                    Fázy nastavenia, skúšania a výroby sú podrobne opísané v nasledujúcich troch kapitolách.

                                                                                                                                                  • Udržujte svoje nasadenie Hybrid Data Security— Cloud Webex automaticky poskytuje priebežné aktualizácie. Vaše IT oddelenie môže poskytnúť podporu prvej úrovne pre toto nasadenie a podľa potreby zapojiť podporu Cisco. V Control Hub môžete používať upozornenia na obrazovke a nastaviť upozornenia prostredníctvom e-mailu.

                                                                                                                                                  • Pochopte bežné upozornenia, kroky na riešenie problémov a známe problémy—Ak narazíte na problémy s nasadením alebo používaním Hybrid Data Security, posledná kapitola tejto príručky a príloha Známe problémy vám môžu pomôcť určiť a vyriešiť problém.

                                                                                                                                                  Hybridný model nasadenia zabezpečenia dát

                                                                                                                                                  V rámci podnikového dátového centra nasadíte Hybrid Data Security ako jeden klaster uzlov na samostatných virtuálnych hostiteľoch. Uzly komunikujú s cloudom Webex prostredníctvom zabezpečených webových zásuviek a zabezpečeného HTTP.

                                                                                                                                                  Počas procesu inštalácie vám poskytneme súbor OVA na nastavenie virtuálneho zariadenia na VM, ktoré poskytnete. Nástroj HDS Setup Tool použijete na vytvorenie vlastného konfiguračného súboru ISO klastra, ktorý pripojíte na každý uzol. Klaster Hybrid Data Security využíva váš poskytnutý server Syslogd a databázu PostgreSQL alebo Microsoft SQL Server. (Syslogd a podrobnosti o pripojení k databáze nakonfigurujete v nástroji HDS Setup Tool.)

                                                                                                                                                  Hybridný model nasadenia zabezpečenia dát

                                                                                                                                                  Minimálny počet uzlov, ktoré môžete mať v klastri, sú dva. Odporúčame aspoň tri a môžete ich mať až päť. Viacnásobné uzly zaisťujú, že služba nebude prerušená počas aktualizácie softvéru alebo inej činnosti údržby na uzle. (Cloud Webex aktualizuje naraz iba jeden uzol.)

                                                                                                                                                  Všetky uzly v klastri pristupujú k rovnakému úložisku údajov kľúčov a zaznamenávajú aktivitu na rovnaký server syslog. Samotné uzly sú bez stavu a spracovávajú kľúčové požiadavky v režime round-robin podľa pokynov cloudu.

                                                                                                                                                  Uzly sa stanú aktívnymi, keď ich zaregistrujete v Control Hub. Ak chcete vyradiť jednotlivý uzol z prevádzky, môžete ho zrušiť a neskôr v prípade potreby znova zaregistrovať.

                                                                                                                                                  Podporujeme iba jeden klaster na organizáciu.

                                                                                                                                                  Skúšobný režim hybridnej bezpečnosti dát

                                                                                                                                                  Po nastavení nasadenia Hybrid Data Security ho najskôr vyskúšate so skupinou pilotných používateľov. Počas skúšobného obdobia títo používatelia používajú vašu lokálnu doménu Hybrid Data Security na šifrovacie kľúče a ďalšie služby v oblasti zabezpečenia. Ostatní vaši používatelia naďalej používajú oblasť zabezpečenia cloudu.

                                                                                                                                                  Ak sa rozhodnete nepokračovať v nasadzovaní počas skúšobného obdobia a službu deaktivujete, pilotní používatelia a všetci používatelia, s ktorými počas skúšobného obdobia interagovali vytvorením nových priestorov, stratia prístup k správam a obsahu. V aplikácii Webex sa im zobrazí „Táto správa sa nedá dešifrovať“.

                                                                                                                                                  Ak ste spokojní s tým, že vaše nasadenie funguje dobre pre skúšobných používateľov a ste pripravení rozšíriť Hybrid Data Security na všetkých svojich používateľov, presuniete nasadenie do produkcie. Pilotní používatelia majú naďalej prístup ku kľúčom, ktoré sa používali počas skúšobnej verzie. Nemôžete sa však pohybovať tam a späť medzi produkčným režimom a pôvodnou skúšobnou verziou. Ak musíte službu deaktivovať, napríklad vykonať obnovu po havárii, pri opätovnej aktivácii musíte spustiť novú skúšobnú verziu a nastaviť skupinu pilotných používateľov pre novú skúšobnú verziu, než sa vrátite späť do produkčného režimu. Či si používatelia v tomto bode zachovajú prístup k údajom, závisí od toho, či ste úspešne udržiavali zálohy úložiska kľúčových údajov a konfiguračného súboru ISO pre uzly Hybrid Data Security vo vašom klastri.

                                                                                                                                                  Pohotovostné dátové centrum pre obnovu po havárii

                                                                                                                                                  Počas nasadenia nastavíte zabezpečené pohotovostné dátové centrum. V prípade havárie dátového centra môžete manuálne zlyhať nasadenie do pohotovostného dátového centra.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Manuálne prepnutie do pohotovostného dátového centra

                                                                                                                                                  Databázy aktívnych a pohotovostných dátových centier sú navzájom synchronizované, čo minimalizuje čas potrebný na vykonanie núdzového prepnutia. Súbor ISO pohotovostného dátového centra sa aktualizuje o ďalšie konfigurácie, ktoré zaisťujú, že uzly sú registrované v organizácii, ale nebudú spracovávať prevádzku. Preto uzly pohotovostného dátového centra zostávajú vždy aktuálne s najnovšou verziou softvéru HDS.


                                                                                                                                                   

                                                                                                                                                  Aktívne uzly Hybrid Data Security musia byť vždy v rovnakom údajovom centre ako aktívny databázový server.

                                                                                                                                                  Nastavte pohotovostné dátové centrum pre obnovu po havárii

                                                                                                                                                  Ak chcete nakonfigurovať súbor ISO pohotovostného dátového centra, postupujte podľa nasledujúcich krokov:

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  • Pohotovostné dátové centrum by malo odrážať produkčné prostredie VM a záložnú databázu PostgreSQL alebo Microsoft SQL Server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM. (Pozri Pohotovostné dátové centrum pre obnovu po havárii pre prehľad tohto modelu núdzového prepnutia.)

                                                                                                                                                  • Uistite sa, že je povolená synchronizácia databázy medzi databázou aktívnych a pasívnych uzlov klastra.

                                                                                                                                                  1

                                                                                                                                                  Spustite nástroj HDS Setup a postupujte podľa krokov uvedených v Vytvorte ISO konfigurácie pre hostiteľov HDS.


                                                                                                                                                   

                                                                                                                                                  Súbor ISO musí byť kópiou pôvodného súboru ISO primárneho dátového centra, v ktorom sa majú vykonať nasledujúce aktualizácie konfigurácie.

                                                                                                                                                  2

                                                                                                                                                  Po nakonfigurovaní servera Syslogd kliknite na Pokročilé nastavenia

                                                                                                                                                  3

                                                                                                                                                  Na Pokročilé nastavenia pridajte konfiguráciu nižšie, aby ste umiestnili uzol do pasívneho režimu. V tomto režime bude uzol zaregistrovaný v organizácii a pripojený ku cloudu, ale nebude spracovávať žiadny prenos.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť.

                                                                                                                                                  5

                                                                                                                                                  Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii.

                                                                                                                                                  6

                                                                                                                                                  V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na VM a kliknite Upraviť nastavenia..

                                                                                                                                                  7

                                                                                                                                                  Kliknite Upraviť nastavenia >CD/DVD mechanika 1 a vyberte Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Uisti sa Pripojené a Pripojte pri zapnutí sú skontrolované, aby sa aktualizované zmeny konfigurácie prejavili po spustení uzlov.

                                                                                                                                                  8

                                                                                                                                                  Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy.

                                                                                                                                                  9

                                                                                                                                                  Opakujte proces pre každý uzol v pohotovostnom dátovom centre.


                                                                                                                                                   

                                                                                                                                                  Skontrolujte syslogy a overte, či sú uzly v pasívnom režime. V syslogoch by ste mali vidieť správu „KMS nakonfigurovaná v pasívnom režime“.

                                                                                                                                                  Čo urobiť ďalej

                                                                                                                                                  Po konfigurácii passiveMode v súbore ISO a jeho uložením môžete vytvoriť ďalšiu kópiu súboru ISO bez súboru passiveMode konfiguráciu a uložte ju na bezpečnom mieste. Táto kópia súboru ISO bez passiveMode nakonfigurovaný môže pomôcť pri rýchlom procese núdzového prepnutia počas obnovy po havárii. Pozri Obnova po havárii pomocou pohotovostného dátového centra pre podrobný postup núdzového prepnutia.

                                                                                                                                                  Podpora proxy

                                                                                                                                                  Hybrid Data Security podporuje explicitné, transparentné kontrolné a nekontrolujúce proxy. Tieto servery proxy môžete prepojiť s nasadením, aby ste mohli zabezpečiť a monitorovať prevádzku z podniku do cloudu. Rozhranie správcu platformy na uzloch môžete použiť na správu certifikátov a na kontrolu celkového stavu pripojenia po nastavení servera proxy na uzloch.

                                                                                                                                                  Uzly Hybrid Data Security podporujú nasledujúce možnosti proxy:

                                                                                                                                                  • Žiadny proxy—Predvolené, ak na integráciu servera proxy nepoužívate nastavenie uzla HDS Trust Store & Proxy. Nevyžaduje sa žiadna aktualizácia certifikátu.

                                                                                                                                                  • Transparentný nekontrolujúci splnomocnenec– Uzly nie sú nakonfigurované na používanie špecifickej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.

                                                                                                                                                  • Transparentné tunelovanie alebo kontrola proxy– Uzly nie sú nakonfigurované na používanie špecifickej adresy servera proxy. Na uzloch nie sú potrebné žiadne zmeny konfigurácie HTTP alebo HTTPS. Uzly však potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).

                                                                                                                                                  • Explicitný proxy—S explicitným proxy, poviete HDS uzlom, ktorý proxy server a overovaciu schému použiť. Ak chcete nakonfigurovať explicitný server proxy, musíte do každého uzla zadať nasledujúce informácie:

                                                                                                                                                    1. Proxy IP/FQDN– Adresa, ktorú možno použiť na spojenie so zariadením proxy.

                                                                                                                                                    2. Port proxy—Číslo portu, ktoré server proxy používa na počúvanie prevádzky cez proxy.

                                                                                                                                                    3. Proxy protokol—V závislosti od toho, čo váš proxy server podporuje, vyberte si z nasledujúcich protokolov:

                                                                                                                                                      • HTTP – zobrazuje a riadi všetky požiadavky, ktoré klient odosiela.

                                                                                                                                                      • HTTPS – poskytuje kanál pre server. Klient prijme a overí certifikát servera.

                                                                                                                                                    4. autentický typ— Vyberte si z nasledujúcich typov autentifikácie:

                                                                                                                                                      • žiadne— Nevyžaduje sa žiadna ďalšia autentifikácia.

                                                                                                                                                        Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.

                                                                                                                                                      • Základné— Používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.

                                                                                                                                                        Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.

                                                                                                                                                        Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.

                                                                                                                                                      • Digest– Používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.

                                                                                                                                                        Dostupné, iba ak vyberiete HTTPS ako protokol proxy.

                                                                                                                                                        Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.

                                                                                                                                                  Príklad uzlov na zabezpečenie hybridných dát a proxy

                                                                                                                                                  Tento diagram ukazuje príklad spojenia medzi Hybrid Data Security, sieťou a proxy. Pre možnosti transparentnej kontroly a explicitnej kontroly HTTPS proxy musí byť na serveri proxy aj na uzloch Hybrid Data Security nainštalovaný rovnaký koreňový certifikát.

                                                                                                                                                  Blokovaný režim externého rozlíšenia DNS (explicitné konfigurácie proxy)

                                                                                                                                                  Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. V nasadeniach s explicitnými konfiguráciami proxy, ktoré neumožňujú externé rozlíšenie DNS pre interných klientov, ak uzol nemôže dotazovať servery DNS, automaticky prejde do režimu blokovaného externého riešenia DNS. V tomto režime môže pokračovať registrácia uzla a ďalšie testy pripojenia proxy.

                                                                                                                                                  Pripravte si prostredie

                                                                                                                                                  Požiadavky na hybridnú bezpečnosť dát

                                                                                                                                                  Požiadavky na licenciu Cisco Webex

                                                                                                                                                  Nasadenie Hybrid Data Security:

                                                                                                                                                  Požiadavky na plochu Docker

                                                                                                                                                  Pred inštaláciou uzlov HDS potrebujete Docker Desktop na spustenie inštalačného programu. Docker nedávno aktualizoval svoj licenčný model. Vaša organizácia môže vyžadovať platené predplatné pre Docker Desktop. Podrobnosti nájdete v blogovom príspevku Docker, " Docker aktualizuje a rozširuje naše predplatné produktov".

                                                                                                                                                  Požiadavky na certifikát X.509

                                                                                                                                                  Certifikačný reťazec musí spĺňať nasledujúce požiadavky:

                                                                                                                                                  Tabuľka č. 1 Požiadavky certifikátu X.509 pre nasadenie hybridného zabezpečenia dát

                                                                                                                                                  Požiadavka

                                                                                                                                                  Podrobnosti

                                                                                                                                                  • Podpísané dôveryhodnou certifikačnou autoritou (CA)

                                                                                                                                                  V predvolenom nastavení dôverujeme CA v zozname Mozilly (s výnimkou WoSign a StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Nesie názov domény Common Name (CN), ktorý identifikuje vaše nasadenie Hybrid Data Security

                                                                                                                                                  • Nie je to zástupný certifikát

                                                                                                                                                  CN nemusí byť dosiahnuteľné alebo živého hostiteľa. Odporúčame vám použiť názov, ktorý odráža vašu organizáciu, napr. hds.company.com.

                                                                                                                                                  KN nesmie obsahovať * (zástupný znak).

                                                                                                                                                  CN sa používa na overenie uzlov Hybrid Data Security pre klientov Webex App. Všetky uzly Hybrid Data Security vo vašom klastri používajú rovnaký certifikát. Váš KMS sa identifikuje pomocou domény CN, nie akejkoľvek domény, ktorá je definovaná v poliach x.509v3 SAN.

                                                                                                                                                  Po zaregistrovaní uzla s týmto certifikátom nepodporujeme zmenu názvu domény CN. Vyberte doménu, ktorá sa môže vzťahovať na skúšobné aj produkčné nasadenie.

                                                                                                                                                  • Podpis iný ako SHA1

                                                                                                                                                  Softvér KMS nepodporuje podpisy SHA1 na overenie pripojení k KMS iných organizácií.

                                                                                                                                                  • Naformátovaný ako súbor PKCS #12 chránený heslom

                                                                                                                                                  • Použite priateľský názov kms-private-key na označenie certifikátu, súkromného kľúča a akýchkoľvek sprostredkujúcich certifikátov na odovzdanie.

                                                                                                                                                  Na zmenu formátu certifikátu môžete použiť konvertor, ako je OpenSSL.

                                                                                                                                                  Pri spustení nástroja HDS Setup Tool budete musieť zadať heslo.

                                                                                                                                                  Softvér KMS nevynucuje používanie kľúčov ani rozšírené obmedzenia používania kľúčov. Niektoré certifikačné autority vyžadujú, aby sa na každý certifikát aplikovali rozšírené obmedzenia používania kľúčov, ako je autentifikácia servera. Je v poriadku použiť overenie servera alebo iné nastavenia.

                                                                                                                                                  Požiadavky na virtuálny hostiteľ

                                                                                                                                                  Virtuálni hostitelia, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri, majú nasledujúce požiadavky:

                                                                                                                                                  • Aspoň dvaja oddelení hostitelia (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre

                                                                                                                                                  • VMware ESXi 6.5 (alebo novší) nainštalovaný a spustený.


                                                                                                                                                     

                                                                                                                                                    Ak máte staršiu verziu ESXi, musíte vykonať inováciu.

                                                                                                                                                  • Minimálne 4 vCPU, 8 GB hlavnej pamäte, 30 GB miesta na lokálnom pevnom disku na server

                                                                                                                                                  Požiadavky na databázový server


                                                                                                                                                   

                                                                                                                                                  Vytvorte novú databázu pre uloženie kľúčov. Nepoužívajte predvolenú databázu. Aplikácie HDS, keď sú nainštalované, vytvoria schému databázy.

                                                                                                                                                  Pre databázový server sú dve možnosti. Požiadavky na každú z nich sú nasledovné:

                                                                                                                                                  Tabuľka 2 Požiadavky na databázový server podľa typu databázy

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 alebo 16, nainštalovaný a spustený.

                                                                                                                                                  • SQL Server 2016, 2017 alebo 2019 (Enterprise alebo Standard) nainštalovaný.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 vyžaduje Service Pack 2 a Kumulatívna aktualizácia 2 alebo novšia.

                                                                                                                                                  Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložný priestor)

                                                                                                                                                  Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložný priestor)

                                                                                                                                                  Softvér HDS momentálne inštaluje nasledujúce verzie ovládačov na komunikáciu s databázovým serverom:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC ovládač 42.2.5

                                                                                                                                                  Ovládač SQL Server JDBC 4.6

                                                                                                                                                  Táto verzia ovládača podporuje SQL Server Always On ( Vždy v prípade zlyhania klastra a Vždy zapnuté skupiny dostupnosti).

                                                                                                                                                  Dodatočné požiadavky na overenie systému Windows voči Microsoft SQL Server

                                                                                                                                                  Ak chcete, aby uzly HDS používali autentifikáciu systému Windows na získanie prístupu k vašej databáze úložiska kľúčov na serveri Microsoft SQL Server, potrebujete vo svojom prostredí nasledujúcu konfiguráciu:

                                                                                                                                                  • HDS uzly, infraštruktúra Active Directory a MS SQL Server musia byť synchronizované s NTP.

                                                                                                                                                  • Účet Windows, ktorý poskytnete uzlom HDS, musí mať prístup k databáze na čítanie/zápis.

                                                                                                                                                  • Servery DNS, ktoré poskytujete uzlom HDS, musia byť schopné vyriešiť vaše Centrum distribúcie kľúčov (KDC).

                                                                                                                                                  • Inštanciu databázy HDS môžete zaregistrovať na svojom serveri Microsoft SQL Server ako hlavný názov služby (SPN) vo vašom adresári Active Directory. Pozri Zaregistrujte hlavný názov služby pre pripojenia Kerberos.

                                                                                                                                                    Nástroj na nastavenie HDS, spúšťač HDS a miestne KMS musia na prístup k databáze kľúčov používať overenie systému Windows. Používajú podrobnosti z vašej konfigurácie ISO na vytvorenie SPN pri požadovaní prístupu s overením Kerberos.

                                                                                                                                                  Požiadavky na externé pripojenie

                                                                                                                                                  Nakonfigurujte svoj firewall tak, aby umožňoval nasledujúce pripojenie pre aplikácie HDS:

                                                                                                                                                  Aplikácia

                                                                                                                                                  Protokol

                                                                                                                                                  Port

                                                                                                                                                  Smer z App

                                                                                                                                                  Destinácia

                                                                                                                                                  Hybridné uzly zabezpečenia údajov

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odchádzajúce HTTPS a WSS

                                                                                                                                                  • Webex servery:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Všetci hostitelia Common Identity

                                                                                                                                                  • Ďalšie adresy URL, ktoré sú uvedené pre Hybrid Data Security v Ďalšie adresy URL pre hybridné služby Webex tabuľka Sieťové požiadavky pre služby Webex

                                                                                                                                                  Nástroj na nastavenie HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odchádzajúce HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Všetci hostitelia Common Identity

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Uzly Hybrid Data Security pracujú s prekladom sieťového prístupu (NAT) alebo za bránou firewall, pokiaľ NAT alebo brána firewall umožňuje požadované odchádzajúce pripojenia k destináciám domény v predchádzajúcej tabuľke. Pre pripojenia prichádzajúce do uzlov Hybrid Data Security by nemali byť z internetu viditeľné žiadne porty. V rámci vášho dátového centra potrebujú klienti prístup k uzlom Hybrid Data Security na portoch TCP 443 a 22 na administratívne účely.

                                                                                                                                                  Adresy URL hostiteľov Common Identity (CI) sú špecifické pre daný región. Toto sú súčasní hostitelia CI:

                                                                                                                                                  región

                                                                                                                                                  Spoločné adresy URL hostiteľa identity

                                                                                                                                                  Ameriky

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Európska únia

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Požiadavky na proxy server

                                                                                                                                                  • Oficiálne podporujeme nasledujúce proxy riešenia, ktoré sa dajú integrovať s vašimi uzlami Hybrid Data Security.

                                                                                                                                                    • Transparentný proxy – Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Explicitný proxy-Squid.


                                                                                                                                                       

                                                                                                                                                      Proxy serverov chobotnice, ktoré kontrolujú prenos HTTPS, môžu zasahovať do vytvorenia webovej zásuvky (wss:) spojenia. Ak chcete tento problém obísť, pozrite si Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát.

                                                                                                                                                  • Pre explicitné servery proxy podporujeme nasledujúce kombinácie typov overenia:

                                                                                                                                                    • Žiadna autentifikácia pomocou HTTP alebo HTTPS

                                                                                                                                                    • Základná autentifikácia pomocou HTTP alebo HTTPS

                                                                                                                                                    • Digest overenie iba s HTTPS

                                                                                                                                                  • Pre transparentný kontrolný proxy server alebo explicitný proxy server HTTPS musíte mať kópiu koreňového certifikátu servera proxy. Pokyny na nasadenie v tejto príručke vám povedia, ako nahrať kópiu do dôveryhodných obchodov uzlov Hybrid Data Security.

                                                                                                                                                  • Sieť, ktorá hostí uzly HDS, musí byť nakonfigurovaná tak, aby vynútila smerovanie odchádzajúcej prevádzky TCP na porte 443 cez server proxy.

                                                                                                                                                  • Proxy, ktoré kontrolujú webovú prevádzku, môžu narúšať pripojenia webových soketov. Ak sa vyskytne tento problém, obíďte (nie kontrolujte) premávku na wbx2.com a ciscospark.com problém vyrieši.

                                                                                                                                                  Vyplňte Predpoklady pre hybridnú bezpečnosť údajov

                                                                                                                                                  Pomocou tohto kontrolného zoznamu sa uistite, že ste pripravení na inštaláciu a konfiguráciu klastra Hybrid Data Security.
                                                                                                                                                  1

                                                                                                                                                  Uistite sa, že vaša organizácia Webex má povolený balík Pro Pack pre Cisco Webex Control Hub a získajte prihlasovacie údaje účtu s úplnými právami správcu organizácie. Ak potrebujete pomoc s týmto procesom, kontaktujte svojho partnera Cisco alebo account manažéra.

                                                                                                                                                  2

                                                                                                                                                  Vyberte názov domény pre svoje nasadenie HDS (napr. hds.company.com) a získajte reťaz certifikátov obsahujúci certifikát X.509, súkromný kľúč a akékoľvek sprostredkujúce certifikáty. Certifikačný reťazec musí spĺňať požiadavky v Požiadavky na certifikát X.509.

                                                                                                                                                  3

                                                                                                                                                  Pripravte si identických virtuálnych hostiteľov, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri. Potrebujete aspoň dvoch samostatných hostiteľov (odporúčajú sa 3) umiestnených v rovnakom zabezpečenom dátovom centre, ktorí spĺňajú požiadavky v Požiadavky na virtuálny hostiteľ.

                                                                                                                                                  4

                                                                                                                                                  Pripravte databázový server, ktorý bude fungovať ako úložisko kľúčových údajov pre klaster, podľa Požiadavky na databázový server. Databázový server musí byť umiestnený v zabezpečenom údajovom centre spolu s virtuálnymi hostiteľmi.

                                                                                                                                                  1. Vytvorte databázu pre ukladanie kľúčov. (Túto databázu musíte vytvoriť – nepoužívajte predvolenú databázu. Aplikácie HDS po nainštalovaní vytvoria schému databázy.)

                                                                                                                                                  2. Zhromaždite podrobnosti, ktoré budú uzly používať na komunikáciu s databázovým serverom:

                                                                                                                                                    • názov hostiteľa alebo IP adresa (hostiteľ) a port

                                                                                                                                                    • názov databázy (dbname) pre uloženie kľúčov

                                                                                                                                                    • užívateľské meno a heslo užívateľa so všetkými privilégiami v databáze kľúča

                                                                                                                                                  5

                                                                                                                                                  Pre rýchlu obnovu po havárii nastavte zálohovacie prostredie v inom dátovom centre. Zálohovacie prostredie odzrkadľuje produkčné prostredie VM a záložný databázový server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM.

                                                                                                                                                  6

                                                                                                                                                  Nastavte hostiteľa syslog na zhromažďovanie protokolov z uzlov v klastri. Získajte jeho sieťovú adresu a port syslog (predvolené je UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Vytvorte politiku bezpečného zálohovania pre uzly Hybrid Data Security, databázový server a hostiteľa syslog. Aby ste predišli nenapraviteľnej strate údajov, musíte minimálne zálohovať databázu a konfiguračný súbor ISO vygenerovaný pre uzly Hybrid Data Security.


                                                                                                                                                   

                                                                                                                                                  Pretože uzly Hybrid Data Security ukladajú kľúče používané na šifrovanie a dešifrovanie obsahu, zlyhanie pri udržiavaní operačného nasadenia bude mať za následok NENÁHRADITEĽNÁ STRATA tohto obsahu.

                                                                                                                                                  Klienti Webex App ukladajú svoje kľúče do vyrovnávacej pamäte, takže výpadok nemusí byť okamžite viditeľný, ale časom sa prejaví. Zatiaľ čo dočasným výpadkom nie je možné zabrániť, sú obnoviteľné. Úplná strata (nie sú k dispozícii žiadne zálohy) databázy alebo konfiguračného ISO súboru však bude mať za následok neobnoviteľné zákaznícke údaje. Od operátorov uzlov Hybrid Data Security sa očakáva, že budú pravidelne zálohovať databázu a konfiguračný ISO súbor a budú pripravení na prestavbu dátového centra Hybrid Data Security, ak dôjde ku katastrofálnej poruche.

                                                                                                                                                  8

                                                                                                                                                  Uistite sa, že vaša konfigurácia brány firewall umožňuje pripojenie pre vaše uzly Hybrid Data Security, ako je uvedené v Požiadavky na externé pripojenie.

                                                                                                                                                  9

                                                                                                                                                  Nainštalujte Docker ( https://www.docker.com) na akomkoľvek lokálnom počítači s podporovaným operačným systémom (Microsoft Windows 10 Professional alebo Enterprise 64-bit, alebo Mac OSX Yosemite 10.10.3 alebo novší) s webovým prehliadačom, ktorý k nemu môže pristupovať na http://127.0.0.1:8080.

                                                                                                                                                  Inštanciu Docker použijete na stiahnutie a spustenie nástroja HDS Setup Tool, ktorý vytvorí informácie o lokálnej konfigurácii pre všetky uzly Hybrid Data Security. Vaša organizácia môže potrebovať licenciu Docker Desktop. Pozri Požiadavky na plochu Docker Pre viac informácií.

                                                                                                                                                  Ak chcete nainštalovať a spustiť nástroj HDS Setup Tool, lokálny počítač musí mať konektivitu uvedenú v Požiadavky na externé pripojenie.

                                                                                                                                                  10

                                                                                                                                                  Ak integrujete proxy s Hybrid Data Security, uistite sa, že spĺňa Požiadavky na proxy server.

                                                                                                                                                  11

                                                                                                                                                  Ak vaša organizácia používa synchronizáciu adresárov, vytvorte skupinu v Active Directory s názvom HdsTrialGroup a pridajte pilotných používateľov. Skúšobná skupina môže mať až 250 používateľov. The HdsTrialGroup Pred spustením skúšobnej verzie pre vašu organizáciu musí byť objekt synchronizovaný s cloudom. Ak chcete synchronizovať objekt skupiny, vyberte ho v priečinku Directory Connector Konfigurácia > Výber objektu Ponuka. (Podrobné pokyny nájdete na Sprievodca nasadením pre Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Kľúče pre daný priestor nastavuje tvorca priestoru. Pri výbere pilotných používateľov majte na pamäti, že ak sa rozhodnete natrvalo deaktivovať nasadenie Hybrid Data Security, všetci používatelia stratia prístup k obsahu v priestoroch, ktoré vytvorili pilotní používatelia. Strata sa prejaví hneď, ako aplikácie používateľov obnovia svoje kópie obsahu uložené vo vyrovnávacej pamäti.

                                                                                                                                                  Nastavte Hybrid Data Security Cluster

                                                                                                                                                  Tok úloh nasadenia zabezpečenia hybridných údajov

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  Pripravte si prostredie

                                                                                                                                                  1

                                                                                                                                                  Stiahnite si inštalačné súbory

                                                                                                                                                  Stiahnite si súbor OVA na váš lokálny počítač pre neskoršie použitie.

                                                                                                                                                  2

                                                                                                                                                  Vytvorte ISO konfigurácie pre hostiteľov HDS

                                                                                                                                                  Pomocou nástroja HDS Setup Tool vytvorte konfiguračný súbor ISO pre uzly Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Nainštalujte HDS Host OVA

                                                                                                                                                  Vytvorte virtuálny počítač zo súboru OVA a vykonajte počiatočnú konfiguráciu, ako sú nastavenia siete.


                                                                                                                                                   

                                                                                                                                                  Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 6.5. Táto možnosť nemusí byť dostupná v starších verziách.

                                                                                                                                                  4

                                                                                                                                                  Nastavte virtuálny počítač Hybrid Data Security

                                                                                                                                                  Prihláste sa do konzoly VM a nastavte prihlasovacie poverenia. Nakonfigurujte sieťové nastavenia pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.

                                                                                                                                                  5

                                                                                                                                                  Nahrajte a pripojte ISO konfiguráciu HDS

                                                                                                                                                  Nakonfigurujte VM z konfiguračného súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool.

                                                                                                                                                  6

                                                                                                                                                  Nakonfigurujte uzol HDS na integráciu proxy

                                                                                                                                                  Ak sieťové prostredie vyžaduje konfiguráciu servera proxy, zadajte typ servera proxy, ktorý použijete pre uzol, a v prípade potreby pridajte certifikát servera proxy do dôveryhodného úložiska.

                                                                                                                                                  7

                                                                                                                                                  Zaregistrujte prvý uzol v klastri

                                                                                                                                                  Zaregistrujte VM v cloude Cisco Webex ako uzol Hybrid Data Security.

                                                                                                                                                  8

                                                                                                                                                  Vytvorte a zaregistrujte viac uzlov

                                                                                                                                                  Dokončite nastavenie klastra.

                                                                                                                                                  9

                                                                                                                                                  Spustite skúšobnú verziu a prejdite do výroby (ďalšia kapitola)

                                                                                                                                                  Kým nezačnete skúšobnú verziu, vaše uzly generujú alarm oznamujúci, že vaša služba ešte nie je aktivovaná.

                                                                                                                                                  Stiahnite si inštalačné súbory

                                                                                                                                                  V tejto úlohe stiahnete súbor OVA do svojho počítača (nie na servery, ktoré ste nastavili ako uzly Hybrid Data Security). Tento súbor použijete neskôr v procese inštalácie.
                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do https://admin.webex.coma potom kliknite Služby.

                                                                                                                                                  2

                                                                                                                                                  V časti Hybridné služby nájdite kartu Hybrid Data Security a potom kliknite Nastaviť.

                                                                                                                                                  Ak je karta zakázaná alebo ju nevidíte, kontaktujte tím spravujúci váš účet alebo partnerskú organizáciu. Poskytnite im svoje číslo účtu a požiadajte, aby vašej organizácii umožnili Hybridné zabezpečenie dát. Ak chcete nájsť číslo účtu, kliknite na ozubené koliesko vpravo hore vedľa názvu organizácie.


                                                                                                                                                   

                                                                                                                                                  OVA si tiež môžete kedykoľvek stiahnuť z Pomoc oddiel na nastavenie stránku. Na karte Hybrid Data Security kliknite na Upraviť nastavenia otvorte stránku. Potom kliknite Stiahnite si softvér Hybrid Data Security v Pomoc oddiele.


                                                                                                                                                   

                                                                                                                                                  Staršie verzie softvérového balíka (OVA) nebudú kompatibilné s najnovšími aktualizáciami Hybrid Data Security. To môže viesť k problémom pri inovácii aplikácie. Uistite sa, že ste si stiahli najnovšiu verziu súboru OVA.

                                                                                                                                                  3

                                                                                                                                                  Vyberte Nie na označenie, že ste ešte nenastavili uzol, a potom kliknite Ďalšie.

                                                                                                                                                  Automaticky sa začne sťahovať súbor OVA. Uložte súbor na miesto v počítači.
                                                                                                                                                  4

                                                                                                                                                  Voliteľne kliknite Otvorte Sprievodcu nasadením a skontrolujte, či je k dispozícii novšia verzia tejto príručky.

                                                                                                                                                  Vytvorte ISO konfigurácie pre hostiteľov HDS

                                                                                                                                                  Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  • Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Control Hub s úplnými administrátorskými právami pre vašu organizáciu.

                                                                                                                                                    Ak nástroj HDS Setup beží za serverom proxy vo vašom prostredí, pri spúšťaní kontajnera Docker v kroku poskytnite nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker 5. Táto tabuľka uvádza niektoré možné premenné prostredia:

                                                                                                                                                    Opis

                                                                                                                                                    Variabilné

                                                                                                                                                    HTTP Proxy bez autentifikácie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy bez autentifikácie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy s autentifikáciou

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy s autentifikáciou

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:

                                                                                                                                                    • Databázové poverenia

                                                                                                                                                    • Aktualizácie certifikátov

                                                                                                                                                    • Zmeny v politike autorizácie

                                                                                                                                                  • Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.

                                                                                                                                                  1

                                                                                                                                                  Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

                                                                                                                                                  V bežných prostrediach:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  V prostrediach FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

                                                                                                                                                  2

                                                                                                                                                  Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Pri výzve na zadanie hesla zadajte tento hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Stiahnite si najnovší stabilný obraz pre vaše prostredie:

                                                                                                                                                  V bežných prostrediach:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  V prostrediach FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

                                                                                                                                                  • V bežných prostrediach bez servera proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • V bežných prostrediach s HTTP proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • V bežných prostrediach s HTTPS proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • V prostrediach FedRAMP bez proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • V prostrediach FedRAMP s HTTP proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • V prostrediach FedRAMP s HTTPS proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Inštalačný nástroj nepodporuje pripojenie k localhost prostredníctvom http://localhost:8080. Použite http://127.0.0.1:8080 na pripojenie k localhost.

                                                                                                                                                  Pomocou webového prehliadača prejdite na localhost, http://127.0.0.1:8080 a po výzve zadajte používateľské meno správcu zákazníka pre Control Hub.

                                                                                                                                                  Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie.

                                                                                                                                                  7

                                                                                                                                                  Po zobrazení výzvy zadajte svoje prihlasovacie poverenia správcu zákazníka Control Hub a potom kliknite Prihlásiť sa na umožnenie prístupu k požadovaným službám pre Hybridnú bezpečnosť dát.

                                                                                                                                                  8

                                                                                                                                                  Na stránke prehľadu nástroja Setup kliknite na Začať.

                                                                                                                                                  9

                                                                                                                                                  Na ISO import stránku, máte tieto možnosti:

                                                                                                                                                  • Nie—Ak vytvárate svoj prvý uzol HDS, nemáte súbor ISO na nahranie.
                                                                                                                                                  • Áno—Ak ste už vytvorili uzly HDS, vyberte súbor ISO v prehľadávaní a nahrajte ho.
                                                                                                                                                  10

                                                                                                                                                  Skontrolujte, či váš certifikát X.509 spĺňa požiadavky v Požiadavky na certifikát X.509.

                                                                                                                                                  • Ak ste nikdy predtým nenahrali certifikát, nahrajte certifikát X.509, zadajte heslo a kliknite ďalej.
                                                                                                                                                  • Ak je váš certifikát v poriadku, kliknite ďalej.
                                                                                                                                                  • Ak platnosť vášho certifikátu vypršala alebo ho chcete nahradiť, vyberte Nie pre Pokračovať v používaní reťazca certifikátov HDS a súkromného kľúča z predchádzajúceho ISO?. Nahrajte nový certifikát X.509, zadajte heslo a kliknite ďalej.
                                                                                                                                                  11

                                                                                                                                                  Zadajte databázovú adresu a účet pre HDS, aby ste získali prístup k vášmu úložisku kľúčových údajov:

                                                                                                                                                  1. Vyberte si svoj Typ databázy (PostgreSQL alebo Microsoft SQL Server).

                                                                                                                                                    Ak si vyberiete Microsoft SQL Server, získate pole Typ overenia.

                                                                                                                                                  2. (Microsoft SQL Server iba) Vyberte si autentický typ:

                                                                                                                                                    • Základná autentifikácia: Potrebujete názov lokálneho účtu SQL Server v súbore Používateľské meno lúka.

                                                                                                                                                    • Overenie systému Windows: Potrebujete účet Windows vo formáte username@DOMAIN v Používateľské meno lúka.

                                                                                                                                                  3. Do formulára zadajte adresu databázového servera <hostname>:<port> alebo <IP-address>:<port>.

                                                                                                                                                    Príklad:
                                                                                                                                                    dbhost.example.org:1433 alebo 198.51.100.17:1433

                                                                                                                                                    Môžete použiť IP adresu na základnú autentifikáciu, ak uzly nemôžu použiť DNS na rozlíšenie názvu hostiteľa.

                                                                                                                                                    Ak používate overovanie systému Windows, musíte zadať úplný názov domény vo formáte dbhost.example.org:1433

                                                                                                                                                  4. Zadajte Názov databázy.

                                                                                                                                                  5. Zadajte Používateľské meno a heslo používateľa so všetkými oprávneniami na databázu úložiska kľúčov.

                                                                                                                                                  12

                                                                                                                                                  Vyberte a Režim pripojenia databázy TLS:

                                                                                                                                                  Režim

                                                                                                                                                  Opis

                                                                                                                                                  Preferujem TLS (predvolená možnosť)

                                                                                                                                                  HDS uzly nevyžadujú TLS na pripojenie k databázovému serveru. Ak povolíte TLS na databázovom serveri, uzly sa pokúsia o šifrované pripojenie.

                                                                                                                                                  Vyžadovať TLS

                                                                                                                                                  Uzly HDS sa pripájajú iba vtedy, ak databázový server dokáže dohodnúť TLS.

                                                                                                                                                  Vyžadovať TLS a overiť podpisovateľa certifikátu


                                                                                                                                                   

                                                                                                                                                  Tento režim nie je použiteľný pre databázy SQL Server.

                                                                                                                                                  • Uzly HDS sa pripájajú iba vtedy, ak databázový server dokáže dohodnúť TLS.

                                                                                                                                                  • Po nadviazaní pripojenia TLS uzol porovnáva podpisovateľa certifikátu z databázového servera s certifikačnou autoritou v Koreňový certifikát databázy. Ak sa nezhodujú, uzol zruší spojenie.

                                                                                                                                                  Použi Koreňový certifikát databázy ovládač pod rozbaľovacím zoznamom na nahranie koreňového certifikátu pre túto možnosť.

                                                                                                                                                  Vyžadovať TLS a overiť podpisovateľa certifikátu a názov hostiteľa

                                                                                                                                                  • Uzly HDS sa pripájajú iba vtedy, ak databázový server dokáže dohodnúť TLS.

                                                                                                                                                  • Po nadviazaní pripojenia TLS uzol porovnáva podpisovateľa certifikátu z databázového servera s certifikačnou autoritou v Koreňový certifikát databázy. Ak sa nezhodujú, uzol zruší spojenie.

                                                                                                                                                  • Uzly tiež overujú, či sa názov hostiteľa v certifikáte servera zhoduje s názvom hostiteľa v Hostiteľ databázy a port lúka. Názvy sa musia presne zhodovať, inak uzol zruší spojenie.

                                                                                                                                                  Použi Koreňový certifikát databázy ovládač pod rozbaľovacím zoznamom na nahranie koreňového certifikátu pre túto možnosť.

                                                                                                                                                  Keď nahráte koreňový certifikát (ak je to potrebné) a kliknite na ďalej, HDS Setup Tool otestuje TLS pripojenie k databázovému serveru. Nástroj tiež overuje podpisovateľa certifikátu a názov hostiteľa, ak je to potrebné. Ak test zlyhá, nástroj zobrazí chybové hlásenie popisujúce problém. Môžete si vybrať, či chcete chybu ignorovať a pokračovať v nastavovaní. (Vzhľadom na rozdiely v konektivite môžu byť uzly HDS schopné nadviazať pripojenie TLS, aj keď ho zariadenie HDS Setup Tool nedokáže úspešne otestovať.)

                                                                                                                                                  13

                                                                                                                                                  Na stránke Systémové denníky nakonfigurujte svoj server Syslogd:

                                                                                                                                                  1. Zadajte adresu URL servera syslog.

                                                                                                                                                    Ak server nie je schopný rozlíšiť DNS z uzlov pre váš klaster HDS, použite v adrese URL adresu IP.

                                                                                                                                                    Príklad:
                                                                                                                                                    udp://10.92.43.23:514 označuje prihlásenie do hostiteľa Syslogd 10.92.43.23 na porte UDP 514.
                                                                                                                                                  2. Ak ste nastavili svoj server na používanie šifrovania TLS, skontrolujte Je váš server syslog nakonfigurovaný na šifrovanie SSL?.

                                                                                                                                                    Ak začiarknete toto políčko, uistite sa, že ste zadali TCP URL, ako napr tcp://10.92.43.23:514.

                                                                                                                                                  3. Z Vyberte ukončenie záznamu syslog v rozbaľovacej ponuke vyberte vhodné nastavenie pre váš súbor ISO: Choose alebo Newline sa používa pre Graylog a Rsyslog TCP

                                                                                                                                                    • Null byte -- \x00

                                                                                                                                                    • Nový riadok -- \n—Vyberte túto voľbu pre Graylog a Rsyslog TCP.

                                                                                                                                                  4. Kliknite ďalej.

                                                                                                                                                  14

                                                                                                                                                  (Voliteľné) Môžete zmeniť predvolenú hodnotu pre niektoré parametre pripojenia k databáze v Pokročilé nastavenia. Vo všeobecnosti je tento parameter jediný, ktorý možno budete chcieť zmeniť:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Kliknite ďalej na Obnovte heslo servisných účtov obrazovke.

                                                                                                                                                  Heslá k servisným účtom majú životnosť deväť mesiacov. Túto obrazovku použite, keď sa blíži koniec platnosti vašich hesiel alebo ich chcete resetovať, aby ste zrušili platnosť predchádzajúcich súborov ISO.

                                                                                                                                                  16

                                                                                                                                                  Kliknite Stiahnite si súbor ISO. Uložte súbor na miesto, ktoré sa dá ľahko nájsť.

                                                                                                                                                  17

                                                                                                                                                  Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme.

                                                                                                                                                  Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii.

                                                                                                                                                  18

                                                                                                                                                  Ak chcete vypnúť nástroj Setup, zadajte CTRL+C.

                                                                                                                                                  Čo urobiť ďalej

                                                                                                                                                  Zálohujte konfiguračný súbor ISO. Potrebujete ho na vytvorenie ďalších uzlov na obnovu alebo na vykonanie zmien v konfigurácii. Ak stratíte všetky kópie súboru ISO, stratili ste aj hlavný kľúč. Obnovenie kľúčov z databázy PostgreSQL alebo Microsoft SQL Server nie je možné.


                                                                                                                                                   

                                                                                                                                                  Nikdy nemáme kópiu tohto kľúča a nemôžeme vám pomôcť, ak ho stratíte.

                                                                                                                                                  Nainštalujte HDS Host OVA

                                                                                                                                                  Tento postup použite na vytvorenie virtuálneho počítača zo súboru OVA.
                                                                                                                                                  1

                                                                                                                                                  Na prihlásenie do virtuálneho hostiteľa ESXi použite klienta VMware vSphere na vašom počítači.

                                                                                                                                                  2

                                                                                                                                                  Vyberte Súbor > Nasadiť šablónu OVF.

                                                                                                                                                  3

                                                                                                                                                  V sprievodcovi zadajte umiestnenie súboru OVA, ktorý ste si stiahli skôr, a potom kliknite Ďalšie .

                                                                                                                                                  4

                                                                                                                                                  Na Vyberte názov a priečinok stránku, zadajte a Názov virtuálneho počítača pre uzol (napríklad „HDS_Node_1"), vyberte umiestnenie, kde sa môže nachádzať nasadenie uzla virtuálneho počítača, a potom kliknite Ďalšie .

                                                                                                                                                  5

                                                                                                                                                  Na Vyberte výpočtový zdroj vyberte cieľový výpočtový zdroj a potom kliknite Ďalšie .

                                                                                                                                                  Prebehne overovacia kontrola. Po dokončení sa zobrazia podrobnosti šablóny.

                                                                                                                                                  6

                                                                                                                                                  Overte podrobnosti šablóny a potom kliknite Ďalšie.

                                                                                                                                                  7

                                                                                                                                                  Ak sa zobrazí výzva na výber konfigurácie prostriedkov na Konfigurácia stránku, kliknite 4 CPU a potom kliknite Ďalšie .

                                                                                                                                                  8

                                                                                                                                                  Na Vyberte úložisko stránku, kliknite Ďalšie akceptovať predvolený formát disku a politiku úložiska VM.

                                                                                                                                                  9

                                                                                                                                                  Na Vyberte siete vyberte sieťovú možnosť zo zoznamu položiek, aby ste poskytli požadované pripojenie k VM.

                                                                                                                                                  10

                                                                                                                                                  Na Prispôsobiť šablónu nakonfigurujte nasledujúce nastavenia siete:

                                                                                                                                                  • Meno hosťa— Zadajte FQDN (názov hostiteľa a doménu) alebo jednoslovný názov hostiteľa pre uzol.

                                                                                                                                                     
                                                                                                                                                    • Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509.

                                                                                                                                                    • Ak chcete zabezpečiť úspešnú registráciu do cloudu, použite iba malé písmená v FQDN alebo názve hostiteľa, ktorý ste nastavili pre uzol. Veľké písmená momentálne nie sú podporované.

                                                                                                                                                    • Celková dĺžka FQDN nesmie presiahnuť 64 znakov.

                                                                                                                                                  • IP adresa— Zadajte IP adresu interného rozhrania uzla.

                                                                                                                                                     

                                                                                                                                                    Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované.

                                                                                                                                                  • Maska— Zadajte adresu masky podsiete v desiatkovom formáte bodka. Napríklad, 255.255.255.0.
                                                                                                                                                  • Brána— Zadajte IP adresu brány. Brána je sieťový uzol, ktorý slúži ako prístupový bod do inej siete.
                                                                                                                                                  • DNS servery— Zadajte čiarkami oddelený zoznam serverov DNS, ktoré sa starajú o preklad názvov domén na číselné adresy IP. (Povolené sú až 4 záznamy DNS.)
                                                                                                                                                  • NTP servery—Zadajte server NTP vašej organizácie alebo iný externý server NTP, ktorý možno použiť vo vašej organizácii. Predvolené servery NTP nemusia fungovať pre všetky podniky. Na zadanie viacerých serverov NTP môžete použiť aj zoznam oddelený čiarkami.
                                                                                                                                                  • Nasaďte všetky uzly v rovnakej podsieti alebo VLAN, aby boli všetky uzly v klastri dosiahnuteľné z klientov vo vašej sieti na administratívne účely.

                                                                                                                                                  Ak chcete, môžete preskočiť konfiguráciu nastavenia siete a postupovať podľa krokov v Nastavte virtuálny počítač Hybrid Data Security na konfiguráciu nastavení z konzoly uzla.


                                                                                                                                                   

                                                                                                                                                  Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 6.5. Táto možnosť nemusí byť dostupná v starších verziách.

                                                                                                                                                  11

                                                                                                                                                  Kliknite pravým tlačidlom myši na uzol VM a potom vyberte Moc > Zapnutie .

                                                                                                                                                  Softvér Hybrid Data Security je nainštalovaný ako hosť na hostiteľovi VM. Teraz ste pripravení prihlásiť sa do konzoly a nakonfigurovať uzol.

                                                                                                                                                  Tipy na riešenie problémov

                                                                                                                                                  Môžete zaznamenať oneskorenie niekoľkých minút, kým sa kontajnery uzlov objavia. Počas prvého spustenia, počas ktorého sa nemôžete prihlásiť, sa na konzole zobrazí správa brány firewall mosta.

                                                                                                                                                  Nastavte virtuálny počítač Hybrid Data Security

                                                                                                                                                  Tento postup použite na prvé prihlásenie do konzoly VM uzla Hybrid Data Security a nastavenie prihlasovacích poverení. Konzolu môžete použiť aj na konfiguráciu sieťových nastavení pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.

                                                                                                                                                  1

                                                                                                                                                  V klientovi VMware vSphere vyberte svoj uzol Hybrid Data Security VM a vyberte Konzola tab.

                                                                                                                                                  VM sa spustí a zobrazí sa výzva na prihlásenie. Ak sa výzva na prihlásenie nezobrazí, stlačte Zadajte.
                                                                                                                                                  2

                                                                                                                                                  Na prihlásenie a zmenu poverení použite nasledujúce predvolené prihlasovacie meno a heslo:

                                                                                                                                                  1. Prihlásiť sa: admin

                                                                                                                                                  2. heslo: cisco

                                                                                                                                                  Keďže sa do svojho VM prihlasujete prvýkrát, musíte zmeniť heslo správcu.

                                                                                                                                                  3

                                                                                                                                                  Ak ste už nakonfigurovali nastavenia siete v Nainštalujte HDS Host OVA, preskočte zvyšok tohto postupu. V opačnom prípade vyberte v hlavnom menu položku Upraviť konfiguráciu možnosť.

                                                                                                                                                  4

                                                                                                                                                  Nastavte statickú konfiguráciu s IP adresou, maskou, bránou a informáciami DNS. Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované.

                                                                                                                                                  5

                                                                                                                                                  (Voliteľné) Zmeňte názov hostiteľa, doménu alebo server(y) NTP, ak je to potrebné, aby zodpovedali zásadám vašej siete.

                                                                                                                                                  Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509.

                                                                                                                                                  6

                                                                                                                                                  Uložte konfiguráciu siete a reštartujte VM, aby sa zmeny prejavili.

                                                                                                                                                  Nahrajte a pripojte ISO konfiguráciu HDS

                                                                                                                                                  Tento postup použite na konfiguráciu virtuálneho počítača zo súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool.

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  Pretože súbor ISO obsahuje hlavný kľúč, mal by byť zverejnený iba na základe „potreby vedieť“, aby k nemu mali prístup virtuálne počítače s hybridným zabezpečením údajov a všetci správcovia, ktorí môžu potrebovať vykonať zmeny. Uistite sa, že k úložisku údajov majú prístup iba títo správcovia.

                                                                                                                                                  1

                                                                                                                                                  Nahrajte súbor ISO z počítača:

                                                                                                                                                  1. V ľavom navigačnom paneli klienta VMware vSphere kliknite na server ESXi.

                                                                                                                                                  2. Na karte Konfigurácia v zozname Hardvér kliknite na Skladovanie.

                                                                                                                                                  3. V zozname Úložisko údajov kliknite pravým tlačidlom myši na úložisko údajov pre vaše VM a kliknite Prehľadávať Datastore.

                                                                                                                                                  4. Kliknite na ikonu Nahrať súbory a potom kliknite na Nahrajte súbor.

                                                                                                                                                  5. Prejdite do umiestnenia, z ktorého ste si stiahli súbor ISO do počítača, a kliknite OTVORENÉ.

                                                                                                                                                  6. Kliknite Áno akceptujte varovanie o operácii nahrávania/sťahovania a zatvorte dialógové okno úložiska údajov.

                                                                                                                                                  2

                                                                                                                                                  Pripojte súbor ISO:

                                                                                                                                                  1. V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na VM a kliknite Upraviť nastavenia.

                                                                                                                                                  2. Kliknite OK akceptujete varovanie s obmedzenými možnosťami úprav.

                                                                                                                                                  3. Kliknite CD/DVD Drive 1, vyberte možnosť pripojenia zo súboru ISO úložiska údajov a prejdite do umiestnenia, kam ste nahrali konfiguračný súbor ISO.

                                                                                                                                                  4. Skontrolujte Pripojené a Pripojte pri zapnutí.

                                                                                                                                                  5. Uložte zmeny a reštartujte virtuálny počítač.

                                                                                                                                                  Čo urobiť ďalej

                                                                                                                                                  Ak to vyžaduje vaša politika IT, môžete voliteľne odpojiť súbor ISO po tom, čo všetky vaše uzly prevezmú zmeny konfigurácie. Pozri (Voliteľné) Odpojte ISO po konfigurácii HDS pre podrobnosti.

                                                                                                                                                  Nakonfigurujte uzol HDS na integráciu proxy

                                                                                                                                                  Ak sieťové prostredie vyžaduje server proxy, použite tento postup na určenie typu servera proxy, s ktorým sa chcete integrovať Hybridná bezpečnosť dát. Ak si vyberiete transparentný kontrolný proxy server alebo explicitný proxy server HTTPS, môžete použiť rozhranie uzla na nahranie a inštaláciu koreňového certifikátu. Môžete tiež skontrolovať pripojenie proxy z rozhrania a vyriešiť prípadné problémy.

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  1

                                                                                                                                                  Zadajte adresu URL nastavenia uzla HDS https://[HDS Node IP or FQDN]/setup vo webovom prehliadači zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite Prihlásiť sa.

                                                                                                                                                  2

                                                                                                                                                  Ísť do Trust Store a proxya potom vyberte možnosť:

                                                                                                                                                  • Žiadny proxy– Predvolená možnosť pred integráciou servera proxy. Nevyžaduje sa žiadna aktualizácia certifikátu.
                                                                                                                                                  • Transparentný nekontrolujúci zástupca—Uzly nie sú nakonfigurované na používanie špecifickej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.
                                                                                                                                                  • Transparentný kontrolný zástupca—Uzly nie sú nakonfigurované na používanie špecifickej adresy proxy servera. Na serveri nie sú potrebné žiadne zmeny konfigurácie HTTPS Hybridná bezpečnosť dát nasadenie, uzly HDS však potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).
                                                                                                                                                  • Explicitný proxy—Pri explicitnom serveri proxy poviete klientovi (uzly HDS), ktorý server proxy má použiť, a táto možnosť podporuje niekoľko typov autentifikácie. Po výbere tejto možnosti musíte zadať nasledujúce informácie:
                                                                                                                                                    1. Proxy IP/FQDN– Adresa, ktorú možno použiť na spojenie so zariadením proxy.

                                                                                                                                                    2. Port proxy—Číslo portu, ktoré server proxy používa na počúvanie prevádzky cez proxy.

                                                                                                                                                    3. Proxy protokol— Vyberte si http (prezerá a kontroluje všetky požiadavky, ktoré sú prijaté od klienta) resp https (poskytuje kanál pre server a klient prijíma a overuje certifikát servera). Vyberte možnosť podľa toho, čo váš proxy server podporuje.

                                                                                                                                                    4. autentický typ— Vyberte si z nasledujúcich typov autentifikácie:

                                                                                                                                                      • žiadne— Nevyžaduje sa žiadna ďalšia autentifikácia.

                                                                                                                                                        Dostupné pre servery proxy HTTP alebo HTTPS.

                                                                                                                                                      • Základné— Používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.

                                                                                                                                                        Dostupné pre servery proxy HTTP alebo HTTPS.

                                                                                                                                                        Ak zvolíte túto možnosť, musíte zadať aj meno používateľa a heslo.

                                                                                                                                                      • Digest– Používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.

                                                                                                                                                        Dostupné iba pre servery proxy HTTPS.

                                                                                                                                                        Ak zvolíte túto možnosť, musíte zadať aj meno používateľa a heslo.

                                                                                                                                                  Postupujte podľa nasledujúcich krokov pre transparentný kontrolný proxy server, explicitný proxy server HTTP so základným overením alebo explicitný proxy HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Kliknite Nahrajte koreňový certifikát alebo certifikát koncovej entitya potom prejdite na výber koreňového certifikátu pre server proxy.

                                                                                                                                                  Certifikát je nahraný, ale ešte nie je nainštalovaný, pretože na inštaláciu certifikátu musíte reštartovať uzol. Kliknutím na šípku v tvare šípky vedľa názvu vydavateľa certifikátu získate ďalšie podrobnosti alebo kliknite Odstrániť ak ste urobili chybu a chcete súbor znova nahrať.

                                                                                                                                                  4

                                                                                                                                                  Kliknite Skontrolujte pripojenie proxy na testovanie sieťového pripojenia medzi uzlom a proxy.

                                                                                                                                                  Ak test pripojenia zlyhá, zobrazí sa chybové hlásenie, ktoré uvádza dôvod a spôsob, ako môžete problém vyriešiť.

                                                                                                                                                  Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS. Tento stav sa očakáva v mnohých explicitných konfiguráciách proxy. Môžete pokračovať v nastavovaní a uzol bude fungovať v režime zablokovaného externého rozlíšenia DNS. Ak si myslíte, že ide o chybu, vykonajte tieto kroky a potom uvidíte Vypnite režim zablokovaného externého rozlíšenia DNS.

                                                                                                                                                  5

                                                                                                                                                  Po úspešnom teste pripojenia zapnite prepínač v prípade explicitného servera proxy nastaveného iba na https Smerujte všetky požiadavky https z tohto uzla na port 443/444 cez explicitný proxy server. Toto nastavenie sa prejaví po 15 sekundách.

                                                                                                                                                  6

                                                                                                                                                  Kliknite Nainštalujte všetky certifikáty do dôveryhodného úložiska (zobrazí sa pri explicitnom HTTPS proxy alebo transparentnom kontrolnom proxy serveri) alebo Reštartovať (zobrazí sa pri explicitnom serveri proxy HTTP), prečítajte si výzvu a potom kliknite Inštalácia ak si pripravený.

                                                                                                                                                  Uzol sa reštartuje v priebehu niekoľkých minút.

                                                                                                                                                  7

                                                                                                                                                  Po reštartovaní uzla sa v prípade potreby znova prihláste a potom otvorte Prehľad stránku a skontrolujte kontroly pripojenia, aby ste sa uistili, že sú všetky v zelenom stave.

                                                                                                                                                  Kontrola pripojenia proxy testuje iba subdoménu webex.com. Ak sa vyskytnú problémy s pripojením, bežným problémom je, že niektoré z cloudových domén uvedených v pokynoch na inštaláciu sú na serveri proxy blokované.

                                                                                                                                                  Zaregistrujte prvý uzol v klastri

                                                                                                                                                  Táto úloha preberá všeobecný uzol, ktorý ste vytvorili v Nastavte virtuálny počítač Hybrid Data Security, zaregistruje uzol do cloudu Webex a zmení ho na uzol Hybrid Data Security.

                                                                                                                                                  Keď zaregistrujete svoj prvý uzol, vytvoríte klaster, ku ktorému je uzol priradený. Klaster obsahuje jeden alebo viac uzlov nasadených na zabezpečenie redundancie.

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  • Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.

                                                                                                                                                  • Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  V ponuke na ľavej strane obrazovky vyberte položku Služby.

                                                                                                                                                  3

                                                                                                                                                  V sekcii Hybridné služby nájdite Hybridné zabezpečenie dát a kliknite Nastaviť.

                                                                                                                                                  Zobrazí sa stránka Register Hybrid Data Security Node.
                                                                                                                                                  4

                                                                                                                                                  Vyberte Áno na označenie, že ste uzol nastavili a ste pripravení ho zaregistrovať, a potom kliknite Ďalšie.

                                                                                                                                                  5

                                                                                                                                                  Do prvého poľa zadajte názov klastra, ku ktorému chcete priradiť váš uzol Hybrid Data Security.

                                                                                                                                                  Odporúčame pomenovať klaster podľa toho, kde sa geograficky nachádzajú uzly klastra. Príklady: „San Francisco“ alebo „New York“ alebo „Dallas“

                                                                                                                                                  6

                                                                                                                                                  Do druhého poľa zadajte internú IP adresu alebo úplný názov domény (FQDN) vášho uzla a kliknite Ďalšie.

                                                                                                                                                  Táto adresa IP alebo FQDN by sa mala zhodovať s adresou IP alebo názvom hostiteľa a doménou, ktorú ste použili Nastavte virtuálny počítač Hybrid Data Security.

                                                                                                                                                  Zobrazí sa správa, že môžete zaregistrovať svoj uzol do Webexu.
                                                                                                                                                  7

                                                                                                                                                  Kliknite Prejdite na Node.

                                                                                                                                                  8

                                                                                                                                                  Kliknite ďalej vo varovnej správe.

                                                                                                                                                  Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že svojej organizácii Webex chcete udeliť povolenia na prístup k vášmu uzlu.
                                                                                                                                                  9

                                                                                                                                                  Skontrolovať Povoľte prístup k svojmu uzlu zabezpečenia hybridných údajov začiarknite políčko a potom kliknite na ďalej.

                                                                                                                                                  Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
                                                                                                                                                  10

                                                                                                                                                  Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Hybrid Data Security Control Hub.

                                                                                                                                                  Na Hybridná bezpečnosť dát sa zobrazí nový klaster obsahujúci uzol, ktorý ste zaregistrovali. Uzol si automaticky stiahne najnovší softvér z cloudu.

                                                                                                                                                  Vytvorte a zaregistrujte viac uzlov

                                                                                                                                                  Ak chcete do svojho klastra pridať ďalšie uzly, jednoducho vytvoríte ďalšie virtuálne počítače a pripojíte rovnaký konfiguračný súbor ISO a potom uzol zaregistrujete. Odporúčame, aby ste mali aspoň 3 uzly.

                                                                                                                                                   

                                                                                                                                                  V súčasnosti sú záložné virtuálne počítače, ktoré ste vytvorili Vyplňte Predpoklady pre hybridnú bezpečnosť údajov sú pohotovostní hostitelia, ktorí sa používajú iba v prípade obnovy po havárii; dovtedy nie sú registrovaní v systéme. Podrobnosti nájdete v časti Obnova po havárii pomocou pohotovostného dátového centra.

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  • Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.

                                                                                                                                                  • Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Vytvorte nový virtuálny počítač z OVA zopakovaním krokov Nainštalujte HDS Host OVA.

                                                                                                                                                  2

                                                                                                                                                  Nastavte počiatočnú konfiguráciu na novom VM zopakovaním krokov v Nastavte virtuálny počítač Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Na novom virtuálnom počítači zopakujte kroky v Nahrajte a pripojte ISO konfiguráciu HDS.

                                                                                                                                                  4

                                                                                                                                                  Ak nastavujete server proxy pre svoje nasadenie, zopakujte kroky v Nakonfigurujte uzol HDS na integráciu proxy podľa potreby pre nový uzol.

                                                                                                                                                  5

                                                                                                                                                  Zaregistrujte uzol.

                                                                                                                                                  1. In https://admin.webex.com, vyberte Služby z ponuky na ľavej strane obrazovky.

                                                                                                                                                  2. V časti Hybridné služby nájdite kartu Hybrid Data Security a kliknite na ňu Zdroje.

                                                                                                                                                    Zobrazí sa stránka Hybrid Data Security Resources.
                                                                                                                                                  3. Kliknite Pridať zdroj.

                                                                                                                                                  4. V prvom poli vyberte názov vášho existujúceho klastra.

                                                                                                                                                  5. Do druhého poľa zadajte internú IP adresu alebo úplný názov domény (FQDN) vášho uzla a kliknite Ďalšie.

                                                                                                                                                    Zobrazí sa správa oznamujúca, že svoj uzol môžete zaregistrovať do cloudu Webex.
                                                                                                                                                  6. Kliknite Prejdite na Node.

                                                                                                                                                    Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že chcete svojej organizácii udeliť povolenia na prístup k vášmu uzlu.
                                                                                                                                                  7. Skontrolovať Povoľte prístup k svojmu uzlu zabezpečenia hybridných údajov začiarknite políčko a potom kliknite na ďalej.

                                                                                                                                                    Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
                                                                                                                                                  8. Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Hybrid Data Security Control Hub.

                                                                                                                                                  Váš uzol je zaregistrovaný. Upozorňujeme, že kým nezačnete skúšobnú verziu, vaše uzly generujú alarm, ktorý oznamuje, že vaša služba ešte nie je aktivovaná.

                                                                                                                                                  Čo urobiť ďalej

                                                                                                                                                  Spustite skúšobnú verziu a prejdite do výroby (ďalšia kapitola)
                                                                                                                                                  Spustite skúšobnú verziu a prejdite do výroby

                                                                                                                                                  Skúšobný postup produkčných úloh

                                                                                                                                                  Po nastavení klastra Hybrid Data Security môžete spustiť pilotný test, pridať doň používateľov a začať ho používať na testovanie a overovanie vášho nasadenia v rámci prípravy na prechod do produkcie.

                                                                                                                                                  1

                                                                                                                                                  V prípade potreby synchronizujte HdsTrialGroup skupinový objekt.

                                                                                                                                                  Ak vaša organizácia používa synchronizáciu adresárov pre používateľov, musíte vybrať HdsTrialGroup skupinový objekt na synchronizáciu do cloudu pred spustením skúšobnej verzie. Pokyny nájdete na Sprievodca nasadením pre Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Aktivovať skúšobnú verziu

                                                                                                                                                  Začnite skúšobnú verziu. Kým nevykonáte túto úlohu, vaše uzly generujú alarm, ktorý oznamuje, že služba ešte nie je aktivovaná.

                                                                                                                                                  3

                                                                                                                                                  Otestujte svoje nasadenie hybridného zabezpečenia dát

                                                                                                                                                  Skontrolujte, či kľúčové požiadavky prechádzajú do vášho nasadenia Hybrid Data Security.

                                                                                                                                                  4

                                                                                                                                                  Monitorujte zdravie Hybrid Data Security Health

                                                                                                                                                  Skontrolujte stav a nastavte e-mailové upozornenia na budíky.

                                                                                                                                                  5

                                                                                                                                                  Pridajte alebo odstráňte používateľov z vašej skúšobnej verzie

                                                                                                                                                  6

                                                                                                                                                  Dokončite skúšobnú fázu jedným z nasledujúcich krokov:

                                                                                                                                                  Aktivovať skúšobnú verziu

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  Ak vaša organizácia používa synchronizáciu adresárov pre používateľov, musíte vybrať HdsTrialGroup skupinový objekt na synchronizáciu do cloudu predtým, ako začnete skúšobnú verziu pre vašu organizáciu. Pokyny nájdete na Sprievodca nasadením pre Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do https://admin.webex.coma potom vyberte Služby.

                                                                                                                                                  2

                                                                                                                                                  V časti Hybrid Data Security kliknite na nastavenie.

                                                                                                                                                  3

                                                                                                                                                  V časti Stav služby kliknite na Spustiť skúšku.

                                                                                                                                                  Stav služby sa zmení na skúšobný režim.
                                                                                                                                                  4

                                                                                                                                                  Kliknite Pridať používateľov a zadajte e-mailovú adresu jedného alebo viacerých používateľov na pilotné používanie vašich uzlov Hybrid Data Security na šifrovacie a indexovacie služby.

                                                                                                                                                  (Ak vaša organizácia používa synchronizáciu adresárov, na správu skúšobnej skupiny použite službu Active Directory, HdsTrialGroup.)

                                                                                                                                                  Otestujte svoje nasadenie hybridného zabezpečenia dát

                                                                                                                                                  Tento postup použite na testovanie scenárov šifrovania Hybrid Data Security.

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  • Nastavte nasadenie Hybrid Data Security.

                                                                                                                                                  • Aktivujte skúšobnú verziu a pridajte niekoľko používateľov skúšobnej verzie.

                                                                                                                                                  • Uistite sa, že máte prístup k syslog, aby ste si overili, že kľúčové požiadavky prechádzajú do vášho nasadenia Hybrid Data Security.

                                                                                                                                                  1

                                                                                                                                                  Kľúče pre daný priestor nastavuje tvorca priestoru. Prihláste sa do aplikácie Webex ako jeden z pilotných používateľov a potom vytvorte priestor a pozvite aspoň jedného pilotného používateľa a jedného nepilotného používateľa.


                                                                                                                                                   

                                                                                                                                                  Ak deaktivujete nasadenie Hybrid Data Security, obsah v priestoroch, ktoré vytvoria pilotní používatelia, už nebude prístupný po výmene kópií šifrovacích kľúčov uložených vo vyrovnávacej pamäti klienta.

                                                                                                                                                  2

                                                                                                                                                  Posielajte správy do nového priestoru.

                                                                                                                                                  3

                                                                                                                                                  Skontrolujte výstup syslog, aby ste si overili, že požiadavky na kľúče prechádzajú do vášho nasadenia Hybrid Data Security.

                                                                                                                                                  1. Ak chcete skontrolovať, či používateľ najprv vytvoril zabezpečený kanál pre KMS, filtrujte kms.data.method=create a kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Mali by ste nájsť záznam, ako je tento (identifikátory skrátené kvôli čitateľnosti):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Ak chcete skontrolovať používateľa, ktorý požaduje existujúci kľúč z KMS, filtrujte kms.data.method=retrieve a kms.data.type=KEY:

                                                                                                                                                    Mali by ste nájsť záznam ako:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Ak chcete skontrolovať používateľa požadujúceho vytvorenie nového kľúča KMS, filtrujte kms.data.method=create a kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Mali by ste nájsť záznam ako:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Ak chcete pri vytváraní priestoru alebo iného chráneného zdroja skontrolovať používateľa požadujúceho vytvorenie nového objektu KMS (KRO), filtrujte na kms.data.method=create a kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Mali by ste nájsť záznam ako:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Monitorujte zdravie Hybrid Data Security Health

                                                                                                                                                  Indikátor stavu v Control Hub vám ukáže, či je s nasadením Hybrid Data Security všetko v poriadku. Ak chcete dostávať proaktívnejšie upozornenia, prihláste sa na odber e-mailových upozornení. Budete upozornení, keď sa vyskytnú alarmy alebo aktualizácie softvéru ovplyvňujúce službu.
                                                                                                                                                  1

                                                                                                                                                  In Control Hub, vyberte Služby z ponuky na ľavej strane obrazovky.

                                                                                                                                                  2

                                                                                                                                                  V sekcii Hybridné služby nájdite Hybridné zabezpečenie dát a kliknite nastavenie.

                                                                                                                                                  Zobrazí sa stránka Hybrid Data Security Settings.
                                                                                                                                                  3

                                                                                                                                                  V časti E-mailové upozornenia zadajte jednu alebo viac e-mailových adries oddelených čiarkami a stlačte Zadajte.

                                                                                                                                                  Pridajte alebo odstráňte používateľov z vašej skúšobnej verzie

                                                                                                                                                  Po aktivácii skúšobnej verzie a pridaní počiatočnej skupiny používateľov skúšobnej verzie môžete členov skúšobnej verzie kedykoľvek pridať alebo odstrániť, kým je skúšobná verzia aktívna.

                                                                                                                                                  Ak odstránite používateľa zo skúšobnej verzie, klient tohto používateľa bude namiesto vášho KMS požadovať kľúče a vytvorenie kľúča z cloudového KMS. Ak klient potrebuje kľúč, ktorý je uložený vo vašom KMS, cloudový KMS ho načíta v mene používateľa.

                                                                                                                                                  Ak vaša organizácia používa synchronizáciu adresárov, použite Active Directory (namiesto tohto postupu) na správu skúšobnej skupiny, HdsTrialGroup; členov skupiny môžete zobraziť v Control Hub, ale nemôžete ich pridávať ani odstraňovať.

                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do Control Hub a potom vyberte Služby.

                                                                                                                                                  2

                                                                                                                                                  V časti Hybrid Data Security kliknite na nastavenie.

                                                                                                                                                  3

                                                                                                                                                  V časti Skúšobný režim v oblasti Stav služby kliknite na Pridať používateľov, alebo kliknite zobraziť a upraviť na odstránenie používateľov zo skúšobnej verzie.

                                                                                                                                                  4

                                                                                                                                                  Zadajte e-mailovú adresu jedného alebo viacerých používateľov, ktorých chcete pridať, alebo kliknite na X pomocou ID používateľa na odstránenie používateľa zo skúšobnej verzie. Potom kliknite Uložiť.

                                                                                                                                                  Presuňte sa zo skúšobnej do produkčnej verzie

                                                                                                                                                  Keď ste spokojní, že vaše nasadenie funguje dobre pre skúšobných používateľov, môžete prejsť do produkcie. Keď prejdete do produkcie, všetci používatelia v organizácii budú používať vašu lokálnu doménu Hybrid Data Security na šifrovacie kľúče a ďalšie služby v oblasti zabezpečenia. Z produkcie sa nemôžete vrátiť späť do skúšobného režimu, pokiaľ službu nedeaktivujete ako súčasť obnovy po havárii. Opätovná aktivácia služby vyžaduje nastavenie novej skúšobnej verzie.
                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do Control Hub a potom vyberte Služby.

                                                                                                                                                  2

                                                                                                                                                  V časti Hybrid Data Security kliknite na nastavenie.

                                                                                                                                                  3

                                                                                                                                                  V časti Stav služby kliknite na Presunúť do výroby.

                                                                                                                                                  4

                                                                                                                                                  Potvrďte, že chcete presunúť všetkých svojich používateľov do produkcie.

                                                                                                                                                  Ukončite skúšobnú verziu bez presunu do výroby

                                                                                                                                                  Ak sa počas skúšobného obdobia rozhodnete nepokračovať v nasadení Hybrid Data Security, môžete deaktivovať Hybrid Data Security, čím sa skúšobná verzia ukončí a skúšobní používatelia sa presunú späť ku cloudovým službám zabezpečenia údajov. Používatelia skúšobnej verzie stratia prístup k údajom, ktoré boli počas skúšobnej verzie zašifrované.
                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do Control Hub a potom vyberte Služby.

                                                                                                                                                  2

                                                                                                                                                  V časti Hybrid Data Security kliknite na nastavenie.

                                                                                                                                                  3

                                                                                                                                                  V časti Deaktivovať kliknite na Deaktivovať.

                                                                                                                                                  4

                                                                                                                                                  Potvrďte, že chcete službu deaktivovať a ukončiť skúšobnú verziu.

                                                                                                                                                  Spravujte svoje nasadenie HDS

                                                                                                                                                  Spravujte nasadenie HDS

                                                                                                                                                  Pomocou tu popísaných úloh spravujte svoje nasadenie Hybrid Data Security.

                                                                                                                                                  Nastavte plán aktualizácie klastra

                                                                                                                                                  Aktualizácie softvéru pre Hybrid Data Security sa vykonávajú automaticky na úrovni klastra, čo zaisťuje, že všetky uzly vždy bežia s rovnakou verziou softvéru. Inovácie sa vykonávajú podľa plánu aktualizácie pre klaster. Keď bude k dispozícii aktualizácia softvéru, máte možnosť manuálne aktualizovať klaster pred plánovaným časom aktualizácie. Môžete nastaviť konkrétny plán inovácie alebo použiť predvolený plán na 3:00 denne v USA: Amerika/Los Angeles. V prípade potreby môžete tiež odložiť nadchádzajúcu inováciu.

                                                                                                                                                  Ak chcete nastaviť plán aktualizácie:

                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Na stránke Prehľad v časti Hybridné služby vyberte Hybridná bezpečnosť dát.

                                                                                                                                                  3

                                                                                                                                                  Na stránke Hybrid Data Security Resources vyberte klaster.

                                                                                                                                                  4

                                                                                                                                                  Na paneli Prehľad vpravo v časti Nastavenia klastra vyberte názov klastra.

                                                                                                                                                  5

                                                                                                                                                  Na stránke Nastavenia v časti Aktualizácia vyberte čas a časové pásmo pre plán inovácie.

                                                                                                                                                  Poznámka: Pod časovým pásmom sa zobrazí dátum a čas ďalšej dostupnej aktualizácie. Kliknutím na tlačidlo môžete v prípade potreby odložiť aktualizáciu na nasledujúci deň Odložiť.

                                                                                                                                                  Zmeňte konfiguráciu uzla

                                                                                                                                                  Príležitostne možno budete musieť zmeniť konfiguráciu uzla Hybrid Data Security z nasledujúcich dôvodov:
                                                                                                                                                  • Zmena x.509 certifikátov z dôvodu uplynutia platnosti alebo iných dôvodov.


                                                                                                                                                     

                                                                                                                                                    Nepodporujeme zmenu názvu domény CN certifikátu. Doména sa musí zhodovať s pôvodnou doménou použitou na registráciu klastra.

                                                                                                                                                  • Aktualizácia nastavení databázy pre zmenu na repliku databázy PostgreSQL alebo Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Nepodporujeme migráciu údajov z PostgreSQL na Microsoft SQL Server alebo opačným spôsobom. Ak chcete zmeniť prostredie databázy, spustite nové nasadenie Hybrid Data Security.

                                                                                                                                                  • Vytvorenie novej konfigurácie na prípravu nového dátového centra.

                                                                                                                                                  Z bezpečnostných dôvodov používa Hybrid Data Security heslá servisných účtov, ktoré majú životnosť deväť mesiacov. Keď nástroj HDS Setup vygeneruje tieto heslá, nasadíte ich do každého z vašich uzlov HDS v konfiguračnom súbore ISO. Keď sa blíži koniec platnosti hesiel vašej organizácie, dostanete od tímu Webex upozornenie na resetovanie hesla pre váš počítačový účet. (E-mail obsahuje text „Na aktualizáciu hesla použite rozhranie API strojového účtu.“) Ak platnosť vašich hesiel ešte nevypršala, nástroj vám ponúka dve možnosti:

                                                                                                                                                  • Mäkký reset—Staré aj nové heslo fungujú až 10 dní. Toto obdobie použite na postupnú výmenu súboru ISO na uzloch.

                                                                                                                                                  • Tvrdý reštart—Staré heslá okamžite prestanú fungovať.

                                                                                                                                                  Ak platnosť vašich hesiel vyprší bez resetovania, ovplyvní to vašu službu HDS, čo si vyžaduje okamžitý tvrdý reset a nahradenie súboru ISO na všetkých uzloch.

                                                                                                                                                  Tento postup použite na vygenerovanie nového konfiguračného súboru ISO a jeho použitie vo vašom klastri.

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  • Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Control Hub s úplnými administrátorskými právami pre vašu organizáciu.

                                                                                                                                                    Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker zadajte nastavenia proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker 1.e. Táto tabuľka uvádza niektoré možné premenné prostredia:

                                                                                                                                                    Opis

                                                                                                                                                    Variabilné

                                                                                                                                                    HTTP Proxy bez autentifikácie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy bez autentifikácie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy s autentifikáciou

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy s autentifikáciou

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Na vygenerovanie novej konfigurácie potrebujete kópiu aktuálneho konfiguračného súboru ISO. ISO obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. ISO potrebujete, keď robíte zmeny v konfigurácii vrátane poverení databázy, aktualizácií certifikátov alebo zmien v politike autorizácie.

                                                                                                                                                  1

                                                                                                                                                  Pomocou Docker na lokálnom počítači spustite nástroj HDS Setup Tool.

                                                                                                                                                  1. Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

                                                                                                                                                    V bežných prostrediach:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    V prostrediach FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

                                                                                                                                                  2. Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Pri výzve na zadanie hesla zadajte tento hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Stiahnite si najnovší stabilný obraz pre vaše prostredie:

                                                                                                                                                    V bežných prostrediach:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    V prostrediach FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Uistite sa, že ste na tento postup použili najnovší nástroj Setup. Verzie nástroja vytvorené pred 22. februárom 2018 neobsahujú obrazovky na obnovenie hesla.

                                                                                                                                                  5. Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

                                                                                                                                                    • V bežných prostrediach bez servera proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • V bežných prostrediach s HTTP proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • V bežných prostrediach s HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • V prostrediach FedRAMP bez proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • V prostrediach FedRAMP s HTTP proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • V prostrediach FedRAMP s HTTPS proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“.

                                                                                                                                                  6. Použite prehliadač na pripojenie k localhost, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Inštalačný nástroj nepodporuje pripojenie k localhost prostredníctvom http://localhost:8080. Použite http://127.0.0.1:8080 na pripojenie k localhost.

                                                                                                                                                  7. Po zobrazení výzvy zadajte svoje prihlasovacie údaje zákazníka Control Hub a potom kliknite súhlasiť pokračovať.

                                                                                                                                                  8. Importujte aktuálny konfiguračný súbor ISO.

                                                                                                                                                  9. Postupujte podľa pokynov na dokončenie nástroja a stiahnite si aktualizovaný súbor.

                                                                                                                                                    Ak chcete vypnúť nástroj Setup, zadajte CTRL+C.

                                                                                                                                                  10. Vytvorte záložnú kópiu aktualizovaného súboru v inom údajovom centre.

                                                                                                                                                  2

                                                                                                                                                  Ak máte spustený iba jeden uzol HDS, vytvorte nový VM uzla Hybrid Data Security a zaregistrujte ho pomocou nového konfiguračného súboru ISO. Podrobnejšie pokyny nájdete v časti Vytvorte a zaregistrujte viac uzlov.

                                                                                                                                                  1. Nainštalujte hostiteľský OVA HDS.

                                                                                                                                                  2. Nastavte HDS VM.

                                                                                                                                                  3. Pripojte aktualizovaný konfiguračný súbor.

                                                                                                                                                  4. Zaregistrujte nový uzol v Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Pre existujúce uzly HDS, na ktorých je spustený starší konfiguračný súbor, pripojte súbor ISO. Postupne vykonajte nasledujúci postup na každom uzle, pričom aktualizujte každý uzol pred vypnutím ďalšieho uzla:

                                                                                                                                                  1. Vypnite virtuálny stroj.

                                                                                                                                                  2. V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na VM a kliknite Upraviť nastavenia.

                                                                                                                                                  3. Kliknite CD/DVD Drive 1, vyberte možnosť pripojenia zo súboru ISO a prejdite do umiestnenia, kam ste stiahli nový konfiguračný súbor ISO.

                                                                                                                                                  4. Skontrolujte Pripojte pri zapnutí.

                                                                                                                                                  5. Uložte zmeny a zapnite virtuálny počítač.

                                                                                                                                                  4

                                                                                                                                                  Opakujte krok 3, aby ste nahradili konfiguráciu na každom zostávajúcom uzle, na ktorom je spustená stará konfigurácia.

                                                                                                                                                  Vypnite režim zablokovaného externého rozlíšenia DNS

                                                                                                                                                  Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. Ak server DNS uzla nedokáže rozlíšiť verejné názvy DNS, uzol automaticky prejde do režimu zablokovaného externého rozlíšenia DNS.

                                                                                                                                                  Ak vaše uzly dokážu rozlíšiť verejné názvy DNS prostredníctvom interných serverov DNS, môžete tento režim vypnúť opätovným spustením testu pripojenia proxy na každom uzle.

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  Uistite sa, že vaše interné servery DNS dokážu rozlíšiť verejné názvy DNS a že vaše uzly s nimi môžu komunikovať.
                                                                                                                                                  1

                                                                                                                                                  Vo webovom prehliadači otvorte rozhranie uzla Hybrid Data Security (IP adresa/nastavenie, napr. https://192.0.2.0/setup), zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite Prihlásiť sa.

                                                                                                                                                  2

                                                                                                                                                  Ísť do Prehľad (predvolená stránka).

                                                                                                                                                  Keď je povolené, Zablokované externé rozlíšenie DNS je nastavený na Áno.

                                                                                                                                                  3

                                                                                                                                                  Choďte na Trust Store a proxy stránku.

                                                                                                                                                  4

                                                                                                                                                  Kliknite Skontrolujte pripojenie proxy.

                                                                                                                                                  Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS a zostane v tomto režime. V opačnom prípade po reštartovaní uzla a návrate do Prehľad na stránke Blocked External DNS Resolution by mala byť nastavená na no.

                                                                                                                                                  Čo urobiť ďalej

                                                                                                                                                  Zopakujte test pripojenia proxy na každom uzle v klastri Hybrid Data Security.

                                                                                                                                                  Odstráňte uzol

                                                                                                                                                  Tento postup použite na odstránenie uzla Hybrid Data Security z cloudu Webex. Po odstránení uzla z klastra odstráňte virtuálny počítač, aby ste zabránili ďalšiemu prístupu k vašim bezpečnostným údajom.
                                                                                                                                                  1

                                                                                                                                                  Pomocou klienta VMware vSphere vo svojom počítači sa prihláste do virtuálneho hostiteľa ESXi a vypnite virtuálny počítač.

                                                                                                                                                  2

                                                                                                                                                  Odstráňte uzol:

                                                                                                                                                  1. Prihláste sa do Control Hub a potom vyberte Služby.

                                                                                                                                                  2. Na karte Hybrid Data Security kliknite na Zobraziť všetko zobrazíte stránku Hybrid Data Security Resources.

                                                                                                                                                  3. Vyberte svoj klaster, aby sa zobrazil jeho panel Prehľad.

                                                                                                                                                  4. Kliknite Otvorte zoznam uzlov.

                                                                                                                                                  5. Na karte Uzly vyberte uzol, ktorý chcete odstrániť.

                                                                                                                                                  6. Kliknite Akcie > Zrušte registráciu uzla.

                                                                                                                                                  3

                                                                                                                                                  V klientovi vSphere odstráňte VM. (Na ľavom navigačnom paneli kliknite pravým tlačidlom myši na VM a kliknite na Odstrániť.)

                                                                                                                                                  Ak nevymažete VM, nezabudnite odpojiť konfiguračný súbor ISO. Bez súboru ISO nemôžete použiť VM na prístup k bezpečnostným údajom.

                                                                                                                                                  Obnova po havárii pomocou pohotovostného dátového centra

                                                                                                                                                  Najdôležitejšou službou, ktorú váš klaster Hybrid Data Security poskytuje, je vytváranie a ukladanie kľúčov používaných na šifrovanie správ a iného obsahu uloženého v cloude Webex. Pre každého používateľa v rámci organizácie, ktorý je priradený k Hybrid Data Security, sú do klastra smerované nové požiadavky na vytvorenie kľúča. Klaster je tiež zodpovedný za vrátenie kľúčov, ktoré vytvoril, všetkým používateľom oprávneným na ich získanie, napríklad členom konverzačného priestoru.

                                                                                                                                                  Pretože klaster vykonáva kritickú funkciu poskytovania týchto kľúčov, je nevyhnutné, aby klaster zostal spustený a aby boli udržiavané správne zálohy. Strata databázy Hybrid Data Security alebo konfigurácie ISO použitej pre schému bude mať za následok NENÁVRATNÚ STRATU zákazníckeho obsahu. Aby sa predišlo takejto strate, sú povinné nasledujúce postupy:

                                                                                                                                                  Ak havária spôsobí, že nasadenie HDS v primárnom dátovom centre sa stane nedostupným, podľa tohto postupu manuálne prepnite na pohotovostné dátové centrum.

                                                                                                                                                  1

                                                                                                                                                  Spustite nástroj HDS Setup a postupujte podľa krokov uvedených v Vytvorte ISO konfigurácie pre hostiteľov HDS.

                                                                                                                                                  2

                                                                                                                                                  Po nakonfigurovaní servera Syslogd kliknite na Pokročilé nastavenia

                                                                                                                                                  3

                                                                                                                                                  Na Pokročilé nastavenia pridajte konfiguráciu nižšie alebo odstráňte passiveMode konfiguráciu, aby bol uzol aktívny. Keď je toto nakonfigurované, uzol môže spracovať prevádzku.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť.

                                                                                                                                                  5

                                                                                                                                                  Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii.

                                                                                                                                                  6

                                                                                                                                                  V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na VM a kliknite Upraviť nastavenia..

                                                                                                                                                  7

                                                                                                                                                  Kliknite Upraviť nastavenia >CD/DVD mechanika 1 a vyberte Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Uisti sa Pripojené a Pripojte pri zapnutí sú skontrolované, aby sa aktualizované zmeny konfigurácie prejavili po spustení uzlov.

                                                                                                                                                  8

                                                                                                                                                  Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy.

                                                                                                                                                  9

                                                                                                                                                  Opakujte proces pre každý uzol v pohotovostnom dátovom centre.


                                                                                                                                                   

                                                                                                                                                  Skontrolujte výstup syslog a overte, či uzly pohotovostného dátového centra nie sú v pasívnom režime. V syslogoch by sa nemalo objaviť „KMS nakonfigurované v pasívnom režime“.

                                                                                                                                                  Čo urobiť ďalej

                                                                                                                                                  Ak sa po prepnutí pri zlyhaní opäť aktivuje primárne dátové centrum, uveďte pohotovostné dátové centrum opäť do pasívneho režimu podľa krokov popísaných v časti Nastavte pohotovostné dátové centrum pre obnovu po havárii.

                                                                                                                                                  (Voliteľné) Odpojte ISO po konfigurácii HDS

                                                                                                                                                  Štandardná konfigurácia HDS beží s namontovaným ISO. Niektorí zákazníci však uprednostňujú neponechať súbory ISO nepretržite pripojené. Súbor ISO môžete odpojiť potom, čo všetky uzly HDS prevezmú novú konfiguráciu.

                                                                                                                                                  Na vykonanie zmien v konfigurácii stále používate súbory ISO. Keď vytvoríte nový ISO alebo aktualizujete ISO pomocou nástroja Setup Tool, musíte aktualizovaný ISO pripojiť na všetky vaše uzly HDS. Keď všetky vaše uzly zachytia zmeny konfigurácie, môžete ISO znova odpojiť pomocou tohto postupu.

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  Inovujte všetky svoje uzly HDS na verziu 2021.01.22.4720 alebo novšiu.

                                                                                                                                                  1

                                                                                                                                                  Vypnite jeden z uzlov HDS.

                                                                                                                                                  2

                                                                                                                                                  V serverovom zariadení vCenter vyberte uzol HDS.

                                                                                                                                                  3

                                                                                                                                                  Vyberte si Upraviť nastavenia > CD/DVD mechanika a zrušte začiarknutie Súbor ISO úložiska údajov.

                                                                                                                                                  4

                                                                                                                                                  Zapnite uzol HDS a uistite sa, že aspoň 20 minút nie sú žiadne alarmy.

                                                                                                                                                  5

                                                                                                                                                  Postup opakujte pre každý uzol HDS.

                                                                                                                                                  Riešenie problémov so zabezpečením hybridných údajov

                                                                                                                                                  Zobraziť upozornenia a riešenie problémov

                                                                                                                                                  Nasadenie Hybrid Data Security sa považuje za nedostupné, ak sú všetky uzly v klastri nedostupné alebo klaster pracuje tak pomaly, že si vyžaduje časový limit. Ak používatelia nemôžu dosiahnuť váš klaster Hybrid Data Security, zaznamenajú nasledujúce príznaky:

                                                                                                                                                  • Nie je možné vytvoriť nové medzery (nemožno vytvoriť nové kľúče)

                                                                                                                                                  • Správy a názvy priestorov sa nepodarilo dešifrovať pre:

                                                                                                                                                    • Noví používatelia pridaní do priestoru (nemožno načítať kľúče)

                                                                                                                                                    • Existujúci používatelia v priestore používajúci nového klienta (nemožno načítať kľúče)

                                                                                                                                                  • Existujúci používatelia v priestore budú naďalej úspešne fungovať, pokiaľ budú mať ich klienti vyrovnávaciu pamäť šifrovacích kľúčov

                                                                                                                                                  Je dôležité, aby ste správne monitorovali svoj klaster Hybrid Data Security a okamžite riešili všetky výstrahy, aby ste predišli prerušeniu služby.

                                                                                                                                                  Upozornenia

                                                                                                                                                  Ak sa vyskytne problém s nastavením Hybrid Data Security, Control Hub zobrazí upozornenia správcovi organizácie a odošle e-maily na nakonfigurovanú e-mailovú adresu. Výstrahy pokrývajú mnoho bežných scenárov.

                                                                                                                                                  Tabuľka č. 1 Bežné problémy a kroky na ich vyriešenie

                                                                                                                                                  Upozornenie

                                                                                                                                                  Akcia

                                                                                                                                                  Zlyhanie prístupu k lokálnej databáze.

                                                                                                                                                  Skontrolujte chyby databázy alebo problémy s lokálnou sieťou.

                                                                                                                                                  Zlyhanie pripojenia k lokálnej databáze.

                                                                                                                                                  Skontrolujte, či je databázový server dostupný a či boli v konfigurácii uzla použité správne poverenia servisného účtu.

                                                                                                                                                  Zlyhanie prístupu k cloudovej službe.

                                                                                                                                                  Skontrolujte, či majú uzly prístup k serverom Webex, ako je uvedené v Požiadavky na externé pripojenie.

                                                                                                                                                  Obnovuje sa registrácia cloudovej služby.

                                                                                                                                                  Registrácia do cloudových služieb bola zrušená. Prebieha obnova registrácie.

                                                                                                                                                  Registrácia cloudovej služby bola zrušená.

                                                                                                                                                  Registrácia do cloudových služieb bola ukončená. Služba sa vypína.

                                                                                                                                                  Služba ešte nie je aktivovaná.

                                                                                                                                                  Aktivujte skúšobnú verziu alebo dokončite presun skúšky do produkcie.

                                                                                                                                                  Nakonfigurovaná doména sa nezhoduje s certifikátom servera.

                                                                                                                                                  Uistite sa, že váš certifikát servera sa zhoduje s nakonfigurovanou doménou aktivácie služby.

                                                                                                                                                  Najpravdepodobnejšou príčinou je, že certifikát CN bol nedávno zmenený a teraz sa líši od CN, ktorý bol použitý počas počiatočného nastavenia.

                                                                                                                                                  Nepodarilo sa overiť v cloudových službách.

                                                                                                                                                  Skontrolujte presnosť a možné vypršanie platnosti poverení servisného účtu.

                                                                                                                                                  Nepodarilo sa otvoriť súbor lokálneho úložiska kľúčov.

                                                                                                                                                  Skontrolujte integritu a presnosť hesla v lokálnom súbore skladu kľúčov.

                                                                                                                                                  Certifikát lokálneho servera je neplatný.

                                                                                                                                                  Skontrolujte dátum vypršania platnosti certifikátu servera a potvrďte, že bol vydaný dôveryhodnou certifikačnou autoritou.

                                                                                                                                                  Nie je možné uverejniť metriky.

                                                                                                                                                  Skontrolujte prístup k lokálnej sieti k externým cloudovým službám.

                                                                                                                                                  Adresár /media/configdrive/hds neexistuje.

                                                                                                                                                  Skontrolujte konfiguráciu pripojenia ISO na virtuálnom hostiteľovi. Overte, či súbor ISO existuje, či je nakonfigurovaný na pripojenie pri reštarte a či sa úspešne pripojí.

                                                                                                                                                  Riešenie problémov so zabezpečením hybridných údajov

                                                                                                                                                  Pri riešení problémov s Hybrid Data Security použite nasledujúce všeobecné pokyny.
                                                                                                                                                  1

                                                                                                                                                  Skontrolujte si v Control Hub všetky upozornenia a opravte všetky položky, ktoré tam nájdete.

                                                                                                                                                  2

                                                                                                                                                  Skontrolujte výstup servera syslog pre aktivitu z nasadenia Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Kontakt Podpora Cisco.

                                                                                                                                                  Ďalšie poznámky

                                                                                                                                                  Známe problémy s hybridnou bezpečnosťou dát

                                                                                                                                                  • Ak vypnete svoj klaster Hybrid Data Security (odstránením v Control Hub alebo vypnutím všetkých uzlov), stratíte svoj konfiguračný súbor ISO alebo stratíte prístup k databáze úložiska kľúčov, používatelia vašej aplikácie Webex App už nebudú môcť používať priestory pod svojimi ľuďmi. zoznam, ktorý bol vytvorený pomocou kľúčov z vášho KMS. Platí to pre skúšobné aj produkčné nasadenia. V súčasnosti nemáme riešenie ani opravu tohto problému a žiadame vás, aby ste nevypínali svoje služby HDS, keď budú spracovávať aktívne používateľské účty.

                                                                                                                                                  • Klient, ktorý má existujúce pripojenie ECDH ku KMS, udržiava toto pripojenie určitý čas (pravdepodobne jednu hodinu). Keď sa používateľ stane členom skúšobnej verzie Hybrid Data Security, klient používateľa naďalej používa existujúce pripojenie ECDH, kým nevyprší časový limit. Prípadne sa používateľ môže odhlásiť a znova prihlásiť do aplikácie Webex App, aby aktualizoval umiestnenie, ktoré aplikácia kontaktuje pre šifrovacie kľúče.

                                                                                                                                                    Rovnaké správanie nastane, keď presuniete skúšobnú verziu do produkcie organizácie. Všetci neskúšobní používatelia s existujúcimi pripojeniami ECDH k predchádzajúcim službám zabezpečenia údajov budú tieto služby naďalej používať, kým sa znovu nedohodne pripojenie ECDH (prostredníctvom časového limitu alebo odhlásením a opätovným prihlásením).

                                                                                                                                                  Na vygenerovanie súboru PKCS12 použite OpenSSL

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  • OpenSSL je jeden nástroj, ktorý možno použiť na vytvorenie súboru PKCS12 v správnom formáte na načítanie v nástroji HDS Setup Tool. Existujú aj iné spôsoby, ako to urobiť, a my nepodporujeme ani nepresadzujeme jeden spôsob oproti druhému.

                                                                                                                                                  • Ak sa rozhodnete použiť OpenSSL, poskytujeme tento postup ako návod, ktorý vám pomôže vytvoriť súbor, ktorý spĺňa požiadavky certifikátu X.509 v Požiadavky na certifikát X.509. Než budete pokračovať, pochopte tieto požiadavky.

                                                                                                                                                  • Nainštalujte OpenSSL v podporovanom prostredí. Pozri https://www.openssl.org pre softvér a dokumentáciu.

                                                                                                                                                  • Vytvorte súkromný kľúč.

                                                                                                                                                  • Tento postup začnite, keď dostanete certifikát servera od certifikačnej autority (CA).

                                                                                                                                                  1

                                                                                                                                                  Keď dostanete certifikát servera od vašej CA, uložte ho ako hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Zobrazte certifikát ako text a overte podrobnosti.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Pomocou textového editora vytvorte súbor zväzku certifikátov s názvom hdsnode-bundle.pem. Súbor balíka musí obsahovať certifikát servera, akékoľvek sprostredkujúce certifikáty CA a certifikáty koreňovej CA vo formáte nižšie:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Vytvorte súbor .p12 s popisným názvom kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Skontrolujte podrobnosti certifikátu servera.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Vo výzve zadajte heslo na zašifrovanie súkromného kľúča, aby bol uvedený vo výstupe. Potom skontrolujte, či súkromný kľúč a prvý certifikát obsahujú riadky friendlyName: kms-private-key.

                                                                                                                                                    Príklad:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Čo urobiť ďalej

                                                                                                                                                  Návrat do Vyplňte Predpoklady pre hybridnú bezpečnosť údajov. Budete používať hdsnode.p12 súbor a heslo, ktoré ste preň nastavili Vytvorte ISO konfigurácie pre hostiteľov HDS.


                                                                                                                                                   

                                                                                                                                                  Tieto súbory môžete znova použiť na vyžiadanie nového certifikátu, keď platnosť pôvodného certifikátu vyprší.

                                                                                                                                                  Prevádzka medzi uzlami HDS a cloudom

                                                                                                                                                  Odchádzajúca návštevnosť zberu metrík

                                                                                                                                                  Uzly Hybrid Data Security odosielajú určité metriky do cloudu Webex. Patria sem systémové metriky pre maximálnu haldu, využitú haldu, zaťaženie procesora a počet vlákien; metriky na synchrónnych a asynchrónnych vláknach; metriky výstrah zahŕňajúce prah šifrovacích pripojení, latenciu alebo dĺžku frontu požiadaviek; metriky na dátovom úložisku; a metriky šifrovaného pripojenia. Uzly posielajú zašifrovaný kľúčový materiál cez kanál mimo pásma (oddelený od požiadavky).

                                                                                                                                                  Prichádzajúca premávka

                                                                                                                                                  Uzly Hybrid Data Security prijímajú nasledujúce typy prichádzajúcej prevádzky z cloudu Webex:

                                                                                                                                                  • Šifrovacie požiadavky od klientov, ktoré sú smerované šifrovacou službou

                                                                                                                                                  • Aktualizácie softvéru uzla

                                                                                                                                                  Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát

                                                                                                                                                  Websocket sa nemôže pripojiť cez Squid Proxy

                                                                                                                                                  Proxy serverov chobotnice, ktoré kontrolujú prenos HTTPS, môžu zasahovať do vytvorenia webovej zásuvky ( wss:) pripojenia, ktoré vyžaduje Hybrid Data Security. Tieto časti poskytujú návod, ako nakonfigurovať rôzne verzie Squid na ignorovanie wss: prevádzky pre správne fungovanie služieb.

                                                                                                                                                  Kalmáre 4 a 5

                                                                                                                                                  Pridajte on_unsupported_protocol smernica k squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Kalmáre 3.5.27

                                                                                                                                                  Hybridnú bezpečnosť dát sme úspešne otestovali s nasledujúcimi pravidlami squid.conf. Tieto pravidlá sa môžu meniť, pretože vyvíjame funkcie a aktualizujeme cloud Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Predslov

                                                                                                                                                  Nové a zmenené informácie

                                                                                                                                                  Dátum

                                                                                                                                                  Vykonané zmeny

                                                                                                                                                  20. októbra 2023

                                                                                                                                                  7. augusta 2023

                                                                                                                                                  23. mája 2023

                                                                                                                                                  6. decembra 2022

                                                                                                                                                  23. novembra 2022

                                                                                                                                                  13. októbra 2021

                                                                                                                                                  Pred inštaláciou uzlov HDS musí Docker Desktop spustiť inštalačný program. Pozri Požiadavky na plochu Docker.

                                                                                                                                                  24. júna 2021

                                                                                                                                                  Upozorňujeme, že súbor so súkromným kľúčom a CSR môžete znova použiť na vyžiadanie ďalšieho certifikátu. Pozri Na vygenerovanie súboru PKCS12 použite OpenSSL pre podrobnosti.

                                                                                                                                                  30. apríla 2021

                                                                                                                                                  Požiadavka VM na lokálny pevný disk sa zmenila na 30 GB. Pozri Požiadavky na virtuálny hostiteľ pre podrobnosti.

                                                                                                                                                  24. februára 2021

                                                                                                                                                  HDS Setup Tool teraz môže bežať za serverom proxy. Pozri Vytvorte ISO konfigurácie pre hostiteľov HDS pre podrobnosti.

                                                                                                                                                  2. februára 2021

                                                                                                                                                  HDS teraz môže bežať bez pripojeného súboru ISO. Pozri (Voliteľné) Odpojte ISO po konfigurácii HDS pre podrobnosti.

                                                                                                                                                  11. januára 2021

                                                                                                                                                  Pridané informácie o nástroji HDS Setup a proxy serveroch Vytvorte ISO konfigurácie pre hostiteľov HDS.

                                                                                                                                                  13. októbra 2020

                                                                                                                                                  Aktualizované Stiahnite si inštalačné súbory.

                                                                                                                                                  8. októbra 2020

                                                                                                                                                  Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS a Zmeňte konfiguráciu uzla s príkazmi pre prostredia FedRAMP.

                                                                                                                                                  14. augusta 2020

                                                                                                                                                  Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS a Zmeňte konfiguráciu uzla so zmenami v procese prihlasovania.

                                                                                                                                                  5. augusta 2020

                                                                                                                                                  Aktualizované Otestujte svoje nasadenie hybridného zabezpečenia dát pre zmeny v protokolových správach.

                                                                                                                                                  Aktualizované Požiadavky na virtuálny hostiteľ na odstránenie maximálneho počtu hostiteľov.

                                                                                                                                                  16. júna 2020

                                                                                                                                                  Aktualizované Odstráňte uzol pre zmeny v používateľskom rozhraní Control Hub.

                                                                                                                                                  4. júna 2020

                                                                                                                                                  Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS pre zmeny v rozšírených nastaveniach, ktoré môžete nastaviť.

                                                                                                                                                  29. mája 2020

                                                                                                                                                  Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS ukázať, že TLS môžete použiť aj s databázami SQL Server, zmenami používateľského rozhrania a ďalšími vysvetleniami.

                                                                                                                                                  5. mája 2020

                                                                                                                                                  Aktualizované Požiadavky na virtuálny hostiteľ ukázať novú požiadavku ESXi 6.5.

                                                                                                                                                  21. apríla 2020

                                                                                                                                                  Aktualizované Požiadavky na externé pripojenie s novými hostiteľmi Americas CI.

                                                                                                                                                  1. apríla 2020

                                                                                                                                                  Aktualizované Požiadavky na externé pripojenie s informáciami o regionálnych hostiteľoch CI.

                                                                                                                                                  20. februára 2020Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS s informáciami o novej voliteľnej obrazovke rozšírených nastavení v nástroji HDS Setup Tool.
                                                                                                                                                  4. februára 2020Aktualizované Požiadavky na proxy server.
                                                                                                                                                  16. decembra 2019Objasnená požiadavka, aby fungoval režim zablokovaného externého rozlíšenia DNS Požiadavky na proxy server.
                                                                                                                                                  19. novembra 2019

                                                                                                                                                  Pridané informácie o režime zablokovaného externého rozlíšenia DNS v nasledujúcich častiach:

                                                                                                                                                  8. novembra 2019

                                                                                                                                                  Teraz môžete konfigurovať sieťové nastavenia pre uzol počas nasadzovania OVA a nie neskôr.

                                                                                                                                                  Podľa toho aktualizovali nasledujúce sekcie:


                                                                                                                                                   

                                                                                                                                                  Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 6.5. Táto možnosť nemusí byť dostupná v starších verziách.

                                                                                                                                                  6. septembra 2019

                                                                                                                                                  Pridaný SQL Server Standard do Požiadavky na databázový server.

                                                                                                                                                  29. augusta 2019Pridané Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát príloha s návodom na konfiguráciu proxy serverov Squid tak, aby ignorovali prevádzku websocket pre správnu činnosť.
                                                                                                                                                  20. augusta 2019

                                                                                                                                                  Pridané a aktualizované sekcie pokrývajúce podporu proxy pre komunikáciu uzlov Hybrid Data Security do cloudu Webex.

                                                                                                                                                  Ak chcete získať prístup len k obsahu podpory proxy pre existujúce nasadenie, pozrite si Podpora proxy pre hybridné zabezpečenie dát a Webex Video Mesh pomocný článok.

                                                                                                                                                  13. júna 2019Aktualizované Skúšobný postup produkčných úloh s pripomienkou na synchronizáciu HdsTrialGroup skupinový objekt pred spustením skúšobnej verzie, ak vaša organizácia používa synchronizáciu adresárov.
                                                                                                                                                  6. marca 2019
                                                                                                                                                  28. februára 2019
                                                                                                                                                  • Opravené množstvo miesta na lokálnom pevnom disku na server, ktoré by ste si mali vyčleniť pri príprave virtuálnych hostiteľov, ktorí sa stanú uzlami Hybrid Data Security, z 50 GB na 20 GB, aby odrážali veľkosť disku, ktorý vytvára OVA.

                                                                                                                                                  26. februára 2019
                                                                                                                                                  • Uzly Hybrid Data Security teraz podporujú šifrované pripojenia s databázovými servermi PostgreSQL a šifrované protokolované pripojenia k serveru syslog s podporou TLS. Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS s návodom.

                                                                                                                                                  • Odstránili sa cieľové adresy URL z tabuľky „Požiadavky na internetové pripojenie pre virtuálne počítače s uzlom na zabezpečenie hybridných údajov“. Tabuľka teraz odkazuje na zoznam udržiavaný v tabuľke „Ďalšie adresy URL pre hybridné služby Webex Teams“ Sieťové požiadavky pre Webex Teams Services.

                                                                                                                                                  24. januára 2019

                                                                                                                                                  • Hybrid Data Security teraz podporuje Microsoft SQL Server ako databázu. SQL Server Always On (Always On Failover Clusters a Always On Availability Groups) je podporovaný ovládačmi JDBC, ktoré sa používajú v Hybrid Data Security. Pridaný obsah súvisiaci s nasadením so serverom SQL Server.


                                                                                                                                                     

                                                                                                                                                    Podpora Microsoft SQL Server je určená len pre nové nasadenia Hybrid Data Security. Momentálne nepodporujeme migráciu údajov z PostgreSQL na Microsoft SQL Server v existujúcom nasadení.

                                                                                                                                                  5. novembra 2018
                                                                                                                                                  19. októbra 2018

                                                                                                                                                  31. júla 2018

                                                                                                                                                  21. mája 2018

                                                                                                                                                  Zmenená terminológia, aby odrážala rebranding Cisco Spark:

                                                                                                                                                  • Cisco Spark Hybrid Data Security je teraz Hybrid Data Security.

                                                                                                                                                  • Aplikácia Cisco Spark je teraz aplikáciou Webex App.

                                                                                                                                                  • Cisco Collaboraton Cloud je teraz cloud Webex.

                                                                                                                                                  11. apríla 2018
                                                                                                                                                  22. februára 2018
                                                                                                                                                  15. február 2018
                                                                                                                                                  • V Požiadavky na certifikát X.509 Tabuľka špecifikovala, že certifikát nemôže byť zástupný certifikát a že KMS používa doménu CN, nie akúkoľvek doménu, ktorá je definovaná v poliach x.509v3 SAN.

                                                                                                                                                  18. januára 2018

                                                                                                                                                  2. novembra 2017

                                                                                                                                                  • Vyjasnená synchronizácia adresárov skupiny HdsTrialGroup.

                                                                                                                                                  • Opravené pokyny na nahrávanie konfiguračného súboru ISO na pripojenie do uzlov VM.

                                                                                                                                                  18. augusta 2017

                                                                                                                                                  Prvýkrát zverejnené

                                                                                                                                                  Začnite s hybridným zabezpečením dát

                                                                                                                                                  Prehľad zabezpečenia hybridných údajov

                                                                                                                                                  Od prvého dňa bola bezpečnosť údajov prvoradá pri navrhovaní Aplikácia Webex. Základným kameňom tohto zabezpečenia je komplexné šifrovanie obsahu, ktoré umožňuje Aplikácia Webex klientov interagujúcich so službou správy kľúčov (KMS). KMS je zodpovedný za vytváranie a správu kryptografických kľúčov, ktoré klienti používajú na dynamické šifrovanie a dešifrovanie správ a súborov.

                                                                                                                                                  Štandardne všetky Aplikácia Webex zákazníci získajú end-to-end šifrovanie s dynamickými kľúčmi uloženými v cloudovom KMS v oblasti bezpečnosti Cisco. Hybrid Data Security presúva KMS a ďalšie funkcie súvisiace so zabezpečením do vášho podnikového dátového centra, takže kľúče k vášmu šifrovanému obsahu nemá nikto okrem vás.

                                                                                                                                                  Architektúra bezpečnostnej sféry

                                                                                                                                                  Cloudová architektúra Webex oddeľuje rôzne typy služieb do samostatných oblastí alebo dôveryhodných domén, ako je znázornené nižšie.

                                                                                                                                                  Realms of Separation (bez Hybrid Data Security)

                                                                                                                                                  Aby sme lepšie porozumeli Hybrid Data Security, pozrime sa najprv na tento čistý cloud, kde Cisco poskytuje všetky funkcie vo svojich cloudových sférach. Služba identity, jediné miesto, kde môžu používatelia priamo korelovať so svojimi osobnými údajmi, ako je e-mailová adresa, je logicky a fyzicky oddelená od oblasti zabezpečenia v dátovom centre B. Obe sú zase oddelené od oblasti, kde je v konečnom dôsledku uložený šifrovaný obsah. , v dátovom centre C.

                                                                                                                                                  V tomto diagrame je klientom aplikácia Webex, ktorá beží na notebooku používateľa a je overená službou identity. Keď používateľ vytvorí správu na odoslanie do priestoru, vykonajú sa tieto kroky:

                                                                                                                                                  1. Klient vytvorí zabezpečené spojenie so službou správy kľúčov (KMS), potom požiada o kľúč na zašifrovanie správy. Zabezpečené pripojenie používa ECDH a KMS šifruje kľúč pomocou hlavného kľúča AES-256.

                                                                                                                                                  2. Správa je pred opustením klienta zašifrovaná. Klient ho odošle do indexovacej služby, ktorá vytvorí šifrované indexy vyhľadávania na pomoc pri budúcom vyhľadávaní obsahu.

                                                                                                                                                  3. Zašifrovaná správa sa odošle do služby súladu na kontrolu súladu.

                                                                                                                                                  4. Zašifrovaná správa je uložená v úložnej sfére.

                                                                                                                                                  Keď nasadíte Hybrid Data Security, presuniete funkcie bezpečnostnej sféry (KMS, indexovanie a súlad) do vášho lokálneho dátového centra. Ostatné cloudové služby, ktoré tvoria Webex (vrátane ukladania identity a obsahu), zostávajú v sférach spoločnosti Cisco.

                                                                                                                                                  Spolupráca s inými organizáciami

                                                                                                                                                  Používatelia vo vašej organizácii môžu pravidelne používať aplikáciu Webex na spoluprácu s externými účastníkmi v iných organizáciách. Keď jeden z vašich používateľov požaduje kľúč pre priestor, ktorý vlastní vaša organizácia (pretože ho vytvoril jeden z vašich používateľov), váš KMS odošle kľúč klientovi cez zabezpečený kanál ECDH. Keď však kľúč priestoru vlastní iná organizácia, váš KMS nasmeruje požiadavku do cloudu Webex cez samostatný kanál ECDH, aby získal kľúč z príslušného KMS, a potom vráti kľúč vášmu používateľovi na pôvodnom kanáli.

                                                                                                                                                  Služba KMS spustená v organizácii A overuje pripojenia ku KMS v iných organizáciách pomocou x.509 PKI certifikátov. Pozri Pripravte si prostredie podrobnosti o generovaní x.509 certifikátu na použitie s nasadením Hybrid Data Security.

                                                                                                                                                  Očakávania týkajúce sa nasadenia hybridnej bezpečnosti údajov

                                                                                                                                                  Nasadenie Hybrid Data Security si vyžaduje značné nasadenie zákazníkov a uvedomenie si rizík, ktoré so sebou prináša vlastníctvo šifrovacích kľúčov.

                                                                                                                                                  Ak chcete nasadiť Hybrid Data Security, musíte poskytnúť:

                                                                                                                                                  Úplná strata buď konfiguračného ISO, ktoré ste vytvorili pre Hybrid Data Security, alebo databázy, ktorú poskytnete, bude mať za následok stratu kľúčov. Strata kľúča bráni používateľom dešifrovať obsah priestoru a ďalšie šifrované údaje v aplikácii Webex. Ak sa tak stane, môžete vytvoriť nové nasadenie, ale bude viditeľný iba nový obsah. Aby ste predišli strate prístupu k údajom, musíte:

                                                                                                                                                  • Spravujte zálohovanie a obnovu databázy a konfiguračného ISO.

                                                                                                                                                  • Buďte pripravení vykonať rýchlu obnovu po havárii, ak dôjde ku katastrofe, ako je zlyhanie databázového disku alebo katastrofa dátového centra.


                                                                                                                                                   

                                                                                                                                                  Neexistuje žiadny mechanizmus na presun kľúčov späť do cloudu po nasadení HDS.

                                                                                                                                                  Proces nastavenia na vysokej úrovni

                                                                                                                                                  Tento dokument pokrýva nastavenie a správu nasadenia Hybrid Data Security:

                                                                                                                                                  • Nastavte Hybridné zabezpečenie dát—To zahŕňa prípravu požadovanej infraštruktúry a inštaláciu softvéru Hybrid Data Security, testovanie vášho nasadenia s podskupinou používateľov v skúšobnom režime a po dokončení testovania prechod do produkcie. To prevedie celú organizáciu na používanie vášho klastra Hybrid Data Security na bezpečnostné funkcie.

                                                                                                                                                    Fázy nastavenia, skúšania a výroby sú podrobne opísané v nasledujúcich troch kapitolách.

                                                                                                                                                  • Udržujte svoje nasadenie Hybrid Data Security— Cloud Webex automaticky poskytuje priebežné aktualizácie. Vaše IT oddelenie môže poskytnúť podporu prvej úrovne pre toto nasadenie a podľa potreby zapojiť podporu Cisco. V Control Hub môžete používať upozornenia na obrazovke a nastaviť upozornenia prostredníctvom e-mailu.

                                                                                                                                                  • Pochopte bežné upozornenia, kroky na riešenie problémov a známe problémy—Ak narazíte na problémy s nasadením alebo používaním Hybrid Data Security, posledná kapitola tejto príručky a príloha Známe problémy vám môžu pomôcť určiť a vyriešiť problém.

                                                                                                                                                  Hybridný model nasadenia zabezpečenia dát

                                                                                                                                                  V rámci podnikového dátového centra nasadíte Hybrid Data Security ako jeden klaster uzlov na samostatných virtuálnych hostiteľoch. Uzly komunikujú s cloudom Webex prostredníctvom zabezpečených webových zásuviek a zabezpečeného HTTP.

                                                                                                                                                  Počas procesu inštalácie vám poskytneme súbor OVA na nastavenie virtuálneho zariadenia na VM, ktoré poskytnete. Nástroj HDS Setup Tool použijete na vytvorenie vlastného konfiguračného súboru ISO klastra, ktorý pripojíte na každý uzol. Klaster Hybrid Data Security využíva váš poskytnutý server Syslogd a databázu PostgreSQL alebo Microsoft SQL Server. (Syslogd a podrobnosti o pripojení k databáze nakonfigurujete v nástroji HDS Setup Tool.)

                                                                                                                                                  Hybridný model nasadenia zabezpečenia dát

                                                                                                                                                  Minimálny počet uzlov, ktoré môžete mať v klastri, sú dva. Odporúčame aspoň tri a môžete ich mať až päť. Viacnásobné uzly zaisťujú, že služba nebude prerušená počas aktualizácie softvéru alebo inej činnosti údržby na uzle. (Cloud Webex aktualizuje naraz iba jeden uzol.)

                                                                                                                                                  Všetky uzly v klastri pristupujú k rovnakému úložisku údajov kľúčov a zaznamenávajú aktivitu na rovnaký server syslog. Samotné uzly sú bez stavu a spracovávajú kľúčové požiadavky v režime round-robin podľa pokynov cloudu.

                                                                                                                                                  Uzly sa stanú aktívnymi, keď ich zaregistrujete v Control Hub. Ak chcete vyradiť jednotlivý uzol z prevádzky, môžete ho zrušiť a neskôr v prípade potreby znova zaregistrovať.

                                                                                                                                                  Podporujeme iba jeden klaster na organizáciu.

                                                                                                                                                  Skúšobný režim hybridnej bezpečnosti dát

                                                                                                                                                  Po nastavení nasadenia Hybrid Data Security ho najskôr vyskúšate so skupinou pilotných používateľov. Počas skúšobného obdobia títo používatelia používajú vašu lokálnu doménu Hybrid Data Security na šifrovacie kľúče a ďalšie služby v oblasti zabezpečenia. Ostatní vaši používatelia naďalej používajú oblasť zabezpečenia cloudu.

                                                                                                                                                  Ak sa rozhodnete nepokračovať v nasadzovaní počas skúšobného obdobia a službu deaktivujete, pilotní používatelia a všetci používatelia, s ktorými počas skúšobného obdobia interagovali vytvorením nových priestorov, stratia prístup k správam a obsahu. V aplikácii Webex sa im zobrazí „Táto správa sa nedá dešifrovať“.

                                                                                                                                                  Ak ste spokojní s tým, že vaše nasadenie funguje dobre pre skúšobných používateľov a ste pripravení rozšíriť Hybrid Data Security na všetkých svojich používateľov, presuniete nasadenie do produkcie. Pilotní používatelia majú naďalej prístup ku kľúčom, ktoré sa používali počas skúšobnej verzie. Nemôžete sa však pohybovať tam a späť medzi produkčným režimom a pôvodnou skúšobnou verziou. Ak musíte službu deaktivovať, napríklad vykonať obnovu po havárii, pri opätovnej aktivácii musíte spustiť novú skúšobnú verziu a nastaviť skupinu pilotných používateľov pre novú skúšobnú verziu, než sa vrátite späť do produkčného režimu. Či si používatelia v tomto bode zachovajú prístup k údajom, závisí od toho, či ste úspešne udržiavali zálohy úložiska kľúčových údajov a konfiguračného súboru ISO pre uzly Hybrid Data Security vo vašom klastri.

                                                                                                                                                  Pohotovostné dátové centrum pre obnovu po havárii

                                                                                                                                                  Počas nasadenia nastavíte zabezpečené pohotovostné dátové centrum. V prípade havárie dátového centra môžete manuálne zlyhať nasadenie do pohotovostného dátového centra.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Manuálne prepnutie do pohotovostného dátového centra

                                                                                                                                                  Databázy aktívnych a pohotovostných dátových centier sú navzájom synchronizované, čo minimalizuje čas potrebný na vykonanie núdzového prepnutia. Súbor ISO pohotovostného dátového centra sa aktualizuje o ďalšie konfigurácie, ktoré zaisťujú, že uzly sú registrované v organizácii, ale nebudú spracovávať prevádzku. Preto uzly pohotovostného dátového centra zostávajú vždy aktuálne s najnovšou verziou softvéru HDS.


                                                                                                                                                   

                                                                                                                                                  Aktívne uzly Hybrid Data Security musia byť vždy v rovnakom údajovom centre ako aktívny databázový server.

                                                                                                                                                  Nastavte pohotovostné dátové centrum pre obnovu po havárii

                                                                                                                                                  Ak chcete nakonfigurovať súbor ISO pohotovostného dátového centra, postupujte podľa nasledujúcich krokov:

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  • Pohotovostné dátové centrum by malo odrážať produkčné prostredie VM a záložnú databázu PostgreSQL alebo Microsoft SQL Server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM. (Pozri Pohotovostné dátové centrum pre obnovu po havárii pre prehľad tohto modelu núdzového prepnutia.)

                                                                                                                                                  • Uistite sa, že je povolená synchronizácia databázy medzi databázou aktívnych a pasívnych uzlov klastra.

                                                                                                                                                  1

                                                                                                                                                  Spustite nástroj HDS Setup a postupujte podľa krokov uvedených v Vytvorte ISO konfigurácie pre hostiteľov HDS.


                                                                                                                                                   

                                                                                                                                                  Súbor ISO musí byť kópiou pôvodného súboru ISO primárneho dátového centra, v ktorom sa majú vykonať nasledujúce aktualizácie konfigurácie.

                                                                                                                                                  2

                                                                                                                                                  Po nakonfigurovaní servera Syslogd kliknite na Pokročilé nastavenia

                                                                                                                                                  3

                                                                                                                                                  Na Pokročilé nastavenia pridajte konfiguráciu nižšie, aby ste umiestnili uzol do pasívneho režimu. V tomto režime bude uzol zaregistrovaný v organizácii a pripojený ku cloudu, ale nebude spracovávať žiadny prenos.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť.

                                                                                                                                                  5

                                                                                                                                                  Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii.

                                                                                                                                                  6

                                                                                                                                                  V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na VM a kliknite Upraviť nastavenia..

                                                                                                                                                  7

                                                                                                                                                  Kliknite Upraviť nastavenia >CD/DVD mechanika 1 a vyberte Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Uisti sa Pripojené a Pripojte pri zapnutí sú skontrolované, aby sa aktualizované zmeny konfigurácie prejavili po spustení uzlov.

                                                                                                                                                  8

                                                                                                                                                  Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy.

                                                                                                                                                  9

                                                                                                                                                  Opakujte proces pre každý uzol v pohotovostnom dátovom centre.


                                                                                                                                                   

                                                                                                                                                  Skontrolujte syslogy a overte, či sú uzly v pasívnom režime. V syslogoch by ste mali vidieť správu „KMS nakonfigurovaná v pasívnom režime“.

                                                                                                                                                  Čo urobiť ďalej

                                                                                                                                                  Po konfigurácii passiveMode v súbore ISO a jeho uložením môžete vytvoriť ďalšiu kópiu súboru ISO bez súboru passiveMode konfiguráciu a uložte ju na bezpečnom mieste. Táto kópia súboru ISO bez passiveMode nakonfigurovaný môže pomôcť pri rýchlom procese núdzového prepnutia počas obnovy po havárii. Pozri Obnova po havárii pomocou pohotovostného dátového centra pre podrobný postup núdzového prepnutia.

                                                                                                                                                  Podpora proxy

                                                                                                                                                  Hybrid Data Security podporuje explicitné, transparentné kontrolné a nekontrolujúce proxy. Tieto servery proxy môžete prepojiť s nasadením, aby ste mohli zabezpečiť a monitorovať prevádzku z podniku do cloudu. Rozhranie správcu platformy na uzloch môžete použiť na správu certifikátov a na kontrolu celkového stavu pripojenia po nastavení servera proxy na uzloch.

                                                                                                                                                  Uzly Hybrid Data Security podporujú nasledujúce možnosti proxy:

                                                                                                                                                  • Žiadny proxy—Predvolené, ak na integráciu servera proxy nepoužívate nastavenie uzla HDS Trust Store & Proxy. Nevyžaduje sa žiadna aktualizácia certifikátu.

                                                                                                                                                  • Transparentný nekontrolujúci splnomocnenec– Uzly nie sú nakonfigurované na používanie špecifickej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.

                                                                                                                                                  • Transparentné tunelovanie alebo kontrola proxy– Uzly nie sú nakonfigurované na používanie špecifickej adresy servera proxy. Na uzloch nie sú potrebné žiadne zmeny konfigurácie HTTP alebo HTTPS. Uzly však potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).

                                                                                                                                                  • Explicitný proxy—S explicitným proxy, poviete HDS uzlom, ktorý proxy server a overovaciu schému použiť. Ak chcete nakonfigurovať explicitný server proxy, musíte do každého uzla zadať nasledujúce informácie:

                                                                                                                                                    1. Proxy IP/FQDN– Adresa, ktorú možno použiť na spojenie so zariadením proxy.

                                                                                                                                                    2. Port proxy—Číslo portu, ktoré server proxy používa na počúvanie prevádzky cez proxy.

                                                                                                                                                    3. Proxy protokol—V závislosti od toho, čo váš proxy server podporuje, vyberte si z nasledujúcich protokolov:

                                                                                                                                                      • HTTP – zobrazuje a riadi všetky požiadavky, ktoré klient odosiela.

                                                                                                                                                      • HTTPS – poskytuje kanál pre server. Klient prijme a overí certifikát servera.

                                                                                                                                                    4. autentický typ— Vyberte si z nasledujúcich typov autentifikácie:

                                                                                                                                                      • žiadne— Nevyžaduje sa žiadna ďalšia autentifikácia.

                                                                                                                                                        Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.

                                                                                                                                                      • Základné— Používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.

                                                                                                                                                        Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.

                                                                                                                                                        Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.

                                                                                                                                                      • Digest– Používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.

                                                                                                                                                        Dostupné, iba ak vyberiete HTTPS ako protokol proxy.

                                                                                                                                                        Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.

                                                                                                                                                  Príklad uzlov na zabezpečenie hybridných dát a proxy

                                                                                                                                                  Tento diagram ukazuje príklad spojenia medzi Hybrid Data Security, sieťou a proxy. Pre možnosti transparentnej kontroly a explicitnej kontroly HTTPS proxy musí byť na serveri proxy aj na uzloch Hybrid Data Security nainštalovaný rovnaký koreňový certifikát.

                                                                                                                                                  Blokovaný režim externého rozlíšenia DNS (explicitné konfigurácie proxy)

                                                                                                                                                  Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. V nasadeniach s explicitnými konfiguráciami proxy, ktoré neumožňujú externé rozlíšenie DNS pre interných klientov, ak uzol nemôže dotazovať servery DNS, automaticky prejde do režimu blokovaného externého riešenia DNS. V tomto režime môže pokračovať registrácia uzla a ďalšie testy pripojenia proxy.

                                                                                                                                                  Pripravte si prostredie

                                                                                                                                                  Požiadavky na hybridnú bezpečnosť dát

                                                                                                                                                  Požiadavky na licenciu Cisco Webex

                                                                                                                                                  Nasadenie Hybrid Data Security:

                                                                                                                                                  Požiadavky na plochu Docker

                                                                                                                                                  Pred inštaláciou uzlov HDS potrebujete Docker Desktop na spustenie inštalačného programu. Docker nedávno aktualizoval svoj licenčný model. Vaša organizácia môže vyžadovať platené predplatné pre Docker Desktop. Podrobnosti nájdete v blogovom príspevku Docker, " Docker aktualizuje a rozširuje naše predplatné produktov".

                                                                                                                                                  Požiadavky na certifikát X.509

                                                                                                                                                  Certifikačný reťazec musí spĺňať nasledujúce požiadavky:

                                                                                                                                                  Tabuľka č. 1 Požiadavky certifikátu X.509 pre nasadenie hybridného zabezpečenia dát

                                                                                                                                                  Požiadavka

                                                                                                                                                  Podrobnosti

                                                                                                                                                  • Podpísané dôveryhodnou certifikačnou autoritou (CA)

                                                                                                                                                  V predvolenom nastavení dôverujeme CA v zozname Mozilly (s výnimkou WoSign a StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Nesie názov domény Common Name (CN), ktorý identifikuje vaše nasadenie Hybrid Data Security

                                                                                                                                                  • Nie je to zástupný certifikát

                                                                                                                                                  CN nemusí byť dosiahnuteľné alebo živého hostiteľa. Odporúčame vám použiť názov, ktorý odráža vašu organizáciu, napr. hds.company.com.

                                                                                                                                                  KN nesmie obsahovať * (zástupný znak).

                                                                                                                                                  CN sa používa na overenie uzlov Hybrid Data Security pre klientov Webex App. Všetky uzly Hybrid Data Security vo vašom klastri používajú rovnaký certifikát. Váš KMS sa identifikuje pomocou domény CN, nie akejkoľvek domény, ktorá je definovaná v poliach x.509v3 SAN.

                                                                                                                                                  Po zaregistrovaní uzla s týmto certifikátom nepodporujeme zmenu názvu domény CN. Vyberte doménu, ktorá sa môže vzťahovať na skúšobné aj produkčné nasadenie.

                                                                                                                                                  • Podpis iný ako SHA1

                                                                                                                                                  Softvér KMS nepodporuje podpisy SHA1 na overenie pripojení k KMS iných organizácií.

                                                                                                                                                  • Naformátovaný ako súbor PKCS #12 chránený heslom

                                                                                                                                                  • Použite priateľský názov kms-private-key na označenie certifikátu, súkromného kľúča a akýchkoľvek sprostredkujúcich certifikátov na odovzdanie.

                                                                                                                                                  Na zmenu formátu certifikátu môžete použiť konvertor, ako je OpenSSL.

                                                                                                                                                  Pri spustení nástroja HDS Setup Tool budete musieť zadať heslo.

                                                                                                                                                  Softvér KMS nevynucuje používanie kľúčov ani rozšírené obmedzenia používania kľúčov. Niektoré certifikačné autority vyžadujú, aby sa na každý certifikát aplikovali rozšírené obmedzenia používania kľúčov, ako je autentifikácia servera. Je v poriadku použiť overenie servera alebo iné nastavenia.

                                                                                                                                                  Požiadavky na virtuálny hostiteľ

                                                                                                                                                  Virtuálni hostitelia, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri, majú nasledujúce požiadavky:

                                                                                                                                                  • Aspoň dvaja oddelení hostitelia (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre

                                                                                                                                                  • VMware ESXi 6.5 (alebo novší) nainštalovaný a spustený.


                                                                                                                                                     

                                                                                                                                                    Ak máte staršiu verziu ESXi, musíte vykonať inováciu.

                                                                                                                                                  • Minimálne 4 vCPU, 8 GB hlavnej pamäte, 30 GB miesta na lokálnom pevnom disku na server

                                                                                                                                                  Požiadavky na databázový server


                                                                                                                                                   

                                                                                                                                                  Vytvorte novú databázu pre uloženie kľúčov. Nepoužívajte predvolenú databázu. Aplikácie HDS, keď sú nainštalované, vytvoria schému databázy.

                                                                                                                                                  Pre databázový server sú dve možnosti. Požiadavky na každú z nich sú nasledovné:

                                                                                                                                                  Tabuľka 2 Požiadavky na databázový server podľa typu databázy

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 alebo 16, nainštalovaný a spustený.

                                                                                                                                                  • SQL Server 2016, 2017 alebo 2019 (Enterprise alebo Standard) nainštalovaný.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 vyžaduje Service Pack 2 a Kumulatívna aktualizácia 2 alebo novšia.

                                                                                                                                                  Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložný priestor)

                                                                                                                                                  Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložný priestor)

                                                                                                                                                  Softvér HDS momentálne inštaluje nasledujúce verzie ovládačov na komunikáciu s databázovým serverom:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC ovládač 42.2.5

                                                                                                                                                  Ovládač SQL Server JDBC 4.6

                                                                                                                                                  Táto verzia ovládača podporuje SQL Server Always On ( Vždy v prípade zlyhania klastra a Vždy zapnuté skupiny dostupnosti).

                                                                                                                                                  Dodatočné požiadavky na overenie systému Windows voči Microsoft SQL Server

                                                                                                                                                  Ak chcete, aby uzly HDS používali autentifikáciu systému Windows na získanie prístupu k vašej databáze úložiska kľúčov na serveri Microsoft SQL Server, potrebujete vo svojom prostredí nasledujúcu konfiguráciu:

                                                                                                                                                  • HDS uzly, infraštruktúra Active Directory a MS SQL Server musia byť synchronizované s NTP.

                                                                                                                                                  • Účet Windows, ktorý poskytnete uzlom HDS, musí mať prístup k databáze na čítanie/zápis.

                                                                                                                                                  • Servery DNS, ktoré poskytujete uzlom HDS, musia byť schopné vyriešiť vaše Centrum distribúcie kľúčov (KDC).

                                                                                                                                                  • Inštanciu databázy HDS môžete zaregistrovať na svojom serveri Microsoft SQL Server ako hlavný názov služby (SPN) vo vašom adresári Active Directory. Pozri Zaregistrujte hlavný názov služby pre pripojenia Kerberos.

                                                                                                                                                    Nástroj na nastavenie HDS, spúšťač HDS a miestne KMS musia na prístup k databáze kľúčov používať overenie systému Windows. Používajú podrobnosti z vašej konfigurácie ISO na vytvorenie SPN pri požadovaní prístupu s overením Kerberos.

                                                                                                                                                  Požiadavky na externé pripojenie

                                                                                                                                                  Nakonfigurujte svoj firewall tak, aby umožňoval nasledujúce pripojenie pre aplikácie HDS:

                                                                                                                                                  Aplikácia

                                                                                                                                                  Protokol

                                                                                                                                                  Port

                                                                                                                                                  Smer z App

                                                                                                                                                  Destinácia

                                                                                                                                                  Hybridné uzly zabezpečenia údajov

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odchádzajúce HTTPS a WSS

                                                                                                                                                  • Webex servery:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Všetci hostitelia Common Identity

                                                                                                                                                  • Ďalšie adresy URL, ktoré sú uvedené pre Hybrid Data Security v Ďalšie adresy URL pre hybridné služby Webex tabuľka Sieťové požiadavky pre služby Webex

                                                                                                                                                  Nástroj na nastavenie HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odchádzajúce HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Všetci hostitelia Common Identity

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Uzly Hybrid Data Security pracujú s prekladom sieťového prístupu (NAT) alebo za bránou firewall, pokiaľ NAT alebo brána firewall umožňuje požadované odchádzajúce pripojenia k destináciám domény v predchádzajúcej tabuľke. Pre pripojenia prichádzajúce do uzlov Hybrid Data Security by nemali byť z internetu viditeľné žiadne porty. V rámci vášho dátového centra potrebujú klienti prístup k uzlom Hybrid Data Security na portoch TCP 443 a 22 na administratívne účely.

                                                                                                                                                  Adresy URL hostiteľov Common Identity (CI) sú špecifické pre daný región. Toto sú súčasní hostitelia CI:

                                                                                                                                                  región

                                                                                                                                                  Spoločné adresy URL hostiteľa identity

                                                                                                                                                  Ameriky

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Európska únia

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Požiadavky na proxy server

                                                                                                                                                  • Oficiálne podporujeme nasledujúce proxy riešenia, ktoré sa dajú integrovať s vašimi uzlami Hybrid Data Security.

                                                                                                                                                    • Transparentný proxy – Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Explicitný proxy-Squid.


                                                                                                                                                       

                                                                                                                                                      Proxy serverov chobotnice, ktoré kontrolujú prenos HTTPS, môžu zasahovať do vytvorenia webovej zásuvky (wss:) spojenia. Ak chcete tento problém obísť, pozrite si Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát.

                                                                                                                                                  • Pre explicitné servery proxy podporujeme nasledujúce kombinácie typov overenia:

                                                                                                                                                    • Žiadna autentifikácia pomocou HTTP alebo HTTPS

                                                                                                                                                    • Základná autentifikácia pomocou HTTP alebo HTTPS

                                                                                                                                                    • Digest overenie iba s HTTPS

                                                                                                                                                  • Pre transparentný kontrolný proxy server alebo explicitný proxy server HTTPS musíte mať kópiu koreňového certifikátu servera proxy. Pokyny na nasadenie v tejto príručke vám povedia, ako nahrať kópiu do dôveryhodných obchodov uzlov Hybrid Data Security.

                                                                                                                                                  • Sieť, ktorá hostí uzly HDS, musí byť nakonfigurovaná tak, aby vynútila smerovanie odchádzajúcej prevádzky TCP na porte 443 cez server proxy.

                                                                                                                                                  • Proxy, ktoré kontrolujú webovú prevádzku, môžu narúšať pripojenia webových soketov. Ak sa vyskytne tento problém, obíďte (nie kontrolujte) premávku na wbx2.com a ciscospark.com problém vyrieši.

                                                                                                                                                  Vyplňte Predpoklady pre hybridnú bezpečnosť údajov

                                                                                                                                                  Pomocou tohto kontrolného zoznamu sa uistite, že ste pripravení na inštaláciu a konfiguráciu klastra Hybrid Data Security.
                                                                                                                                                  1

                                                                                                                                                  Uistite sa, že vaša organizácia Webex má povolený balík Pro Pack pre Cisco Webex Control Hub a získajte prihlasovacie údaje účtu s úplnými právami správcu organizácie. Ak potrebujete pomoc s týmto procesom, kontaktujte svojho partnera Cisco alebo account manažéra.

                                                                                                                                                  2

                                                                                                                                                  Vyberte názov domény pre svoje nasadenie HDS (napr. hds.company.com) a získajte reťaz certifikátov obsahujúci certifikát X.509, súkromný kľúč a akékoľvek sprostredkujúce certifikáty. Certifikačný reťazec musí spĺňať požiadavky v Požiadavky na certifikát X.509.

                                                                                                                                                  3

                                                                                                                                                  Pripravte si identických virtuálnych hostiteľov, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri. Potrebujete aspoň dvoch samostatných hostiteľov (odporúčajú sa 3) umiestnených v rovnakom zabezpečenom dátovom centre, ktorí spĺňajú požiadavky v Požiadavky na virtuálny hostiteľ.

                                                                                                                                                  4

                                                                                                                                                  Pripravte databázový server, ktorý bude fungovať ako úložisko kľúčových údajov pre klaster, podľa Požiadavky na databázový server. Databázový server musí byť umiestnený v zabezpečenom údajovom centre spolu s virtuálnymi hostiteľmi.

                                                                                                                                                  1. Vytvorte databázu pre ukladanie kľúčov. (Túto databázu musíte vytvoriť – nepoužívajte predvolenú databázu. Aplikácie HDS po nainštalovaní vytvoria schému databázy.)

                                                                                                                                                  2. Zhromaždite podrobnosti, ktoré budú uzly používať na komunikáciu s databázovým serverom:

                                                                                                                                                    • názov hostiteľa alebo IP adresa (hostiteľ) a port

                                                                                                                                                    • názov databázy (dbname) pre uloženie kľúčov

                                                                                                                                                    • užívateľské meno a heslo užívateľa so všetkými privilégiami v databáze kľúča

                                                                                                                                                  5

                                                                                                                                                  Pre rýchlu obnovu po havárii nastavte zálohovacie prostredie v inom dátovom centre. Zálohovacie prostredie odzrkadľuje produkčné prostredie VM a záložný databázový server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM.

                                                                                                                                                  6

                                                                                                                                                  Nastavte hostiteľa syslog na zhromažďovanie protokolov z uzlov v klastri. Získajte jeho sieťovú adresu a port syslog (predvolené je UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Vytvorte politiku bezpečného zálohovania pre uzly Hybrid Data Security, databázový server a hostiteľa syslog. Aby ste predišli nenapraviteľnej strate údajov, musíte minimálne zálohovať databázu a konfiguračný súbor ISO vygenerovaný pre uzly Hybrid Data Security.


                                                                                                                                                   

                                                                                                                                                  Pretože uzly Hybrid Data Security ukladajú kľúče používané na šifrovanie a dešifrovanie obsahu, zlyhanie pri udržiavaní operačného nasadenia bude mať za následok NENÁHRADITEĽNÁ STRATA tohto obsahu.

                                                                                                                                                  Klienti Webex App ukladajú svoje kľúče do vyrovnávacej pamäte, takže výpadok nemusí byť okamžite viditeľný, ale časom sa prejaví. Zatiaľ čo dočasným výpadkom nie je možné zabrániť, sú obnoviteľné. Úplná strata (nie sú k dispozícii žiadne zálohy) databázy alebo konfiguračného ISO súboru však bude mať za následok neobnoviteľné zákaznícke údaje. Od operátorov uzlov Hybrid Data Security sa očakáva, že budú pravidelne zálohovať databázu a konfiguračný ISO súbor a budú pripravení na prestavbu dátového centra Hybrid Data Security, ak dôjde ku katastrofálnej poruche.

                                                                                                                                                  8

                                                                                                                                                  Uistite sa, že vaša konfigurácia brány firewall umožňuje pripojenie pre vaše uzly Hybrid Data Security, ako je uvedené v Požiadavky na externé pripojenie.

                                                                                                                                                  9

                                                                                                                                                  Nainštalujte Docker ( https://www.docker.com) na akomkoľvek lokálnom počítači s podporovaným operačným systémom (Microsoft Windows 10 Professional alebo Enterprise 64-bit, alebo Mac OSX Yosemite 10.10.3 alebo novší) s webovým prehliadačom, ktorý k nemu môže pristupovať na http://127.0.0.1:8080.

                                                                                                                                                  Inštanciu Docker použijete na stiahnutie a spustenie nástroja HDS Setup Tool, ktorý vytvorí informácie o lokálnej konfigurácii pre všetky uzly Hybrid Data Security. Vaša organizácia môže potrebovať licenciu Docker Desktop. Pozri Požiadavky na plochu Docker Pre viac informácií.

                                                                                                                                                  Ak chcete nainštalovať a spustiť nástroj HDS Setup Tool, lokálny počítač musí mať konektivitu uvedenú v Požiadavky na externé pripojenie.

                                                                                                                                                  10

                                                                                                                                                  Ak integrujete proxy s Hybrid Data Security, uistite sa, že spĺňa Požiadavky na proxy server.

                                                                                                                                                  11

                                                                                                                                                  Ak vaša organizácia používa synchronizáciu adresárov, vytvorte skupinu v Active Directory s názvom HdsTrialGroup a pridajte pilotných používateľov. Skúšobná skupina môže mať až 250 používateľov. The HdsTrialGroup Pred spustením skúšobnej verzie pre vašu organizáciu musí byť objekt synchronizovaný s cloudom. Ak chcete synchronizovať objekt skupiny, vyberte ho v priečinku Directory Connector Konfigurácia > Výber objektu Ponuka. (Podrobné pokyny nájdete na Sprievodca nasadením pre Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Kľúče pre daný priestor nastavuje tvorca priestoru. Pri výbere pilotných používateľov majte na pamäti, že ak sa rozhodnete natrvalo deaktivovať nasadenie Hybrid Data Security, všetci používatelia stratia prístup k obsahu v priestoroch, ktoré vytvorili pilotní používatelia. Strata sa prejaví hneď, ako aplikácie používateľov obnovia svoje kópie obsahu uložené vo vyrovnávacej pamäti.

                                                                                                                                                  Nastavte Hybrid Data Security Cluster

                                                                                                                                                  Tok úloh nasadenia zabezpečenia hybridných údajov

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  Pripravte si prostredie

                                                                                                                                                  1

                                                                                                                                                  Stiahnite si inštalačné súbory

                                                                                                                                                  Stiahnite si súbor OVA na váš lokálny počítač pre neskoršie použitie.

                                                                                                                                                  2

                                                                                                                                                  Vytvorte ISO konfigurácie pre hostiteľov HDS

                                                                                                                                                  Pomocou nástroja HDS Setup Tool vytvorte konfiguračný súbor ISO pre uzly Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Nainštalujte HDS Host OVA

                                                                                                                                                  Vytvorte virtuálny počítač zo súboru OVA a vykonajte počiatočnú konfiguráciu, ako sú nastavenia siete.


                                                                                                                                                   

                                                                                                                                                  Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 6.5. Táto možnosť nemusí byť dostupná v starších verziách.

                                                                                                                                                  4

                                                                                                                                                  Nastavte virtuálny počítač Hybrid Data Security

                                                                                                                                                  Prihláste sa do konzoly VM a nastavte prihlasovacie poverenia. Nakonfigurujte sieťové nastavenia pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.

                                                                                                                                                  5

                                                                                                                                                  Nahrajte a pripojte ISO konfiguráciu HDS

                                                                                                                                                  Nakonfigurujte VM z konfiguračného súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool.

                                                                                                                                                  6

                                                                                                                                                  Nakonfigurujte uzol HDS na integráciu proxy

                                                                                                                                                  Ak sieťové prostredie vyžaduje konfiguráciu servera proxy, zadajte typ servera proxy, ktorý použijete pre uzol, a v prípade potreby pridajte certifikát servera proxy do dôveryhodného úložiska.

                                                                                                                                                  7

                                                                                                                                                  Zaregistrujte prvý uzol v klastri

                                                                                                                                                  Zaregistrujte VM v cloude Cisco Webex ako uzol Hybrid Data Security.

                                                                                                                                                  8

                                                                                                                                                  Vytvorte a zaregistrujte viac uzlov

                                                                                                                                                  Dokončite nastavenie klastra.

                                                                                                                                                  9

                                                                                                                                                  Spustite skúšobnú verziu a prejdite do výroby (ďalšia kapitola)

                                                                                                                                                  Kým nezačnete skúšobnú verziu, vaše uzly generujú alarm oznamujúci, že vaša služba ešte nie je aktivovaná.

                                                                                                                                                  Stiahnite si inštalačné súbory

                                                                                                                                                  V tejto úlohe stiahnete súbor OVA do svojho počítača (nie na servery, ktoré ste nastavili ako uzly Hybrid Data Security). Tento súbor použijete neskôr v procese inštalácie.
                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do https://admin.webex.coma potom kliknite Služby.

                                                                                                                                                  2

                                                                                                                                                  V časti Hybridné služby nájdite kartu Hybrid Data Security a potom kliknite Nastaviť.

                                                                                                                                                  Ak je karta zakázaná alebo ju nevidíte, kontaktujte tím spravujúci váš účet alebo partnerskú organizáciu. Poskytnite im svoje číslo účtu a požiadajte, aby vašej organizácii umožnili Hybridné zabezpečenie dát. Ak chcete nájsť číslo účtu, kliknite na ozubené koliesko vpravo hore vedľa názvu organizácie.


                                                                                                                                                   

                                                                                                                                                  OVA si tiež môžete kedykoľvek stiahnuť z Pomoc oddiel na nastavenie stránku. Na karte Hybrid Data Security kliknite na Upraviť nastavenia otvorte stránku. Potom kliknite Stiahnite si softvér Hybrid Data Security v Pomoc oddiele.


                                                                                                                                                   

                                                                                                                                                  Staršie verzie softvérového balíka (OVA) nebudú kompatibilné s najnovšími aktualizáciami Hybrid Data Security. To môže viesť k problémom pri inovácii aplikácie. Uistite sa, že ste si stiahli najnovšiu verziu súboru OVA.

                                                                                                                                                  3

                                                                                                                                                  Vyberte Nie na označenie, že ste ešte nenastavili uzol, a potom kliknite Ďalšie.

                                                                                                                                                  Automaticky sa začne sťahovať súbor OVA. Uložte súbor na miesto v počítači.
                                                                                                                                                  4

                                                                                                                                                  Voliteľne kliknite Otvorte Sprievodcu nasadením a skontrolujte, či je k dispozícii novšia verzia tejto príručky.

                                                                                                                                                  Vytvorte ISO konfigurácie pre hostiteľov HDS

                                                                                                                                                  Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  • Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Control Hub s úplnými administrátorskými právami pre vašu organizáciu.

                                                                                                                                                    Ak nástroj HDS Setup beží za serverom proxy vo vašom prostredí, pri spúšťaní kontajnera Docker v kroku poskytnite nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker 5. Táto tabuľka uvádza niektoré možné premenné prostredia:

                                                                                                                                                    Opis

                                                                                                                                                    Variabilné

                                                                                                                                                    HTTP Proxy bez autentifikácie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy bez autentifikácie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy s autentifikáciou

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy s autentifikáciou

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:

                                                                                                                                                    • Databázové poverenia

                                                                                                                                                    • Aktualizácie certifikátov

                                                                                                                                                    • Zmeny v politike autorizácie

                                                                                                                                                  • Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.

                                                                                                                                                  1

                                                                                                                                                  Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

                                                                                                                                                  V bežných prostrediach:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  V prostrediach FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

                                                                                                                                                  2

                                                                                                                                                  Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Pri výzve na zadanie hesla zadajte tento hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Stiahnite si najnovší stabilný obraz pre vaše prostredie:

                                                                                                                                                  V bežných prostrediach:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  V prostrediach FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

                                                                                                                                                  • V bežných prostrediach bez servera proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • V bežných prostrediach s HTTP proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • V bežných prostrediach s HTTPS proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • V prostrediach FedRAMP bez proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • V prostrediach FedRAMP s HTTP proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • V prostrediach FedRAMP s HTTPS proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Inštalačný nástroj nepodporuje pripojenie k localhost prostredníctvom http://localhost:8080. Použite http://127.0.0.1:8080 na pripojenie k localhost.

                                                                                                                                                  Pomocou webového prehliadača prejdite na localhost, http://127.0.0.1:8080 a po výzve zadajte používateľské meno správcu zákazníka pre Control Hub.

                                                                                                                                                  Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie.

                                                                                                                                                  7

                                                                                                                                                  Po zobrazení výzvy zadajte svoje prihlasovacie poverenia správcu zákazníka Control Hub a potom kliknite Prihlásiť sa na umožnenie prístupu k požadovaným službám pre Hybridnú bezpečnosť dát.

                                                                                                                                                  8

                                                                                                                                                  Na stránke prehľadu nástroja Setup kliknite na Začať.

                                                                                                                                                  9

                                                                                                                                                  Na ISO import stránku, máte tieto možnosti:

                                                                                                                                                  • Nie—Ak vytvárate svoj prvý uzol HDS, nemáte súbor ISO na nahranie.
                                                                                                                                                  • Áno—Ak ste už vytvorili uzly HDS, vyberte súbor ISO v prehľadávaní a nahrajte ho.
                                                                                                                                                  10

                                                                                                                                                  Skontrolujte, či váš certifikát X.509 spĺňa požiadavky v Požiadavky na certifikát X.509.

                                                                                                                                                  • Ak ste nikdy predtým nenahrali certifikát, nahrajte certifikát X.509, zadajte heslo a kliknite ďalej.
                                                                                                                                                  • Ak je váš certifikát v poriadku, kliknite ďalej.
                                                                                                                                                  • Ak platnosť vášho certifikátu vypršala alebo ho chcete nahradiť, vyberte Nie pre Pokračovať v používaní reťazca certifikátov HDS a súkromného kľúča z predchádzajúceho ISO?. Nahrajte nový certifikát X.509, zadajte heslo a kliknite ďalej.
                                                                                                                                                  11

                                                                                                                                                  Zadajte databázovú adresu a účet pre HDS, aby ste získali prístup k vášmu úložisku kľúčových údajov:

                                                                                                                                                  1. Vyberte si svoj Typ databázy (PostgreSQL alebo Microsoft SQL Server).

                                                                                                                                                    Ak si vyberiete Microsoft SQL Server, získate pole Typ overenia.

                                                                                                                                                  2. (Microsoft SQL Server iba) Vyberte si autentický typ:

                                                                                                                                                    • Základná autentifikácia: Potrebujete názov lokálneho účtu SQL Server v súbore Používateľské meno lúka.

                                                                                                                                                    • Overenie systému Windows: Potrebujete účet Windows vo formáte username@DOMAIN v Používateľské meno lúka.

                                                                                                                                                  3. Do formulára zadajte adresu databázového servera <hostname>:<port> alebo <IP-address>:<port>.

                                                                                                                                                    Príklad:
                                                                                                                                                    dbhost.example.org:1433 alebo 198.51.100.17:1433

                                                                                                                                                    Môžete použiť IP adresu na základnú autentifikáciu, ak uzly nemôžu použiť DNS na rozlíšenie názvu hostiteľa.

                                                                                                                                                    Ak používate overovanie systému Windows, musíte zadať úplný názov domény vo formáte dbhost.example.org:1433

                                                                                                                                                  4. Zadajte Názov databázy.

                                                                                                                                                  5. Zadajte Používateľské meno a heslo používateľa so všetkými oprávneniami na databázu úložiska kľúčov.

                                                                                                                                                  12

                                                                                                                                                  Vyberte a Režim pripojenia databázy TLS:

                                                                                                                                                  Režim

                                                                                                                                                  Opis

                                                                                                                                                  Preferujem TLS (predvolená možnosť)

                                                                                                                                                  HDS uzly nevyžadujú TLS na pripojenie k databázovému serveru. Ak povolíte TLS na databázovom serveri, uzly sa pokúsia o šifrované pripojenie.

                                                                                                                                                  Vyžadovať TLS

                                                                                                                                                  Uzly HDS sa pripájajú iba vtedy, ak databázový server dokáže dohodnúť TLS.

                                                                                                                                                  Vyžadovať TLS a overiť podpisovateľa certifikátu


                                                                                                                                                   

                                                                                                                                                  Tento režim nie je použiteľný pre databázy SQL Server.

                                                                                                                                                  • Uzly HDS sa pripájajú iba vtedy, ak databázový server dokáže dohodnúť TLS.

                                                                                                                                                  • Po nadviazaní pripojenia TLS uzol porovnáva podpisovateľa certifikátu z databázového servera s certifikačnou autoritou v Koreňový certifikát databázy. Ak sa nezhodujú, uzol zruší spojenie.

                                                                                                                                                  Použi Koreňový certifikát databázy ovládač pod rozbaľovacím zoznamom na nahranie koreňového certifikátu pre túto možnosť.

                                                                                                                                                  Vyžadovať TLS a overiť podpisovateľa certifikátu a názov hostiteľa

                                                                                                                                                  • Uzly HDS sa pripájajú iba vtedy, ak databázový server dokáže dohodnúť TLS.

                                                                                                                                                  • Po nadviazaní pripojenia TLS uzol porovnáva podpisovateľa certifikátu z databázového servera s certifikačnou autoritou v Koreňový certifikát databázy. Ak sa nezhodujú, uzol zruší spojenie.

                                                                                                                                                  • Uzly tiež overujú, či sa názov hostiteľa v certifikáte servera zhoduje s názvom hostiteľa v Hostiteľ databázy a port lúka. Názvy sa musia presne zhodovať, inak uzol zruší spojenie.

                                                                                                                                                  Použi Koreňový certifikát databázy ovládač pod rozbaľovacím zoznamom na nahranie koreňového certifikátu pre túto možnosť.

                                                                                                                                                  Keď nahráte koreňový certifikát (ak je to potrebné) a kliknite na ďalej, HDS Setup Tool otestuje TLS pripojenie k databázovému serveru. Nástroj tiež overuje podpisovateľa certifikátu a názov hostiteľa, ak je to potrebné. Ak test zlyhá, nástroj zobrazí chybové hlásenie popisujúce problém. Môžete si vybrať, či chcete chybu ignorovať a pokračovať v nastavovaní. (Vzhľadom na rozdiely v konektivite môžu byť uzly HDS schopné nadviazať pripojenie TLS, aj keď ho zariadenie HDS Setup Tool nedokáže úspešne otestovať.)

                                                                                                                                                  13

                                                                                                                                                  Na stránke Systémové denníky nakonfigurujte svoj server Syslogd:

                                                                                                                                                  1. Zadajte adresu URL servera syslog.

                                                                                                                                                    Ak server nie je schopný rozlíšiť DNS z uzlov pre váš klaster HDS, použite v adrese URL adresu IP.

                                                                                                                                                    Príklad:
                                                                                                                                                    udp://10.92.43.23:514 označuje prihlásenie do hostiteľa Syslogd 10.92.43.23 na porte UDP 514.
                                                                                                                                                  2. Ak ste nastavili svoj server na používanie šifrovania TLS, skontrolujte Je váš server syslog nakonfigurovaný na šifrovanie SSL?.

                                                                                                                                                    Ak začiarknete toto políčko, uistite sa, že ste zadali TCP URL, ako napr tcp://10.92.43.23:514.

                                                                                                                                                  3. Z Vyberte ukončenie záznamu syslog v rozbaľovacej ponuke vyberte vhodné nastavenie pre váš súbor ISO: Choose alebo Newline sa používa pre Graylog a Rsyslog TCP

                                                                                                                                                    • Null byte -- \x00

                                                                                                                                                    • Nový riadok -- \n—Vyberte túto voľbu pre Graylog a Rsyslog TCP.

                                                                                                                                                  4. Kliknite ďalej.

                                                                                                                                                  14

                                                                                                                                                  (Voliteľné) Môžete zmeniť predvolenú hodnotu pre niektoré parametre pripojenia k databáze v Pokročilé nastavenia. Vo všeobecnosti je tento parameter jediný, ktorý možno budete chcieť zmeniť:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Kliknite ďalej na Obnovte heslo servisných účtov obrazovke.

                                                                                                                                                  Heslá k servisným účtom majú životnosť deväť mesiacov. Túto obrazovku použite, keď sa blíži koniec platnosti vašich hesiel alebo ich chcete resetovať, aby ste zrušili platnosť predchádzajúcich súborov ISO.

                                                                                                                                                  16

                                                                                                                                                  Kliknite Stiahnite si súbor ISO. Uložte súbor na miesto, ktoré sa dá ľahko nájsť.

                                                                                                                                                  17

                                                                                                                                                  Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme.

                                                                                                                                                  Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii.

                                                                                                                                                  18

                                                                                                                                                  Ak chcete vypnúť nástroj Setup, zadajte CTRL+C.

                                                                                                                                                  Čo urobiť ďalej

                                                                                                                                                  Zálohujte konfiguračný súbor ISO. Potrebujete ho na vytvorenie ďalších uzlov na obnovu alebo na vykonanie zmien v konfigurácii. Ak stratíte všetky kópie súboru ISO, stratili ste aj hlavný kľúč. Obnovenie kľúčov z databázy PostgreSQL alebo Microsoft SQL Server nie je možné.


                                                                                                                                                   

                                                                                                                                                  Nikdy nemáme kópiu tohto kľúča a nemôžeme vám pomôcť, ak ho stratíte.

                                                                                                                                                  Nainštalujte HDS Host OVA

                                                                                                                                                  Tento postup použite na vytvorenie virtuálneho počítača zo súboru OVA.
                                                                                                                                                  1

                                                                                                                                                  Na prihlásenie do virtuálneho hostiteľa ESXi použite klienta VMware vSphere na vašom počítači.

                                                                                                                                                  2

                                                                                                                                                  Vyberte Súbor > Nasadiť šablónu OVF.

                                                                                                                                                  3

                                                                                                                                                  V sprievodcovi zadajte umiestnenie súboru OVA, ktorý ste si stiahli skôr, a potom kliknite Ďalšie .

                                                                                                                                                  4

                                                                                                                                                  Na Vyberte názov a priečinok stránku, zadajte a Názov virtuálneho počítača pre uzol (napríklad „HDS_Node_1"), vyberte umiestnenie, kde sa môže nachádzať nasadenie uzla virtuálneho počítača, a potom kliknite Ďalšie .

                                                                                                                                                  5

                                                                                                                                                  Na Vyberte výpočtový zdroj vyberte cieľový výpočtový zdroj a potom kliknite Ďalšie .

                                                                                                                                                  Prebehne overovacia kontrola. Po dokončení sa zobrazia podrobnosti šablóny.

                                                                                                                                                  6

                                                                                                                                                  Overte podrobnosti šablóny a potom kliknite Ďalšie.

                                                                                                                                                  7

                                                                                                                                                  Ak sa zobrazí výzva na výber konfigurácie prostriedkov na Konfigurácia stránku, kliknite 4 CPU a potom kliknite Ďalšie .

                                                                                                                                                  8

                                                                                                                                                  Na Vyberte úložisko stránku, kliknite Ďalšie akceptovať predvolený formát disku a politiku úložiska VM.

                                                                                                                                                  9

                                                                                                                                                  Na Vyberte siete vyberte sieťovú možnosť zo zoznamu položiek, aby ste poskytli požadované pripojenie k VM.

                                                                                                                                                  10

                                                                                                                                                  Na Prispôsobiť šablónu nakonfigurujte nasledujúce nastavenia siete:

                                                                                                                                                  • Meno hosťa— Zadajte FQDN (názov hostiteľa a doménu) alebo jednoslovný názov hostiteľa pre uzol.

                                                                                                                                                     
                                                                                                                                                    • Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509.

                                                                                                                                                    • Ak chcete zabezpečiť úspešnú registráciu do cloudu, použite iba malé písmená v FQDN alebo názve hostiteľa, ktorý ste nastavili pre uzol. Veľké písmená momentálne nie sú podporované.

                                                                                                                                                    • Celková dĺžka FQDN nesmie presiahnuť 64 znakov.

                                                                                                                                                  • IP adresa— Zadajte IP adresu interného rozhrania uzla.

                                                                                                                                                     

                                                                                                                                                    Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované.

                                                                                                                                                  • Maska— Zadajte adresu masky podsiete v desiatkovom formáte bodka. Napríklad, 255.255.255.0.
                                                                                                                                                  • Brána— Zadajte IP adresu brány. Brána je sieťový uzol, ktorý slúži ako prístupový bod do inej siete.
                                                                                                                                                  • DNS servery— Zadajte čiarkami oddelený zoznam serverov DNS, ktoré sa starajú o preklad názvov domén na číselné adresy IP. (Povolené sú až 4 záznamy DNS.)
                                                                                                                                                  • NTP servery—Zadajte server NTP vašej organizácie alebo iný externý server NTP, ktorý možno použiť vo vašej organizácii. Predvolené servery NTP nemusia fungovať pre všetky podniky. Na zadanie viacerých serverov NTP môžete použiť aj zoznam oddelený čiarkami.
                                                                                                                                                  • Nasaďte všetky uzly v rovnakej podsieti alebo VLAN, aby boli všetky uzly v klastri dosiahnuteľné z klientov vo vašej sieti na administratívne účely.

                                                                                                                                                  Ak chcete, môžete preskočiť konfiguráciu nastavenia siete a postupovať podľa krokov v Nastavte virtuálny počítač Hybrid Data Security na konfiguráciu nastavení z konzoly uzla.


                                                                                                                                                   

                                                                                                                                                  Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 6.5. Táto možnosť nemusí byť dostupná v starších verziách.

                                                                                                                                                  11

                                                                                                                                                  Kliknite pravým tlačidlom myši na uzol VM a potom vyberte Moc > Zapnutie .

                                                                                                                                                  Softvér Hybrid Data Security je nainštalovaný ako hosť na hostiteľovi VM. Teraz ste pripravení prihlásiť sa do konzoly a nakonfigurovať uzol.

                                                                                                                                                  Tipy na riešenie problémov

                                                                                                                                                  Môžete zaznamenať oneskorenie niekoľkých minút, kým sa kontajnery uzlov objavia. Počas prvého spustenia, počas ktorého sa nemôžete prihlásiť, sa na konzole zobrazí správa brány firewall mosta.

                                                                                                                                                  Nastavte virtuálny počítač Hybrid Data Security

                                                                                                                                                  Tento postup použite na prvé prihlásenie do konzoly VM uzla Hybrid Data Security a nastavenie prihlasovacích poverení. Konzolu môžete použiť aj na konfiguráciu sieťových nastavení pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.

                                                                                                                                                  1

                                                                                                                                                  V klientovi VMware vSphere vyberte svoj uzol Hybrid Data Security VM a vyberte Konzola tab.

                                                                                                                                                  VM sa spustí a zobrazí sa výzva na prihlásenie. Ak sa výzva na prihlásenie nezobrazí, stlačte Zadajte.
                                                                                                                                                  2

                                                                                                                                                  Na prihlásenie a zmenu poverení použite nasledujúce predvolené prihlasovacie meno a heslo:

                                                                                                                                                  1. Prihlásiť sa: admin

                                                                                                                                                  2. heslo: cisco

                                                                                                                                                  Keďže sa do svojho VM prihlasujete prvýkrát, musíte zmeniť heslo správcu.

                                                                                                                                                  3

                                                                                                                                                  Ak ste už nakonfigurovali nastavenia siete v Nainštalujte HDS Host OVA, preskočte zvyšok tohto postupu. V opačnom prípade vyberte v hlavnom menu položku Upraviť konfiguráciu možnosť.

                                                                                                                                                  4

                                                                                                                                                  Nastavte statickú konfiguráciu s IP adresou, maskou, bránou a informáciami DNS. Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované.

                                                                                                                                                  5

                                                                                                                                                  (Voliteľné) Zmeňte názov hostiteľa, doménu alebo server(y) NTP, ak je to potrebné, aby zodpovedali zásadám vašej siete.

                                                                                                                                                  Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509.

                                                                                                                                                  6

                                                                                                                                                  Uložte konfiguráciu siete a reštartujte VM, aby sa zmeny prejavili.

                                                                                                                                                  Nahrajte a pripojte ISO konfiguráciu HDS

                                                                                                                                                  Tento postup použite na konfiguráciu virtuálneho počítača zo súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool.

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  Pretože súbor ISO obsahuje hlavný kľúč, mal by byť zverejnený iba na základe „potreby vedieť“, aby k nemu mali prístup virtuálne počítače s hybridným zabezpečením údajov a všetci správcovia, ktorí môžu potrebovať vykonať zmeny. Uistite sa, že k úložisku údajov majú prístup iba títo správcovia.

                                                                                                                                                  1

                                                                                                                                                  Nahrajte súbor ISO z počítača:

                                                                                                                                                  1. V ľavom navigačnom paneli klienta VMware vSphere kliknite na server ESXi.

                                                                                                                                                  2. Na karte Konfigurácia v zozname Hardvér kliknite na Skladovanie.

                                                                                                                                                  3. V zozname Úložisko údajov kliknite pravým tlačidlom myši na úložisko údajov pre vaše VM a kliknite Prehľadávať Datastore.

                                                                                                                                                  4. Kliknite na ikonu Nahrať súbory a potom kliknite na Nahrajte súbor.

                                                                                                                                                  5. Prejdite do umiestnenia, z ktorého ste si stiahli súbor ISO do počítača, a kliknite OTVORENÉ.

                                                                                                                                                  6. Kliknite Áno akceptujte varovanie o operácii nahrávania/sťahovania a zatvorte dialógové okno úložiska údajov.

                                                                                                                                                  2

                                                                                                                                                  Pripojte súbor ISO:

                                                                                                                                                  1. V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na VM a kliknite Upraviť nastavenia.

                                                                                                                                                  2. Kliknite OK akceptujete varovanie s obmedzenými možnosťami úprav.

                                                                                                                                                  3. Kliknite CD/DVD Drive 1, vyberte možnosť pripojenia zo súboru ISO úložiska údajov a prejdite do umiestnenia, kam ste nahrali konfiguračný súbor ISO.

                                                                                                                                                  4. Skontrolujte Pripojené a Pripojte pri zapnutí.

                                                                                                                                                  5. Uložte zmeny a reštartujte virtuálny počítač.

                                                                                                                                                  Čo urobiť ďalej

                                                                                                                                                  Ak to vyžaduje vaša politika IT, môžete voliteľne odpojiť súbor ISO po tom, čo všetky vaše uzly prevezmú zmeny konfigurácie. Pozri (Voliteľné) Odpojte ISO po konfigurácii HDS pre podrobnosti.

                                                                                                                                                  Nakonfigurujte uzol HDS na integráciu proxy

                                                                                                                                                  Ak sieťové prostredie vyžaduje server proxy, použite tento postup na určenie typu servera proxy, s ktorým sa chcete integrovať Hybridná bezpečnosť dát. Ak si vyberiete transparentný kontrolný proxy server alebo explicitný proxy server HTTPS, môžete použiť rozhranie uzla na nahranie a inštaláciu koreňového certifikátu. Môžete tiež skontrolovať pripojenie proxy z rozhrania a vyriešiť prípadné problémy.

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  1

                                                                                                                                                  Zadajte adresu URL nastavenia uzla HDS https://[HDS Node IP or FQDN]/setup vo webovom prehliadači zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite Prihlásiť sa.

                                                                                                                                                  2

                                                                                                                                                  Ísť do Trust Store a proxya potom vyberte možnosť:

                                                                                                                                                  • Žiadny proxy– Predvolená možnosť pred integráciou servera proxy. Nevyžaduje sa žiadna aktualizácia certifikátu.
                                                                                                                                                  • Transparentný nekontrolujúci zástupca—Uzly nie sú nakonfigurované na používanie špecifickej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.
                                                                                                                                                  • Transparentný kontrolný zástupca—Uzly nie sú nakonfigurované na používanie špecifickej adresy proxy servera. Na serveri nie sú potrebné žiadne zmeny konfigurácie HTTPS Hybridná bezpečnosť dát nasadenie, uzly HDS však potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).
                                                                                                                                                  • Explicitný proxy—Pri explicitnom serveri proxy poviete klientovi (uzly HDS), ktorý server proxy má použiť, a táto možnosť podporuje niekoľko typov autentifikácie. Po výbere tejto možnosti musíte zadať nasledujúce informácie:
                                                                                                                                                    1. Proxy IP/FQDN– Adresa, ktorú možno použiť na spojenie so zariadením proxy.

                                                                                                                                                    2. Port proxy—Číslo portu, ktoré server proxy používa na počúvanie prevádzky cez proxy.

                                                                                                                                                    3. Proxy protokol— Vyberte si http (prezerá a kontroluje všetky požiadavky, ktoré sú prijaté od klienta) resp https (poskytuje kanál pre server a klient prijíma a overuje certifikát servera). Vyberte možnosť podľa toho, čo váš proxy server podporuje.

                                                                                                                                                    4. autentický typ— Vyberte si z nasledujúcich typov autentifikácie:

                                                                                                                                                      • žiadne— Nevyžaduje sa žiadna ďalšia autentifikácia.

                                                                                                                                                        Dostupné pre servery proxy HTTP alebo HTTPS.

                                                                                                                                                      • Základné— Používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.

                                                                                                                                                        Dostupné pre servery proxy HTTP alebo HTTPS.

                                                                                                                                                        Ak zvolíte túto možnosť, musíte zadať aj meno používateľa a heslo.

                                                                                                                                                      • Digest– Používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.

                                                                                                                                                        Dostupné iba pre servery proxy HTTPS.

                                                                                                                                                        Ak zvolíte túto možnosť, musíte zadať aj meno používateľa a heslo.

                                                                                                                                                  Postupujte podľa nasledujúcich krokov pre transparentný kontrolný proxy server, explicitný proxy server HTTP so základným overením alebo explicitný proxy HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Kliknite Nahrajte koreňový certifikát alebo certifikát koncovej entitya potom prejdite na výber koreňového certifikátu pre server proxy.

                                                                                                                                                  Certifikát je nahraný, ale ešte nie je nainštalovaný, pretože na inštaláciu certifikátu musíte reštartovať uzol. Kliknutím na šípku v tvare šípky vedľa názvu vydavateľa certifikátu získate ďalšie podrobnosti alebo kliknite Odstrániť ak ste urobili chybu a chcete súbor znova nahrať.

                                                                                                                                                  4

                                                                                                                                                  Kliknite Skontrolujte pripojenie proxy na testovanie sieťového pripojenia medzi uzlom a proxy.

                                                                                                                                                  Ak test pripojenia zlyhá, zobrazí sa chybové hlásenie, ktoré uvádza dôvod a spôsob, ako môžete problém vyriešiť.

                                                                                                                                                  Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS. Tento stav sa očakáva v mnohých explicitných konfiguráciách proxy. Môžete pokračovať v nastavovaní a uzol bude fungovať v režime zablokovaného externého rozlíšenia DNS. Ak si myslíte, že ide o chybu, vykonajte tieto kroky a potom uvidíte Vypnite režim zablokovaného externého rozlíšenia DNS.

                                                                                                                                                  5

                                                                                                                                                  Po úspešnom teste pripojenia zapnite prepínač v prípade explicitného servera proxy nastaveného iba na https Smerujte všetky požiadavky https z tohto uzla na port 443/444 cez explicitný proxy server. Toto nastavenie sa prejaví po 15 sekundách.

                                                                                                                                                  6

                                                                                                                                                  Kliknite Nainštalujte všetky certifikáty do dôveryhodného úložiska (zobrazí sa pri explicitnom HTTPS proxy alebo transparentnom kontrolnom proxy serveri) alebo Reštartovať (zobrazí sa pri explicitnom serveri proxy HTTP), prečítajte si výzvu a potom kliknite Inštalácia ak si pripravený.

                                                                                                                                                  Uzol sa reštartuje v priebehu niekoľkých minút.

                                                                                                                                                  7

                                                                                                                                                  Po reštartovaní uzla sa v prípade potreby znova prihláste a potom otvorte Prehľad stránku a skontrolujte kontroly pripojenia, aby ste sa uistili, že sú všetky v zelenom stave.

                                                                                                                                                  Kontrola pripojenia proxy testuje iba subdoménu webex.com. Ak sa vyskytnú problémy s pripojením, bežným problémom je, že niektoré z cloudových domén uvedených v pokynoch na inštaláciu sú na serveri proxy blokované.

                                                                                                                                                  Zaregistrujte prvý uzol v klastri

                                                                                                                                                  Táto úloha preberá všeobecný uzol, ktorý ste vytvorili v Nastavte virtuálny počítač Hybrid Data Security, zaregistruje uzol do cloudu Webex a zmení ho na uzol Hybrid Data Security.

                                                                                                                                                  Keď zaregistrujete svoj prvý uzol, vytvoríte klaster, ku ktorému je uzol priradený. Klaster obsahuje jeden alebo viac uzlov nasadených na zabezpečenie redundancie.

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  • Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.

                                                                                                                                                  • Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  V ponuke na ľavej strane obrazovky vyberte položku Služby.

                                                                                                                                                  3

                                                                                                                                                  V sekcii Hybridné služby nájdite Hybridné zabezpečenie dát a kliknite Nastaviť.

                                                                                                                                                  Zobrazí sa stránka Register Hybrid Data Security Node.
                                                                                                                                                  4

                                                                                                                                                  Vyberte Áno na označenie, že ste uzol nastavili a ste pripravení ho zaregistrovať, a potom kliknite Ďalšie.

                                                                                                                                                  5

                                                                                                                                                  Do prvého poľa zadajte názov klastra, ku ktorému chcete priradiť váš uzol Hybrid Data Security.

                                                                                                                                                  Odporúčame pomenovať klaster podľa toho, kde sa geograficky nachádzajú uzly klastra. Príklady: „San Francisco“ alebo „New York“ alebo „Dallas“

                                                                                                                                                  6

                                                                                                                                                  Do druhého poľa zadajte internú IP adresu alebo úplný názov domény (FQDN) vášho uzla a kliknite Ďalšie.

                                                                                                                                                  Táto adresa IP alebo FQDN by sa mala zhodovať s adresou IP alebo názvom hostiteľa a doménou, ktorú ste použili Nastavte virtuálny počítač Hybrid Data Security.

                                                                                                                                                  Zobrazí sa správa, že môžete zaregistrovať svoj uzol do Webexu.
                                                                                                                                                  7

                                                                                                                                                  Kliknite Prejdite na Node.

                                                                                                                                                  8

                                                                                                                                                  Kliknite ďalej vo varovnej správe.

                                                                                                                                                  Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že svojej organizácii Webex chcete udeliť povolenia na prístup k vášmu uzlu.
                                                                                                                                                  9

                                                                                                                                                  Skontrolovať Povoľte prístup k svojmu uzlu zabezpečenia hybridných údajov začiarknite políčko a potom kliknite na ďalej.

                                                                                                                                                  Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
                                                                                                                                                  10

                                                                                                                                                  Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Hybrid Data Security Control Hub.

                                                                                                                                                  Na Hybridná bezpečnosť dát sa zobrazí nový klaster obsahujúci uzol, ktorý ste zaregistrovali. Uzol si automaticky stiahne najnovší softvér z cloudu.

                                                                                                                                                  Vytvorte a zaregistrujte viac uzlov

                                                                                                                                                  Ak chcete do svojho klastra pridať ďalšie uzly, jednoducho vytvoríte ďalšie virtuálne počítače a pripojíte rovnaký konfiguračný súbor ISO a potom uzol zaregistrujete. Odporúčame, aby ste mali aspoň 3 uzly.

                                                                                                                                                   

                                                                                                                                                  V súčasnosti sú záložné virtuálne počítače, ktoré ste vytvorili Vyplňte Predpoklady pre hybridnú bezpečnosť údajov sú pohotovostní hostitelia, ktorí sa používajú iba v prípade obnovy po havárii; dovtedy nie sú registrovaní v systéme. Podrobnosti nájdete v časti Obnova po havárii pomocou pohotovostného dátového centra.

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  • Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.

                                                                                                                                                  • Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Vytvorte nový virtuálny počítač z OVA zopakovaním krokov Nainštalujte HDS Host OVA.

                                                                                                                                                  2

                                                                                                                                                  Nastavte počiatočnú konfiguráciu na novom VM zopakovaním krokov v Nastavte virtuálny počítač Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Na novom virtuálnom počítači zopakujte kroky v Nahrajte a pripojte ISO konfiguráciu HDS.

                                                                                                                                                  4

                                                                                                                                                  Ak nastavujete server proxy pre svoje nasadenie, zopakujte kroky v Nakonfigurujte uzol HDS na integráciu proxy podľa potreby pre nový uzol.

                                                                                                                                                  5

                                                                                                                                                  Zaregistrujte uzol.

                                                                                                                                                  1. In https://admin.webex.com, vyberte Služby z ponuky na ľavej strane obrazovky.

                                                                                                                                                  2. V časti Hybridné služby nájdite kartu Hybrid Data Security a kliknite na ňu Zdroje.

                                                                                                                                                    Zobrazí sa stránka Hybrid Data Security Resources.
                                                                                                                                                  3. Kliknite Pridať zdroj.

                                                                                                                                                  4. V prvom poli vyberte názov vášho existujúceho klastra.

                                                                                                                                                  5. Do druhého poľa zadajte internú IP adresu alebo úplný názov domény (FQDN) vášho uzla a kliknite Ďalšie.

                                                                                                                                                    Zobrazí sa správa oznamujúca, že svoj uzol môžete zaregistrovať do cloudu Webex.
                                                                                                                                                  6. Kliknite Prejdite na Node.

                                                                                                                                                    Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že chcete svojej organizácii udeliť povolenia na prístup k vášmu uzlu.
                                                                                                                                                  7. Skontrolovať Povoľte prístup k svojmu uzlu zabezpečenia hybridných údajov začiarknite políčko a potom kliknite na ďalej.

                                                                                                                                                    Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
                                                                                                                                                  8. Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Hybrid Data Security Control Hub.

                                                                                                                                                  Váš uzol je zaregistrovaný. Upozorňujeme, že kým nezačnete skúšobnú verziu, vaše uzly generujú alarm, ktorý oznamuje, že vaša služba ešte nie je aktivovaná.

                                                                                                                                                  Čo urobiť ďalej

                                                                                                                                                  Spustite skúšobnú verziu a prejdite do výroby (ďalšia kapitola)
                                                                                                                                                  Spustite skúšobnú verziu a prejdite do výroby

                                                                                                                                                  Skúšobný postup produkčných úloh

                                                                                                                                                  Po nastavení klastra Hybrid Data Security môžete spustiť pilotný test, pridať doň používateľov a začať ho používať na testovanie a overovanie vášho nasadenia v rámci prípravy na prechod do produkcie.

                                                                                                                                                  1

                                                                                                                                                  V prípade potreby synchronizujte HdsTrialGroup skupinový objekt.

                                                                                                                                                  Ak vaša organizácia používa synchronizáciu adresárov pre používateľov, musíte vybrať HdsTrialGroup skupinový objekt na synchronizáciu do cloudu pred spustením skúšobnej verzie. Pokyny nájdete na Sprievodca nasadením pre Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Aktivovať skúšobnú verziu

                                                                                                                                                  Začnite skúšobnú verziu. Kým nevykonáte túto úlohu, vaše uzly generujú alarm, ktorý oznamuje, že služba ešte nie je aktivovaná.

                                                                                                                                                  3

                                                                                                                                                  Otestujte svoje nasadenie hybridného zabezpečenia dát

                                                                                                                                                  Skontrolujte, či kľúčové požiadavky prechádzajú do vášho nasadenia Hybrid Data Security.

                                                                                                                                                  4

                                                                                                                                                  Monitorujte zdravie Hybrid Data Security Health

                                                                                                                                                  Skontrolujte stav a nastavte e-mailové upozornenia na budíky.

                                                                                                                                                  5

                                                                                                                                                  Pridajte alebo odstráňte používateľov z vašej skúšobnej verzie

                                                                                                                                                  6

                                                                                                                                                  Dokončite skúšobnú fázu jedným z nasledujúcich krokov:

                                                                                                                                                  Aktivovať skúšobnú verziu

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  Ak vaša organizácia používa synchronizáciu adresárov pre používateľov, musíte vybrať HdsTrialGroup skupinový objekt na synchronizáciu do cloudu predtým, ako začnete skúšobnú verziu pre vašu organizáciu. Pokyny nájdete na Sprievodca nasadením pre Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do https://admin.webex.coma potom vyberte Služby.

                                                                                                                                                  2

                                                                                                                                                  V časti Hybrid Data Security kliknite na nastavenie.

                                                                                                                                                  3

                                                                                                                                                  V časti Stav služby kliknite na Spustiť skúšku.

                                                                                                                                                  Stav služby sa zmení na skúšobný režim.
                                                                                                                                                  4

                                                                                                                                                  Kliknite Pridať používateľov a zadajte e-mailovú adresu jedného alebo viacerých používateľov na pilotné používanie vašich uzlov Hybrid Data Security na šifrovacie a indexovacie služby.

                                                                                                                                                  (Ak vaša organizácia používa synchronizáciu adresárov, na správu skúšobnej skupiny použite službu Active Directory, HdsTrialGroup.)

                                                                                                                                                  Otestujte svoje nasadenie hybridného zabezpečenia dát

                                                                                                                                                  Tento postup použite na testovanie scenárov šifrovania Hybrid Data Security.

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  • Nastavte nasadenie Hybrid Data Security.

                                                                                                                                                  • Aktivujte skúšobnú verziu a pridajte niekoľko používateľov skúšobnej verzie.

                                                                                                                                                  • Uistite sa, že máte prístup k syslog, aby ste si overili, že kľúčové požiadavky prechádzajú do vášho nasadenia Hybrid Data Security.

                                                                                                                                                  1

                                                                                                                                                  Kľúče pre daný priestor nastavuje tvorca priestoru. Prihláste sa do aplikácie Webex ako jeden z pilotných používateľov a potom vytvorte priestor a pozvite aspoň jedného pilotného používateľa a jedného nepilotného používateľa.


                                                                                                                                                   

                                                                                                                                                  Ak deaktivujete nasadenie Hybrid Data Security, obsah v priestoroch, ktoré vytvoria pilotní používatelia, už nebude prístupný po výmene kópií šifrovacích kľúčov uložených vo vyrovnávacej pamäti klienta.

                                                                                                                                                  2

                                                                                                                                                  Posielajte správy do nového priestoru.

                                                                                                                                                  3

                                                                                                                                                  Skontrolujte výstup syslog, aby ste si overili, že požiadavky na kľúče prechádzajú do vášho nasadenia Hybrid Data Security.

                                                                                                                                                  1. Ak chcete skontrolovať, či používateľ najprv vytvoril zabezpečený kanál pre KMS, filtrujte kms.data.method=create a kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Mali by ste nájsť záznam, ako je tento (identifikátory skrátené kvôli čitateľnosti):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Ak chcete skontrolovať používateľa, ktorý požaduje existujúci kľúč z KMS, filtrujte kms.data.method=retrieve a kms.data.type=KEY:

                                                                                                                                                    Mali by ste nájsť záznam ako:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Ak chcete skontrolovať používateľa požadujúceho vytvorenie nového kľúča KMS, filtrujte kms.data.method=create a kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Mali by ste nájsť záznam ako:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Ak chcete pri vytváraní priestoru alebo iného chráneného zdroja skontrolovať používateľa požadujúceho vytvorenie nového objektu KMS (KRO), filtrujte na kms.data.method=create a kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Mali by ste nájsť záznam ako:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Monitorujte zdravie Hybrid Data Security Health

                                                                                                                                                  Indikátor stavu v Control Hub vám ukáže, či je s nasadením Hybrid Data Security všetko v poriadku. Ak chcete dostávať proaktívnejšie upozornenia, prihláste sa na odber e-mailových upozornení. Budete upozornení, keď sa vyskytnú alarmy alebo aktualizácie softvéru ovplyvňujúce službu.
                                                                                                                                                  1

                                                                                                                                                  In Control Hub, vyberte Služby z ponuky na ľavej strane obrazovky.

                                                                                                                                                  2

                                                                                                                                                  V sekcii Hybridné služby nájdite Hybridné zabezpečenie dát a kliknite nastavenie.

                                                                                                                                                  Zobrazí sa stránka Hybrid Data Security Settings.
                                                                                                                                                  3

                                                                                                                                                  V časti E-mailové upozornenia zadajte jednu alebo viac e-mailových adries oddelených čiarkami a stlačte Zadajte.

                                                                                                                                                  Pridajte alebo odstráňte používateľov z vašej skúšobnej verzie

                                                                                                                                                  Po aktivácii skúšobnej verzie a pridaní počiatočnej skupiny používateľov skúšobnej verzie môžete členov skúšobnej verzie kedykoľvek pridať alebo odstrániť, kým je skúšobná verzia aktívna.

                                                                                                                                                  Ak odstránite používateľa zo skúšobnej verzie, klient tohto používateľa bude namiesto vášho KMS požadovať kľúče a vytvorenie kľúča z cloudového KMS. Ak klient potrebuje kľúč, ktorý je uložený vo vašom KMS, cloudový KMS ho načíta v mene používateľa.

                                                                                                                                                  Ak vaša organizácia používa synchronizáciu adresárov, použite Active Directory (namiesto tohto postupu) na správu skúšobnej skupiny, HdsTrialGroup; členov skupiny môžete zobraziť v Control Hub, ale nemôžete ich pridávať ani odstraňovať.

                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do Control Hub a potom vyberte Služby.

                                                                                                                                                  2

                                                                                                                                                  V časti Hybrid Data Security kliknite na nastavenie.

                                                                                                                                                  3

                                                                                                                                                  V časti Skúšobný režim v oblasti Stav služby kliknite na Pridať používateľov, alebo kliknite zobraziť a upraviť na odstránenie používateľov zo skúšobnej verzie.

                                                                                                                                                  4

                                                                                                                                                  Zadajte e-mailovú adresu jedného alebo viacerých používateľov, ktorých chcete pridať, alebo kliknite na X pomocou ID používateľa na odstránenie používateľa zo skúšobnej verzie. Potom kliknite Uložiť.

                                                                                                                                                  Presuňte sa zo skúšobnej do produkčnej verzie

                                                                                                                                                  Keď ste spokojní, že vaše nasadenie funguje dobre pre skúšobných používateľov, môžete prejsť do produkcie. Keď prejdete do produkcie, všetci používatelia v organizácii budú používať vašu lokálnu doménu Hybrid Data Security na šifrovacie kľúče a ďalšie služby v oblasti zabezpečenia. Z produkcie sa nemôžete vrátiť späť do skúšobného režimu, pokiaľ službu nedeaktivujete ako súčasť obnovy po havárii. Opätovná aktivácia služby vyžaduje nastavenie novej skúšobnej verzie.
                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do Control Hub a potom vyberte Služby.

                                                                                                                                                  2

                                                                                                                                                  V časti Hybrid Data Security kliknite na nastavenie.

                                                                                                                                                  3

                                                                                                                                                  V časti Stav služby kliknite na Presunúť do výroby.

                                                                                                                                                  4

                                                                                                                                                  Potvrďte, že chcete presunúť všetkých svojich používateľov do produkcie.

                                                                                                                                                  Ukončite skúšobnú verziu bez presunu do výroby

                                                                                                                                                  Ak sa počas skúšobného obdobia rozhodnete nepokračovať v nasadení Hybrid Data Security, môžete deaktivovať Hybrid Data Security, čím sa skúšobná verzia ukončí a skúšobní používatelia sa presunú späť ku cloudovým službám zabezpečenia údajov. Používatelia skúšobnej verzie stratia prístup k údajom, ktoré boli počas skúšobnej verzie zašifrované.
                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do Control Hub a potom vyberte Služby.

                                                                                                                                                  2

                                                                                                                                                  V časti Hybrid Data Security kliknite na nastavenie.

                                                                                                                                                  3

                                                                                                                                                  V časti Deaktivovať kliknite na Deaktivovať.

                                                                                                                                                  4

                                                                                                                                                  Potvrďte, že chcete službu deaktivovať a ukončiť skúšobnú verziu.

                                                                                                                                                  Spravujte svoje nasadenie HDS

                                                                                                                                                  Spravujte nasadenie HDS

                                                                                                                                                  Pomocou tu popísaných úloh spravujte svoje nasadenie Hybrid Data Security.

                                                                                                                                                  Nastavte plán aktualizácie klastra

                                                                                                                                                  Aktualizácie softvéru pre Hybrid Data Security sa vykonávajú automaticky na úrovni klastra, čo zaisťuje, že všetky uzly vždy bežia s rovnakou verziou softvéru. Inovácie sa vykonávajú podľa plánu aktualizácie pre klaster. Keď bude k dispozícii aktualizácia softvéru, máte možnosť manuálne aktualizovať klaster pred plánovaným časom aktualizácie. Môžete nastaviť konkrétny plán inovácie alebo použiť predvolený plán na 3:00 denne v USA: Amerika/Los Angeles. V prípade potreby môžete tiež odložiť nadchádzajúcu inováciu.

                                                                                                                                                  Ak chcete nastaviť plán aktualizácie:

                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Na stránke Prehľad v časti Hybridné služby vyberte Hybridná bezpečnosť dát.

                                                                                                                                                  3

                                                                                                                                                  Na stránke Hybrid Data Security Resources vyberte klaster.

                                                                                                                                                  4

                                                                                                                                                  Na paneli Prehľad vpravo v časti Nastavenia klastra vyberte názov klastra.

                                                                                                                                                  5

                                                                                                                                                  Na stránke Nastavenia v časti Aktualizácia vyberte čas a časové pásmo pre plán inovácie.

                                                                                                                                                  Poznámka: Pod časovým pásmom sa zobrazí dátum a čas ďalšej dostupnej aktualizácie. Kliknutím na tlačidlo môžete v prípade potreby odložiť aktualizáciu na nasledujúci deň Odložiť.

                                                                                                                                                  Zmeňte konfiguráciu uzla

                                                                                                                                                  Príležitostne možno budete musieť zmeniť konfiguráciu uzla Hybrid Data Security z nasledujúcich dôvodov:
                                                                                                                                                  • Zmena x.509 certifikátov z dôvodu uplynutia platnosti alebo iných dôvodov.


                                                                                                                                                     

                                                                                                                                                    Nepodporujeme zmenu názvu domény CN certifikátu. Doména sa musí zhodovať s pôvodnou doménou použitou na registráciu klastra.

                                                                                                                                                  • Aktualizácia nastavení databázy pre zmenu na repliku databázy PostgreSQL alebo Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Nepodporujeme migráciu údajov z PostgreSQL na Microsoft SQL Server alebo opačným spôsobom. Ak chcete zmeniť prostredie databázy, spustite nové nasadenie Hybrid Data Security.

                                                                                                                                                  • Vytvorenie novej konfigurácie na prípravu nového dátového centra.

                                                                                                                                                  Z bezpečnostných dôvodov používa Hybrid Data Security heslá servisných účtov, ktoré majú životnosť deväť mesiacov. Keď nástroj HDS Setup vygeneruje tieto heslá, nasadíte ich do každého z vašich uzlov HDS v konfiguračnom súbore ISO. Keď sa blíži koniec platnosti hesiel vašej organizácie, dostanete od tímu Webex upozornenie na resetovanie hesla pre váš počítačový účet. (E-mail obsahuje text „Na aktualizáciu hesla použite rozhranie API strojového účtu.“) Ak platnosť vašich hesiel ešte nevypršala, nástroj vám ponúka dve možnosti:

                                                                                                                                                  • Mäkký reset—Staré aj nové heslo fungujú až 10 dní. Toto obdobie použite na postupnú výmenu súboru ISO na uzloch.

                                                                                                                                                  • Tvrdý reštart—Staré heslá okamžite prestanú fungovať.

                                                                                                                                                  Ak platnosť vašich hesiel vyprší bez resetovania, ovplyvní to vašu službu HDS, čo si vyžaduje okamžitý tvrdý reset a nahradenie súboru ISO na všetkých uzloch.

                                                                                                                                                  Tento postup použite na vygenerovanie nového konfiguračného súboru ISO a jeho použitie vo vašom klastri.

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  • Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Control Hub s úplnými administrátorskými právami pre vašu organizáciu.

                                                                                                                                                    Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker zadajte nastavenia proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker 1.e. Táto tabuľka uvádza niektoré možné premenné prostredia:

                                                                                                                                                    Opis

                                                                                                                                                    Variabilné

                                                                                                                                                    HTTP Proxy bez autentifikácie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy bez autentifikácie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy s autentifikáciou

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy s autentifikáciou

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Na vygenerovanie novej konfigurácie potrebujete kópiu aktuálneho konfiguračného súboru ISO. ISO obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. ISO potrebujete, keď robíte zmeny v konfigurácii vrátane poverení databázy, aktualizácií certifikátov alebo zmien v politike autorizácie.

                                                                                                                                                  1

                                                                                                                                                  Pomocou Docker na lokálnom počítači spustite nástroj HDS Setup Tool.

                                                                                                                                                  1. Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

                                                                                                                                                    V bežných prostrediach:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    V prostrediach FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

                                                                                                                                                  2. Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Pri výzve na zadanie hesla zadajte tento hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Stiahnite si najnovší stabilný obraz pre vaše prostredie:

                                                                                                                                                    V bežných prostrediach:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    V prostrediach FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Uistite sa, že ste na tento postup použili najnovší nástroj Setup. Verzie nástroja vytvorené pred 22. februárom 2018 neobsahujú obrazovky na obnovenie hesla.

                                                                                                                                                  5. Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

                                                                                                                                                    • V bežných prostrediach bez servera proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • V bežných prostrediach s HTTP proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • V bežných prostrediach s HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • V prostrediach FedRAMP bez proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • V prostrediach FedRAMP s HTTP proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • V prostrediach FedRAMP s HTTPS proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“.

                                                                                                                                                  6. Použite prehliadač na pripojenie k localhost, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Inštalačný nástroj nepodporuje pripojenie k localhost prostredníctvom http://localhost:8080. Použite http://127.0.0.1:8080 na pripojenie k localhost.

                                                                                                                                                  7. Po zobrazení výzvy zadajte svoje prihlasovacie údaje zákazníka Control Hub a potom kliknite súhlasiť pokračovať.

                                                                                                                                                  8. Importujte aktuálny konfiguračný súbor ISO.

                                                                                                                                                  9. Postupujte podľa pokynov na dokončenie nástroja a stiahnite si aktualizovaný súbor.

                                                                                                                                                    Ak chcete vypnúť nástroj Setup, zadajte CTRL+C.

                                                                                                                                                  10. Vytvorte záložnú kópiu aktualizovaného súboru v inom údajovom centre.

                                                                                                                                                  2

                                                                                                                                                  Ak máte spustený iba jeden uzol HDS, vytvorte nový VM uzla Hybrid Data Security a zaregistrujte ho pomocou nového konfiguračného súboru ISO. Podrobnejšie pokyny nájdete v časti Vytvorte a zaregistrujte viac uzlov.

                                                                                                                                                  1. Nainštalujte hostiteľský OVA HDS.

                                                                                                                                                  2. Nastavte HDS VM.

                                                                                                                                                  3. Pripojte aktualizovaný konfiguračný súbor.

                                                                                                                                                  4. Zaregistrujte nový uzol v Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Pre existujúce uzly HDS, na ktorých je spustený starší konfiguračný súbor, pripojte súbor ISO. Postupne vykonajte nasledujúci postup na každom uzle, pričom aktualizujte každý uzol pred vypnutím ďalšieho uzla:

                                                                                                                                                  1. Vypnite virtuálny stroj.

                                                                                                                                                  2. V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na VM a kliknite Upraviť nastavenia.

                                                                                                                                                  3. Kliknite CD/DVD Drive 1, vyberte možnosť pripojenia zo súboru ISO a prejdite do umiestnenia, kam ste stiahli nový konfiguračný súbor ISO.

                                                                                                                                                  4. Skontrolujte Pripojte pri zapnutí.

                                                                                                                                                  5. Uložte zmeny a zapnite virtuálny počítač.

                                                                                                                                                  4

                                                                                                                                                  Opakujte krok 3, aby ste nahradili konfiguráciu na každom zostávajúcom uzle, na ktorom je spustená stará konfigurácia.

                                                                                                                                                  Vypnite režim zablokovaného externého rozlíšenia DNS

                                                                                                                                                  Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. Ak server DNS uzla nedokáže rozlíšiť verejné názvy DNS, uzol automaticky prejde do režimu zablokovaného externého rozlíšenia DNS.

                                                                                                                                                  Ak vaše uzly dokážu rozlíšiť verejné názvy DNS prostredníctvom interných serverov DNS, môžete tento režim vypnúť opätovným spustením testu pripojenia proxy na každom uzle.

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  Uistite sa, že vaše interné servery DNS dokážu rozlíšiť verejné názvy DNS a že vaše uzly s nimi môžu komunikovať.
                                                                                                                                                  1

                                                                                                                                                  Vo webovom prehliadači otvorte rozhranie uzla Hybrid Data Security (IP adresa/nastavenie, napr. https://192.0.2.0/setup), zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite Prihlásiť sa.

                                                                                                                                                  2

                                                                                                                                                  Ísť do Prehľad (predvolená stránka).

                                                                                                                                                  Keď je povolené, Zablokované externé rozlíšenie DNS je nastavený na Áno.

                                                                                                                                                  3

                                                                                                                                                  Choďte na Trust Store a proxy stránku.

                                                                                                                                                  4

                                                                                                                                                  Kliknite Skontrolujte pripojenie proxy.

                                                                                                                                                  Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS a zostane v tomto režime. V opačnom prípade po reštartovaní uzla a návrate do Prehľad na stránke Blocked External DNS Resolution by mala byť nastavená na no.

                                                                                                                                                  Čo urobiť ďalej

                                                                                                                                                  Zopakujte test pripojenia proxy na každom uzle v klastri Hybrid Data Security.

                                                                                                                                                  Odstráňte uzol

                                                                                                                                                  Tento postup použite na odstránenie uzla Hybrid Data Security z cloudu Webex. Po odstránení uzla z klastra odstráňte virtuálny počítač, aby ste zabránili ďalšiemu prístupu k vašim bezpečnostným údajom.
                                                                                                                                                  1

                                                                                                                                                  Pomocou klienta VMware vSphere vo svojom počítači sa prihláste do virtuálneho hostiteľa ESXi a vypnite virtuálny počítač.

                                                                                                                                                  2

                                                                                                                                                  Odstráňte uzol:

                                                                                                                                                  1. Prihláste sa do Control Hub a potom vyberte Služby.

                                                                                                                                                  2. Na karte Hybrid Data Security kliknite na Zobraziť všetko zobrazíte stránku Hybrid Data Security Resources.

                                                                                                                                                  3. Vyberte svoj klaster, aby sa zobrazil jeho panel Prehľad.

                                                                                                                                                  4. Kliknite Otvorte zoznam uzlov.

                                                                                                                                                  5. Na karte Uzly vyberte uzol, ktorý chcete odstrániť.

                                                                                                                                                  6. Kliknite Akcie > Zrušte registráciu uzla.

                                                                                                                                                  3

                                                                                                                                                  V klientovi vSphere odstráňte VM. (Na ľavom navigačnom paneli kliknite pravým tlačidlom myši na VM a kliknite na Odstrániť.)

                                                                                                                                                  Ak nevymažete VM, nezabudnite odpojiť konfiguračný súbor ISO. Bez súboru ISO nemôžete použiť VM na prístup k bezpečnostným údajom.

                                                                                                                                                  Obnova po havárii pomocou pohotovostného dátového centra

                                                                                                                                                  Najdôležitejšou službou, ktorú váš klaster Hybrid Data Security poskytuje, je vytváranie a ukladanie kľúčov používaných na šifrovanie správ a iného obsahu uloženého v cloude Webex. Pre každého používateľa v rámci organizácie, ktorý je priradený k Hybrid Data Security, sú do klastra smerované nové požiadavky na vytvorenie kľúča. Klaster je tiež zodpovedný za vrátenie kľúčov, ktoré vytvoril, všetkým používateľom oprávneným na ich získanie, napríklad členom konverzačného priestoru.

                                                                                                                                                  Pretože klaster vykonáva kritickú funkciu poskytovania týchto kľúčov, je nevyhnutné, aby klaster zostal spustený a aby boli udržiavané správne zálohy. Strata databázy Hybrid Data Security alebo konfigurácie ISO použitej pre schému bude mať za následok NENÁVRATNÚ STRATU zákazníckeho obsahu. Aby sa predišlo takejto strate, sú povinné nasledujúce postupy:

                                                                                                                                                  Ak havária spôsobí, že nasadenie HDS v primárnom dátovom centre sa stane nedostupným, podľa tohto postupu manuálne prepnite na pohotovostné dátové centrum.

                                                                                                                                                  1

                                                                                                                                                  Spustite nástroj HDS Setup a postupujte podľa krokov uvedených v Vytvorte ISO konfigurácie pre hostiteľov HDS.

                                                                                                                                                  2

                                                                                                                                                  Po nakonfigurovaní servera Syslogd kliknite na Pokročilé nastavenia

                                                                                                                                                  3

                                                                                                                                                  Na Pokročilé nastavenia pridajte konfiguráciu nižšie alebo odstráňte passiveMode konfiguráciu, aby bol uzol aktívny. Keď je toto nakonfigurované, uzol môže spracovať prevádzku.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť.

                                                                                                                                                  5

                                                                                                                                                  Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii.

                                                                                                                                                  6

                                                                                                                                                  V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na VM a kliknite Upraviť nastavenia..

                                                                                                                                                  7

                                                                                                                                                  Kliknite Upraviť nastavenia >CD/DVD mechanika 1 a vyberte Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Uisti sa Pripojené a Pripojte pri zapnutí sú skontrolované, aby sa aktualizované zmeny konfigurácie prejavili po spustení uzlov.

                                                                                                                                                  8

                                                                                                                                                  Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy.

                                                                                                                                                  9

                                                                                                                                                  Opakujte proces pre každý uzol v pohotovostnom dátovom centre.


                                                                                                                                                   

                                                                                                                                                  Skontrolujte výstup syslog a overte, či uzly pohotovostného dátového centra nie sú v pasívnom režime. V syslogoch by sa nemalo objaviť „KMS nakonfigurované v pasívnom režime“.

                                                                                                                                                  Čo urobiť ďalej

                                                                                                                                                  Ak sa po prepnutí pri zlyhaní opäť aktivuje primárne dátové centrum, uveďte pohotovostné dátové centrum opäť do pasívneho režimu podľa krokov popísaných v časti Nastavte pohotovostné dátové centrum pre obnovu po havárii.

                                                                                                                                                  (Voliteľné) Odpojte ISO po konfigurácii HDS

                                                                                                                                                  Štandardná konfigurácia HDS beží s namontovaným ISO. Niektorí zákazníci však uprednostňujú neponechať súbory ISO nepretržite pripojené. Súbor ISO môžete odpojiť potom, čo všetky uzly HDS prevezmú novú konfiguráciu.

                                                                                                                                                  Na vykonanie zmien v konfigurácii stále používate súbory ISO. Keď vytvoríte nový ISO alebo aktualizujete ISO pomocou nástroja Setup Tool, musíte aktualizovaný ISO pripojiť na všetky vaše uzly HDS. Keď všetky vaše uzly zachytia zmeny konfigurácie, môžete ISO znova odpojiť pomocou tohto postupu.

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  Inovujte všetky svoje uzly HDS na verziu 2021.01.22.4720 alebo novšiu.

                                                                                                                                                  1

                                                                                                                                                  Vypnite jeden z uzlov HDS.

                                                                                                                                                  2

                                                                                                                                                  V serverovom zariadení vCenter vyberte uzol HDS.

                                                                                                                                                  3

                                                                                                                                                  Vyberte si Upraviť nastavenia > CD/DVD mechanika a zrušte začiarknutie Súbor ISO úložiska údajov.

                                                                                                                                                  4

                                                                                                                                                  Zapnite uzol HDS a uistite sa, že aspoň 20 minút nie sú žiadne alarmy.

                                                                                                                                                  5

                                                                                                                                                  Postup opakujte pre každý uzol HDS.

                                                                                                                                                  Riešenie problémov so zabezpečením hybridných údajov

                                                                                                                                                  Zobraziť upozornenia a riešenie problémov

                                                                                                                                                  Nasadenie Hybrid Data Security sa považuje za nedostupné, ak sú všetky uzly v klastri nedostupné alebo klaster pracuje tak pomaly, že si vyžaduje časový limit. Ak používatelia nemôžu dosiahnuť váš klaster Hybrid Data Security, zaznamenajú nasledujúce príznaky:

                                                                                                                                                  • Nie je možné vytvoriť nové medzery (nemožno vytvoriť nové kľúče)

                                                                                                                                                  • Správy a názvy priestorov sa nepodarilo dešifrovať pre:

                                                                                                                                                    • Noví používatelia pridaní do priestoru (nemožno načítať kľúče)

                                                                                                                                                    • Existujúci používatelia v priestore používajúci nového klienta (nemožno načítať kľúče)

                                                                                                                                                  • Existujúci používatelia v priestore budú naďalej úspešne fungovať, pokiaľ budú mať ich klienti vyrovnávaciu pamäť šifrovacích kľúčov

                                                                                                                                                  Je dôležité, aby ste správne monitorovali svoj klaster Hybrid Data Security a okamžite riešili všetky výstrahy, aby ste predišli prerušeniu služby.

                                                                                                                                                  Upozornenia

                                                                                                                                                  Ak sa vyskytne problém s nastavením Hybrid Data Security, Control Hub zobrazí upozornenia správcovi organizácie a odošle e-maily na nakonfigurovanú e-mailovú adresu. Výstrahy pokrývajú mnoho bežných scenárov.

                                                                                                                                                  Tabuľka č. 1 Bežné problémy a kroky na ich vyriešenie

                                                                                                                                                  Upozornenie

                                                                                                                                                  Akcia

                                                                                                                                                  Zlyhanie prístupu k lokálnej databáze.

                                                                                                                                                  Skontrolujte chyby databázy alebo problémy s lokálnou sieťou.

                                                                                                                                                  Zlyhanie pripojenia k lokálnej databáze.

                                                                                                                                                  Skontrolujte, či je databázový server dostupný a či boli v konfigurácii uzla použité správne poverenia servisného účtu.

                                                                                                                                                  Zlyhanie prístupu k cloudovej službe.

                                                                                                                                                  Skontrolujte, či majú uzly prístup k serverom Webex, ako je uvedené v Požiadavky na externé pripojenie.

                                                                                                                                                  Obnovuje sa registrácia cloudovej služby.

                                                                                                                                                  Registrácia do cloudových služieb bola zrušená. Prebieha obnova registrácie.

                                                                                                                                                  Registrácia cloudovej služby bola zrušená.

                                                                                                                                                  Registrácia do cloudových služieb bola ukončená. Služba sa vypína.

                                                                                                                                                  Služba ešte nie je aktivovaná.

                                                                                                                                                  Aktivujte skúšobnú verziu alebo dokončite presun skúšky do produkcie.

                                                                                                                                                  Nakonfigurovaná doména sa nezhoduje s certifikátom servera.

                                                                                                                                                  Uistite sa, že váš certifikát servera sa zhoduje s nakonfigurovanou doménou aktivácie služby.

                                                                                                                                                  Najpravdepodobnejšou príčinou je, že certifikát CN bol nedávno zmenený a teraz sa líši od CN, ktorý bol použitý počas počiatočného nastavenia.

                                                                                                                                                  Nepodarilo sa overiť v cloudových službách.

                                                                                                                                                  Skontrolujte presnosť a možné vypršanie platnosti poverení servisného účtu.

                                                                                                                                                  Nepodarilo sa otvoriť súbor lokálneho úložiska kľúčov.

                                                                                                                                                  Skontrolujte integritu a presnosť hesla v lokálnom súbore skladu kľúčov.

                                                                                                                                                  Certifikát lokálneho servera je neplatný.

                                                                                                                                                  Skontrolujte dátum vypršania platnosti certifikátu servera a potvrďte, že bol vydaný dôveryhodnou certifikačnou autoritou.

                                                                                                                                                  Nie je možné uverejniť metriky.

                                                                                                                                                  Skontrolujte prístup k lokálnej sieti k externým cloudovým službám.

                                                                                                                                                  Adresár /media/configdrive/hds neexistuje.

                                                                                                                                                  Skontrolujte konfiguráciu pripojenia ISO na virtuálnom hostiteľovi. Overte, či súbor ISO existuje, či je nakonfigurovaný na pripojenie pri reštarte a či sa úspešne pripojí.

                                                                                                                                                  Riešenie problémov so zabezpečením hybridných údajov

                                                                                                                                                  Pri riešení problémov s Hybrid Data Security použite nasledujúce všeobecné pokyny.
                                                                                                                                                  1

                                                                                                                                                  Skontrolujte si v Control Hub všetky upozornenia a opravte všetky položky, ktoré tam nájdete.

                                                                                                                                                  2

                                                                                                                                                  Skontrolujte výstup servera syslog pre aktivitu z nasadenia Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Kontakt Podpora Cisco.

                                                                                                                                                  Ďalšie poznámky

                                                                                                                                                  Známe problémy s hybridnou bezpečnosťou dát

                                                                                                                                                  • Ak vypnete svoj klaster Hybrid Data Security (odstránením v Control Hub alebo vypnutím všetkých uzlov), stratíte svoj konfiguračný súbor ISO alebo stratíte prístup k databáze úložiska kľúčov, používatelia vašej aplikácie Webex App už nebudú môcť používať priestory pod svojimi ľuďmi. zoznam, ktorý bol vytvorený pomocou kľúčov z vášho KMS. Platí to pre skúšobné aj produkčné nasadenia. V súčasnosti nemáme riešenie ani opravu tohto problému a žiadame vás, aby ste nevypínali svoje služby HDS, keď budú spracovávať aktívne používateľské účty.

                                                                                                                                                  • Klient, ktorý má existujúce pripojenie ECDH ku KMS, udržiava toto pripojenie určitý čas (pravdepodobne jednu hodinu). Keď sa používateľ stane členom skúšobnej verzie Hybrid Data Security, klient používateľa naďalej používa existujúce pripojenie ECDH, kým nevyprší časový limit. Prípadne sa používateľ môže odhlásiť a znova prihlásiť do aplikácie Webex App, aby aktualizoval umiestnenie, ktoré aplikácia kontaktuje pre šifrovacie kľúče.

                                                                                                                                                    Rovnaké správanie nastane, keď presuniete skúšobnú verziu do produkcie organizácie. Všetci neskúšobní používatelia s existujúcimi pripojeniami ECDH k predchádzajúcim službám zabezpečenia údajov budú tieto služby naďalej používať, kým sa znovu nedohodne pripojenie ECDH (prostredníctvom časového limitu alebo odhlásením a opätovným prihlásením).

                                                                                                                                                  Na vygenerovanie súboru PKCS12 použite OpenSSL

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  • OpenSSL je jeden nástroj, ktorý možno použiť na vytvorenie súboru PKCS12 v správnom formáte na načítanie v nástroji HDS Setup Tool. Existujú aj iné spôsoby, ako to urobiť, a my nepodporujeme ani nepresadzujeme jeden spôsob oproti druhému.

                                                                                                                                                  • Ak sa rozhodnete použiť OpenSSL, poskytujeme tento postup ako návod, ktorý vám pomôže vytvoriť súbor, ktorý spĺňa požiadavky certifikátu X.509 v Požiadavky na certifikát X.509. Než budete pokračovať, pochopte tieto požiadavky.

                                                                                                                                                  • Nainštalujte OpenSSL v podporovanom prostredí. Pozri https://www.openssl.org pre softvér a dokumentáciu.

                                                                                                                                                  • Vytvorte súkromný kľúč.

                                                                                                                                                  • Tento postup začnite, keď dostanete certifikát servera od certifikačnej autority (CA).

                                                                                                                                                  1

                                                                                                                                                  Keď dostanete certifikát servera od vašej CA, uložte ho ako hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Zobrazte certifikát ako text a overte podrobnosti.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Pomocou textového editora vytvorte súbor zväzku certifikátov s názvom hdsnode-bundle.pem. Súbor balíka musí obsahovať certifikát servera, akékoľvek sprostredkujúce certifikáty CA a certifikáty koreňovej CA vo formáte nižšie:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Vytvorte súbor .p12 s popisným názvom kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Skontrolujte podrobnosti certifikátu servera.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Vo výzve zadajte heslo na zašifrovanie súkromného kľúča, aby bol uvedený vo výstupe. Potom skontrolujte, či súkromný kľúč a prvý certifikát obsahujú riadky friendlyName: kms-private-key.

                                                                                                                                                    Príklad:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Čo urobiť ďalej

                                                                                                                                                  Návrat do Vyplňte Predpoklady pre hybridnú bezpečnosť údajov. Budete používať hdsnode.p12 súbor a heslo, ktoré ste preň nastavili Vytvorte ISO konfigurácie pre hostiteľov HDS.


                                                                                                                                                   

                                                                                                                                                  Tieto súbory môžete znova použiť na vyžiadanie nového certifikátu, keď platnosť pôvodného certifikátu vyprší.

                                                                                                                                                  Prevádzka medzi uzlami HDS a cloudom

                                                                                                                                                  Odchádzajúca návštevnosť zberu metrík

                                                                                                                                                  Uzly Hybrid Data Security odosielajú určité metriky do cloudu Webex. Patria sem systémové metriky pre maximálnu haldu, využitú haldu, zaťaženie procesora a počet vlákien; metriky na synchrónnych a asynchrónnych vláknach; metriky výstrah zahŕňajúce prah šifrovacích pripojení, latenciu alebo dĺžku frontu požiadaviek; metriky na dátovom úložisku; a metriky šifrovaného pripojenia. Uzly posielajú zašifrovaný kľúčový materiál cez kanál mimo pásma (oddelený od požiadavky).

                                                                                                                                                  Prichádzajúca premávka

                                                                                                                                                  Uzly Hybrid Data Security prijímajú nasledujúce typy prichádzajúcej prevádzky z cloudu Webex:

                                                                                                                                                  • Šifrovacie požiadavky od klientov, ktoré sú smerované šifrovacou službou

                                                                                                                                                  • Aktualizácie softvéru uzla

                                                                                                                                                  Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát

                                                                                                                                                  Websocket sa nemôže pripojiť cez Squid Proxy

                                                                                                                                                  Proxy serverov chobotnice, ktoré kontrolujú prenos HTTPS, môžu zasahovať do vytvorenia webovej zásuvky ( wss:) pripojenia, ktoré vyžaduje Hybrid Data Security. Tieto časti poskytujú návod, ako nakonfigurovať rôzne verzie Squid na ignorovanie wss: prevádzky pre správne fungovanie služieb.

                                                                                                                                                  Kalmáre 4 a 5

                                                                                                                                                  Pridajte on_unsupported_protocol smernica k squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Kalmáre 3.5.27

                                                                                                                                                  Hybridnú bezpečnosť dát sme úspešne otestovali s nasledujúcimi pravidlami squid.conf. Tieto pravidlá sa môžu meniť, pretože vyvíjame funkcie a aktualizujeme cloud Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Predslov

                                                                                                                                                  Nové a zmenené informácie

                                                                                                                                                  Dátum

                                                                                                                                                  Vykonané zmeny

                                                                                                                                                  20. októbra 2023

                                                                                                                                                  7. augusta 2023

                                                                                                                                                  23. mája 2023

                                                                                                                                                  6. decembra 2022

                                                                                                                                                  23. novembra 2022

                                                                                                                                                  13. októbra 2021

                                                                                                                                                  Pred inštaláciou uzlov HDS musí Docker Desktop spustiť inštalačný program. Pozri Požiadavky na plochu Docker.

                                                                                                                                                  24. júna 2021

                                                                                                                                                  Upozorňujeme, že súbor so súkromným kľúčom a CSR môžete znova použiť na vyžiadanie ďalšieho certifikátu. Pozri Na vygenerovanie súboru PKCS12 použite OpenSSL pre podrobnosti.

                                                                                                                                                  30. apríla 2021

                                                                                                                                                  Požiadavka VM na lokálny pevný disk sa zmenila na 30 GB. Pozri Požiadavky na virtuálny hostiteľ pre podrobnosti.

                                                                                                                                                  24. februára 2021

                                                                                                                                                  HDS Setup Tool teraz môže bežať za serverom proxy. Pozri Vytvorte ISO konfigurácie pre hostiteľov HDS pre podrobnosti.

                                                                                                                                                  2. februára 2021

                                                                                                                                                  HDS teraz môže bežať bez pripojeného súboru ISO. Pozri (Voliteľné) Odpojte ISO po konfigurácii HDS pre podrobnosti.

                                                                                                                                                  11. januára 2021

                                                                                                                                                  Pridané informácie o nástroji HDS Setup a proxy serveroch Vytvorte ISO konfigurácie pre hostiteľov HDS.

                                                                                                                                                  13. októbra 2020

                                                                                                                                                  Aktualizované Stiahnite si inštalačné súbory.

                                                                                                                                                  8. októbra 2020

                                                                                                                                                  Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS a Zmeňte konfiguráciu uzla s príkazmi pre prostredia FedRAMP.

                                                                                                                                                  14. augusta 2020

                                                                                                                                                  Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS a Zmeňte konfiguráciu uzla so zmenami v procese prihlasovania.

                                                                                                                                                  5. augusta 2020

                                                                                                                                                  Aktualizované Otestujte svoje nasadenie hybridného zabezpečenia dát pre zmeny v protokolových správach.

                                                                                                                                                  Aktualizované Požiadavky na virtuálny hostiteľ na odstránenie maximálneho počtu hostiteľov.

                                                                                                                                                  16. júna 2020

                                                                                                                                                  Aktualizované Odstráňte uzol pre zmeny v používateľskom rozhraní Control Hub.

                                                                                                                                                  4. júna 2020

                                                                                                                                                  Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS pre zmeny v rozšírených nastaveniach, ktoré môžete nastaviť.

                                                                                                                                                  29. mája 2020

                                                                                                                                                  Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS ukázať, že TLS môžete použiť aj s databázami SQL Server, zmenami používateľského rozhrania a ďalšími vysvetleniami.

                                                                                                                                                  5. mája 2020

                                                                                                                                                  Aktualizované Požiadavky na virtuálny hostiteľ ukázať novú požiadavku ESXi 6.5.

                                                                                                                                                  21. apríla 2020

                                                                                                                                                  Aktualizované Požiadavky na externé pripojenie s novými hostiteľmi Americas CI.

                                                                                                                                                  1. apríla 2020

                                                                                                                                                  Aktualizované Požiadavky na externé pripojenie s informáciami o regionálnych hostiteľoch CI.

                                                                                                                                                  20. februára 2020Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS s informáciami o novej voliteľnej obrazovke rozšírených nastavení v nástroji HDS Setup Tool.
                                                                                                                                                  4. februára 2020Aktualizované Požiadavky na proxy server.
                                                                                                                                                  16. decembra 2019Objasnená požiadavka, aby fungoval režim zablokovaného externého rozlíšenia DNS Požiadavky na proxy server.
                                                                                                                                                  19. novembra 2019

                                                                                                                                                  Pridané informácie o režime zablokovaného externého rozlíšenia DNS v nasledujúcich častiach:

                                                                                                                                                  8. novembra 2019

                                                                                                                                                  Teraz môžete konfigurovať sieťové nastavenia pre uzol počas nasadzovania OVA a nie neskôr.

                                                                                                                                                  Podľa toho aktualizovali nasledujúce sekcie:


                                                                                                                                                   

                                                                                                                                                  Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 6.5. Táto možnosť nemusí byť dostupná v starších verziách.

                                                                                                                                                  6. septembra 2019

                                                                                                                                                  Pridaný SQL Server Standard do Požiadavky na databázový server.

                                                                                                                                                  29. augusta 2019Pridané Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát príloha s návodom na konfiguráciu proxy serverov Squid tak, aby ignorovali prevádzku websocket pre správnu činnosť.
                                                                                                                                                  20. augusta 2019

                                                                                                                                                  Pridané a aktualizované sekcie pokrývajúce podporu proxy pre komunikáciu uzlov Hybrid Data Security do cloudu Webex.

                                                                                                                                                  Ak chcete získať prístup len k obsahu podpory proxy pre existujúce nasadenie, pozrite si Podpora proxy pre hybridné zabezpečenie dát a Webex Video Mesh pomocný článok.

                                                                                                                                                  13. júna 2019Aktualizované Skúšobný postup produkčných úloh s pripomienkou na synchronizáciu HdsTrialGroup skupinový objekt pred spustením skúšobnej verzie, ak vaša organizácia používa synchronizáciu adresárov.
                                                                                                                                                  6. marca 2019
                                                                                                                                                  28. februára 2019
                                                                                                                                                  • Opravené množstvo miesta na lokálnom pevnom disku na server, ktoré by ste si mali vyčleniť pri príprave virtuálnych hostiteľov, ktorí sa stanú uzlami Hybrid Data Security, z 50 GB na 20 GB, aby odrážali veľkosť disku, ktorý vytvára OVA.

                                                                                                                                                  26. februára 2019
                                                                                                                                                  • Uzly Hybrid Data Security teraz podporujú šifrované pripojenia s databázovými servermi PostgreSQL a šifrované protokolované pripojenia k serveru syslog s podporou TLS. Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS s návodom.

                                                                                                                                                  • Odstránili sa cieľové adresy URL z tabuľky „Požiadavky na internetové pripojenie pre virtuálne počítače s uzlom na zabezpečenie hybridných údajov“. Tabuľka teraz odkazuje na zoznam udržiavaný v tabuľke „Ďalšie adresy URL pre hybridné služby Webex Teams“ Sieťové požiadavky pre Webex Teams Services.

                                                                                                                                                  24. januára 2019

                                                                                                                                                  • Hybrid Data Security teraz podporuje Microsoft SQL Server ako databázu. SQL Server Always On (Always On Failover Clusters a Always On Availability Groups) je podporovaný ovládačmi JDBC, ktoré sa používajú v Hybrid Data Security. Pridaný obsah súvisiaci s nasadením so serverom SQL Server.


                                                                                                                                                     

                                                                                                                                                    Podpora Microsoft SQL Server je určená len pre nové nasadenia Hybrid Data Security. Momentálne nepodporujeme migráciu údajov z PostgreSQL na Microsoft SQL Server v existujúcom nasadení.

                                                                                                                                                  5. novembra 2018
                                                                                                                                                  19. októbra 2018

                                                                                                                                                  31. júla 2018

                                                                                                                                                  21. mája 2018

                                                                                                                                                  Zmenená terminológia, aby odrážala rebranding Cisco Spark:

                                                                                                                                                  • Cisco Spark Hybrid Data Security je teraz Hybrid Data Security.

                                                                                                                                                  • Aplikácia Cisco Spark je teraz aplikáciou Webex App.

                                                                                                                                                  • Cisco Collaboraton Cloud je teraz cloud Webex.

                                                                                                                                                  11. apríla 2018
                                                                                                                                                  22. februára 2018
                                                                                                                                                  15. február 2018
                                                                                                                                                  • V Požiadavky na certifikát X.509 Tabuľka špecifikovala, že certifikát nemôže byť zástupný certifikát a že KMS používa doménu CN, nie akúkoľvek doménu, ktorá je definovaná v poliach x.509v3 SAN.

                                                                                                                                                  18. januára 2018

                                                                                                                                                  2. novembra 2017

                                                                                                                                                  • Vyjasnená synchronizácia adresárov skupiny HdsTrialGroup.

                                                                                                                                                  • Opravené pokyny na nahrávanie konfiguračného súboru ISO na pripojenie do uzlov VM.

                                                                                                                                                  18. augusta 2017

                                                                                                                                                  Prvýkrát zverejnené

                                                                                                                                                  Začnite s hybridným zabezpečením dát

                                                                                                                                                  Prehľad zabezpečenia hybridných údajov

                                                                                                                                                  Od prvého dňa bola bezpečnosť údajov prvoradá pri navrhovaní Aplikácia Webex. Základným kameňom tohto zabezpečenia je komplexné šifrovanie obsahu, ktoré umožňuje Aplikácia Webex klientov interagujúcich so službou správy kľúčov (KMS). KMS je zodpovedný za vytváranie a správu kryptografických kľúčov, ktoré klienti používajú na dynamické šifrovanie a dešifrovanie správ a súborov.

                                                                                                                                                  Štandardne všetky Aplikácia Webex zákazníci získajú end-to-end šifrovanie s dynamickými kľúčmi uloženými v cloudovom KMS v oblasti bezpečnosti Cisco. Hybrid Data Security presúva KMS a ďalšie funkcie súvisiace so zabezpečením do vášho podnikového dátového centra, takže kľúče k vášmu šifrovanému obsahu nemá nikto okrem vás.

                                                                                                                                                  Architektúra bezpečnostnej sféry

                                                                                                                                                  Cloudová architektúra Webex oddeľuje rôzne typy služieb do samostatných oblastí alebo dôveryhodných domén, ako je znázornené nižšie.

                                                                                                                                                  Realms of Separation (bez Hybrid Data Security)

                                                                                                                                                  Aby sme lepšie porozumeli Hybrid Data Security, pozrime sa najprv na tento čistý cloud, kde Cisco poskytuje všetky funkcie vo svojich cloudových sférach. Služba identity, jediné miesto, kde môžu používatelia priamo korelovať so svojimi osobnými údajmi, ako je e-mailová adresa, je logicky a fyzicky oddelená od oblasti zabezpečenia v dátovom centre B. Obe sú zase oddelené od oblasti, kde je v konečnom dôsledku uložený šifrovaný obsah. , v dátovom centre C.

                                                                                                                                                  V tomto diagrame je klientom aplikácia Webex, ktorá beží na notebooku používateľa a je overená službou identity. Keď používateľ vytvorí správu na odoslanie do priestoru, vykonajú sa tieto kroky:

                                                                                                                                                  1. Klient vytvorí zabezpečené spojenie so službou správy kľúčov (KMS), potom požiada o kľúč na zašifrovanie správy. Zabezpečené pripojenie používa ECDH a KMS šifruje kľúč pomocou hlavného kľúča AES-256.

                                                                                                                                                  2. Správa je pred opustením klienta zašifrovaná. Klient ho odošle do indexovacej služby, ktorá vytvorí šifrované indexy vyhľadávania na pomoc pri budúcom vyhľadávaní obsahu.

                                                                                                                                                  3. Zašifrovaná správa sa odošle do služby súladu na kontrolu súladu.

                                                                                                                                                  4. Zašifrovaná správa je uložená v úložnej sfére.

                                                                                                                                                  Keď nasadíte Hybrid Data Security, presuniete funkcie bezpečnostnej sféry (KMS, indexovanie a súlad) do vášho lokálneho dátového centra. Ostatné cloudové služby, ktoré tvoria Webex (vrátane ukladania identity a obsahu), zostávajú v sférach spoločnosti Cisco.

                                                                                                                                                  Spolupráca s inými organizáciami

                                                                                                                                                  Používatelia vo vašej organizácii môžu pravidelne používať aplikáciu Webex na spoluprácu s externými účastníkmi v iných organizáciách. Keď jeden z vašich používateľov požaduje kľúč pre priestor, ktorý vlastní vaša organizácia (pretože ho vytvoril jeden z vašich používateľov), váš KMS odošle kľúč klientovi cez zabezpečený kanál ECDH. Keď však kľúč priestoru vlastní iná organizácia, váš KMS nasmeruje požiadavku do cloudu Webex cez samostatný kanál ECDH, aby získal kľúč z príslušného KMS, a potom vráti kľúč vášmu používateľovi na pôvodnom kanáli.

                                                                                                                                                  Služba KMS spustená v organizácii A overuje pripojenia ku KMS v iných organizáciách pomocou x.509 PKI certifikátov. Pozri Pripravte si prostredie podrobnosti o generovaní x.509 certifikátu na použitie s nasadením Hybrid Data Security.

                                                                                                                                                  Očakávania týkajúce sa nasadenia hybridnej bezpečnosti údajov

                                                                                                                                                  Nasadenie Hybrid Data Security si vyžaduje značné nasadenie zákazníkov a uvedomenie si rizík, ktoré so sebou prináša vlastníctvo šifrovacích kľúčov.

                                                                                                                                                  Ak chcete nasadiť Hybrid Data Security, musíte poskytnúť:

                                                                                                                                                  Úplná strata buď konfiguračného ISO, ktoré ste vytvorili pre Hybrid Data Security, alebo databázy, ktorú poskytnete, bude mať za následok stratu kľúčov. Strata kľúča bráni používateľom dešifrovať obsah priestoru a ďalšie šifrované údaje v aplikácii Webex. Ak sa tak stane, môžete vytvoriť nové nasadenie, ale bude viditeľný iba nový obsah. Aby ste predišli strate prístupu k údajom, musíte:

                                                                                                                                                  • Spravujte zálohovanie a obnovu databázy a konfiguračného ISO.

                                                                                                                                                  • Buďte pripravení vykonať rýchlu obnovu po havárii, ak dôjde ku katastrofe, ako je zlyhanie databázového disku alebo katastrofa dátového centra.


                                                                                                                                                   

                                                                                                                                                  Neexistuje žiadny mechanizmus na presun kľúčov späť do cloudu po nasadení HDS.

                                                                                                                                                  Proces nastavenia na vysokej úrovni

                                                                                                                                                  Tento dokument pokrýva nastavenie a správu nasadenia Hybrid Data Security:

                                                                                                                                                  • Nastavte Hybridné zabezpečenie dát—To zahŕňa prípravu požadovanej infraštruktúry a inštaláciu softvéru Hybrid Data Security, testovanie vášho nasadenia s podskupinou používateľov v skúšobnom režime a po dokončení testovania prechod do produkcie. To prevedie celú organizáciu na používanie vášho klastra Hybrid Data Security na bezpečnostné funkcie.

                                                                                                                                                    Fázy nastavenia, skúšania a výroby sú podrobne opísané v nasledujúcich troch kapitolách.

                                                                                                                                                  • Udržujte svoje nasadenie Hybrid Data Security— Cloud Webex automaticky poskytuje priebežné aktualizácie. Vaše IT oddelenie môže poskytnúť podporu prvej úrovne pre toto nasadenie a podľa potreby zapojiť podporu Cisco. V Control Hub môžete používať upozornenia na obrazovke a nastaviť upozornenia prostredníctvom e-mailu.

                                                                                                                                                  • Pochopte bežné upozornenia, kroky na riešenie problémov a známe problémy—Ak narazíte na problémy s nasadením alebo používaním Hybrid Data Security, posledná kapitola tejto príručky a príloha Známe problémy vám môžu pomôcť určiť a vyriešiť problém.

                                                                                                                                                  Hybridný model nasadenia zabezpečenia dát

                                                                                                                                                  V rámci podnikového dátového centra nasadíte Hybrid Data Security ako jeden klaster uzlov na samostatných virtuálnych hostiteľoch. Uzly komunikujú s cloudom Webex prostredníctvom zabezpečených webových zásuviek a zabezpečeného HTTP.

                                                                                                                                                  Počas procesu inštalácie vám poskytneme súbor OVA na nastavenie virtuálneho zariadenia na VM, ktoré poskytnete. Nástroj HDS Setup Tool použijete na vytvorenie vlastného konfiguračného súboru ISO klastra, ktorý pripojíte na každý uzol. Klaster Hybrid Data Security využíva váš poskytnutý server Syslogd a databázu PostgreSQL alebo Microsoft SQL Server. (Syslogd a podrobnosti o pripojení k databáze nakonfigurujete v nástroji HDS Setup Tool.)

                                                                                                                                                  Hybridný model nasadenia zabezpečenia dát

                                                                                                                                                  Minimálny počet uzlov, ktoré môžete mať v klastri, sú dva. Odporúčame aspoň tri a môžete ich mať až päť. Viacnásobné uzly zaisťujú, že služba nebude prerušená počas aktualizácie softvéru alebo inej činnosti údržby na uzle. (Cloud Webex aktualizuje naraz iba jeden uzol.)

                                                                                                                                                  Všetky uzly v klastri pristupujú k rovnakému úložisku údajov kľúčov a zaznamenávajú aktivitu na rovnaký server syslog. Samotné uzly sú bez stavu a spracovávajú kľúčové požiadavky v režime round-robin podľa pokynov cloudu.

                                                                                                                                                  Uzly sa stanú aktívnymi, keď ich zaregistrujete v Control Hub. Ak chcete vyradiť jednotlivý uzol z prevádzky, môžete ho zrušiť a neskôr v prípade potreby znova zaregistrovať.

                                                                                                                                                  Podporujeme iba jeden klaster na organizáciu.

                                                                                                                                                  Skúšobný režim hybridnej bezpečnosti dát

                                                                                                                                                  Po nastavení nasadenia Hybrid Data Security ho najskôr vyskúšate so skupinou pilotných používateľov. Počas skúšobného obdobia títo používatelia používajú vašu lokálnu doménu Hybrid Data Security na šifrovacie kľúče a ďalšie služby v oblasti zabezpečenia. Ostatní vaši používatelia naďalej používajú oblasť zabezpečenia cloudu.

                                                                                                                                                  Ak sa rozhodnete nepokračovať v nasadzovaní počas skúšobného obdobia a službu deaktivujete, pilotní používatelia a všetci používatelia, s ktorými počas skúšobného obdobia interagovali vytvorením nových priestorov, stratia prístup k správam a obsahu. V aplikácii Webex sa im zobrazí „Táto správa sa nedá dešifrovať“.

                                                                                                                                                  Ak ste spokojní s tým, že vaše nasadenie funguje dobre pre skúšobných používateľov a ste pripravení rozšíriť Hybrid Data Security na všetkých svojich používateľov, presuniete nasadenie do produkcie. Pilotní používatelia majú naďalej prístup ku kľúčom, ktoré sa používali počas skúšobnej verzie. Nemôžete sa však pohybovať tam a späť medzi produkčným režimom a pôvodnou skúšobnou verziou. Ak musíte službu deaktivovať, napríklad vykonať obnovu po havárii, pri opätovnej aktivácii musíte spustiť novú skúšobnú verziu a nastaviť skupinu pilotných používateľov pre novú skúšobnú verziu, než sa vrátite späť do produkčného režimu. Či si používatelia v tomto bode zachovajú prístup k údajom, závisí od toho, či ste úspešne udržiavali zálohy úložiska kľúčových údajov a konfiguračného súboru ISO pre uzly Hybrid Data Security vo vašom klastri.

                                                                                                                                                  Pohotovostné dátové centrum pre obnovu po havárii

                                                                                                                                                  Počas nasadenia nastavíte zabezpečené pohotovostné dátové centrum. V prípade havárie dátového centra môžete manuálne zlyhať nasadenie do pohotovostného dátového centra.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Manuálne prepnutie do pohotovostného dátového centra

                                                                                                                                                  Databázy aktívnych a pohotovostných dátových centier sú navzájom synchronizované, čo minimalizuje čas potrebný na vykonanie núdzového prepnutia. Súbor ISO pohotovostného dátového centra sa aktualizuje o ďalšie konfigurácie, ktoré zaisťujú, že uzly sú registrované v organizácii, ale nebudú spracovávať prevádzku. Preto uzly pohotovostného dátového centra zostávajú vždy aktuálne s najnovšou verziou softvéru HDS.


                                                                                                                                                   

                                                                                                                                                  Aktívne uzly Hybrid Data Security musia byť vždy v rovnakom údajovom centre ako aktívny databázový server.

                                                                                                                                                  Nastavte pohotovostné dátové centrum pre obnovu po havárii

                                                                                                                                                  Ak chcete nakonfigurovať súbor ISO pohotovostného dátového centra, postupujte podľa nasledujúcich krokov:

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  • Pohotovostné dátové centrum by malo odrážať produkčné prostredie VM a záložnú databázu PostgreSQL alebo Microsoft SQL Server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM. (Pozri Pohotovostné dátové centrum pre obnovu po havárii pre prehľad tohto modelu núdzového prepnutia.)

                                                                                                                                                  • Uistite sa, že je povolená synchronizácia databázy medzi databázou aktívnych a pasívnych uzlov klastra.

                                                                                                                                                  1

                                                                                                                                                  Spustite nástroj HDS Setup a postupujte podľa krokov uvedených v Vytvorte ISO konfigurácie pre hostiteľov HDS.


                                                                                                                                                   

                                                                                                                                                  Súbor ISO musí byť kópiou pôvodného súboru ISO primárneho dátového centra, v ktorom sa majú vykonať nasledujúce aktualizácie konfigurácie.

                                                                                                                                                  2

                                                                                                                                                  Po nakonfigurovaní servera Syslogd kliknite na Pokročilé nastavenia

                                                                                                                                                  3

                                                                                                                                                  Na Pokročilé nastavenia pridajte konfiguráciu nižšie, aby ste umiestnili uzol do pasívneho režimu. V tomto režime bude uzol zaregistrovaný v organizácii a pripojený ku cloudu, ale nebude spracovávať žiadny prenos.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť.

                                                                                                                                                  5

                                                                                                                                                  Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii.

                                                                                                                                                  6

                                                                                                                                                  V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na VM a kliknite Upraviť nastavenia..

                                                                                                                                                  7

                                                                                                                                                  Kliknite Upraviť nastavenia >CD/DVD mechanika 1 a vyberte Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Uisti sa Pripojené a Pripojte pri zapnutí sú skontrolované, aby sa aktualizované zmeny konfigurácie prejavili po spustení uzlov.

                                                                                                                                                  8

                                                                                                                                                  Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy.

                                                                                                                                                  9

                                                                                                                                                  Opakujte proces pre každý uzol v pohotovostnom dátovom centre.


                                                                                                                                                   

                                                                                                                                                  Skontrolujte syslogy a overte, či sú uzly v pasívnom režime. V syslogoch by ste mali vidieť správu „KMS nakonfigurovaná v pasívnom režime“.

                                                                                                                                                  Čo urobiť ďalej

                                                                                                                                                  Po konfigurácii passiveMode v súbore ISO a jeho uložením môžete vytvoriť ďalšiu kópiu súboru ISO bez súboru passiveMode konfiguráciu a uložte ju na bezpečnom mieste. Táto kópia súboru ISO bez passiveMode nakonfigurovaný môže pomôcť pri rýchlom procese núdzového prepnutia počas obnovy po havárii. Pozri Obnova po havárii pomocou pohotovostného dátového centra pre podrobný postup núdzového prepnutia.

                                                                                                                                                  Podpora proxy

                                                                                                                                                  Hybrid Data Security podporuje explicitné, transparentné kontrolné a nekontrolujúce proxy. Tieto servery proxy môžete prepojiť s nasadením, aby ste mohli zabezpečiť a monitorovať prevádzku z podniku do cloudu. Rozhranie správcu platformy na uzloch môžete použiť na správu certifikátov a na kontrolu celkového stavu pripojenia po nastavení servera proxy na uzloch.

                                                                                                                                                  Uzly Hybrid Data Security podporujú nasledujúce možnosti proxy:

                                                                                                                                                  • Žiadny proxy—Predvolené, ak na integráciu servera proxy nepoužívate nastavenie uzla HDS Trust Store & Proxy. Nevyžaduje sa žiadna aktualizácia certifikátu.

                                                                                                                                                  • Transparentný nekontrolujúci splnomocnenec– Uzly nie sú nakonfigurované na používanie špecifickej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.

                                                                                                                                                  • Transparentné tunelovanie alebo kontrola proxy– Uzly nie sú nakonfigurované na používanie špecifickej adresy servera proxy. Na uzloch nie sú potrebné žiadne zmeny konfigurácie HTTP alebo HTTPS. Uzly však potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).

                                                                                                                                                  • Explicitný proxy—S explicitným proxy, poviete HDS uzlom, ktorý proxy server a overovaciu schému použiť. Ak chcete nakonfigurovať explicitný server proxy, musíte do každého uzla zadať nasledujúce informácie:

                                                                                                                                                    1. Proxy IP/FQDN– Adresa, ktorú možno použiť na spojenie so zariadením proxy.

                                                                                                                                                    2. Port proxy—Číslo portu, ktoré server proxy používa na počúvanie prevádzky cez proxy.

                                                                                                                                                    3. Proxy protokol—V závislosti od toho, čo váš proxy server podporuje, vyberte si z nasledujúcich protokolov:

                                                                                                                                                      • HTTP – zobrazuje a riadi všetky požiadavky, ktoré klient odosiela.

                                                                                                                                                      • HTTPS – poskytuje kanál pre server. Klient prijme a overí certifikát servera.

                                                                                                                                                    4. autentický typ— Vyberte si z nasledujúcich typov autentifikácie:

                                                                                                                                                      • žiadne— Nevyžaduje sa žiadna ďalšia autentifikácia.

                                                                                                                                                        Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.

                                                                                                                                                      • Základné— Používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.

                                                                                                                                                        Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.

                                                                                                                                                        Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.

                                                                                                                                                      • Digest– Používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.

                                                                                                                                                        Dostupné, iba ak vyberiete HTTPS ako protokol proxy.

                                                                                                                                                        Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.

                                                                                                                                                  Príklad uzlov na zabezpečenie hybridných dát a proxy

                                                                                                                                                  Tento diagram ukazuje príklad spojenia medzi Hybrid Data Security, sieťou a proxy. Pre možnosti transparentnej kontroly a explicitnej kontroly HTTPS proxy musí byť na serveri proxy aj na uzloch Hybrid Data Security nainštalovaný rovnaký koreňový certifikát.

                                                                                                                                                  Blokovaný režim externého rozlíšenia DNS (explicitné konfigurácie proxy)

                                                                                                                                                  Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. V nasadeniach s explicitnými konfiguráciami proxy, ktoré neumožňujú externé rozlíšenie DNS pre interných klientov, ak uzol nemôže dotazovať servery DNS, automaticky prejde do režimu blokovaného externého riešenia DNS. V tomto režime môže pokračovať registrácia uzla a ďalšie testy pripojenia proxy.

                                                                                                                                                  Pripravte si prostredie

                                                                                                                                                  Požiadavky na hybridnú bezpečnosť dát

                                                                                                                                                  Požiadavky na licenciu Cisco Webex

                                                                                                                                                  Nasadenie Hybrid Data Security:

                                                                                                                                                  Požiadavky na plochu Docker

                                                                                                                                                  Pred inštaláciou uzlov HDS potrebujete Docker Desktop na spustenie inštalačného programu. Docker nedávno aktualizoval svoj licenčný model. Vaša organizácia môže vyžadovať platené predplatné pre Docker Desktop. Podrobnosti nájdete v blogovom príspevku Docker, " Docker aktualizuje a rozširuje naše predplatné produktov".

                                                                                                                                                  Požiadavky na certifikát X.509

                                                                                                                                                  Certifikačný reťazec musí spĺňať nasledujúce požiadavky:

                                                                                                                                                  Tabuľka č. 1 Požiadavky certifikátu X.509 pre nasadenie hybridného zabezpečenia dát

                                                                                                                                                  Požiadavka

                                                                                                                                                  Podrobnosti

                                                                                                                                                  • Podpísané dôveryhodnou certifikačnou autoritou (CA)

                                                                                                                                                  V predvolenom nastavení dôverujeme CA v zozname Mozilly (s výnimkou WoSign a StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Nesie názov domény Common Name (CN), ktorý identifikuje vaše nasadenie Hybrid Data Security

                                                                                                                                                  • Nie je to zástupný certifikát

                                                                                                                                                  CN nemusí byť dosiahnuteľné alebo živého hostiteľa. Odporúčame vám použiť názov, ktorý odráža vašu organizáciu, napr. hds.company.com.

                                                                                                                                                  KN nesmie obsahovať * (zástupný znak).

                                                                                                                                                  CN sa používa na overenie uzlov Hybrid Data Security pre klientov Webex App. Všetky uzly Hybrid Data Security vo vašom klastri používajú rovnaký certifikát. Váš KMS sa identifikuje pomocou domény CN, nie akejkoľvek domény, ktorá je definovaná v poliach x.509v3 SAN.

                                                                                                                                                  Po zaregistrovaní uzla s týmto certifikátom nepodporujeme zmenu názvu domény CN. Vyberte doménu, ktorá sa môže vzťahovať na skúšobné aj produkčné nasadenie.

                                                                                                                                                  • Podpis iný ako SHA1

                                                                                                                                                  Softvér KMS nepodporuje podpisy SHA1 na overenie pripojení k KMS iných organizácií.

                                                                                                                                                  • Naformátovaný ako súbor PKCS #12 chránený heslom

                                                                                                                                                  • Použite priateľský názov kms-private-key na označenie certifikátu, súkromného kľúča a akýchkoľvek sprostredkujúcich certifikátov na odovzdanie.

                                                                                                                                                  Na zmenu formátu certifikátu môžete použiť konvertor, ako je OpenSSL.

                                                                                                                                                  Pri spustení nástroja HDS Setup Tool budete musieť zadať heslo.

                                                                                                                                                  Softvér KMS nevynucuje používanie kľúčov ani rozšírené obmedzenia používania kľúčov. Niektoré certifikačné autority vyžadujú, aby sa na každý certifikát aplikovali rozšírené obmedzenia používania kľúčov, ako je autentifikácia servera. Je v poriadku použiť overenie servera alebo iné nastavenia.

                                                                                                                                                  Požiadavky na virtuálny hostiteľ

                                                                                                                                                  Virtuálni hostitelia, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri, majú nasledujúce požiadavky:

                                                                                                                                                  • Aspoň dvaja oddelení hostitelia (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre

                                                                                                                                                  • VMware ESXi 6.5 (alebo novší) nainštalovaný a spustený.


                                                                                                                                                     

                                                                                                                                                    Ak máte staršiu verziu ESXi, musíte vykonať inováciu.

                                                                                                                                                  • Minimálne 4 vCPU, 8 GB hlavnej pamäte, 30 GB miesta na lokálnom pevnom disku na server

                                                                                                                                                  Požiadavky na databázový server


                                                                                                                                                   

                                                                                                                                                  Vytvorte novú databázu pre uloženie kľúčov. Nepoužívajte predvolenú databázu. Aplikácie HDS, keď sú nainštalované, vytvoria schému databázy.

                                                                                                                                                  Pre databázový server sú dve možnosti. Požiadavky na každú z nich sú nasledovné:

                                                                                                                                                  Tabuľka 2 Požiadavky na databázový server podľa typu databázy

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 alebo 16, nainštalovaný a spustený.

                                                                                                                                                  • SQL Server 2016, 2017 alebo 2019 (Enterprise alebo Standard) nainštalovaný.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 vyžaduje Service Pack 2 a Kumulatívna aktualizácia 2 alebo novšia.

                                                                                                                                                  Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložný priestor)

                                                                                                                                                  Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložný priestor)

                                                                                                                                                  Softvér HDS momentálne inštaluje nasledujúce verzie ovládačov na komunikáciu s databázovým serverom:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC ovládač 42.2.5

                                                                                                                                                  Ovládač SQL Server JDBC 4.6

                                                                                                                                                  Táto verzia ovládača podporuje SQL Server Always On ( Vždy v prípade zlyhania klastra a Vždy zapnuté skupiny dostupnosti).

                                                                                                                                                  Dodatočné požiadavky na overenie systému Windows voči Microsoft SQL Server

                                                                                                                                                  Ak chcete, aby uzly HDS používali autentifikáciu systému Windows na získanie prístupu k vašej databáze úložiska kľúčov na serveri Microsoft SQL Server, potrebujete vo svojom prostredí nasledujúcu konfiguráciu:

                                                                                                                                                  • HDS uzly, infraštruktúra Active Directory a MS SQL Server musia byť synchronizované s NTP.

                                                                                                                                                  • Účet Windows, ktorý poskytnete uzlom HDS, musí mať prístup k databáze na čítanie/zápis.

                                                                                                                                                  • Servery DNS, ktoré poskytujete uzlom HDS, musia byť schopné vyriešiť vaše Centrum distribúcie kľúčov (KDC).

                                                                                                                                                  • Inštanciu databázy HDS môžete zaregistrovať na svojom serveri Microsoft SQL Server ako hlavný názov služby (SPN) vo vašom adresári Active Directory. Pozri Zaregistrujte hlavný názov služby pre pripojenia Kerberos.

                                                                                                                                                    Nástroj na nastavenie HDS, spúšťač HDS a miestne KMS musia na prístup k databáze kľúčov používať overenie systému Windows. Používajú podrobnosti z vašej konfigurácie ISO na vytvorenie SPN pri požadovaní prístupu s overením Kerberos.

                                                                                                                                                  Požiadavky na externé pripojenie

                                                                                                                                                  Nakonfigurujte svoj firewall tak, aby umožňoval nasledujúce pripojenie pre aplikácie HDS:

                                                                                                                                                  Aplikácia

                                                                                                                                                  Protokol

                                                                                                                                                  Port

                                                                                                                                                  Smer z App

                                                                                                                                                  Destinácia

                                                                                                                                                  Hybridné uzly zabezpečenia údajov

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odchádzajúce HTTPS a WSS

                                                                                                                                                  • Webex servery:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Všetci hostitelia Common Identity

                                                                                                                                                  • Ďalšie adresy URL, ktoré sú uvedené pre Hybrid Data Security v Ďalšie adresy URL pre hybridné služby Webex tabuľka Sieťové požiadavky pre služby Webex

                                                                                                                                                  Nástroj na nastavenie HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odchádzajúce HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Všetci hostitelia Common Identity

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Uzly Hybrid Data Security pracujú s prekladom sieťového prístupu (NAT) alebo za bránou firewall, pokiaľ NAT alebo brána firewall umožňuje požadované odchádzajúce pripojenia k destináciám domény v predchádzajúcej tabuľke. Pre pripojenia prichádzajúce do uzlov Hybrid Data Security by nemali byť z internetu viditeľné žiadne porty. V rámci vášho dátového centra potrebujú klienti prístup k uzlom Hybrid Data Security na portoch TCP 443 a 22 na administratívne účely.

                                                                                                                                                  Adresy URL hostiteľov Common Identity (CI) sú špecifické pre daný región. Toto sú súčasní hostitelia CI:

                                                                                                                                                  región

                                                                                                                                                  Spoločné adresy URL hostiteľa identity

                                                                                                                                                  Ameriky

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Európska únia

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Požiadavky na proxy server

                                                                                                                                                  • Oficiálne podporujeme nasledujúce proxy riešenia, ktoré sa dajú integrovať s vašimi uzlami Hybrid Data Security.

                                                                                                                                                    • Transparentný proxy – Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Explicitný proxy-Squid.


                                                                                                                                                       

                                                                                                                                                      Proxy serverov chobotnice, ktoré kontrolujú prenos HTTPS, môžu zasahovať do vytvorenia webovej zásuvky (wss:) spojenia. Ak chcete tento problém obísť, pozrite si Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát.

                                                                                                                                                  • Pre explicitné servery proxy podporujeme nasledujúce kombinácie typov overenia:

                                                                                                                                                    • Žiadna autentifikácia pomocou HTTP alebo HTTPS

                                                                                                                                                    • Základná autentifikácia pomocou HTTP alebo HTTPS

                                                                                                                                                    • Digest overenie iba s HTTPS

                                                                                                                                                  • Pre transparentný kontrolný proxy server alebo explicitný proxy server HTTPS musíte mať kópiu koreňového certifikátu servera proxy. Pokyny na nasadenie v tejto príručke vám povedia, ako nahrať kópiu do dôveryhodných obchodov uzlov Hybrid Data Security.

                                                                                                                                                  • Sieť, ktorá hostí uzly HDS, musí byť nakonfigurovaná tak, aby vynútila smerovanie odchádzajúcej prevádzky TCP na porte 443 cez server proxy.

                                                                                                                                                  • Proxy, ktoré kontrolujú webovú prevádzku, môžu narúšať pripojenia webových soketov. Ak sa vyskytne tento problém, obíďte (nie kontrolujte) premávku na wbx2.com a ciscospark.com problém vyrieši.

                                                                                                                                                  Vyplňte Predpoklady pre hybridnú bezpečnosť údajov

                                                                                                                                                  Pomocou tohto kontrolného zoznamu sa uistite, že ste pripravení na inštaláciu a konfiguráciu klastra Hybrid Data Security.
                                                                                                                                                  1

                                                                                                                                                  Uistite sa, že vaša organizácia Webex má povolený balík Pro Pack pre Cisco Webex Control Hub a získajte prihlasovacie údaje účtu s úplnými právami správcu organizácie. Ak potrebujete pomoc s týmto procesom, kontaktujte svojho partnera Cisco alebo account manažéra.

                                                                                                                                                  2

                                                                                                                                                  Vyberte názov domény pre svoje nasadenie HDS (napr. hds.company.com) a získajte reťaz certifikátov obsahujúci certifikát X.509, súkromný kľúč a akékoľvek sprostredkujúce certifikáty. Certifikačný reťazec musí spĺňať požiadavky v Požiadavky na certifikát X.509.

                                                                                                                                                  3

                                                                                                                                                  Pripravte si identických virtuálnych hostiteľov, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri. Potrebujete aspoň dvoch samostatných hostiteľov (odporúčajú sa 3) umiestnených v rovnakom zabezpečenom dátovom centre, ktorí spĺňajú požiadavky v Požiadavky na virtuálny hostiteľ.

                                                                                                                                                  4

                                                                                                                                                  Pripravte databázový server, ktorý bude fungovať ako úložisko kľúčových údajov pre klaster, podľa Požiadavky na databázový server. Databázový server musí byť umiestnený v zabezpečenom údajovom centre spolu s virtuálnymi hostiteľmi.

                                                                                                                                                  1. Vytvorte databázu pre ukladanie kľúčov. (Túto databázu musíte vytvoriť – nepoužívajte predvolenú databázu. Aplikácie HDS po nainštalovaní vytvoria schému databázy.)

                                                                                                                                                  2. Zhromaždite podrobnosti, ktoré budú uzly používať na komunikáciu s databázovým serverom:

                                                                                                                                                    • názov hostiteľa alebo IP adresa (hostiteľ) a port

                                                                                                                                                    • názov databázy (dbname) pre uloženie kľúčov

                                                                                                                                                    • užívateľské meno a heslo užívateľa so všetkými privilégiami v databáze kľúča

                                                                                                                                                  5

                                                                                                                                                  Pre rýchlu obnovu po havárii nastavte zálohovacie prostredie v inom dátovom centre. Zálohovacie prostredie odzrkadľuje produkčné prostredie VM a záložný databázový server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM.

                                                                                                                                                  6

                                                                                                                                                  Nastavte hostiteľa syslog na zhromažďovanie protokolov z uzlov v klastri. Získajte jeho sieťovú adresu a port syslog (predvolené je UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Vytvorte politiku bezpečného zálohovania pre uzly Hybrid Data Security, databázový server a hostiteľa syslog. Aby ste predišli nenapraviteľnej strate údajov, musíte minimálne zálohovať databázu a konfiguračný súbor ISO vygenerovaný pre uzly Hybrid Data Security.


                                                                                                                                                   

                                                                                                                                                  Pretože uzly Hybrid Data Security ukladajú kľúče používané na šifrovanie a dešifrovanie obsahu, zlyhanie pri udržiavaní operačného nasadenia bude mať za následok NENÁHRADITEĽNÁ STRATA tohto obsahu.

                                                                                                                                                  Klienti Webex App ukladajú svoje kľúče do vyrovnávacej pamäte, takže výpadok nemusí byť okamžite viditeľný, ale časom sa prejaví. Zatiaľ čo dočasným výpadkom nie je možné zabrániť, sú obnoviteľné. Úplná strata (nie sú k dispozícii žiadne zálohy) databázy alebo konfiguračného ISO súboru však bude mať za následok neobnoviteľné zákaznícke údaje. Od operátorov uzlov Hybrid Data Security sa očakáva, že budú pravidelne zálohovať databázu a konfiguračný ISO súbor a budú pripravení na prestavbu dátového centra Hybrid Data Security, ak dôjde ku katastrofálnej poruche.

                                                                                                                                                  8

                                                                                                                                                  Uistite sa, že vaša konfigurácia brány firewall umožňuje pripojenie pre vaše uzly Hybrid Data Security, ako je uvedené v Požiadavky na externé pripojenie.

                                                                                                                                                  9

                                                                                                                                                  Nainštalujte Docker ( https://www.docker.com) na akomkoľvek lokálnom počítači s podporovaným operačným systémom (Microsoft Windows 10 Professional alebo Enterprise 64-bit, alebo Mac OSX Yosemite 10.10.3 alebo novší) s webovým prehliadačom, ktorý k nemu môže pristupovať na http://127.0.0.1:8080.

                                                                                                                                                  Inštanciu Docker použijete na stiahnutie a spustenie nástroja HDS Setup Tool, ktorý vytvorí informácie o lokálnej konfigurácii pre všetky uzly Hybrid Data Security. Vaša organizácia môže potrebovať licenciu Docker Desktop. Pozri Požiadavky na plochu Docker Pre viac informácií.

                                                                                                                                                  Ak chcete nainštalovať a spustiť nástroj HDS Setup Tool, lokálny počítač musí mať konektivitu uvedenú v Požiadavky na externé pripojenie.

                                                                                                                                                  10

                                                                                                                                                  Ak integrujete proxy s Hybrid Data Security, uistite sa, že spĺňa Požiadavky na proxy server.

                                                                                                                                                  11

                                                                                                                                                  Ak vaša organizácia používa synchronizáciu adresárov, vytvorte skupinu v Active Directory s názvom HdsTrialGroup a pridajte pilotných používateľov. Skúšobná skupina môže mať až 250 používateľov. The HdsTrialGroup Pred spustením skúšobnej verzie pre vašu organizáciu musí byť objekt synchronizovaný s cloudom. Ak chcete synchronizovať objekt skupiny, vyberte ho v priečinku Directory Connector Konfigurácia > Výber objektu Ponuka. (Podrobné pokyny nájdete na Sprievodca nasadením pre Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Kľúče pre daný priestor nastavuje tvorca priestoru. Pri výbere pilotných používateľov majte na pamäti, že ak sa rozhodnete natrvalo deaktivovať nasadenie Hybrid Data Security, všetci používatelia stratia prístup k obsahu v priestoroch, ktoré vytvorili pilotní používatelia. Strata sa prejaví hneď, ako aplikácie používateľov obnovia svoje kópie obsahu uložené vo vyrovnávacej pamäti.

                                                                                                                                                  Nastavte Hybrid Data Security Cluster

                                                                                                                                                  Tok úloh nasadenia zabezpečenia hybridných údajov

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  Pripravte si prostredie

                                                                                                                                                  1

                                                                                                                                                  Stiahnite si inštalačné súbory

                                                                                                                                                  Stiahnite si súbor OVA na váš lokálny počítač pre neskoršie použitie.

                                                                                                                                                  2

                                                                                                                                                  Vytvorte ISO konfigurácie pre hostiteľov HDS

                                                                                                                                                  Pomocou nástroja HDS Setup Tool vytvorte konfiguračný súbor ISO pre uzly Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Nainštalujte HDS Host OVA

                                                                                                                                                  Vytvorte virtuálny počítač zo súboru OVA a vykonajte počiatočnú konfiguráciu, ako sú nastavenia siete.


                                                                                                                                                   

                                                                                                                                                  Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 6.5. Táto možnosť nemusí byť dostupná v starších verziách.

                                                                                                                                                  4

                                                                                                                                                  Nastavte virtuálny počítač Hybrid Data Security

                                                                                                                                                  Prihláste sa do konzoly VM a nastavte prihlasovacie poverenia. Nakonfigurujte sieťové nastavenia pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.

                                                                                                                                                  5

                                                                                                                                                  Nahrajte a pripojte ISO konfiguráciu HDS

                                                                                                                                                  Nakonfigurujte VM z konfiguračného súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool.

                                                                                                                                                  6

                                                                                                                                                  Nakonfigurujte uzol HDS na integráciu proxy

                                                                                                                                                  Ak sieťové prostredie vyžaduje konfiguráciu servera proxy, zadajte typ servera proxy, ktorý použijete pre uzol, a v prípade potreby pridajte certifikát servera proxy do dôveryhodného úložiska.

                                                                                                                                                  7

                                                                                                                                                  Zaregistrujte prvý uzol v klastri

                                                                                                                                                  Zaregistrujte VM v cloude Cisco Webex ako uzol Hybrid Data Security.

                                                                                                                                                  8

                                                                                                                                                  Vytvorte a zaregistrujte viac uzlov

                                                                                                                                                  Dokončite nastavenie klastra.

                                                                                                                                                  9

                                                                                                                                                  Spustite skúšobnú verziu a prejdite do výroby (ďalšia kapitola)

                                                                                                                                                  Kým nezačnete skúšobnú verziu, vaše uzly generujú alarm oznamujúci, že vaša služba ešte nie je aktivovaná.

                                                                                                                                                  Stiahnite si inštalačné súbory

                                                                                                                                                  V tejto úlohe stiahnete súbor OVA do svojho počítača (nie na servery, ktoré ste nastavili ako uzly Hybrid Data Security). Tento súbor použijete neskôr v procese inštalácie.
                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do https://admin.webex.coma potom kliknite Služby.

                                                                                                                                                  2

                                                                                                                                                  V časti Hybridné služby nájdite kartu Hybrid Data Security a potom kliknite Nastaviť.

                                                                                                                                                  Ak je karta zakázaná alebo ju nevidíte, kontaktujte tím spravujúci váš účet alebo partnerskú organizáciu. Poskytnite im svoje číslo účtu a požiadajte, aby vašej organizácii umožnili Hybridné zabezpečenie dát. Ak chcete nájsť číslo účtu, kliknite na ozubené koliesko vpravo hore vedľa názvu organizácie.


                                                                                                                                                   

                                                                                                                                                  OVA si tiež môžete kedykoľvek stiahnuť z Pomoc oddiel na nastavenie stránku. Na karte Hybrid Data Security kliknite na Upraviť nastavenia otvorte stránku. Potom kliknite Stiahnite si softvér Hybrid Data Security v Pomoc oddiele.


                                                                                                                                                   

                                                                                                                                                  Staršie verzie softvérového balíka (OVA) nebudú kompatibilné s najnovšími aktualizáciami Hybrid Data Security. To môže viesť k problémom pri inovácii aplikácie. Uistite sa, že ste si stiahli najnovšiu verziu súboru OVA.

                                                                                                                                                  3

                                                                                                                                                  Vyberte Nie na označenie, že ste ešte nenastavili uzol, a potom kliknite Ďalšie.

                                                                                                                                                  Automaticky sa začne sťahovať súbor OVA. Uložte súbor na miesto v počítači.
                                                                                                                                                  4

                                                                                                                                                  Voliteľne kliknite Otvorte Sprievodcu nasadením a skontrolujte, či je k dispozícii novšia verzia tejto príručky.

                                                                                                                                                  Vytvorte ISO konfigurácie pre hostiteľov HDS

                                                                                                                                                  Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  • Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Control Hub s úplnými administrátorskými právami pre vašu organizáciu.

                                                                                                                                                    Ak nástroj HDS Setup beží za serverom proxy vo vašom prostredí, pri spúšťaní kontajnera Docker v kroku poskytnite nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker 5. Táto tabuľka uvádza niektoré možné premenné prostredia:

                                                                                                                                                    Opis

                                                                                                                                                    Variabilné

                                                                                                                                                    HTTP Proxy bez autentifikácie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy bez autentifikácie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy s autentifikáciou

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy s autentifikáciou

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:

                                                                                                                                                    • Databázové poverenia

                                                                                                                                                    • Aktualizácie certifikátov

                                                                                                                                                    • Zmeny v politike autorizácie

                                                                                                                                                  • Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.

                                                                                                                                                  1

                                                                                                                                                  Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

                                                                                                                                                  V bežných prostrediach:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  V prostrediach FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

                                                                                                                                                  2

                                                                                                                                                  Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Pri výzve na zadanie hesla zadajte tento hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Stiahnite si najnovší stabilný obraz pre vaše prostredie:

                                                                                                                                                  V bežných prostrediach:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  V prostrediach FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

                                                                                                                                                  • V bežných prostrediach bez servera proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • V bežných prostrediach s HTTP proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • V bežných prostrediach s HTTPS proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • V prostrediach FedRAMP bez proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • V prostrediach FedRAMP s HTTP proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • V prostrediach FedRAMP s HTTPS proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Inštalačný nástroj nepodporuje pripojenie k localhost prostredníctvom http://localhost:8080. Použite http://127.0.0.1:8080 na pripojenie k localhost.

                                                                                                                                                  Pomocou webového prehliadača prejdite na localhost, http://127.0.0.1:8080 a po výzve zadajte používateľské meno správcu zákazníka pre Control Hub.

                                                                                                                                                  Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie.

                                                                                                                                                  7

                                                                                                                                                  Po zobrazení výzvy zadajte svoje prihlasovacie poverenia správcu zákazníka Control Hub a potom kliknite Prihlásiť sa na umožnenie prístupu k požadovaným službám pre Hybridnú bezpečnosť dát.

                                                                                                                                                  8

                                                                                                                                                  Na stránke prehľadu nástroja Setup kliknite na Začať.

                                                                                                                                                  9

                                                                                                                                                  Na ISO import stránku, máte tieto možnosti:

                                                                                                                                                  • Nie—Ak vytvárate svoj prvý uzol HDS, nemáte súbor ISO na nahranie.
                                                                                                                                                  • Áno—Ak ste už vytvorili uzly HDS, vyberte súbor ISO v prehľadávaní a nahrajte ho.
                                                                                                                                                  10

                                                                                                                                                  Skontrolujte, či váš certifikát X.509 spĺňa požiadavky v Požiadavky na certifikát X.509.

                                                                                                                                                  • Ak ste nikdy predtým nenahrali certifikát, nahrajte certifikát X.509, zadajte heslo a kliknite ďalej.
                                                                                                                                                  • Ak je váš certifikát v poriadku, kliknite ďalej.
                                                                                                                                                  • Ak platnosť vášho certifikátu vypršala alebo ho chcete nahradiť, vyberte Nie pre Pokračovať v používaní reťazca certifikátov HDS a súkromného kľúča z predchádzajúceho ISO?. Nahrajte nový certifikát X.509, zadajte heslo a kliknite ďalej.
                                                                                                                                                  11

                                                                                                                                                  Zadajte databázovú adresu a účet pre HDS, aby ste získali prístup k vášmu úložisku kľúčových údajov:

                                                                                                                                                  1. Vyberte si svoj Typ databázy (PostgreSQL alebo Microsoft SQL Server).

                                                                                                                                                    Ak si vyberiete Microsoft SQL Server, získate pole Typ overenia.

                                                                                                                                                  2. (Microsoft SQL Server iba) Vyberte si autentický typ:

                                                                                                                                                    • Základná autentifikácia: Potrebujete názov lokálneho účtu SQL Server v súbore Používateľské meno lúka.

                                                                                                                                                    • Overenie systému Windows: Potrebujete účet Windows vo formáte username@DOMAIN v Používateľské meno lúka.

                                                                                                                                                  3. Do formulára zadajte adresu databázového servera <hostname>:<port> alebo <IP-address>:<port>.

                                                                                                                                                    Príklad:
                                                                                                                                                    dbhost.example.org:1433 alebo 198.51.100.17:1433

                                                                                                                                                    Môžete použiť IP adresu na základnú autentifikáciu, ak uzly nemôžu použiť DNS na rozlíšenie názvu hostiteľa.

                                                                                                                                                    Ak používate overovanie systému Windows, musíte zadať úplný názov domény vo formáte dbhost.example.org:1433

                                                                                                                                                  4. Zadajte Názov databázy.

                                                                                                                                                  5. Zadajte Používateľské meno a heslo používateľa so všetkými oprávneniami na databázu úložiska kľúčov.

                                                                                                                                                  12

                                                                                                                                                  Vyberte a Režim pripojenia databázy TLS:

                                                                                                                                                  Režim

                                                                                                                                                  Opis

                                                                                                                                                  Preferujem TLS (predvolená možnosť)

                                                                                                                                                  HDS uzly nevyžadujú TLS na pripojenie k databázovému serveru. Ak povolíte TLS na databázovom serveri, uzly sa pokúsia o šifrované pripojenie.

                                                                                                                                                  Vyžadovať TLS

                                                                                                                                                  Uzly HDS sa pripájajú iba vtedy, ak databázový server dokáže dohodnúť TLS.

                                                                                                                                                  Vyžadovať TLS a overiť podpisovateľa certifikátu


                                                                                                                                                   

                                                                                                                                                  Tento režim nie je použiteľný pre databázy SQL Server.

                                                                                                                                                  • Uzly HDS sa pripájajú iba vtedy, ak databázový server dokáže dohodnúť TLS.

                                                                                                                                                  • Po nadviazaní pripojenia TLS uzol porovnáva podpisovateľa certifikátu z databázového servera s certifikačnou autoritou v Koreňový certifikát databázy. Ak sa nezhodujú, uzol zruší spojenie.

                                                                                                                                                  Použi Koreňový certifikát databázy ovládač pod rozbaľovacím zoznamom na nahranie koreňového certifikátu pre túto možnosť.

                                                                                                                                                  Vyžadovať TLS a overiť podpisovateľa certifikátu a názov hostiteľa

                                                                                                                                                  • Uzly HDS sa pripájajú iba vtedy, ak databázový server dokáže dohodnúť TLS.

                                                                                                                                                  • Po nadviazaní pripojenia TLS uzol porovnáva podpisovateľa certifikátu z databázového servera s certifikačnou autoritou v Koreňový certifikát databázy. Ak sa nezhodujú, uzol zruší spojenie.

                                                                                                                                                  • Uzly tiež overujú, či sa názov hostiteľa v certifikáte servera zhoduje s názvom hostiteľa v Hostiteľ databázy a port lúka. Názvy sa musia presne zhodovať, inak uzol zruší spojenie.

                                                                                                                                                  Použi Koreňový certifikát databázy ovládač pod rozbaľovacím zoznamom na nahranie koreňového certifikátu pre túto možnosť.

                                                                                                                                                  Keď nahráte koreňový certifikát (ak je to potrebné) a kliknite na ďalej, HDS Setup Tool otestuje TLS pripojenie k databázovému serveru. Nástroj tiež overuje podpisovateľa certifikátu a názov hostiteľa, ak je to potrebné. Ak test zlyhá, nástroj zobrazí chybové hlásenie popisujúce problém. Môžete si vybrať, či chcete chybu ignorovať a pokračovať v nastavovaní. (Vzhľadom na rozdiely v konektivite môžu byť uzly HDS schopné nadviazať pripojenie TLS, aj keď ho zariadenie HDS Setup Tool nedokáže úspešne otestovať.)

                                                                                                                                                  13

                                                                                                                                                  Na stránke Systémové denníky nakonfigurujte svoj server Syslogd:

                                                                                                                                                  1. Zadajte adresu URL servera syslog.

                                                                                                                                                    Ak server nie je schopný rozlíšiť DNS z uzlov pre váš klaster HDS, použite v adrese URL adresu IP.

                                                                                                                                                    Príklad:
                                                                                                                                                    udp://10.92.43.23:514 označuje prihlásenie do hostiteľa Syslogd 10.92.43.23 na porte UDP 514.
                                                                                                                                                  2. Ak ste nastavili svoj server na používanie šifrovania TLS, skontrolujte Je váš server syslog nakonfigurovaný na šifrovanie SSL?.

                                                                                                                                                    Ak začiarknete toto políčko, uistite sa, že ste zadali TCP URL, ako napr tcp://10.92.43.23:514.

                                                                                                                                                  3. Z Vyberte ukončenie záznamu syslog v rozbaľovacej ponuke vyberte vhodné nastavenie pre váš súbor ISO: Choose alebo Newline sa používa pre Graylog a Rsyslog TCP

                                                                                                                                                    • Null byte -- \x00

                                                                                                                                                    • Nový riadok -- \n—Vyberte túto voľbu pre Graylog a Rsyslog TCP.

                                                                                                                                                  4. Kliknite ďalej.

                                                                                                                                                  14

                                                                                                                                                  (Voliteľné) Môžete zmeniť predvolenú hodnotu pre niektoré parametre pripojenia k databáze v Pokročilé nastavenia. Vo všeobecnosti je tento parameter jediný, ktorý možno budete chcieť zmeniť:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Kliknite ďalej na Obnovte heslo servisných účtov obrazovke.

                                                                                                                                                  Heslá k servisným účtom majú životnosť deväť mesiacov. Túto obrazovku použite, keď sa blíži koniec platnosti vašich hesiel alebo ich chcete resetovať, aby ste zrušili platnosť predchádzajúcich súborov ISO.

                                                                                                                                                  16

                                                                                                                                                  Kliknite Stiahnite si súbor ISO. Uložte súbor na miesto, ktoré sa dá ľahko nájsť.

                                                                                                                                                  17

                                                                                                                                                  Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme.

                                                                                                                                                  Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii.

                                                                                                                                                  18

                                                                                                                                                  Ak chcete vypnúť nástroj Setup, zadajte CTRL+C.

                                                                                                                                                  Čo urobiť ďalej

                                                                                                                                                  Zálohujte konfiguračný súbor ISO. Potrebujete ho na vytvorenie ďalších uzlov na obnovu alebo na vykonanie zmien v konfigurácii. Ak stratíte všetky kópie súboru ISO, stratili ste aj hlavný kľúč. Obnovenie kľúčov z databázy PostgreSQL alebo Microsoft SQL Server nie je možné.


                                                                                                                                                   

                                                                                                                                                  Nikdy nemáme kópiu tohto kľúča a nemôžeme vám pomôcť, ak ho stratíte.

                                                                                                                                                  Nainštalujte HDS Host OVA

                                                                                                                                                  Tento postup použite na vytvorenie virtuálneho počítača zo súboru OVA.
                                                                                                                                                  1

                                                                                                                                                  Na prihlásenie do virtuálneho hostiteľa ESXi použite klienta VMware vSphere na vašom počítači.

                                                                                                                                                  2

                                                                                                                                                  Vyberte Súbor > Nasadiť šablónu OVF.

                                                                                                                                                  3

                                                                                                                                                  V sprievodcovi zadajte umiestnenie súboru OVA, ktorý ste si stiahli skôr, a potom kliknite Ďalšie .

                                                                                                                                                  4

                                                                                                                                                  Na Vyberte názov a priečinok stránku, zadajte a Názov virtuálneho počítača pre uzol (napríklad „HDS_Node_1"), vyberte umiestnenie, kde sa môže nachádzať nasadenie uzla virtuálneho počítača, a potom kliknite Ďalšie .

                                                                                                                                                  5

                                                                                                                                                  Na Vyberte výpočtový zdroj vyberte cieľový výpočtový zdroj a potom kliknite Ďalšie .

                                                                                                                                                  Prebehne overovacia kontrola. Po dokončení sa zobrazia podrobnosti šablóny.

                                                                                                                                                  6

                                                                                                                                                  Overte podrobnosti šablóny a potom kliknite Ďalšie.

                                                                                                                                                  7

                                                                                                                                                  Ak sa zobrazí výzva na výber konfigurácie prostriedkov na Konfigurácia stránku, kliknite 4 CPU a potom kliknite Ďalšie .

                                                                                                                                                  8

                                                                                                                                                  Na Vyberte úložisko stránku, kliknite Ďalšie akceptovať predvolený formát disku a politiku úložiska VM.

                                                                                                                                                  9

                                                                                                                                                  Na Vyberte siete vyberte sieťovú možnosť zo zoznamu položiek, aby ste poskytli požadované pripojenie k VM.

                                                                                                                                                  10

                                                                                                                                                  Na Prispôsobiť šablónu nakonfigurujte nasledujúce nastavenia siete:

                                                                                                                                                  • Meno hosťa— Zadajte FQDN (názov hostiteľa a doménu) alebo jednoslovný názov hostiteľa pre uzol.

                                                                                                                                                     
                                                                                                                                                    • Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509.

                                                                                                                                                    • Ak chcete zabezpečiť úspešnú registráciu do cloudu, použite iba malé písmená v FQDN alebo názve hostiteľa, ktorý ste nastavili pre uzol. Veľké písmená momentálne nie sú podporované.

                                                                                                                                                    • Celková dĺžka FQDN nesmie presiahnuť 64 znakov.

                                                                                                                                                  • IP adresa— Zadajte IP adresu interného rozhrania uzla.

                                                                                                                                                     

                                                                                                                                                    Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované.

                                                                                                                                                  • Maska— Zadajte adresu masky podsiete v desiatkovom formáte bodka. Napríklad, 255.255.255.0.
                                                                                                                                                  • Brána— Zadajte IP adresu brány. Brána je sieťový uzol, ktorý slúži ako prístupový bod do inej siete.
                                                                                                                                                  • DNS servery— Zadajte čiarkami oddelený zoznam serverov DNS, ktoré sa starajú o preklad názvov domén na číselné adresy IP. (Povolené sú až 4 záznamy DNS.)
                                                                                                                                                  • NTP servery—Zadajte server NTP vašej organizácie alebo iný externý server NTP, ktorý možno použiť vo vašej organizácii. Predvolené servery NTP nemusia fungovať pre všetky podniky. Na zadanie viacerých serverov NTP môžete použiť aj zoznam oddelený čiarkami.
                                                                                                                                                  • Nasaďte všetky uzly v rovnakej podsieti alebo VLAN, aby boli všetky uzly v klastri dosiahnuteľné z klientov vo vašej sieti na administratívne účely.

                                                                                                                                                  Ak chcete, môžete preskočiť konfiguráciu nastavenia siete a postupovať podľa krokov v Nastavte virtuálny počítač Hybrid Data Security na konfiguráciu nastavení z konzoly uzla.


                                                                                                                                                   

                                                                                                                                                  Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 6.5. Táto možnosť nemusí byť dostupná v starších verziách.

                                                                                                                                                  11

                                                                                                                                                  Kliknite pravým tlačidlom myši na uzol VM a potom vyberte Moc > Zapnutie .

                                                                                                                                                  Softvér Hybrid Data Security je nainštalovaný ako hosť na hostiteľovi VM. Teraz ste pripravení prihlásiť sa do konzoly a nakonfigurovať uzol.

                                                                                                                                                  Tipy na riešenie problémov

                                                                                                                                                  Môžete zaznamenať oneskorenie niekoľkých minút, kým sa kontajnery uzlov objavia. Počas prvého spustenia, počas ktorého sa nemôžete prihlásiť, sa na konzole zobrazí správa brány firewall mosta.

                                                                                                                                                  Nastavte virtuálny počítač Hybrid Data Security

                                                                                                                                                  Tento postup použite na prvé prihlásenie do konzoly VM uzla Hybrid Data Security a nastavenie prihlasovacích poverení. Konzolu môžete použiť aj na konfiguráciu sieťových nastavení pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.

                                                                                                                                                  1

                                                                                                                                                  V klientovi VMware vSphere vyberte svoj uzol Hybrid Data Security VM a vyberte Konzola tab.

                                                                                                                                                  VM sa spustí a zobrazí sa výzva na prihlásenie. Ak sa výzva na prihlásenie nezobrazí, stlačte Zadajte.
                                                                                                                                                  2

                                                                                                                                                  Na prihlásenie a zmenu poverení použite nasledujúce predvolené prihlasovacie meno a heslo:

                                                                                                                                                  1. Prihlásiť sa: admin

                                                                                                                                                  2. heslo: cisco

                                                                                                                                                  Keďže sa do svojho VM prihlasujete prvýkrát, musíte zmeniť heslo správcu.

                                                                                                                                                  3

                                                                                                                                                  Ak ste už nakonfigurovali nastavenia siete v Nainštalujte HDS Host OVA, preskočte zvyšok tohto postupu. V opačnom prípade vyberte v hlavnom menu položku Upraviť konfiguráciu možnosť.

                                                                                                                                                  4

                                                                                                                                                  Nastavte statickú konfiguráciu s IP adresou, maskou, bránou a informáciami DNS. Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované.

                                                                                                                                                  5

                                                                                                                                                  (Voliteľné) Zmeňte názov hostiteľa, doménu alebo server(y) NTP, ak je to potrebné, aby zodpovedali zásadám vašej siete.

                                                                                                                                                  Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509.

                                                                                                                                                  6

                                                                                                                                                  Uložte konfiguráciu siete a reštartujte VM, aby sa zmeny prejavili.

                                                                                                                                                  Nahrajte a pripojte ISO konfiguráciu HDS

                                                                                                                                                  Tento postup použite na konfiguráciu virtuálneho počítača zo súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool.

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  Pretože súbor ISO obsahuje hlavný kľúč, mal by byť zverejnený iba na základe „potreby vedieť“, aby k nemu mali prístup virtuálne počítače s hybridným zabezpečením údajov a všetci správcovia, ktorí môžu potrebovať vykonať zmeny. Uistite sa, že k úložisku údajov majú prístup iba títo správcovia.

                                                                                                                                                  1

                                                                                                                                                  Nahrajte súbor ISO z počítača:

                                                                                                                                                  1. V ľavom navigačnom paneli klienta VMware vSphere kliknite na server ESXi.

                                                                                                                                                  2. Na karte Konfigurácia v zozname Hardvér kliknite na Skladovanie.

                                                                                                                                                  3. V zozname Úložisko údajov kliknite pravým tlačidlom myši na úložisko údajov pre vaše VM a kliknite Prehľadávať Datastore.

                                                                                                                                                  4. Kliknite na ikonu Nahrať súbory a potom kliknite na Nahrajte súbor.

                                                                                                                                                  5. Prejdite do umiestnenia, z ktorého ste si stiahli súbor ISO do počítača, a kliknite OTVORENÉ.

                                                                                                                                                  6. Kliknite Áno akceptujte varovanie o operácii nahrávania/sťahovania a zatvorte dialógové okno úložiska údajov.

                                                                                                                                                  2

                                                                                                                                                  Pripojte súbor ISO:

                                                                                                                                                  1. V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na VM a kliknite Upraviť nastavenia.

                                                                                                                                                  2. Kliknite OK akceptujete varovanie s obmedzenými možnosťami úprav.

                                                                                                                                                  3. Kliknite CD/DVD Drive 1, vyberte možnosť pripojenia zo súboru ISO úložiska údajov a prejdite do umiestnenia, kam ste nahrali konfiguračný súbor ISO.

                                                                                                                                                  4. Skontrolujte Pripojené a Pripojte pri zapnutí.

                                                                                                                                                  5. Uložte zmeny a reštartujte virtuálny počítač.

                                                                                                                                                  Čo urobiť ďalej

                                                                                                                                                  Ak to vyžaduje vaša politika IT, môžete voliteľne odpojiť súbor ISO po tom, čo všetky vaše uzly prevezmú zmeny konfigurácie. Pozri (Voliteľné) Odpojte ISO po konfigurácii HDS pre podrobnosti.

                                                                                                                                                  Nakonfigurujte uzol HDS na integráciu proxy

                                                                                                                                                  Ak sieťové prostredie vyžaduje server proxy, použite tento postup na určenie typu servera proxy, s ktorým sa chcete integrovať Hybridná bezpečnosť dát. Ak si vyberiete transparentný kontrolný proxy server alebo explicitný proxy server HTTPS, môžete použiť rozhranie uzla na nahranie a inštaláciu koreňového certifikátu. Môžete tiež skontrolovať pripojenie proxy z rozhrania a vyriešiť prípadné problémy.

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  1

                                                                                                                                                  Zadajte adresu URL nastavenia uzla HDS https://[HDS Node IP or FQDN]/setup vo webovom prehliadači zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite Prihlásiť sa.

                                                                                                                                                  2

                                                                                                                                                  Ísť do Trust Store a proxya potom vyberte možnosť:

                                                                                                                                                  • Žiadny proxy– Predvolená možnosť pred integráciou servera proxy. Nevyžaduje sa žiadna aktualizácia certifikátu.
                                                                                                                                                  • Transparentný nekontrolujúci zástupca—Uzly nie sú nakonfigurované na používanie špecifickej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.
                                                                                                                                                  • Transparentný kontrolný zástupca—Uzly nie sú nakonfigurované na používanie špecifickej adresy proxy servera. Na serveri nie sú potrebné žiadne zmeny konfigurácie HTTPS Hybridná bezpečnosť dát nasadenie, uzly HDS však potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).
                                                                                                                                                  • Explicitný proxy—Pri explicitnom serveri proxy poviete klientovi (uzly HDS), ktorý server proxy má použiť, a táto možnosť podporuje niekoľko typov autentifikácie. Po výbere tejto možnosti musíte zadať nasledujúce informácie:
                                                                                                                                                    1. Proxy IP/FQDN– Adresa, ktorú možno použiť na spojenie so zariadením proxy.

                                                                                                                                                    2. Port proxy—Číslo portu, ktoré server proxy používa na počúvanie prevádzky cez proxy.

                                                                                                                                                    3. Proxy protokol— Vyberte si http (prezerá a kontroluje všetky požiadavky, ktoré sú prijaté od klienta) resp https (poskytuje kanál pre server a klient prijíma a overuje certifikát servera). Vyberte možnosť podľa toho, čo váš proxy server podporuje.

                                                                                                                                                    4. autentický typ— Vyberte si z nasledujúcich typov autentifikácie:

                                                                                                                                                      • žiadne— Nevyžaduje sa žiadna ďalšia autentifikácia.

                                                                                                                                                        Dostupné pre servery proxy HTTP alebo HTTPS.

                                                                                                                                                      • Základné— Používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.

                                                                                                                                                        Dostupné pre servery proxy HTTP alebo HTTPS.

                                                                                                                                                        Ak zvolíte túto možnosť, musíte zadať aj meno používateľa a heslo.

                                                                                                                                                      • Digest– Používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.

                                                                                                                                                        Dostupné iba pre servery proxy HTTPS.

                                                                                                                                                        Ak zvolíte túto možnosť, musíte zadať aj meno používateľa a heslo.

                                                                                                                                                  Postupujte podľa nasledujúcich krokov pre transparentný kontrolný proxy server, explicitný proxy server HTTP so základným overením alebo explicitný proxy HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Kliknite Nahrajte koreňový certifikát alebo certifikát koncovej entitya potom prejdite na výber koreňového certifikátu pre server proxy.

                                                                                                                                                  Certifikát je nahraný, ale ešte nie je nainštalovaný, pretože na inštaláciu certifikátu musíte reštartovať uzol. Kliknutím na šípku v tvare šípky vedľa názvu vydavateľa certifikátu získate ďalšie podrobnosti alebo kliknite Odstrániť ak ste urobili chybu a chcete súbor znova nahrať.

                                                                                                                                                  4

                                                                                                                                                  Kliknite Skontrolujte pripojenie proxy na testovanie sieťového pripojenia medzi uzlom a proxy.

                                                                                                                                                  Ak test pripojenia zlyhá, zobrazí sa chybové hlásenie, ktoré uvádza dôvod a spôsob, ako môžete problém vyriešiť.

                                                                                                                                                  Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS. Tento stav sa očakáva v mnohých explicitných konfiguráciách proxy. Môžete pokračovať v nastavovaní a uzol bude fungovať v režime zablokovaného externého rozlíšenia DNS. Ak si myslíte, že ide o chybu, vykonajte tieto kroky a potom uvidíte Vypnite režim zablokovaného externého rozlíšenia DNS.

                                                                                                                                                  5

                                                                                                                                                  Po úspešnom teste pripojenia zapnite prepínač v prípade explicitného servera proxy nastaveného iba na https Smerujte všetky požiadavky https z tohto uzla na port 443/444 cez explicitný proxy server. Toto nastavenie sa prejaví po 15 sekundách.

                                                                                                                                                  6

                                                                                                                                                  Kliknite Nainštalujte všetky certifikáty do dôveryhodného úložiska (zobrazí sa pri explicitnom HTTPS proxy alebo transparentnom kontrolnom proxy serveri) alebo Reštartovať (zobrazí sa pri explicitnom serveri proxy HTTP), prečítajte si výzvu a potom kliknite Inštalácia ak si pripravený.

                                                                                                                                                  Uzol sa reštartuje v priebehu niekoľkých minút.

                                                                                                                                                  7

                                                                                                                                                  Po reštartovaní uzla sa v prípade potreby znova prihláste a potom otvorte Prehľad stránku a skontrolujte kontroly pripojenia, aby ste sa uistili, že sú všetky v zelenom stave.

                                                                                                                                                  Kontrola pripojenia proxy testuje iba subdoménu webex.com. Ak sa vyskytnú problémy s pripojením, bežným problémom je, že niektoré z cloudových domén uvedených v pokynoch na inštaláciu sú na serveri proxy blokované.

                                                                                                                                                  Zaregistrujte prvý uzol v klastri

                                                                                                                                                  Táto úloha preberá všeobecný uzol, ktorý ste vytvorili v Nastavte virtuálny počítač Hybrid Data Security, zaregistruje uzol do cloudu Webex a zmení ho na uzol Hybrid Data Security.

                                                                                                                                                  Keď zaregistrujete svoj prvý uzol, vytvoríte klaster, ku ktorému je uzol priradený. Klaster obsahuje jeden alebo viac uzlov nasadených na zabezpečenie redundancie.

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  • Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.

                                                                                                                                                  • Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  V ponuke na ľavej strane obrazovky vyberte položku Služby.

                                                                                                                                                  3

                                                                                                                                                  V sekcii Hybridné služby nájdite Hybridné zabezpečenie dát a kliknite Nastaviť.

                                                                                                                                                  Zobrazí sa stránka Register Hybrid Data Security Node.
                                                                                                                                                  4

                                                                                                                                                  Vyberte Áno na označenie, že ste uzol nastavili a ste pripravení ho zaregistrovať, a potom kliknite Ďalšie.

                                                                                                                                                  5

                                                                                                                                                  Do prvého poľa zadajte názov klastra, ku ktorému chcete priradiť váš uzol Hybrid Data Security.

                                                                                                                                                  Odporúčame pomenovať klaster podľa toho, kde sa geograficky nachádzajú uzly klastra. Príklady: „San Francisco“ alebo „New York“ alebo „Dallas“

                                                                                                                                                  6

                                                                                                                                                  Do druhého poľa zadajte internú IP adresu alebo úplný názov domény (FQDN) vášho uzla a kliknite Ďalšie.

                                                                                                                                                  Táto adresa IP alebo FQDN by sa mala zhodovať s adresou IP alebo názvom hostiteľa a doménou, ktorú ste použili Nastavte virtuálny počítač Hybrid Data Security.

                                                                                                                                                  Zobrazí sa správa, že môžete zaregistrovať svoj uzol do Webexu.
                                                                                                                                                  7

                                                                                                                                                  Kliknite Prejdite na Node.

                                                                                                                                                  8

                                                                                                                                                  Kliknite ďalej vo varovnej správe.

                                                                                                                                                  Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že svojej organizácii Webex chcete udeliť povolenia na prístup k vášmu uzlu.
                                                                                                                                                  9

                                                                                                                                                  Skontrolovať Povoľte prístup k svojmu uzlu zabezpečenia hybridných údajov začiarknite políčko a potom kliknite na ďalej.

                                                                                                                                                  Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
                                                                                                                                                  10

                                                                                                                                                  Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Hybrid Data Security Control Hub.

                                                                                                                                                  Na Hybridná bezpečnosť dát sa zobrazí nový klaster obsahujúci uzol, ktorý ste zaregistrovali. Uzol si automaticky stiahne najnovší softvér z cloudu.

                                                                                                                                                  Vytvorte a zaregistrujte viac uzlov

                                                                                                                                                  Ak chcete do svojho klastra pridať ďalšie uzly, jednoducho vytvoríte ďalšie virtuálne počítače a pripojíte rovnaký konfiguračný súbor ISO a potom uzol zaregistrujete. Odporúčame, aby ste mali aspoň 3 uzly.

                                                                                                                                                   

                                                                                                                                                  V súčasnosti sú záložné virtuálne počítače, ktoré ste vytvorili Vyplňte Predpoklady pre hybridnú bezpečnosť údajov sú pohotovostní hostitelia, ktorí sa používajú iba v prípade obnovy po havárii; dovtedy nie sú registrovaní v systéme. Podrobnosti nájdete v časti Obnova po havárii pomocou pohotovostného dátového centra.

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  • Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.

                                                                                                                                                  • Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Vytvorte nový virtuálny počítač z OVA zopakovaním krokov Nainštalujte HDS Host OVA.

                                                                                                                                                  2

                                                                                                                                                  Nastavte počiatočnú konfiguráciu na novom VM zopakovaním krokov v Nastavte virtuálny počítač Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Na novom virtuálnom počítači zopakujte kroky v Nahrajte a pripojte ISO konfiguráciu HDS.

                                                                                                                                                  4

                                                                                                                                                  Ak nastavujete server proxy pre svoje nasadenie, zopakujte kroky v Nakonfigurujte uzol HDS na integráciu proxy podľa potreby pre nový uzol.

                                                                                                                                                  5

                                                                                                                                                  Zaregistrujte uzol.

                                                                                                                                                  1. In https://admin.webex.com, vyberte Služby z ponuky na ľavej strane obrazovky.

                                                                                                                                                  2. V časti Hybridné služby nájdite kartu Hybrid Data Security a kliknite na ňu Zdroje.

                                                                                                                                                    Zobrazí sa stránka Hybrid Data Security Resources.
                                                                                                                                                  3. Kliknite Pridať zdroj.

                                                                                                                                                  4. V prvom poli vyberte názov vášho existujúceho klastra.

                                                                                                                                                  5. Do druhého poľa zadajte internú IP adresu alebo úplný názov domény (FQDN) vášho uzla a kliknite Ďalšie.

                                                                                                                                                    Zobrazí sa správa oznamujúca, že svoj uzol môžete zaregistrovať do cloudu Webex.
                                                                                                                                                  6. Kliknite Prejdite na Node.

                                                                                                                                                    Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že chcete svojej organizácii udeliť povolenia na prístup k vášmu uzlu.
                                                                                                                                                  7. Skontrolovať Povoľte prístup k svojmu uzlu zabezpečenia hybridných údajov začiarknite políčko a potom kliknite na ďalej.

                                                                                                                                                    Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
                                                                                                                                                  8. Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Hybrid Data Security Control Hub.

                                                                                                                                                  Váš uzol je zaregistrovaný. Upozorňujeme, že kým nezačnete skúšobnú verziu, vaše uzly generujú alarm, ktorý oznamuje, že vaša služba ešte nie je aktivovaná.

                                                                                                                                                  Čo urobiť ďalej

                                                                                                                                                  Spustite skúšobnú verziu a prejdite do výroby (ďalšia kapitola)
                                                                                                                                                  Spustite skúšobnú verziu a prejdite do výroby

                                                                                                                                                  Skúšobný postup produkčných úloh

                                                                                                                                                  Po nastavení klastra Hybrid Data Security môžete spustiť pilotný test, pridať doň používateľov a začať ho používať na testovanie a overovanie vášho nasadenia v rámci prípravy na prechod do produkcie.

                                                                                                                                                  1

                                                                                                                                                  V prípade potreby synchronizujte HdsTrialGroup skupinový objekt.

                                                                                                                                                  Ak vaša organizácia používa synchronizáciu adresárov pre používateľov, musíte vybrať HdsTrialGroup skupinový objekt na synchronizáciu do cloudu pred spustením skúšobnej verzie. Pokyny nájdete na Sprievodca nasadením pre Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Aktivovať skúšobnú verziu

                                                                                                                                                  Začnite skúšobnú verziu. Kým nevykonáte túto úlohu, vaše uzly generujú alarm, ktorý oznamuje, že služba ešte nie je aktivovaná.

                                                                                                                                                  3

                                                                                                                                                  Otestujte svoje nasadenie hybridného zabezpečenia dát

                                                                                                                                                  Skontrolujte, či kľúčové požiadavky prechádzajú do vášho nasadenia Hybrid Data Security.

                                                                                                                                                  4

                                                                                                                                                  Monitorujte zdravie Hybrid Data Security Health

                                                                                                                                                  Skontrolujte stav a nastavte e-mailové upozornenia na budíky.

                                                                                                                                                  5

                                                                                                                                                  Pridajte alebo odstráňte používateľov z vašej skúšobnej verzie

                                                                                                                                                  6

                                                                                                                                                  Dokončite skúšobnú fázu jedným z nasledujúcich krokov:

                                                                                                                                                  Aktivovať skúšobnú verziu

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  Ak vaša organizácia používa synchronizáciu adresárov pre používateľov, musíte vybrať HdsTrialGroup skupinový objekt na synchronizáciu do cloudu predtým, ako začnete skúšobnú verziu pre vašu organizáciu. Pokyny nájdete na Sprievodca nasadením pre Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do https://admin.webex.coma potom vyberte Služby.

                                                                                                                                                  2

                                                                                                                                                  V časti Hybrid Data Security kliknite na nastavenie.

                                                                                                                                                  3

                                                                                                                                                  V časti Stav služby kliknite na Spustiť skúšku.

                                                                                                                                                  Stav služby sa zmení na skúšobný režim.
                                                                                                                                                  4

                                                                                                                                                  Kliknite Pridať používateľov a zadajte e-mailovú adresu jedného alebo viacerých používateľov na pilotné používanie vašich uzlov Hybrid Data Security na šifrovacie a indexovacie služby.

                                                                                                                                                  (Ak vaša organizácia používa synchronizáciu adresárov, na správu skúšobnej skupiny použite službu Active Directory, HdsTrialGroup.)

                                                                                                                                                  Otestujte svoje nasadenie hybridného zabezpečenia dát

                                                                                                                                                  Tento postup použite na testovanie scenárov šifrovania Hybrid Data Security.

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  • Nastavte nasadenie Hybrid Data Security.

                                                                                                                                                  • Aktivujte skúšobnú verziu a pridajte niekoľko používateľov skúšobnej verzie.

                                                                                                                                                  • Uistite sa, že máte prístup k syslog, aby ste si overili, že kľúčové požiadavky prechádzajú do vášho nasadenia Hybrid Data Security.

                                                                                                                                                  1

                                                                                                                                                  Kľúče pre daný priestor nastavuje tvorca priestoru. Prihláste sa do aplikácie Webex ako jeden z pilotných používateľov a potom vytvorte priestor a pozvite aspoň jedného pilotného používateľa a jedného nepilotného používateľa.


                                                                                                                                                   

                                                                                                                                                  Ak deaktivujete nasadenie Hybrid Data Security, obsah v priestoroch, ktoré vytvoria pilotní používatelia, už nebude prístupný po výmene kópií šifrovacích kľúčov uložených vo vyrovnávacej pamäti klienta.

                                                                                                                                                  2

                                                                                                                                                  Posielajte správy do nového priestoru.

                                                                                                                                                  3

                                                                                                                                                  Skontrolujte výstup syslog, aby ste si overili, že požiadavky na kľúče prechádzajú do vášho nasadenia Hybrid Data Security.

                                                                                                                                                  1. Ak chcete skontrolovať, či používateľ najprv vytvoril zabezpečený kanál pre KMS, filtrujte kms.data.method=create a kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Mali by ste nájsť záznam, ako je tento (identifikátory skrátené kvôli čitateľnosti):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Ak chcete skontrolovať používateľa, ktorý požaduje existujúci kľúč z KMS, filtrujte kms.data.method=retrieve a kms.data.type=KEY:

                                                                                                                                                    Mali by ste nájsť záznam ako:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Ak chcete skontrolovať používateľa požadujúceho vytvorenie nového kľúča KMS, filtrujte kms.data.method=create a kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Mali by ste nájsť záznam ako:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Ak chcete pri vytváraní priestoru alebo iného chráneného zdroja skontrolovať používateľa požadujúceho vytvorenie nového objektu KMS (KRO), filtrujte na kms.data.method=create a kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Mali by ste nájsť záznam ako:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Monitorujte zdravie Hybrid Data Security Health

                                                                                                                                                  Indikátor stavu v Control Hub vám ukáže, či je s nasadením Hybrid Data Security všetko v poriadku. Ak chcete dostávať proaktívnejšie upozornenia, prihláste sa na odber e-mailových upozornení. Budete upozornení, keď sa vyskytnú alarmy alebo aktualizácie softvéru ovplyvňujúce službu.
                                                                                                                                                  1

                                                                                                                                                  In Control Hub, vyberte Služby z ponuky na ľavej strane obrazovky.

                                                                                                                                                  2

                                                                                                                                                  V sekcii Hybridné služby nájdite Hybridné zabezpečenie dát a kliknite nastavenie.

                                                                                                                                                  Zobrazí sa stránka Hybrid Data Security Settings.
                                                                                                                                                  3

                                                                                                                                                  V časti E-mailové upozornenia zadajte jednu alebo viac e-mailových adries oddelených čiarkami a stlačte Zadajte.

                                                                                                                                                  Pridajte alebo odstráňte používateľov z vašej skúšobnej verzie

                                                                                                                                                  Po aktivácii skúšobnej verzie a pridaní počiatočnej skupiny používateľov skúšobnej verzie môžete členov skúšobnej verzie kedykoľvek pridať alebo odstrániť, kým je skúšobná verzia aktívna.

                                                                                                                                                  Ak odstránite používateľa zo skúšobnej verzie, klient tohto používateľa bude namiesto vášho KMS požadovať kľúče a vytvorenie kľúča z cloudového KMS. Ak klient potrebuje kľúč, ktorý je uložený vo vašom KMS, cloudový KMS ho načíta v mene používateľa.

                                                                                                                                                  Ak vaša organizácia používa synchronizáciu adresárov, použite Active Directory (namiesto tohto postupu) na správu skúšobnej skupiny, HdsTrialGroup; členov skupiny môžete zobraziť v Control Hub, ale nemôžete ich pridávať ani odstraňovať.

                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do Control Hub a potom vyberte Služby.

                                                                                                                                                  2

                                                                                                                                                  V časti Hybrid Data Security kliknite na nastavenie.

                                                                                                                                                  3

                                                                                                                                                  V časti Skúšobný režim v oblasti Stav služby kliknite na Pridať používateľov, alebo kliknite zobraziť a upraviť na odstránenie používateľov zo skúšobnej verzie.

                                                                                                                                                  4

                                                                                                                                                  Zadajte e-mailovú adresu jedného alebo viacerých používateľov, ktorých chcete pridať, alebo kliknite na X pomocou ID používateľa na odstránenie používateľa zo skúšobnej verzie. Potom kliknite Uložiť.

                                                                                                                                                  Presuňte sa zo skúšobnej do produkčnej verzie

                                                                                                                                                  Keď ste spokojní, že vaše nasadenie funguje dobre pre skúšobných používateľov, môžete prejsť do produkcie. Keď prejdete do produkcie, všetci používatelia v organizácii budú používať vašu lokálnu doménu Hybrid Data Security na šifrovacie kľúče a ďalšie služby v oblasti zabezpečenia. Z produkcie sa nemôžete vrátiť späť do skúšobného režimu, pokiaľ službu nedeaktivujete ako súčasť obnovy po havárii. Opätovná aktivácia služby vyžaduje nastavenie novej skúšobnej verzie.
                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do Control Hub a potom vyberte Služby.

                                                                                                                                                  2

                                                                                                                                                  V časti Hybrid Data Security kliknite na nastavenie.

                                                                                                                                                  3

                                                                                                                                                  V časti Stav služby kliknite na Presunúť do výroby.

                                                                                                                                                  4

                                                                                                                                                  Potvrďte, že chcete presunúť všetkých svojich používateľov do produkcie.

                                                                                                                                                  Ukončite skúšobnú verziu bez presunu do výroby

                                                                                                                                                  Ak sa počas skúšobného obdobia rozhodnete nepokračovať v nasadení Hybrid Data Security, môžete deaktivovať Hybrid Data Security, čím sa skúšobná verzia ukončí a skúšobní používatelia sa presunú späť ku cloudovým službám zabezpečenia údajov. Používatelia skúšobnej verzie stratia prístup k údajom, ktoré boli počas skúšobnej verzie zašifrované.
                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do Control Hub a potom vyberte Služby.

                                                                                                                                                  2

                                                                                                                                                  V časti Hybrid Data Security kliknite na nastavenie.

                                                                                                                                                  3

                                                                                                                                                  V časti Deaktivovať kliknite na Deaktivovať.

                                                                                                                                                  4

                                                                                                                                                  Potvrďte, že chcete službu deaktivovať a ukončiť skúšobnú verziu.

                                                                                                                                                  Spravujte svoje nasadenie HDS

                                                                                                                                                  Spravujte nasadenie HDS

                                                                                                                                                  Pomocou tu popísaných úloh spravujte svoje nasadenie Hybrid Data Security.

                                                                                                                                                  Nastavte plán aktualizácie klastra

                                                                                                                                                  Aktualizácie softvéru pre Hybrid Data Security sa vykonávajú automaticky na úrovni klastra, čo zaisťuje, že všetky uzly vždy bežia s rovnakou verziou softvéru. Inovácie sa vykonávajú podľa plánu aktualizácie pre klaster. Keď bude k dispozícii aktualizácia softvéru, máte možnosť manuálne aktualizovať klaster pred plánovaným časom aktualizácie. Môžete nastaviť konkrétny plán inovácie alebo použiť predvolený plán na 3:00 denne v USA: Amerika/Los Angeles. V prípade potreby môžete tiež odložiť nadchádzajúcu inováciu.

                                                                                                                                                  Ak chcete nastaviť plán aktualizácie:

                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Na stránke Prehľad v časti Hybridné služby vyberte Hybridná bezpečnosť dát.

                                                                                                                                                  3

                                                                                                                                                  Na stránke Hybrid Data Security Resources vyberte klaster.

                                                                                                                                                  4

                                                                                                                                                  Na paneli Prehľad vpravo v časti Nastavenia klastra vyberte názov klastra.

                                                                                                                                                  5

                                                                                                                                                  Na stránke Nastavenia v časti Aktualizácia vyberte čas a časové pásmo pre plán inovácie.

                                                                                                                                                  Poznámka: Pod časovým pásmom sa zobrazí dátum a čas ďalšej dostupnej aktualizácie. Kliknutím na tlačidlo môžete v prípade potreby odložiť aktualizáciu na nasledujúci deň Odložiť.

                                                                                                                                                  Zmeňte konfiguráciu uzla

                                                                                                                                                  Príležitostne možno budete musieť zmeniť konfiguráciu uzla Hybrid Data Security z nasledujúcich dôvodov:
                                                                                                                                                  • Zmena x.509 certifikátov z dôvodu uplynutia platnosti alebo iných dôvodov.


                                                                                                                                                     

                                                                                                                                                    Nepodporujeme zmenu názvu domény CN certifikátu. Doména sa musí zhodovať s pôvodnou doménou použitou na registráciu klastra.

                                                                                                                                                  • Aktualizácia nastavení databázy pre zmenu na repliku databázy PostgreSQL alebo Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Nepodporujeme migráciu údajov z PostgreSQL na Microsoft SQL Server alebo opačným spôsobom. Ak chcete zmeniť prostredie databázy, spustite nové nasadenie Hybrid Data Security.

                                                                                                                                                  • Vytvorenie novej konfigurácie na prípravu nového dátového centra.

                                                                                                                                                  Z bezpečnostných dôvodov používa Hybrid Data Security heslá servisných účtov, ktoré majú životnosť deväť mesiacov. Keď nástroj HDS Setup vygeneruje tieto heslá, nasadíte ich do každého z vašich uzlov HDS v konfiguračnom súbore ISO. Keď sa blíži koniec platnosti hesiel vašej organizácie, dostanete od tímu Webex upozornenie na resetovanie hesla pre váš počítačový účet. (E-mail obsahuje text „Na aktualizáciu hesla použite rozhranie API strojového účtu.“) Ak platnosť vašich hesiel ešte nevypršala, nástroj vám ponúka dve možnosti:

                                                                                                                                                  • Mäkký reset—Staré aj nové heslo fungujú až 10 dní. Toto obdobie použite na postupnú výmenu súboru ISO na uzloch.

                                                                                                                                                  • Tvrdý reštart—Staré heslá okamžite prestanú fungovať.

                                                                                                                                                  Ak platnosť vašich hesiel vyprší bez resetovania, ovplyvní to vašu službu HDS, čo si vyžaduje okamžitý tvrdý reset a nahradenie súboru ISO na všetkých uzloch.

                                                                                                                                                  Tento postup použite na vygenerovanie nového konfiguračného súboru ISO a jeho použitie vo vašom klastri.

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  • Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Control Hub s úplnými administrátorskými právami pre vašu organizáciu.

                                                                                                                                                    Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker zadajte nastavenia proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker 1.e. Táto tabuľka uvádza niektoré možné premenné prostredia:

                                                                                                                                                    Opis

                                                                                                                                                    Variabilné

                                                                                                                                                    HTTP Proxy bez autentifikácie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy bez autentifikácie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy s autentifikáciou

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy s autentifikáciou

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Na vygenerovanie novej konfigurácie potrebujete kópiu aktuálneho konfiguračného súboru ISO. ISO obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. ISO potrebujete, keď robíte zmeny v konfigurácii vrátane poverení databázy, aktualizácií certifikátov alebo zmien v politike autorizácie.

                                                                                                                                                  1

                                                                                                                                                  Pomocou Docker na lokálnom počítači spustite nástroj HDS Setup Tool.

                                                                                                                                                  1. Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

                                                                                                                                                    V bežných prostrediach:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    V prostrediach FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

                                                                                                                                                  2. Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Pri výzve na zadanie hesla zadajte tento hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Stiahnite si najnovší stabilný obraz pre vaše prostredie:

                                                                                                                                                    V bežných prostrediach:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    V prostrediach FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Uistite sa, že ste na tento postup použili najnovší nástroj Setup. Verzie nástroja vytvorené pred 22. februárom 2018 neobsahujú obrazovky na obnovenie hesla.

                                                                                                                                                  5. Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

                                                                                                                                                    • V bežných prostrediach bez servera proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • V bežných prostrediach s HTTP proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • V bežných prostrediach s HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • V prostrediach FedRAMP bez proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • V prostrediach FedRAMP s HTTP proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • V prostrediach FedRAMP s HTTPS proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“.

                                                                                                                                                  6. Použite prehliadač na pripojenie k localhost, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Inštalačný nástroj nepodporuje pripojenie k localhost prostredníctvom http://localhost:8080. Použite http://127.0.0.1:8080 na pripojenie k localhost.

                                                                                                                                                  7. Po zobrazení výzvy zadajte svoje prihlasovacie údaje zákazníka Control Hub a potom kliknite súhlasiť pokračovať.

                                                                                                                                                  8. Importujte aktuálny konfiguračný súbor ISO.

                                                                                                                                                  9. Postupujte podľa pokynov na dokončenie nástroja a stiahnite si aktualizovaný súbor.

                                                                                                                                                    Ak chcete vypnúť nástroj Setup, zadajte CTRL+C.

                                                                                                                                                  10. Vytvorte záložnú kópiu aktualizovaného súboru v inom údajovom centre.

                                                                                                                                                  2

                                                                                                                                                  Ak máte spustený iba jeden uzol HDS, vytvorte nový VM uzla Hybrid Data Security a zaregistrujte ho pomocou nového konfiguračného súboru ISO. Podrobnejšie pokyny nájdete v časti Vytvorte a zaregistrujte viac uzlov.

                                                                                                                                                  1. Nainštalujte hostiteľský OVA HDS.

                                                                                                                                                  2. Nastavte HDS VM.

                                                                                                                                                  3. Pripojte aktualizovaný konfiguračný súbor.

                                                                                                                                                  4. Zaregistrujte nový uzol v Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Pre existujúce uzly HDS, na ktorých je spustený starší konfiguračný súbor, pripojte súbor ISO. Postupne vykonajte nasledujúci postup na každom uzle, pričom aktualizujte každý uzol pred vypnutím ďalšieho uzla:

                                                                                                                                                  1. Vypnite virtuálny stroj.

                                                                                                                                                  2. V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na VM a kliknite Upraviť nastavenia.

                                                                                                                                                  3. Kliknite CD/DVD Drive 1, vyberte možnosť pripojenia zo súboru ISO a prejdite do umiestnenia, kam ste stiahli nový konfiguračný súbor ISO.

                                                                                                                                                  4. Skontrolujte Pripojte pri zapnutí.

                                                                                                                                                  5. Uložte zmeny a zapnite virtuálny počítač.

                                                                                                                                                  4

                                                                                                                                                  Opakujte krok 3, aby ste nahradili konfiguráciu na každom zostávajúcom uzle, na ktorom je spustená stará konfigurácia.

                                                                                                                                                  Vypnite režim zablokovaného externého rozlíšenia DNS

                                                                                                                                                  Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. Ak server DNS uzla nedokáže rozlíšiť verejné názvy DNS, uzol automaticky prejde do režimu zablokovaného externého rozlíšenia DNS.

                                                                                                                                                  Ak vaše uzly dokážu rozlíšiť verejné názvy DNS prostredníctvom interných serverov DNS, môžete tento režim vypnúť opätovným spustením testu pripojenia proxy na každom uzle.

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  Uistite sa, že vaše interné servery DNS dokážu rozlíšiť verejné názvy DNS a že vaše uzly s nimi môžu komunikovať.
                                                                                                                                                  1

                                                                                                                                                  Vo webovom prehliadači otvorte rozhranie uzla Hybrid Data Security (IP adresa/nastavenie, napr. https://192.0.2.0/setup), zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite Prihlásiť sa.

                                                                                                                                                  2

                                                                                                                                                  Ísť do Prehľad (predvolená stránka).

                                                                                                                                                  Keď je povolené, Zablokované externé rozlíšenie DNS je nastavený na Áno.

                                                                                                                                                  3

                                                                                                                                                  Choďte na Trust Store a proxy stránku.

                                                                                                                                                  4

                                                                                                                                                  Kliknite Skontrolujte pripojenie proxy.

                                                                                                                                                  Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS a zostane v tomto režime. V opačnom prípade po reštartovaní uzla a návrate do Prehľad na stránke Blocked External DNS Resolution by mala byť nastavená na no.

                                                                                                                                                  Čo urobiť ďalej

                                                                                                                                                  Zopakujte test pripojenia proxy na každom uzle v klastri Hybrid Data Security.

                                                                                                                                                  Odstráňte uzol

                                                                                                                                                  Tento postup použite na odstránenie uzla Hybrid Data Security z cloudu Webex. Po odstránení uzla z klastra odstráňte virtuálny počítač, aby ste zabránili ďalšiemu prístupu k vašim bezpečnostným údajom.
                                                                                                                                                  1

                                                                                                                                                  Pomocou klienta VMware vSphere vo svojom počítači sa prihláste do virtuálneho hostiteľa ESXi a vypnite virtuálny počítač.

                                                                                                                                                  2

                                                                                                                                                  Odstráňte uzol:

                                                                                                                                                  1. Prihláste sa do Control Hub a potom vyberte Služby.

                                                                                                                                                  2. Na karte Hybrid Data Security kliknite na Zobraziť všetko zobrazíte stránku Hybrid Data Security Resources.

                                                                                                                                                  3. Vyberte svoj klaster, aby sa zobrazil jeho panel Prehľad.

                                                                                                                                                  4. Kliknite Otvorte zoznam uzlov.

                                                                                                                                                  5. Na karte Uzly vyberte uzol, ktorý chcete odstrániť.

                                                                                                                                                  6. Kliknite Akcie > Zrušte registráciu uzla.

                                                                                                                                                  3

                                                                                                                                                  V klientovi vSphere odstráňte VM. (Na ľavom navigačnom paneli kliknite pravým tlačidlom myši na VM a kliknite na Odstrániť.)

                                                                                                                                                  Ak nevymažete VM, nezabudnite odpojiť konfiguračný súbor ISO. Bez súboru ISO nemôžete použiť VM na prístup k bezpečnostným údajom.

                                                                                                                                                  Obnova po havárii pomocou pohotovostného dátového centra

                                                                                                                                                  Najdôležitejšou službou, ktorú váš klaster Hybrid Data Security poskytuje, je vytváranie a ukladanie kľúčov používaných na šifrovanie správ a iného obsahu uloženého v cloude Webex. Pre každého používateľa v rámci organizácie, ktorý je priradený k Hybrid Data Security, sú do klastra smerované nové požiadavky na vytvorenie kľúča. Klaster je tiež zodpovedný za vrátenie kľúčov, ktoré vytvoril, všetkým používateľom oprávneným na ich získanie, napríklad členom konverzačného priestoru.

                                                                                                                                                  Pretože klaster vykonáva kritickú funkciu poskytovania týchto kľúčov, je nevyhnutné, aby klaster zostal spustený a aby boli udržiavané správne zálohy. Strata databázy Hybrid Data Security alebo konfigurácie ISO použitej pre schému bude mať za následok NENÁVRATNÚ STRATU zákazníckeho obsahu. Aby sa predišlo takejto strate, sú povinné nasledujúce postupy:

                                                                                                                                                  Ak havária spôsobí, že nasadenie HDS v primárnom dátovom centre sa stane nedostupným, podľa tohto postupu manuálne prepnite na pohotovostné dátové centrum.

                                                                                                                                                  1

                                                                                                                                                  Spustite nástroj HDS Setup a postupujte podľa krokov uvedených v Vytvorte ISO konfigurácie pre hostiteľov HDS.

                                                                                                                                                  2

                                                                                                                                                  Po nakonfigurovaní servera Syslogd kliknite na Pokročilé nastavenia

                                                                                                                                                  3

                                                                                                                                                  Na Pokročilé nastavenia pridajte konfiguráciu nižšie alebo odstráňte passiveMode konfiguráciu, aby bol uzol aktívny. Keď je toto nakonfigurované, uzol môže spracovať prevádzku.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť.

                                                                                                                                                  5

                                                                                                                                                  Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii.

                                                                                                                                                  6

                                                                                                                                                  V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na VM a kliknite Upraviť nastavenia..

                                                                                                                                                  7

                                                                                                                                                  Kliknite Upraviť nastavenia >CD/DVD mechanika 1 a vyberte Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Uisti sa Pripojené a Pripojte pri zapnutí sú skontrolované, aby sa aktualizované zmeny konfigurácie prejavili po spustení uzlov.

                                                                                                                                                  8

                                                                                                                                                  Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy.

                                                                                                                                                  9

                                                                                                                                                  Opakujte proces pre každý uzol v pohotovostnom dátovom centre.


                                                                                                                                                   

                                                                                                                                                  Skontrolujte výstup syslog a overte, či uzly pohotovostného dátového centra nie sú v pasívnom režime. V syslogoch by sa nemalo objaviť „KMS nakonfigurované v pasívnom režime“.

                                                                                                                                                  Čo urobiť ďalej

                                                                                                                                                  Ak sa po prepnutí pri zlyhaní opäť aktivuje primárne dátové centrum, uveďte pohotovostné dátové centrum opäť do pasívneho režimu podľa krokov popísaných v časti Nastavte pohotovostné dátové centrum pre obnovu po havárii.

                                                                                                                                                  (Voliteľné) Odpojte ISO po konfigurácii HDS

                                                                                                                                                  Štandardná konfigurácia HDS beží s namontovaným ISO. Niektorí zákazníci však uprednostňujú neponechať súbory ISO nepretržite pripojené. Súbor ISO môžete odpojiť potom, čo všetky uzly HDS prevezmú novú konfiguráciu.

                                                                                                                                                  Na vykonanie zmien v konfigurácii stále používate súbory ISO. Keď vytvoríte nový ISO alebo aktualizujete ISO pomocou nástroja Setup Tool, musíte aktualizovaný ISO pripojiť na všetky vaše uzly HDS. Keď všetky vaše uzly zachytia zmeny konfigurácie, môžete ISO znova odpojiť pomocou tohto postupu.

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  Inovujte všetky svoje uzly HDS na verziu 2021.01.22.4720 alebo novšiu.

                                                                                                                                                  1

                                                                                                                                                  Vypnite jeden z uzlov HDS.

                                                                                                                                                  2

                                                                                                                                                  V serverovom zariadení vCenter vyberte uzol HDS.

                                                                                                                                                  3

                                                                                                                                                  Vyberte si Upraviť nastavenia > CD/DVD mechanika a zrušte začiarknutie Súbor ISO úložiska údajov.

                                                                                                                                                  4

                                                                                                                                                  Zapnite uzol HDS a uistite sa, že aspoň 20 minút nie sú žiadne alarmy.

                                                                                                                                                  5

                                                                                                                                                  Postup opakujte pre každý uzol HDS.

                                                                                                                                                  Riešenie problémov so zabezpečením hybridných údajov

                                                                                                                                                  Zobraziť upozornenia a riešenie problémov

                                                                                                                                                  Nasadenie Hybrid Data Security sa považuje za nedostupné, ak sú všetky uzly v klastri nedostupné alebo klaster pracuje tak pomaly, že si vyžaduje časový limit. Ak používatelia nemôžu dosiahnuť váš klaster Hybrid Data Security, zaznamenajú nasledujúce príznaky:

                                                                                                                                                  • Nie je možné vytvoriť nové medzery (nemožno vytvoriť nové kľúče)

                                                                                                                                                  • Správy a názvy priestorov sa nepodarilo dešifrovať pre:

                                                                                                                                                    • Noví používatelia pridaní do priestoru (nemožno načítať kľúče)

                                                                                                                                                    • Existujúci používatelia v priestore používajúci nového klienta (nemožno načítať kľúče)

                                                                                                                                                  • Existujúci používatelia v priestore budú naďalej úspešne fungovať, pokiaľ budú mať ich klienti vyrovnávaciu pamäť šifrovacích kľúčov

                                                                                                                                                  Je dôležité, aby ste správne monitorovali svoj klaster Hybrid Data Security a okamžite riešili všetky výstrahy, aby ste predišli prerušeniu služby.

                                                                                                                                                  Upozornenia

                                                                                                                                                  Ak sa vyskytne problém s nastavením Hybrid Data Security, Control Hub zobrazí upozornenia správcovi organizácie a odošle e-maily na nakonfigurovanú e-mailovú adresu. Výstrahy pokrývajú mnoho bežných scenárov.

                                                                                                                                                  Tabuľka č. 1 Bežné problémy a kroky na ich vyriešenie

                                                                                                                                                  Upozornenie

                                                                                                                                                  Akcia

                                                                                                                                                  Zlyhanie prístupu k lokálnej databáze.

                                                                                                                                                  Skontrolujte chyby databázy alebo problémy s lokálnou sieťou.

                                                                                                                                                  Zlyhanie pripojenia k lokálnej databáze.

                                                                                                                                                  Skontrolujte, či je databázový server dostupný a či boli v konfigurácii uzla použité správne poverenia servisného účtu.

                                                                                                                                                  Zlyhanie prístupu k cloudovej službe.

                                                                                                                                                  Skontrolujte, či majú uzly prístup k serverom Webex, ako je uvedené v Požiadavky na externé pripojenie.

                                                                                                                                                  Obnovuje sa registrácia cloudovej služby.

                                                                                                                                                  Registrácia do cloudových služieb bola zrušená. Prebieha obnova registrácie.

                                                                                                                                                  Registrácia cloudovej služby bola zrušená.

                                                                                                                                                  Registrácia do cloudových služieb bola ukončená. Služba sa vypína.

                                                                                                                                                  Služba ešte nie je aktivovaná.

                                                                                                                                                  Aktivujte skúšobnú verziu alebo dokončite presun skúšky do produkcie.

                                                                                                                                                  Nakonfigurovaná doména sa nezhoduje s certifikátom servera.

                                                                                                                                                  Uistite sa, že váš certifikát servera sa zhoduje s nakonfigurovanou doménou aktivácie služby.

                                                                                                                                                  Najpravdepodobnejšou príčinou je, že certifikát CN bol nedávno zmenený a teraz sa líši od CN, ktorý bol použitý počas počiatočného nastavenia.

                                                                                                                                                  Nepodarilo sa overiť v cloudových službách.

                                                                                                                                                  Skontrolujte presnosť a možné vypršanie platnosti poverení servisného účtu.

                                                                                                                                                  Nepodarilo sa otvoriť súbor lokálneho úložiska kľúčov.

                                                                                                                                                  Skontrolujte integritu a presnosť hesla v lokálnom súbore skladu kľúčov.

                                                                                                                                                  Certifikát lokálneho servera je neplatný.

                                                                                                                                                  Skontrolujte dátum vypršania platnosti certifikátu servera a potvrďte, že bol vydaný dôveryhodnou certifikačnou autoritou.

                                                                                                                                                  Nie je možné uverejniť metriky.

                                                                                                                                                  Skontrolujte prístup k lokálnej sieti k externým cloudovým službám.

                                                                                                                                                  Adresár /media/configdrive/hds neexistuje.

                                                                                                                                                  Skontrolujte konfiguráciu pripojenia ISO na virtuálnom hostiteľovi. Overte, či súbor ISO existuje, či je nakonfigurovaný na pripojenie pri reštarte a či sa úspešne pripojí.

                                                                                                                                                  Riešenie problémov so zabezpečením hybridných údajov

                                                                                                                                                  Pri riešení problémov s Hybrid Data Security použite nasledujúce všeobecné pokyny.
                                                                                                                                                  1

                                                                                                                                                  Skontrolujte si v Control Hub všetky upozornenia a opravte všetky položky, ktoré tam nájdete.

                                                                                                                                                  2

                                                                                                                                                  Skontrolujte výstup servera syslog pre aktivitu z nasadenia Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Kontakt Podpora Cisco.

                                                                                                                                                  Ďalšie poznámky

                                                                                                                                                  Známe problémy s hybridnou bezpečnosťou dát

                                                                                                                                                  • Ak vypnete svoj klaster Hybrid Data Security (odstránením v Control Hub alebo vypnutím všetkých uzlov), stratíte svoj konfiguračný súbor ISO alebo stratíte prístup k databáze úložiska kľúčov, používatelia vašej aplikácie Webex App už nebudú môcť používať priestory pod svojimi ľuďmi. zoznam, ktorý bol vytvorený pomocou kľúčov z vášho KMS. Platí to pre skúšobné aj produkčné nasadenia. V súčasnosti nemáme riešenie ani opravu tohto problému a žiadame vás, aby ste nevypínali svoje služby HDS, keď budú spracovávať aktívne používateľské účty.

                                                                                                                                                  • Klient, ktorý má existujúce pripojenie ECDH ku KMS, udržiava toto pripojenie určitý čas (pravdepodobne jednu hodinu). Keď sa používateľ stane členom skúšobnej verzie Hybrid Data Security, klient používateľa naďalej používa existujúce pripojenie ECDH, kým nevyprší časový limit. Prípadne sa používateľ môže odhlásiť a znova prihlásiť do aplikácie Webex App, aby aktualizoval umiestnenie, ktoré aplikácia kontaktuje pre šifrovacie kľúče.

                                                                                                                                                    Rovnaké správanie nastane, keď presuniete skúšobnú verziu do produkcie organizácie. Všetci neskúšobní používatelia s existujúcimi pripojeniami ECDH k predchádzajúcim službám zabezpečenia údajov budú tieto služby naďalej používať, kým sa znovu nedohodne pripojenie ECDH (prostredníctvom časového limitu alebo odhlásením a opätovným prihlásením).

                                                                                                                                                  Na vygenerovanie súboru PKCS12 použite OpenSSL

                                                                                                                                                  Predtým ako začneš

                                                                                                                                                  • OpenSSL je jeden nástroj, ktorý možno použiť na vytvorenie súboru PKCS12 v správnom formáte na načítanie v nástroji HDS Setup Tool. Existujú aj iné spôsoby, ako to urobiť, a my nepodporujeme ani nepresadzujeme jeden spôsob oproti druhému.

                                                                                                                                                  • Ak sa rozhodnete použiť OpenSSL, poskytujeme tento postup ako návod, ktorý vám pomôže vytvoriť súbor, ktorý spĺňa požiadavky certifikátu X.509 v Požiadavky na certifikát X.509. Než budete pokračovať, pochopte tieto požiadavky.

                                                                                                                                                  • Nainštalujte OpenSSL v podporovanom prostredí. Pozri https://www.openssl.org pre softvér a dokumentáciu.

                                                                                                                                                  • Vytvorte súkromný kľúč.

                                                                                                                                                  • Tento postup začnite, keď dostanete certifikát servera od certifikačnej autority (CA).

                                                                                                                                                  1

                                                                                                                                                  Keď dostanete certifikát servera od vašej CA, uložte ho ako hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Zobrazte certifikát ako text a overte podrobnosti.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Pomocou textového editora vytvorte súbor zväzku certifikátov s názvom hdsnode-bundle.pem. Súbor balíka musí obsahovať certifikát servera, akékoľvek sprostredkujúce certifikáty CA a certifikáty koreňovej CA vo formáte nižšie:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Vytvorte súbor .p12 s popisným názvom kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Skontrolujte podrobnosti certifikátu servera.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Vo výzve zadajte heslo na zašifrovanie súkromného kľúča, aby bol uvedený vo výstupe. Potom skontrolujte, či súkromný kľúč a prvý certifikát obsahujú riadky friendlyName: kms-private-key.

                                                                                                                                                    Príklad:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Čo urobiť ďalej

                                                                                                                                                  Návrat do Vyplňte Predpoklady pre hybridnú bezpečnosť údajov. Budete používať hdsnode.p12 súbor a heslo, ktoré ste preň nastavili Vytvorte ISO konfigurácie pre hostiteľov HDS.


                                                                                                                                                   

                                                                                                                                                  Tieto súbory môžete znova použiť na vyžiadanie nového certifikátu, keď platnosť pôvodného certifikátu vyprší.

                                                                                                                                                  Prevádzka medzi uzlami HDS a cloudom

                                                                                                                                                  Odchádzajúca návštevnosť zberu metrík

                                                                                                                                                  Uzly Hybrid Data Security odosielajú určité metriky do cloudu Webex. Patria sem systémové metriky pre maximálnu haldu, využitú haldu, zaťaženie procesora a počet vlákien; metriky na synchrónnych a asynchrónnych vláknach; metriky výstrah zahŕňajúce prah šifrovacích pripojení, latenciu alebo dĺžku frontu požiadaviek; metriky na dátovom úložisku; a metriky šifrovaného pripojenia. Uzly posielajú zašifrovaný kľúčový materiál cez kanál mimo pásma (oddelený od požiadavky).

                                                                                                                                                  Prichádzajúca premávka

                                                                                                                                                  Uzly Hybrid Data Security prijímajú nasledujúce typy prichádzajúcej prevádzky z cloudu Webex:

                                                                                                                                                  • Šifrovacie požiadavky od klientov, ktoré sú smerované šifrovacou službou

                                                                                                                                                  • Aktualizácie softvéru uzla

                                                                                                                                                  Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát

                                                                                                                                                  Websocket sa nemôže pripojiť cez Squid Proxy

                                                                                                                                                  Proxy serverov chobotnice, ktoré kontrolujú prenos HTTPS, môžu zasahovať do vytvorenia webovej zásuvky ( wss:) pripojenia, ktoré vyžaduje Hybrid Data Security. Tieto časti poskytujú návod, ako nakonfigurovať rôzne verzie Squid na ignorovanie wss: prevádzky pre správne fungovanie služieb.

                                                                                                                                                  Kalmáre 4 a 5

                                                                                                                                                  Pridajte on_unsupported_protocol smernica k squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Kalmáre 3.5.27

                                                                                                                                                  Hybridnú bezpečnosť dát sme úspešne otestovali s nasledujúcimi pravidlami squid.conf. Tieto pravidlá sa môžu meniť, pretože vyvíjame funkcie a aktualizujeme cloud Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Predslov

                                                                                                                                                  New and changed information

                                                                                                                                                  Dátum

                                                                                                                                                  Changes Made

                                                                                                                                                  October 20, 2023

                                                                                                                                                  August 07, 2023

                                                                                                                                                  May 23, 2023

                                                                                                                                                  December 06, 2022

                                                                                                                                                  November 23, 2022

                                                                                                                                                  October 13, 2021

                                                                                                                                                  Docker Desktop needs to run a setup program before you can install HDS nodes. See Docker Desktop Requirements.

                                                                                                                                                  June 24, 2021

                                                                                                                                                  Noted that you can reuse the private key file and CSR to request another certificate. See Use OpenSSL to Generate a PKCS12 File for details.

                                                                                                                                                  April 30, 2021

                                                                                                                                                  Changed the VM requirement for local hard disk space to 30 GB. See Virtual Host Requirements for details.

                                                                                                                                                  February 24, 2021

                                                                                                                                                  HDS Setup Tool can now run behind a proxy. See Create a Configuration ISO for the HDS Hosts for details.

                                                                                                                                                  February 2, 2021

                                                                                                                                                  HDS can now run without a mounted ISO file. See (Optional) Unmount ISO After HDS Configuration for details.

                                                                                                                                                  January 11, 2021

                                                                                                                                                  Added info on HDS Setup tool and proxies to Create a Configuration ISO for the HDS Hosts.

                                                                                                                                                  October 13, 2020

                                                                                                                                                  Updated Download Installation Files.

                                                                                                                                                  October 8, 2020

                                                                                                                                                  Updated Create a Configuration ISO for the HDS Hosts and Change the Node Configuration with commands for FedRAMP environments.

                                                                                                                                                  August 14, 2020

                                                                                                                                                  Updated Create a Configuration ISO for the HDS Hosts and Change the Node Configuration with changes to the sign-in process.

                                                                                                                                                  August 5, 2020

                                                                                                                                                  Updated Test Your Hybrid Data Security Deployment for changes in log messages.

                                                                                                                                                  Updated Virtual Host Requirements to remove maximum number of hosts.

                                                                                                                                                  June 16, 2020

                                                                                                                                                  Updated Remove a Node for changes in the Control Hub UI.

                                                                                                                                                  June 4, 2020

                                                                                                                                                  Updated Create a Configuration ISO for the HDS Hosts for changes in the Advanced Settings that you might set.

                                                                                                                                                  May 29, 2020

                                                                                                                                                  Updated Create a Configuration ISO for the HDS Hosts to show you can also use TLS with SQL Server databases, UI changes, and other clarifications.

                                                                                                                                                  May 5, 2020

                                                                                                                                                  Updated Virtual Host Requirements to show new requirement of ESXi 6.5.

                                                                                                                                                  April 21, 2020

                                                                                                                                                  Updated External connectivity requirements with new Americas CI hosts.

                                                                                                                                                  April 1, 2020

                                                                                                                                                  Updated External connectivity requirements with information on regional CI hosts.

                                                                                                                                                  February 20, 2020Updated Create a Configuration ISO for the HDS Hosts with information on new optional Advanced Settings screen in the HDS Setup Tool.
                                                                                                                                                  February 4, 2020Updated Proxy Server Requirements.
                                                                                                                                                  December 16, 2019Clarified the requirement for Blocked External DNS Resolution Mode to work in Proxy Server Requirements.
                                                                                                                                                  November 19, 2019

                                                                                                                                                  Added information about Blocked External DNS Resolution Mode in the following sections:

                                                                                                                                                  November 8, 2019

                                                                                                                                                  You can now configure network settings for a node while deploying the OVA rather than afterwards.

                                                                                                                                                  Updated the following sections accordingly:


                                                                                                                                                   

                                                                                                                                                  The option to configure network settings during OVA deployment has been tested with ESXi 6.5. The option may not be available in earlier versions.

                                                                                                                                                  September 6, 2019

                                                                                                                                                  Added SQL Server Standard to Database server requirements.

                                                                                                                                                  August 29, 2019Added Configure Squid Proxies for Hybrid Data Security appendix with guidance on configuring Squid proxies to ignore websocket traffic for proper operation.
                                                                                                                                                  August 20, 2019

                                                                                                                                                  Added and updated sections to cover proxy support for Hybrid Data Security node communications to the Webex cloud.

                                                                                                                                                  To access just the proxy support content for an existing deployment, see the Proxy Support for Hybrid Data Security and Webex Video Mesh help article.

                                                                                                                                                  June 13, 2019Updated Trial to Production Task Flow with a reminder to synchronize the HdsTrialGroup group object before starting a trial if your organization uses directory synchronization.
                                                                                                                                                  March 6, 2019
                                                                                                                                                  February 28, 2019
                                                                                                                                                  • Corrected the amount of local hard disk space per server that you should set aside when preparing the virtual hosts that become the Hybrid Data Security nodes, from 50-GB to 20-GB, to reflect the size of disk that the OVA creates.

                                                                                                                                                  February 26, 2019
                                                                                                                                                  • Hybrid Data Security nodes now support encrypted connections with PostgreSQL database servers, and encrypted logging connections to a TLS-capable syslog server. Updated Create a Configuration ISO for the HDS Hosts with instructions.

                                                                                                                                                  • Removed destination URLs from the "Internet Connectivity Requirements for Hybrid Data Security Node VMs" table. The table now refers to the list maintained in the "Additional URLs for Webex Teams Hybrid Services" table of Network Requirements for Webex Teams Services.

                                                                                                                                                  January 24, 2019

                                                                                                                                                  • Hybrid Data Security now supports Microsoft SQL Server as a database. SQL Server Always On (Always On Failover Clusters and Always on Availability Groups) is supported by the JDBC drivers that are used in Hybrid Data Security. Added content related to deploying with SQL Server.


                                                                                                                                                     

                                                                                                                                                    Microsoft SQL Server support is intended for new deployments of Hybrid Data Security only. We do not currently support migration of data from PostgreSQL to Microsoft SQL Server in an existing deployment.

                                                                                                                                                  November 5, 2018
                                                                                                                                                  October 19, 2018

                                                                                                                                                  July 31, 2018

                                                                                                                                                  May 21, 2018

                                                                                                                                                  Changed terminology to reflect the rebranding of Cisco Spark:

                                                                                                                                                  • Cisco Spark Hybrid Data Security is now Hybrid Data Security.

                                                                                                                                                  • The Cisco Spark app is now the Webex App app.

                                                                                                                                                  • The Cisco Collaboraton Cloud is now the Webex cloud.

                                                                                                                                                  April 11, 2018
                                                                                                                                                  February 22, 2018
                                                                                                                                                  February 15, 2018
                                                                                                                                                  • In the X.509 Certificate Requirements table, specified that the certificate cannot be a wildcard certificate, and that the KMS uses the CN domain, not any domain that's defined in the x.509v3 SAN fields.

                                                                                                                                                  January 18, 2018

                                                                                                                                                  November 2, 2017

                                                                                                                                                  • Clarified directory synchronization of the HdsTrialGroup.

                                                                                                                                                  • Fixed instructions for uploading the ISO configuration file for mounting to the VM nodes.

                                                                                                                                                  August 18, 2017

                                                                                                                                                  First published

                                                                                                                                                  Začnite s hybridným zabezpečením dát

                                                                                                                                                  Prehľad zabezpečenia hybridných údajov

                                                                                                                                                  Od prvého dňa bola bezpečnosť údajov hlavným zameraním pri navrhovaní Webex App. Základným kameňom tohto zabezpečenia je komplexné šifrovanie obsahu, ktoré umožňujú klienti Webex App interagujúci so službou správy kľúčov (KMS). KMS je zodpovedný za vytváranie a správu kryptografických kľúčov, ktoré klienti používajú na dynamické šifrovanie a dešifrovanie správ a súborov.

                                                                                                                                                  V predvolenom nastavení dostávajú všetci zákazníci Webex App end-to-end šifrovanie s dynamickými kľúčmi uloženými v cloudovom KMS v oblasti bezpečnosti Cisco. Hybrid Data Security presúva KMS a ďalšie funkcie súvisiace so zabezpečením do vášho podnikového dátového centra, takže kľúče k vášmu šifrovanému obsahu nemá nikto okrem vás.

                                                                                                                                                  Architektúra bezpečnostnej sféry

                                                                                                                                                  Cloudová architektúra Webex oddeľuje rôzne typy služieb do samostatných oblastí alebo dôveryhodných domén, ako je znázornené nižšie.

                                                                                                                                                  Realms of Separation (bez Hybrid Data Security)

                                                                                                                                                  Aby sme lepšie porozumeli Hybrid Data Security, pozrime sa najprv na tento čistý cloud, kde Cisco poskytuje všetky funkcie vo svojich cloudových sférach. Služba identity, jediné miesto, kde môžu používatelia priamo korelovať so svojimi osobnými údajmi, ako je e-mailová adresa, je logicky a fyzicky oddelená od oblasti zabezpečenia v dátovom centre B. Obe sú zase oddelené od oblasti, kde je v konečnom dôsledku uložený šifrovaný obsah. , v dátovom centre C.

                                                                                                                                                  V tomto diagrame je klientom aplikácia Webex, ktorá beží na notebooku používateľa a je overená službou identity. Keď používateľ vytvorí správu na odoslanie do priestoru, vykonajú sa tieto kroky:

                                                                                                                                                  1. Klient vytvorí zabezpečené spojenie so službou správy kľúčov (KMS), potom požiada o kľúč na zašifrovanie správy. Zabezpečené pripojenie používa ECDH a KMS šifruje kľúč pomocou hlavného kľúča AES-256.

                                                                                                                                                  2. Správa je pred opustením klienta zašifrovaná. Klient ho odošle do indexovacej služby, ktorá vytvorí šifrované indexy vyhľadávania na pomoc pri budúcom vyhľadávaní obsahu.

                                                                                                                                                  3. Zašifrovaná správa sa odošle do služby súladu na kontrolu súladu.

                                                                                                                                                  4. Zašifrovaná správa je uložená v úložnej sfére.

                                                                                                                                                  Keď nasadíte Hybrid Data Security, presuniete funkcie bezpečnostnej sféry (KMS, indexovanie a súlad) do vášho lokálneho dátového centra. Ostatné cloudové služby, ktoré tvoria Webex (vrátane ukladania identity a obsahu), zostávajú v sférach spoločnosti Cisco.

                                                                                                                                                  Spolupráca s inými organizáciami

                                                                                                                                                  Používatelia vo vašej organizácii môžu pravidelne používať aplikáciu Webex na spoluprácu s externými účastníkmi v iných organizáciách. Keď jeden z vašich používateľov požaduje kľúč pre priestor, ktorý vlastní vaša organizácia (pretože ho vytvoril jeden z vašich používateľov), váš KMS odošle kľúč klientovi cez zabezpečený kanál ECDH. Keď však kľúč priestoru vlastní iná organizácia, váš KMS nasmeruje požiadavku do cloudu Webex cez samostatný kanál ECDH, aby získal kľúč z príslušného KMS, a potom vráti kľúč vášmu používateľovi na pôvodnom kanáli.

                                                                                                                                                  Služba KMS spustená v organizácii A overuje pripojenia ku KMS v iných organizáciách pomocou x.509 PKI certifikátov. Podrobnosti o generovaní certifikátu x.509 na použitie s nasadením Hybrid Data Security nájdete v časti Príprava prostredia .

                                                                                                                                                  Očakávania týkajúce sa nasadenia hybridnej bezpečnosti údajov

                                                                                                                                                  Nasadenie Hybrid Data Security si vyžaduje značné nasadenie zákazníkov a uvedomenie si rizík, ktoré so sebou prináša vlastníctvo šifrovacích kľúčov.

                                                                                                                                                  Ak chcete nasadiť Hybrid Data Security, musíte poskytnúť:

                                                                                                                                                  Úplná strata buď konfiguračného ISO, ktoré ste vytvorili pre Hybrid Data Security, alebo databázy, ktorú poskytnete, bude mať za následok stratu kľúčov. Strata kľúča bráni používateľom dešifrovať obsah priestoru a ďalšie šifrované údaje v aplikácii Webex. Ak sa tak stane, môžete vytvoriť nové nasadenie, ale bude viditeľný iba nový obsah. Aby ste predišli strate prístupu k údajom, musíte:

                                                                                                                                                  • Spravujte zálohovanie a obnovu databázy a konfiguračného ISO.

                                                                                                                                                  • Buďte pripravení vykonať rýchlu obnovu po havárii, ak dôjde ku katastrofe, ako je zlyhanie databázového disku alebo katastrofa dátového centra.


                                                                                                                                                   

                                                                                                                                                  Neexistuje žiadny mechanizmus na presun kľúčov späť do cloudu po nasadení HDS.

                                                                                                                                                  Proces nastavenia na vysokej úrovni

                                                                                                                                                  Tento dokument pokrýva nastavenie a správu nasadenia Hybrid Data Security:

                                                                                                                                                  • Nastavenie Hybrid Data Security – zahŕňa prípravu požadovanej infraštruktúry a inštaláciu softvéru Hybrid Data Security, testovanie vášho nasadenia s podskupinou používateľov v skúšobnom režime a po dokončení testovania prechod do produkcie. To prevedie celú organizáciu na používanie vášho klastra Hybrid Data Security na bezpečnostné funkcie.

                                                                                                                                                    Fázy nastavenia, skúšania a výroby sú podrobne opísané v nasledujúcich troch kapitolách.

                                                                                                                                                  • Udržujte svoje nasadenie Hybrid Data Security – cloud Webex automaticky poskytuje priebežné inovácie. Vaše IT oddelenie môže poskytnúť podporu prvej úrovne pre toto nasadenie a podľa potreby zapojiť podporu Cisco. V Control Hub môžete používať upozornenia na obrazovke a nastaviť upozornenia prostredníctvom e-mailu.

                                                                                                                                                  • Pochopte bežné upozornenia, kroky na riešenie problémov a známe problémy – Ak narazíte na problémy s nasadením alebo používaním Hybrid Data Security, posledná kapitola tejto príručky a príloha Známe problémy vám môžu pomôcť určiť a vyriešiť problém.

                                                                                                                                                  Hybridný model nasadenia zabezpečenia dát

                                                                                                                                                  V rámci podnikového dátového centra nasadíte Hybrid Data Security ako jeden klaster uzlov na samostatných virtuálnych hostiteľoch. Uzly komunikujú s cloudom Webex prostredníctvom zabezpečených webových zásuviek a zabezpečeného HTTP.

                                                                                                                                                  Počas procesu inštalácie vám poskytneme súbor OVA na nastavenie virtuálneho zariadenia na VM, ktoré poskytnete. Nástroj HDS Setup Tool použijete na vytvorenie vlastného konfiguračného súboru ISO klastra, ktorý pripojíte na každý uzol. Klaster Hybrid Data Security využíva váš poskytnutý server Syslogd a databázu PostgreSQL alebo Microsoft SQL Server. (Syslogd a podrobnosti o pripojení k databáze nakonfigurujete v nástroji HDS Setup Tool.)

                                                                                                                                                  Hybridný model nasadenia zabezpečenia dát

                                                                                                                                                  Minimálny počet uzlov, ktoré môžete mať v klastri, sú dva. Odporúčame aspoň tri a môžete ich mať až päť. Viacnásobné uzly zaisťujú, že služba nebude prerušená počas aktualizácie softvéru alebo inej činnosti údržby na uzle. (Cloud Webex aktualizuje naraz iba jeden uzol.)

                                                                                                                                                  Všetky uzly v klastri pristupujú k rovnakému úložisku údajov kľúčov a zaznamenávajú aktivitu na rovnaký server syslog. Samotné uzly sú bez stavu a spracovávajú kľúčové požiadavky v režime round-robin podľa pokynov cloudu.

                                                                                                                                                  Uzly sa stanú aktívnymi, keď ich zaregistrujete v Control Hub. Ak chcete vyradiť jednotlivý uzol z prevádzky, môžete ho zrušiť a neskôr v prípade potreby znova zaregistrovať.

                                                                                                                                                  Podporujeme iba jeden klaster na organizáciu.

                                                                                                                                                  Skúšobný režim hybridnej bezpečnosti dát

                                                                                                                                                  Po nastavení nasadenia Hybrid Data Security ho najskôr vyskúšate so skupinou pilotných používateľov. Počas skúšobného obdobia títo používatelia používajú vašu lokálnu doménu Hybrid Data Security na šifrovacie kľúče a ďalšie služby v oblasti zabezpečenia. Ostatní vaši používatelia naďalej používajú oblasť zabezpečenia cloudu.

                                                                                                                                                  Ak sa rozhodnete nepokračovať v nasadzovaní počas skúšobného obdobia a službu deaktivujete, pilotní používatelia a všetci používatelia, s ktorými počas skúšobného obdobia interagovali vytvorením nových priestorov, stratia prístup k správam a obsahu. V aplikácii Webex sa im zobrazí „Táto správa sa nedá dešifrovať“.

                                                                                                                                                  Ak ste spokojní s tým, že vaše nasadenie funguje dobre pre skúšobných používateľov a ste pripravení rozšíriť Hybrid Data Security na všetkých svojich používateľov, presuniete nasadenie do produkcie. Pilotní používatelia majú naďalej prístup ku kľúčom, ktoré sa používali počas skúšobnej verzie. Nemôžete sa však pohybovať tam a späť medzi produkčným režimom a pôvodnou skúšobnou verziou. Ak musíte službu deaktivovať, napríklad vykonať obnovu po havárii, pri opätovnej aktivácii musíte spustiť novú skúšobnú verziu a nastaviť skupinu pilotných používateľov pre novú skúšobnú verziu, než sa vrátite späť do produkčného režimu. Či si používatelia v tomto bode zachovajú prístup k údajom, závisí od toho, či ste úspešne udržiavali zálohy úložiska kľúčových údajov a konfiguračného súboru ISO pre uzly Hybrid Data Security vo vašom klastri.

                                                                                                                                                  Pohotovostné dátové centrum pre obnovu po havárii

                                                                                                                                                  Počas nasadenia nastavíte zabezpečené pohotovostné dátové centrum. V prípade havárie dátového centra môžete manuálne zlyhať nasadenie do pohotovostného dátového centra.

                                                                                                                                                  Pred zlyhaním má Dátové centrum A aktívne uzly HDS a primárnu databázu PostgreSQL alebo Microsoft SQL Server, zatiaľ čo B má kópiu súboru ISO s ďalšími konfiguráciami, virtuálne počítače, ktoré sú registrované v organizácii, a záložnú databázu. Po zlyhaní má Dátové centrum B aktívne uzly HDS a primárnu databázu, zatiaľ čo A má neregistrované VM a kópiu súboru ISO a databáza je v pohotovostnom režime.
                                                                                                                                                  Manuálne prepnutie do pohotovostného dátového centra

                                                                                                                                                  Databázy aktívnych a pohotovostných dátových centier sú navzájom synchronizované, čo minimalizuje čas potrebný na vykonanie núdzového prepnutia. Súbor ISO pohotovostného dátového centra sa aktualizuje o ďalšie konfigurácie, ktoré zaisťujú, že uzly sú registrované v organizácii, ale nebudú spracovávať prevádzku. Preto uzly pohotovostného dátového centra zostávajú vždy aktuálne s najnovšou verziou softvéru HDS.


                                                                                                                                                   

                                                                                                                                                  Aktívne uzly Hybrid Data Security musia byť vždy v rovnakom údajovom centre ako aktívny databázový server.

                                                                                                                                                  Nastavte pohotovostné dátové centrum pre obnovu po havárii

                                                                                                                                                  Ak chcete nakonfigurovať súbor ISO pohotovostného dátového centra, postupujte podľa nasledujúcich krokov:

                                                                                                                                                  Skôr ako začnete

                                                                                                                                                  • Pohotovostné dátové centrum by malo odrážať produkčné prostredie VM a záložnú databázu PostgreSQL alebo Microsoft SQL Server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM. (Prehľad tohto modelu núdzového prepnutia nájdete v časti Pohotovostné dátové centrum pre obnovu po havárii .)

                                                                                                                                                  • Uistite sa, že je povolená synchronizácia databázy medzi databázou aktívnych a pasívnych uzlov klastra.

                                                                                                                                                  1

                                                                                                                                                  Spustite nástroj na nastavenie HDS a postupujte podľa krokov uvedených v časti Vytvorenie konfiguračného ISO pre hostiteľov HDS.


                                                                                                                                                   

                                                                                                                                                  Súbor ISO musí byť kópiou pôvodného súboru ISO primárneho dátového centra, v ktorom sa majú vykonať nasledujúce aktualizácie konfigurácie.

                                                                                                                                                  2

                                                                                                                                                  Po konfigurácii servera Syslogd kliknite na položku Rozšírené nastavenia

                                                                                                                                                  3

                                                                                                                                                  Na stránke Rozšírené nastavenia pridajte nižšie uvedenú konfiguráciu, aby sa uzol dostal do pasívneho režimu. V tomto režime bude uzol zaregistrovaný v organizácii a pripojený ku cloudu, ale nebude spracovávať žiadny prenos.

                                                                                                                                                   pasívny režim: 'pravda' 

                                                                                                                                                  4

                                                                                                                                                  Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť.

                                                                                                                                                  5

                                                                                                                                                  Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii.

                                                                                                                                                  6

                                                                                                                                                  V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Upraviť nastavenia.

                                                                                                                                                  7

                                                                                                                                                  Kliknite na položku Upraviť nastavenia >Jednotka CD/DVD 1 a vyberte položku Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Uistite sa, že sú začiarknuté položky Pripojené a Pripojiť pri zapnutí , aby sa aktualizované zmeny konfigurácie prejavili po spustení uzlov.

                                                                                                                                                  8

                                                                                                                                                  Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy.

                                                                                                                                                  9

                                                                                                                                                  Opakujte proces pre každý uzol v pohotovostnom dátovom centre.


                                                                                                                                                   

                                                                                                                                                  Skontrolujte syslogy a overte, či sú uzly v pasívnom režime. V syslogoch by ste mali vidieť správu „KMS nakonfigurovaná v pasívnom režime“.

                                                                                                                                                  Čo robiť ďalej

                                                                                                                                                  Po konfigurácii passiveMode v súbore ISO a jeho uložení môžete vytvoriť ďalšiu kópiu súboru ISO bez konfigurácie passiveMode a uložiť ju na bezpečné miesto. Táto kópia súboru ISO bez nakonfigurovaného passiveMode môže pomôcť pri rýchlom procese núdzového prepnutia počas obnovy po havárii. Podrobný postup pri zlyhaní nájdete v časti Obnova po havárii pomocou pohotovostného dátového centra .

                                                                                                                                                  Podpora proxy

                                                                                                                                                  Hybrid Data Security podporuje explicitné, transparentné kontrolné a nekontrolujúce proxy. Tieto servery proxy môžete prepojiť s nasadením, aby ste mohli zabezpečiť a monitorovať prevádzku z podniku do cloudu. Rozhranie správcu platformy na uzloch môžete použiť na správu certifikátov a na kontrolu celkového stavu pripojenia po nastavení servera proxy na uzloch.

                                                                                                                                                  Uzly Hybrid Data Security podporujú nasledujúce možnosti proxy:

                                                                                                                                                  • Bez servera proxy – predvolená hodnota, ak na integráciu servera proxy nepoužívate konfiguráciu dôveryhodného obchodu a servera proxy na nastavenie uzla HDS. Nevyžaduje sa žiadna aktualizácia certifikátu.

                                                                                                                                                  • Transparentný nekontrolujúci proxy server – uzly nie sú nakonfigurované na používanie konkrétnej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.

                                                                                                                                                  • Transparentné tunelovanie alebo kontrola servera proxy – uzly nie sú nakonfigurované na používanie konkrétnej adresy servera proxy. Na uzloch nie sú potrebné žiadne zmeny konfigurácie HTTP alebo HTTPS. Uzly však potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).

                                                                                                                                                  • Explicitný server proxy – pomocou explicitného servera proxy poviete uzlom HDS, ktorý server proxy a schému overenia majú použiť. Ak chcete nakonfigurovať explicitný server proxy, musíte do každého uzla zadať nasledujúce informácie:

                                                                                                                                                    1. Proxy IP/FQDN – adresa, ktorú možno použiť na spojenie so zariadením proxy.

                                                                                                                                                    2. Port proxy – číslo portu, ktoré server proxy používa na počúvanie prenosu cez server proxy.

                                                                                                                                                    3. Protokol proxy – v závislosti od toho, čo váš server proxy podporuje, si vyberte z nasledujúcich protokolov:

                                                                                                                                                      • HTTP – zobrazuje a riadi všetky požiadavky, ktoré klient odosiela.

                                                                                                                                                      • HTTPS – poskytuje kanál pre server. Klient prijme a overí certifikát servera.

                                                                                                                                                    4. Typ overenia totožnosti – vyberte si z nasledujúcich typov overenia totožnosti:

                                                                                                                                                      • Žiadne – nevyžaduje sa žiadne ďalšie overenie.

                                                                                                                                                        Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.

                                                                                                                                                      • Základné – používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.

                                                                                                                                                        Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.

                                                                                                                                                        Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.

                                                                                                                                                      • Súhrn – používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.

                                                                                                                                                        Dostupné, iba ak vyberiete HTTPS ako protokol proxy.

                                                                                                                                                        Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.

                                                                                                                                                  Príklad uzlov na zabezpečenie hybridných dát a proxy

                                                                                                                                                  Tento diagram ukazuje príklad spojenia medzi Hybrid Data Security, sieťou a serverom proxy. Pre možnosti transparentnej kontroly a explicitnej kontroly HTTPS musí byť na serveri proxy a na uzloch Hybrid Data Security nainštalovaný rovnaký koreňový certifikát.

                                                                                                                                                  Blokovaný režim externého rozlíšenia DNS (explicitné konfigurácie proxy)

                                                                                                                                                  Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. V nasadeniach s explicitnými konfiguráciami proxy, ktoré neumožňujú externé rozlíšenie DNS pre interných klientov, ak uzol nemôže dotazovať servery DNS, automaticky prejde do režimu blokovaného externého riešenia DNS. V tomto režime môže pokračovať registrácia uzla a ďalšie testy pripojenia proxy.

                                                                                                                                                  Pripravte si prostredie

                                                                                                                                                  Požiadavky na hybridnú bezpečnosť dát

                                                                                                                                                  Požiadavky na licenciu Cisco Webex

                                                                                                                                                  Nasadenie Hybrid Data Security:

                                                                                                                                                  Požiadavky na plochu Docker

                                                                                                                                                  Pred inštaláciou uzlov HDS potrebujete Docker Desktop na spustenie inštalačného programu. Docker nedávno aktualizoval svoj licenčný model. Vaša organizácia môže vyžadovať platené predplatné pre Docker Desktop. Podrobnosti nájdete v blogovom príspevku Docker „ Docker aktualizuje a rozširuje naše predplatné produktov“.

                                                                                                                                                  Požiadavky na certifikát X.509

                                                                                                                                                  Certifikačný reťazec musí spĺňať nasledujúce požiadavky:

                                                                                                                                                  Tabuľka č. 1 Požiadavky certifikátu X.509 pre nasadenie hybridného zabezpečenia dát

                                                                                                                                                  Požiadavka

                                                                                                                                                  Podrobnosti

                                                                                                                                                  • Podpísané dôveryhodnou certifikačnou autoritou (CA)

                                                                                                                                                  V predvolenom nastavení dôverujeme CA v zozname Mozilly (s výnimkou WoSign a StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Nesie názov domény Common Name (CN), ktorý identifikuje vaše nasadenie Hybrid Data Security

                                                                                                                                                  • Nie je to zástupný certifikát

                                                                                                                                                  CN nemusí byť dosiahnuteľné alebo živého hostiteľa. Odporúčame vám použiť názov, ktorý zodpovedá vašej organizácii, napríklad hds.company.com.

                                                                                                                                                  KN nesmie obsahovať * (zástupný znak).

                                                                                                                                                  CN sa používa na overenie uzlov Hybrid Data Security pre klientov Webex App. Všetky uzly Hybrid Data Security vo vašom klastri používajú rovnaký certifikát. Váš KMS sa identifikuje pomocou domény CN, nie akejkoľvek domény, ktorá je definovaná v poliach x.509v3 SAN.

                                                                                                                                                  Po zaregistrovaní uzla s týmto certifikátom nepodporujeme zmenu názvu domény CN. Vyberte doménu, ktorá sa môže vzťahovať na skúšobné aj produkčné nasadenie.

                                                                                                                                                  • Podpis iný ako SHA1

                                                                                                                                                  Softvér KMS nepodporuje podpisy SHA1 na overenie pripojení k KMS iných organizácií.

                                                                                                                                                  • Naformátovaný ako súbor PKCS #12 chránený heslom

                                                                                                                                                  • Použite priateľský názov kms-private-key na označenie certifikátu, súkromného kľúča a akýchkoľvek sprostredkujúcich certifikátov na odovzdanie.

                                                                                                                                                  Na zmenu formátu certifikátu môžete použiť konvertor, ako je OpenSSL.

                                                                                                                                                  Pri spustení nástroja HDS Setup Tool budete musieť zadať heslo.

                                                                                                                                                  Softvér KMS nevynucuje používanie kľúčov ani rozšírené obmedzenia používania kľúčov. Niektoré certifikačné autority vyžadujú, aby sa na každý certifikát aplikovali rozšírené obmedzenia používania kľúčov, ako je autentifikácia servera. Je v poriadku použiť overenie servera alebo iné nastavenia.

                                                                                                                                                  Požiadavky na virtuálny hostiteľ

                                                                                                                                                  Virtuálni hostitelia, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri, majú nasledujúce požiadavky:

                                                                                                                                                  • Aspoň dvaja oddelení hostitelia (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre

                                                                                                                                                  • VMware ESXi 6.5 (alebo novší) nainštalovaný a spustený.


                                                                                                                                                     

                                                                                                                                                    Ak máte staršiu verziu ESXi, musíte vykonať inováciu.

                                                                                                                                                  • Minimálne 4 vCPU, 8 GB hlavnej pamäte, 30 GB miesta na lokálnom pevnom disku na server

                                                                                                                                                  Požiadavky na databázový server


                                                                                                                                                   

                                                                                                                                                  Vytvorte novú databázu pre uloženie kľúčov. Nepoužívajte predvolenú databázu. Aplikácie HDS, keď sú nainštalované, vytvoria schému databázy.

                                                                                                                                                  Pre databázový server sú dve možnosti. Požiadavky na každú z nich sú nasledovné:

                                                                                                                                                  Tabuľka 2 Požiadavky na databázový server podľa typu databázy

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 alebo 16, nainštalovaný a spustený.

                                                                                                                                                  • SQL Server 2016, 2017 alebo 2019 (Enterprise alebo Standard) nainštalovaný.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 vyžaduje Service Pack 2 a Kumulatívna aktualizácia 2 alebo novšia.

                                                                                                                                                  Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať po dlhú dobu bez toho, aby ste museli zväčšiť úložisko)

                                                                                                                                                  Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať po dlhú dobu bez toho, aby ste museli zväčšiť úložisko)

                                                                                                                                                  Softvér HDS momentálne inštaluje nasledujúce verzie ovládačov na komunikáciu s databázovým serverom:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC ovládač 42.2.5

                                                                                                                                                  Ovládač SQL Server JDBC 4.6

                                                                                                                                                  Táto verzia ovládača podporuje server SQL Server Always On (Inštancie klastra prepnutia pri zlyhaní a skupiny dostupnosti Vždy zapnuté).

                                                                                                                                                  Dodatočné požiadavky na overenie systému Windows voči Microsoft SQL Server

                                                                                                                                                  Ak chcete, aby uzly HDS používali autentifikáciu systému Windows na získanie prístupu k vašej databáze úložiska kľúčov na serveri Microsoft SQL Server, potrebujete vo svojom prostredí nasledujúcu konfiguráciu:

                                                                                                                                                  • HDS uzly, infraštruktúra Active Directory a MS SQL Server musia byť synchronizované s NTP.

                                                                                                                                                  • Účet Windows, ktorý poskytnete uzlom HDS, musí mať prístup k databáze na čítanie/zápis.

                                                                                                                                                  • Servery DNS, ktoré poskytujete uzlom HDS, musia byť schopné vyriešiť vaše Centrum distribúcie kľúčov (KDC).

                                                                                                                                                  • Inštanciu databázy HDS môžete zaregistrovať na svojom serveri Microsoft SQL Server ako hlavný názov služby (SPN) vo vašom adresári Active Directory. Pozrite si časť Registrácia hlavného názvu služby pre pripojenia Kerberos.

                                                                                                                                                    Nástroj na nastavenie HDS, spúšťač HDS a miestne KMS musia na prístup k databáze kľúčov používať overenie systému Windows. Používajú podrobnosti z vašej konfigurácie ISO na vytvorenie SPN pri požadovaní prístupu s overením Kerberos.

                                                                                                                                                  Požiadavky na externé pripojenie

                                                                                                                                                  Nakonfigurujte svoj firewall tak, aby umožňoval nasledujúce pripojenie pre aplikácie HDS:

                                                                                                                                                  Aplikácia

                                                                                                                                                  Protokol

                                                                                                                                                  Port

                                                                                                                                                  Smer z App

                                                                                                                                                  Cieľ

                                                                                                                                                  Hybridné uzly zabezpečenia údajov

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odchádzajúce HTTPS a WSS

                                                                                                                                                  • Webex servery:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Všetci hostitelia Common Identity

                                                                                                                                                  • Ďalšie adresy URL, ktoré sú uvedené pre Hybrid Data Security v tabuľke Ďalšie adresy URL pre hybridné služby Webex v časti Požiadavky na sieť pre služby Webex

                                                                                                                                                  Nástroj na nastavenie HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odchádzajúce HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Všetci hostitelia Common Identity

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Uzly Hybrid Data Security pracujú s prekladom sieťového prístupu (NAT) alebo za bránou firewall, pokiaľ NAT alebo brána firewall umožňuje požadované odchádzajúce pripojenia k destináciám domény v predchádzajúcej tabuľke. Pre pripojenia prichádzajúce do uzlov Hybrid Data Security by nemali byť z internetu viditeľné žiadne porty. V rámci vášho dátového centra potrebujú klienti prístup k uzlom Hybrid Data Security na portoch TCP 443 a 22 na administratívne účely.

                                                                                                                                                  Adresy URL hostiteľov Common Identity (CI) sú špecifické pre daný región. Toto sú súčasní hostitelia CI:

                                                                                                                                                  región

                                                                                                                                                  Spoločné adresy URL hostiteľa identity

                                                                                                                                                  Ameriky

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Európskej únie

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Požiadavky na proxy server

                                                                                                                                                  • Oficiálne podporujeme nasledujúce proxy riešenia, ktoré sa dajú integrovať s vašimi uzlami Hybrid Data Security.

                                                                                                                                                  • Pre explicitné servery proxy podporujeme nasledujúce kombinácie typov overenia:

                                                                                                                                                    • Žiadna autentifikácia pomocou HTTP alebo HTTPS

                                                                                                                                                    • Základná autentifikácia pomocou HTTP alebo HTTPS

                                                                                                                                                    • Digest overenie iba s HTTPS

                                                                                                                                                  • Pre transparentný kontrolný proxy server alebo explicitný proxy server HTTPS musíte mať kópiu koreňového certifikátu servera proxy. Pokyny na nasadenie v tejto príručke vám povedia, ako nahrať kópiu do dôveryhodných obchodov uzlov Hybrid Data Security.

                                                                                                                                                  • Sieť, ktorá hostí uzly HDS, musí byť nakonfigurovaná tak, aby vynútila smerovanie odchádzajúcej prevádzky TCP na porte 443 cez server proxy.

                                                                                                                                                  • Proxy, ktoré kontrolujú webovú prevádzku, môžu narúšať pripojenia webových soketov. Ak sa vyskytne tento problém, problém vyrieši obídenie (nie kontrola) návštevnosti stránok wbx2.com a ciscospark.com .

                                                                                                                                                  Vyplňte Predpoklady pre hybridnú bezpečnosť údajov

                                                                                                                                                  Pomocou tohto kontrolného zoznamu sa uistite, že ste pripravení na inštaláciu a konfiguráciu klastra Hybrid Data Security.
                                                                                                                                                  1

                                                                                                                                                  Uistite sa, že vaša organizácia Webex má povolený balík Pro Pack pre Cisco Webex Control Hub a získajte prihlasovacie údaje účtu s úplnými právami správcu organizácie. Ak potrebujete pomoc s týmto procesom, kontaktujte svojho partnera Cisco alebo account manažéra.

                                                                                                                                                  2

                                                                                                                                                  Vyberte názov domény pre svoje nasadenie HDS (napríklad hds.company.com) a získajte reťaz certifikátov obsahujúci certifikát X.509, súkromný kľúč a akékoľvek sprostredkujúce certifikáty. Reťazec certifikátov musí spĺňať požiadavky uvedené v časti Požiadavky na certifikát X.509.

                                                                                                                                                  3

                                                                                                                                                  Pripravte si identických virtuálnych hostiteľov, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri. Potrebujete aspoň dvoch samostatných hostiteľov (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre, ktorí spĺňajú požiadavky v časti Požiadavky na virtuálneho hostiteľa.

                                                                                                                                                  4

                                                                                                                                                  Pripravte databázový server, ktorý bude fungovať ako úložisko kľúčových údajov pre klaster, v súlade s požiadavkami na databázový server. Databázový server musí byť umiestnený v zabezpečenom údajovom centre spolu s virtuálnymi hostiteľmi.

                                                                                                                                                  1. Vytvorte databázu pre ukladanie kľúčov. (Túto databázu musíte vytvoriť – nepoužívajte predvolenú databázu. Aplikácie HDS po nainštalovaní vytvoria schému databázy.)

                                                                                                                                                  2. Zhromaždite podrobnosti, ktoré budú uzly používať na komunikáciu s databázovým serverom:

                                                                                                                                                    • názov hostiteľa alebo IP adresa (hostiteľ) a port

                                                                                                                                                    • názov databázy (dbname) pre uloženie kľúčov

                                                                                                                                                    • užívateľské meno a heslo užívateľa so všetkými privilégiami v databáze kľúča

                                                                                                                                                  5

                                                                                                                                                  Pre rýchlu obnovu po havárii nastavte zálohovacie prostredie v inom dátovom centre. Zálohovacie prostredie odzrkadľuje produkčné prostredie VM a záložný databázový server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM.

                                                                                                                                                  6

                                                                                                                                                  Nastavte hostiteľa syslog na zhromažďovanie protokolov z uzlov v klastri. Získajte jeho sieťovú adresu a port syslog (predvolené je UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Vytvorte politiku bezpečného zálohovania pre uzly Hybrid Data Security, databázový server a hostiteľa syslog. Aby ste predišli nenapraviteľnej strate údajov, musíte minimálne zálohovať databázu a konfiguračný súbor ISO vygenerovaný pre uzly Hybrid Data Security.


                                                                                                                                                   

                                                                                                                                                  Keďže uzly Hybrid Data Security ukladajú kľúče používané na šifrovanie a dešifrovanie obsahu, zlyhanie prevádzkyschopného nasadenia bude mať za následok NEOBNOVITEĽNÚ STRATU tohto obsahu.

                                                                                                                                                  Klienti Webex App ukladajú svoje kľúče do vyrovnávacej pamäte, takže výpadok nemusí byť okamžite viditeľný, ale časom sa prejaví. Zatiaľ čo dočasným výpadkom nie je možné zabrániť, sú obnoviteľné. Úplná strata (nie sú k dispozícii žiadne zálohy) databázy alebo konfiguračného ISO súboru však bude mať za následok neobnoviteľné zákaznícke údaje. Od operátorov uzlov Hybrid Data Security sa očakáva, že budú pravidelne zálohovať databázu a konfiguračný súbor ISO a budú pripravení na prestavbu dátového centra Hybrid Data Security, ak dôjde ku katastrofálnej poruche.

                                                                                                                                                  8

                                                                                                                                                  Uistite sa, že konfigurácia brány firewall umožňuje pripojenie pre uzly Hybrid Data Security, ako je uvedené v časti Požiadavky na externé pripojenie.

                                                                                                                                                  9

                                                                                                                                                  Nainštalujte Docker ( https://www.docker.com) na ľubovoľný lokálny počítač s podporovaným operačným systémom (Microsoft Windows 10 Professional alebo Enterprise 64-bitový alebo Mac OSX Yosemite 10.10.3 alebo novší) pomocou webového prehliadača, ktorý k nemu má prístup na adrese http://127.0.0.1:8080.

                                                                                                                                                  Inštanciu Docker použijete na stiahnutie a spustenie nástroja HDS Setup Tool, ktorý vytvorí informácie o lokálnej konfigurácii pre všetky uzly Hybrid Data Security. Vaša organizácia môže potrebovať licenciu Docker Desktop. Ďalšie informácie nájdete v časti Požiadavky na pracovnú plochu Docker .

                                                                                                                                                  Ak chcete nainštalovať a spustiť nástroj HDS Setup Tool, miestny počítač musí mať pripojenie uvedené v časti Požiadavky na externé pripojenie.

                                                                                                                                                  10

                                                                                                                                                  Ak integrujete server proxy so službou Hybrid Data Security, uistite sa, že spĺňa požiadavky na server proxy.

                                                                                                                                                  11

                                                                                                                                                  Ak vaša organizácia používa synchronizáciu adresárov, vytvorte v službe Active Directory skupinu s názvom HdsTrialGroup a pridajte pilotných používateľov. Skúšobná skupina môže mať až 250 používateľov. Objekt HdsTrialGroup sa musí pred spustením skúšobnej verzie pre vašu organizáciu synchronizovať s cloudom. Ak chcete synchronizovať objekt skupiny, vyberte ho v konektore adresára v ponuke Konfigurácia > Výber objektu . (Podrobné pokyny nájdete v Príručke nasadenia pre Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Kľúče pre daný priestor nastavuje tvorca priestoru. Pri výbere pilotných používateľov majte na pamäti, že ak sa rozhodnete natrvalo deaktivovať nasadenie Hybrid Data Security, všetci používatelia stratia prístup k obsahu v priestoroch, ktoré vytvorili pilotní používatelia. Strata sa prejaví hneď, ako aplikácie používateľov obnovia svoje kópie obsahu uložené vo vyrovnávacej pamäti.

                                                                                                                                                  Nastavte Hybrid Data Security Cluster

                                                                                                                                                  Tok úloh nasadenia zabezpečenia hybridných údajov

                                                                                                                                                  Skôr ako začnete

                                                                                                                                                  Pripravte si prostredie

                                                                                                                                                  1

                                                                                                                                                  Stiahnite si inštalačné súbory

                                                                                                                                                  Stiahnite si súbor OVA na váš lokálny počítač pre neskoršie použitie.

                                                                                                                                                  2

                                                                                                                                                  Vytvorte ISO konfigurácie pre hostiteľov HDS

                                                                                                                                                  Pomocou nástroja HDS Setup Tool vytvorte konfiguračný súbor ISO pre uzly Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Nainštalujte HDS Host OVA

                                                                                                                                                  Vytvorte virtuálny počítač zo súboru OVA a vykonajte počiatočnú konfiguráciu, ako sú nastavenia siete.


                                                                                                                                                   

                                                                                                                                                  Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 6.5. Táto možnosť nemusí byť dostupná v starších verziách.

                                                                                                                                                  4

                                                                                                                                                  Nastavte virtuálny počítač Hybrid Data Security

                                                                                                                                                  Prihláste sa do konzoly VM a nastavte prihlasovacie poverenia. Nakonfigurujte sieťové nastavenia pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.

                                                                                                                                                  5

                                                                                                                                                  Nahrajte a pripojte ISO konfiguráciu HDS

                                                                                                                                                  Nakonfigurujte VM z konfiguračného súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool.

                                                                                                                                                  6

                                                                                                                                                  Nakonfigurujte uzol HDS na integráciu proxy

                                                                                                                                                  Ak sieťové prostredie vyžaduje konfiguráciu servera proxy, zadajte typ servera proxy, ktorý použijete pre uzol, a v prípade potreby pridajte certifikát servera proxy do dôveryhodného úložiska.

                                                                                                                                                  7

                                                                                                                                                  Zaregistrujte prvý uzol v klastri

                                                                                                                                                  Zaregistrujte VM v cloude Cisco Webex ako uzol Hybrid Data Security.

                                                                                                                                                  8

                                                                                                                                                  Vytvorte a zaregistrujte viac uzlov

                                                                                                                                                  Dokončite nastavenie klastra.

                                                                                                                                                  9

                                                                                                                                                  Spustiť skúšobnú verziu a prejsť do produkcie (ďalšia kapitola)

                                                                                                                                                  Kým nezačnete skúšobnú verziu, vaše uzly generujú alarm oznamujúci, že vaša služba ešte nie je aktivovaná.

                                                                                                                                                  Stiahnite si inštalačné súbory

                                                                                                                                                  V tejto úlohe stiahnete súbor OVA do svojho počítača (nie na servery, ktoré ste nastavili ako uzly Hybrid Data Security). Tento súbor použijete neskôr v procese inštalácie.
                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do služby https://admin.webex.com a potom kliknite na položku Služby.

                                                                                                                                                  2

                                                                                                                                                  V sekcii Hybridné služby nájdite kartu Hybrid Data Security a kliknite na tlačidlo Nastaviť.

                                                                                                                                                  Ak je karta zakázaná alebo ju nevidíte, kontaktujte tím spravujúci váš účet alebo partnerskú organizáciu. Poskytnite im svoje číslo účtu a požiadajte, aby vašej organizácii umožnili Hybridné zabezpečenie dát. Ak chcete nájsť číslo účtu, kliknite na ozubené koliesko vpravo hore vedľa názvu organizácie.


                                                                                                                                                   

                                                                                                                                                  OVA si tiež môžete kedykoľvek stiahnuť zo sekcie Pomocník na stránke Nastavenia . Na karte Hybrid Data Security kliknite na položku Upraviť nastavenia , čím otvoríte stránku. Potom kliknite na položku Prevziať softvér Hybrid Data Security v sekcii Pomocník .


                                                                                                                                                   

                                                                                                                                                  Staršie verzie softvérového balíka (OVA) nebudú kompatibilné s najnovšími aktualizáciami Hybrid Data Security. To môže viesť k problémom pri inovácii aplikácie. Uistite sa, že ste si stiahli najnovšiu verziu súboru OVA.

                                                                                                                                                  3

                                                                                                                                                  Výberom možnosti Nie označíte, že ste ešte nenastavili uzol, a potom kliknite na tlačidlo Ďalej.

                                                                                                                                                  Automaticky sa začne sťahovať súbor OVA. Uložte súbor na miesto v počítači.
                                                                                                                                                  4

                                                                                                                                                  Voliteľne kliknite na položku Otvoriť sprievodcu nasadením a skontrolujte, či nie je k dispozícii novšia verzia tohto sprievodcu.

                                                                                                                                                  Vytvorte ISO konfigurácie pre hostiteľov HDS

                                                                                                                                                  Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.

                                                                                                                                                  Skôr ako začnete

                                                                                                                                                  • Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Control Hub s úplnými administrátorskými právami pre vašu organizáciu.

                                                                                                                                                    Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker v kroku 5 zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:

                                                                                                                                                    Opis

                                                                                                                                                    Variabilné

                                                                                                                                                    HTTP Proxy bez autentifikácie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy bez autentifikácie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy s autentifikáciou

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy s autentifikáciou

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:

                                                                                                                                                    • Databázové poverenia

                                                                                                                                                    • Aktualizácie certifikátov

                                                                                                                                                    • Zmeny v politike autorizácie

                                                                                                                                                  • Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.

                                                                                                                                                  1

                                                                                                                                                  Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

                                                                                                                                                  V bežných prostrediach:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  V prostrediach FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

                                                                                                                                                  2

                                                                                                                                                  Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Pri výzve na zadanie hesla zadajte tento hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Stiahnite si najnovší stabilný obraz pre vaše prostredie:

                                                                                                                                                  V bežných prostrediach:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  V prostrediach FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

                                                                                                                                                  • V bežných prostrediach bez servera proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • V bežných prostrediach s HTTP proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • V bežných prostrediach s HTTPS proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • V prostrediach FedRAMP bez proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • V prostrediach FedRAMP s HTTP proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný
                                                                                                                                                  • V prostrediach FedRAMP s HTTPS proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný

                                                                                                                                                  Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 .

                                                                                                                                                  Pomocou webového prehliadača prejdite na localhost, http://127.0.0.1:8080, a po výzve zadajte používateľské meno správcu zákazníka pre Control Hub.

                                                                                                                                                  Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie.

                                                                                                                                                  7

                                                                                                                                                  Po zobrazení výzvy zadajte svoje prihlasovacie údaje správcu zákazníka Control Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre hybridné zabezpečenie údajov.

                                                                                                                                                  8

                                                                                                                                                  Na stránke prehľadu nástroja Setup kliknite na položku Začíname.

                                                                                                                                                  9

                                                                                                                                                  Na stránke Import ISO máte tieto možnosti:

                                                                                                                                                  • Nie – Ak vytvárate svoj prvý uzol HDS, nemáte súbor ISO na odovzdanie.
                                                                                                                                                  • Áno – ak ste už vytvorili uzly HDS, vyberte súbor ISO v prehľadávaní a odovzdajte ho.
                                                                                                                                                  10

                                                                                                                                                  Skontrolujte, či váš certifikát X.509 spĺňa požiadavky uvedené v časti Požiadavky na certifikát X.509.

                                                                                                                                                  • Ak ste ešte nikdy neodovzdali certifikát, odovzdajte certifikát X.509, zadajte heslo a kliknite na tlačidlo Pokračovať.
                                                                                                                                                  • Ak je váš certifikát v poriadku, kliknite na tlačidlo Pokračovať.
                                                                                                                                                  • Ak platnosť vášho certifikátu vypršala alebo ho chcete nahradiť, vyberte možnosť Nie pre možnosť Pokračovať v používaní reťazca certifikátov HDS a súkromného kľúča z predchádzajúcej normy ISO?. Odovzdajte nový certifikát X.509, zadajte heslo a kliknite na tlačidlo Pokračovať.
                                                                                                                                                  11

                                                                                                                                                  Zadajte databázovú adresu a účet pre HDS, aby ste získali prístup k vášmu úložisku kľúčových údajov:

                                                                                                                                                  1. Vyberte svoj Typ databázy (PostgreSQL alebo Microsoft SQL Server).

                                                                                                                                                    Ak vyberiete možnosť Microsoft SQL Server, zobrazí sa pole Typ overenia.

                                                                                                                                                  2. (Iba Microsoft SQL Server ) Vyberte svoj Typ overenia:

                                                                                                                                                    • Základná autentifikácia: V poli Používateľské meno potrebujete názov lokálneho účtu SQL Server.

                                                                                                                                                    • Overovanie systému Windows: Potrebujete účet Windows vo formáte používateľské meno@DOMAIN v poli Používateľské meno .

                                                                                                                                                  3. Zadajte adresu databázového servera v tvare : alebo :.

                                                                                                                                                    Príklad:
                                                                                                                                                    dbhost.example.org:1433 alebo 198.51.100.17:1433

                                                                                                                                                    Môžete použiť IP adresu na základnú autentifikáciu, ak uzly nemôžu použiť DNS na rozlíšenie názvu hostiteľa.

                                                                                                                                                    Ak používate overenie systému Windows, musíte zadať úplný názov domény vo formáte dbhost.example.org:1433

                                                                                                                                                  4. Zadajte Názov databázy.

                                                                                                                                                  5. Zadajte Používateľské meno a Heslo používateľa so všetkými oprávneniami v databáze úložiska kľúčov.

                                                                                                                                                  12

                                                                                                                                                  Vyberte Režim pripojenia databázy TLS:

                                                                                                                                                  Režim

                                                                                                                                                  Opis

                                                                                                                                                  Preferovať TLS (predvolená možnosť)

                                                                                                                                                  HDS uzly nevyžadujú TLS na pripojenie k databázovému serveru. Ak povolíte TLS na databázovom serveri, uzly sa pokúsia o šifrované pripojenie.

                                                                                                                                                  Vyžadovať TLS

                                                                                                                                                  Uzly HDS sa pripájajú iba vtedy, ak databázový server dokáže dohodnúť TLS.

                                                                                                                                                  Vyžadovať TLS a overiť podpisovateľa certifikátu


                                                                                                                                                   

                                                                                                                                                  Tento režim nie je použiteľný pre databázy SQL Server.

                                                                                                                                                  • Uzly HDS sa pripájajú iba vtedy, ak databázový server dokáže dohodnúť TLS.

                                                                                                                                                  • Po vytvorení pripojenia TLS uzol porovná podpisovateľa certifikátu z databázového servera s certifikačnou autoritou v koreňovom certifikáte databázy. Ak sa nezhodujú, uzol zruší spojenie.

                                                                                                                                                  Na odovzdanie koreňového certifikátu pre túto možnosť použite ovládací prvok Koreňový certifikát databázy pod rozbaľovacím zoznamom.

                                                                                                                                                  Vyžadovať TLS a overiť podpisovateľa certifikátu a názov hostiteľa

                                                                                                                                                  • Uzly HDS sa pripájajú iba vtedy, ak databázový server dokáže dohodnúť TLS.

                                                                                                                                                  • Po vytvorení pripojenia TLS uzol porovná podpisovateľa certifikátu z databázového servera s certifikačnou autoritou v koreňovom certifikáte databázy. Ak sa nezhodujú, uzol zruší spojenie.

                                                                                                                                                  • Uzly tiež overia, či sa názov hostiteľa v certifikáte servera zhoduje s názvom hostiteľa v poli Hostiteľ databázy a port . Názvy sa musia presne zhodovať, inak uzol zruší spojenie.

                                                                                                                                                  Na odovzdanie koreňového certifikátu pre túto možnosť použite ovládací prvok Koreňový certifikát databázy pod rozbaľovacím zoznamom.

                                                                                                                                                  Keď odovzdáte koreňový certifikát (ak je to potrebné) a kliknete na tlačidlo Pokračovať, nástroj HDS Setup Tool otestuje pripojenie TLS k databázovému serveru. Nástroj tiež overuje podpisovateľa certifikátu a názov hostiteľa, ak je to potrebné. Ak test zlyhá, nástroj zobrazí chybové hlásenie s popisom problému. Môžete si vybrať, či chcete chybu ignorovať a pokračovať v nastavovaní. (Vzhľadom na rozdiely v konektivite môžu byť uzly HDS schopné vytvoriť pripojenie TLS, aj keď ho zariadenie HDS Setup Tool nedokáže úspešne otestovať.)

                                                                                                                                                  13

                                                                                                                                                  Na stránke Systémové denníky nakonfigurujte svoj server Syslogd:

                                                                                                                                                  1. Zadajte adresu URL servera syslog.

                                                                                                                                                    Ak server nie je schopný rozlíšiť DNS z uzlov pre váš klaster HDS, použite v adrese URL adresu IP.

                                                                                                                                                    Príklad:
                                                                                                                                                    udp://10.92.43.23:514 označuje prihlásenie do hostiteľa Syslogd 10.92.43.23 na porte UDP 514.
                                                                                                                                                  2. Ak ste na svojom serveri nastavili používanie šifrovania TLS, začiarknite políčko Je váš server syslog nakonfigurovaný na šifrovanie SSL?.

                                                                                                                                                    Ak začiarknete toto políčko, uistite sa, že ste zadali adresu URL TCP, napríklad tcp://10.92.43.23:514.

                                                                                                                                                  3. V rozbaľovacej ponuke Vybrať ukončenie záznamu syslog vyberte vhodné nastavenie pre váš súbor ISO: Choose alebo Newline sa používa pre Graylog a Rsyslog TCP

                                                                                                                                                    • Null byte -- \x00

                                                                                                                                                    • Nový riadok -- \n – Túto možnosť vyberte pre Graylog a Rsyslog TCP.

                                                                                                                                                  4. Kliknite na tlačidlo Pokračovať.

                                                                                                                                                  14

                                                                                                                                                  (Voliteľné) Predvolenú hodnotu niektorých parametrov pripojenia k databáze môžete zmeniť v časti Rozšírené nastavenia. Vo všeobecnosti je tento parameter jediný, ktorý možno budete chcieť zmeniť:

                                                                                                                                                  app_datasource_connection_pool_maxVeľkosť: 10
                                                                                                                                                  15

                                                                                                                                                  Kliknite na tlačidlo Pokračovať na obrazovke Obnoviť heslo servisných účtov .

                                                                                                                                                  Heslá k servisným účtom majú životnosť deväť mesiacov. Túto obrazovku použite, keď sa blíži koniec platnosti vašich hesiel alebo ich chcete resetovať, aby ste zrušili platnosť predchádzajúcich súborov ISO.

                                                                                                                                                  16

                                                                                                                                                  Kliknite na položku Prevziať súbor ISO. Uložte súbor na miesto, ktoré sa dá ľahko nájsť.

                                                                                                                                                  17

                                                                                                                                                  Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme.

                                                                                                                                                  Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii.

                                                                                                                                                  18

                                                                                                                                                  Ak chcete vypnúť inštalačný nástroj, napíšte CTRL+C.

                                                                                                                                                  Čo robiť ďalej

                                                                                                                                                  Zálohujte konfiguračný súbor ISO. Potrebujete ho na vytvorenie ďalších uzlov na obnovu alebo na vykonanie zmien v konfigurácii. Ak stratíte všetky kópie súboru ISO, stratili ste aj hlavný kľúč. Obnovenie kľúčov z databázy PostgreSQL alebo Microsoft SQL Server nie je možné.


                                                                                                                                                   

                                                                                                                                                  Nikdy nemáme kópiu tohto kľúča a nemôžeme vám pomôcť, ak ho stratíte.

                                                                                                                                                  Nainštalujte HDS Host OVA

                                                                                                                                                  Tento postup použite na vytvorenie virtuálneho počítača zo súboru OVA.
                                                                                                                                                  1

                                                                                                                                                  Na prihlásenie do virtuálneho hostiteľa ESXi použite klienta VMware vSphere na vašom počítači.

                                                                                                                                                  2

                                                                                                                                                  Vyberte položku Súbor > Nasadiť šablónu OVF.

                                                                                                                                                  3

                                                                                                                                                  V sprievodcovi zadajte umiestnenie súboru OVA, ktorý ste prevzali predtým, a potom kliknite na tlačidlo Ďalej.

                                                                                                                                                  4

                                                                                                                                                  Na stránke Vyberte názov a priečinok zadajte Názov virtuálneho počítača pre uzol (napríklad „HDS_Node_1“) a vyberte umiestnenie, kde nasadenie uzla virtuálneho počítača sa môže nachádzať a potom kliknite na tlačidlo Ďalej.

                                                                                                                                                  5

                                                                                                                                                  Na stránke Vyberte výpočtový zdroj vyberte cieľový výpočtový zdroj a potom kliknite na tlačidlo Ďalej.

                                                                                                                                                  Prebehne overovacia kontrola. Po dokončení sa zobrazia podrobnosti šablóny.

                                                                                                                                                  6

                                                                                                                                                  Overte podrobnosti šablóny a potom kliknite na tlačidlo Ďalej.

                                                                                                                                                  7

                                                                                                                                                  Ak sa zobrazí výzva na výber konfigurácie prostriedkov na stránke Konfigurácia , kliknite na položku 4 CPU a potom kliknite na tlačidlo Ďalej.

                                                                                                                                                  8

                                                                                                                                                  Na stránke Vybrať úložisko kliknite na tlačidlo Ďalej , čím prijmete predvolený formát disku a pravidlá úložiska VM.

                                                                                                                                                  9

                                                                                                                                                  Na stránke Vybrať siete vyberte sieťovú možnosť zo zoznamu položiek, aby ste poskytli požadované pripojenie k virtuálnemu počítaču.

                                                                                                                                                  10

                                                                                                                                                  Na stránke Prispôsobiť šablónu nakonfigurujte nasledujúce nastavenia siete:

                                                                                                                                                  • Názov hostiteľa – zadajte FQDN (názov hostiteľa a doménu) alebo jednoslovný názov hostiteľa pre uzol.

                                                                                                                                                     
                                                                                                                                                    • Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509.

                                                                                                                                                    • Ak chcete zabezpečiť úspešnú registráciu do cloudu, použite iba malé písmená v FQDN alebo názve hostiteľa, ktorý ste nastavili pre uzol. Veľké písmená momentálne nie sú podporované.

                                                                                                                                                    • Celková dĺžka FQDN nesmie presiahnuť 64 znakov.

                                                                                                                                                  • Adresa IP – zadajte adresu IP interného rozhrania uzla.

                                                                                                                                                     

                                                                                                                                                    Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované.

                                                                                                                                                  • Maska – zadajte adresu masky podsiete v desiatkovom formáte bodka. Napríklad 255.255.255.0.
                                                                                                                                                  • Brána – zadajte adresu IP brány. Brána je sieťový uzol, ktorý slúži ako prístupový bod do inej siete.
                                                                                                                                                  • Servery DNS – zadajte zoznam serverov DNS oddelených čiarkami, ktoré zabezpečujú preklad názvov domén na číselné adresy IP. (Povolené sú až 4 záznamy DNS.)
                                                                                                                                                  • Servery NTP – zadajte server NTP vašej organizácie alebo iný externý server NTP, ktorý možno použiť vo vašej organizácii. Predvolené servery NTP nemusia fungovať pre všetky podniky. Na zadanie viacerých serverov NTP môžete použiť aj zoznam oddelený čiarkami.
                                                                                                                                                  • Nasaďte všetky uzly v rovnakej podsieti alebo VLAN, aby boli všetky uzly v klastri dosiahnuteľné z klientov vo vašej sieti na administratívne účely.

                                                                                                                                                  Ak chcete, môžete preskočiť konfiguráciu nastavenia siete a podľa krokov v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov nakonfigurujte nastavenia z konzoly uzla.


                                                                                                                                                   

                                                                                                                                                  Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 6.5. Táto možnosť nemusí byť dostupná v starších verziách.

                                                                                                                                                  11

                                                                                                                                                  Kliknite pravým tlačidlom myši na uzol VM a potom vyberte položky Napájanie > Zapnúť.

                                                                                                                                                  Softvér Hybrid Data Security je nainštalovaný ako hosť na hostiteľovi VM. Teraz ste pripravení prihlásiť sa do konzoly a nakonfigurovať uzol.

                                                                                                                                                  Tipy na riešenie problémov

                                                                                                                                                  Môžete zaznamenať oneskorenie niekoľkých minút, kým sa kontajnery uzlov objavia. Počas prvého spustenia, počas ktorého sa nemôžete prihlásiť, sa na konzole zobrazí správa brány firewall mosta.

                                                                                                                                                  Nastavte virtuálny počítač Hybrid Data Security

                                                                                                                                                  Tento postup použite na prvé prihlásenie do konzoly VM uzla Hybrid Data Security a nastavenie prihlasovacích poverení. Konzolu môžete použiť aj na konfiguráciu sieťových nastavení pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.

                                                                                                                                                  1

                                                                                                                                                  V klientovi VMware vSphere vyberte svoj uzol Hybrid Data Security VM a vyberte kartu Konzola .

                                                                                                                                                  VM sa spustí a zobrazí sa výzva na prihlásenie. Ak sa výzva na prihlásenie nezobrazí, stlačte kláves Enter.
                                                                                                                                                  2

                                                                                                                                                  Na prihlásenie a zmenu poverení použite nasledujúce predvolené prihlasovacie meno a heslo:

                                                                                                                                                  1. Prihlásenie: admin

                                                                                                                                                  2. heslo: cisco

                                                                                                                                                  Keďže sa do svojho VM prihlasujete prvýkrát, musíte zmeniť heslo správcu.

                                                                                                                                                  3

                                                                                                                                                  Ak ste už nakonfigurovali nastavenia siete v časti Inštalácia hostiteľa HDS OVA, preskočte zvyšok tohto postupu. V opačnom prípade vyberte v hlavnej ponuke možnosť Upraviť konfiguráciu .

                                                                                                                                                  4

                                                                                                                                                  Nastavte statickú konfiguráciu s IP adresou, maskou, bránou a informáciami DNS. Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované.

                                                                                                                                                  5

                                                                                                                                                  (Voliteľné) Zmeňte názov hostiteľa, doménu alebo server(y) NTP, ak je to potrebné, aby zodpovedali zásadám vašej siete.

                                                                                                                                                  Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509.

                                                                                                                                                  6

                                                                                                                                                  Uložte konfiguráciu siete a reštartujte VM, aby sa zmeny prejavili.

                                                                                                                                                  Nahrajte a pripojte ISO konfiguráciu HDS

                                                                                                                                                  Tento postup použite na konfiguráciu virtuálneho počítača zo súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool.

                                                                                                                                                  Skôr ako začnete

                                                                                                                                                  Keďže súbor ISO obsahuje hlavný kľúč, mal by byť zverejnený len na základe „potreby vedieť“, aby k nemu mali prístup virtuálne počítače s hybridným zabezpečením údajov a všetci správcovia, ktorí môžu potrebovať vykonať zmeny. Uistite sa, že k úložisku údajov majú prístup iba títo správcovia.

                                                                                                                                                  1

                                                                                                                                                  Nahrajte súbor ISO z počítača:

                                                                                                                                                  1. V ľavom navigačnom paneli klienta VMware vSphere kliknite na server ESXi.

                                                                                                                                                  2. Na karte Konfigurácia v zozname Hardvér kliknite na položku Ukladací priestor.

                                                                                                                                                  3. V zozname Úložisko údajov kliknite pravým tlačidlom myši na úložisko údajov pre vaše virtuálne počítače a kliknite na položku Prehliadať úložisko údajov.

                                                                                                                                                  4. Kliknite na ikonu Odovzdať súbory a potom kliknite na položku Odovzdať súbor.

                                                                                                                                                  5. Prejdite do umiestnenia, z ktorého ste prevzali súbor ISO do počítača, a kliknite na tlačidlo Otvoriť.

                                                                                                                                                  6. Kliknutím na tlačidlo Áno prijmete upozornenie týkajúce sa operácie odovzdávania/sťahovania a zatvoríte dialógové okno úložiska údajov.

                                                                                                                                                  2

                                                                                                                                                  Pripojte súbor ISO:

                                                                                                                                                  1. Na ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Upraviť nastavenia.

                                                                                                                                                  2. Kliknutím na tlačidlo OK prijmete upozornenie na obmedzené možnosti úprav.

                                                                                                                                                  3. Kliknite na položku Jednotka CD/DVD 1, vyberte možnosť pripojenia zo súboru ISO úložiska údajov a prejdite do umiestnenia, kam ste odovzdali konfiguračný súbor ISO.

                                                                                                                                                  4. Začiarknite políčka Pripojené a Pripojiť pri zapnutí.

                                                                                                                                                  5. Uložte zmeny a reštartujte virtuálny počítač.

                                                                                                                                                  Čo robiť ďalej

                                                                                                                                                  Ak to vyžaduje vaša politika IT, môžete voliteľne odpojiť súbor ISO po tom, čo všetky vaše uzly prevezmú zmeny konfigurácie. Podrobnosti nájdete v časti (Voliteľné) Odpojenie ISO po konfigurácii HDS .

                                                                                                                                                  Nakonfigurujte uzol HDS na integráciu proxy

                                                                                                                                                  Ak sieťové prostredie vyžaduje server proxy, použite tento postup na určenie typu servera proxy, ktorý chcete integrovať s Hybrid Data Security. Ak si vyberiete transparentný kontrolný proxy server alebo explicitný proxy server HTTPS, môžete použiť rozhranie uzla na nahranie a inštaláciu koreňového certifikátu. Môžete tiež skontrolovať pripojenie proxy z rozhrania a vyriešiť prípadné problémy.

                                                                                                                                                  Skôr ako začnete

                                                                                                                                                  1

                                                                                                                                                  Do webového prehliadača zadajte adresu URL nastavenia uzla HDS https://[IP uzla HDS alebo FQDN]/setup , zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite na tlačidlo Prihlásiť sa .

                                                                                                                                                  2

                                                                                                                                                  Prejdite na stránku Trust Store & Proxy a potom vyberte jednu z možností:

                                                                                                                                                  • Bez servera proxy – predvolená možnosť pred integráciou servera proxy. Nevyžaduje sa žiadna aktualizácia certifikátu.
                                                                                                                                                  • Transparentný nekontrolujúci proxy server – uzly nie sú nakonfigurované na používanie konkrétnej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.
                                                                                                                                                  • Transparentný kontrolný proxy server – uzly nie sú nakonfigurované na používanie konkrétnej adresy servera proxy. Pri nasadení Hybrid Data Security nie sú potrebné žiadne zmeny konfigurácie HTTPS, no uzly HDS potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).
                                                                                                                                                  • Explicitný server proxy – pomocou explicitného servera proxy informujete klienta (uzly HDS), ktorý server proxy má použiť, pričom táto možnosť podporuje niekoľko typov overenia. Po výbere tejto možnosti musíte zadať nasledujúce informácie:
                                                                                                                                                    1. Proxy IP/FQDN – adresa, ktorú možno použiť na spojenie so zariadením proxy.

                                                                                                                                                    2. Port proxy – číslo portu, ktoré server proxy používa na počúvanie prenosu cez server proxy.

                                                                                                                                                    3. Protokol proxy – vyberte http (zobrazuje a riadi všetky požiadavky prijaté od klienta) alebo https (poskytuje kanál pre server a klient prijíma a overí certifikát servera). Vyberte možnosť podľa toho, čo váš proxy server podporuje.

                                                                                                                                                    4. Typ overenia totožnosti – vyberte si z nasledujúcich typov overenia totožnosti:

                                                                                                                                                      • Žiadne – nevyžaduje sa žiadne ďalšie overenie.

                                                                                                                                                        Dostupné pre servery proxy HTTP alebo HTTPS.

                                                                                                                                                      • Základné – používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.

                                                                                                                                                        Dostupné pre servery proxy HTTP alebo HTTPS.

                                                                                                                                                        Ak zvolíte túto možnosť, musíte zadať aj meno používateľa a heslo.

                                                                                                                                                      • Súhrn – používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.

                                                                                                                                                        Dostupné iba pre servery proxy HTTPS.

                                                                                                                                                        Ak zvolíte túto možnosť, musíte zadať aj meno používateľa a heslo.

                                                                                                                                                  Postupujte podľa nasledujúcich krokov pre transparentný kontrolný proxy server, explicitný proxy server HTTP so základným overením alebo explicitný proxy HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Kliknite na položku Odovzdať koreňový certifikát alebo certifikát ukončenia entity a potom prejdite na výber koreňového certifikátu pre server proxy.

                                                                                                                                                  Certifikát je nahraný, ale ešte nie je nainštalovaný, pretože na inštaláciu certifikátu musíte reštartovať uzol. Ak chcete získať ďalšie podrobnosti, kliknite na šípku so šípkou vedľa názvu vydavateľa certifikátu. Ak ste urobili chybu a chcete súbor nahrať znova, kliknite na tlačidlo Odstrániť .

                                                                                                                                                  4

                                                                                                                                                  Kliknutím na položku Skontrolovať pripojenie proxy otestujete sieťové pripojenie medzi uzlom a serverom proxy.

                                                                                                                                                  Ak test pripojenia zlyhá, zobrazí sa chybové hlásenie, v ktorom je uvedený dôvod a ako môžete problém vyriešiť.

                                                                                                                                                  Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS. Tento stav sa očakáva v mnohých explicitných konfiguráciách proxy. Môžete pokračovať v nastavovaní a uzol bude fungovať v režime zablokovaného externého rozlíšenia DNS. Ak si myslíte, že ide o chybu, vykonajte tieto kroky a potom si pozrite časť Vypnutie režimu zablokovaného externého rozlíšenia DNS.

                                                                                                                                                  5

                                                                                                                                                  Po úspešnom teste pripojenia pre explicitný server proxy nastavený iba na https zapnite prepínač na možnosť Smerovať všetky požiadavky protokolu https z tohto uzla na port 443/444 cez explicitný server proxy. Toto nastavenie sa prejaví po 15 sekundách.

                                                                                                                                                  6

                                                                                                                                                  Kliknite na položku Inštalovať všetky certifikáty do dôveryhodného úložiska (zobrazí sa pri explicitnom serveri proxy HTTPS alebo transparentnom kontrolnom serveri proxy) alebo Reštartovať (zobrazí sa pri explicitnom serveri proxy HTTP), prečítajte si výzvu a potom kliknite na tlačidlo Inštalovať , ak ste pripravení.

                                                                                                                                                  Uzol sa reštartuje v priebehu niekoľkých minút.

                                                                                                                                                  7

                                                                                                                                                  Keď sa uzol reštartuje, v prípade potreby sa znova prihláste a potom otvorte stránku Prehľad a skontrolujte kontroly pripojenia, aby ste sa uistili, že sú všetky v zelenom stave.

                                                                                                                                                  Kontrola pripojenia proxy testuje iba subdoménu webex.com. Ak sa vyskytnú problémy s pripojením, bežným problémom je, že niektoré z cloudových domén uvedených v pokynoch na inštaláciu sú na serveri proxy blokované.

                                                                                                                                                  Zaregistrujte prvý uzol v klastri

                                                                                                                                                  Táto úloha prevezme všeobecný uzol, ktorý ste vytvorili v časti Nastavenie virtuálneho počítača Hybrid Data Security, zaregistruje uzol v cloude Webex a zmení ho na uzol Hybrid Data Security.

                                                                                                                                                  Keď zaregistrujete svoj prvý uzol, vytvoríte klaster, ku ktorému je uzol priradený. Klaster obsahuje jeden alebo viac uzlov nasadených na zabezpečenie redundancie.

                                                                                                                                                  Skôr ako začnete

                                                                                                                                                  • Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.

                                                                                                                                                  • Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  V ponuke na ľavej strane obrazovky vyberte položku Služby.

                                                                                                                                                  3

                                                                                                                                                  V sekcii Hybridné služby nájdite položku Hybrid Data Security a kliknite na tlačidlo Nastaviť.

                                                                                                                                                  Zobrazí sa stránka Register Hybrid Data Security Node.
                                                                                                                                                  4

                                                                                                                                                  Výberom možnosti Áno označíte, že ste uzol nastavili a ste pripravení ho zaregistrovať, a potom kliknite na tlačidlo Ďalej.

                                                                                                                                                  5

                                                                                                                                                  Do prvého poľa zadajte názov klastra, ku ktorému chcete priradiť váš uzol Hybrid Data Security.

                                                                                                                                                  Odporúčame pomenovať klaster podľa toho, kde sa geograficky nachádzajú uzly klastra. Príklady: „San Francisco“ alebo „New York“ alebo „Dallas“

                                                                                                                                                  6

                                                                                                                                                  Do druhého poľa zadajte internú adresu IP alebo úplný názov domény (FQDN) svojho uzla a kliknite na tlačidlo Ďalej.

                                                                                                                                                  Táto adresa IP alebo FQDN by sa mala zhodovať s adresou IP alebo názvom hostiteľa a doménou, ktoré ste použili v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov.

                                                                                                                                                  Zobrazí sa správa, že môžete zaregistrovať svoj uzol do Webexu.
                                                                                                                                                  7

                                                                                                                                                  Kliknite na položku Prejsť do uzla.

                                                                                                                                                  8

                                                                                                                                                  V správe s upozornením kliknite na tlačidlo Pokračovať .

                                                                                                                                                  Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že svojej organizácii Webex chcete udeliť povolenia na prístup k vášmu uzlu.
                                                                                                                                                  9

                                                                                                                                                  Začiarknite políčko Povoliť prístup k vášmu uzlu zabezpečenia hybridných údajov a potom kliknite na tlačidlo Pokračovať.

                                                                                                                                                  Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
                                                                                                                                                  10

                                                                                                                                                  Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Hybrid Data Security Control Hub.

                                                                                                                                                  Na stránke Hybrid Data Security sa zobrazí nový klaster obsahujúci uzol, ktorý ste zaregistrovali. Uzol si automaticky stiahne najnovší softvér z cloudu.

                                                                                                                                                  Vytvorte a zaregistrujte viac uzlov

                                                                                                                                                  Ak chcete do svojho klastra pridať ďalšie uzly, jednoducho vytvoríte ďalšie virtuálne počítače a pripojíte rovnaký konfiguračný súbor ISO a potom uzol zaregistrujete. Odporúčame, aby ste mali aspoň 3 uzly.

                                                                                                                                                   

                                                                                                                                                  V súčasnosti sú záložné virtuálne počítače, ktoré ste vytvorili v časti Complete the Requirements for Hybrid Data Security , pohotovostnými hostiteľmi, ktorí sa používajú iba v prípade obnovy po havárii. dovtedy nie sú registrovaní v systéme. Podrobnosti nájdete v časti Obnova po havárii pomocou pohotovostného dátového centra.

                                                                                                                                                  Skôr ako začnete

                                                                                                                                                  • Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.

                                                                                                                                                  • Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Vytvorte nový virtuálny počítač z OVA zopakovaním krokov v časti Inštalácia hostiteľského OVA HDS.

                                                                                                                                                  2

                                                                                                                                                  Nastavte úvodnú konfiguráciu na novom virtuálnom počítači zopakovaním krokov v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov.

                                                                                                                                                  3

                                                                                                                                                  Na novom virtuálnom počítači zopakujte kroky v časti Odovzdanie a pripojenie ISO konfigurácie HDS.

                                                                                                                                                  4

                                                                                                                                                  Ak nastavujete server proxy pre svoje nasadenie, zopakujte kroky v časti Konfigurácia uzla HDS na integráciu servera proxy podľa potreby pre nový uzol.

                                                                                                                                                  5

                                                                                                                                                  Zaregistrujte uzol.

                                                                                                                                                  1. V https://admin.webex.com vyberte z ponuky na ľavej strane obrazovky položku Služby .

                                                                                                                                                  2. V sekcii Hybridné služby nájdite kartu Hybrid Data Security a kliknite na položku Zdroje.

                                                                                                                                                    Zobrazí sa stránka Hybrid Data Security Resources.
                                                                                                                                                  3. Kliknite na položku Pridať zdroj.

                                                                                                                                                  4. V prvom poli vyberte názov vášho existujúceho klastra.

                                                                                                                                                  5. Do druhého poľa zadajte internú adresu IP alebo úplný názov domény (FQDN) svojho uzla a kliknite na tlačidlo Ďalej.

                                                                                                                                                    Zobrazí sa správa oznamujúca, že svoj uzol môžete zaregistrovať do cloudu Webex.
                                                                                                                                                  6. Kliknite na položku Prejsť do uzla.

                                                                                                                                                    Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že chcete svojej organizácii udeliť povolenia na prístup k vášmu uzlu.
                                                                                                                                                  7. Začiarknite políčko Povoliť prístup k vášmu uzlu zabezpečenia hybridných údajov a potom kliknite na tlačidlo Pokračovať.

                                                                                                                                                    Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
                                                                                                                                                  8. Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Hybrid Data Security Control Hub.

                                                                                                                                                  Váš uzol je zaregistrovaný. Upozorňujeme, že kým nezačnete skúšobnú verziu, vaše uzly generujú alarm, ktorý oznamuje, že vaša služba ešte nie je aktivovaná.

                                                                                                                                                  Čo robiť ďalej

                                                                                                                                                  Spustiť skúšobnú verziu a prejsť do produkcie (ďalšia kapitola)
                                                                                                                                                  Spustite skúšobnú verziu a prejdite do výroby

                                                                                                                                                  Skúšobný postup produkčných úloh

                                                                                                                                                  Po nastavení klastra Hybrid Data Security môžete spustiť pilotný projekt, pridať doň používateľov a začať ho používať na testovanie a overovanie vášho nasadenia v rámci prípravy na prechod do produkcie.

                                                                                                                                                  1

                                                                                                                                                  Ak je to možné, synchronizujte objekt skupiny HdsTrialGroup .

                                                                                                                                                  Ak vaša organizácia používa synchronizáciu adresárov pre používateľov, pred spustením skúšobnej verzie musíte vybrať objekt skupiny HdsTrialGroup na synchronizáciu do cloudu. Pokyny nájdete v Príručke nasadenia pre Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Aktivovať skúšobnú verziu

                                                                                                                                                  Začnite skúšobnú verziu. Kým nevykonáte túto úlohu, vaše uzly generujú alarm, ktorý oznamuje, že služba ešte nie je aktivovaná.

                                                                                                                                                  3

                                                                                                                                                  Otestujte svoje nasadenie hybridného zabezpečenia dát

                                                                                                                                                  Skontrolujte, či kľúčové požiadavky prechádzajú do vášho nasadenia Hybrid Data Security.

                                                                                                                                                  4

                                                                                                                                                  Monitorujte zdravie Hybrid Data Security Health

                                                                                                                                                  Skontrolujte stav a nastavte e-mailové upozornenia na budíky.

                                                                                                                                                  5

                                                                                                                                                  Pridajte alebo odstráňte používateľov z vašej skúšobnej verzie

                                                                                                                                                  6

                                                                                                                                                  Dokončite skúšobnú fázu jedným z nasledujúcich krokov:

                                                                                                                                                  Aktivovať skúšobnú verziu

                                                                                                                                                  Skôr ako začnete

                                                                                                                                                  Ak vaša organizácia používa synchronizáciu adresárov pre používateľov, pred spustením skúšobnej verzie pre vašu organizáciu musíte vybrať objekt skupiny HdsTrialGroup na synchronizáciu do cloudu. Pokyny nájdete v Príručke nasadenia pre Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do služby https://admin.webex.com a potom vyberte položku Služby.

                                                                                                                                                  2

                                                                                                                                                  V časti Hybrid Data Security kliknite na položku Nastavenia.

                                                                                                                                                  3

                                                                                                                                                  V časti Stav služby kliknite na tlačidlo Spustiť skúšobnú verziu.

                                                                                                                                                  Stav služby sa zmení na skúšobný režim.
                                                                                                                                                  4

                                                                                                                                                  Kliknite na položku Pridať používateľov a zadajte e-mailovú adresu jedného alebo viacerých používateľov, ktorí budú pilotne používať vaše uzly Hybrid Data Security pre šifrovacie a indexovacie služby.

                                                                                                                                                  (Ak vaša organizácia používa synchronizáciu adresárov, na správu skúšobnej skupiny HdsTrialGroup použite službu Active Directory.)

                                                                                                                                                  Otestujte svoje nasadenie hybridného zabezpečenia dát

                                                                                                                                                  Tento postup použite na testovanie scenárov šifrovania Hybrid Data Security.

                                                                                                                                                  Skôr ako začnete

                                                                                                                                                  • Nastavte nasadenie Hybrid Data Security.

                                                                                                                                                  • Aktivujte skúšobnú verziu a pridajte niekoľko používateľov skúšobnej verzie.

                                                                                                                                                  • Uistite sa, že máte prístup k syslog, aby ste si overili, že kľúčové požiadavky prechádzajú do vášho nasadenia Hybrid Data Security.

                                                                                                                                                  1

                                                                                                                                                  Kľúče pre daný priestor nastavuje tvorca priestoru. Prihláste sa do aplikácie Webex ako jeden z pilotných používateľov a potom vytvorte priestor a pozvite aspoň jedného pilotného používateľa a jedného nepilotného používateľa.


                                                                                                                                                   

                                                                                                                                                  Ak deaktivujete nasadenie Hybrid Data Security, obsah v priestoroch, ktoré vytvoria pilotní používatelia, už nebude prístupný po výmene kópií šifrovacích kľúčov uložených vo vyrovnávacej pamäti klienta.

                                                                                                                                                  2

                                                                                                                                                  Posielajte správy do nového priestoru.

                                                                                                                                                  3

                                                                                                                                                  Skontrolujte výstup syslog, aby ste si overili, že požiadavky na kľúče prechádzajú do vášho nasadenia Hybrid Data Security.

                                                                                                                                                  1. Ak chcete skontrolovať, či používateľ najprv vytvoril zabezpečený kanál pre KMS, filtrujte podľa kms.data.method=create a kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Mali by ste nájsť záznam, ako je tento (identifikátory skrátené kvôli čitateľnosti):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] prijaté, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method= vytvoriť, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERALKEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0 [~]2
                                                                                                                                                    _
                                                                                                                                                  2. Ak chcete vyhľadať používateľa, ktorý od KMS požaduje existujúci kľúč, filtrujte kms.data.method=retrieve a kms.data.type=KEY:

                                                                                                                                                    Mali by ste nájsť záznam ako:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] prijaté, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method= načítať, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, km .data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Ak chcete skontrolovať, či používateľ žiada o vytvorenie nového kľúča KMS, filtrujte kms.data.method=create a kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Mali by ste nájsť záznam ako:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] prijaté, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method =vytvoriť, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_KOLEKCIA, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Ak chcete pri vytváraní priestoru alebo iného chráneného zdroja skontrolovať, či používateľ žiada o vytvorenie nového objektu KMS Resource Object (KRO), použite filter kms.data.method=create a kms.data. type=RESOURCE_COLLECTION:

                                                                                                                                                    Mali by ste nájsť záznam ako:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] prijaté, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method= vytvoriť, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_ZBIERKA , kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Monitorujte zdravie Hybrid Data Security Health

                                                                                                                                                  Indikátor stavu v Control Hub vám ukáže, či je s nasadením Hybrid Data Security všetko v poriadku. Ak chcete dostávať proaktívnejšie upozornenia, prihláste sa na odber e-mailových upozornení. Budete upozornení, keď sa vyskytnú alarmy alebo aktualizácie softvéru ovplyvňujúce službu.
                                                                                                                                                  1

                                                                                                                                                  V Control Hub vyberte z ponuky na ľavej strane obrazovky položku Služby .

                                                                                                                                                  2

                                                                                                                                                  V sekcii Hybridné služby nájdite položku Hybrid Data Security a kliknite na položku Nastavenia.

                                                                                                                                                  Zobrazí sa stránka Hybrid Data Security Settings.
                                                                                                                                                  3

                                                                                                                                                  V časti E-mailové upozornenia zadajte jednu alebo viac e-mailových adries oddelených čiarkami a stlačte kláves Enter.

                                                                                                                                                  Pridajte alebo odstráňte používateľov z vašej skúšobnej verzie

                                                                                                                                                  Po aktivácii skúšobnej verzie a pridaní počiatočnej skupiny používateľov skúšobnej verzie môžete kedykoľvek pridávať alebo odoberať členov skúšobnej verzie, kým je skúšobná verzia aktívna.

                                                                                                                                                  Ak odstránite používateľa zo skúšobnej verzie, klient tohto používateľa bude namiesto vášho KMS požadovať kľúče a vytvorenie kľúča z cloudového KMS. Ak klient potrebuje kľúč, ktorý je uložený vo vašom KMS, cloudový KMS ho načíta v mene používateľa.

                                                                                                                                                  Ak vaša organizácia používa synchronizáciu adresárov, použite službu Active Directory (namiesto tohto postupu) na správu skúšobnej skupiny HdsTrialGroup. členov skupiny môžete zobraziť v Control Hub, ale nemôžete ich pridávať ani odstraňovať.

                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do centra Control Hub a potom vyberte položku Služby.

                                                                                                                                                  2

                                                                                                                                                  V časti Hybrid Data Security kliknite na položku Nastavenia.

                                                                                                                                                  3

                                                                                                                                                  V sekcii Skúšobný režim v oblasti Stav služby kliknite na položku Pridať používateľov alebo kliknutím na položku zobraziť a upraviť odoberte používateľov zo skúšobnej verzie.

                                                                                                                                                  4

                                                                                                                                                  Zadajte e-mailovú adresu jedného alebo viacerých používateľov, ktorých chcete pridať, alebo kliknutím na tlačidlo X pri ID používateľa odstráňte používateľa zo skúšobnej verzie. Potom kliknite na tlačidlo Uložiť.

                                                                                                                                                  Presuňte sa zo skúšobnej do produkcie

                                                                                                                                                  Keď ste spokojní, že vaše nasadenie funguje dobre pre skúšobných používateľov, môžete prejsť do produkcie. Keď prejdete do produkcie, všetci používatelia v organizácii budú používať vašu lokálnu doménu Hybrid Data Security na šifrovacie kľúče a ďalšie služby v oblasti zabezpečenia. Z produkcie sa nemôžete vrátiť späť do skúšobného režimu, pokiaľ službu nedeaktivujete ako súčasť obnovy po havárii. Opätovná aktivácia služby vyžaduje nastavenie novej skúšobnej verzie.
                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do centra Control Hub a potom vyberte položku Služby.

                                                                                                                                                  2

                                                                                                                                                  V časti Hybrid Data Security kliknite na položku Nastavenia.

                                                                                                                                                  3

                                                                                                                                                  V časti Stav služby kliknite na položku Presunúť do produkcie.

                                                                                                                                                  4

                                                                                                                                                  Potvrďte, že chcete presunúť všetkých svojich používateľov do produkcie.

                                                                                                                                                  Ukončite skúšobnú verziu bez presunu do výroby

                                                                                                                                                  Ak sa počas skúšobného obdobia rozhodnete nepokračovať s nasadením Hybrid Data Security, môžete deaktivovať Hybrid Data Security, čím sa skúšobná verzia ukončí a skúšobní používatelia sa presunú späť ku cloudovým službám zabezpečenia údajov. Používatelia skúšobnej verzie stratia prístup k údajom, ktoré boli počas skúšobnej verzie zašifrované.
                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do centra Control Hub a potom vyberte položku Služby.

                                                                                                                                                  2

                                                                                                                                                  V časti Hybrid Data Security kliknite na položku Nastavenia.

                                                                                                                                                  3

                                                                                                                                                  V časti Deaktivovať kliknite na položku Deaktivovať.

                                                                                                                                                  4

                                                                                                                                                  Potvrďte, že chcete službu deaktivovať a ukončiť skúšobnú verziu.

                                                                                                                                                  Spravujte svoje nasadenie HDS

                                                                                                                                                  Spravujte nasadenie HDS

                                                                                                                                                  Pomocou tu popísaných úloh spravujte svoje nasadenie Hybrid Data Security.

                                                                                                                                                  Nastavte plán aktualizácie klastra

                                                                                                                                                  Aktualizácie softvéru pre Hybrid Data Security sa vykonávajú automaticky na úrovni klastra, čo zaisťuje, že všetky uzly vždy bežia s rovnakou verziou softvéru. Inovácie sa vykonávajú podľa plánu aktualizácie pre klaster. Keď bude k dispozícii aktualizácia softvéru, máte možnosť manuálne aktualizovať klaster pred plánovaným časom aktualizácie. Môžete nastaviť konkrétny plán inovácie alebo použiť predvolený plán na 3:00 denne v USA: Amerika/Los Angeles. V prípade potreby môžete tiež odložiť nadchádzajúcu inováciu.

                                                                                                                                                  Ak chcete nastaviť plán aktualizácie:

                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Na stránke Prehľad v časti Hybridné služby vyberte položku Bezpečnosť hybridných údajov.

                                                                                                                                                  3

                                                                                                                                                  Na stránke Hybrid Data Security Resources vyberte klaster.

                                                                                                                                                  4

                                                                                                                                                  Na paneli Prehľad vpravo v časti Nastavenia klastra vyberte názov klastra.

                                                                                                                                                  5

                                                                                                                                                  Na stránke Nastavenia v časti Aktualizácia vyberte čas a časové pásmo pre plán inovácie.

                                                                                                                                                  Poznámka: Pod časovým pásmom sa zobrazí dátum a čas ďalšej dostupnej aktualizácie. V prípade potreby môžete inováciu odložiť na nasledujúci deň kliknutím na tlačidlo Odložiť.

                                                                                                                                                  Zmeňte konfiguráciu uzla

                                                                                                                                                  Príležitostne možno budete musieť zmeniť konfiguráciu uzla Hybrid Data Security z nasledujúcich dôvodov:
                                                                                                                                                  • Zmena x.509 certifikátov z dôvodu uplynutia platnosti alebo iných dôvodov.


                                                                                                                                                     

                                                                                                                                                    Nepodporujeme zmenu názvu domény CN certifikátu. Doména sa musí zhodovať s pôvodnou doménou použitou na registráciu klastra.

                                                                                                                                                  • Aktualizácia nastavení databázy pre zmenu na repliku databázy PostgreSQL alebo Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Nepodporujeme migráciu údajov z PostgreSQL na Microsoft SQL Server ani opačným spôsobom. Ak chcete zmeniť prostredie databázy, spustite nové nasadenie Hybrid Data Security.

                                                                                                                                                  • Vytvorenie novej konfigurácie na prípravu nového dátového centra.

                                                                                                                                                  Z bezpečnostných dôvodov používa Hybrid Data Security heslá servisných účtov, ktoré majú životnosť deväť mesiacov. Keď nástroj HDS Setup vygeneruje tieto heslá, nasadíte ich do každého z vašich uzlov HDS v konfiguračnom súbore ISO. Keď sa blíži koniec platnosti hesiel vašej organizácie, dostanete od tímu Webex upozornenie na resetovanie hesla pre váš počítačový účet. (E-mail obsahuje text „Na aktualizáciu hesla použite rozhranie API strojového účtu.“) Ak platnosť vašich hesiel ešte nevypršala, nástroj vám ponúka dve možnosti:

                                                                                                                                                  • Mäkké obnovenie – staré aj nové heslo fungujú až 10 dní. Toto obdobie použite na postupnú výmenu súboru ISO na uzloch.

                                                                                                                                                  • Tvrdý reset – staré heslá okamžite prestanú fungovať.

                                                                                                                                                  Ak platnosť vašich hesiel vyprší bez resetovania, ovplyvní to vašu službu HDS, čo si vyžaduje okamžitý tvrdý reset a nahradenie súboru ISO na všetkých uzloch.

                                                                                                                                                  Tento postup použite na vygenerovanie nového konfiguračného súboru ISO a jeho použitie vo vašom klastri.

                                                                                                                                                  Skôr ako začnete

                                                                                                                                                  • Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Control Hub s úplnými administrátorskými právami pre vašu organizáciu.

                                                                                                                                                    Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri vytváraní kontajnera Docker v 1.e zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:

                                                                                                                                                    Opis

                                                                                                                                                    Variabilné

                                                                                                                                                    HTTP Proxy bez autentifikácie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy bez autentifikácie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy s autentifikáciou

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy s autentifikáciou

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Na vygenerovanie novej konfigurácie potrebujete kópiu aktuálneho konfiguračného súboru ISO. ISO obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. ISO potrebujete, keď robíte zmeny v konfigurácii vrátane poverení databázy, aktualizácií certifikátov alebo zmien v politike autorizácie.

                                                                                                                                                  1

                                                                                                                                                  Pomocou Docker na lokálnom počítači spustite nástroj HDS Setup Tool.

                                                                                                                                                  1. Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

                                                                                                                                                    V bežných prostrediach:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    V prostrediach FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

                                                                                                                                                  2. Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Pri výzve na zadanie hesla zadajte tento hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Stiahnite si najnovší stabilný obraz pre vaše prostredie:

                                                                                                                                                    V bežných prostrediach:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    V prostrediach FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Uistite sa, že ste na tento postup použili najnovší nástroj Setup. Verzie nástroja vytvorené pred 22. februárom 2018 neobsahujú obrazovky na obnovenie hesla.

                                                                                                                                                  5. Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

                                                                                                                                                    • V bežných prostrediach bez servera proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • V bežných prostrediach s HTTP proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • V bežných prostrediach s HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • V prostrediach FedRAMP bez proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • V prostrediach FedRAMP s HTTP proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný
                                                                                                                                                    • V prostrediach FedRAMP s HTTPS proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný

                                                                                                                                                    Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“.

                                                                                                                                                  6. Použite prehliadač na pripojenie k localhost, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 .

                                                                                                                                                  7. Po zobrazení výzvy zadajte svoje prihlasovacie poverenia zákazníka Control Hub a pokračujte kliknutím na tlačidlo Prijať .

                                                                                                                                                  8. Importujte aktuálny konfiguračný súbor ISO.

                                                                                                                                                  9. Postupujte podľa pokynov na dokončenie nástroja a stiahnite si aktualizovaný súbor.

                                                                                                                                                    Ak chcete vypnúť inštalačný nástroj, napíšte CTRL+C.

                                                                                                                                                  10. Vytvorte záložnú kópiu aktualizovaného súboru v inom údajovom centre.

                                                                                                                                                  2

                                                                                                                                                  Ak máte spustený iba jeden uzol HDS, vytvorte nový virtuálny počítač s uzlom Hybrid Data Security a zaregistrujte ho pomocou nového konfiguračného súboru ISO. Podrobnejšie pokyny nájdete v časti Vytvorenie a registrácia ďalších uzlov.

                                                                                                                                                  1. Nainštalujte hostiteľský OVA HDS.

                                                                                                                                                  2. Nastavte HDS VM.

                                                                                                                                                  3. Pripojte aktualizovaný konfiguračný súbor.

                                                                                                                                                  4. Zaregistrujte nový uzol v Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Pre existujúce uzly HDS, na ktorých je spustený starší konfiguračný súbor, pripojte súbor ISO. Postupne vykonajte nasledujúci postup na každom uzle a pred vypnutím ďalšieho uzla aktualizujte každý uzol:

                                                                                                                                                  1. Vypnite virtuálny stroj.

                                                                                                                                                  2. Na ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Upraviť nastavenia.

                                                                                                                                                  3. Kliknite na položku Jednotka CD/DVD 1, vyberte možnosť pripojenia zo súboru ISO a prejdite do umiestnenia, do ktorého ste prevzali nový konfiguračný súbor ISO.

                                                                                                                                                  4. Začiarknite políčko Pripojiť pri zapnutí.

                                                                                                                                                  5. Uložte zmeny a zapnite virtuálny počítač.

                                                                                                                                                  4

                                                                                                                                                  Opakujte krok 3, aby ste nahradili konfiguráciu na každom zostávajúcom uzle, na ktorom je spustená stará konfigurácia.

                                                                                                                                                  Vypnite režim zablokovaného externého rozlíšenia DNS

                                                                                                                                                  Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. Ak server DNS uzla nedokáže rozlíšiť verejné názvy DNS, uzol automaticky prejde do režimu zablokovaného externého rozlíšenia DNS.

                                                                                                                                                  Ak vaše uzly dokážu rozlíšiť verejné názvy DNS prostredníctvom interných serverov DNS, môžete tento režim vypnúť opätovným spustením testu pripojenia proxy na každom uzle.

                                                                                                                                                  Skôr ako začnete

                                                                                                                                                  Uistite sa, že vaše interné servery DNS dokážu rozlíšiť verejné názvy DNS a že vaše uzly s nimi môžu komunikovať.
                                                                                                                                                  1

                                                                                                                                                  Vo webovom prehliadači otvorte rozhranie uzla Hybrid Data Security (napríklad adresa IP alebo nastavenie, https://192.0.2.0/setup), zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite na tlačidlo Prihlásiť sa).

                                                                                                                                                  2

                                                                                                                                                  Prejdite na Prehľad (predvolená stránka).

                                                                                                                                                  Keď je táto možnosť povolená, možnosť Blokované externé rozlíšenie DNS je nastavená na možnosť Áno.

                                                                                                                                                  3

                                                                                                                                                  Prejdite na stránku Trust Store & Proxy .

                                                                                                                                                  4

                                                                                                                                                  Kliknite na položku Skontrolovať pripojenie proxy.

                                                                                                                                                  Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS a zostane v tomto režime. V opačnom prípade po reštartovaní uzla a návrate na stránku Prehľad by mala byť možnosť Blokované externé rozlíšenie DNS nastavené na možnosť Nie.

                                                                                                                                                  Čo robiť ďalej

                                                                                                                                                  Zopakujte test pripojenia proxy na každom uzle v klastri Hybrid Data Security.

                                                                                                                                                  Odstráňte uzol

                                                                                                                                                  Tento postup použite na odstránenie uzla Hybrid Data Security z cloudu Webex. Po odstránení uzla z klastra odstráňte virtuálny počítač, aby ste zabránili ďalšiemu prístupu k vašim bezpečnostným údajom.
                                                                                                                                                  1

                                                                                                                                                  Pomocou klienta VMware vSphere vo svojom počítači sa prihláste do virtuálneho hostiteľa ESXi a vypnite virtuálny počítač.

                                                                                                                                                  2

                                                                                                                                                  Odstráňte uzol:

                                                                                                                                                  1. Prihláste sa do centra Control Hub a potom vyberte položku Služby.

                                                                                                                                                  2. Na karte Hybrid Data Security kliknite na položku Zobraziť všetko , čím zobrazíte stránku Hybrid Data Security Resources.

                                                                                                                                                  3. Vyberte svoj klaster, aby sa zobrazil jeho panel Prehľad.

                                                                                                                                                  4. Kliknite na položku Otvoriť zoznam uzlov.

                                                                                                                                                  5. Na karte Uzly vyberte uzol, ktorý chcete odstrániť.

                                                                                                                                                  6. Kliknite na položku Akcie > Zrušiť registráciu uzla.

                                                                                                                                                  3

                                                                                                                                                  V klientovi vSphere odstráňte VM. (Na ľavom navigačnom paneli kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Odstrániť.)

                                                                                                                                                  Ak nevymažete VM, nezabudnite odpojiť konfiguračný súbor ISO. Bez súboru ISO nemôžete použiť VM na prístup k bezpečnostným údajom.

                                                                                                                                                  Obnova po havárii pomocou pohotovostného dátového centra

                                                                                                                                                  Najdôležitejšou službou, ktorú váš klaster Hybrid Data Security poskytuje, je vytváranie a ukladanie kľúčov používaných na šifrovanie správ a iného obsahu uloženého v cloude Webex. Pre každého používateľa v rámci organizácie, ktorý je priradený k Hybrid Data Security, sú do klastra smerované nové požiadavky na vytvorenie kľúča. Klaster je tiež zodpovedný za vrátenie kľúčov, ktoré vytvoril, všetkým používateľom oprávneným na ich získanie, napríklad členom konverzačného priestoru.

                                                                                                                                                  Pretože klaster vykonáva kritickú funkciu poskytovania týchto kľúčov, je nevyhnutné, aby klaster zostal spustený a aby sa udržiavali správne zálohy. Strata databázy Hybrid Data Security alebo konfigurácie ISO použitej pre schému bude mať za následok NENÁVRATNÚ STRATU zákazníckeho obsahu. Aby sa predišlo takejto strate, sú povinné nasledujúce postupy:

                                                                                                                                                  Ak havária spôsobí, že nasadenie HDS v primárnom dátovom centre sa stane nedostupným, podľa tohto postupu manuálne prepnite na pohotovostné dátové centrum.

                                                                                                                                                  1

                                                                                                                                                  Spustite nástroj na nastavenie HDS a postupujte podľa krokov uvedených v časti Vytvorenie konfiguračného ISO pre hostiteľov HDS.

                                                                                                                                                  2

                                                                                                                                                  Po konfigurácii servera Syslogd kliknite na položku Rozšírené nastavenia

                                                                                                                                                  3

                                                                                                                                                  Na stránke Rozšírené nastavenia pridajte konfiguráciu nižšie alebo odstráňte konfiguráciu passiveMode , aby bol uzol aktívny. Keď je toto nakonfigurované, uzol môže spracovať prevádzku.

                                                                                                                                                   pasívny režim: 'false' 

                                                                                                                                                  4

                                                                                                                                                  Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť.

                                                                                                                                                  5

                                                                                                                                                  Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii.

                                                                                                                                                  6

                                                                                                                                                  V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Upraviť nastavenia.

                                                                                                                                                  7

                                                                                                                                                  Kliknite na položku Upraviť nastavenia >Jednotka CD/DVD 1 a vyberte položku Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Uistite sa, že sú začiarknuté položky Pripojené a Pripojiť pri zapnutí , aby sa aktualizované zmeny konfigurácie prejavili po spustení uzlov.

                                                                                                                                                  8

                                                                                                                                                  Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy.

                                                                                                                                                  9

                                                                                                                                                  Opakujte proces pre každý uzol v pohotovostnom dátovom centre.


                                                                                                                                                   

                                                                                                                                                  Skontrolujte výstup syslog a overte, či uzly pohotovostného dátového centra nie sú v pasívnom režime. V syslogoch by sa nemalo objaviť „KMS nakonfigurované v pasívnom režime“.

                                                                                                                                                  Čo robiť ďalej

                                                                                                                                                  Ak sa po prepnutí pri zlyhaní opäť aktivuje primárne dátové centrum, uveďte pohotovostné dátové centrum opäť do pasívneho režimu podľa krokov popísaných v časti Nastavenie pohotovostného dátového centra pre obnovu po havárii.

                                                                                                                                                  (Voliteľné) Odpojte ISO po konfigurácii HDS

                                                                                                                                                  Štandardná konfigurácia HDS beží s namontovaným ISO. Niektorí zákazníci však uprednostňujú neponechať súbory ISO nepretržite pripojené. Súbor ISO môžete odpojiť potom, čo všetky uzly HDS prevezmú novú konfiguráciu.

                                                                                                                                                  Na vykonanie zmien v konfigurácii stále používate súbory ISO. Keď vytvoríte nový ISO alebo aktualizujete ISO pomocou nástroja Setup Tool, musíte aktualizovaný ISO pripojiť na všetky vaše uzly HDS. Keď všetky vaše uzly zachytia zmeny konfigurácie, môžete ISO znova odpojiť pomocou tohto postupu.

                                                                                                                                                  Skôr ako začnete

                                                                                                                                                  Inovujte všetky svoje uzly HDS na verziu 2021.01.22.4720 alebo novšiu.

                                                                                                                                                  1

                                                                                                                                                  Vypnite jeden z uzlov HDS.

                                                                                                                                                  2

                                                                                                                                                  V serverovom zariadení vCenter vyberte uzol HDS.

                                                                                                                                                  3

                                                                                                                                                  Vyberte položku Upraviť nastavenia > Jednotka CD/DVD a zrušte začiarknutie políčka Súbor ISO úložiska údajov.

                                                                                                                                                  4

                                                                                                                                                  Zapnite uzol HDS a uistite sa, že aspoň 20 minút nie sú žiadne alarmy.

                                                                                                                                                  5

                                                                                                                                                  Postup opakujte pre každý uzol HDS.

                                                                                                                                                  Riešenie problémov so zabezpečením hybridných údajov

                                                                                                                                                  Zobraziť upozornenia a riešenie problémov

                                                                                                                                                  Nasadenie Hybrid Data Security sa považuje za nedostupné, ak sú všetky uzly v klastri nedostupné alebo klaster pracuje tak pomaly, že si vyžaduje časový limit. Ak používatelia nemôžu dosiahnuť váš klaster Hybrid Data Security, zaznamenajú nasledujúce príznaky:

                                                                                                                                                  • Nie je možné vytvoriť nové medzery (nemožno vytvoriť nové kľúče)

                                                                                                                                                  • Správy a názvy priestorov sa nedajú dešifrovať pre:

                                                                                                                                                    • Noví používatelia pridaní do priestoru (nemožno načítať kľúče)

                                                                                                                                                    • Existujúci používatelia v priestore používajúci nového klienta (nemožno načítať kľúče)

                                                                                                                                                  • Existujúci používatelia v priestore budú naďalej úspešne fungovať, pokiaľ ich klienti majú vyrovnávaciu pamäť šifrovacích kľúčov

                                                                                                                                                  Je dôležité, aby ste správne monitorovali svoj klaster Hybrid Data Security a okamžite riešili všetky výstrahy, aby ste predišli prerušeniu služby.

                                                                                                                                                  Upozornenia

                                                                                                                                                  Ak sa vyskytne problém s nastavením Hybrid Data Security, Control Hub zobrazí upozornenia správcovi organizácie a odošle e-maily na nakonfigurovanú e-mailovú adresu. Výstrahy pokrývajú mnoho bežných scenárov.

                                                                                                                                                  Tabuľka č. 1 Bežné problémy a kroky na ich vyriešenie

                                                                                                                                                  Upozornenie

                                                                                                                                                  Akcia

                                                                                                                                                  Zlyhanie prístupu k lokálnej databáze.

                                                                                                                                                  Skontrolujte chyby databázy alebo problémy s lokálnou sieťou.

                                                                                                                                                  Zlyhanie pripojenia k lokálnej databáze.

                                                                                                                                                  Skontrolujte, či je databázový server dostupný a či boli v konfigurácii uzla použité správne poverenia servisného účtu.

                                                                                                                                                  Zlyhanie prístupu k cloudovej službe.

                                                                                                                                                  Skontrolujte, či majú uzly prístup k serverom Webex, ako je uvedené v časti Požiadavky na externé pripojenie.

                                                                                                                                                  Obnovuje sa registrácia cloudovej služby.

                                                                                                                                                  Registrácia do cloudových služieb bola zrušená. Prebieha obnova registrácie.

                                                                                                                                                  Registrácia cloudovej služby bola zrušená.

                                                                                                                                                  Registrácia do cloudových služieb bola ukončená. Služba sa vypína.

                                                                                                                                                  Služba ešte nie je aktivovaná.

                                                                                                                                                  Aktivujte skúšobnú verziu alebo dokončite presun skúšky do produkcie.

                                                                                                                                                  Nakonfigurovaná doména sa nezhoduje s certifikátom servera.

                                                                                                                                                  Uistite sa, že váš certifikát servera sa zhoduje s nakonfigurovanou doménou aktivácie služby.

                                                                                                                                                  Najpravdepodobnejšou príčinou je, že certifikát CN bol nedávno zmenený a teraz sa líši od CN, ktorý bol použitý počas počiatočného nastavenia.

                                                                                                                                                  Nepodarilo sa overiť v cloudových službách.

                                                                                                                                                  Skontrolujte presnosť a možné vypršanie platnosti poverení servisného účtu.

                                                                                                                                                  Nepodarilo sa otvoriť súbor lokálneho úložiska kľúčov.

                                                                                                                                                  Skontrolujte integritu a presnosť hesla v lokálnom súbore skladu kľúčov.

                                                                                                                                                  Certifikát lokálneho servera je neplatný.

                                                                                                                                                  Skontrolujte dátum vypršania platnosti certifikátu servera a potvrďte, že bol vydaný dôveryhodnou certifikačnou autoritou.

                                                                                                                                                  Nie je možné uverejniť metriky.

                                                                                                                                                  Skontrolujte prístup k lokálnej sieti k externým cloudovým službám.

                                                                                                                                                  Adresár /media/configdrive/hds neexistuje.

                                                                                                                                                  Skontrolujte konfiguráciu pripojenia ISO na virtuálnom hostiteľovi. Overte, či súbor ISO existuje, či je nakonfigurovaný na pripojenie pri reštarte a či sa úspešne pripojí.

                                                                                                                                                  Riešenie problémov so zabezpečením hybridných údajov

                                                                                                                                                  Pri riešení problémov s Hybrid Data Security použite nasledujúce všeobecné pokyny.
                                                                                                                                                  1

                                                                                                                                                  Skontrolujte si v Control Hub všetky upozornenia a opravte všetky položky, ktoré tam nájdete.

                                                                                                                                                  2

                                                                                                                                                  Skontrolujte výstup servera syslog pre aktivitu z nasadenia Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Kontaktujte podporu Cisco.

                                                                                                                                                  Ďalšie poznámky

                                                                                                                                                  Známe problémy s hybridnou bezpečnosťou dát

                                                                                                                                                  • Ak vypnete svoj klaster Hybrid Data Security (odstránením v Control Hub alebo vypnutím všetkých uzlov), stratíte svoj konfiguračný súbor ISO alebo stratíte prístup k databáze úložiska kľúčov, používatelia vašej aplikácie Webex už nebudú môcť používať priestory pod svojimi ľuďmi. zoznam, ktorý bol vytvorený pomocou kľúčov z vášho KMS. Platí to pre skúšobné aj produkčné nasadenia. V súčasnosti nemáme riešenie ani opravu tohto problému a žiadame vás, aby ste nevypínali svoje služby HDS, keď budú spracovávať aktívne používateľské účty.

                                                                                                                                                  • Klient, ktorý má existujúce pripojenie ECDH ku KMS, udržiava toto pripojenie určitý čas (pravdepodobne jednu hodinu). Keď sa používateľ stane členom skúšobnej verzie Hybrid Data Security, klient používateľa naďalej používa existujúce pripojenie ECDH, kým nevyprší časový limit. Prípadne sa používateľ môže odhlásiť a znova prihlásiť do aplikácie Webex App, aby aktualizoval umiestnenie, ktoré aplikácia kontaktuje pre šifrovacie kľúče.

                                                                                                                                                    Rovnaké správanie nastane, keď presuniete skúšobnú verziu do produkcie organizácie. Všetci neskúšobní používatelia s existujúcimi pripojeniami ECDH k predchádzajúcim službám zabezpečenia údajov budú tieto služby naďalej používať, kým sa znovu nedohodne pripojenie ECDH (prostredníctvom časového limitu alebo odhlásením a opätovným prihlásením).

                                                                                                                                                  Na vygenerovanie súboru PKCS12 použite OpenSSL

                                                                                                                                                  Skôr ako začnete

                                                                                                                                                  • OpenSSL je jeden nástroj, ktorý možno použiť na vytvorenie súboru PKCS12 v správnom formáte na načítanie v nástroji HDS Setup Tool. Existujú aj iné spôsoby, ako to urobiť, a my nepodporujeme ani nepresadzujeme jeden spôsob oproti druhému.

                                                                                                                                                  • Ak sa rozhodnete použiť OpenSSL, poskytujeme tento postup ako návod, ktorý vám pomôže vytvoriť súbor, ktorý spĺňa požiadavky na certifikát X.509 v časti Požiadavky na certifikát X.509. Než budete pokračovať, pochopte tieto požiadavky.

                                                                                                                                                  • Nainštalujte OpenSSL v podporovanom prostredí. Softvér a dokumentáciu nájdete v časti https://www.openssl.org .

                                                                                                                                                  • Vytvorte si súkromný kľúč.

                                                                                                                                                  • Tento postup začnite, keď dostanete certifikát servera od certifikačnej autority (CA).

                                                                                                                                                  1

                                                                                                                                                  Keď od svojej CA dostanete certifikát servera, uložte ho ako hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Zobrazte certifikát ako text a overte podrobnosti.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Pomocou textového editora vytvorte súbor balíka certifikátov s názvom hdsnode-bundle.pem. Súbor balíka musí obsahovať certifikát servera, akékoľvek sprostredkujúce certifikáty CA a certifikáty koreňovej CA vo formáte nižšie:

                                                                                                                                                  -----ZAČIATOK CERTIFIKÁT----- ### Certifikát servera. ### -----KONIEC CERTIFIKÁTU----- -----ZAČIATOK CERTIFIKÁTU----- ### Certifikát strednej CA. ### -----KONIEC CERTIFIKÁTU----- -----ZAČIATOK CERTIFIKÁTU----- ### Certifikát koreňovej CA. ### -----KONIEC CERTIFIKÁTU-----

                                                                                                                                                  4

                                                                                                                                                  Vytvorte súbor .p12 s priateľským názvom kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Skontrolujte podrobnosti certifikátu servera.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Vo výzve zadajte heslo na zašifrovanie súkromného kľúča, aby bol uvedený vo výstupe. Potom skontrolujte, či súkromný kľúč a prvý certifikát obsahujú riadky friendlyName: kms-private-key.

                                                                                                                                                    Príklad:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12 Zadajte heslo importu: Atribúty tašky OK s overením MAC friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Kľúčové atribúty:  Zadajte heslo PEM: Overenie – zadajte heslo PEM: -----ZAČIATOK ŠIFROVANÝ SÚKROMNÝ KĽÚČ-----  -----KONIEC ŠIFROVANÝ SÚKROMNÝ KĽÚČ----- Atribúty tašky friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -- Encrypt Authority ---ZAČIATOK CERTIFIKÁT-----  -----KONIEC CERTIFIKÁTU----- Vlastnosti tašky friendlyMeno: CN=Poďme šifrovať autoritu X3,O=Poďme zašifrovať,C=US predmet=/C=US/O=Poďme zašifrovať/CN=Poďme zašifrovať autoritu X3 vydavateľ=/O=Digitálny podpis Trust Co./CN=DST Root CA X3 -----ZAČIATOK CERTIFIKÁT-----  -----KONIEC CERTIFIKÁTU-----

                                                                                                                                                  Čo robiť ďalej

                                                                                                                                                  Vráťte sa na stránku Dokončenie predpokladov pre hybridné zabezpečenie údajov. V časti Vytvorenie konfiguračného ISO pre hostiteľov HDS použijete súbor hdsnode.p12 a heslo, ktoré ste preň nastavili.


                                                                                                                                                   

                                                                                                                                                  Tieto súbory môžete znova použiť na vyžiadanie nového certifikátu, keď platnosť pôvodného certifikátu vyprší.

                                                                                                                                                  Prevádzka medzi uzlami HDS a cloudom

                                                                                                                                                  Odchádzajúca návštevnosť zberu metrík

                                                                                                                                                  Uzly Hybrid Data Security odosielajú určité metriky do cloudu Webex. Patria sem systémové metriky pre maximálnu haldu, využitú haldu, zaťaženie procesora a počet vlákien; metriky na synchrónnych a asynchrónnych vláknach; metriky výstrah zahŕňajúce prah šifrovacích pripojení, latenciu alebo dĺžku frontu žiadostí; metriky v dátovom sklade; a metriky šifrovaného pripojenia. Uzly posielajú zašifrovaný kľúčový materiál cez kanál mimo pásma (oddelený od požiadavky).

                                                                                                                                                  Prichádzajúca premávka

                                                                                                                                                  Uzly Hybrid Data Security prijímajú nasledujúce typy prichádzajúcej prevádzky z cloudu Webex:

                                                                                                                                                  • Šifrovacie požiadavky od klientov, ktoré sú smerované šifrovacou službou

                                                                                                                                                  • Aktualizácie softvéru uzla

                                                                                                                                                  Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát

                                                                                                                                                  Websocket sa nemôže pripojiť cez Squid Proxy

                                                                                                                                                  Servery proxy typu Squid, ktoré kontrolujú prenos HTTPS, môžu narúšať vytváranie pripojení websocket (wss:), ktoré vyžaduje Hybrid Data Security. Tieto časti poskytujú návod, ako nakonfigurovať rôzne verzie Squid tak, aby ignorovali wss: prevádzky pre správne fungovanie služieb.

                                                                                                                                                  Kalmáre 4 a 5

                                                                                                                                                  Pridajte on_unsupported_protocol smernicu na stránku squid.conf:

                                                                                                                                                  on_unsupported_protocol tunel všetko

                                                                                                                                                  Kalmáre 3.5.27

                                                                                                                                                  Úspešne sme testovali Hybrid Data Security pomocou nasledujúcich pravidiel pridaných na stránku squid.conf. Tieto pravidlá sa môžu meniť, pretože vyvíjame funkcie a aktualizujeme cloud Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex ortuťové pripojenie ssl_bump splice wssMercuryConnection acl krok1 at_step SslBump1 acl krok2 at_step SslBump2 acl krok3 at_step SslBump3 ssl_bump pohľad krok1 všetko ssl_bump pozerať krok2 všetko ssl_bump vyskočiť krok3 všetko
                                                                                                                                                  Predslov

                                                                                                                                                  Nové a zmenené informácie

                                                                                                                                                  Dátum

                                                                                                                                                  Vykonané zmeny

                                                                                                                                                  Októbra 20, 2023

                                                                                                                                                  Augusta 07, 2023

                                                                                                                                                  Môže 23, 2023

                                                                                                                                                  Decembra 06, 2022

                                                                                                                                                  Novembra 23, 2022

                                                                                                                                                  • Uzly HDS teraz môžu používať overovanie systému Windows proti serveru Microsoft SQL Server.

                                                                                                                                                    Aktualizovaná téma Požiadavky na databázový server o ďalšie požiadavky pre tento režim overovania.

                                                                                                                                                    Aktualizované Vytvorenie konfiguračného ISO pre hostiteľov HDS pomocou postupu konfigurácie overovania systému Windows na uzloch.

                                                                                                                                                  • Aktualizovali sme tému Požiadavky na databázový server o nové minimálne požadované verzie (PostgreSQL 10).

                                                                                                                                                  Októbra 13, 2021

                                                                                                                                                  Docker Desktop musí pred inštaláciou uzlov HDS spustiť inštalačný program. Pozrite si tému Požiadavkyna pracovnú plochu Dockeru.

                                                                                                                                                  Júna 24, 2021

                                                                                                                                                  Všimol som si, že súbor súkromného kľúča a CSR môžete znova použiť na vyžiadanie ďalšieho certifikátu. Podrobnosti nájdete v časti Použitie OpenSSL na vygenerovanie súboru PKCS12.

                                                                                                                                                  Apríla 30, 2021

                                                                                                                                                  Požiadavka na miesto na lokálnom pevnom disku na virtuálnom počítači sa zmenila na 30 GB. Podrobnosti nájdete v časti Požiadavky na virtuálneho hostiteľa.

                                                                                                                                                  Februára 24, 2021

                                                                                                                                                  HDS Setup Tool teraz môže bežať za proxy. Podrobnosti nájdete v časti Vytvorenie konfiguračného ISO pre hostiteľov HDS.

                                                                                                                                                  Februára 2, 2021

                                                                                                                                                  HDS teraz môže bežať bez pripojeného súboru ISO. Podrobnosti nájdete v časti (Voliteľné) Odpojenie ISO po konfigurácii HDS.

                                                                                                                                                  Januára 11, 2021

                                                                                                                                                  Pridané informácie o nástroji na nastavenie HDS a proxy serveroch na vytvorenie konfiguračného ISO pre hostiteľovHDS.

                                                                                                                                                  Októbra 13, 2020

                                                                                                                                                  Aktualizované inštalačné súboryna stiahnutie.

                                                                                                                                                  Októbra 8, 2020

                                                                                                                                                  Aktualizované Vytvorte konfiguračné ISO pre hostiteľov HDS a zmeňte konfiguráciu uzla pomocou príkazov pre prostredia FedRAMP.

                                                                                                                                                  Augusta 14, 2020

                                                                                                                                                  Aktualizované Vytvorte konfiguračné ISO pre hostiteľov HDS a zmeňte konfiguráciu uzla so zmenami v procese prihlásenia.

                                                                                                                                                  Augusta 5, 2020

                                                                                                                                                  Aktualizované Otestujte nasadenie hybridného zabezpečenia údajov na zmeny v správach denníka.

                                                                                                                                                  Aktualizované požiadavky na virtuálneho hostiteľa na odstránenie maximálneho počtu hostiteľov.

                                                                                                                                                  Júna 16, 2020

                                                                                                                                                  Aktualizované Odstránenie uzla pre zmeny v používateľskom rozhraní riadiaceho centra.

                                                                                                                                                  Júna 4, 2020

                                                                                                                                                  Aktualizované Vytvorenie konfiguračného ISO pre hostiteľov HDS pre zmeny v rozšírených nastaveniach, ktoré môžete nastaviť.

                                                                                                                                                  Môže 29, 2020

                                                                                                                                                  Aktualizované Vytvorenie konfiguračného ISO pre hostiteľov HDS, aby sa ukázalo, že TLS môžete používať aj s databázami SQL Servera, zmenami používateľského rozhrania a ďalšími vysvetleniami.

                                                                                                                                                  Môže 5, 2020

                                                                                                                                                  Aktualizované požiadavky na virtuálneho hostiteľa, aby sa zobrazila nová požiadavka ESXi 6.5.

                                                                                                                                                  Apríla 21, 2020

                                                                                                                                                  Aktualizované požiadavky na externé pripojenie s novými hostiteľmi CI v Amerike.

                                                                                                                                                  Apríla 1, 2020

                                                                                                                                                  Aktualizované požiadavky na externé pripojenie s informáciami o regionálnych hostiteľoch CI.

                                                                                                                                                  Februára 20, 2020Aktualizované Vytvorenie konfiguračného ISO pre hostiteľov HDS s informáciami o novej voliteľnej obrazovke Rozšírené nastavenia v nástroji HDS Setup Tool.
                                                                                                                                                  Februára 4, 2020Aktualizované požiadavky naproxy server.
                                                                                                                                                  Decembra 16, 2019Objasnili sme požiadavku na fungovanie režimu blokovaného externého rozlíšenia DNS v požiadavkách naproxy server.
                                                                                                                                                  Novembra 19, 2019

                                                                                                                                                  Pridané informácie o režime blokovaného externého rozlíšenia DNS v nasledujúcich častiach:

                                                                                                                                                  Novembra 8, 2019

                                                                                                                                                  Teraz môžete nakonfigurovať nastavenia siete pre uzol počas nasadenia OVA, a nie neskôr.

                                                                                                                                                  Zodpovedajúcim spôsobom aktualizované nasledujúce sekcie:


                                                                                                                                                   

                                                                                                                                                  Možnosť konfigurácie sieťových nastavení počas nasadenia OVA bola testovaná pomocou ESXi 6.5. Táto možnosť nemusí byť dostupná v starších verziách.

                                                                                                                                                  6. septembra 2019

                                                                                                                                                  Pridaný SQL Server Standard do požiadaviekdatabázového servera.

                                                                                                                                                  Augusta 29, 2019Pridaná príloha Konfigurácia proxy Squid pre hybridné zabezpečenie údajov s pokynmi na konfiguráciu proxy Squid tak, aby ignorovali prevádzku websocketu pre správnu funkciu.
                                                                                                                                                  Augusta 20, 2019

                                                                                                                                                  Pridané a aktualizované sekcie pokrývajúce podporu servera proxy pre komunikáciu uzlov hybridného zabezpečenia údajov s cloudom Webex.

                                                                                                                                                  Ak chcete získať prístup len k obsahu podpory servera proxy pre existujúce nasadenie, pozrite si článok pomocníka Podpora servera proxy pre zabezpečenie hybridných údajov a Webex Video Mesh .

                                                                                                                                                  Júna 13, 2019Aktualizovaný postup skúšobnej do produkčnej úlohy s pripomenutím synchronizácie HdsTrialGroup Skupinový objekt pred spustením skúšobnej verzie, ak vaša organizácia používa synchronizáciu adresárov.
                                                                                                                                                  6. marec 2019
                                                                                                                                                  • Požiadavky a predpoklady sme presunuli do samostatnej kapitoly Príprava prostredia.

                                                                                                                                                  • Pridaný prehľad postupu úlohy nasadenia hybridného zabezpečenia údajov v kapitole Nastavenie klastrahybridného zabezpečenia údajov.

                                                                                                                                                    Všimnite si, že kým nespustíte skúšobnú verziu (podľa pokynov v nasledujúcej kapitole), vaše uzly generujú alarm, ktorý signalizuje, že vaša služba ešte nie je aktivovaná.

                                                                                                                                                  • Pridaná skúšobná verzia do toku produkčnej úlohy v kapitole Spustenie skúšobnej verzie a prechod do produkcie.

                                                                                                                                                  Februára 28, 2019
                                                                                                                                                  • Opravené množstvo miesta na lokálnom pevnom disku na serveri, ktoré by ste mali vyčleniť pri príprave virtuálnych hostiteľov, ktorí sa stanú uzlami Hybrid Data Security, z 50 GB na 20 GB, aby odrážali veľkosť disku, ktorý vytvára OVA.

                                                                                                                                                  Februára 26, 2019
                                                                                                                                                  • Uzly Hybrid Data Security teraz podporujú šifrované pripojenia k databázovým serverom PostgreSQL a šifrované pripojenia protokolovania k serveru syslog s podporou protokolu TLS. Aktualizované Vytvorte konfiguračné ISO pre hostiteľov HDS s pokynmi.

                                                                                                                                                  • Odstránené koncové URL adresy z tabuľky Požiadavky na internetové pripojenie pre virtuálne počítače hybridných uzlov zabezpečenia údajov. Tabuľka teraz odkazuje na zoznam udržiavaný v tabuľke "Ďalšie adresy URL pre hybridné služby Webex Teams" v tabuľke Požiadavky na sieť pre službyWebex Teams.

                                                                                                                                                  Januára 24, 2019

                                                                                                                                                  • Hybrid Data Security teraz podporuje Microsoft SQL Server ako databázu. SQL Server Always On (Always On Failover Clusters a Always On Availability Groups) je podporovaný ovládačmi JDBC, ktoré sa používajú v hybridnom zabezpečení údajov. Pridaný obsah súvisiaci s nasadením pomocou SQL Servera.


                                                                                                                                                     

                                                                                                                                                    Podpora servera Microsoft SQL Server je určená len pre nové nasadenia hybridného zabezpečenia údajov. V súčasnosti nepodporujeme migráciu údajov z PostgreSQL na Microsoft SQL Server v existujúcom nasadení.

                                                                                                                                                  5. novembra 2018
                                                                                                                                                  Októbra 19, 2018

                                                                                                                                                  Júla 31, 2018

                                                                                                                                                  Môže 21, 2018

                                                                                                                                                  Zmenená terminológia tak, aby odrážala rebranding Cisco Spark:

                                                                                                                                                  • Cisco Spark Hybrid Data Security je teraz Hybrid Data Security.

                                                                                                                                                  • Aplikácia Cisco Spark je teraz aplikácia Webex App.

                                                                                                                                                  • Cisco Collaboraton Cloud je teraz cloudom Webex.

                                                                                                                                                  Apríla 11, 2018
                                                                                                                                                  Februára 22, 2018
                                                                                                                                                  Februára 15, 2018
                                                                                                                                                  • V tabuľke Požiadavky na certifikát X.509 zašpecifikovali, že certifikát nemôže byť certifikátom so zástupným znakom a že služba KMS používa doménu CN, nie akúkoľvek doménu, ktorá je definovaná v poliach siete SAN x.509v3.

                                                                                                                                                  Januára 18, 2018

                                                                                                                                                  Novembra 2, 2017

                                                                                                                                                  • Objasnená synchronizácia adresárov HdsTrialGroup.

                                                                                                                                                  • Opravené pokyny na nahranie konfiguračného súboru ISO pre pripojenie k uzlom virtuálneho počítača.

                                                                                                                                                  Augusta 18, 2017

                                                                                                                                                  Prvýkrát uverejnené

                                                                                                                                                  Začnite s hybridným zabezpečením dát

                                                                                                                                                  Prehľad hybridného zabezpečenia údajov

                                                                                                                                                  Od prvého dňa bola bezpečnosť údajov primárnym zameraním pri navrhovaní aplikácie Webex. Základným kameňom tohto zabezpečenia je komplexné šifrovanie obsahu, ktoré umožňujú klienti aplikácie Webex pri interakcii so službou správy kľúčov (KMS). Služba KMS je zodpovedná za vytváranie a správu kryptografických kľúčov, ktoré klienti používajú na dynamické šifrovanie a dešifrovanie správ a súborov.

                                                                                                                                                  V predvolenom nastavení získajú všetci zákazníci aplikácie Webex end-to-end šifrovanie pomocou dynamických kľúčov uložených v cloudovej službe KMS v oblasti zabezpečenia spoločnosti Cisco. Hybrid Data Security presúva KMS a ďalšie funkcie súvisiace so zabezpečením do vášho podnikového dátového centra, takže nikto okrem vás nemá kľúče k vášmu šifrovanému obsahu.

                                                                                                                                                  Architektúra oblasti zabezpečenia

                                                                                                                                                  Cloudová architektúra Webex rozdeľuje rôzne typy služieb do samostatných sfér alebo dôveryhodných domén, ako je znázornené nižšie.

                                                                                                                                                  Oblasti oddelenia (bez hybridného zabezpečenia údajov)

                                                                                                                                                  Aby sme lepšie pochopili hybridnú bezpečnosť údajov, pozrime sa najprv na tento čisto cloudový prípad, kde Cisco poskytuje všetky funkcie vo svojich cloudových sférach. Služba identity, jediné miesto, kde môžu byť používatelia priamo korelovaní so svojimi osobnými údajmi, ako je e-mailová adresa, je logicky a fyzicky oddelená od oblasti bezpečnosti v dátovom centre B. Obe sú zase oddelené od sféry, kde je v konečnom dôsledku uložený šifrovaný obsah, v dátovom centre C.

                                                                                                                                                  V tomto diagrame je klientom aplikácia Webex spustená na prenosnom počítači používateľa a overila sa v službe identity. Keď používateľ vytvorí správu na odoslanie do priestoru, vykonajú sa nasledujúce kroky:

                                                                                                                                                  1. Klient vytvorí zabezpečené spojenie so službou správy kľúčov (KMS) a potom požiada o kľúč na zašifrovanie správy. Zabezpečené pripojenie používa ECDH a KMS šifruje kľúč pomocou hlavného kľúča AES-256.

                                                                                                                                                  2. Správa je zašifrovaná skôr, ako opustí klienta. Klient ho odošle do indexovacej služby, ktorá vytvorí šifrované vyhľadávacie indexy, ktoré pomôžu pri budúcom vyhľadávaní obsahu.

                                                                                                                                                  3. Šifrovaná správa sa odošle do služby dodržiavania súladu na kontrolu súladu.

                                                                                                                                                  4. Zašifrovaná správa je uložená v oblasti úložiska.

                                                                                                                                                  Pri nasadení hybridného zabezpečenia údajov presuniete funkcie oblasti zabezpečenia (KMS, indexovanie a dodržiavanie súladu) do lokálneho údajového centra. Ostatné cloudové služby, ktoré tvoria Webex (vrátane identity a úložiska obsahu), zostávajú v sférach spoločnosti Cisco.

                                                                                                                                                  Spolupráca s inými organizáciami

                                                                                                                                                  Používatelia vo vašej organizácii môžu pravidelne používať aplikáciu Webex na spoluprácu s externými účastníkmi v iných organizáciách. Keď jeden z vašich používateľov požiada o kľúč pre priestor, ktorý vlastní vaša organizácia (pretože ho vytvoril jeden z vašich používateľov), vaša služba KMS odošle kľúč klientovi cez zabezpečený kanál ECDH. Ak však kľúč pre priestor vlastní iná organizácia, vaša služba KMS nasmeruje požiadavku do cloudu Webex prostredníctvom samostatného kanála ECDH, aby získala kľúč z príslušnej služby KMS, a potom vráti kľúč používateľovi na pôvodnom kanáli.

                                                                                                                                                  Služba KMS spustená v organizácii A overuje pripojenia k KMS v iných organizáciách pomocou certifikátov PKI x.509. Podrobnosti o generovaní certifikátu x.509 na použitie s nasadením hybridného zabezpečenia údajov nájdete v téme Príprava prostredia .

                                                                                                                                                  Očakávania týkajúce sa nasadenia hybridného zabezpečenia údajov

                                                                                                                                                  Nasadenie hybridného zabezpečenia údajov si vyžaduje značné odhodlanie zákazníkov a povedomie o rizikách, ktoré prináša vlastníctvo šifrovacích kľúčov.

                                                                                                                                                  Ak chcete nasadiť hybridné zabezpečenie údajov, musíte poskytnúť:

                                                                                                                                                  • Zabezpečené dátové centrum v krajine, ktorá je podporovaným miestom pre plányCisco Webex Teams.

                                                                                                                                                  • Vybavenie, softvér a prístup k sieti popísané v časti Príprava prostredia.

                                                                                                                                                  Úplná strata konfiguračného ISO, ktoré vytvoríte pre hybridné zabezpečenie údajov, alebo databázy, ktorú poskytnete, bude mať za následok stratu kľúčov. Strata kľúča bráni používateľom v dešifrovaní obsahu priestoru a iných šifrovaných údajov v aplikácii Webex. Ak k tomu dôjde, môžete vytvoriť nové nasadenie, ale bude viditeľný iba nový obsah. Aby ste predišli strate prístupu k údajom, musíte:

                                                                                                                                                  • Spravujte zálohovanie a obnovu databázy a konfigurácie ISO.

                                                                                                                                                  • Buďte pripravení vykonať rýchlu obnovu po havárii, ak dôjde ku katastrofe, ako je napríklad zlyhanie databázového disku alebo katastrofa dátového centra.


                                                                                                                                                   

                                                                                                                                                  Neexistuje žiadny mechanizmus na presunutie kľúčov späť do cloudu po nasadení HDS.

                                                                                                                                                  Proces nastavenia na vysokej úrovni

                                                                                                                                                  Tento dokument sa zaoberá nastavením a správou nasadenia hybridného zabezpečenia údajov:

                                                                                                                                                  • Nastavenie hybridného zabezpečeniaúdajov – to zahŕňa prípravu požadovanej infraštruktúry a inštaláciu softvéru Hybrid Data Security, testovanie nasadenia s podmnožinou používateľov v skúšobnom režime a po dokončení testovania prechod do produkcie. Tým sa celá organizácia prevedie na používanie klastra Hybrid Data Security na funkcie zabezpečenia.

                                                                                                                                                    Fázy nastavenia, skúšky a výroby sú podrobne popísané v nasledujúcich troch kapitolách.

                                                                                                                                                  • Udržujte nasadeniehybridného zabezpečenia údajov – cloud Webex automaticky poskytuje priebežné inovácie. Vaše IT oddelenie môže poskytnúť podporu prvej úrovne pre toto nasadenie a podľa potreby zapojiť podporu spoločnosti Cisco. V Centre ovládania môžete používať upozornenia na obrazovke a nastaviť e-mailové upozornenia.

                                                                                                                                                  • Pochopte bežné upozornenia, kroky na riešenie problémov a známe problémy– ak narazíte na problémy s nasadením alebo používaním hybridného zabezpečenia údajov, posledná kapitola tejto príručky a príloha Známe problémy vám môžu pomôcť určiť a vyriešiť problém.

                                                                                                                                                  Model nasadenia hybridného zabezpečenia údajov

                                                                                                                                                  V rámci podnikového dátového centra nasadíte Hybrid Data Security ako jeden klaster uzlov na samostatných virtuálnych hostiteľoch. Uzly komunikujú s cloudom Webex prostredníctvom zabezpečených websocketov a zabezpečeného protokolu HTTP.

                                                                                                                                                  Počas procesu inštalácie vám poskytneme súbor OVA na nastavenie virtuálneho zariadenia na virtuálnych počítačoch, ktoré poskytnete. Pomocou nástroja HDS Setup Tool vytvoríte vlastný súbor ISO konfigurácie klastra, ktorý pripojíte ku každému uzlu. Klaster Hybrid Data Security používa vami poskytnutý server Syslogd a databázu PostgreSQL alebo Microsoft SQL Server. (Podrobnosti o systémovom pripojení a databázovom pripojení nakonfigurujete v nástroji HDS Setup Tool.)

                                                                                                                                                  Model nasadenia hybridného zabezpečenia údajov

                                                                                                                                                  Minimálny počet uzlov, ktoré môžete mať v klastri, sú dva. Odporúčame aspoň tri a môžete ich mať až päť. Viaceré uzly zaisťujú, že služba nie je prerušená počas aktualizácie softvéru alebo inej činnosti údržby uzla. (Oblak Webex aktualizuje naraz iba jeden uzol.)

                                                                                                                                                  Všetky uzly v klastri pristupujú k rovnakému úložisku údajov kľúčov a zaznamenávajú aktivitu na rovnakom serveri syslogu. Samotné uzly sú bezstavové a spracovávajú kľúčové požiadavky kruhovým spôsobom podľa pokynov cloudu.

                                                                                                                                                  Uzly sa stanú aktívnymi, keď ich zaregistrujete v Centre ovládania. Ak chcete jednotlivý uzol vyradiť z prevádzky, môžete ho zrušiť a v prípade potreby neskôr znova zaregistrovať.

                                                                                                                                                  Podporujeme iba jeden klaster na organizáciu.

                                                                                                                                                  Skúšobný režim hybridného zabezpečenia údajov

                                                                                                                                                  Po nastavení nasadenia hybridného zabezpečenia údajov ho najskôr vyskúšate so skupinou pilotných používateľov. Počas skúšobného obdobia títo používatelia používajú vašu lokálnu doménu Hybrid Data Security na šifrovanie kľúčov a ďalšie služby sféry zabezpečenia. Ostatní používatelia budú naďalej používať oblasť zabezpečenia cloudu.

                                                                                                                                                  Ak sa rozhodnete nepokračovať v nasadení počas skúšobnej verzie a deaktivujete službu, pilotní používatelia a všetci používatelia, s ktorými komunikovali vytvorením nových priestorov počas skúšobného obdobia, stratia prístup k správam a obsahu. V aplikácii Webex uvidia "Túto správu nie je možné dešifrovať".

                                                                                                                                                  Ak ste spokojní s tým, že vaše nasadenie funguje dobre pre používateľov skúšobnej verzie a ste pripravení rozšíriť hybridné zabezpečenie údajov na všetkých používateľov, presuňte nasadenie do produkčnej verzie. Pilotní používatelia majú naďalej prístup ku kľúčom, ktoré sa používali počas skúšobnej verzie. Nemôžete sa však pohybovať tam a späť medzi produkčným režimom a pôvodnou skúšobnou verziou. Ak musíte službu deaktivovať, napríklad na obnovu po havárii, pri opätovnej aktivácii musíte spustiť novú skúšobnú verziu a nastaviť skupinu pilotných používateľov pre novú skúšobnú verziu pred návratom do produkčného režimu. To, či si používatelia v tomto bode zachovajú prístup k údajom, závisí od toho, či ste úspešne udržiavali zálohy kľúčového ukladacieho priestoru údajov a konfiguračného súboru ISO pre uzly hybridného zabezpečenia údajov v klastri.

                                                                                                                                                  Pohotovostné dátové centrum na obnovu po havárii

                                                                                                                                                  Počas nasadenia nastavíte zabezpečené pohotovostné dátové centrum. V prípade havárie dátového centra môžete manuálne zlyhať nasadenie do pohotovostného dátového centra.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Manuálne prepnutie pri zlyhaní do pohotovostného dátového centra

                                                                                                                                                  Databázy aktívnych a pohotovostných dátových centier sú navzájom synchronizované, čo minimalizuje čas potrebný na vykonanie prepnutia pri zlyhaní. Súbor ISO pohotovostného dátového centra je aktualizovaný o ďalšie konfigurácie, ktoré zabezpečujú, že uzly sú zaregistrované v organizácii, ale nebudú spracovávať prevádzku. Uzly pohotovostného dátového centra preto zostávajú vždy aktuálne s najnovšou verziou softvéru HDS.


                                                                                                                                                   

                                                                                                                                                  Aktívne uzly Hybrid Data Security musia byť vždy v rovnakom dátovom centre ako aktívny databázový server.

                                                                                                                                                  Nastavenie pohotovostného dátového centra na obnovu po havárii

                                                                                                                                                  Ak chcete nakonfigurovať ISO file pohotovostného dátového centra postupujte podľa nasledujúcich krokov:

                                                                                                                                                  Skôr než začnete

                                                                                                                                                  • Pohotovostné dátové centrum by malo zrkadliť produkčné prostredie virtuálnych počítačov a záložnú databázu PostgreSQL alebo Microsoft SQL Server. Ak má napríklad produkcia 3 virtuálne počítače s uzlami HDS, zálohovacie prostredie by malo mať 3 virtuálne počítače. (Prehľad tohto modelu prepnutia pri zlyhaní nájdete v časti Pohotovostné dátové centrum pre obnovu po havárii.)

                                                                                                                                                  • Uistite sa, že je povolená synchronizácia databázy medzi databázou aktívnych a pasívnych uzlov klastra.

                                                                                                                                                  1

                                                                                                                                                  Spustite nástroj HDS Setup a postupujte podľa krokov uvedených v časti Vytvorenie konfiguračného ISO pre hostiteľovHDS.


                                                                                                                                                   

                                                                                                                                                  Súbor ISO musí byť kópiou pôvodného súboru ISO primárneho dátového centra, v ktorom sa majú vykonať nasledujúce aktualizácie konfigurácie.

                                                                                                                                                  2

                                                                                                                                                  Po nakonfigurovaní servera Syslogd kliknite na Rozšírené nastavenia

                                                                                                                                                  3

                                                                                                                                                  Na stránke Rozšírené nastavenia pridajte nižšie uvedenú konfiguráciu, aby sa uzol prepol do pasívneho režimu. V tomto režime bude uzol zaregistrovaný v organizácii a pripojený ku cloudu, ale nebude spracovávať žiadnu prevádzku.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dokončite proces konfigurácie a uložte súbor ISO do umiestnenia, ktoré sa dá ľahko nájsť.

                                                                                                                                                  5

                                                                                                                                                  Vytvorte záložnú kópiu súboru ISO v lokálnom systéme. Uchovávajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov hybridného zabezpečenia údajov, ktorí by mali vykonať zmeny konfigurácie.

                                                                                                                                                  6

                                                                                                                                                  Na ľavej navigačnej table klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Upraviť nastavenia.

                                                                                                                                                  7

                                                                                                                                                  Kliknite na položku Upraviť nastavenia >Jednotka CD/DVD 1 a vyberte položku Súbor ISO ukladacieho priestoru údajov.


                                                                                                                                                   

                                                                                                                                                  Uistite sa, že sú začiarknuté položky Pripojené a Pripojiť pri zapnutí , aby sa aktualizované zmeny konfigurácie mohli prejaviť po spustení uzlov.

                                                                                                                                                  8

                                                                                                                                                  Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy.

                                                                                                                                                  9

                                                                                                                                                  Zopakujte postup pre každý uzol v pohotovostnom dátovom centre.


                                                                                                                                                   

                                                                                                                                                  Skontrolujte syslogy a overte, či sú uzly v pasívnom režime. Mali by ste byť schopní zobraziť správu "KMS nakonfigurované v pasívnom režime" v systémových protokoloch.

                                                                                                                                                  Čo robiť ďalej

                                                                                                                                                  Po konfigurácii passiveMode v súbore ISO a jeho uložení môžete vytvoriť ďalšiu kópiu súboru ISO bez možnosti passiveMode konfiguráciu a uložte ho na bezpečné miesto. Táto kópia súboru ISO bez passiveMode Configure môže pomôcť pri rýchlom procese prepnutia pri zlyhaní počas obnovy po havárii. Podrobný postup prepnutia pri zlyhaní nájdete v časti Obnova po havárii pomocou dátového centra v pohotovostnom režime.

                                                                                                                                                  Podpora proxy servera

                                                                                                                                                  Hybridné zabezpečenie údajov podporuje explicitné, transparentné kontrolné a nekontrolujúce proxy servery. Tieto proxy servery môžete prepojiť s nasadením, aby ste mohli zabezpečiť a monitorovať prevádzku z podniku do cloudu. Rozhranie správcu platformy na uzloch môžete použiť na správu certifikátov a na kontrolu celkového stavu pripojenia po nastavení proxy servera na uzloch.

                                                                                                                                                  Uzly Hybrid Data Security podporujú nasledujúce možnosti servera proxy:

                                                                                                                                                  • Žiadny server proxy– predvolené, ak na integráciu servera proxy nepoužívate konfiguráciu ukladacieho priestoru dôveryhodnosti a proxy uzlu HDS. Nie je potrebná žiadna aktualizácia certifikátu.

                                                                                                                                                  • Transparentný nekontrolujúci server proxy– uzly nie sú nakonfigurované na používanie konkrétnej adresy servera proxy a nemali by vyžadovať žiadne zmeny na prácu s nekontrolujúcim serverom proxy. Nie je potrebná žiadna aktualizácia certifikátu.

                                                                                                                                                  • Transparentné tunelovanie alebo kontrola proxyservera – uzly nie sú nakonfigurované na používanie konkrétnej adresy proxy servera. Na uzloch nie sú potrebné žiadne zmeny konfigurácie HTTP alebo HTTPS. Uzly však potrebujú koreňový certifikát, aby dôverovali serveru proxy. Kontrolné proxy servery zvyčajne používa IT na presadzovanie politík, ktoré webové stránky je možné navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy dešifruje všetku vašu prevádzku (dokonca aj HTTPS).

                                                                                                                                                  • Explicitný proxy server– pomocou explicitného proxy servera HDS poviete, ktorý proxy server a autentifikačnú schému majú použiť. Ak chcete nakonfigurovať explicitný server, musíte zadať nasledujúce informácie o každom uzle:

                                                                                                                                                    1. Proxy IP/FQDN– adresa, ktorú možno použiť na spojenie s proxy.

                                                                                                                                                    2. Portservera proxy – číslo portu, ktoré server proxy používa na načúvanie prenosu servera proxy.

                                                                                                                                                    3. Protokol proxy –v závislosti od toho, čo váš proxy server podporuje, si vyberte z nasledujúcich protokolov:

                                                                                                                                                      • HTTP – zobrazuje a riadi všetky požiadavky, ktoré klient odosiela.

                                                                                                                                                      • HTTPS – poskytuje kanál k serveru. Klient dostane a overí certifikát servera.

                                                                                                                                                    4. Typoverenia – vyberte si z nasledujúcich typov overovania:

                                                                                                                                                      • Žiadne– nevyžaduje sa žiadne ďalšie overenie.

                                                                                                                                                        K dispozícii, ak ako protokol proxy vyberiete HTTP alebo HTTPS.

                                                                                                                                                      • Základné– používa sa pre HTTP User Agent na zadanie používateľského mena a hesla pri zadávaní žiadosti. Používa kódovanie Base64.

                                                                                                                                                        K dispozícii, ak ako protokol proxy vyberiete HTTP alebo HTTPS.

                                                                                                                                                        Vyžaduje zadanie mena používateľa a hesla v každom uzle.

                                                                                                                                                      • Digest– používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije hašovaciu funkciu na meno používateľa a heslo pred odoslaním cez sieť.

                                                                                                                                                        K dispozícii len v prípade, že ako protokol proxy vyberiete protokol HTTPS.

                                                                                                                                                        Vyžaduje zadanie mena používateľa a hesla v každom uzle.

                                                                                                                                                  Príklad hybridných uzlov zabezpečenia údajov a proxy

                                                                                                                                                  Tento diagram znázorňuje príklad prepojenia medzi hybridným zabezpečením údajov, sieťou a proxy. Pre možnosti transparentnej kontroly a explicitnej kontroly HTTPS proxy servera musí byť na proxy serveri a na uzloch Hybrid Data Security nainštalovaný rovnaký koreňový certifikát.

                                                                                                                                                  Režim blokovaného externého rozlíšenia DNS (explicitné konfigurácie servera proxy)

                                                                                                                                                  Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. V nasadeniach s explicitnými konfiguráciami servera proxy, ktoré nepovoľujú externé rozlíšenie DNS pre interných klientov, ak uzol nemôže dotazovať servery DNS, automaticky prejde do režimu blokovaného externého rozlíšenia DNS. V tomto režime môže pokračovať registrácia uzla a ďalšie testy pripojenia proxy servera.

                                                                                                                                                  Pripravte si prostredie

                                                                                                                                                  Požiadavky na zabezpečenie hybridných údajov

                                                                                                                                                  Licenčné požiadavky Cisco Webex

                                                                                                                                                  Nasadenie hybridného zabezpečenia údajov:

                                                                                                                                                  Požiadavky na pracovnú plochu Dockeru

                                                                                                                                                  Pred inštaláciou uzlov HDS potrebujete Docker Desktop na spustenie inštalačného programu. Docker nedávno aktualizoval svoj licenčný model. Vaša organizácia môže vyžadovať platené predplatné pre Docker Desktop. Podrobnosti nájdete v blogovom príspevku Dockeru " Docker aktualizuje a rozširuje naše predplatnéproduktov".

                                                                                                                                                  Požiadavky na certifikát X.509

                                                                                                                                                  Reťazec certifikátov musí spĺňať nasledujúce požiadavky:

                                                                                                                                                  Tabuľka č. 1 Požiadavky na certifikát X.509 pre nasadenie hybridného zabezpečenia údajov

                                                                                                                                                  Požiadavka

                                                                                                                                                  Podrobnosti

                                                                                                                                                  • Podpísané dôveryhodnou certifikačnou autoritou (CA)

                                                                                                                                                  V predvolenom nastavení dôverujeme certifikačným autoritám v zozname Mozilla (s výnimkou WoSign a StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Nesie názov domény Common Name (CN), ktorý identifikuje nasadenie hybridného zabezpečenia údajov

                                                                                                                                                  • Nie je to certifikát so zástupnými znakmi

                                                                                                                                                  CN nemusí byť dostupný ani živý hostiteľ. Odporúčame vám použiť názov, ktorý odráža vašu organizáciu, napríklad hds.company.com.

                                                                                                                                                  KN nesmie obsahovať * (zástupný znak).

                                                                                                                                                  CN sa používa na overenie uzlov hybridného zabezpečenia údajov pre klientov aplikácie Webex. Všetky uzly hybridného zabezpečenia údajov v klastri používajú rovnaký certifikát. Služba KMS sa identifikuje pomocou domény CN, nie akejkoľvek domény, ktorá je definovaná v poliach siete SAN x.509v3.

                                                                                                                                                  Po registrácii uzla s týmto certifikátom nepodporujeme zmenu názvu domény CN. Vyberte doménu, ktorá sa môže vzťahovať na skúšobné aj produkčné nasadenie.

                                                                                                                                                  • Podpis iný ako SHA1

                                                                                                                                                  Softvér KMS nepodporuje podpisy SHA1 na overovanie pripojení k KMS iných organizácií.

                                                                                                                                                  • Formátované ako súbor PKCS #12 chránený heslom

                                                                                                                                                  • Použite popisný názov kms-private-key označte certifikát, súkromný kľúč a všetky prechodné certifikáty, ktoré chcete nahrať.

                                                                                                                                                  Na zmenu formátu certifikátu môžete použiť konvertor, ako je napríklad OpenSSL.

                                                                                                                                                  Pri spustení nástroja HDS Setup Tool budete musieť zadať heslo.

                                                                                                                                                  Softvér KMS nevynucuje používanie klávesov ani rozšírené obmedzenia používania kľúčov. Niektoré certifikačné autority vyžadujú, aby sa na každý certifikát použili rozšírené obmedzenia používania kľúčov, ako je napríklad overovanie servera. Je v poriadku použiť overenie servera alebo iné nastavenia.

                                                                                                                                                  Požiadavky na virtuálneho hostiteľa

                                                                                                                                                  Virtuálni hostitelia, ktorých nastavíte ako uzly hybridného zabezpečenia údajov v klastri, majú nasledujúce požiadavky:

                                                                                                                                                  • Aspoň dvaja samostatní hostitelia (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre

                                                                                                                                                  • Nainštalovaný a spustený VMware ESXi 6.5 (alebo novší).


                                                                                                                                                     

                                                                                                                                                    Ak máte staršiu verziu ESXi, musíte inovovať.

                                                                                                                                                  • Minimálne 4 virtuálne procesory, 8 GB hlavnej pamäte, 30 GB miesta na lokálnom pevnom disku na server

                                                                                                                                                  Požiadavky na databázový server


                                                                                                                                                   

                                                                                                                                                  Vytvorte novú databázu pre ukladanie kľúčov. Nepoužívajte predvolenú databázu. Aplikácie HDS po nainštalovaní vytvárajú databázovú schému.

                                                                                                                                                  Existujú dve možnosti pre databázový server. Požiadavky na každý z nich sú tieto:

                                                                                                                                                  Tabuľka 2. Požiadavky na databázový server podľa typu databázy

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 alebo 16, nainštalovaný a spustený.

                                                                                                                                                  • nainštalovaný SQL Server 2016, 2017 alebo 2019 (Enterprise alebo Standard).


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 vyžaduje balík Service Pack 2 a kumulatívnu aktualizáciu 2 alebo novšiu.

                                                                                                                                                  Minimálne 8 virtuálnych procesorov, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby nedošlo k jeho prekročeniu (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhší čas bez potreby zväčšovania úložiska)

                                                                                                                                                  Minimálne 8 virtuálnych procesorov, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby nedošlo k jeho prekročeniu (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhší čas bez potreby zväčšovania úložiska)

                                                                                                                                                  Softvér HDS v súčasnosti inštaluje nasledujúce verzie ovládačov pre komunikáciu s databázovým serverom:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Ovládač Postgres JDBC 42.2.5

                                                                                                                                                  Ovládač JDBC servera SQL Server 4.6

                                                                                                                                                  Táto verzia ovládača podporuje SQL Server Always On ( inštancie klastra s podporou prevzatia pri zlyhaní vždy zapnuté a skupinydostupnosti Always On).

                                                                                                                                                  Ďalšie požiadavky na overenie systému Windows na serveri Microsoft SQL Server

                                                                                                                                                  Ak chcete, aby uzly HDS používali overenie systému Windows na získanie prístupu k databáze úložiska kľúčov na serveri Microsoft SQL Server, potrebujete vo svojom prostredí nasledujúcu konfiguráciu:

                                                                                                                                                  • Uzly HDS, infraštruktúra Active Directory a MS SQL Server musia byť synchronizované s NTP.

                                                                                                                                                  • Konto Windows, ktoré poskytnete uzlom HDS, musí mať prístup na čítanie a zápis do databázy.

                                                                                                                                                  • Servery DNS, ktoré poskytnete uzlom HDS, musia byť schopné rozpoznať vaše centrum distribúcie kľúčov (KDC).

                                                                                                                                                  • Inštanciu databázy HDS môžete zaregistrovať na serveri Microsoft SQL Server ako hlavný názov služby (SPN) v službe Active Directory. Pozrite si tému Registrácia hlavného názvu služby pre pripojeniaprotokolu Kerberos.

                                                                                                                                                    Nástroj na nastavenie HDS, spúšťač HDS a lokálny KMS musia na prístup k databáze úložiska kľúčov používať overenie systému Windows. Používajú podrobnosti z konfigurácie ISO na vytvorenie hlavného názvu služby pri žiadosti o prístup pomocou overovania protokolom Kerberos.

                                                                                                                                                  Požiadavky na externé pripojenie

                                                                                                                                                  Nakonfigurujte bránu firewall tak, aby umožňovala nasledujúce pripojenie pre aplikácie HDS:

                                                                                                                                                  Aplikácia

                                                                                                                                                  Protokol

                                                                                                                                                  Prístav

                                                                                                                                                  Smer z aplikácie

                                                                                                                                                  Cieľ

                                                                                                                                                  Hybridné uzly zabezpečenia údajov

                                                                                                                                                  Protokol tcp

                                                                                                                                                  443

                                                                                                                                                  Odchádzajúce protokoly HTTPS a WSS

                                                                                                                                                  • Servery Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Všetci hostitelia Common Identity

                                                                                                                                                  • Ďalšie adresy URL, ktoré sú uvedené pre zabezpečenie hybridných údajov v tabuľke Ďalšie adresy URL pre hybridné služby Webex v časti Požiadavky na sieť pre služby Webex

                                                                                                                                                  Nástroj na nastavenie HDS

                                                                                                                                                  Protokol tcp

                                                                                                                                                  443

                                                                                                                                                  Odchádzajúci protokol HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Všetci hostitelia Common Identity

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Uzly Hybrid Data Security pracujú s prekladom prístupu k sieti (NAT) alebo za bránou firewall, pokiaľ preklad sieťových adries alebo brána firewall povoľuje požadované odchádzajúce pripojenia k cieľom domény v predchádzajúcej tabuľke. V prípade pripojení prichádzajúcich do uzlov Hybrid Data Security by nemali byť z internetu viditeľné žiadne porty. V rámci vášho dátového centra potrebujú klienti prístup k uzlom hybridného zabezpečenia údajov na portoch TCP 443 a 22 na administratívne účely.

                                                                                                                                                  URL adresy hostiteľov Common Identity (CI) sú špecifické pre oblasť. Toto sú súčasní hostitelia CI:

                                                                                                                                                  Región

                                                                                                                                                  Bežné adresy URL hostiteľa identity

                                                                                                                                                  Amerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Európska únia

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Požiadavky na proxy server

                                                                                                                                                  • Oficiálne podporujeme nasledujúce proxy riešenia, ktoré je možné integrovať s vašimi uzlami Hybrid Data Security.

                                                                                                                                                    • Transparentný proxy server – Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Explicitný zástupca – chobotnica.


                                                                                                                                                       

                                                                                                                                                      Proxy servery chobotníc, ktoré kontrolujú prevádzku HTTPS, môžu interferovať s vytvorením websocketu (wss:) Pripojenia. Ak chcete tento problém obísť, pozrite si tému Konfigurácia proxy serverov Squid pre hybridné zabezpečenieúdajov.

                                                                                                                                                  • Podporujeme nasledujúce kombinácie typov overovania pre explicitné proxy servery:

                                                                                                                                                    • Žiadna autentifikácia pomocou protokolu HTTP alebo HTTPS

                                                                                                                                                    • Základná autentifikácia pomocou protokolu HTTP alebo HTTPS

                                                                                                                                                    • Overovanie súhrnu iba pomocou protokolu HTTPS

                                                                                                                                                  • V prípade transparentného kontrolného proxy servera alebo explicitného proxy servera HTTPS musíte mať kópiu koreňového certifikátu servera proxy. Pokyny na nasadenie v tejto príručke vám povedia, ako nahrať kópiu do dôveryhodných úložísk uzlov Hybrid Data Security.

                                                                                                                                                  • Sieť, ktorá je hostiteľom uzlov HDS, musí byť nakonfigurovaná tak, aby vynútila smerovanie odchádzajúcej prevádzky TCP na porte 443 cez proxy.

                                                                                                                                                  • Servery Proxy, ktoré kontrolujú webovú prevádzku, môžu rušiť pripojenia webových soketov. Ak sa vyskytne tento problém, obídenie (nie kontrola) premávky wbx2.com a ciscospark.com vyrieši problém.

                                                                                                                                                  Splnenie predpokladov pre hybridné zabezpečenie údajov

                                                                                                                                                  Pomocou tohto kontrolného zoznamu sa uistite, že ste pripravení nainštalovať a nakonfigurovať klaster Hybrid Data Security.
                                                                                                                                                  1

                                                                                                                                                  Uistite sa, že vaša organizácia Webex má povolený balík Pro Pack pre Cisco Webex Control Hub, a získajte poverenia účtu s úplnými právami správcu organizácie. Požiadajte o pomoc s týmto procesom svojho partnera Cisco alebo správcu účtu.

                                                                                                                                                  2

                                                                                                                                                  Vyberte názov domény pre nasadenie HDS (napríklad hds.company.com) a získať reťazec certifikátov obsahujúci certifikát X.509, súkromný kľúč a všetky sprostredkujúce certifikáty. Reťazec certifikátov musí spĺňať požiadavky v X.509 Požiadavkyna certifikát.

                                                                                                                                                  3

                                                                                                                                                  Pripravte si identických virtuálnych hostiteľov, ktorých nastavíte ako uzly hybridného zabezpečenia údajov v klastri. Potrebujete aspoň dvoch samostatných hostiteľov (odporúčajú sa 3) umiestnených v rovnakom zabezpečenom dátovom centre, ktoré spĺňajú požiadavky v požiadavkáchna virtuálneho hostiteľa.

                                                                                                                                                  4

                                                                                                                                                  Pripravte databázový server, ktorý bude fungovať ako kľúčové dátové úložisko pre klaster podľa požiadaviekdatabázového servera. Databázový server musí byť umiestnený v zabezpečenom dátovom centre s virtuálnymi hostiteľmi.

                                                                                                                                                  1. Vytvorte databázu pre ukladanie kľúčov. (Túto databázu musíte vytvoriť – nepoužívajte predvolenú databázu. Aplikácie HDS po nainštalovaní vytvoria schému databázy.)

                                                                                                                                                  2. Zhromaždite podrobnosti, ktoré uzly použijú na komunikáciu s databázovým serverom:

                                                                                                                                                    • názov hostiteľa alebo IP adresa (host) a port

                                                                                                                                                    • Názov databázy (DBNAME) pre ukladanie kľúčov

                                                                                                                                                    • Používateľské meno a heslo používateľa so všetkými oprávneniami v databáze úložiska kľúčov

                                                                                                                                                  5

                                                                                                                                                  Pre rýchle zotavenie po havárii nastavte prostredie zálohovania v inom dátovom centre. Zálohovacie prostredie zrkadlí produkčné prostredie virtuálnych počítačov a záložného databázového servera. Ak má napríklad produkcia 3 virtuálne počítače s uzlami HDS, zálohovacie prostredie by malo mať 3 virtuálne počítače.

                                                                                                                                                  6

                                                                                                                                                  Nastavte hostiteľa syslog na zhromažďovanie denníkov z uzlov v klastri. Zhromaždite jeho sieťovú adresu a port syslog (predvolená hodnota je UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Vytvorte politiku bezpečného zálohovania pre uzly Hybrid Data Security, databázový server a hostiteľa syslogu. Aby ste predišli neobnoviteľnej strate údajov, musíte minimálne zálohovať databázu a konfiguračný súbor ISO vygenerovaný pre uzly Hybrid Data Security.


                                                                                                                                                   

                                                                                                                                                  Keďže uzly Hybrid Data Security ukladajú kľúče používané pri šifrovaní a dešifrovaní obsahu, nezachovanie prevádzkového nasadenia bude mať za následok NEOBNOVITEĽNÚ STRATU tohto obsahu.

                                                                                                                                                  Klienti aplikácie Webex ukladajú svoje kľúče do vyrovnávacej pamäte, takže výpadok nemusí byť okamžite viditeľný, ale časom sa prejaví. Zatiaľ čo dočasným výpadkom nie je možné zabrániť, dajú sa obnoviť. Úplná strata (nie sú k dispozícii žiadne zálohy) databázy alebo konfiguračného súboru ISO však bude mať za následok neobnoviteľné údaje o zákazníkoch. Od prevádzkovateľov uzlov Hybrid Data Security sa očakáva, že budú udržiavať časté zálohy databázy a konfiguračného súboru ISO a budú pripravení prebudovať dátové centrum Hybrid Data Security, ak dôjde ku katastrofálnemu zlyhaniu.

                                                                                                                                                  8

                                                                                                                                                  Uistite sa, že konfigurácia brány firewall umožňuje pripojenie pre uzly hybridného zabezpečenia údajov, ako je uvedené v časti Požiadavky naexterné pripojenie.

                                                                                                                                                  9

                                                                                                                                                  Nainštalujte Docker ( https://www.docker.com) na ľubovoľný lokálny počítač s podporovaným operačným systémom (Microsoft Windows 10 Professional alebo Enterprise 64-bit, alebo Mac OSX Yosemite 10.10.3 alebo novší) s webovým prehliadačom, ktorý k nemu má prístup na adrese http://127.0.0.1:8080.

                                                                                                                                                  Inštanciu Dockeru použijete na stiahnutie a spustenie nástroja HDS Setup Tool, ktorý vytvára informácie o lokálnej konfigurácii pre všetky uzly Hybrid Data Security. Vaša organizácia môže potrebovať licenciu na Docker Desktop. Ďalšie informácie nájdete v téme Požiadavky na pracovnú plochu Dockeru.

                                                                                                                                                  Ak chcete nainštalovať a spustiť nástroj HDS Setup Tool, lokálny počítač musí mať pripojenie uvedené v časti Požiadavky naexterné pripojenie.

                                                                                                                                                  10

                                                                                                                                                  Ak integrujete server proxy s hybridným zabezpečením údajov, uistite sa, že spĺňa požiadavkyna server proxy.

                                                                                                                                                  11

                                                                                                                                                  Ak vaša organizácia používa synchronizáciu adresárov, vytvorte v službe Active Directory skupinu s názvom HdsTrialGroup a pridajte pilotných používateľov. Skúšobná skupina môže mať až 250 používateľov. Tá HdsTrialGroup Objekt musí byť synchronizovaný s cloudom pred spustením skúšobnej verzie pre vašu organizáciu. Ak chcete synchronizovať objekt skupiny, vyberte ho v ponuke Konfigurácia > výber objektu konektora adresárov. (Podrobné pokyny nájdete v Príručka nasadenia pre Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Klávesy pre daný priestor nastavuje tvorca priestoru. Pri výbere pilotných používateľov majte na pamäti, že ak sa rozhodnete natrvalo deaktivovať nasadenie Hybrid Data Security, všetci používatelia stratia prístup k obsahu v priestoroch, ktoré vytvorili pilotní používatelia. Strata sa prejaví hneď, ako aplikácie používateľov obnovia svoje kópie obsahu uložené vo vyrovnávacej pamäti.

                                                                                                                                                  Nastavte Hybrid Data Security Cluster

                                                                                                                                                  Postup úlohy nasadenia hybridného zabezpečenia údajov

                                                                                                                                                  Skôr než začnete

                                                                                                                                                  Pripravte svoje prostredie

                                                                                                                                                  1

                                                                                                                                                  Stiahnite si inštalačné súbory

                                                                                                                                                  Stiahnite si súbor OVA do lokálneho počítača na neskoršie použitie.

                                                                                                                                                  2

                                                                                                                                                  Vytvorenie konfiguračného ISO pre hostiteľov HDS

                                                                                                                                                  Pomocou nástroja HDS Setup Tool vytvorte konfiguračný súbor ISO pre uzly Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Nainštalujte HDS Host OVA

                                                                                                                                                  Vytvorte virtuálny počítač zo súboru OVA a vykonajte počiatočnú konfiguráciu, napríklad nastavenia siete.


                                                                                                                                                   

                                                                                                                                                  Možnosť konfigurácie sieťových nastavení počas nasadenia OVA bola testovaná pomocou ESXi 6.5. Táto možnosť nemusí byť dostupná v starších verziách.

                                                                                                                                                  4

                                                                                                                                                  Nastavenie virtuálneho počítača Hybrid Data Security

                                                                                                                                                  Prihláste sa do konzoly virtuálneho počítača a nastavte prihlasovacie poverenia. Nakonfigurujte nastavenia siete pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.

                                                                                                                                                  5

                                                                                                                                                  Nahrajte a pripojte konfiguračné ISO HDS

                                                                                                                                                  Nakonfigurujte virtuálny počítač z konfiguračného súboru ISO, ktorý ste vytvorili pomocou nástroja na nastavenie HDS.

                                                                                                                                                  6

                                                                                                                                                  Konfigurácia uzla HDS na integráciu proxy servera

                                                                                                                                                  Ak sieťové prostredie vyžaduje konfiguráciu servera proxy, zadajte typ servera proxy, ktorý použijete pre uzol, a v prípade potreby pridajte certifikát servera proxy do úložiska dôveryhodných serverov.

                                                                                                                                                  7

                                                                                                                                                  Registrácia prvého uzla v klastri

                                                                                                                                                  Zaregistrujte virtuálny počítač v cloude Cisco Webex ako uzol hybridného zabezpečenia údajov.

                                                                                                                                                  8

                                                                                                                                                  Vytvorenie a registrácia ďalších uzlov

                                                                                                                                                  Dokončite nastavenie klastra.

                                                                                                                                                  9

                                                                                                                                                  Spustenie skúšobnej verzie a prechod do produkcie (ďalšia kapitola)

                                                                                                                                                  Kým nespustíte skúšobnú verziu, vaše uzly generujú alarm, ktorý signalizuje, že vaša služba ešte nie je aktivovaná.

                                                                                                                                                  Stiahnite si inštalačné súbory

                                                                                                                                                  V tejto úlohe stiahnete súbor OVA do počítača (nie na servery, ktoré ste nastavili ako uzly hybridného zabezpečenia údajov). Tento súbor použijete neskôr v procese inštalácie.
                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do ponuky https://admin.webex.coma potom kliknite na položku Služby.

                                                                                                                                                  2

                                                                                                                                                  V časti Hybridné služby vyhľadajte kartu Zabezpečenie hybridných údajov a potom kliknite na tlačidlo Nastaviť.

                                                                                                                                                  Ak je karta deaktivovaná alebo sa nezobrazuje, obráťte sa na tím účtu alebo partnerskú organizáciu. Dajte im číslo svojho konta a požiadajte o povolenie hybridného zabezpečenia údajov pre vašu organizáciu. Ak chcete nájsť číslo účtu, kliknite na ozubené koliesko vpravo hore vedľa názvu vašej organizácie.


                                                                                                                                                   

                                                                                                                                                  OVA si môžete kedykoľvek stiahnuť aj zo sekcie Pomocník na stránke Nastavenia . Na karte Zabezpečenie hybridných údajov kliknite na položku Upraviť nastavenia a otvorte stránku. Potom kliknite na Stiahnuť softvér Hybrid Data Security v časti Pomocník .


                                                                                                                                                   

                                                                                                                                                  Staršie verzie softvérového balíka (OVA) nebudú kompatibilné s najnovšími aktualizáciami hybridného zabezpečenia údajov. To môže mať za následok problémy pri aktualizácii aplikácie. Uistite sa, že ste si stiahli najnovšiu verziu súboru OVA.

                                                                                                                                                  3

                                                                                                                                                  Výberom položky Nie označte, že ste uzol ešte nenastavili, a potom kliknite na tlačidlo Ďalej.

                                                                                                                                                  Súbor OVA sa automaticky začne sťahovať. Uložte súbor do umiestnenia v počítači.
                                                                                                                                                  4

                                                                                                                                                  Voliteľne kliknite na položku Otvoriť sprievodcu nasadením a skontrolujte, či je k dispozícii novšia verzia tejto príručky.

                                                                                                                                                  Vytvorenie konfiguračného ISO pre hostiteľov HDS

                                                                                                                                                  Proces nastavenia hybridného zabezpečenia údajov vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.

                                                                                                                                                  Skôr než začnete

                                                                                                                                                  • Nástroj HDS Setup sa spúšťa ako kontajner Dockeru na lokálnom počítači. Ak k nemu chcete získať prístup, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Control Hub s úplnými právami správcu pre vašu organizáciu.

                                                                                                                                                    Ak je nástroj na nastavenie HDS spustený za serverom proxy vo vašom prostredí, pri vyvolaní kontajnera Docker v kroku 5zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Dockeru. Táto tabuľka uvádza niektoré možné premenné prostredia:

                                                                                                                                                    Opis

                                                                                                                                                    Premenná

                                                                                                                                                    HTTP Proxy bez overenia

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy bez overenia

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy s overením

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy s autentifikáciou

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč šifrujúci databázu PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny konfigurácie, napríklad tieto:

                                                                                                                                                    • Poverenia databázy

                                                                                                                                                    • Aktualizácie certifikátov

                                                                                                                                                    • Zmeny pravidiel autorizácie

                                                                                                                                                  • Ak plánujete šifrovať databázové pripojenia, nastavte nasadenie PostgreSQL alebo SQL Server pre TLS.

                                                                                                                                                  1

                                                                                                                                                  Do príkazového riadka počítača zadajte príslušný príkaz pre vaše prostredie:

                                                                                                                                                  V bežnom prostredí:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  V prostrediach FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak nie sú k dispozícii žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

                                                                                                                                                  2

                                                                                                                                                  Ak sa chcete prihlásiť do databázy Docker Image Registry, zadajte nasledovné:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Do výzvy na zadanie hesla zadajte tento hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Stiahnite si najnovší stabilný obraz pre svoje prostredie:

                                                                                                                                                  V bežnom prostredí:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  V prostrediach FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Po dokončení vyžiadania zadajte príslušný príkaz pre vaše prostredie:

                                                                                                                                                  • V bežnom prostredí bez proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • V bežných prostrediach s HTTP proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • V bežných prostrediach s HTTPS proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • V prostrediach FedRAMP bez proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • V prostrediach FedRAMP s HTTP proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • V prostrediach FedRAMP s HTTPS proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Keď je kontajner spustený, zobrazí sa "Express server listening on port 8080".

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Nástroj Setup nepodporuje pripojenie k localhost cez http://localhost:8080. Používa sa http://127.0.0.1:8080 na pripojenie k localhost.

                                                                                                                                                  Použite webový prehliadač na prechod na localhost, http://127.0.0.1:8080 a na výzvu zadajte používateľské meno správcu zákazníka pre Control Hub.

                                                                                                                                                  Nástroj použije túto prvú položku používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie.

                                                                                                                                                  7

                                                                                                                                                  Po zobrazení výzvy zadajte prihlasovacie poverenia správcu zákazníka Control Hub a potom kliknutím na tlačidlo Prihlásiť sa povolte prístup k požadovaným službám pre hybridné zabezpečenie údajov.

                                                                                                                                                  8

                                                                                                                                                  Na stránke Prehľad nástroja na nastavenie kliknite na položku Začíname.

                                                                                                                                                  9

                                                                                                                                                  Na stránke Import ISO máte tieto možnosti:

                                                                                                                                                  • Nie– ak vytvárate svoj prvý uzol HDS, nemáte súbor ISO na nahrávanie.
                                                                                                                                                  • Áno– ak ste už vytvorili uzly HDS, vyberte súbor ISO v prehľadávaní a nahrajte ho.
                                                                                                                                                  10

                                                                                                                                                  Skontrolujte, či váš certifikát X.509 spĺňa požiadavky v požiadavkáchna certifikát X.509.

                                                                                                                                                  • Ak ste certifikát nikdy predtým nenahrali, nahrajte certifikát X.509, zadajte heslo a kliknite na tlačidlo Pokračovať.
                                                                                                                                                  • Ak je certifikát v poriadku, kliknite na tlačidlo Pokračovať.
                                                                                                                                                  • Ak platnosť certifikátu vypršala alebo ho chcete nahradiť, vyberte Nie pre Pokračovať v používaní reťazca certifikátov HDS a súkromného kľúča z predchádzajúceho ISO?. Nahrajte nový certifikát X.509, zadajte heslo a kliknite na Pokračovať.
                                                                                                                                                  11

                                                                                                                                                  Zadajte databázovú adresu a účet pre HDS na prístup k vášmu kľúčovému úložisku údajov:

                                                                                                                                                  1. Vyberte typ databázy (PostgreSQL alebo Microsoft SQL Server).

                                                                                                                                                    Ak vyberiete Microsoft SQL Server, zobrazí sa pole Typ overenia.

                                                                                                                                                  2. (Len Microsoft SQL Server ) Vyberte typoverenia:

                                                                                                                                                    • Základná autentifikácia: V poli Používateľské meno potrebujete názov lokálneho konta SQL Servera.

                                                                                                                                                    • Overeniesystému Windows: Potrebujete účet Windows vo formáte username@DOMAIN v poli Používateľské meno .

                                                                                                                                                  3. Do formulára zadajte adresu databázového servera <hostname>:<port> alebo <IP-address>:<port>.

                                                                                                                                                    Príklad:
                                                                                                                                                    dbhost.example.org:1433 alebo 198.51.100.17:1433

                                                                                                                                                    IP adresu môžete použiť na základné overenie, ak uzly nemôžu použiť DNS na preloženie názvu hostiteľa.

                                                                                                                                                    Ak používate overovanie systému Windows, musíte zadať plne kvalifikovaný názov domény vo formáte dbhost.example.org:1433

                                                                                                                                                  4. Zadajte názovdatabázy .

                                                                                                                                                  5. Zadajte používateľské meno a heslo používateľa so všetkými oprávneniami v databáze úložiska kľúčov.

                                                                                                                                                  12

                                                                                                                                                  Vyberte režimpripojenia k databáze TLS:

                                                                                                                                                  Režim

                                                                                                                                                  Opis

                                                                                                                                                  Preferovať TLS (predvolená možnosť)

                                                                                                                                                  Uzly HDS nevyžadujú protokol TLS na pripojenie k databázovému serveru. Ak na databázovom serveri povolíte protokol TLS, uzly sa pokúsia o šifrované pripojenie.

                                                                                                                                                  Vyžadovať TLS

                                                                                                                                                  Uzly HDS sa pripájajú iba vtedy, ak databázový server dokáže vyjednávať protokol TLS.

                                                                                                                                                  Vyžadovanie TLS a overenie podpisovateľa certifikátu


                                                                                                                                                   

                                                                                                                                                  Tento režim sa nevzťahuje na databázy SQL Servera.

                                                                                                                                                  • Uzly HDS sa pripájajú iba vtedy, ak databázový server dokáže vyjednávať protokol TLS.

                                                                                                                                                  • Po vytvorení TLS pripojenia uzol porovná signatára certifikátu z databázového servera s certifikačnou autoritou v koreňovom certifikáte databázy. Ak sa nezhodujú, uzol preruší spojenie.

                                                                                                                                                  Pomocou ovládacieho prvku Koreňový certifikát databázy pod rozbaľovacím zoznamom nahrajte koreňový certifikát pre túto možnosť.

                                                                                                                                                  Vyžadovať TLS a overiť podpisovateľa certifikátu a názov hostiteľa

                                                                                                                                                  • Uzly HDS sa pripájajú iba vtedy, ak databázový server dokáže vyjednávať protokol TLS.

                                                                                                                                                  • Po vytvorení TLS pripojenia uzol porovná signatára certifikátu z databázového servera s certifikačnou autoritou v koreňovom certifikáte databázy. Ak sa nezhodujú, uzol preruší spojenie.

                                                                                                                                                  • Uzly tiež overia, či sa názov hostiteľa v certifikáte servera zhoduje s názvom hostiteľa v poli Hostiteľ databázy a port . Názvy sa musia presne zhodovať, inak uzol preruší spojenie.

                                                                                                                                                  Pomocou ovládacieho prvku Koreňový certifikát databázy pod rozbaľovacím zoznamom nahrajte koreňový certifikát pre túto možnosť.

                                                                                                                                                  Keď nahráte koreňový certifikát (ak je to potrebné) a kliknete na tlačidlo Pokračovať, nástroj HDS Setup Tool otestuje pripojenie TLS k databázovému serveru. Nástroj tiež overí podpisovateľa certifikátu a názov hostiteľa, ak je to možné. Ak test zlyhá, nástroj zobrazí chybové hlásenie s popisom problému. Môžete si vybrať, či chcete chybu ignorovať a pokračovať v nastavovaní. (Z dôvodu rozdielov v pripojení môžu byť uzly HDS schopné nadviazať pripojenie TLS, aj keď ho zariadenie HDS Setup Tool nedokáže úspešne otestovať.)

                                                                                                                                                  13

                                                                                                                                                  Na stránke Systémové denníky nakonfigurujte server Syslogd:

                                                                                                                                                  1. Zadajte adresu URL servera syslog.

                                                                                                                                                    Ak server nie je rozpoznateľný pomocou DNS z uzlov klastra HDS, použite IP adresu v URL adrese.

                                                                                                                                                    Príklad:
                                                                                                                                                    udp://10.92.43.23:514 indikuje prihlásenie do hostiteľa Syslogd 10.92.43.23 na porte UDP 514.
                                                                                                                                                  2. Ak ste nastavili server na používanie šifrovania TLS, začiarknite políčko Je váš server syslog nakonfigurovaný na šifrovanie SSL?.

                                                                                                                                                    Ak začiarknete toto políčko, uistite sa, že ste zadali adresu URL protokolu TCP, napríklad tcp://10.92.43.23:514.

                                                                                                                                                  3. Z rozbaľovacieho zoznamu Vybrať ukončenie záznamu syslog vyberte príslušné nastavenie pre súbor ISO: Choose alebo Newline sa používa pre Graylog a Rsyslog TCP

                                                                                                                                                    • Null bajt -- \x00

                                                                                                                                                    • Nový riadok -- \n– Vyberte túto voľbu pre Graylog a Rsyslog TCP.

                                                                                                                                                  4. Kliknite na Pokračovať.

                                                                                                                                                  14

                                                                                                                                                  (Voliteľné) Predvolenú hodnotu pre niektoré parametre pripojenia k databáze môžete zmeniť v časti Rozšírené nastavenia. Vo všeobecnosti je tento parameter jediný, ktorý by ste mohli chcieť zmeniť:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Kliknite na tlačidlo Pokračovať na obrazovke Obnoviť heslo kont služieb.

                                                                                                                                                  Heslá účtov služieb majú deväťmesačnú životnosť. Túto obrazovku použite, keď sa blíži platnosť vašich hesiel alebo ich chcete obnoviť, aby sa zrušili platnosť predchádzajúcich súborov ISO.

                                                                                                                                                  16

                                                                                                                                                  Kliknite na položku Stiahnuť súborISO. Uložte súbor do umiestnenia, ktoré sa dá ľahko nájsť.

                                                                                                                                                  17

                                                                                                                                                  Vytvorte záložnú kópiu súboru ISO v lokálnom systéme.

                                                                                                                                                  Uchovávajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov hybridného zabezpečenia údajov, ktorí by mali vykonať zmeny konfigurácie.

                                                                                                                                                  18

                                                                                                                                                  Ak chcete vypnúť nástroj na nastavenie, zadajte CTRL+C.

                                                                                                                                                  Čo robiť ďalej

                                                                                                                                                  Zálohujte konfiguračný súbor ISO. Potrebujete ho na vytvorenie ďalších uzlov na obnovenie alebo na vykonanie zmien konfigurácie. Ak stratíte všetky kópie súboru ISO, stratili ste aj hlavný kľúč. Obnovenie kľúčov z databázy PostgreSQL alebo Microsoft SQL Server nie je možné.


                                                                                                                                                   

                                                                                                                                                  Nikdy nemáme kópiu tohto kľúča a nemôžeme vám pomôcť, ak ho stratíte.

                                                                                                                                                  Nainštalujte HDS Host OVA

                                                                                                                                                  Tento postup použite na vytvorenie virtuálneho počítača zo súboru OVA.
                                                                                                                                                  1

                                                                                                                                                  Pomocou klienta VMware vSphere na vašom počítači sa prihláste do virtuálneho hostiteľa ESXi.

                                                                                                                                                  2

                                                                                                                                                  Vyberte položku Súbor > Nasadiť šablónuOVF.

                                                                                                                                                  3

                                                                                                                                                  V sprievodcovi zadajte umiestnenie súboru OVA, ktorý ste si predtým stiahli, a potom kliknite na tlačidlo Ďalej .

                                                                                                                                                  4

                                                                                                                                                  Na stránke Výber názvu a priečinka zadajte názov virtuálneho počítača pre uzol (napríklad "HDS_Node_1"), vyberte umiestnenie, kde sa môže nachádzať nasadenie uzla virtuálneho počítača, a potom kliknite na tlačidlo Ďalej.

                                                                                                                                                  5

                                                                                                                                                  Na stránke Výber výpočtového prostriedku vyberte cieľový výpočtový zdroj a potom kliknite na tlačidlo Ďalej.

                                                                                                                                                  Spustí sa overovacia kontrola. Po dokončení sa zobrazia podrobnosti šablóny.

                                                                                                                                                  6

                                                                                                                                                  Overte podrobnosti šablóny a potom kliknite na tlačidlo Ďalej .

                                                                                                                                                  7

                                                                                                                                                  Ak sa na stránke Konfigurácia zobrazí výzva na výber konfigurácie prostriedku, kliknite na položku 4 CPU a potom kliknite na tlačidlo Ďalej.

                                                                                                                                                  8

                                                                                                                                                  Na stránke Vybrať úložisko kliknite na tlačidlo Ďalej a prijmite predvolený formát disku a politiku úložiska virtuálneho počítača.

                                                                                                                                                  9

                                                                                                                                                  Na stránke Výber sietí vyberte zo zoznamu položiek možnosť siete a poskytnite požadované pripojenie k virtuálnemu počítaču.

                                                                                                                                                  10

                                                                                                                                                  Na stránke Prispôsobiť šablónu nakonfigurujte nasledujúce nastavenia siete:

                                                                                                                                                  • Názovhostiteľa – zadajte FQDN (názov hostiteľa a doménu) alebo jedno slovo názov hostiteľa uzla.

                                                                                                                                                     
                                                                                                                                                    • Doménu nemusíte nastavovať tak, aby zodpovedala doméne, ktorú ste použili na získanie certifikátu X.509.

                                                                                                                                                    • Ak chcete zabezpečiť úspešnú registráciu do cloudu, použite iba malé písmená v FQDN alebo názve hostiteľa, ktorý ste nastavili pre uzol. Veľké písmená nie sú v súčasnosti podporované.

                                                                                                                                                    • Celková dĺžka úplného názvu domény nesmie presiahnuť 64 znakov.

                                                                                                                                                  • IP adresa— Zadajte IP adresu pre interné rozhranie uzla.

                                                                                                                                                     

                                                                                                                                                    Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporovaný.

                                                                                                                                                  • Maska– zadajte adresu masky podsiete v desatinnom zápise. Napríklad 255.255.255.0.
                                                                                                                                                  • Brána– zadajte IP adresu brány. Brána je sieťový uzol, ktorý slúži ako prístupový bod k inej sieti.
                                                                                                                                                  • DNS servery– zadajte čiarkami oddelený zoznam DNS serverov, ktoré spracovávajú preklad názvov domén na číselné IP adresy. (Povolené sú až 4 záznamy DNS.)
                                                                                                                                                  • ServeryNTP – zadajte server NTP vašej organizácie alebo iný externý server NTP, ktorý možno použiť vo vašej organizácii. Predvolené servery NTP nemusia fungovať pre všetky podniky. Zoznam oddelený čiarkami môžete použiť aj na zadanie viacerých serverov NTP.
                                                                                                                                                  • Nasaďte všetky uzly v rovnakej podsieti alebo sieti VLAN, aby boli všetky uzly v klastri dostupné od klientov vo vašej sieti na účely správy.

                                                                                                                                                  Ak uprednostňujete, môžete preskočiť konfiguráciu nastavenia siete a podľa krokov v téme Nastavenie virtuálneho počítača Hybrid Data Security nakonfigurujte nastavenia z konzoly uzla.


                                                                                                                                                   

                                                                                                                                                  Možnosť konfigurácie sieťových nastavení počas nasadenia OVA bola testovaná pomocou ESXi 6.5. Táto možnosť nemusí byť dostupná v starších verziách.

                                                                                                                                                  11

                                                                                                                                                  Kliknite pravým tlačidlom myši na virtuálny počítač uzla a potom vyberte položku Power > Power On.

                                                                                                                                                  Softvér Hybrid Data Security je nainštalovaný ako hosť na hostiteľovi virtuálneho počítača. Teraz ste pripravení prihlásiť sa do konzoly a nakonfigurovať uzol.

                                                                                                                                                  Tipy na riešenie problémov

                                                                                                                                                  Môže dôjsť k niekoľkominútovému oneskoreniu, kým sa objavia kontajnery uzlov. Počas prvého spustenia sa v konzole zobrazí hlásenie brány firewall mosta, počas ktorého sa nemôžete prihlásiť.

                                                                                                                                                  Nastavenie virtuálneho počítača Hybrid Data Security

                                                                                                                                                  Tento postup použite na prvé prihlásenie do konzoly virtuálneho počítača uzla Hybrid Data Security a nastavenie prihlasovacích poverení. Konzolu môžete použiť aj na konfiguráciu sieťových nastavení pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.

                                                                                                                                                  1

                                                                                                                                                  V klientovi VMware vSphere vyberte virtuálny počítač uzla Hybrid Data Security a vyberte kartu Konzola .

                                                                                                                                                  Virtuálny počítač sa spustí a zobrazí sa výzva na prihlásenie. Ak sa výzva na prihlásenie nezobrazí, stlačte kláves Enter.
                                                                                                                                                  2

                                                                                                                                                  Na prihlásenie a zmenu poverení použite nasledujúce predvolené prihlasovacie meno a heslo:

                                                                                                                                                  1. Prihlásenie: admin

                                                                                                                                                  2. Heslo: cisco

                                                                                                                                                  Keďže sa do virtuálneho počítača prihlasujete prvýkrát, musíte zmeniť heslo správcu.

                                                                                                                                                  3

                                                                                                                                                  Ak ste už nakonfigurovali nastavenia siete v časti Inštalácia OVAhostiteľa HDS, zvyšok tohto postupu preskočte. V opačnom prípade v hlavnom menu vyberte možnosť Upraviť konfiguráciu .

                                                                                                                                                  4

                                                                                                                                                  Nastavte statickú konfiguráciu s IP adresou, maskou, bránou a informáciami DNS. Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporovaný.

                                                                                                                                                  5

                                                                                                                                                  (Voliteľné) V prípade potreby zmeňte názov hostiteľa, doménu alebo servery NTP tak, aby zodpovedali vašej sieťovej politike.

                                                                                                                                                  Doménu nemusíte nastavovať tak, aby zodpovedala doméne, ktorú ste použili na získanie certifikátu X.509.

                                                                                                                                                  6

                                                                                                                                                  Uložte konfiguráciu siete a reštartujte virtuálny počítač, aby sa zmeny prejavili.

                                                                                                                                                  Nahrajte a pripojte konfiguračné ISO HDS

                                                                                                                                                  Tento postup použite na konfiguráciu virtuálneho počítača zo súboru ISO, ktorý ste vytvorili pomocou nástroja na nastavenie HDS.

                                                                                                                                                  Skôr než začnete

                                                                                                                                                  Keďže súbor ISO obsahuje hlavný kľúč, mal by byť vystavený iba na základe potreby pre prístup virtuálnych počítačov Hybrid Data Security a všetkých správcov, ktorí môžu potrebovať vykonať zmeny. Uistite sa, že iba títo správcovia majú prístup k úložisku údajov.

                                                                                                                                                  1

                                                                                                                                                  Nahrajte súbor ISO z počítača:

                                                                                                                                                  1. Na ľavej navigačnej table klienta VMware vSphere kliknite na server ESXi.

                                                                                                                                                  2. V zozname Hardvér na karte Konfigurácia kliknite na položku Úložisko.

                                                                                                                                                  3. V zozname Ukladacie priestory údajov kliknite pravým tlačidlom myši na ukladací priestor údajov pre virtuálne počítače a kliknite na položku Prehľadávať ukladací priestorúdajov.

                                                                                                                                                  4. Kliknite na ikonu Nahrať súbory a potom kliknite na položku Nahrať súbor.

                                                                                                                                                  5. Vyhľadajte umiestnenie, do ktorého ste stiahli súbor ISO do počítača, a kliknite na tlačidlo Otvoriť .

                                                                                                                                                  6. Kliknutím na tlačidlo Áno prijmite upozornenie na operáciu nahrávania/sťahovania a zatvorte dialógové okno ukladacieho priestoru.

                                                                                                                                                  2

                                                                                                                                                  Pripojte súbor ISO:

                                                                                                                                                  1. Na ľavej navigačnej table klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Upraviť nastavenia.

                                                                                                                                                  2. Kliknutím na tlačidlo OK prijmite upozornenie na obmedzené možnosti úprav.

                                                                                                                                                  3. Kliknúť CD/DVD Drive 1, vyberte možnosť pripojenia zo súboru ISO ukladacieho priestoru údajov a vyhľadajte umiestnenie, do ktorého ste nahrali konfiguračný súbor ISO.

                                                                                                                                                  4. Skontrolujte Pripojené a Pripojiť pri zapnutí.

                                                                                                                                                  5. Uložte zmeny a reštartujte virtuálny počítač.

                                                                                                                                                  Čo robiť ďalej

                                                                                                                                                  Ak to vyžaduje vaša IT politika, môžete voliteľne odpojiť súbor ISO po tom, čo všetky vaše uzly prevezmú zmeny konfigurácie. Podrobnosti nájdete v časti (Voliteľné) Odpojenie ISO po konfigurácii HDS.

                                                                                                                                                  Konfigurácia uzla HDS na integráciu proxy servera

                                                                                                                                                  Ak sieťové prostredie vyžaduje server proxy, pomocou tohto postupu zadajte typ servera proxy, ktorý chcete integrovať s hybridným zabezpečením údajov. Ak si vyberiete transparentný kontrolný server proxy alebo explicitný server proxy HTTPS, môžete použiť rozhranie uzla na nahranie a inštaláciu koreňového certifikátu. Môžete tiež skontrolovať pripojenie proxy z rozhrania a vyriešiť prípadné problémy.

                                                                                                                                                  Skôr než začnete

                                                                                                                                                  1

                                                                                                                                                  Zadajte adresu URL nastavenia uzla HDS https://[HDS Node IP or FQDN]/setup vo webovom prehliadači zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite na položku Prihlásiť sa.

                                                                                                                                                  2

                                                                                                                                                  Prejdite na položku Trust Store & Proxya potom vyberte jednu z možností:

                                                                                                                                                  • Žiadny proxy server– predvolená možnosť pred integráciou servera proxy. Nie je potrebná žiadna aktualizácia certifikátu.
                                                                                                                                                  • Transparentný nekontrolujúci proxy– uzly nie sú nakonfigurované tak, aby používali konkrétnu adresu proxy servera a nemali by vyžadovať žiadne zmeny na prácu s nekontrolujúcim serverom proxy. Nie je potrebná žiadna aktualizácia certifikátu.
                                                                                                                                                  • Transparentná kontrola proxy– uzly nie sú nakonfigurované tak, aby používali konkrétnu adresu proxy servera. Pri nasadení hybridného zabezpečenia údajov nie sú potrebné žiadne zmeny konfigurácie protokolu HTTPS, uzly HDS však potrebujú koreňový certifikát, aby serveru proxy dôverovali. Kontrolné proxy servery zvyčajne používa IT na presadzovanie politík, ktoré webové stránky je možné navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy dešifruje všetku vašu prevádzku (dokonca aj HTTPS).
                                                                                                                                                  • Explicitný proxy server– pomocou explicitného proxy servera poviete klientovi (uzlom HDS), ktorý proxy server má použiť, a táto možnosť podporuje niekoľko typov overovania. Po výbere tejto možnosti musíte zadať nasledujúce informácie:
                                                                                                                                                    1. Proxy IP/FQDN– adresa, ktorú možno použiť na spojenie s proxy.

                                                                                                                                                    2. Portservera proxy – číslo portu, ktoré server proxy používa na načúvanie prenosu servera proxy.

                                                                                                                                                    3. Proxy Protocol– vyberte http (zobrazuje a ovláda všetky požiadavky prijaté od klienta) alebo https (poskytuje kanál serveru a klient prijíma a overuje certifikát servera). Vyberte možnosť podľa toho, čo váš proxy server podporuje.

                                                                                                                                                    4. Typoverenia – vyberte si z nasledujúcich typov overovania:

                                                                                                                                                      • Žiadne– nevyžaduje sa žiadne ďalšie overenie.

                                                                                                                                                        K dispozícii pre HTTP alebo HTTPS proxy.

                                                                                                                                                      • Základné– používa sa pre HTTP User Agent na zadanie používateľského mena a hesla pri zadávaní žiadosti. Používa kódovanie Base64.

                                                                                                                                                        K dispozícii pre HTTP alebo HTTPS proxy.

                                                                                                                                                        Ak vyberiete túto možnosť, musíte zadať aj používateľské meno a heslo.

                                                                                                                                                      • Digest– používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije hašovaciu funkciu na meno používateľa a heslo pred odoslaním cez sieť.

                                                                                                                                                        K dispozícii len pre proxy servery HTTPS.

                                                                                                                                                        Ak vyberiete túto možnosť, musíte zadať aj používateľské meno a heslo.

                                                                                                                                                  Postupujte podľa nasledujúcich krokov pre transparentný kontrolný server proxy, explicitný server proxy HTTP so základným overovaním alebo explicitný server proxy HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Kliknite na položku Nahrať koreňový certifikát alebo Certifikátkoncovej entity a potom prejdite na položku a vyberte koreňový certifikát pre server proxy.

                                                                                                                                                  Certifikát je nahraný, ale ešte nie je nainštalovaný, pretože na inštaláciu certifikátu musíte reštartovať uzol. Kliknutím na šípku šípky vedľa názvu vydavateľa certifikátu zobrazíte ďalšie podrobnosti alebo kliknite na položku Odstrániť , ak ste urobili chybu a chcete súbor znova nahrať.

                                                                                                                                                  4

                                                                                                                                                  Kliknite na položku Skontrolovať pripojenie servera proxy a otestujte sieťové pripojenie medzi uzlom a serverom proxy.

                                                                                                                                                  Ak test pripojenia zlyhá, zobrazí sa chybové hlásenie s dôvodom a spôsobom riešenia problému.

                                                                                                                                                  Ak sa zobrazí hlásenie, že externý preklad DNS nebol úspešný, uzol sa nemohol pripojiť k serveru DNS. Táto podmienka sa očakáva v mnohých explicitných konfiguráciách proxy servera. Môžete pokračovať v nastavovaní a uzol bude fungovať v režime blokovaného externého rozlíšenia DNS. Ak si myslíte, že ide o chybu, vykonajte tieto kroky a potom si pozrite tému Vypnutie režimublokovaného externého rozlíšenia DNS.

                                                                                                                                                  5

                                                                                                                                                  Po úspešnom absolvovaní testu pripojenia pre explicitný server proxy nastavený iba na https zapnite prepínač do polohy Smerovať všetky požiadavky https portu 443/444 z tohto uzla cez explicitný server proxy. Toto nastavenie trvá 15 sekúnd, kým sa prejaví.

                                                                                                                                                  6

                                                                                                                                                  Kliknite na položku Inštalovať všetky certifikáty do úložiska dôveryhodných certifikátov (zobrazí sa pre explicitný server proxy HTTPS alebo transparentný kontrolný server proxy) alebo Reštartovať ( zobrazí sa pre explicitný server proxy HTTP), prečítajte si výzvu a potom kliknite na tlačidlo Inštalovať , ak ste pripravení.

                                                                                                                                                  Uzol sa reštartuje v priebehu niekoľkých minút.

                                                                                                                                                  7

                                                                                                                                                  Po reštartovaní uzla sa v prípade potreby znova prihláste a potom otvorte stránku Prehľad a skontrolujte kontroly pripojenia, aby ste sa uistili, že sú všetky v zelenom stave.

                                                                                                                                                  Kontrola pripojenia servera proxy testuje iba subdoménu webex.com. Ak sa vyskytnú problémy s pripojením, bežným problémom je, že niektoré cloudové domény uvedené v pokynoch na inštaláciu sú blokované na serveri proxy.

                                                                                                                                                  Registrácia prvého uzla v klastri

                                                                                                                                                  Táto úloha prevezme všeobecný uzol, ktorý ste vytvorili v nastavení virtuálneho počítačaHybrid Data Security, zaregistruje uzol v cloude Webex a zmení ho na uzol hybridného zabezpečenia údajov.

                                                                                                                                                  Pri registrácii prvého uzla vytvoríte klaster, ku ktorému je uzol priradený. Klaster obsahuje jeden alebo viac uzlov nasadených na zabezpečenie redundancie.

                                                                                                                                                  Skôr než začnete

                                                                                                                                                  • Po spustení registrácie uzla ju musíte dokončiť do 60 minút, inak musíte začať odznova.

                                                                                                                                                  • Uistite sa, že sú všetky blokátory automaticky otváraných okien vo vašom prehliadači zakázané alebo že povoľujete výnimku pre admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  V ponuke na ľavej strane obrazovky vyberte položku Služby .

                                                                                                                                                  3

                                                                                                                                                  V časti Hybridné služby vyhľadajte položku Hybrid Data Security (Hybridné zabezpečenie údajov) a kliknite na položku Nastaviť.

                                                                                                                                                  Zobrazí sa stránka Register Hybrid Data Security Node (Registrácia uzla hybridného zabezpečenia údajov).
                                                                                                                                                  4

                                                                                                                                                  Výberom položky Áno označte, že ste nastavili uzol a ste pripravení ho zaregistrovať, a potom kliknite na tlačidlo Ďalej.

                                                                                                                                                  5

                                                                                                                                                  Do prvého poľa zadajte názov klastra, ku ktorému chcete priradiť uzol Hybrid Data Security.

                                                                                                                                                  Odporúčame pomenovať klaster podľa toho, kde sa geograficky nachádzajú uzly klastra. Príklady: "San Francisco" alebo "New York" alebo "Dallas"

                                                                                                                                                  6

                                                                                                                                                  Do druhého poľa zadajte internú IP adresu alebo plne kvalifikovaný názov domény (FQDN) vášho uzla a kliknite na tlačidlo Ďalej.

                                                                                                                                                  Táto IP adresa alebo úplný názov domény by sa mal zhodovať s IP adresou alebo názvom hostiteľa a doménou, ktoré ste použili v časti Nastavenie virtuálneho počítačaHybrid Data Security.

                                                                                                                                                  Zobrazí sa správa, že môžete zaregistrovať svoj uzol na Webex.
                                                                                                                                                  7

                                                                                                                                                  Kliknite na položku Prejsť do uzla.

                                                                                                                                                  8

                                                                                                                                                  V správe s upozornením kliknite na tlačidlo Pokračovať .

                                                                                                                                                  Po niekoľkých chvíľach budete presmerovaní na testy pripojenia uzlov pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Povoliť prístup k uzlu hybridného zabezpečenia údajov. Tam potvrdíte, že chcete vašej organizácii Webex udeliť povolenia na prístup k vášmu uzlu.
                                                                                                                                                  9

                                                                                                                                                  Začiarknite políčko Povoliť prístup k uzlu zabezpečenia hybridných údajov a potom kliknite na tlačidlo Pokračovať.

                                                                                                                                                  Váš účet je overený a správa "Registrácia dokončená" znamená, že váš uzol je teraz zaregistrovaný v cloude Webex.
                                                                                                                                                  10

                                                                                                                                                  Kliknutím na odkaz alebo zatvorením karty sa vráťte na stránku Control Hub Hybrid Data Security.

                                                                                                                                                  Na stránke Zabezpečenie hybridných údajov sa zobrazí nový klaster obsahujúci uzol, ktorý ste zaregistrovali. Uzol automaticky stiahne najnovší softvér z cloudu.

                                                                                                                                                  Vytvorenie a registrácia ďalších uzlov

                                                                                                                                                  Ak chcete do klastra pridať ďalšie uzly, jednoducho vytvoríte ďalšie virtuálne počítače a pripojíte rovnaký konfiguračný súbor ISO a potom uzol zaregistrujete. Odporúčame, aby ste mali aspoň 3 uzly.

                                                                                                                                                   

                                                                                                                                                  V súčasnosti sú záložné virtuálne počítače, ktoré ste vytvorili v časti Dokončenie predpokladov pre zabezpečenie hybridných údajov, pohotovostnými hostiteľmi, ktorí sa používajú iba v prípade obnovy po havárii. Podrobnosti nájdete v téme Obnova po havárii pomocou pohotovostného dátového centra.

                                                                                                                                                  Skôr než začnete

                                                                                                                                                  • Po spustení registrácie uzla ju musíte dokončiť do 60 minút, inak musíte začať odznova.

                                                                                                                                                  • Uistite sa, že sú všetky blokátory automaticky otváraných okien vo vašom prehliadači zakázané alebo že povoľujete výnimku pre admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Vytvorte nový virtuálny počítač z OVA a zopakujte kroky v časti Inštalácia OVAhostiteľa HDS.

                                                                                                                                                  2

                                                                                                                                                  Nastavte počiatočnú konfiguráciu na novom virtuálnom počítači a zopakujte kroky v téme Nastavenie virtuálneho počítačas hybridným zabezpečením údajov.

                                                                                                                                                  3

                                                                                                                                                  Na novom virtuálnom počítači zopakujte kroky v časti Nahratie a pripojenie ISO konfigurácieHDS.

                                                                                                                                                  4

                                                                                                                                                  Ak nastavujete server proxy pre nasadenie, zopakujte kroky v časti Konfigurácia uzla HDS pre integráciu servera proxy podľa potreby pre nový uzol.

                                                                                                                                                  5

                                                                                                                                                  Zaregistrujte uzol.

                                                                                                                                                  1. V ponuke https://admin.webex.comna ľavej strane obrazovky vyberte položku Služby.

                                                                                                                                                  2. V časti Hybridné služby vyhľadajte kartu Zabezpečenie hybridných údajov a kliknite na položku Zdroje.

                                                                                                                                                    Zobrazí sa stránka Hybridné zdroje zabezpečenia údajov.
                                                                                                                                                  3. Kliknite na položku Pridať zdroj.

                                                                                                                                                  4. V prvom poli vyberte názov existujúceho klastra.

                                                                                                                                                  5. Do druhého poľa zadajte internú IP adresu alebo plne kvalifikovaný názov domény (FQDN) vášho uzla a kliknite na tlačidlo Ďalej.

                                                                                                                                                    Zobrazí sa správa s informáciou, že svoj uzol môžete zaregistrovať do cloudu Webex.
                                                                                                                                                  6. Kliknite na položku Prejsť do uzla.

                                                                                                                                                    Po niekoľkých chvíľach budete presmerovaní na testy pripojenia uzlov pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Povoliť prístup k uzlu hybridného zabezpečenia údajov. Tam potvrdíte, že chcete svojej organizácii udeliť povolenia na prístup k vášmu uzlu.
                                                                                                                                                  7. Začiarknite políčko Povoliť prístup k uzlu zabezpečenia hybridných údajov a potom kliknite na tlačidlo Pokračovať.

                                                                                                                                                    Váš účet je overený a správa "Registrácia dokončená" znamená, že váš uzol je teraz zaregistrovaný v cloude Webex.
                                                                                                                                                  8. Kliknutím na odkaz alebo zatvorením karty sa vráťte na stránku Control Hub Hybrid Data Security.

                                                                                                                                                  Váš uzol je zaregistrovaný. Upozorňujeme, že kým nespustíte skúšobnú verziu, vaše uzly vygenerujú alarm, ktorý signalizuje, že vaša služba ešte nie je aktivovaná.

                                                                                                                                                  Čo robiť ďalej

                                                                                                                                                  Spustenie skúšobnej verzie a prechod do produkcie (ďalšia kapitola)
                                                                                                                                                  Spustite skúšobnú verziu a prejdite do výroby

                                                                                                                                                  Postup skúšobnej a výrobnej úlohy

                                                                                                                                                  Po nastavení klastra Hybrid Data Security môžete spustiť pilotný projekt, pridať doň používateľov a začať ho používať na testovanie a overovanie nasadenia v rámci prípravy na prechod do produkcie.

                                                                                                                                                  1

                                                                                                                                                  Ak je to možné, synchronizujte HdsTrialGroup skupinový objekt.

                                                                                                                                                  Ak vaša organizácia používa synchronizáciu adresárov pre používateľov, musíte vybrať ikonu HdsTrialGroup Skupinový objekt na synchronizáciu s cloudom pred spustením skúšobnej verzie. Pokyny nájdete v Príručke nasadenia pre Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Aktivovať skúšobnú verziu

                                                                                                                                                  Spustite skúšobnú verziu. Kým túto úlohu nevykonáte, vaše uzly vygenerujú alarm, ktorý signalizuje, že služba ešte nie je aktivovaná.

                                                                                                                                                  3

                                                                                                                                                  Otestujte nasadenie hybridného zabezpečenia údajov

                                                                                                                                                  Skontrolujte, či sa kľúčové požiadavky odovzdávajú do nasadenia hybridného zabezpečenia údajov.

                                                                                                                                                  4

                                                                                                                                                  Monitorovanie stavu zabezpečenia hybridných údajov

                                                                                                                                                  Skontrolujte stav a nastavte e-mailové upozornenia na budíky.

                                                                                                                                                  5

                                                                                                                                                  Pridanie alebo odstránenie používateľov zo skúšobnej verzie

                                                                                                                                                  6

                                                                                                                                                  Dokončite skúšobnú fázu jednou z nasledujúcich akcií:

                                                                                                                                                  Aktivovať skúšobnú verziu

                                                                                                                                                  Skôr než začnete

                                                                                                                                                  Ak vaša organizácia používa synchronizáciu adresárov pre používateľov, musíte vybrať ikonu HdsTrialGroup Skupinový objekt na synchronizáciu s cloudom pred spustením skúšobnej verzie pre vašu organizáciu. Pokyny nájdete v Príručke nasadenia pre Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do ponuky https://admin.webex.coma potom vyberte položku Služby.

                                                                                                                                                  2

                                                                                                                                                  V časti Zabezpečenie hybridných údajov kliknite na položku Nastavenia.

                                                                                                                                                  3

                                                                                                                                                  V časti Stav služby kliknite na položku Spustiť skúšobnú verziu.

                                                                                                                                                  Stav služby sa zmení na skúšobný režim.
                                                                                                                                                  4

                                                                                                                                                  Kliknite na položku Pridať používateľov a zadajte e-mailovú adresu jedného alebo viacerých používateľov, ktorí majú pilotne používať uzly Hybrid Data Security na šifrovanie a indexovanie služieb.

                                                                                                                                                  (Ak vaša organizácia používa synchronizáciu adresárov, na spravovanie skúšobnej skupiny použite službu Active Directory. HdsTrialGroup.)

                                                                                                                                                  Otestujte nasadenie hybridného zabezpečenia údajov

                                                                                                                                                  Tento postup použite na testovanie scenárov šifrovania hybridného zabezpečenia údajov.

                                                                                                                                                  Skôr než začnete

                                                                                                                                                  • Nastavte nasadenie hybridného zabezpečenia údajov.

                                                                                                                                                  • Aktivujte skúšobnú verziu a pridajte niekoľko používateľov skúšobnej verzie.

                                                                                                                                                  • Uistite sa, že máte prístup k syslogu, aby ste overili, či kľúčové požiadavky prechádzajú do nasadenia hybridného zabezpečenia údajov.

                                                                                                                                                  1

                                                                                                                                                  Klávesy pre daný priestor nastavuje tvorca priestoru. Prihláste sa do aplikácie Webex ako jeden z pilotných používateľov a potom vytvorte priestor a pozvite aspoň jedného pilotného používateľa a jedného nepilotného používateľa.


                                                                                                                                                   

                                                                                                                                                  Ak deaktivujete nasadenie Hybrid Data Security, obsah v priestoroch, ktoré vytvoria pilotní používatelia, už nebude prístupný po nahradení kópií šifrovacích kľúčov uložených klientom vo vyrovnávacej pamäti.

                                                                                                                                                  2

                                                                                                                                                  Odosielanie správ do nového priestoru.

                                                                                                                                                  3

                                                                                                                                                  Skontrolujte výstup syslogu a overte, či sa kľúčové požiadavky odovzdávajú do nasadenia hybridného zabezpečenia údajov.

                                                                                                                                                  1. Ak chcete skontrolovať, či používateľ najprv vytvoril zabezpečený kanál pre KMS, vyfiltrujte kms.data.method=create a kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Mali by ste nájsť nasledujúcu položku (identifikátory sú skrátené kvôli čitateľnosti):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Ak chcete skontrolovať, či používateľ požaduje existujúci kľúč z KMS, filtrujte podľa kms.data.method=retrieve a kms.data.type=KEY:

                                                                                                                                                    Mali by ste nájsť záznam ako:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Ak chcete skontrolovať, či používateľ požaduje vytvorenie nového kľúča KMS, vyfiltrujte podľa kms.data.method=create a kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Mali by ste nájsť záznam ako:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Ak chcete skontrolovať, či používateľ požaduje vytvorenie nového objektu prostriedku KMS (KRO) pri vytvorení priestoru alebo iného chráneného prostriedku, filtrujte podľa kms.data.method=create a kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Mali by ste nájsť záznam ako:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Monitorovanie stavu zabezpečenia hybridných údajov

                                                                                                                                                  Indikátor stavu v riadiacom centre vám ukáže, či je všetko v poriadku s nasadením hybridného zabezpečenia údajov. Ak chcete proaktívnejšie upozorňovať, zaregistrujte sa na odber e-mailových upozornení. Budete upozornení na alarmy ovplyvňujúce službu alebo aktualizácie softvéru.
                                                                                                                                                  1

                                                                                                                                                  V Centre Control Hubvyberte z ponuky na ľavej strane obrazovky položku Služby .

                                                                                                                                                  2

                                                                                                                                                  V časti Hybridné služby vyhľadajte položku Zabezpečenie hybridných údajov a kliknite na položku Nastavenia.

                                                                                                                                                  Zobrazí sa stránka Nastavenia hybridného zabezpečenia údajov.
                                                                                                                                                  3

                                                                                                                                                  V časti E-mailové oznámenia zadajte jednu alebo viac e-mailových adries oddelených čiarkami a stlačte kláves Enter.

                                                                                                                                                  Pridanie alebo odstránenie používateľov zo skúšobnej verzie

                                                                                                                                                  Po aktivácii skúšobnej verzie a pridaní počiatočnej skupiny používateľov skúšobnej verzie môžete pridať alebo odstrániť členov skúšobnej verzie kedykoľvek, kým je skúšobná verzia aktívna.

                                                                                                                                                  Ak odstránite používateľa zo skúšobnej verzie, klient používateľa požiada o kľúče a vytvorenie kľúčov z cloudovej služby KMS namiesto vášho KMS. Ak klient potrebuje kľúč, ktorý je uložený vo vašej službe KMS, cloudová služba KMS ho načíta v mene používateľa.

                                                                                                                                                  Ak vaša organizácia používa synchronizáciu adresárov, na spravovanie skúšobnej skupiny použite Active Directory (namiesto tohto postupu), HdsTrialGroup; Členov skupiny môžete zobraziť v Centre ovládania, ale nemôžete ich pridať ani odstrániť.

                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do centra ovládania a potom vyberte položku Služby .

                                                                                                                                                  2

                                                                                                                                                  V časti Zabezpečenie hybridných údajov kliknite na položku Nastavenia.

                                                                                                                                                  3

                                                                                                                                                  V časti Skúšobný režim v oblasti Stav služby kliknite na položku Pridať používateľovalebo kliknutím na položku Zobraziť a upraviť odstráňte používateľov zo skúšobnej verzie.

                                                                                                                                                  4

                                                                                                                                                  Zadajte e-mailovú adresu jedného alebo viacerých používateľov, ktorých chcete pridať, alebo kliknite na X pri identifikácii používateľa a odstráňte používateľa zo skúšobnej verzie. Potom kliknite na Uložiť.

                                                                                                                                                  Prechod zo skúšobnej verzie do produkcie

                                                                                                                                                  Keď ste spokojní, že vaše nasadenie funguje dobre pre používateľov skúšobnej verzie, môžete prejsť na produkčnú verziu. Keď prejdete do produkcie, všetci používatelia v organizácii budú používať vašu lokálnu doménu hybridného zabezpečenia údajov na šifrovacie kľúče a ďalšie služby sféry zabezpečenia. Z produkcie sa nemôžete vrátiť späť do skúšobného režimu, pokiaľ službu nedeaktivujete v rámci obnovy po havárii. Opätovná aktivácia služby vyžaduje nastavenie novej skúšobnej verzie.
                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do centra ovládania a potom vyberte položku Služby .

                                                                                                                                                  2

                                                                                                                                                  V časti Zabezpečenie hybridných údajov kliknite na položku Nastavenia.

                                                                                                                                                  3

                                                                                                                                                  V časti Stav služby kliknite na položku Presunúť do produkcie.

                                                                                                                                                  4

                                                                                                                                                  Potvrďte, že chcete presunúť všetkých používateľov do produkcie.

                                                                                                                                                  Ukončite skúšobnú verziu bez prechodu do produkcie

                                                                                                                                                  Ak sa počas skúšobnej verzie rozhodnete nepokračovať v nasadení hybridného zabezpečenia údajov, môžete deaktivovať funkciu Hybrid Data Security, čím sa skúšobná verzia ukončí a používatelia skúšobnej verzie sa presunú späť do cloudových služieb zabezpečenia údajov. Používatelia skúšobnej verzie stratia prístup k údajom, ktoré boli počas skúšobnej verzie zašifrované.
                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do centra ovládania a potom vyberte položku Služby .

                                                                                                                                                  2

                                                                                                                                                  V časti Zabezpečenie hybridných údajov kliknite na položku Nastavenia.

                                                                                                                                                  3

                                                                                                                                                  V časti Deaktivovať kliknite na Deaktivovať .

                                                                                                                                                  4

                                                                                                                                                  Potvrďte, že chcete službu deaktivovať a ukončiť skúšobnú verziu.

                                                                                                                                                  Spravujte svoje nasadenie HDS

                                                                                                                                                  Správa nasadenia HDS

                                                                                                                                                  Pomocou tu popísaných úloh môžete spravovať nasadenie hybridného zabezpečenia údajov.

                                                                                                                                                  Nastavenie plánu inovácie klastra

                                                                                                                                                  Aktualizácie softvéru pre Hybrid Data Security sa vykonávajú automaticky na úrovni klastra, čo zaisťuje, že všetky uzly vždy používajú rovnakú verziu softvéru. Inovácie sa vykonávajú podľa plánu inovácií klastra. Keď bude k dispozícii inovácia softvéru, máte možnosť manuálne inovovať klaster pred plánovaným časom inovácie. Môžete nastaviť konkrétny plán inovácií alebo použiť predvolený plán 3:00 denne Spojené štáty: Amerika/Los Angeles. V prípade potreby sa môžete rozhodnúť odložiť nadchádzajúcu inováciu.

                                                                                                                                                  Nastavenie plánu inovácie:

                                                                                                                                                  1

                                                                                                                                                  Prihláste sa do centra ovládania.

                                                                                                                                                  2

                                                                                                                                                  Na stránke Prehľad v časti Hybridné služby vyberte položku Zabezpečeniehybridných údajov.

                                                                                                                                                  3

                                                                                                                                                  Na stránke Hybridné zdroje zabezpečenia údajov vyberte klaster.

                                                                                                                                                  4

                                                                                                                                                  Na paneli Prehľad na pravej strane v časti Nastavenia klastra vyberte názov klastra.

                                                                                                                                                  5

                                                                                                                                                  Na stránke Nastavenia v časti Inovácia vyberte čas a časové pásmo plánu inovácie.

                                                                                                                                                  Poznámka: V časovom pásme sa zobrazí dátum a čas ďalšej dostupnej inovácie. V prípade potreby môžete inováciu odložiť na nasledujúci deň kliknutím na tlačidlo Odložiť.

                                                                                                                                                  Zmena konfigurácie uzla

                                                                                                                                                  Príležitostne môže byť potrebné zmeniť konfiguráciu uzla Hybrid Data Security z dôvodu, ako napríklad:
                                                                                                                                                  • Zmena certifikátov x.509 z dôvodu vypršania platnosti alebo z iných dôvodov.


                                                                                                                                                     

                                                                                                                                                    Nepodporujeme zmenu názvu domény CN certifikátu. Doména sa musí zhodovať s pôvodnou doménou použitou na registráciu klastra.

                                                                                                                                                  • Aktualizácia nastavení databázy na zmenu na repliku databázy PostgreSQL alebo Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Nepodporujeme migráciu údajov z PostgreSQL na Microsoft SQL Server alebo naopak. Ak chcete prepnúť databázové prostredie, spustite nové nasadenie hybridného zabezpečenia údajov.

                                                                                                                                                  • Vytvorenie novej konfigurácie na prípravu nového dátového centra.

                                                                                                                                                  Z bezpečnostných dôvodov používa Hybrid Data Security aj heslá účtov služieb, ktoré majú deväťmesačnú životnosť. Keď nástroj HDS Setup vygeneruje tieto heslá, nasadíte ich do každého z uzlov HDS v konfiguračnom súbore ISO. Keď sa blíži uplynutie platnosti hesiel vašej organizácie, dostanete od tímu Webex upozornenie na obnovenie hesla pre váš počítačový účet. (E-mail obsahuje text: "Na aktualizáciu hesla použite rozhranie API účtu počítača.") Ak platnosť hesiel ešte nevypršala, nástroj vám ponúka dve možnosti:

                                                                                                                                                  • Mäkký reset– staré aj nové heslá fungujú až 10 dní. Toto obdobie použite na postupné nahradenie súboru ISO na uzloch.

                                                                                                                                                  • Tvrdý reset– staré heslá okamžite prestanú fungovať.

                                                                                                                                                  Ak platnosť vašich hesiel vyprší bez resetovania, ovplyvní to vašu službu HDS, čo si vyžaduje okamžitý tvrdý reset a nahradenie súboru ISO na všetkých uzloch.

                                                                                                                                                  Tento postup použite na vygenerovanie nového konfiguračného súboru ISO a jeho použitie v klastri.

                                                                                                                                                  Skôr než začnete

                                                                                                                                                  • Nástroj HDS Setup sa spúšťa ako kontajner Dockeru na lokálnom počítači. Ak k nemu chcete získať prístup, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Control Hub s úplnými právami správcu pre vašu organizáciu.

                                                                                                                                                    Ak nástroj na nastavenie HDS beží za serverom proxy vo vašom prostredí, pri vyvolaní kontajnera Docker v 1.ezadajte nastavenia proxy (server, port, poverenia) prostredníctvom premenných prostredia Dockeru. Táto tabuľka uvádza niektoré možné premenné prostredia:

                                                                                                                                                    Opis

                                                                                                                                                    Premenná

                                                                                                                                                    HTTP Proxy bez overenia

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy bez overenia

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy s overením

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy s autentifikáciou

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Na vygenerovanie novej konfigurácie potrebujete kópiu aktuálneho konfiguračného súboru ISO. ISO obsahuje hlavný kľúč šifrujúci databázu PostgreSQL alebo Microsoft SQL Server. ISO potrebujete pri vykonávaní zmien konfigurácie vrátane poverení databázy, aktualizácií certifikátov alebo zmien autorizačných politík.

                                                                                                                                                  1

                                                                                                                                                  Pomocou Dockeru na lokálnom počítači spustite nástroj HDS Setup Tool.

                                                                                                                                                  1. Do príkazového riadka počítača zadajte príslušný príkaz pre vaše prostredie:

                                                                                                                                                    V bežnom prostredí:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    V prostrediach FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak nie sú k dispozícii žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

                                                                                                                                                  2. Ak sa chcete prihlásiť do databázy Docker Image Registry, zadajte nasledovné:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Do výzvy na zadanie hesla zadajte tento hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Stiahnite si najnovší stabilný obraz pre svoje prostredie:

                                                                                                                                                    V bežnom prostredí:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    V prostrediach FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Uistite sa, že ste pre tento postup vytiahli najnovší nástroj na nastavenie. Verzie nástroja vytvorené pred 22. februárom 2018 nemajú obrazovky na obnovenie hesla.

                                                                                                                                                  5. Po dokončení vyžiadania zadajte príslušný príkaz pre vaše prostredie:

                                                                                                                                                    • V bežnom prostredí bez proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • V bežných prostrediach s HTTP proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • V bežných prostrediach s HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • V prostrediach FedRAMP bez proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • V prostrediach FedRAMP s HTTP proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • V prostrediach FedRAMP s HTTPS proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Keď je kontajner spustený, zobrazí sa "Express server listening on port 8080".

                                                                                                                                                  6. Na pripojenie k lokálnemu hostiteľovi použite prehliadač, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Nástroj Setup nepodporuje pripojenie k localhost cez http://localhost:8080. Používa sa http://127.0.0.1:8080 na pripojenie k localhost.

                                                                                                                                                  7. Po zobrazení výzvy zadajte prihlasovacie poverenia zákazníka Control Hub a potom pokračujte kliknutím na tlačidlo Prijať .

                                                                                                                                                  8. Importujte aktuálny konfiguračný súbor ISO.

                                                                                                                                                  9. Podľa pokynov dokončite nástroj a stiahnite si aktualizovaný súbor.

                                                                                                                                                    Ak chcete vypnúť nástroj na nastavenie, zadajte CTRL+C.

                                                                                                                                                  10. Vytvorte záložnú kópiu aktualizovaného súboru v inom dátovom centre.

                                                                                                                                                  2

                                                                                                                                                  Ak máte spustenýiba jeden uzol HDS, vytvorte nový virtuálny počítač uzla Hybrid Data Security a zaregistrujte ho pomocou nového konfiguračného súboru ISO. Podrobnejšie pokyny nájdete v téme Vytvorenie a registrácia ďalších uzlov.

                                                                                                                                                  1. Nainštalujte OVA hostiteľa HDS.

                                                                                                                                                  2. Nastavte virtuálny počítač HDS.

                                                                                                                                                  3. Pripojte aktualizovaný konfiguračný súbor.

                                                                                                                                                  4. Zaregistrujte nový uzol v Centre ovládania.

                                                                                                                                                  3

                                                                                                                                                  V prípade existujúcich uzlov HDS, na ktorých je spustený starší konfiguračný súbor, pripojte súbor ISO. Postupne vykonajte nasledujúci postup na každom uzle a pred vypnutím ďalšieho uzla aktualizujte každý uzol:

                                                                                                                                                  1. Vypnite virtuálny počítač.

                                                                                                                                                  2. Na ľavej navigačnej table klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Upraviť nastavenia.

                                                                                                                                                  3. Kliknúť CD/DVD Drive 1, vyberte možnosť pripojenia zo súboru ISO a vyhľadajte umiestnenie, do ktorého ste stiahli nový konfiguračný súbor ISO.

                                                                                                                                                  4. Skontrolujte Pripojiť pri zapnutí.

                                                                                                                                                  5. Uložte zmeny a zapnite virtuálny počítač.

                                                                                                                                                  4

                                                                                                                                                  Opakovaním kroku 3 nahraďte konfiguráciu na každom zostávajúcom uzle, na ktorom je spustená stará konfigurácia.

                                                                                                                                                  Vypnutie režimu blokovaného externého rozlíšenia DNS

                                                                                                                                                  Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. Ak server DNS uzla nedokáže preložiť verejné názvy DNS, uzol automaticky prejde do režimu blokovaného externého rozlíšenia DNS.

                                                                                                                                                  Ak sú vaše uzly schopné preložiť verejné názvy DNS prostredníctvom interných serverov DNS, môžete tento režim vypnúť opätovným spustením testu pripojenia proxy na každom uzle.

                                                                                                                                                  Skôr než začnete

                                                                                                                                                  Uistite sa, že vaše interné servery DNS dokážu preložiť verejné názvy DNS a že vaše uzly s nimi môžu komunikovať.
                                                                                                                                                  1

                                                                                                                                                  Vo webovom prehliadači otvorte rozhranie uzla Hybrid Data Security (napríklad IP adresa/nastavenie, https://192.0.2.0/setup), zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite na položku Prihlásiť sa.

                                                                                                                                                  2

                                                                                                                                                  Prejdite na Prehľad (predvolená stránka).

                                                                                                                                                  Ak je táto možnosť povolená, blokované externé rozlíšenie DNS je nastavené na možnosť Áno.

                                                                                                                                                  3

                                                                                                                                                  Prejdite na stránku Trust Store & Proxy .

                                                                                                                                                  4

                                                                                                                                                  Kliknite na položku Skontrolovať pripojenieservera proxy.

                                                                                                                                                  Ak sa zobrazí hlásenie, že externé riešenie DNS nebolo úspešné, uzol sa nemohol pripojiť k serveru DNS a zostane v tomto režime. V opačnom prípade by po reštartovaní uzla a návrate na stránku Prehľad mala byť položka Blokované externé rozlíšenie DNS nastavená na hodnotu Nie.

                                                                                                                                                  Čo robiť ďalej

                                                                                                                                                  Zopakujte test pripojenia servera proxy na každom uzle v klastri Hybrid Data Security.

                                                                                                                                                  Odstránenie uzla

                                                                                                                                                  Tento postup použite na odstránenie uzla Hybrid Data Security z cloudu Webex. Po odstránení uzla z klastra odstráňte virtuálny počítač, aby ste zabránili ďalšiemu prístupu k údajom zabezpečenia.
                                                                                                                                                  1

                                                                                                                                                  Pomocou klienta VMware vSphere v počítači sa prihláste do virtuálneho hostiteľa ESXi a vypnite virtuálny počítač.

                                                                                                                                                  2

                                                                                                                                                  Odstráňte uzol:

                                                                                                                                                  1. Prihláste sa do centra ovládania a potom vyberte položku Služby .

                                                                                                                                                  2. Na karte Zabezpečenie hybridných údajov kliknite na položku Zobraziť všetko a zobrazte stránku Zdroje zabezpečenia hybridných údajov.

                                                                                                                                                  3. Vyberte klastr a zobrazte jeho panel Prehľad.

                                                                                                                                                  4. Kliknite na položku Otvoriť zoznamuzlov.

                                                                                                                                                  5. Na karte Uzly vyberte uzol, ktorý chcete odstrániť.

                                                                                                                                                  6. Kliknite na položku Akcie > uzolZrušiť registráciu.

                                                                                                                                                  3

                                                                                                                                                  V klientovi vSphere odstráňte virtuálny počítač. (Na ľavej navigačnej table kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Odstrániť.)

                                                                                                                                                  Ak virtuálny počítač neodstránite, nezabudnite odpojiť konfiguračný súbor ISO. Bez súboru ISO nemôžete použiť virtuálny počítač na prístup k údajom zabezpečenia.

                                                                                                                                                  Obnova po havárii pomocou pohotovostného dátového centra

                                                                                                                                                  Najdôležitejšou službou, ktorú váš klaster Hybrid Data Security poskytuje, je vytváranie a ukladanie kľúčov používaných na šifrovanie správ a iného obsahu uloženého v cloude Webex. Pre každého používateľa v rámci organizácie, ktorý je priradený k hybridnému zabezpečeniu údajov, sa do klastra smerujú nové žiadosti o vytvorenie kľúča. Klaster je tiež zodpovedný za vrátenie kľúčov, ktoré vytvoril, všetkým používateľom oprávneným na ich načítanie, napríklad členom konverzačného priestoru.

                                                                                                                                                  Keďže klaster vykonáva kritickú funkciu poskytovania týchto kľúčov, je nevyhnutné, aby klaster zostal spustený a aby sa udržiavali správne zálohy. Strata databázy Hybrid Data Security alebo konfiguračného ISO použitého pre schému bude mať za následok NENAPRAVITEĽNÚ STRATU zákazníckeho obsahu. Na zabránenie takejto strate sú povinné tieto postupy:

                                                                                                                                                  Ak havária spôsobí, že nasadenie HDS v primárnom dátovom centre bude nedostupné, postupujte podľa tohto postupu na manuálne prepnutie pri zlyhaní do pohotovostného dátového centra.

                                                                                                                                                  1

                                                                                                                                                  Spustite nástroj HDS Setup a postupujte podľa krokov uvedených v časti Vytvorenie konfiguračného ISO pre hostiteľovHDS.

                                                                                                                                                  2

                                                                                                                                                  Po nakonfigurovaní servera Syslogd kliknite na Rozšírené nastavenia

                                                                                                                                                  3

                                                                                                                                                  Na stránke Rozšírené nastavenia pridajte konfiguráciu nižšie alebo odstráňte ikonu passiveMode konfigurácia, aby bol uzol aktívny. Po nakonfigurovaní môže uzol spracovať prevádzku.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dokončite proces konfigurácie a uložte súbor ISO do umiestnenia, ktoré sa dá ľahko nájsť.

                                                                                                                                                  5

                                                                                                                                                  Vytvorte záložnú kópiu súboru ISO v lokálnom systéme. Uchovávajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov hybridného zabezpečenia údajov, ktorí by mali vykonať zmeny konfigurácie.

                                                                                                                                                  6

                                                                                                                                                  Na ľavej navigačnej table klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Upraviť nastavenia.

                                                                                                                                                  7

                                                                                                                                                  Kliknite na položku Upraviť nastavenia >Jednotka CD/DVD 1 a vyberte položku Súbor ISO ukladacieho priestoru údajov.


                                                                                                                                                   

                                                                                                                                                  Uistite sa, že sú začiarknuté položky Pripojené a Pripojiť pri zapnutí , aby sa aktualizované zmeny konfigurácie mohli prejaviť po spustení uzlov.

                                                                                                                                                  8

                                                                                                                                                  Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy.

                                                                                                                                                  9

                                                                                                                                                  Zopakujte postup pre každý uzol v pohotovostnom dátovom centre.


                                                                                                                                                   

                                                                                                                                                  Skontrolujte výstup syslogu a overte, či uzly pohotovostného dátového centra nie sú v pasívnom režime. Správa "KMS nakonfigurovaná v pasívnom režime" by sa v systémových protokoloch nemala zobraziť.

                                                                                                                                                  Čo robiť ďalej

                                                                                                                                                  Ak sa po prepnutí pri zlyhaní primárne dátové centrum opäť aktivuje, prepnite ho znova do pasívneho režimu podľa krokov popísaných v časti Nastavenie dátového centra v pohotovostnom režime na obnovupo havárii.

                                                                                                                                                  (Voliteľné) Odpojte ISO po konfigurácii HDS

                                                                                                                                                  Štandardná konfigurácia HDS beží s namontovaným ISO. Niektorí zákazníci však radšej nenechávajú súbory ISO nepretržite pripojené. Súbor ISO môžete odpojiť po tom, čo všetky uzly HDS prevezmú novú konfiguráciu.

                                                                                                                                                  Súbory ISO stále používate na vykonávanie zmien konfigurácie. Keď vytvoríte novú ISO alebo aktualizujete ISO pomocou nástroja na nastavenie, musíte aktualizovanú ISO pripojiť na všetky uzly HDS. Keď všetky vaše uzly zachytia zmeny konfigurácie, môžete pomocou tohto postupu znova odpojiť ISO.

                                                                                                                                                  Skôr než začnete

                                                                                                                                                  Inovujte všetky uzly HDS na verziu 2021.01.22.4720 alebo novšiu.

                                                                                                                                                  1

                                                                                                                                                  Vypnite jeden z uzlov HDS.

                                                                                                                                                  2

                                                                                                                                                  V zariadení vCenter Server vyberte uzol HDS.

                                                                                                                                                  3

                                                                                                                                                  Vyberte položku Upraviť nastavenia > jednotke CD/DVD a zrušte začiarknutie políčka SúborISO ukladacieho priestoru údajov.

                                                                                                                                                  4

                                                                                                                                                  Zapnite uzol HDS a uistite sa, že aspoň 20 minút nebudú žiadne alarmy.

                                                                                                                                                  5

                                                                                                                                                  Postupne opakujte pre každý uzol HDS.

                                                                                                                                                  Riešenie problémov so zabezpečením hybridných údajov

                                                                                                                                                  Zobrazenie upozornení a riešenie problémov

                                                                                                                                                  Nasadenie hybridného zabezpečenia údajov sa považuje za nedostupné, ak sú všetky uzly v klastri nedostupné alebo klaster pracuje tak pomaly, že vyprší časový limit požiadaviek. Ak sa používatelia nemôžu pripojiť k klastru hybridného zabezpečenia údajov, vyskytnú sa u nich nasledujúce príznaky:

                                                                                                                                                  • Nové priestory nie je možné vytvoriť (nie je možné vytvoriť nové kľúče)

                                                                                                                                                  • Správy a názvy priestorov sa nepodarí dešifrovať pre:

                                                                                                                                                    • Noví používatelia pridaní do priestoru (nemôžu načítať kľúče)

                                                                                                                                                    • Existujúci používatelia v priestore pomocou nového klienta (nedá sa načítať kľúče)

                                                                                                                                                  • Existujúci používatelia v priestore budú naďalej úspešne fungovať, pokiaľ budú mať ich klienti vyrovnávaciu pamäť šifrovacích kľúčov

                                                                                                                                                  Je dôležité, aby ste klaster Hybrid Data Security správne monitorovali a okamžite riešili všetky upozornenia, aby ste predišli prerušeniu služby.

                                                                                                                                                  Upozornenia

                                                                                                                                                  Ak sa vyskytne problém s nastavením hybridného zabezpečenia údajov, Control Hub zobrazí upozornenia správcovi organizácie a odošle e-maily na nakonfigurovanú e-mailovú adresu. Upozornenia pokrývajú mnoho bežných scenárov.

                                                                                                                                                  Tabuľka č. 1 Bežné problémy a kroky na ich vyriešenie

                                                                                                                                                  Poplach

                                                                                                                                                  Akcia

                                                                                                                                                  Zlyhanie prístupu k lokálnej databáze.

                                                                                                                                                  Skontrolujte chyby databázy alebo problémy s lokálnou sieťou.

                                                                                                                                                  Zlyhanie pripojenia k lokálnej databáze.

                                                                                                                                                  Skontrolujte, či je databázový server k dispozícii a či sa pri konfigurácii uzla použili správne poverenia konta služby.

                                                                                                                                                  Zlyhanie prístupu ku cloudovej službe.

                                                                                                                                                  Skontrolujte, či uzly majú prístup k serverom Webex, ako je uvedené v časti Požiadavky naexterné pripojenie.

                                                                                                                                                  Obnovenie registrácie cloudovej služby.

                                                                                                                                                  Registrácia do cloudových služieb bola zrušená. Prebieha obnovenie registrácie.

                                                                                                                                                  Registrácia cloudovej služby klesla.

                                                                                                                                                  Registrácia do cloudových služieb ukončená. Služba sa vypína.

                                                                                                                                                  Služba ešte nie je aktivovaná.

                                                                                                                                                  Aktivujte skúšobnú verziu alebo dokončite presunutie skúšobnej verzie do produkcie.

                                                                                                                                                  Nakonfigurovaná doména sa nezhoduje s certifikátom servera.

                                                                                                                                                  Uistite sa, že certifikát servera sa zhoduje s nakonfigurovanou doménou aktivácie služby.

                                                                                                                                                  Najpravdepodobnejšou príčinou je, že certifikát CN bol nedávno zmenený a teraz sa líši od CN, ktorý bol použitý pri počiatočnom nastavení.

                                                                                                                                                  Nepodarilo sa overiť v cloudových službách.

                                                                                                                                                  Skontrolujte presnosť a možné vypršanie platnosti prihlasovacích údajov účtu služby.

                                                                                                                                                  Nepodarilo sa otvoriť lokálny súbor úložiska kľúčov.

                                                                                                                                                  Skontrolujte integritu a presnosť hesla v lokálnom úložisku kľúčov file.

                                                                                                                                                  Certifikát lokálneho servera je neplatný.

                                                                                                                                                  Skontrolujte dátum vypršania platnosti certifikátu servera a potvrďte, že bol vydaný dôveryhodnou certifikačnou autoritou.

                                                                                                                                                  Metriky nie je možné uverejniť.

                                                                                                                                                  Skontrolujte prístup k externým cloudovým službám v lokálnej sieti.

                                                                                                                                                  Adresár /media/configdrive/hds neexistuje.

                                                                                                                                                  Skontrolujte konfiguráciu pripojenia ISO na virtuálnom hostiteľovi. Overte, či súbor ISO existuje, či je nakonfigurovaný na pripojenie pri reštarte a či sa úspešne pripojil.

                                                                                                                                                  Riešenie problémov s hybridným zabezpečením údajov

                                                                                                                                                  Pri riešení problémov s hybridným zabezpečením údajov použite nasledujúce všeobecné pokyny.
                                                                                                                                                  1

                                                                                                                                                  Skontrolujte Centrum ovládania, kde nájdete všetky upozornenia a opravte všetky položky, ktoré tam nájdete.

                                                                                                                                                  2

                                                                                                                                                  Skontrolujte výstup servera syslog pre aktivitu z nasadenia hybridného zabezpečenia údajov.

                                                                                                                                                  3

                                                                                                                                                  Kontaktujte podporuspoločnosti Cisco.

                                                                                                                                                  Ďalšie poznámky

                                                                                                                                                  Známe problémy so zabezpečením hybridných údajov

                                                                                                                                                  • Ak vypnete klaster Hybrid Data Security (odstránením v Riadiacom centre alebo vypnutím všetkých uzlov), stratíte konfiguračný súbor ISO alebo stratíte prístup k databáze úložiska kľúčov, používatelia aplikácie Webex už nebudú môcť používať medzery v zozname ľudí, ktoré boli vytvorené pomocou kľúčov z vášho KMS. To platí pre skúšobné aj produkčné nasadenia. Momentálne nemáme riešenie ani opravu tohto problému a vyzývame vás, aby ste nevypínali služby HDS, keď spracúvajú aktívne používateľské účty.

                                                                                                                                                  • Klient, ktorý má existujúce pripojenie ECDH k KMS, udržuje toto pripojenie po určitú dobu (pravdepodobne jednu hodinu). Keď sa používateľ stane členom skúšobnej verzie Hybrid Data Security, klient používateľa bude naďalej používať existujúce pripojenie ECDH až do vypršania časového limitu. Prípadne sa používateľ môže odhlásiť a znova prihlásiť do aplikácie Webex, aby aktualizoval umiestnenie, ktoré aplikácia kontaktuje so žiadosťou o šifrovacie kľúče.

                                                                                                                                                    Rovnaké správanie nastane, keď presuniete skúšobnú verziu do produkcie pre organizáciu. Všetci používatelia, ktorí nemajú skúšobnú verziu s existujúcimi pripojeniami ECDH k predchádzajúcim službám zabezpečenia údajov, budú tieto služby naďalej používať, kým nebude pripojenie ECDH opätovne prerokované (prostredníctvom časového limitu alebo odhlásením a opätovným pripojením).

                                                                                                                                                  Použitie OpenSSL na vygenerovanie súboru PKCS12

                                                                                                                                                  Skôr než začnete

                                                                                                                                                  • OpenSSL je jedným z nástrojov, ktorý možno použiť na vytvorenie súboru PKCS12 v správnom formáte na načítanie v nástroji HDS Setup Tool. Existujú aj iné spôsoby, ako to urobiť, a my nepodporujeme ani nepropagujeme jeden spôsob pred druhým.

                                                                                                                                                  • Ak sa rozhodnete použiť OpenSSL, poskytujeme tento postup ako usmernenie, ktoré vám pomôže vytvoriť súbor, ktorý spĺňa požiadavky na certifikát X.509 v X.509 Požiadavky nacertifikát. Skôr než budete pokračovať, pochopte tieto požiadavky.

                                                                                                                                                  • Nainštalujte OpenSSL v podporovanom prostredí. Pozrite si https://www.openssl.org softvér a dokumentáciu.

                                                                                                                                                  • Vytvorte súkromný kľúč.

                                                                                                                                                  • Tento postup spustite po prijatí certifikátu servera od certifikačnej autority (CA).

                                                                                                                                                  1

                                                                                                                                                  Keď dostanete certifikát servera od certifikačnej autority, uložte ho ako hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Zobrazte certifikát ako text a overte podrobnosti.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Pomocou textového editora vytvorte súbor balíka certifikátov s názvom hdsnode-bundle.pem. Súbor balíka musí obsahovať certifikát servera, všetky certifikáty sprostredkovateľskej certifikačnej autority a certifikáty koreňovej certifikačnej autority v nasledujúcom formáte:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Vytvorte súbor .p12 s popisným názvom kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Skontrolujte podrobnosti o certifikáte servera.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Na výzvu zadajte heslo na zašifrovanie súkromného kľúča tak, aby bol uvedený vo výstupe. Potom overte, či súkromný kľúč a prvý certifikát obsahujú riadky friendlyName: kms-private-key.

                                                                                                                                                    Príklad:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Čo robiť ďalej

                                                                                                                                                  Vráťte sa a dokončite predpoklady na zabezpečeniehybridných údajov. Použijete hdsnode.p12 a heslo, ktoré ste preň nastavili, v časti Vytvorenie konfiguračného ISO pre hostiteľovHDS.


                                                                                                                                                   

                                                                                                                                                  Tieto súbory môžete znova použiť na vyžiadanie nového certifikátu po uplynutí platnosti pôvodného certifikátu.

                                                                                                                                                  Prenos medzi uzlami HDS a cloudom

                                                                                                                                                  Návštevnosť zhromažďovania odchádzajúcich metrík

                                                                                                                                                  Uzly Hybrid Data Security odosielajú určité metriky do cloudu Webex. Patria sem systémové metriky pre maximálnu haldu, použitú haldu, zaťaženie procesora a počet vlákien; metriky synchrónnych a asynchrónnych vlákien; metriky upozornení zahŕňajúce prahovú hodnotu šifrovacích pripojení, latenciu alebo dĺžku frontu požiadaviek; metriky v úložisku údajov; a metriky šifrovania pripojenia. Uzly odosielajú šifrovaný kľúčový materiál cez kanál mimo pásma (oddelene od požiadavky).

                                                                                                                                                  Prichádzajúca prevádzka

                                                                                                                                                  Uzly Hybrid Data Security prijímajú nasledujúce typy prichádzajúcej prevádzky z cloudu Webex:

                                                                                                                                                  • Požiadavky na šifrovanie od klientov, ktoré sú smerované šifrovacou službou

                                                                                                                                                  • Aktualizácie softvéru uzla

                                                                                                                                                  Konfigurácia proxy serverov Squid pre zabezpečenie hybridných údajov

                                                                                                                                                  Websocket sa nemôže pripojiť cez Squid Proxy

                                                                                                                                                  Squid proxy, ktoré kontrolujú prevádzku HTTPS, môžu rušiť vytvorenie websocketu ( wss:), ktoré vyžaduje hybridné zabezpečenie údajov. Tieto časti poskytujú návod, ako nakonfigurovať rôzne verzie Squid na ignorovanie wss: prevádzka pre riadnu prevádzku služieb.

                                                                                                                                                  Chobotnica 4 a 5

                                                                                                                                                  Pridajte on_unsupported_protocol smernica o squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Chobotnica 3.5.27

                                                                                                                                                  Úspešne sme otestovali Hybrid Data Security s pridanými nasledujúcimi pravidlami squid.conf. Tieto pravidlá sa môžu zmeniť pri vývoji funkcií a aktualizácii cloudu Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Bol tento článok užitočný?