- Domov
- /
- Článok
V tomto článkuNové a zmenené informácie
Dátum | Vykonané zmeny | ||
|---|---|---|---|
20. októbra 2023 |
| ||
7. augusta 2023 |
| ||
23. mája 2023 |
| ||
6. decembra 2022 |
| ||
23. novembra 2022 |
| ||
13. októbra 2021 | Pred inštaláciou uzlov HDS musí Docker Desktop spustiť inštalačný program. Pozri Požiadavky na plochu Docker. | ||
24. júna 2021 | Upozorňujeme, že súbor so súkromným kľúčom a CSR môžete znova použiť na vyžiadanie ďalšieho certifikátu. Pozri Na vygenerovanie súboru PKCS12 použite OpenSSL pre podrobnosti. | ||
| 30. apríla 2021 | Požiadavka VM na lokálny pevný disk sa zmenila na 30 GB. Pozri Požiadavky na virtuálny hostiteľ pre podrobnosti. | ||
24. februára 2021 | HDS Setup Tool teraz môže bežať za serverom proxy. Pozri Vytvorte ISO konfigurácie pre hostiteľov HDS pre podrobnosti. | ||
2. februára 2021 | HDS teraz môže bežať bez pripojeného súboru ISO. Pozri (Voliteľné) Odpojte ISO po konfigurácii HDS pre podrobnosti. | ||
11. januára 2021 | Pridané informácie o nástroji HDS Setup a proxy serveroch Vytvorte ISO konfigurácie pre hostiteľov HDS. | ||
13. októbra 2020 | Aktualizované Stiahnite si inštalačné súbory. | ||
8. októbra 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS a Zmeňte konfiguráciu uzla s príkazmi pre prostredia FedRAMP. | ||
14. augusta 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS a Zmeňte konfiguráciu uzla so zmenami v procese prihlasovania. | ||
5. augusta 2020 | Aktualizované Otestujte svoje nasadenie hybridného zabezpečenia dát pre zmeny v protokolových správach. Aktualizované Požiadavky na virtuálny hostiteľ na odstránenie maximálneho počtu hostiteľov. | ||
16. júna 2020 | Aktualizované Odstráňte uzol pre zmeny v používateľskom rozhraní Control Hub. | ||
4. júna 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS pre zmeny v rozšírených nastaveniach, ktoré môžete nastaviť. | ||
29. mája 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS ukázať, že TLS môžete použiť aj s databázami SQL Server, zmenami používateľského rozhrania a ďalšími vysvetleniami. | ||
5. mája 2020 | Aktualizované Požiadavky na virtuálny hostiteľ ukázať novú požiadavku ESXi 6.5. | ||
21. apríla 2020 | Aktualizované Požiadavky na externé pripojenie s novými hostiteľmi Americas CI. | ||
1. apríla 2020 | Aktualizované Požiadavky na externé pripojenie s informáciami o regionálnych hostiteľoch CI. | ||
| 20. februára 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS s informáciami o novej voliteľnej obrazovke rozšírených nastavení v nástroji HDS Setup Tool. | ||
| 4. februára 2020 | Aktualizované Požiadavky na proxy server. | ||
| 16. decembra 2019 | Objasnená požiadavka, aby fungoval režim zablokovaného externého rozlíšenia DNS Požiadavky na proxy server. | ||
| 19. novembra 2019 | Pridané informácie o režime zablokovaného externého rozlíšenia DNS v nasledujúcich častiach: | ||
8. novembra 2019 | Teraz môžete konfigurovať sieťové nastavenia pre uzol počas nasadzovania OVA a nie neskôr. Podľa toho aktualizovali nasledujúce sekcie:
| ||
6. septembra 2019 | Pridaný SQL Server Standard do Požiadavky na databázový server. | ||
| 29. augusta 2019 | Pridané Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát príloha s návodom na konfiguráciu proxy serverov Squid tak, aby ignorovali prevádzku websocket pre správnu činnosť. | ||
| 20. augusta 2019 | Pridané a aktualizované sekcie pokrývajúce podporu proxy pre komunikáciu uzlov Hybrid Data Security do cloudu Webex. Ak chcete získať prístup len k obsahu podpory proxy pre existujúce nasadenie, pozrite si Podpora proxy pre hybridné zabezpečenie dát a Webex Video Mesh pomocný článok. | ||
| 13. júna 2019 | Aktualizované Skúšobný postup produkčných úloh s pripomienkou na synchronizáciu HdsTrialGroup skupinový objekt pred spustením skúšobnej verzie, ak vaša organizácia používa synchronizáciu adresárov. | ||
| 6. marca 2019 |
| ||
| 28. februára 2019 |
| ||
| 26. februára 2019 |
| ||
24. januára 2019 |
| ||
| 5. novembra 2018 |
| ||
| 19. októbra 2018 |
| ||
31. júla 2018 |
| ||
| 21. mája 2018 | Zmenená terminológia, aby odrážala rebranding Cisco Spark:
| ||
| 11. apríla 2018 |
| ||
| 22. februára 2018 |
| ||
| 15. február 2018 |
| ||
| 18. januára 2018 |
| ||
2. novembra 2017 |
| ||
18. augusta 2017 | Prvýkrát zverejnené |
Prehľad zabezpečenia hybridných údajov
Od prvého dňa bola bezpečnosť údajov prvoradá pri navrhovaní Aplikácia Webex. Základným kameňom tohto zabezpečenia je komplexné šifrovanie obsahu, ktoré umožňuje Aplikácia Webex klientov interagujúcich so službou správy kľúčov (KMS). KMS je zodpovedný za vytváranie a správu kryptografických kľúčov, ktoré klienti používajú na dynamické šifrovanie a dešifrovanie správ a súborov.
Štandardne všetky Aplikácia Webex zákazníci získajú end-to-end šifrovanie s dynamickými kľúčmi uloženými v cloudovom KMS v oblasti bezpečnosti Cisco. Hybrid Data Security presúva KMS a ďalšie funkcie súvisiace so zabezpečením do vášho podnikového dátového centra, takže kľúče k vášmu šifrovanému obsahu nemá nikto okrem vás.
Architektúra bezpečnostnej sféry
Cloudová architektúra Webex oddeľuje rôzne typy služieb do samostatných oblastí alebo dôveryhodných domén, ako je znázornené nižšie.
Aby sme lepšie porozumeli Hybrid Data Security, pozrime sa najprv na tento čistý cloud, kde Cisco poskytuje všetky funkcie vo svojich cloudových sférach. Služba identity, jediné miesto, kde môžu používatelia priamo korelovať so svojimi osobnými údajmi, ako je e-mailová adresa, je logicky a fyzicky oddelená od oblasti zabezpečenia v dátovom centre B. Obe sú zase oddelené od oblasti, kde je v konečnom dôsledku uložený šifrovaný obsah. , v dátovom centre C.
V tomto diagrame je klientom aplikácia Webex, ktorá beží na notebooku používateľa a je overená službou identity. Keď používateľ vytvorí správu na odoslanie do priestoru, vykonajú sa tieto kroky:
Klient vytvorí zabezpečené spojenie so službou správy kľúčov (KMS), potom požiada o kľúč na zašifrovanie správy. Zabezpečené pripojenie používa ECDH a KMS šifruje kľúč pomocou hlavného kľúča AES-256.
Správa je pred opustením klienta zašifrovaná. Klient ho odošle do indexovacej služby, ktorá vytvorí šifrované indexy vyhľadávania na pomoc pri budúcom vyhľadávaní obsahu.
Zašifrovaná správa sa odošle do služby súladu na kontrolu súladu.
Zašifrovaná správa je uložená v úložnej sfére.
Keď nasadíte Hybrid Data Security, presuniete funkcie bezpečnostnej sféry (KMS, indexovanie a súlad) do vášho lokálneho dátového centra. Ostatné cloudové služby, ktoré tvoria Webex (vrátane ukladania identity a obsahu), zostávajú v sférach spoločnosti Cisco.
Spolupráca s inými organizáciami
Používatelia vo vašej organizácii môžu pravidelne používať aplikáciu Webex na spoluprácu s externými účastníkmi v iných organizáciách. Keď jeden z vašich používateľov požaduje kľúč pre priestor, ktorý vlastní vaša organizácia (pretože ho vytvoril jeden z vašich používateľov), váš KMS odošle kľúč klientovi cez zabezpečený kanál ECDH. Keď však kľúč priestoru vlastní iná organizácia, váš KMS nasmeruje požiadavku do cloudu Webex cez samostatný kanál ECDH, aby získal kľúč z príslušného KMS, a potom vráti kľúč vášmu používateľovi na pôvodnom kanáli.
Služba KMS spustená v organizácii A overuje pripojenia ku KMS v iných organizáciách pomocou x.509 PKI certifikátov. Pozri Pripravte si prostredie podrobnosti o generovaní x.509 certifikátu na použitie s nasadením Hybrid Data Security.
Očakávania týkajúce sa nasadenia hybridnej bezpečnosti údajov
Nasadenie Hybrid Data Security si vyžaduje značné nasadenie zákazníkov a uvedomenie si rizík, ktoré so sebou prináša vlastníctvo šifrovacích kľúčov.
Ak chcete nasadiť Hybrid Data Security, musíte poskytnúť:
Bezpečné dátové centrum v krajine, ktorá je a podporované miesto pre plány Cisco Webex Teams.
Vybavenie, softvér a sieťový prístup popísané v Pripravte si prostredie.
Úplná strata buď konfiguračného ISO, ktoré ste vytvorili pre Hybrid Data Security, alebo databázy, ktorú poskytnete, bude mať za následok stratu kľúčov. Strata kľúča bráni používateľom dešifrovať obsah priestoru a ďalšie šifrované údaje v aplikácii Webex. Ak sa tak stane, môžete vytvoriť nové nasadenie, ale bude viditeľný iba nový obsah. Aby ste predišli strate prístupu k údajom, musíte:
Spravujte zálohovanie a obnovu databázy a konfiguračného ISO.
Buďte pripravení vykonať rýchlu obnovu po havárii, ak dôjde ku katastrofe, ako je zlyhanie databázového disku alebo katastrofa dátového centra.
 | Neexistuje žiadny mechanizmus na presun kľúčov späť do cloudu po nasadení HDS. |
Proces nastavenia na vysokej úrovni
Tento dokument pokrýva nastavenie a správu nasadenia Hybrid Data Security:
Nastavte Hybridné zabezpečenie dát—To zahŕňa prípravu požadovanej infraštruktúry a inštaláciu softvéru Hybrid Data Security, testovanie vášho nasadenia s podskupinou používateľov v skúšobnom režime a po dokončení testovania prechod do produkcie. To prevedie celú organizáciu na používanie vášho klastra Hybrid Data Security na bezpečnostné funkcie.
Fázy nastavenia, skúšania a výroby sú podrobne opísané v nasledujúcich troch kapitolách.
Udržujte svoje nasadenie Hybrid Data Security— Cloud Webex automaticky poskytuje priebežné aktualizácie. Vaše IT oddelenie môže poskytnúť podporu prvej úrovne pre toto nasadenie a podľa potreby zapojiť podporu Cisco. V Control Hub môžete používať upozornenia na obrazovke a nastaviť upozornenia prostredníctvom e-mailu.
Pochopte bežné upozornenia, kroky na riešenie problémov a známe problémy—Ak narazíte na problémy s nasadením alebo používaním Hybrid Data Security, posledná kapitola tejto príručky a príloha Známe problémy vám môžu pomôcť určiť a vyriešiť problém.
Hybridný model nasadenia zabezpečenia dát
V rámci podnikového dátového centra nasadíte Hybrid Data Security ako jeden klaster uzlov na samostatných virtuálnych hostiteľoch. Uzly komunikujú s cloudom Webex prostredníctvom zabezpečených webových zásuviek a zabezpečeného HTTP.
Počas procesu inštalácie vám poskytneme súbor OVA na nastavenie virtuálneho zariadenia na VM, ktoré poskytnete. Nástroj HDS Setup Tool použijete na vytvorenie vlastného konfiguračného súboru ISO klastra, ktorý pripojíte na každý uzol. Klaster Hybrid Data Security využíva váš poskytnutý server Syslogd a databázu PostgreSQL alebo Microsoft SQL Server. (Syslogd a podrobnosti o pripojení k databáze nakonfigurujete v nástroji HDS Setup Tool.)
Minimálny počet uzlov, ktoré môžete mať v klastri, sú dva. Odporúčame aspoň tri a môžete ich mať až päť. Viacnásobné uzly zaisťujú, že služba nebude prerušená počas aktualizácie softvéru alebo inej činnosti údržby na uzle. (Cloud Webex aktualizuje naraz iba jeden uzol.)
Všetky uzly v klastri pristupujú k rovnakému úložisku údajov kľúčov a zaznamenávajú aktivitu na rovnaký server syslog. Samotné uzly sú bez stavu a spracovávajú kľúčové požiadavky v režime round-robin podľa pokynov cloudu.
Uzly sa stanú aktívnymi, keď ich zaregistrujete v Control Hub. Ak chcete vyradiť jednotlivý uzol z prevádzky, môžete ho zrušiť a neskôr v prípade potreby znova zaregistrovať.
Podporujeme iba jeden klaster na organizáciu.
Skúšobný režim hybridnej bezpečnosti dát
Po nastavení nasadenia Hybrid Data Security ho najskôr vyskúšate so skupinou pilotných používateľov. Počas skúšobného obdobia títo používatelia používajú vašu lokálnu doménu Hybrid Data Security na šifrovacie kľúče a ďalšie služby v oblasti zabezpečenia. Ostatní vaši používatelia naďalej používajú oblasť zabezpečenia cloudu.
Ak sa rozhodnete nepokračovať v nasadzovaní počas skúšobného obdobia a službu deaktivujete, pilotní používatelia a všetci používatelia, s ktorými počas skúšobného obdobia interagovali vytvorením nových priestorov, stratia prístup k správam a obsahu. V aplikácii Webex sa im zobrazí „Táto správa sa nedá dešifrovať“.
Ak ste spokojní s tým, že vaše nasadenie funguje dobre pre skúšobných používateľov a ste pripravení rozšíriť Hybrid Data Security na všetkých svojich používateľov, presuniete nasadenie do produkcie. Pilotní používatelia majú naďalej prístup ku kľúčom, ktoré sa používali počas skúšobnej verzie. Nemôžete sa však pohybovať tam a späť medzi produkčným režimom a pôvodnou skúšobnou verziou. Ak musíte službu deaktivovať, napríklad vykonať obnovu po havárii, pri opätovnej aktivácii musíte spustiť novú skúšobnú verziu a nastaviť skupinu pilotných používateľov pre novú skúšobnú verziu, než sa vrátite späť do produkčného režimu. Či si používatelia v tomto bode zachovajú prístup k údajom, závisí od toho, či ste úspešne udržiavali zálohy úložiska kľúčových údajov a konfiguračného súboru ISO pre uzly Hybrid Data Security vo vašom klastri.
Pohotovostné dátové centrum pre obnovu po havárii
Počas nasadenia nastavíte zabezpečené pohotovostné dátové centrum. V prípade havárie dátového centra môžete manuálne zlyhať nasadenie do pohotovostného dátového centra.
Databázy aktívnych a pohotovostných dátových centier sú navzájom synchronizované, čo minimalizuje čas potrebný na vykonanie núdzového prepnutia. Súbor ISO pohotovostného dátového centra sa aktualizuje o ďalšie konfigurácie, ktoré zaisťujú, že uzly sú registrované v organizácii, ale nebudú spracovávať prevádzku. Preto uzly pohotovostného dátového centra zostávajú vždy aktuálne s najnovšou verziou softvéru HDS.
| Aktívne uzly Hybrid Data Security musia byť vždy v rovnakom údajovom centre ako aktívny databázový server. |
Nastavte pohotovostné dátové centrum pre obnovu po havárii
Ak chcete nakonfigurovať súbor ISO pohotovostného dátového centra, postupujte podľa nasledujúcich krokov:
Predtým ako začneš
Pohotovostné dátové centrum by malo odrážať produkčné prostredie VM a záložnú databázu PostgreSQL alebo Microsoft SQL Server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM. (Pozri Pohotovostné dátové centrum pre obnovu po havárii pre prehľad tohto modelu núdzového prepnutia.)
Uistite sa, že je povolená synchronizácia databázy medzi databázou aktívnych a pasívnych uzlov klastra.
| 1 | Spustite nástroj HDS Setup a postupujte podľa krokov uvedených v Vytvorte ISO konfigurácie pre hostiteľov HDS.
| ||
| 2 | Po nakonfigurovaní servera Syslogd kliknite na Pokročilé nastavenia | ||
| 3 | Na Pokročilé nastavenia pridajte konfiguráciu nižšie, aby ste umiestnili uzol do pasívneho režimu. V tomto režime bude uzol zaregistrovaný v organizácii a pripojený ku cloudu, ale nebude spracovávať žiadny prenos.
| ||
| 4 | Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť. | ||
| 5 | Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. | ||
| 6 | V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na VM a kliknite Upraviť nastavenia.. | ||
| 7 | Kliknite Upraviť nastavenia >CD/DVD mechanika 1 a vyberte Datastore ISO File.
| ||
| 8 | Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy. | ||
| 9 | Opakujte proces pre každý uzol v pohotovostnom dátovom centre.
|
Čo urobiť ďalej
Po konfigurácii passiveMode v súbore ISO a jeho uložením môžete vytvoriť ďalšiu kópiu súboru ISO bez súboru passiveMode konfiguráciu a uložte ju na bezpečnom mieste. Táto kópia súboru ISO bez passiveMode nakonfigurovaný môže pomôcť pri rýchlom procese núdzového prepnutia počas obnovy po havárii. Pozri Obnova po havárii pomocou pohotovostného dátového centra pre podrobný postup núdzového prepnutia.
Podpora proxy
Hybrid Data Security podporuje explicitné, transparentné kontrolné a nekontrolujúce proxy. Tieto servery proxy môžete prepojiť s nasadením, aby ste mohli zabezpečiť a monitorovať prevádzku z podniku do cloudu. Rozhranie správcu platformy na uzloch môžete použiť na správu certifikátov a na kontrolu celkového stavu pripojenia po nastavení servera proxy na uzloch.
Uzly Hybrid Data Security podporujú nasledujúce možnosti proxy:
Žiadny proxy—Predvolené, ak na integráciu servera proxy nepoužívate nastavenie uzla HDS Trust Store & Proxy. Nevyžaduje sa žiadna aktualizácia certifikátu.
Transparentný nekontrolujúci splnomocnenec– Uzly nie sú nakonfigurované na používanie špecifickej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.
Transparentné tunelovanie alebo kontrola proxy– Uzly nie sú nakonfigurované na používanie špecifickej adresy servera proxy. Na uzloch nie sú potrebné žiadne zmeny konfigurácie HTTP alebo HTTPS. Uzly však potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).
Explicitný proxy—S explicitným proxy, poviete HDS uzlom, ktorý proxy server a overovaciu schému použiť. Ak chcete nakonfigurovať explicitný server proxy, musíte do každého uzla zadať nasledujúce informácie:
Proxy IP/FQDN– Adresa, ktorú možno použiť na spojenie so zariadením proxy.
Port proxy—Číslo portu, ktoré server proxy používa na počúvanie prevádzky cez proxy.
Proxy protokol—V závislosti od toho, čo váš proxy server podporuje, vyberte si z nasledujúcich protokolov:
HTTP – zobrazuje a riadi všetky požiadavky, ktoré klient odosiela.
HTTPS – poskytuje kanál pre server. Klient prijme a overí certifikát servera.
autentický typ— Vyberte si z nasledujúcich typov autentifikácie:
žiadne— Nevyžaduje sa žiadna ďalšia autentifikácia.
Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.
Základné— Používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.
Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.
Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.
Digest– Používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.
Dostupné, iba ak vyberiete HTTPS ako protokol proxy.
Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.
Príklad uzlov na zabezpečenie hybridných dát a proxy
Tento diagram ukazuje príklad spojenia medzi Hybrid Data Security, sieťou a proxy. Pre možnosti transparentnej kontroly a explicitnej kontroly HTTPS proxy musí byť na serveri proxy aj na uzloch Hybrid Data Security nainštalovaný rovnaký koreňový certifikát.
Blokovaný režim externého rozlíšenia DNS (explicitné konfigurácie proxy)
Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. V nasadeniach s explicitnými konfiguráciami proxy, ktoré neumožňujú externé rozlíšenie DNS pre interných klientov, ak uzol nemôže dotazovať servery DNS, automaticky prejde do režimu blokovaného externého riešenia DNS. V tomto režime môže pokračovať registrácia uzla a ďalšie testy pripojenia proxy.
Požiadavky na hybridnú bezpečnosť dát
Požiadavky na licenciu Cisco Webex
Nasadenie Hybrid Data Security:
Musíte mať balík Pro Pack pre Cisco Webex Control Hub. (Pozri https://www.cisco.com/go/pro-pack.)
Požiadavky na plochu Docker
Pred inštaláciou uzlov HDS potrebujete Docker Desktop na spustenie inštalačného programu. Docker nedávno aktualizoval svoj licenčný model. Vaša organizácia môže vyžadovať platené predplatné pre Docker Desktop. Podrobnosti nájdete v blogovom príspevku Docker, " Docker aktualizuje a rozširuje naše predplatné produktov".
Požiadavky na certifikát X.509
Certifikačný reťazec musí spĺňať nasledujúce požiadavky:
Požiadavka | Podrobnosti |
|---|---|
| V predvolenom nastavení dôverujeme CA v zozname Mozilly (s výnimkou WoSign a StartCom) na https://wiki.mozilla.org/CA:IncludedCAs. |
| CN nemusí byť dosiahnuteľné alebo živého hostiteľa. Odporúčame vám použiť názov, ktorý odráža vašu organizáciu, napr. KN nesmie obsahovať * (zástupný znak). CN sa používa na overenie uzlov Hybrid Data Security pre klientov Webex App. Všetky uzly Hybrid Data Security vo vašom klastri používajú rovnaký certifikát. Váš KMS sa identifikuje pomocou domény CN, nie akejkoľvek domény, ktorá je definovaná v poliach x.509v3 SAN. Po zaregistrovaní uzla s týmto certifikátom nepodporujeme zmenu názvu domény CN. Vyberte doménu, ktorá sa môže vzťahovať na skúšobné aj produkčné nasadenie. |
| Softvér KMS nepodporuje podpisy SHA1 na overenie pripojení k KMS iných organizácií. |
| Na zmenu formátu certifikátu môžete použiť konvertor, ako je OpenSSL. Pri spustení nástroja HDS Setup Tool budete musieť zadať heslo. |
Softvér KMS nevynucuje používanie kľúčov ani rozšírené obmedzenia používania kľúčov. Niektoré certifikačné autority vyžadujú, aby sa na každý certifikát aplikovali rozšírené obmedzenia používania kľúčov, ako je autentifikácia servera. Je v poriadku použiť overenie servera alebo iné nastavenia.
Požiadavky na virtuálny hostiteľ
Virtuálni hostitelia, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri, majú nasledujúce požiadavky:
Aspoň dvaja oddelení hostitelia (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre
VMware ESXi 6.5 (alebo novší) nainštalovaný a spustený.
Ak máte staršiu verziu ESXi, musíte vykonať inováciu.
Minimálne 4 vCPU, 8 GB hlavnej pamäte, 30 GB miesta na lokálnom pevnom disku na server
Požiadavky na databázový server
| Vytvorte novú databázu pre uloženie kľúčov. Nepoužívajte predvolenú databázu. Aplikácie HDS, keď sú nainštalované, vytvoria schému databázy. |
Pre databázový server sú dve možnosti. Požiadavky na každú z nich sú nasledovné:
PostgreSQL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložný priestor) | Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložný priestor) |
Softvér HDS momentálne inštaluje nasledujúce verzie ovládačov na komunikáciu s databázovým serverom:
PostgreSQL | Microsoft SQL Server |
|---|---|
Postgres JDBC ovládač 42.2.5 | Ovládač SQL Server JDBC 4.6 Táto verzia ovládača podporuje SQL Server Always On ( Vždy v prípade zlyhania klastra a Vždy zapnuté skupiny dostupnosti). |
Dodatočné požiadavky na overenie systému Windows voči Microsoft SQL Server
Ak chcete, aby uzly HDS používali autentifikáciu systému Windows na získanie prístupu k vašej databáze úložiska kľúčov na serveri Microsoft SQL Server, potrebujete vo svojom prostredí nasledujúcu konfiguráciu:
HDS uzly, infraštruktúra Active Directory a MS SQL Server musia byť synchronizované s NTP.
Účet Windows, ktorý poskytnete uzlom HDS, musí mať prístup k databáze na čítanie/zápis.
Servery DNS, ktoré poskytujete uzlom HDS, musia byť schopné vyriešiť vaše Centrum distribúcie kľúčov (KDC).
Inštanciu databázy HDS môžete zaregistrovať na svojom serveri Microsoft SQL Server ako hlavný názov služby (SPN) vo vašom adresári Active Directory. Pozri Zaregistrujte hlavný názov služby pre pripojenia Kerberos.
Nástroj na nastavenie HDS, spúšťač HDS a miestne KMS musia na prístup k databáze kľúčov používať overenie systému Windows. Používajú podrobnosti z vašej konfigurácie ISO na vytvorenie SPN pri požadovaní prístupu s overením Kerberos.
Požiadavky na externé pripojenie
Nakonfigurujte svoj firewall tak, aby umožňoval nasledujúce pripojenie pre aplikácie HDS:
Aplikácia | Protokol | Port | Smer z App | Destinácia |
|---|---|---|---|---|
Hybridné uzly zabezpečenia údajov | TCP | 443 | Odchádzajúce HTTPS a WSS |
|
Nástroj na nastavenie HDS | TCP | 443 | Odchádzajúce HTTPS |
|
| Uzly Hybrid Data Security pracujú s prekladom sieťového prístupu (NAT) alebo za bránou firewall, pokiaľ NAT alebo brána firewall umožňuje požadované odchádzajúce pripojenia k destináciám domény v predchádzajúcej tabuľke. Pre pripojenia prichádzajúce do uzlov Hybrid Data Security by nemali byť z internetu viditeľné žiadne porty. V rámci vášho dátového centra potrebujú klienti prístup k uzlom Hybrid Data Security na portoch TCP 443 a 22 na administratívne účely. |
Adresy URL hostiteľov Common Identity (CI) sú špecifické pre daný región. Toto sú súčasní hostitelia CI:
región | Spoločné adresy URL hostiteľa identity |
|---|---|
Ameriky |
|
Európska únia |
|
Kanada |
|
Požiadavky na proxy server
Oficiálne podporujeme nasledujúce proxy riešenia, ktoré sa dajú integrovať s vašimi uzlami Hybrid Data Security.
Transparentný proxy – Cisco Web Security Appliance (WSA).
Explicitný proxy-Squid.
Proxy serverov chobotnice, ktoré kontrolujú prenos HTTPS, môžu zasahovať do vytvorenia webovej zásuvky (wss:) spojenia. Ak chcete tento problém obísť, pozrite si Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát.
Pre explicitné servery proxy podporujeme nasledujúce kombinácie typov overenia:
Žiadna autentifikácia pomocou HTTP alebo HTTPS
Základná autentifikácia pomocou HTTP alebo HTTPS
Digest overenie iba s HTTPS
Pre transparentný kontrolný proxy server alebo explicitný proxy server HTTPS musíte mať kópiu koreňového certifikátu servera proxy. Pokyny na nasadenie v tejto príručke vám povedia, ako nahrať kópiu do dôveryhodných obchodov uzlov Hybrid Data Security.
Sieť, ktorá hostí uzly HDS, musí byť nakonfigurovaná tak, aby vynútila smerovanie odchádzajúcej prevádzky TCP na porte 443 cez server proxy.
Proxy, ktoré kontrolujú webovú prevádzku, môžu narúšať pripojenia webových soketov. Ak sa vyskytne tento problém, obíďte (nie kontrolujte) premávku na
wbx2.comaciscospark.comproblém vyrieši.
Vyplňte Predpoklady pre hybridnú bezpečnosť údajov
| 1 | Uistite sa, že vaša organizácia Webex má povolený balík Pro Pack pre Cisco Webex Control Hub a získajte prihlasovacie údaje účtu s úplnými právami správcu organizácie. Ak potrebujete pomoc s týmto procesom, kontaktujte svojho partnera Cisco alebo account manažéra. | ||
| 2 | Vyberte názov domény pre svoje nasadenie HDS (napr. | ||
| 3 | Pripravte si identických virtuálnych hostiteľov, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri. Potrebujete aspoň dvoch samostatných hostiteľov (odporúčajú sa 3) umiestnených v rovnakom zabezpečenom dátovom centre, ktorí spĺňajú požiadavky v Požiadavky na virtuálny hostiteľ. | ||
| 4 | Pripravte databázový server, ktorý bude fungovať ako úložisko kľúčových údajov pre klaster, podľa Požiadavky na databázový server. Databázový server musí byť umiestnený v zabezpečenom údajovom centre spolu s virtuálnymi hostiteľmi. | ||
| 5 | Pre rýchlu obnovu po havárii nastavte zálohovacie prostredie v inom dátovom centre. Zálohovacie prostredie odzrkadľuje produkčné prostredie VM a záložný databázový server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM. | ||
| 6 | Nastavte hostiteľa syslog na zhromažďovanie protokolov z uzlov v klastri. Získajte jeho sieťovú adresu a port syslog (predvolené je UDP 514). | ||
| 7 | Vytvorte politiku bezpečného zálohovania pre uzly Hybrid Data Security, databázový server a hostiteľa syslog. Aby ste predišli nenapraviteľnej strate údajov, musíte minimálne zálohovať databázu a konfiguračný súbor ISO vygenerovaný pre uzly Hybrid Data Security.
Klienti Webex App ukladajú svoje kľúče do vyrovnávacej pamäte, takže výpadok nemusí byť okamžite viditeľný, ale časom sa prejaví. Zatiaľ čo dočasným výpadkom nie je možné zabrániť, sú obnoviteľné. Úplná strata (nie sú k dispozícii žiadne zálohy) databázy alebo konfiguračného ISO súboru však bude mať za následok neobnoviteľné zákaznícke údaje. Od operátorov uzlov Hybrid Data Security sa očakáva, že budú pravidelne zálohovať databázu a konfiguračný ISO súbor a budú pripravení na prestavbu dátového centra Hybrid Data Security, ak dôjde ku katastrofálnej poruche. | ||
| 8 | Uistite sa, že vaša konfigurácia brány firewall umožňuje pripojenie pre vaše uzly Hybrid Data Security, ako je uvedené v Požiadavky na externé pripojenie. | ||
| 9 | Nainštalujte Docker ( https://www.docker.com) na akomkoľvek lokálnom počítači s podporovaným operačným systémom (Microsoft Windows 10 Professional alebo Enterprise 64-bit, alebo Mac OSX Yosemite 10.10.3 alebo novší) s webovým prehliadačom, ktorý k nemu môže pristupovať na http://127.0.0.1:8080. Inštanciu Docker použijete na stiahnutie a spustenie nástroja HDS Setup Tool, ktorý vytvorí informácie o lokálnej konfigurácii pre všetky uzly Hybrid Data Security. Vaša organizácia môže potrebovať licenciu Docker Desktop. Pozri Požiadavky na plochu Docker Pre viac informácií. Ak chcete nainštalovať a spustiť nástroj HDS Setup Tool, lokálny počítač musí mať konektivitu uvedenú v Požiadavky na externé pripojenie. | ||
| 10 | Ak integrujete proxy s Hybrid Data Security, uistite sa, že spĺňa Požiadavky na proxy server. | ||
| 11 | Ak vaša organizácia používa synchronizáciu adresárov, vytvorte skupinu v Active Directory s názvom
|
Tok úloh nasadenia zabezpečenia hybridných údajov
Predtým ako začneš
| 1 | Stiahnite si inštalačné súbory Stiahnite si súbor OVA na váš lokálny počítač pre neskoršie použitie. | ||
| 2 | Vytvorte ISO konfigurácie pre hostiteľov HDS Pomocou nástroja HDS Setup Tool vytvorte konfiguračný súbor ISO pre uzly Hybrid Data Security. | ||
| 3 |
Vytvorte virtuálny počítač zo súboru OVA a vykonajte počiatočnú konfiguráciu, ako sú nastavenia siete.
| ||
| 4 | Nastavte virtuálny počítač Hybrid Data Security Prihláste sa do konzoly VM a nastavte prihlasovacie poverenia. Nakonfigurujte sieťové nastavenia pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA. | ||
| 5 | Nahrajte a pripojte ISO konfiguráciu HDS Nakonfigurujte VM z konfiguračného súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool. | ||
| 6 | Nakonfigurujte uzol HDS na integráciu proxy Ak sieťové prostredie vyžaduje konfiguráciu servera proxy, zadajte typ servera proxy, ktorý použijete pre uzol, a v prípade potreby pridajte certifikát servera proxy do dôveryhodného úložiska. | ||
| 7 | Zaregistrujte prvý uzol v klastri Zaregistrujte VM v cloude Cisco Webex ako uzol Hybrid Data Security. | ||
| 8 | Vytvorte a zaregistrujte viac uzlov Dokončite nastavenie klastra. | ||
| 9 | Spustite skúšobnú verziu a prejdite do výroby (ďalšia kapitola) Kým nezačnete skúšobnú verziu, vaše uzly generujú alarm oznamujúci, že vaša služba ešte nie je aktivovaná. |
Stiahnite si inštalačné súbory
| 1 | Prihláste sa do https://admin.webex.coma potom kliknite Služby. | ||||
| 2 | V časti Hybridné služby nájdite kartu Hybrid Data Security a potom kliknite Nastaviť. Ak je karta zakázaná alebo ju nevidíte, kontaktujte tím spravujúci váš účet alebo partnerskú organizáciu. Poskytnite im svoje číslo účtu a požiadajte, aby vašej organizácii umožnili Hybridné zabezpečenie dát. Ak chcete nájsť číslo účtu, kliknite na ozubené koliesko vpravo hore vedľa názvu organizácie.
| ||||
| 3 | Vyberte Nie na označenie, že ste ešte nenastavili uzol, a potom kliknite Ďalšie. Automaticky sa začne sťahovať súbor OVA. Uložte súbor na miesto v počítači.
| ||||
| 4 | Voliteľne kliknite Otvorte Sprievodcu nasadením a skontrolujte, či je k dispozícii novšia verzia tejto príručky. |
Vytvorte ISO konfigurácie pre hostiteľov HDS
Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.
Predtým ako začneš
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Control Hub s úplnými administrátorskými právami pre vašu organizáciu.
Ak nástroj HDS Setup beží za serverom proxy vo vašom prostredí, pri spúšťaní kontajnera Docker v kroku poskytnite nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker 5. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS Proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTKonfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:
Databázové poverenia
Aktualizácie certifikátov
Zmeny v politike autorizácie
Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.
| 1 | Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP:
| ||||||||||||
| 2 | Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce: | ||||||||||||
| 3 | Pri výzve na zadanie hesla zadajte tento hash: | ||||||||||||
| 4 | Stiahnite si najnovší stabilný obraz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: | ||||||||||||
| 5 | Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:
Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“. | ||||||||||||
| 6 |
Pomocou webového prehliadača prejdite na localhost, Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie. | ||||||||||||
| 7 | Po zobrazení výzvy zadajte svoje prihlasovacie poverenia správcu zákazníka Control Hub a potom kliknite Prihlásiť sa na umožnenie prístupu k požadovaným službám pre Hybridnú bezpečnosť dát. | ||||||||||||
| 8 | Na stránke prehľadu nástroja Setup kliknite na Začať. | ||||||||||||
| 9 | Na ISO import stránku, máte tieto možnosti:
| ||||||||||||
| 10 | Skontrolujte, či váš certifikát X.509 spĺňa požiadavky v Požiadavky na certifikát X.509.
| ||||||||||||
| 11 | Zadajte databázovú adresu a účet pre HDS, aby ste získali prístup k vášmu úložisku kľúčových údajov: | ||||||||||||
| 12 | Vyberte a Režim pripojenia databázy TLS:
Keď nahráte koreňový certifikát (ak je to potrebné) a kliknite na ďalej, HDS Setup Tool otestuje TLS pripojenie k databázovému serveru. Nástroj tiež overuje podpisovateľa certifikátu a názov hostiteľa, ak je to potrebné. Ak test zlyhá, nástroj zobrazí chybové hlásenie popisujúce problém. Môžete si vybrať, či chcete chybu ignorovať a pokračovať v nastavovaní. (Vzhľadom na rozdiely v konektivite môžu byť uzly HDS schopné nadviazať pripojenie TLS, aj keď ho zariadenie HDS Setup Tool nedokáže úspešne otestovať.) | ||||||||||||
| 13 | Na stránke Systémové denníky nakonfigurujte svoj server Syslogd: | ||||||||||||
| 14 | (Voliteľné) Môžete zmeniť predvolenú hodnotu pre niektoré parametre pripojenia k databáze v Pokročilé nastavenia. Vo všeobecnosti je tento parameter jediný, ktorý možno budete chcieť zmeniť: | ||||||||||||
| 15 | Kliknite ďalej na Obnovte heslo servisných účtov obrazovke. Heslá k servisným účtom majú životnosť deväť mesiacov. Túto obrazovku použite, keď sa blíži koniec platnosti vašich hesiel alebo ich chcete resetovať, aby ste zrušili platnosť predchádzajúcich súborov ISO. | ||||||||||||
| 16 | Kliknite Stiahnite si súbor ISO. Uložte súbor na miesto, ktoré sa dá ľahko nájsť. | ||||||||||||
| 17 | Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. | ||||||||||||
| 18 | Ak chcete vypnúť nástroj Setup, zadajte |
Čo urobiť ďalej
Zálohujte konfiguračný súbor ISO. Potrebujete ho na vytvorenie ďalších uzlov na obnovu alebo na vykonanie zmien v konfigurácii. Ak stratíte všetky kópie súboru ISO, stratili ste aj hlavný kľúč. Obnovenie kľúčov z databázy PostgreSQL alebo Microsoft SQL Server nie je možné.
| Nikdy nemáme kópiu tohto kľúča a nemôžeme vám pomôcť, ak ho stratíte. |
Nainštalujte HDS Host OVA
| 1 | Na prihlásenie do virtuálneho hostiteľa ESXi použite klienta VMware vSphere na vašom počítači. | ||||||
| 2 | Vyberte Súbor > Nasadiť šablónu OVF. | ||||||
| 3 | V sprievodcovi zadajte umiestnenie súboru OVA, ktorý ste si stiahli skôr, a potom kliknite Ďalšie . | ||||||
| 4 | Na Vyberte názov a priečinok stránku, zadajte a Názov virtuálneho počítača pre uzol (napríklad „HDS_Node_1"), vyberte umiestnenie, kde sa môže nachádzať nasadenie uzla virtuálneho počítača, a potom kliknite Ďalšie . | ||||||
| 5 | Na Vyberte výpočtový zdroj vyberte cieľový výpočtový zdroj a potom kliknite Ďalšie . Prebehne overovacia kontrola. Po dokončení sa zobrazia podrobnosti šablóny. | ||||||
| 6 | Overte podrobnosti šablóny a potom kliknite Ďalšie. | ||||||
| 7 | Ak sa zobrazí výzva na výber konfigurácie prostriedkov na Konfigurácia stránku, kliknite 4 CPU a potom kliknite Ďalšie . | ||||||
| 8 | Na Vyberte úložisko stránku, kliknite Ďalšie akceptovať predvolený formát disku a politiku úložiska VM. | ||||||
| 9 | Na Vyberte siete vyberte sieťovú možnosť zo zoznamu položiek, aby ste poskytli požadované pripojenie k VM. | ||||||
| 10 | Na Prispôsobiť šablónu nakonfigurujte nasledujúce nastavenia siete:
Ak chcete, môžete preskočiť konfiguráciu nastavenia siete a postupovať podľa krokov v Nastavte virtuálny počítač Hybrid Data Security na konfiguráciu nastavení z konzoly uzla.
| ||||||
| 11 | Kliknite pravým tlačidlom myši na uzol VM a potom vyberte . Softvér Hybrid Data Security je nainštalovaný ako hosť na hostiteľovi VM. Teraz ste pripravení prihlásiť sa do konzoly a nakonfigurovať uzol. Tipy na riešenie problémov Môžete zaznamenať oneskorenie niekoľkých minút, kým sa kontajnery uzlov objavia. Počas prvého spustenia, počas ktorého sa nemôžete prihlásiť, sa na konzole zobrazí správa brány firewall mosta. |
Nastavte virtuálny počítač Hybrid Data Security
Tento postup použite na prvé prihlásenie do konzoly VM uzla Hybrid Data Security a nastavenie prihlasovacích poverení. Konzolu môžete použiť aj na konfiguráciu sieťových nastavení pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.
| 1 | V klientovi VMware vSphere vyberte svoj uzol Hybrid Data Security VM a vyberte Konzola tab. VM sa spustí a zobrazí sa výzva na prihlásenie. Ak sa výzva na prihlásenie nezobrazí, stlačte Zadajte.
|
| 2 | Na prihlásenie a zmenu poverení použite nasledujúce predvolené prihlasovacie meno a heslo: Keďže sa do svojho VM prihlasujete prvýkrát, musíte zmeniť heslo správcu. |
| 3 | Ak ste už nakonfigurovali nastavenia siete v Nainštalujte HDS Host OVA, preskočte zvyšok tohto postupu. V opačnom prípade vyberte v hlavnom menu položku Upraviť konfiguráciu možnosť. |
| 4 | Nastavte statickú konfiguráciu s IP adresou, maskou, bránou a informáciami DNS. Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované. |
| 5 | (Voliteľné) Zmeňte názov hostiteľa, doménu alebo server(y) NTP, ak je to potrebné, aby zodpovedali zásadám vašej siete. Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509. |
| 6 | Uložte konfiguráciu siete a reštartujte VM, aby sa zmeny prejavili. |
Nahrajte a pripojte ISO konfiguráciu HDS
Predtým ako začneš
Pretože súbor ISO obsahuje hlavný kľúč, mal by byť zverejnený iba na základe „potreby vedieť“, aby k nemu mali prístup virtuálne počítače s hybridným zabezpečením údajov a všetci správcovia, ktorí môžu potrebovať vykonať zmeny. Uistite sa, že k úložisku údajov majú prístup iba títo správcovia.
| 1 | Nahrajte súbor ISO z počítača: |
| 2 | Pripojte súbor ISO: |
Čo urobiť ďalej
Ak to vyžaduje vaša politika IT, môžete voliteľne odpojiť súbor ISO po tom, čo všetky vaše uzly prevezmú zmeny konfigurácie. Pozri (Voliteľné) Odpojte ISO po konfigurácii HDS pre podrobnosti.
Nakonfigurujte uzol HDS na integráciu proxy
Ak sieťové prostredie vyžaduje server proxy, použite tento postup na určenie typu servera proxy, s ktorým sa chcete integrovať Hybridná bezpečnosť dát. Ak si vyberiete transparentný kontrolný proxy server alebo explicitný proxy server HTTPS, môžete použiť rozhranie uzla na nahranie a inštaláciu koreňového certifikátu. Môžete tiež skontrolovať pripojenie proxy z rozhrania a vyriešiť prípadné problémy.
Predtým ako začneš
Pozri Podpora proxy pre prehľad podporovaných možností proxy.
| 1 | Zadajte adresu URL nastavenia uzla HDS |
| 2 | Ísť do Trust Store a proxya potom vyberte možnosť:
Postupujte podľa nasledujúcich krokov pre transparentný kontrolný proxy server, explicitný proxy server HTTP so základným overením alebo explicitný proxy HTTPS. |
| 3 | Kliknite Nahrajte koreňový certifikát alebo certifikát koncovej entitya potom prejdite na výber koreňového certifikátu pre server proxy. Certifikát je nahraný, ale ešte nie je nainštalovaný, pretože na inštaláciu certifikátu musíte reštartovať uzol. Kliknutím na šípku v tvare šípky vedľa názvu vydavateľa certifikátu získate ďalšie podrobnosti alebo kliknite Odstrániť ak ste urobili chybu a chcete súbor znova nahrať. |
| 4 | Kliknite Skontrolujte pripojenie proxy na testovanie sieťového pripojenia medzi uzlom a proxy. Ak test pripojenia zlyhá, zobrazí sa chybové hlásenie, ktoré uvádza dôvod a spôsob, ako môžete problém vyriešiť. Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS. Tento stav sa očakáva v mnohých explicitných konfiguráciách proxy. Môžete pokračovať v nastavovaní a uzol bude fungovať v režime zablokovaného externého rozlíšenia DNS. Ak si myslíte, že ide o chybu, vykonajte tieto kroky a potom uvidíte Vypnite režim zablokovaného externého rozlíšenia DNS. |
| 5 | Po úspešnom teste pripojenia zapnite prepínač v prípade explicitného servera proxy nastaveného iba na https Smerujte všetky požiadavky https z tohto uzla na port 443/444 cez explicitný proxy server. Toto nastavenie sa prejaví po 15 sekundách. |
| 6 | Kliknite Nainštalujte všetky certifikáty do dôveryhodného úložiska (zobrazí sa pri explicitnom HTTPS proxy alebo transparentnom kontrolnom proxy serveri) alebo Reštartovať (zobrazí sa pri explicitnom serveri proxy HTTP), prečítajte si výzvu a potom kliknite Inštalácia ak si pripravený. Uzol sa reštartuje v priebehu niekoľkých minút. |
| 7 | Po reštartovaní uzla sa v prípade potreby znova prihláste a potom otvorte Prehľad stránku a skontrolujte kontroly pripojenia, aby ste sa uistili, že sú všetky v zelenom stave. Kontrola pripojenia proxy testuje iba subdoménu webex.com. Ak sa vyskytnú problémy s pripojením, bežným problémom je, že niektoré z cloudových domén uvedených v pokynoch na inštaláciu sú na serveri proxy blokované. |
Zaregistrujte prvý uzol v klastri
Keď zaregistrujete svoj prvý uzol, vytvoríte klaster, ku ktorému je uzol priradený. Klaster obsahuje jeden alebo viac uzlov nasadených na zabezpečenie redundancie.
Predtým ako začneš
Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.
Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.
| 1 | Prihláste sa do https://admin.webex.com. |
| 2 | V ponuke na ľavej strane obrazovky vyberte položku Služby. |
| 3 | V sekcii Hybridné služby nájdite Hybridné zabezpečenie dát a kliknite Nastaviť. Zobrazí sa stránka Register Hybrid Data Security Node.
|
| 4 | Vyberte Áno na označenie, že ste uzol nastavili a ste pripravení ho zaregistrovať, a potom kliknite Ďalšie. |
| 5 | Do prvého poľa zadajte názov klastra, ku ktorému chcete priradiť váš uzol Hybrid Data Security. Odporúčame pomenovať klaster podľa toho, kde sa geograficky nachádzajú uzly klastra. Príklady: „San Francisco“ alebo „New York“ alebo „Dallas“ |
| 6 | Do druhého poľa zadajte internú IP adresu alebo úplný názov domény (FQDN) vášho uzla a kliknite Ďalšie. Táto adresa IP alebo FQDN by sa mala zhodovať s adresou IP alebo názvom hostiteľa a doménou, ktorú ste použili Nastavte virtuálny počítač Hybrid Data Security. Zobrazí sa správa, že môžete zaregistrovať svoj uzol do Webexu.
|
| 7 | Kliknite Prejdite na Node. |
| 8 | Kliknite ďalej vo varovnej správe. Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že svojej organizácii Webex chcete udeliť povolenia na prístup k vášmu uzlu.
|
| 9 | Skontrolovať Povoľte prístup k svojmu uzlu zabezpečenia hybridných údajov začiarknite políčko a potom kliknite na ďalej. Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
|
| 10 | Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Hybrid Data Security Control Hub. Na Hybridná bezpečnosť dát sa zobrazí nový klaster obsahujúci uzol, ktorý ste zaregistrovali. Uzol si automaticky stiahne najnovší softvér z cloudu.
|
Vytvorte a zaregistrujte viac uzlov
| V súčasnosti sú záložné virtuálne počítače, ktoré ste vytvorili Vyplňte Predpoklady pre hybridnú bezpečnosť údajov sú pohotovostní hostitelia, ktorí sa používajú iba v prípade obnovy po havárii; dovtedy nie sú registrovaní v systéme. Podrobnosti nájdete v časti Obnova po havárii pomocou pohotovostného dátového centra. |
Predtým ako začneš
Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.
Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.
| 1 | Vytvorte nový virtuálny počítač z OVA zopakovaním krokov Nainštalujte HDS Host OVA. |
| 2 | Nastavte počiatočnú konfiguráciu na novom VM zopakovaním krokov v Nastavte virtuálny počítač Hybrid Data Security. |
| 3 | Na novom virtuálnom počítači zopakujte kroky v Nahrajte a pripojte ISO konfiguráciu HDS. |
| 4 | Ak nastavujete server proxy pre svoje nasadenie, zopakujte kroky v Nakonfigurujte uzol HDS na integráciu proxy podľa potreby pre nový uzol. |
| 5 | Zaregistrujte uzol. Váš uzol je zaregistrovaný. Upozorňujeme, že kým nezačnete skúšobnú verziu, vaše uzly generujú alarm, ktorý oznamuje, že vaša služba ešte nie je aktivovaná.
|
Čo urobiť ďalej
Skúšobný postup produkčných úloh
Po nastavení klastra Hybrid Data Security môžete spustiť pilotný test, pridať doň používateľov a začať ho používať na testovanie a overovanie vášho nasadenia v rámci prípravy na prechod do produkcie.
Predtým ako začneš
| 1 | V prípade potreby synchronizujte Ak vaša organizácia používa synchronizáciu adresárov pre používateľov, musíte vybrať |
| 2 |
Začnite skúšobnú verziu. Kým nevykonáte túto úlohu, vaše uzly generujú alarm, ktorý oznamuje, že služba ešte nie je aktivovaná. |
| 3 | Otestujte svoje nasadenie hybridného zabezpečenia dát Skontrolujte, či kľúčové požiadavky prechádzajú do vášho nasadenia Hybrid Data Security. |
| 4 | Monitorujte zdravie Hybrid Data Security Health Skontrolujte stav a nastavte e-mailové upozornenia na budíky. |
| 5 | Pridajte alebo odstráňte používateľov z vašej skúšobnej verzie |
| 6 | Dokončite skúšobnú fázu jedným z nasledujúcich krokov: |
Aktivovať skúšobnú verziu
Predtým ako začneš
Ak vaša organizácia používa synchronizáciu adresárov pre používateľov, musíte vybrať HdsTrialGroup skupinový objekt na synchronizáciu do cloudu predtým, ako začnete skúšobnú verziu pre vašu organizáciu. Pokyny nájdete na Sprievodca nasadením pre Cisco Directory Connector.
| 1 | Prihláste sa do https://admin.webex.coma potom vyberte Služby. |
| 2 | V časti Hybrid Data Security kliknite na nastavenie. |
| 3 | V časti Stav služby kliknite na Spustiť skúšku. Stav služby sa zmení na skúšobný režim.
|
| 4 | Kliknite Pridať používateľov a zadajte e-mailovú adresu jedného alebo viacerých používateľov na pilotné používanie vašich uzlov Hybrid Data Security na šifrovacie a indexovacie služby. (Ak vaša organizácia používa synchronizáciu adresárov, na správu skúšobnej skupiny použite službu Active Directory, |
Otestujte svoje nasadenie hybridného zabezpečenia dát
Predtým ako začneš
Nastavte nasadenie Hybrid Data Security.
Aktivujte skúšobnú verziu a pridajte niekoľko používateľov skúšobnej verzie.
Uistite sa, že máte prístup k syslog, aby ste si overili, že kľúčové požiadavky prechádzajú do vášho nasadenia Hybrid Data Security.
| 1 | Kľúče pre daný priestor nastavuje tvorca priestoru. Prihláste sa do aplikácie Webex ako jeden z pilotných používateľov a potom vytvorte priestor a pozvite aspoň jedného pilotného používateľa a jedného nepilotného používateľa.
| ||
| 2 | Posielajte správy do nového priestoru. | ||
| 3 | Skontrolujte výstup syslog, aby ste si overili, že požiadavky na kľúče prechádzajú do vášho nasadenia Hybrid Data Security. |
Monitorujte zdravie Hybrid Data Security Health
| 1 | In Control Hub, vyberte Služby z ponuky na ľavej strane obrazovky. |
| 2 | V sekcii Hybridné služby nájdite Hybridné zabezpečenie dát a kliknite nastavenie. Zobrazí sa stránka Hybrid Data Security Settings.
|
| 3 | V časti E-mailové upozornenia zadajte jednu alebo viac e-mailových adries oddelených čiarkami a stlačte Zadajte. |
Pridajte alebo odstráňte používateľov z vašej skúšobnej verzie
Ak odstránite používateľa zo skúšobnej verzie, klient tohto používateľa bude namiesto vášho KMS požadovať kľúče a vytvorenie kľúča z cloudového KMS. Ak klient potrebuje kľúč, ktorý je uložený vo vašom KMS, cloudový KMS ho načíta v mene používateľa.
Ak vaša organizácia používa synchronizáciu adresárov, použite Active Directory (namiesto tohto postupu) na správu skúšobnej skupiny, HdsTrialGroup; členov skupiny môžete zobraziť v Control Hub, ale nemôžete ich pridávať ani odstraňovať.
| 1 | Prihláste sa do Control Hub a potom vyberte Služby. |
| 2 | V časti Hybrid Data Security kliknite na nastavenie. |
| 3 | V časti Skúšobný režim v oblasti Stav služby kliknite na Pridať používateľov, alebo kliknite zobraziť a upraviť na odstránenie používateľov zo skúšobnej verzie. |
| 4 | Zadajte e-mailovú adresu jedného alebo viacerých používateľov, ktorých chcete pridať, alebo kliknite na X pomocou ID používateľa na odstránenie používateľa zo skúšobnej verzie. Potom kliknite Uložiť. |
Presuňte sa zo skúšobnej do produkčnej verzie
| 1 | Prihláste sa do Control Hub a potom vyberte Služby. |
| 2 | V časti Hybrid Data Security kliknite na nastavenie. |
| 3 | V časti Stav služby kliknite na Presunúť do výroby. |
| 4 | Potvrďte, že chcete presunúť všetkých svojich používateľov do produkcie. |
Ukončite skúšobnú verziu bez presunu do výroby
| 1 | Prihláste sa do Control Hub a potom vyberte Služby. |
| 2 | V časti Hybrid Data Security kliknite na nastavenie. |
| 3 | V časti Deaktivovať kliknite na Deaktivovať. |
| 4 | Potvrďte, že chcete službu deaktivovať a ukončiť skúšobnú verziu. |
Spravujte nasadenie HDS
Pomocou tu popísaných úloh spravujte svoje nasadenie Hybrid Data Security.
Nastavte plán aktualizácie klastra
Ak chcete nastaviť plán aktualizácie:
| 1 | Prihláste sa do Control Hub. |
| 2 | Na stránke Prehľad v časti Hybridné služby vyberte Hybridná bezpečnosť dát. |
| 3 | Na stránke Hybrid Data Security Resources vyberte klaster. |
| 4 | Na paneli Prehľad vpravo v časti Nastavenia klastra vyberte názov klastra. |
| 5 | Na stránke Nastavenia v časti Aktualizácia vyberte čas a časové pásmo pre plán inovácie. Poznámka: Pod časovým pásmom sa zobrazí dátum a čas ďalšej dostupnej aktualizácie. Kliknutím na tlačidlo môžete v prípade potreby odložiť aktualizáciu na nasledujúci deň Odložiť. |
Zmeňte konfiguráciu uzla
Zmena x.509 certifikátov z dôvodu uplynutia platnosti alebo iných dôvodov.
Nepodporujeme zmenu názvu domény CN certifikátu. Doména sa musí zhodovať s pôvodnou doménou použitou na registráciu klastra.
Aktualizácia nastavení databázy pre zmenu na repliku databázy PostgreSQL alebo Microsoft SQL Server.
Nepodporujeme migráciu údajov z PostgreSQL na Microsoft SQL Server alebo opačným spôsobom. Ak chcete zmeniť prostredie databázy, spustite nové nasadenie Hybrid Data Security.
Vytvorenie novej konfigurácie na prípravu nového dátového centra.
Z bezpečnostných dôvodov používa Hybrid Data Security heslá servisných účtov, ktoré majú životnosť deväť mesiacov. Keď nástroj HDS Setup vygeneruje tieto heslá, nasadíte ich do každého z vašich uzlov HDS v konfiguračnom súbore ISO. Keď sa blíži koniec platnosti hesiel vašej organizácie, dostanete od tímu Webex upozornenie na resetovanie hesla pre váš počítačový účet. (E-mail obsahuje text „Na aktualizáciu hesla použite rozhranie API strojového účtu.“) Ak platnosť vašich hesiel ešte nevypršala, nástroj vám ponúka dve možnosti:
Mäkký reset—Staré aj nové heslo fungujú až 10 dní. Toto obdobie použite na postupnú výmenu súboru ISO na uzloch.
Tvrdý reštart—Staré heslá okamžite prestanú fungovať.
Ak platnosť vašich hesiel vyprší bez resetovania, ovplyvní to vašu službu HDS, čo si vyžaduje okamžitý tvrdý reset a nahradenie súboru ISO na všetkých uzloch.
Tento postup použite na vygenerovanie nového konfiguračného súboru ISO a jeho použitie vo vašom klastri.
Predtým ako začneš
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Control Hub s úplnými administrátorskými právami pre vašu organizáciu.
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker zadajte nastavenia proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker 1.e. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS Proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTNa vygenerovanie novej konfigurácie potrebujete kópiu aktuálneho konfiguračného súboru ISO. ISO obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. ISO potrebujete, keď robíte zmeny v konfigurácii vrátane poverení databázy, aktualizácií certifikátov alebo zmien v politike autorizácie.
| 1 | Pomocou Docker na lokálnom počítači spustite nástroj HDS Setup Tool.
| ||||||
| 2 | Ak máte spustený iba jeden uzol HDS, vytvorte nový VM uzla Hybrid Data Security a zaregistrujte ho pomocou nového konfiguračného súboru ISO. Podrobnejšie pokyny nájdete v časti Vytvorte a zaregistrujte viac uzlov. | ||||||
| 3 | Pre existujúce uzly HDS, na ktorých je spustený starší konfiguračný súbor, pripojte súbor ISO. Postupne vykonajte nasledujúci postup na každom uzle, pričom aktualizujte každý uzol pred vypnutím ďalšieho uzla: | ||||||
| 4 | Opakujte krok 3, aby ste nahradili konfiguráciu na každom zostávajúcom uzle, na ktorom je spustená stará konfigurácia. |
Vypnite režim zablokovaného externého rozlíšenia DNS
Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. Ak server DNS uzla nedokáže rozlíšiť verejné názvy DNS, uzol automaticky prejde do režimu zablokovaného externého rozlíšenia DNS.
Ak vaše uzly dokážu rozlíšiť verejné názvy DNS prostredníctvom interných serverov DNS, môžete tento režim vypnúť opätovným spustením testu pripojenia proxy na každom uzle.
Predtým ako začneš
| 1 | Vo webovom prehliadači otvorte rozhranie uzla Hybrid Data Security (IP adresa/nastavenie, napr. https://192.0.2.0/setup), zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite Prihlásiť sa. |
| 2 | Ísť do Prehľad (predvolená stránka). Keď je povolené, Zablokované externé rozlíšenie DNS je nastavený na Áno. |
| 3 | Choďte na Trust Store a proxy stránku. |
| 4 | Kliknite Skontrolujte pripojenie proxy. Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS a zostane v tomto režime. V opačnom prípade po reštartovaní uzla a návrate do Prehľad na stránke Blocked External DNS Resolution by mala byť nastavená na no. |
Čo urobiť ďalej
Odstráňte uzol
| 1 | Pomocou klienta VMware vSphere vo svojom počítači sa prihláste do virtuálneho hostiteľa ESXi a vypnite virtuálny počítač. |
| 2 | Odstráňte uzol: |
| 3 | V klientovi vSphere odstráňte VM. (Na ľavom navigačnom paneli kliknite pravým tlačidlom myši na VM a kliknite na Odstrániť.) Ak nevymažete VM, nezabudnite odpojiť konfiguračný súbor ISO. Bez súboru ISO nemôžete použiť VM na prístup k bezpečnostným údajom. |
Obnova po havárii pomocou pohotovostného dátového centra
Najdôležitejšou službou, ktorú váš klaster Hybrid Data Security poskytuje, je vytváranie a ukladanie kľúčov používaných na šifrovanie správ a iného obsahu uloženého v cloude Webex. Pre každého používateľa v rámci organizácie, ktorý je priradený k Hybrid Data Security, sú do klastra smerované nové požiadavky na vytvorenie kľúča. Klaster je tiež zodpovedný za vrátenie kľúčov, ktoré vytvoril, všetkým používateľom oprávneným na ich získanie, napríklad členom konverzačného priestoru.
Pretože klaster vykonáva kritickú funkciu poskytovania týchto kľúčov, je nevyhnutné, aby klaster zostal spustený a aby boli udržiavané správne zálohy. Strata databázy Hybrid Data Security alebo konfigurácie ISO použitej pre schému bude mať za následok NENÁVRATNÚ STRATU zákazníckeho obsahu. Aby sa predišlo takejto strate, sú povinné nasledujúce postupy:
Ak havária spôsobí, že nasadenie HDS v primárnom dátovom centre sa stane nedostupným, podľa tohto postupu manuálne prepnite na pohotovostné dátové centrum.
| 1 | Spustite nástroj HDS Setup a postupujte podľa krokov uvedených v Vytvorte ISO konfigurácie pre hostiteľov HDS. | ||
| 2 | Po nakonfigurovaní servera Syslogd kliknite na Pokročilé nastavenia | ||
| 3 | Na Pokročilé nastavenia pridajte konfiguráciu nižšie alebo odstráňte
| ||
| 4 | Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť. | ||
| 5 | Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. | ||
| 6 | V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na VM a kliknite Upraviť nastavenia.. | ||
| 7 | Kliknite Upraviť nastavenia >CD/DVD mechanika 1 a vyberte Datastore ISO File.
| ||
| 8 | Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy. | ||
| 9 | Opakujte proces pre každý uzol v pohotovostnom dátovom centre.
|
Čo urobiť ďalej
(Voliteľné) Odpojte ISO po konfigurácii HDS
Štandardná konfigurácia HDS beží s namontovaným ISO. Niektorí zákazníci však uprednostňujú neponechať súbory ISO nepretržite pripojené. Súbor ISO môžete odpojiť potom, čo všetky uzly HDS prevezmú novú konfiguráciu.
Na vykonanie zmien v konfigurácii stále používate súbory ISO. Keď vytvoríte nový ISO alebo aktualizujete ISO pomocou nástroja Setup Tool, musíte aktualizovaný ISO pripojiť na všetky vaše uzly HDS. Keď všetky vaše uzly zachytia zmeny konfigurácie, môžete ISO znova odpojiť pomocou tohto postupu.
Predtým ako začneš
Inovujte všetky svoje uzly HDS na verziu 2021.01.22.4720 alebo novšiu.
| 1 | Vypnite jeden z uzlov HDS. |
| 2 | V serverovom zariadení vCenter vyberte uzol HDS. |
| 3 | Vyberte si a zrušte začiarknutie Súbor ISO úložiska údajov. |
| 4 | Zapnite uzol HDS a uistite sa, že aspoň 20 minút nie sú žiadne alarmy. |
| 5 | Postup opakujte pre každý uzol HDS. |
Zobraziť upozornenia a riešenie problémov
Nasadenie Hybrid Data Security sa považuje za nedostupné, ak sú všetky uzly v klastri nedostupné alebo klaster pracuje tak pomaly, že si vyžaduje časový limit. Ak používatelia nemôžu dosiahnuť váš klaster Hybrid Data Security, zaznamenajú nasledujúce príznaky:
Nie je možné vytvoriť nové medzery (nemožno vytvoriť nové kľúče)
Správy a názvy priestorov sa nepodarilo dešifrovať pre:
Noví používatelia pridaní do priestoru (nemožno načítať kľúče)
Existujúci používatelia v priestore používajúci nového klienta (nemožno načítať kľúče)
Existujúci používatelia v priestore budú naďalej úspešne fungovať, pokiaľ budú mať ich klienti vyrovnávaciu pamäť šifrovacích kľúčov
Je dôležité, aby ste správne monitorovali svoj klaster Hybrid Data Security a okamžite riešili všetky výstrahy, aby ste predišli prerušeniu služby.
Upozornenia
Ak sa vyskytne problém s nastavením Hybrid Data Security, Control Hub zobrazí upozornenia správcovi organizácie a odošle e-maily na nakonfigurovanú e-mailovú adresu. Výstrahy pokrývajú mnoho bežných scenárov.
Upozornenie | Akcia |
|---|---|
Zlyhanie prístupu k lokálnej databáze. |
Skontrolujte chyby databázy alebo problémy s lokálnou sieťou. |
Zlyhanie pripojenia k lokálnej databáze. |
Skontrolujte, či je databázový server dostupný a či boli v konfigurácii uzla použité správne poverenia servisného účtu. |
Zlyhanie prístupu k cloudovej službe. |
Skontrolujte, či majú uzly prístup k serverom Webex, ako je uvedené v Požiadavky na externé pripojenie. |
Obnovuje sa registrácia cloudovej služby. |
Registrácia do cloudových služieb bola zrušená. Prebieha obnova registrácie. |
Registrácia cloudovej služby bola zrušená. |
Registrácia do cloudových služieb bola ukončená. Služba sa vypína. |
Služba ešte nie je aktivovaná. |
Aktivujte skúšobnú verziu alebo dokončite presun skúšky do produkcie. |
Nakonfigurovaná doména sa nezhoduje s certifikátom servera. |
Uistite sa, že váš certifikát servera sa zhoduje s nakonfigurovanou doménou aktivácie služby. Najpravdepodobnejšou príčinou je, že certifikát CN bol nedávno zmenený a teraz sa líši od CN, ktorý bol použitý počas počiatočného nastavenia. |
Nepodarilo sa overiť v cloudových službách. |
Skontrolujte presnosť a možné vypršanie platnosti poverení servisného účtu. |
Nepodarilo sa otvoriť súbor lokálneho úložiska kľúčov. |
Skontrolujte integritu a presnosť hesla v lokálnom súbore skladu kľúčov. |
Certifikát lokálneho servera je neplatný. |
Skontrolujte dátum vypršania platnosti certifikátu servera a potvrďte, že bol vydaný dôveryhodnou certifikačnou autoritou. |
Nie je možné uverejniť metriky. |
Skontrolujte prístup k lokálnej sieti k externým cloudovým službám. |
Adresár /media/configdrive/hds neexistuje. |
Skontrolujte konfiguráciu pripojenia ISO na virtuálnom hostiteľovi. Overte, či súbor ISO existuje, či je nakonfigurovaný na pripojenie pri reštarte a či sa úspešne pripojí. |
Riešenie problémov so zabezpečením hybridných údajov
| 1 | Skontrolujte si v Control Hub všetky upozornenia a opravte všetky položky, ktoré tam nájdete. |
| 2 | Skontrolujte výstup servera syslog pre aktivitu z nasadenia Hybrid Data Security. |
| 3 | Kontakt Podpora Cisco. |
Známe problémy s hybridnou bezpečnosťou dát
Ak vypnete svoj klaster Hybrid Data Security (odstránením v Control Hub alebo vypnutím všetkých uzlov), stratíte svoj konfiguračný súbor ISO alebo stratíte prístup k databáze úložiska kľúčov, používatelia vašej aplikácie Webex App už nebudú môcť používať priestory pod svojimi ľuďmi. zoznam, ktorý bol vytvorený pomocou kľúčov z vášho KMS. Platí to pre skúšobné aj produkčné nasadenia. V súčasnosti nemáme riešenie ani opravu tohto problému a žiadame vás, aby ste nevypínali svoje služby HDS, keď budú spracovávať aktívne používateľské účty.
Klient, ktorý má existujúce pripojenie ECDH ku KMS, udržiava toto pripojenie určitý čas (pravdepodobne jednu hodinu). Keď sa používateľ stane členom skúšobnej verzie Hybrid Data Security, klient používateľa naďalej používa existujúce pripojenie ECDH, kým nevyprší časový limit. Prípadne sa používateľ môže odhlásiť a znova prihlásiť do aplikácie Webex App, aby aktualizoval umiestnenie, ktoré aplikácia kontaktuje pre šifrovacie kľúče.
Rovnaké správanie nastane, keď presuniete skúšobnú verziu do produkcie organizácie. Všetci neskúšobní používatelia s existujúcimi pripojeniami ECDH k predchádzajúcim službám zabezpečenia údajov budú tieto služby naďalej používať, kým sa znovu nedohodne pripojenie ECDH (prostredníctvom časového limitu alebo odhlásením a opätovným prihlásením).
Na vygenerovanie súboru PKCS12 použite OpenSSL
Predtým ako začneš
OpenSSL je jeden nástroj, ktorý možno použiť na vytvorenie súboru PKCS12 v správnom formáte na načítanie v nástroji HDS Setup Tool. Existujú aj iné spôsoby, ako to urobiť, a my nepodporujeme ani nepresadzujeme jeden spôsob oproti druhému.
Ak sa rozhodnete použiť OpenSSL, poskytujeme tento postup ako návod, ktorý vám pomôže vytvoriť súbor, ktorý spĺňa požiadavky certifikátu X.509 v Požiadavky na certifikát X.509. Než budete pokračovať, pochopte tieto požiadavky.
Nainštalujte OpenSSL v podporovanom prostredí. Pozri https://www.openssl.org pre softvér a dokumentáciu.
Vytvorte súkromný kľúč.
Tento postup začnite, keď dostanete certifikát servera od certifikačnej autority (CA).
| 1 | Keď dostanete certifikát servera od vašej CA, uložte ho ako |
| 2 | Zobrazte certifikát ako text a overte podrobnosti.
|
| 3 | Pomocou textového editora vytvorte súbor zväzku certifikátov s názvom
|
| 4 | Vytvorte súbor .p12 s popisným názvom
|
| 5 | Skontrolujte podrobnosti certifikátu servera. |
Čo urobiť ďalej
Návrat do Vyplňte Predpoklady pre hybridnú bezpečnosť údajov. Budete používať hdsnode.p12 súbor a heslo, ktoré ste preň nastavili Vytvorte ISO konfigurácie pre hostiteľov HDS.
| Tieto súbory môžete znova použiť na vyžiadanie nového certifikátu, keď platnosť pôvodného certifikátu vyprší. |
Prevádzka medzi uzlami HDS a cloudom
Odchádzajúca návštevnosť zberu metrík
Uzly Hybrid Data Security odosielajú určité metriky do cloudu Webex. Patria sem systémové metriky pre maximálnu haldu, využitú haldu, zaťaženie procesora a počet vlákien; metriky na synchrónnych a asynchrónnych vláknach; metriky výstrah zahŕňajúce prah šifrovacích pripojení, latenciu alebo dĺžku frontu požiadaviek; metriky na dátovom úložisku; a metriky šifrovaného pripojenia. Uzly posielajú zašifrovaný kľúčový materiál cez kanál mimo pásma (oddelený od požiadavky).
Prichádzajúca premávka
Uzly Hybrid Data Security prijímajú nasledujúce typy prichádzajúcej prevádzky z cloudu Webex:
Šifrovacie požiadavky od klientov, ktoré sú smerované šifrovacou službou
Aktualizácie softvéru uzla
Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát
Websocket sa nemôže pripojiť cez Squid Proxy
Proxy serverov chobotnice, ktoré kontrolujú prenos HTTPS, môžu zasahovať do vytvorenia webovej zásuvky ( wss:) pripojenia, ktoré vyžaduje Hybrid Data Security. Tieto časti poskytujú návod, ako nakonfigurovať rôzne verzie Squid na ignorovanie wss: prevádzky pre správne fungovanie služieb.
Kalmáre 4 a 5
Pridajte on_unsupported_protocol smernica k squid.conf:
on_unsupported_protocol tunnel allKalmáre 3.5.27
Hybridnú bezpečnosť dát sme úspešne otestovali s nasledujúcimi pravidlami squid.conf. Tieto pravidlá sa môžu meniť, pretože vyvíjame funkcie a aktualizujeme cloud Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allNové a zmenené informácie
Dátum | Vykonané zmeny | ||
|---|---|---|---|
20. októbra 2023 |
| ||
7. augusta 2023 |
| ||
23. mája 2023 |
| ||
6. decembra 2022 |
| ||
23. novembra 2022 |
| ||
13. októbra 2021 | Pred inštaláciou uzlov HDS musí Docker Desktop spustiť inštalačný program. Pozri Požiadavky na plochu Docker. | ||
24. júna 2021 | Upozorňujeme, že súbor so súkromným kľúčom a CSR môžete znova použiť na vyžiadanie ďalšieho certifikátu. Pozri Na vygenerovanie súboru PKCS12 použite OpenSSL pre podrobnosti. | ||
| 30. apríla 2021 | Požiadavka VM na lokálny pevný disk sa zmenila na 30 GB. Pozri Požiadavky na virtuálny hostiteľ pre podrobnosti. | ||
24. februára 2021 | HDS Setup Tool teraz môže bežať za serverom proxy. Pozri Vytvorte ISO konfigurácie pre hostiteľov HDS pre podrobnosti. | ||
2. februára 2021 | HDS teraz môže bežať bez pripojeného súboru ISO. Pozri (Voliteľné) Odpojte ISO po konfigurácii HDS pre podrobnosti. | ||
11. januára 2021 | Pridané informácie o nástroji HDS Setup a proxy serveroch Vytvorte ISO konfigurácie pre hostiteľov HDS. | ||
13. októbra 2020 | Aktualizované Stiahnite si inštalačné súbory. | ||
8. októbra 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS a Zmeňte konfiguráciu uzla s príkazmi pre prostredia FedRAMP. | ||
14. augusta 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS a Zmeňte konfiguráciu uzla so zmenami v procese prihlasovania. | ||
5. augusta 2020 | Aktualizované Otestujte svoje nasadenie hybridného zabezpečenia dát pre zmeny v protokolových správach. Aktualizované Požiadavky na virtuálny hostiteľ na odstránenie maximálneho počtu hostiteľov. | ||
16. júna 2020 | Aktualizované Odstráňte uzol pre zmeny v používateľskom rozhraní Control Hub. | ||
4. júna 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS pre zmeny v rozšírených nastaveniach, ktoré môžete nastaviť. | ||
29. mája 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS ukázať, že TLS môžete použiť aj s databázami SQL Server, zmenami používateľského rozhrania a ďalšími vysvetleniami. | ||
5. mája 2020 | Aktualizované Požiadavky na virtuálny hostiteľ ukázať novú požiadavku ESXi 6.5. | ||
21. apríla 2020 | Aktualizované Požiadavky na externé pripojenie s novými hostiteľmi Americas CI. | ||
1. apríla 2020 | Aktualizované Požiadavky na externé pripojenie s informáciami o regionálnych hostiteľoch CI. | ||
| 20. februára 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS s informáciami o novej voliteľnej obrazovke rozšírených nastavení v nástroji HDS Setup Tool. | ||
| 4. februára 2020 | Aktualizované Požiadavky na proxy server. | ||
| 16. decembra 2019 | Objasnená požiadavka, aby fungoval režim zablokovaného externého rozlíšenia DNS Požiadavky na proxy server. | ||
| 19. novembra 2019 | Pridané informácie o režime zablokovaného externého rozlíšenia DNS v nasledujúcich častiach: | ||
8. novembra 2019 | Teraz môžete konfigurovať sieťové nastavenia pre uzol počas nasadzovania OVA a nie neskôr. Podľa toho aktualizovali nasledujúce sekcie:
| ||
6. septembra 2019 | Pridaný SQL Server Standard do Požiadavky na databázový server. | ||
| 29. augusta 2019 | Pridané Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát príloha s návodom na konfiguráciu proxy serverov Squid tak, aby ignorovali prevádzku websocket pre správnu činnosť. | ||
| 20. augusta 2019 | Pridané a aktualizované sekcie pokrývajúce podporu proxy pre komunikáciu uzlov Hybrid Data Security do cloudu Webex. Ak chcete získať prístup len k obsahu podpory proxy pre existujúce nasadenie, pozrite si Podpora proxy pre hybridné zabezpečenie dát a Webex Video Mesh pomocný článok. | ||
| 13. júna 2019 | Aktualizované Skúšobný postup produkčných úloh s pripomienkou na synchronizáciu HdsTrialGroup skupinový objekt pred spustením skúšobnej verzie, ak vaša organizácia používa synchronizáciu adresárov. | ||
| 6. marca 2019 |
| ||
| 28. februára 2019 |
| ||
| 26. februára 2019 |
| ||
24. januára 2019 |
| ||
| 5. novembra 2018 |
| ||
| 19. októbra 2018 |
| ||
31. júla 2018 |
| ||
| 21. mája 2018 | Zmenená terminológia, aby odrážala rebranding Cisco Spark:
| ||
| 11. apríla 2018 |
| ||
| 22. februára 2018 |
| ||
| 15. február 2018 |
| ||
| 18. januára 2018 |
| ||
2. novembra 2017 |
| ||
18. augusta 2017 | Prvýkrát zverejnené |
Prehľad zabezpečenia hybridných údajov
Od prvého dňa bola bezpečnosť údajov prvoradá pri navrhovaní Aplikácia Webex. Základným kameňom tohto zabezpečenia je komplexné šifrovanie obsahu, ktoré umožňuje Aplikácia Webex klientov interagujúcich so službou správy kľúčov (KMS). KMS je zodpovedný za vytváranie a správu kryptografických kľúčov, ktoré klienti používajú na dynamické šifrovanie a dešifrovanie správ a súborov.
Štandardne všetky Aplikácia Webex zákazníci získajú end-to-end šifrovanie s dynamickými kľúčmi uloženými v cloudovom KMS v oblasti bezpečnosti Cisco. Hybrid Data Security presúva KMS a ďalšie funkcie súvisiace so zabezpečením do vášho podnikového dátového centra, takže kľúče k vášmu šifrovanému obsahu nemá nikto okrem vás.
Architektúra bezpečnostnej sféry
Cloudová architektúra Webex oddeľuje rôzne typy služieb do samostatných oblastí alebo dôveryhodných domén, ako je znázornené nižšie.
Aby sme lepšie porozumeli Hybrid Data Security, pozrime sa najprv na tento čistý cloud, kde Cisco poskytuje všetky funkcie vo svojich cloudových sférach. Služba identity, jediné miesto, kde môžu používatelia priamo korelovať so svojimi osobnými údajmi, ako je e-mailová adresa, je logicky a fyzicky oddelená od oblasti zabezpečenia v dátovom centre B. Obe sú zase oddelené od oblasti, kde je v konečnom dôsledku uložený šifrovaný obsah. , v dátovom centre C.
V tomto diagrame je klientom aplikácia Webex, ktorá beží na notebooku používateľa a je overená službou identity. Keď používateľ vytvorí správu na odoslanie do priestoru, vykonajú sa tieto kroky:
Klient vytvorí zabezpečené spojenie so službou správy kľúčov (KMS), potom požiada o kľúč na zašifrovanie správy. Zabezpečené pripojenie používa ECDH a KMS šifruje kľúč pomocou hlavného kľúča AES-256.
Správa je pred opustením klienta zašifrovaná. Klient ho odošle do indexovacej služby, ktorá vytvorí šifrované indexy vyhľadávania na pomoc pri budúcom vyhľadávaní obsahu.
Zašifrovaná správa sa odošle do služby súladu na kontrolu súladu.
Zašifrovaná správa je uložená v úložnej sfére.
Keď nasadíte Hybrid Data Security, presuniete funkcie bezpečnostnej sféry (KMS, indexovanie a súlad) do vášho lokálneho dátového centra. Ostatné cloudové služby, ktoré tvoria Webex (vrátane ukladania identity a obsahu), zostávajú v sférach spoločnosti Cisco.
Spolupráca s inými organizáciami
Používatelia vo vašej organizácii môžu pravidelne používať aplikáciu Webex na spoluprácu s externými účastníkmi v iných organizáciách. Keď jeden z vašich používateľov požaduje kľúč pre priestor, ktorý vlastní vaša organizácia (pretože ho vytvoril jeden z vašich používateľov), váš KMS odošle kľúč klientovi cez zabezpečený kanál ECDH. Keď však kľúč priestoru vlastní iná organizácia, váš KMS nasmeruje požiadavku do cloudu Webex cez samostatný kanál ECDH, aby získal kľúč z príslušného KMS, a potom vráti kľúč vášmu používateľovi na pôvodnom kanáli.
Služba KMS spustená v organizácii A overuje pripojenia ku KMS v iných organizáciách pomocou x.509 PKI certifikátov. Pozri Pripravte si prostredie podrobnosti o generovaní x.509 certifikátu na použitie s nasadením Hybrid Data Security.
Očakávania týkajúce sa nasadenia hybridnej bezpečnosti údajov
Nasadenie Hybrid Data Security si vyžaduje značné nasadenie zákazníkov a uvedomenie si rizík, ktoré so sebou prináša vlastníctvo šifrovacích kľúčov.
Ak chcete nasadiť Hybrid Data Security, musíte poskytnúť:
Bezpečné dátové centrum v krajine, ktorá je a podporované miesto pre plány Cisco Webex Teams.
Vybavenie, softvér a sieťový prístup popísané v Pripravte si prostredie.
Úplná strata buď konfiguračného ISO, ktoré ste vytvorili pre Hybrid Data Security, alebo databázy, ktorú poskytnete, bude mať za následok stratu kľúčov. Strata kľúča bráni používateľom dešifrovať obsah priestoru a ďalšie šifrované údaje v aplikácii Webex. Ak sa tak stane, môžete vytvoriť nové nasadenie, ale bude viditeľný iba nový obsah. Aby ste predišli strate prístupu k údajom, musíte:
Spravujte zálohovanie a obnovu databázy a konfiguračného ISO.
Buďte pripravení vykonať rýchlu obnovu po havárii, ak dôjde ku katastrofe, ako je zlyhanie databázového disku alebo katastrofa dátového centra.
| Neexistuje žiadny mechanizmus na presun kľúčov späť do cloudu po nasadení HDS. |
Proces nastavenia na vysokej úrovni
Tento dokument pokrýva nastavenie a správu nasadenia Hybrid Data Security:
Nastavte Hybridné zabezpečenie dát—To zahŕňa prípravu požadovanej infraštruktúry a inštaláciu softvéru Hybrid Data Security, testovanie vášho nasadenia s podskupinou používateľov v skúšobnom režime a po dokončení testovania prechod do produkcie. To prevedie celú organizáciu na používanie vášho klastra Hybrid Data Security na bezpečnostné funkcie.
Fázy nastavenia, skúšania a výroby sú podrobne opísané v nasledujúcich troch kapitolách.
Udržujte svoje nasadenie Hybrid Data Security— Cloud Webex automaticky poskytuje priebežné aktualizácie. Vaše IT oddelenie môže poskytnúť podporu prvej úrovne pre toto nasadenie a podľa potreby zapojiť podporu Cisco. V Control Hub môžete používať upozornenia na obrazovke a nastaviť upozornenia prostredníctvom e-mailu.
Pochopte bežné upozornenia, kroky na riešenie problémov a známe problémy—Ak narazíte na problémy s nasadením alebo používaním Hybrid Data Security, posledná kapitola tejto príručky a príloha Známe problémy vám môžu pomôcť určiť a vyriešiť problém.
Hybridný model nasadenia zabezpečenia dát
V rámci podnikového dátového centra nasadíte Hybrid Data Security ako jeden klaster uzlov na samostatných virtuálnych hostiteľoch. Uzly komunikujú s cloudom Webex prostredníctvom zabezpečených webových zásuviek a zabezpečeného HTTP.
Počas procesu inštalácie vám poskytneme súbor OVA na nastavenie virtuálneho zariadenia na VM, ktoré poskytnete. Nástroj HDS Setup Tool použijete na vytvorenie vlastného konfiguračného súboru ISO klastra, ktorý pripojíte na každý uzol. Klaster Hybrid Data Security využíva váš poskytnutý server Syslogd a databázu PostgreSQL alebo Microsoft SQL Server. (Syslogd a podrobnosti o pripojení k databáze nakonfigurujete v nástroji HDS Setup Tool.)
Minimálny počet uzlov, ktoré môžete mať v klastri, sú dva. Odporúčame aspoň tri a môžete ich mať až päť. Viacnásobné uzly zaisťujú, že služba nebude prerušená počas aktualizácie softvéru alebo inej činnosti údržby na uzle. (Cloud Webex aktualizuje naraz iba jeden uzol.)
Všetky uzly v klastri pristupujú k rovnakému úložisku údajov kľúčov a zaznamenávajú aktivitu na rovnaký server syslog. Samotné uzly sú bez stavu a spracovávajú kľúčové požiadavky v režime round-robin podľa pokynov cloudu.
Uzly sa stanú aktívnymi, keď ich zaregistrujete v Control Hub. Ak chcete vyradiť jednotlivý uzol z prevádzky, môžete ho zrušiť a neskôr v prípade potreby znova zaregistrovať.
Podporujeme iba jeden klaster na organizáciu.
Skúšobný režim hybridnej bezpečnosti dát
Po nastavení nasadenia Hybrid Data Security ho najskôr vyskúšate so skupinou pilotných používateľov. Počas skúšobného obdobia títo používatelia používajú vašu lokálnu doménu Hybrid Data Security na šifrovacie kľúče a ďalšie služby v oblasti zabezpečenia. Ostatní vaši používatelia naďalej používajú oblasť zabezpečenia cloudu.
Ak sa rozhodnete nepokračovať v nasadzovaní počas skúšobného obdobia a službu deaktivujete, pilotní používatelia a všetci používatelia, s ktorými počas skúšobného obdobia interagovali vytvorením nových priestorov, stratia prístup k správam a obsahu. V aplikácii Webex sa im zobrazí „Táto správa sa nedá dešifrovať“.
Ak ste spokojní s tým, že vaše nasadenie funguje dobre pre skúšobných používateľov a ste pripravení rozšíriť Hybrid Data Security na všetkých svojich používateľov, presuniete nasadenie do produkcie. Pilotní používatelia majú naďalej prístup ku kľúčom, ktoré sa používali počas skúšobnej verzie. Nemôžete sa však pohybovať tam a späť medzi produkčným režimom a pôvodnou skúšobnou verziou. Ak musíte službu deaktivovať, napríklad vykonať obnovu po havárii, pri opätovnej aktivácii musíte spustiť novú skúšobnú verziu a nastaviť skupinu pilotných používateľov pre novú skúšobnú verziu, než sa vrátite späť do produkčného režimu. Či si používatelia v tomto bode zachovajú prístup k údajom, závisí od toho, či ste úspešne udržiavali zálohy úložiska kľúčových údajov a konfiguračného súboru ISO pre uzly Hybrid Data Security vo vašom klastri.
Pohotovostné dátové centrum pre obnovu po havárii
Počas nasadenia nastavíte zabezpečené pohotovostné dátové centrum. V prípade havárie dátového centra môžete manuálne zlyhať nasadenie do pohotovostného dátového centra.
Databázy aktívnych a pohotovostných dátových centier sú navzájom synchronizované, čo minimalizuje čas potrebný na vykonanie núdzového prepnutia. Súbor ISO pohotovostného dátového centra sa aktualizuje o ďalšie konfigurácie, ktoré zaisťujú, že uzly sú registrované v organizácii, ale nebudú spracovávať prevádzku. Preto uzly pohotovostného dátového centra zostávajú vždy aktuálne s najnovšou verziou softvéru HDS.
| Aktívne uzly Hybrid Data Security musia byť vždy v rovnakom údajovom centre ako aktívny databázový server. |
Nastavte pohotovostné dátové centrum pre obnovu po havárii
Ak chcete nakonfigurovať súbor ISO pohotovostného dátového centra, postupujte podľa nasledujúcich krokov:
Predtým ako začneš
Pohotovostné dátové centrum by malo odrážať produkčné prostredie VM a záložnú databázu PostgreSQL alebo Microsoft SQL Server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM. (Pozri Pohotovostné dátové centrum pre obnovu po havárii pre prehľad tohto modelu núdzového prepnutia.)
Uistite sa, že je povolená synchronizácia databázy medzi databázou aktívnych a pasívnych uzlov klastra.
| 1 | Spustite nástroj HDS Setup a postupujte podľa krokov uvedených v Vytvorte ISO konfigurácie pre hostiteľov HDS.
| ||
| 2 | Po nakonfigurovaní servera Syslogd kliknite na Pokročilé nastavenia | ||
| 3 | Na Pokročilé nastavenia pridajte konfiguráciu nižšie, aby ste umiestnili uzol do pasívneho režimu. V tomto režime bude uzol zaregistrovaný v organizácii a pripojený ku cloudu, ale nebude spracovávať žiadny prenos.
| ||
| 4 | Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť. | ||
| 5 | Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. | ||
| 6 | V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na VM a kliknite Upraviť nastavenia.. | ||
| 7 | Kliknite Upraviť nastavenia >CD/DVD mechanika 1 a vyberte Datastore ISO File.
| ||
| 8 | Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy. | ||
| 9 | Opakujte proces pre každý uzol v pohotovostnom dátovom centre.
|
Čo urobiť ďalej
Po konfigurácii passiveMode v súbore ISO a jeho uložením môžete vytvoriť ďalšiu kópiu súboru ISO bez súboru passiveMode konfiguráciu a uložte ju na bezpečnom mieste. Táto kópia súboru ISO bez passiveMode nakonfigurovaný môže pomôcť pri rýchlom procese núdzového prepnutia počas obnovy po havárii. Pozri Obnova po havárii pomocou pohotovostného dátového centra pre podrobný postup núdzového prepnutia.
Podpora proxy
Hybrid Data Security podporuje explicitné, transparentné kontrolné a nekontrolujúce proxy. Tieto servery proxy môžete prepojiť s nasadením, aby ste mohli zabezpečiť a monitorovať prevádzku z podniku do cloudu. Rozhranie správcu platformy na uzloch môžete použiť na správu certifikátov a na kontrolu celkového stavu pripojenia po nastavení servera proxy na uzloch.
Uzly Hybrid Data Security podporujú nasledujúce možnosti proxy:
Žiadny proxy—Predvolené, ak na integráciu servera proxy nepoužívate nastavenie uzla HDS Trust Store & Proxy. Nevyžaduje sa žiadna aktualizácia certifikátu.
Transparentný nekontrolujúci splnomocnenec– Uzly nie sú nakonfigurované na používanie špecifickej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.
Transparentné tunelovanie alebo kontrola proxy– Uzly nie sú nakonfigurované na používanie špecifickej adresy servera proxy. Na uzloch nie sú potrebné žiadne zmeny konfigurácie HTTP alebo HTTPS. Uzly však potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).
Explicitný proxy—S explicitným proxy, poviete HDS uzlom, ktorý proxy server a overovaciu schému použiť. Ak chcete nakonfigurovať explicitný server proxy, musíte do každého uzla zadať nasledujúce informácie:
Proxy IP/FQDN– Adresa, ktorú možno použiť na spojenie so zariadením proxy.
Port proxy—Číslo portu, ktoré server proxy používa na počúvanie prevádzky cez proxy.
Proxy protokol—V závislosti od toho, čo váš proxy server podporuje, vyberte si z nasledujúcich protokolov:
HTTP – zobrazuje a riadi všetky požiadavky, ktoré klient odosiela.
HTTPS – poskytuje kanál pre server. Klient prijme a overí certifikát servera.
autentický typ— Vyberte si z nasledujúcich typov autentifikácie:
žiadne— Nevyžaduje sa žiadna ďalšia autentifikácia.
Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.
Základné— Používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.
Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.
Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.
Digest– Používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.
Dostupné, iba ak vyberiete HTTPS ako protokol proxy.
Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.
Príklad uzlov na zabezpečenie hybridných dát a proxy
Tento diagram ukazuje príklad spojenia medzi Hybrid Data Security, sieťou a proxy. Pre možnosti transparentnej kontroly a explicitnej kontroly HTTPS proxy musí byť na serveri proxy aj na uzloch Hybrid Data Security nainštalovaný rovnaký koreňový certifikát.
Blokovaný režim externého rozlíšenia DNS (explicitné konfigurácie proxy)
Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. V nasadeniach s explicitnými konfiguráciami proxy, ktoré neumožňujú externé rozlíšenie DNS pre interných klientov, ak uzol nemôže dotazovať servery DNS, automaticky prejde do režimu blokovaného externého riešenia DNS. V tomto režime môže pokračovať registrácia uzla a ďalšie testy pripojenia proxy.
Požiadavky na hybridnú bezpečnosť dát
Požiadavky na licenciu Cisco Webex
Nasadenie Hybrid Data Security:
Musíte mať balík Pro Pack pre Cisco Webex Control Hub. (Pozri https://www.cisco.com/go/pro-pack.)
Požiadavky na plochu Docker
Pred inštaláciou uzlov HDS potrebujete Docker Desktop na spustenie inštalačného programu. Docker nedávno aktualizoval svoj licenčný model. Vaša organizácia môže vyžadovať platené predplatné pre Docker Desktop. Podrobnosti nájdete v blogovom príspevku Docker, " Docker aktualizuje a rozširuje naše predplatné produktov".
Požiadavky na certifikát X.509
Certifikačný reťazec musí spĺňať nasledujúce požiadavky:
Požiadavka | Podrobnosti |
|---|---|
| V predvolenom nastavení dôverujeme CA v zozname Mozilly (s výnimkou WoSign a StartCom) na https://wiki.mozilla.org/CA:IncludedCAs. |
| CN nemusí byť dosiahnuteľné alebo živého hostiteľa. Odporúčame vám použiť názov, ktorý odráža vašu organizáciu, napr. KN nesmie obsahovať * (zástupný znak). CN sa používa na overenie uzlov Hybrid Data Security pre klientov Webex App. Všetky uzly Hybrid Data Security vo vašom klastri používajú rovnaký certifikát. Váš KMS sa identifikuje pomocou domény CN, nie akejkoľvek domény, ktorá je definovaná v poliach x.509v3 SAN. Po zaregistrovaní uzla s týmto certifikátom nepodporujeme zmenu názvu domény CN. Vyberte doménu, ktorá sa môže vzťahovať na skúšobné aj produkčné nasadenie. |
| Softvér KMS nepodporuje podpisy SHA1 na overenie pripojení k KMS iných organizácií. |
| Na zmenu formátu certifikátu môžete použiť konvertor, ako je OpenSSL. Pri spustení nástroja HDS Setup Tool budete musieť zadať heslo. |
Softvér KMS nevynucuje používanie kľúčov ani rozšírené obmedzenia používania kľúčov. Niektoré certifikačné autority vyžadujú, aby sa na každý certifikát aplikovali rozšírené obmedzenia používania kľúčov, ako je autentifikácia servera. Je v poriadku použiť overenie servera alebo iné nastavenia.
Požiadavky na virtuálny hostiteľ
Virtuálni hostitelia, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri, majú nasledujúce požiadavky:
Aspoň dvaja oddelení hostitelia (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre
VMware ESXi 6.5 (alebo novší) nainštalovaný a spustený.
Ak máte staršiu verziu ESXi, musíte vykonať inováciu.
Minimálne 4 vCPU, 8 GB hlavnej pamäte, 30 GB miesta na lokálnom pevnom disku na server
Požiadavky na databázový server
| Vytvorte novú databázu pre uloženie kľúčov. Nepoužívajte predvolenú databázu. Aplikácie HDS, keď sú nainštalované, vytvoria schému databázy. |
Pre databázový server sú dve možnosti. Požiadavky na každú z nich sú nasledovné:
PostgreSQL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložný priestor) | Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložný priestor) |
Softvér HDS momentálne inštaluje nasledujúce verzie ovládačov na komunikáciu s databázovým serverom:
PostgreSQL | Microsoft SQL Server |
|---|---|
Postgres JDBC ovládač 42.2.5 | Ovládač SQL Server JDBC 4.6 Táto verzia ovládača podporuje SQL Server Always On ( Vždy v prípade zlyhania klastra a Vždy zapnuté skupiny dostupnosti). |
Dodatočné požiadavky na overenie systému Windows voči Microsoft SQL Server
Ak chcete, aby uzly HDS používali autentifikáciu systému Windows na získanie prístupu k vašej databáze úložiska kľúčov na serveri Microsoft SQL Server, potrebujete vo svojom prostredí nasledujúcu konfiguráciu:
HDS uzly, infraštruktúra Active Directory a MS SQL Server musia byť synchronizované s NTP.
Účet Windows, ktorý poskytnete uzlom HDS, musí mať prístup k databáze na čítanie/zápis.
Servery DNS, ktoré poskytujete uzlom HDS, musia byť schopné vyriešiť vaše Centrum distribúcie kľúčov (KDC).
Inštanciu databázy HDS môžete zaregistrovať na svojom serveri Microsoft SQL Server ako hlavný názov služby (SPN) vo vašom adresári Active Directory. Pozri Zaregistrujte hlavný názov služby pre pripojenia Kerberos.
Nástroj na nastavenie HDS, spúšťač HDS a miestne KMS musia na prístup k databáze kľúčov používať overenie systému Windows. Používajú podrobnosti z vašej konfigurácie ISO na vytvorenie SPN pri požadovaní prístupu s overením Kerberos.
Požiadavky na externé pripojenie
Nakonfigurujte svoj firewall tak, aby umožňoval nasledujúce pripojenie pre aplikácie HDS:
Aplikácia | Protokol | Port | Smer z App | Destinácia |
|---|---|---|---|---|
Hybridné uzly zabezpečenia údajov | TCP | 443 | Odchádzajúce HTTPS a WSS |
|
Nástroj na nastavenie HDS | TCP | 443 | Odchádzajúce HTTPS |
|
| Uzly Hybrid Data Security pracujú s prekladom sieťového prístupu (NAT) alebo za bránou firewall, pokiaľ NAT alebo brána firewall umožňuje požadované odchádzajúce pripojenia k destináciám domény v predchádzajúcej tabuľke. Pre pripojenia prichádzajúce do uzlov Hybrid Data Security by nemali byť z internetu viditeľné žiadne porty. V rámci vášho dátového centra potrebujú klienti prístup k uzlom Hybrid Data Security na portoch TCP 443 a 22 na administratívne účely. |
Adresy URL hostiteľov Common Identity (CI) sú špecifické pre daný región. Toto sú súčasní hostitelia CI:
región | Spoločné adresy URL hostiteľa identity |
|---|---|
Ameriky |
|
Európska únia |
|
Kanada |
|
Požiadavky na proxy server
Oficiálne podporujeme nasledujúce proxy riešenia, ktoré sa dajú integrovať s vašimi uzlami Hybrid Data Security.
Transparentný proxy – Cisco Web Security Appliance (WSA).
Explicitný proxy-Squid.
Proxy serverov chobotnice, ktoré kontrolujú prenos HTTPS, môžu zasahovať do vytvorenia webovej zásuvky (wss:) spojenia. Ak chcete tento problém obísť, pozrite si Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát.
Pre explicitné servery proxy podporujeme nasledujúce kombinácie typov overenia:
Žiadna autentifikácia pomocou HTTP alebo HTTPS
Základná autentifikácia pomocou HTTP alebo HTTPS
Digest overenie iba s HTTPS
Pre transparentný kontrolný proxy server alebo explicitný proxy server HTTPS musíte mať kópiu koreňového certifikátu servera proxy. Pokyny na nasadenie v tejto príručke vám povedia, ako nahrať kópiu do dôveryhodných obchodov uzlov Hybrid Data Security.
Sieť, ktorá hostí uzly HDS, musí byť nakonfigurovaná tak, aby vynútila smerovanie odchádzajúcej prevádzky TCP na porte 443 cez server proxy.
Proxy, ktoré kontrolujú webovú prevádzku, môžu narúšať pripojenia webových soketov. Ak sa vyskytne tento problém, obíďte (nie kontrolujte) premávku na
wbx2.comaciscospark.comproblém vyrieši.
Vyplňte Predpoklady pre hybridnú bezpečnosť údajov
| 1 | Uistite sa, že vaša organizácia Webex má povolený balík Pro Pack pre Cisco Webex Control Hub a získajte prihlasovacie údaje účtu s úplnými právami správcu organizácie. Ak potrebujete pomoc s týmto procesom, kontaktujte svojho partnera Cisco alebo account manažéra. | ||
| 2 | Vyberte názov domény pre svoje nasadenie HDS (napr. | ||
| 3 | Pripravte si identických virtuálnych hostiteľov, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri. Potrebujete aspoň dvoch samostatných hostiteľov (odporúčajú sa 3) umiestnených v rovnakom zabezpečenom dátovom centre, ktorí spĺňajú požiadavky v Požiadavky na virtuálny hostiteľ. | ||
| 4 | Pripravte databázový server, ktorý bude fungovať ako úložisko kľúčových údajov pre klaster, podľa Požiadavky na databázový server. Databázový server musí byť umiestnený v zabezpečenom údajovom centre spolu s virtuálnymi hostiteľmi. | ||
| 5 | Pre rýchlu obnovu po havárii nastavte zálohovacie prostredie v inom dátovom centre. Zálohovacie prostredie odzrkadľuje produkčné prostredie VM a záložný databázový server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM. | ||
| 6 | Nastavte hostiteľa syslog na zhromažďovanie protokolov z uzlov v klastri. Získajte jeho sieťovú adresu a port syslog (predvolené je UDP 514). | ||
| 7 | Vytvorte politiku bezpečného zálohovania pre uzly Hybrid Data Security, databázový server a hostiteľa syslog. Aby ste predišli nenapraviteľnej strate údajov, musíte minimálne zálohovať databázu a konfiguračný súbor ISO vygenerovaný pre uzly Hybrid Data Security.
Klienti Webex App ukladajú svoje kľúče do vyrovnávacej pamäte, takže výpadok nemusí byť okamžite viditeľný, ale časom sa prejaví. Zatiaľ čo dočasným výpadkom nie je možné zabrániť, sú obnoviteľné. Úplná strata (nie sú k dispozícii žiadne zálohy) databázy alebo konfiguračného ISO súboru však bude mať za následok neobnoviteľné zákaznícke údaje. Od operátorov uzlov Hybrid Data Security sa očakáva, že budú pravidelne zálohovať databázu a konfiguračný ISO súbor a budú pripravení na prestavbu dátového centra Hybrid Data Security, ak dôjde ku katastrofálnej poruche. | ||
| 8 | Uistite sa, že vaša konfigurácia brány firewall umožňuje pripojenie pre vaše uzly Hybrid Data Security, ako je uvedené v Požiadavky na externé pripojenie. | ||
| 9 | Nainštalujte Docker ( https://www.docker.com) na akomkoľvek lokálnom počítači s podporovaným operačným systémom (Microsoft Windows 10 Professional alebo Enterprise 64-bit, alebo Mac OSX Yosemite 10.10.3 alebo novší) s webovým prehliadačom, ktorý k nemu môže pristupovať na http://127.0.0.1:8080. Inštanciu Docker použijete na stiahnutie a spustenie nástroja HDS Setup Tool, ktorý vytvorí informácie o lokálnej konfigurácii pre všetky uzly Hybrid Data Security. Vaša organizácia môže potrebovať licenciu Docker Desktop. Pozri Požiadavky na plochu Docker Pre viac informácií. Ak chcete nainštalovať a spustiť nástroj HDS Setup Tool, lokálny počítač musí mať konektivitu uvedenú v Požiadavky na externé pripojenie. | ||
| 10 | Ak integrujete proxy s Hybrid Data Security, uistite sa, že spĺňa Požiadavky na proxy server. | ||
| 11 | Ak vaša organizácia používa synchronizáciu adresárov, vytvorte skupinu v Active Directory s názvom
|
Tok úloh nasadenia zabezpečenia hybridných údajov
Predtým ako začneš
| 1 | Stiahnite si inštalačné súbory Stiahnite si súbor OVA na váš lokálny počítač pre neskoršie použitie. | ||
| 2 | Vytvorte ISO konfigurácie pre hostiteľov HDS Pomocou nástroja HDS Setup Tool vytvorte konfiguračný súbor ISO pre uzly Hybrid Data Security. | ||
| 3 |
Vytvorte virtuálny počítač zo súboru OVA a vykonajte počiatočnú konfiguráciu, ako sú nastavenia siete.
| ||
| 4 | Nastavte virtuálny počítač Hybrid Data Security Prihláste sa do konzoly VM a nastavte prihlasovacie poverenia. Nakonfigurujte sieťové nastavenia pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA. | ||
| 5 | Nahrajte a pripojte ISO konfiguráciu HDS Nakonfigurujte VM z konfiguračného súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool. | ||
| 6 | Nakonfigurujte uzol HDS na integráciu proxy Ak sieťové prostredie vyžaduje konfiguráciu servera proxy, zadajte typ servera proxy, ktorý použijete pre uzol, a v prípade potreby pridajte certifikát servera proxy do dôveryhodného úložiska. | ||
| 7 | Zaregistrujte prvý uzol v klastri Zaregistrujte VM v cloude Cisco Webex ako uzol Hybrid Data Security. | ||
| 8 | Vytvorte a zaregistrujte viac uzlov Dokončite nastavenie klastra. | ||
| 9 | Spustite skúšobnú verziu a prejdite do výroby (ďalšia kapitola) Kým nezačnete skúšobnú verziu, vaše uzly generujú alarm oznamujúci, že vaša služba ešte nie je aktivovaná. |
Stiahnite si inštalačné súbory
| 1 | Prihláste sa do https://admin.webex.coma potom kliknite Služby. | ||||
| 2 | V časti Hybridné služby nájdite kartu Hybrid Data Security a potom kliknite Nastaviť. Ak je karta zakázaná alebo ju nevidíte, kontaktujte tím spravujúci váš účet alebo partnerskú organizáciu. Poskytnite im svoje číslo účtu a požiadajte, aby vašej organizácii umožnili Hybridné zabezpečenie dát. Ak chcete nájsť číslo účtu, kliknite na ozubené koliesko vpravo hore vedľa názvu organizácie.
| ||||
| 3 | Vyberte Nie na označenie, že ste ešte nenastavili uzol, a potom kliknite Ďalšie. Automaticky sa začne sťahovať súbor OVA. Uložte súbor na miesto v počítači.
| ||||
| 4 | Voliteľne kliknite Otvorte Sprievodcu nasadením a skontrolujte, či je k dispozícii novšia verzia tejto príručky. |
Vytvorte ISO konfigurácie pre hostiteľov HDS
Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.
Predtým ako začneš
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Control Hub s úplnými administrátorskými právami pre vašu organizáciu.
Ak nástroj HDS Setup beží za serverom proxy vo vašom prostredí, pri spúšťaní kontajnera Docker v kroku poskytnite nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker 5. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS Proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTKonfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:
Databázové poverenia
Aktualizácie certifikátov
Zmeny v politike autorizácie
Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.
| 1 | Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP:
| ||||||||||||
| 2 | Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce: | ||||||||||||
| 3 | Pri výzve na zadanie hesla zadajte tento hash: | ||||||||||||
| 4 | Stiahnite si najnovší stabilný obraz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: | ||||||||||||
| 5 | Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:
Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“. | ||||||||||||
| 6 |
Pomocou webového prehliadača prejdite na localhost, Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie. | ||||||||||||
| 7 | Po zobrazení výzvy zadajte svoje prihlasovacie poverenia správcu zákazníka Control Hub a potom kliknite Prihlásiť sa na umožnenie prístupu k požadovaným službám pre Hybridnú bezpečnosť dát. | ||||||||||||
| 8 | Na stránke prehľadu nástroja Setup kliknite na Začať. | ||||||||||||
| 9 | Na ISO import stránku, máte tieto možnosti:
| ||||||||||||
| 10 | Skontrolujte, či váš certifikát X.509 spĺňa požiadavky v Požiadavky na certifikát X.509.
| ||||||||||||
| 11 | Zadajte databázovú adresu a účet pre HDS, aby ste získali prístup k vášmu úložisku kľúčových údajov: | ||||||||||||
| 12 | Vyberte a Režim pripojenia databázy TLS:
Keď nahráte koreňový certifikát (ak je to potrebné) a kliknite na ďalej, HDS Setup Tool otestuje TLS pripojenie k databázovému serveru. Nástroj tiež overuje podpisovateľa certifikátu a názov hostiteľa, ak je to potrebné. Ak test zlyhá, nástroj zobrazí chybové hlásenie popisujúce problém. Môžete si vybrať, či chcete chybu ignorovať a pokračovať v nastavovaní. (Vzhľadom na rozdiely v konektivite môžu byť uzly HDS schopné nadviazať pripojenie TLS, aj keď ho zariadenie HDS Setup Tool nedokáže úspešne otestovať.) | ||||||||||||
| 13 | Na stránke Systémové denníky nakonfigurujte svoj server Syslogd: | ||||||||||||
| 14 | (Voliteľné) Môžete zmeniť predvolenú hodnotu pre niektoré parametre pripojenia k databáze v Pokročilé nastavenia. Vo všeobecnosti je tento parameter jediný, ktorý možno budete chcieť zmeniť: | ||||||||||||
| 15 | Kliknite ďalej na Obnovte heslo servisných účtov obrazovke. Heslá k servisným účtom majú životnosť deväť mesiacov. Túto obrazovku použite, keď sa blíži koniec platnosti vašich hesiel alebo ich chcete resetovať, aby ste zrušili platnosť predchádzajúcich súborov ISO. | ||||||||||||
| 16 | Kliknite Stiahnite si súbor ISO. Uložte súbor na miesto, ktoré sa dá ľahko nájsť. | ||||||||||||
| 17 | Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. | ||||||||||||
| 18 | Ak chcete vypnúť nástroj Setup, zadajte |
Čo urobiť ďalej
Zálohujte konfiguračný súbor ISO. Potrebujete ho na vytvorenie ďalších uzlov na obnovu alebo na vykonanie zmien v konfigurácii. Ak stratíte všetky kópie súboru ISO, stratili ste aj hlavný kľúč. Obnovenie kľúčov z databázy PostgreSQL alebo Microsoft SQL Server nie je možné.
| Nikdy nemáme kópiu tohto kľúča a nemôžeme vám pomôcť, ak ho stratíte. |
Nainštalujte HDS Host OVA
| 1 | Na prihlásenie do virtuálneho hostiteľa ESXi použite klienta VMware vSphere na vašom počítači. | ||||||
| 2 | Vyberte Súbor > Nasadiť šablónu OVF. | ||||||
| 3 | V sprievodcovi zadajte umiestnenie súboru OVA, ktorý ste si stiahli skôr, a potom kliknite Ďalšie . | ||||||
| 4 | Na Vyberte názov a priečinok stránku, zadajte a Názov virtuálneho počítača pre uzol (napríklad „HDS_Node_1"), vyberte umiestnenie, kde sa môže nachádzať nasadenie uzla virtuálneho počítača, a potom kliknite Ďalšie . | ||||||
| 5 | Na Vyberte výpočtový zdroj vyberte cieľový výpočtový zdroj a potom kliknite Ďalšie . Prebehne overovacia kontrola. Po dokončení sa zobrazia podrobnosti šablóny. | ||||||
| 6 | Overte podrobnosti šablóny a potom kliknite Ďalšie. | ||||||
| 7 | Ak sa zobrazí výzva na výber konfigurácie prostriedkov na Konfigurácia stránku, kliknite 4 CPU a potom kliknite Ďalšie . | ||||||
| 8 | Na Vyberte úložisko stránku, kliknite Ďalšie akceptovať predvolený formát disku a politiku úložiska VM. | ||||||
| 9 | Na Vyberte siete vyberte sieťovú možnosť zo zoznamu položiek, aby ste poskytli požadované pripojenie k VM. | ||||||
| 10 | Na Prispôsobiť šablónu nakonfigurujte nasledujúce nastavenia siete:
Ak chcete, môžete preskočiť konfiguráciu nastavenia siete a postupovať podľa krokov v Nastavte virtuálny počítač Hybrid Data Security na konfiguráciu nastavení z konzoly uzla.
| ||||||
| 11 | Kliknite pravým tlačidlom myši na uzol VM a potom vyberte . Softvér Hybrid Data Security je nainštalovaný ako hosť na hostiteľovi VM. Teraz ste pripravení prihlásiť sa do konzoly a nakonfigurovať uzol. Tipy na riešenie problémov Môžete zaznamenať oneskorenie niekoľkých minút, kým sa kontajnery uzlov objavia. Počas prvého spustenia, počas ktorého sa nemôžete prihlásiť, sa na konzole zobrazí správa brány firewall mosta. |
Nastavte virtuálny počítač Hybrid Data Security
Tento postup použite na prvé prihlásenie do konzoly VM uzla Hybrid Data Security a nastavenie prihlasovacích poverení. Konzolu môžete použiť aj na konfiguráciu sieťových nastavení pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.
| 1 | V klientovi VMware vSphere vyberte svoj uzol Hybrid Data Security VM a vyberte Konzola tab. VM sa spustí a zobrazí sa výzva na prihlásenie. Ak sa výzva na prihlásenie nezobrazí, stlačte Zadajte.
|
| 2 | Na prihlásenie a zmenu poverení použite nasledujúce predvolené prihlasovacie meno a heslo: Keďže sa do svojho VM prihlasujete prvýkrát, musíte zmeniť heslo správcu. |
| 3 | Ak ste už nakonfigurovali nastavenia siete v Nainštalujte HDS Host OVA, preskočte zvyšok tohto postupu. V opačnom prípade vyberte v hlavnom menu položku Upraviť konfiguráciu možnosť. |
| 4 | Nastavte statickú konfiguráciu s IP adresou, maskou, bránou a informáciami DNS. Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované. |
| 5 | (Voliteľné) Zmeňte názov hostiteľa, doménu alebo server(y) NTP, ak je to potrebné, aby zodpovedali zásadám vašej siete. Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509. |
| 6 | Uložte konfiguráciu siete a reštartujte VM, aby sa zmeny prejavili. |
Nahrajte a pripojte ISO konfiguráciu HDS
Predtým ako začneš
Pretože súbor ISO obsahuje hlavný kľúč, mal by byť zverejnený iba na základe „potreby vedieť“, aby k nemu mali prístup virtuálne počítače s hybridným zabezpečením údajov a všetci správcovia, ktorí môžu potrebovať vykonať zmeny. Uistite sa, že k úložisku údajov majú prístup iba títo správcovia.
| 1 | Nahrajte súbor ISO z počítača: |
| 2 | Pripojte súbor ISO: |
Čo urobiť ďalej
Ak to vyžaduje vaša politika IT, môžete voliteľne odpojiť súbor ISO po tom, čo všetky vaše uzly prevezmú zmeny konfigurácie. Pozri (Voliteľné) Odpojte ISO po konfigurácii HDS pre podrobnosti.
Nakonfigurujte uzol HDS na integráciu proxy
Ak sieťové prostredie vyžaduje server proxy, použite tento postup na určenie typu servera proxy, s ktorým sa chcete integrovať Hybridná bezpečnosť dát. Ak si vyberiete transparentný kontrolný proxy server alebo explicitný proxy server HTTPS, môžete použiť rozhranie uzla na nahranie a inštaláciu koreňového certifikátu. Môžete tiež skontrolovať pripojenie proxy z rozhrania a vyriešiť prípadné problémy.
Predtým ako začneš
Pozri Podpora proxy pre prehľad podporovaných možností proxy.
| 1 | Zadajte adresu URL nastavenia uzla HDS |
| 2 | Ísť do Trust Store a proxya potom vyberte možnosť:
Postupujte podľa nasledujúcich krokov pre transparentný kontrolný proxy server, explicitný proxy server HTTP so základným overením alebo explicitný proxy HTTPS. |
| 3 | Kliknite Nahrajte koreňový certifikát alebo certifikát koncovej entitya potom prejdite na výber koreňového certifikátu pre server proxy. Certifikát je nahraný, ale ešte nie je nainštalovaný, pretože na inštaláciu certifikátu musíte reštartovať uzol. Kliknutím na šípku v tvare šípky vedľa názvu vydavateľa certifikátu získate ďalšie podrobnosti alebo kliknite Odstrániť ak ste urobili chybu a chcete súbor znova nahrať. |
| 4 | Kliknite Skontrolujte pripojenie proxy na testovanie sieťového pripojenia medzi uzlom a proxy. Ak test pripojenia zlyhá, zobrazí sa chybové hlásenie, ktoré uvádza dôvod a spôsob, ako môžete problém vyriešiť. Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS. Tento stav sa očakáva v mnohých explicitných konfiguráciách proxy. Môžete pokračovať v nastavovaní a uzol bude fungovať v režime zablokovaného externého rozlíšenia DNS. Ak si myslíte, že ide o chybu, vykonajte tieto kroky a potom uvidíte Vypnite režim zablokovaného externého rozlíšenia DNS. |
| 5 | Po úspešnom teste pripojenia zapnite prepínač v prípade explicitného servera proxy nastaveného iba na https Smerujte všetky požiadavky https z tohto uzla na port 443/444 cez explicitný proxy server. Toto nastavenie sa prejaví po 15 sekundách. |
| 6 | Kliknite Nainštalujte všetky certifikáty do dôveryhodného úložiska (zobrazí sa pri explicitnom HTTPS proxy alebo transparentnom kontrolnom proxy serveri) alebo Reštartovať (zobrazí sa pri explicitnom serveri proxy HTTP), prečítajte si výzvu a potom kliknite Inštalácia ak si pripravený. Uzol sa reštartuje v priebehu niekoľkých minút. |
| 7 | Po reštartovaní uzla sa v prípade potreby znova prihláste a potom otvorte Prehľad stránku a skontrolujte kontroly pripojenia, aby ste sa uistili, že sú všetky v zelenom stave. Kontrola pripojenia proxy testuje iba subdoménu webex.com. Ak sa vyskytnú problémy s pripojením, bežným problémom je, že niektoré z cloudových domén uvedených v pokynoch na inštaláciu sú na serveri proxy blokované. |
Zaregistrujte prvý uzol v klastri
Keď zaregistrujete svoj prvý uzol, vytvoríte klaster, ku ktorému je uzol priradený. Klaster obsahuje jeden alebo viac uzlov nasadených na zabezpečenie redundancie.
Predtým ako začneš
Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.
Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.
| 1 | Prihláste sa do https://admin.webex.com. |
| 2 | V ponuke na ľavej strane obrazovky vyberte položku Služby. |
| 3 | V sekcii Hybridné služby nájdite Hybridné zabezpečenie dát a kliknite Nastaviť. Zobrazí sa stránka Register Hybrid Data Security Node.
|
| 4 | Vyberte Áno na označenie, že ste uzol nastavili a ste pripravení ho zaregistrovať, a potom kliknite Ďalšie. |
| 5 | Do prvého poľa zadajte názov klastra, ku ktorému chcete priradiť váš uzol Hybrid Data Security. Odporúčame pomenovať klaster podľa toho, kde sa geograficky nachádzajú uzly klastra. Príklady: „San Francisco“ alebo „New York“ alebo „Dallas“ |
| 6 | Do druhého poľa zadajte internú IP adresu alebo úplný názov domény (FQDN) vášho uzla a kliknite Ďalšie. Táto adresa IP alebo FQDN by sa mala zhodovať s adresou IP alebo názvom hostiteľa a doménou, ktorú ste použili Nastavte virtuálny počítač Hybrid Data Security. Zobrazí sa správa, že môžete zaregistrovať svoj uzol do Webexu.
|
| 7 | Kliknite Prejdite na Node. |
| 8 | Kliknite ďalej vo varovnej správe. Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že svojej organizácii Webex chcete udeliť povolenia na prístup k vášmu uzlu.
|
| 9 | Skontrolovať Povoľte prístup k svojmu uzlu zabezpečenia hybridných údajov začiarknite políčko a potom kliknite na ďalej. Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
|
| 10 | Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Hybrid Data Security Control Hub. Na Hybridná bezpečnosť dát sa zobrazí nový klaster obsahujúci uzol, ktorý ste zaregistrovali. Uzol si automaticky stiahne najnovší softvér z cloudu.
|
Vytvorte a zaregistrujte viac uzlov
| V súčasnosti sú záložné virtuálne počítače, ktoré ste vytvorili Vyplňte Predpoklady pre hybridnú bezpečnosť údajov sú pohotovostní hostitelia, ktorí sa používajú iba v prípade obnovy po havárii; dovtedy nie sú registrovaní v systéme. Podrobnosti nájdete v časti Obnova po havárii pomocou pohotovostného dátového centra. |
Predtým ako začneš
Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.
Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.
| 1 | Vytvorte nový virtuálny počítač z OVA zopakovaním krokov Nainštalujte HDS Host OVA. |
| 2 | Nastavte počiatočnú konfiguráciu na novom VM zopakovaním krokov v Nastavte virtuálny počítač Hybrid Data Security. |
| 3 | Na novom virtuálnom počítači zopakujte kroky v Nahrajte a pripojte ISO konfiguráciu HDS. |
| 4 | Ak nastavujete server proxy pre svoje nasadenie, zopakujte kroky v Nakonfigurujte uzol HDS na integráciu proxy podľa potreby pre nový uzol. |
| 5 | Zaregistrujte uzol. Váš uzol je zaregistrovaný. Upozorňujeme, že kým nezačnete skúšobnú verziu, vaše uzly generujú alarm, ktorý oznamuje, že vaša služba ešte nie je aktivovaná.
|
Čo urobiť ďalej
Skúšobný postup produkčných úloh
Po nastavení klastra Hybrid Data Security môžete spustiť pilotný test, pridať doň používateľov a začať ho používať na testovanie a overovanie vášho nasadenia v rámci prípravy na prechod do produkcie.
Predtým ako začneš
| 1 | V prípade potreby synchronizujte Ak vaša organizácia používa synchronizáciu adresárov pre používateľov, musíte vybrať |
| 2 |
Začnite skúšobnú verziu. Kým nevykonáte túto úlohu, vaše uzly generujú alarm, ktorý oznamuje, že služba ešte nie je aktivovaná. |
| 3 | Otestujte svoje nasadenie hybridného zabezpečenia dát Skontrolujte, či kľúčové požiadavky prechádzajú do vášho nasadenia Hybrid Data Security. |
| 4 | Monitorujte zdravie Hybrid Data Security Health Skontrolujte stav a nastavte e-mailové upozornenia na budíky. |
| 5 | Pridajte alebo odstráňte používateľov z vašej skúšobnej verzie |
| 6 | Dokončite skúšobnú fázu jedným z nasledujúcich krokov: |
Aktivovať skúšobnú verziu
Predtým ako začneš
Ak vaša organizácia používa synchronizáciu adresárov pre používateľov, musíte vybrať HdsTrialGroup skupinový objekt na synchronizáciu do cloudu predtým, ako začnete skúšobnú verziu pre vašu organizáciu. Pokyny nájdete na Sprievodca nasadením pre Cisco Directory Connector.
| 1 | Prihláste sa do https://admin.webex.coma potom vyberte Služby. |
| 2 | V časti Hybrid Data Security kliknite na nastavenie. |
| 3 | V časti Stav služby kliknite na Spustiť skúšku. Stav služby sa zmení na skúšobný režim.
|
| 4 | Kliknite Pridať používateľov a zadajte e-mailovú adresu jedného alebo viacerých používateľov na pilotné používanie vašich uzlov Hybrid Data Security na šifrovacie a indexovacie služby. (Ak vaša organizácia používa synchronizáciu adresárov, na správu skúšobnej skupiny použite službu Active Directory, |
Otestujte svoje nasadenie hybridného zabezpečenia dát
Predtým ako začneš
Nastavte nasadenie Hybrid Data Security.
Aktivujte skúšobnú verziu a pridajte niekoľko používateľov skúšobnej verzie.
Uistite sa, že máte prístup k syslog, aby ste si overili, že kľúčové požiadavky prechádzajú do vášho nasadenia Hybrid Data Security.
| 1 | Kľúče pre daný priestor nastavuje tvorca priestoru. Prihláste sa do aplikácie Webex ako jeden z pilotných používateľov a potom vytvorte priestor a pozvite aspoň jedného pilotného používateľa a jedného nepilotného používateľa.
| ||
| 2 | Posielajte správy do nového priestoru. | ||
| 3 | Skontrolujte výstup syslog, aby ste si overili, že požiadavky na kľúče prechádzajú do vášho nasadenia Hybrid Data Security. |
Monitorujte zdravie Hybrid Data Security Health
| 1 | In Control Hub, vyberte Služby z ponuky na ľavej strane obrazovky. |
| 2 | V sekcii Hybridné služby nájdite Hybridné zabezpečenie dát a kliknite nastavenie. Zobrazí sa stránka Hybrid Data Security Settings.
|
| 3 | V časti E-mailové upozornenia zadajte jednu alebo viac e-mailových adries oddelených čiarkami a stlačte Zadajte. |
Pridajte alebo odstráňte používateľov z vašej skúšobnej verzie
Ak odstránite používateľa zo skúšobnej verzie, klient tohto používateľa bude namiesto vášho KMS požadovať kľúče a vytvorenie kľúča z cloudového KMS. Ak klient potrebuje kľúč, ktorý je uložený vo vašom KMS, cloudový KMS ho načíta v mene používateľa.
Ak vaša organizácia používa synchronizáciu adresárov, použite Active Directory (namiesto tohto postupu) na správu skúšobnej skupiny, HdsTrialGroup; členov skupiny môžete zobraziť v Control Hub, ale nemôžete ich pridávať ani odstraňovať.
| 1 | Prihláste sa do Control Hub a potom vyberte Služby. |
| 2 | V časti Hybrid Data Security kliknite na nastavenie. |
| 3 | V časti Skúšobný režim v oblasti Stav služby kliknite na Pridať používateľov, alebo kliknite zobraziť a upraviť na odstránenie používateľov zo skúšobnej verzie. |
| 4 | Zadajte e-mailovú adresu jedného alebo viacerých používateľov, ktorých chcete pridať, alebo kliknite na X pomocou ID používateľa na odstránenie používateľa zo skúšobnej verzie. Potom kliknite Uložiť. |
Presuňte sa zo skúšobnej do produkčnej verzie
| 1 | Prihláste sa do Control Hub a potom vyberte Služby. |
| 2 | V časti Hybrid Data Security kliknite na nastavenie. |
| 3 | V časti Stav služby kliknite na Presunúť do výroby. |
| 4 | Potvrďte, že chcete presunúť všetkých svojich používateľov do produkcie. |
Ukončite skúšobnú verziu bez presunu do výroby
| 1 | Prihláste sa do Control Hub a potom vyberte Služby. |
| 2 | V časti Hybrid Data Security kliknite na nastavenie. |
| 3 | V časti Deaktivovať kliknite na Deaktivovať. |
| 4 | Potvrďte, že chcete službu deaktivovať a ukončiť skúšobnú verziu. |
Spravujte nasadenie HDS
Pomocou tu popísaných úloh spravujte svoje nasadenie Hybrid Data Security.
Nastavte plán aktualizácie klastra
Ak chcete nastaviť plán aktualizácie:
| 1 | Prihláste sa do Control Hub. |
| 2 | Na stránke Prehľad v časti Hybridné služby vyberte Hybridná bezpečnosť dát. |
| 3 | Na stránke Hybrid Data Security Resources vyberte klaster. |
| 4 | Na paneli Prehľad vpravo v časti Nastavenia klastra vyberte názov klastra. |
| 5 | Na stránke Nastavenia v časti Aktualizácia vyberte čas a časové pásmo pre plán inovácie. Poznámka: Pod časovým pásmom sa zobrazí dátum a čas ďalšej dostupnej aktualizácie. Kliknutím na tlačidlo môžete v prípade potreby odložiť aktualizáciu na nasledujúci deň Odložiť. |
Zmeňte konfiguráciu uzla
Zmena x.509 certifikátov z dôvodu uplynutia platnosti alebo iných dôvodov.
Nepodporujeme zmenu názvu domény CN certifikátu. Doména sa musí zhodovať s pôvodnou doménou použitou na registráciu klastra.
Aktualizácia nastavení databázy pre zmenu na repliku databázy PostgreSQL alebo Microsoft SQL Server.
Nepodporujeme migráciu údajov z PostgreSQL na Microsoft SQL Server alebo opačným spôsobom. Ak chcete zmeniť prostredie databázy, spustite nové nasadenie Hybrid Data Security.
Vytvorenie novej konfigurácie na prípravu nového dátového centra.
Z bezpečnostných dôvodov používa Hybrid Data Security heslá servisných účtov, ktoré majú životnosť deväť mesiacov. Keď nástroj HDS Setup vygeneruje tieto heslá, nasadíte ich do každého z vašich uzlov HDS v konfiguračnom súbore ISO. Keď sa blíži koniec platnosti hesiel vašej organizácie, dostanete od tímu Webex upozornenie na resetovanie hesla pre váš počítačový účet. (E-mail obsahuje text „Na aktualizáciu hesla použite rozhranie API strojového účtu.“) Ak platnosť vašich hesiel ešte nevypršala, nástroj vám ponúka dve možnosti:
Mäkký reset—Staré aj nové heslo fungujú až 10 dní. Toto obdobie použite na postupnú výmenu súboru ISO na uzloch.
Tvrdý reštart—Staré heslá okamžite prestanú fungovať.
Ak platnosť vašich hesiel vyprší bez resetovania, ovplyvní to vašu službu HDS, čo si vyžaduje okamžitý tvrdý reset a nahradenie súboru ISO na všetkých uzloch.
Tento postup použite na vygenerovanie nového konfiguračného súboru ISO a jeho použitie vo vašom klastri.
Predtým ako začneš
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Control Hub s úplnými administrátorskými právami pre vašu organizáciu.
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker zadajte nastavenia proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker 1.e. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS Proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTNa vygenerovanie novej konfigurácie potrebujete kópiu aktuálneho konfiguračného súboru ISO. ISO obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. ISO potrebujete, keď robíte zmeny v konfigurácii vrátane poverení databázy, aktualizácií certifikátov alebo zmien v politike autorizácie.
| 1 | Pomocou Docker na lokálnom počítači spustite nástroj HDS Setup Tool.
| ||||||
| 2 | Ak máte spustený iba jeden uzol HDS, vytvorte nový VM uzla Hybrid Data Security a zaregistrujte ho pomocou nového konfiguračného súboru ISO. Podrobnejšie pokyny nájdete v časti Vytvorte a zaregistrujte viac uzlov. | ||||||
| 3 | Pre existujúce uzly HDS, na ktorých je spustený starší konfiguračný súbor, pripojte súbor ISO. Postupne vykonajte nasledujúci postup na každom uzle, pričom aktualizujte každý uzol pred vypnutím ďalšieho uzla: | ||||||
| 4 | Opakujte krok 3, aby ste nahradili konfiguráciu na každom zostávajúcom uzle, na ktorom je spustená stará konfigurácia. |
Vypnite režim zablokovaného externého rozlíšenia DNS
Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. Ak server DNS uzla nedokáže rozlíšiť verejné názvy DNS, uzol automaticky prejde do režimu zablokovaného externého rozlíšenia DNS.
Ak vaše uzly dokážu rozlíšiť verejné názvy DNS prostredníctvom interných serverov DNS, môžete tento režim vypnúť opätovným spustením testu pripojenia proxy na každom uzle.
Predtým ako začneš
| 1 | Vo webovom prehliadači otvorte rozhranie uzla Hybrid Data Security (IP adresa/nastavenie, napr. https://192.0.2.0/setup), zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite Prihlásiť sa. |
| 2 | Ísť do Prehľad (predvolená stránka). Keď je povolené, Zablokované externé rozlíšenie DNS je nastavený na Áno. |
| 3 | Choďte na Trust Store a proxy stránku. |
| 4 | Kliknite Skontrolujte pripojenie proxy. Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS a zostane v tomto režime. V opačnom prípade po reštartovaní uzla a návrate do Prehľad na stránke Blocked External DNS Resolution by mala byť nastavená na no. |
Čo urobiť ďalej
Odstráňte uzol
| 1 | Pomocou klienta VMware vSphere vo svojom počítači sa prihláste do virtuálneho hostiteľa ESXi a vypnite virtuálny počítač. |
| 2 | Odstráňte uzol: |
| 3 | V klientovi vSphere odstráňte VM. (Na ľavom navigačnom paneli kliknite pravým tlačidlom myši na VM a kliknite na Odstrániť.) Ak nevymažete VM, nezabudnite odpojiť konfiguračný súbor ISO. Bez súboru ISO nemôžete použiť VM na prístup k bezpečnostným údajom. |
Obnova po havárii pomocou pohotovostného dátového centra
Najdôležitejšou službou, ktorú váš klaster Hybrid Data Security poskytuje, je vytváranie a ukladanie kľúčov používaných na šifrovanie správ a iného obsahu uloženého v cloude Webex. Pre každého používateľa v rámci organizácie, ktorý je priradený k Hybrid Data Security, sú do klastra smerované nové požiadavky na vytvorenie kľúča. Klaster je tiež zodpovedný za vrátenie kľúčov, ktoré vytvoril, všetkým používateľom oprávneným na ich získanie, napríklad členom konverzačného priestoru.
Pretože klaster vykonáva kritickú funkciu poskytovania týchto kľúčov, je nevyhnutné, aby klaster zostal spustený a aby boli udržiavané správne zálohy. Strata databázy Hybrid Data Security alebo konfigurácie ISO použitej pre schému bude mať za následok NENÁVRATNÚ STRATU zákazníckeho obsahu. Aby sa predišlo takejto strate, sú povinné nasledujúce postupy:
Ak havária spôsobí, že nasadenie HDS v primárnom dátovom centre sa stane nedostupným, podľa tohto postupu manuálne prepnite na pohotovostné dátové centrum.
| 1 | Spustite nástroj HDS Setup a postupujte podľa krokov uvedených v Vytvorte ISO konfigurácie pre hostiteľov HDS. | ||
| 2 | Po nakonfigurovaní servera Syslogd kliknite na Pokročilé nastavenia | ||
| 3 | Na Pokročilé nastavenia pridajte konfiguráciu nižšie alebo odstráňte
| ||
| 4 | Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť. | ||
| 5 | Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. | ||
| 6 | V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na VM a kliknite Upraviť nastavenia.. | ||
| 7 | Kliknite Upraviť nastavenia >CD/DVD mechanika 1 a vyberte Datastore ISO File.
| ||
| 8 | Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy. | ||
| 9 | Opakujte proces pre každý uzol v pohotovostnom dátovom centre.
|
Čo urobiť ďalej
(Voliteľné) Odpojte ISO po konfigurácii HDS
Štandardná konfigurácia HDS beží s namontovaným ISO. Niektorí zákazníci však uprednostňujú neponechať súbory ISO nepretržite pripojené. Súbor ISO môžete odpojiť potom, čo všetky uzly HDS prevezmú novú konfiguráciu.
Na vykonanie zmien v konfigurácii stále používate súbory ISO. Keď vytvoríte nový ISO alebo aktualizujete ISO pomocou nástroja Setup Tool, musíte aktualizovaný ISO pripojiť na všetky vaše uzly HDS. Keď všetky vaše uzly zachytia zmeny konfigurácie, môžete ISO znova odpojiť pomocou tohto postupu.
Predtým ako začneš
Inovujte všetky svoje uzly HDS na verziu 2021.01.22.4720 alebo novšiu.
| 1 | Vypnite jeden z uzlov HDS. |
| 2 | V serverovom zariadení vCenter vyberte uzol HDS. |
| 3 | Vyberte si a zrušte začiarknutie Súbor ISO úložiska údajov. |
| 4 | Zapnite uzol HDS a uistite sa, že aspoň 20 minút nie sú žiadne alarmy. |
| 5 | Postup opakujte pre každý uzol HDS. |
Zobraziť upozornenia a riešenie problémov
Nasadenie Hybrid Data Security sa považuje za nedostupné, ak sú všetky uzly v klastri nedostupné alebo klaster pracuje tak pomaly, že si vyžaduje časový limit. Ak používatelia nemôžu dosiahnuť váš klaster Hybrid Data Security, zaznamenajú nasledujúce príznaky:
Nie je možné vytvoriť nové medzery (nemožno vytvoriť nové kľúče)
Správy a názvy priestorov sa nepodarilo dešifrovať pre:
Noví používatelia pridaní do priestoru (nemožno načítať kľúče)
Existujúci používatelia v priestore používajúci nového klienta (nemožno načítať kľúče)
Existujúci používatelia v priestore budú naďalej úspešne fungovať, pokiaľ budú mať ich klienti vyrovnávaciu pamäť šifrovacích kľúčov
Je dôležité, aby ste správne monitorovali svoj klaster Hybrid Data Security a okamžite riešili všetky výstrahy, aby ste predišli prerušeniu služby.
Upozornenia
Ak sa vyskytne problém s nastavením Hybrid Data Security, Control Hub zobrazí upozornenia správcovi organizácie a odošle e-maily na nakonfigurovanú e-mailovú adresu. Výstrahy pokrývajú mnoho bežných scenárov.
Upozornenie | Akcia |
|---|---|
Zlyhanie prístupu k lokálnej databáze. |
Skontrolujte chyby databázy alebo problémy s lokálnou sieťou. |
Zlyhanie pripojenia k lokálnej databáze. |
Skontrolujte, či je databázový server dostupný a či boli v konfigurácii uzla použité správne poverenia servisného účtu. |
Zlyhanie prístupu k cloudovej službe. |
Skontrolujte, či majú uzly prístup k serverom Webex, ako je uvedené v Požiadavky na externé pripojenie. |
Obnovuje sa registrácia cloudovej služby. |
Registrácia do cloudových služieb bola zrušená. Prebieha obnova registrácie. |
Registrácia cloudovej služby bola zrušená. |
Registrácia do cloudových služieb bola ukončená. Služba sa vypína. |
Služba ešte nie je aktivovaná. |
Aktivujte skúšobnú verziu alebo dokončite presun skúšky do produkcie. |
Nakonfigurovaná doména sa nezhoduje s certifikátom servera. |
Uistite sa, že váš certifikát servera sa zhoduje s nakonfigurovanou doménou aktivácie služby. Najpravdepodobnejšou príčinou je, že certifikát CN bol nedávno zmenený a teraz sa líši od CN, ktorý bol použitý počas počiatočného nastavenia. |
Nepodarilo sa overiť v cloudových službách. |
Skontrolujte presnosť a možné vypršanie platnosti poverení servisného účtu. |
Nepodarilo sa otvoriť súbor lokálneho úložiska kľúčov. |
Skontrolujte integritu a presnosť hesla v lokálnom súbore skladu kľúčov. |
Certifikát lokálneho servera je neplatný. |
Skontrolujte dátum vypršania platnosti certifikátu servera a potvrďte, že bol vydaný dôveryhodnou certifikačnou autoritou. |
Nie je možné uverejniť metriky. |
Skontrolujte prístup k lokálnej sieti k externým cloudovým službám. |
Adresár /media/configdrive/hds neexistuje. |
Skontrolujte konfiguráciu pripojenia ISO na virtuálnom hostiteľovi. Overte, či súbor ISO existuje, či je nakonfigurovaný na pripojenie pri reštarte a či sa úspešne pripojí. |
Riešenie problémov so zabezpečením hybridných údajov
| 1 | Skontrolujte si v Control Hub všetky upozornenia a opravte všetky položky, ktoré tam nájdete. |
| 2 | Skontrolujte výstup servera syslog pre aktivitu z nasadenia Hybrid Data Security. |
| 3 | Kontakt Podpora Cisco. |
Známe problémy s hybridnou bezpečnosťou dát
Ak vypnete svoj klaster Hybrid Data Security (odstránením v Control Hub alebo vypnutím všetkých uzlov), stratíte svoj konfiguračný súbor ISO alebo stratíte prístup k databáze úložiska kľúčov, používatelia vašej aplikácie Webex App už nebudú môcť používať priestory pod svojimi ľuďmi. zoznam, ktorý bol vytvorený pomocou kľúčov z vášho KMS. Platí to pre skúšobné aj produkčné nasadenia. V súčasnosti nemáme riešenie ani opravu tohto problému a žiadame vás, aby ste nevypínali svoje služby HDS, keď budú spracovávať aktívne používateľské účty.
Klient, ktorý má existujúce pripojenie ECDH ku KMS, udržiava toto pripojenie určitý čas (pravdepodobne jednu hodinu). Keď sa používateľ stane členom skúšobnej verzie Hybrid Data Security, klient používateľa naďalej používa existujúce pripojenie ECDH, kým nevyprší časový limit. Prípadne sa používateľ môže odhlásiť a znova prihlásiť do aplikácie Webex App, aby aktualizoval umiestnenie, ktoré aplikácia kontaktuje pre šifrovacie kľúče.
Rovnaké správanie nastane, keď presuniete skúšobnú verziu do produkcie organizácie. Všetci neskúšobní používatelia s existujúcimi pripojeniami ECDH k predchádzajúcim službám zabezpečenia údajov budú tieto služby naďalej používať, kým sa znovu nedohodne pripojenie ECDH (prostredníctvom časového limitu alebo odhlásením a opätovným prihlásením).
Na vygenerovanie súboru PKCS12 použite OpenSSL
Predtým ako začneš
OpenSSL je jeden nástroj, ktorý možno použiť na vytvorenie súboru PKCS12 v správnom formáte na načítanie v nástroji HDS Setup Tool. Existujú aj iné spôsoby, ako to urobiť, a my nepodporujeme ani nepresadzujeme jeden spôsob oproti druhému.
Ak sa rozhodnete použiť OpenSSL, poskytujeme tento postup ako návod, ktorý vám pomôže vytvoriť súbor, ktorý spĺňa požiadavky certifikátu X.509 v Požiadavky na certifikát X.509. Než budete pokračovať, pochopte tieto požiadavky.
Nainštalujte OpenSSL v podporovanom prostredí. Pozri https://www.openssl.org pre softvér a dokumentáciu.
Vytvorte súkromný kľúč.
Tento postup začnite, keď dostanete certifikát servera od certifikačnej autority (CA).
| 1 | Keď dostanete certifikát servera od vašej CA, uložte ho ako |
| 2 | Zobrazte certifikát ako text a overte podrobnosti.
|
| 3 | Pomocou textového editora vytvorte súbor zväzku certifikátov s názvom
|
| 4 | Vytvorte súbor .p12 s popisným názvom
|
| 5 | Skontrolujte podrobnosti certifikátu servera. |
Čo urobiť ďalej
Návrat do Vyplňte Predpoklady pre hybridnú bezpečnosť údajov. Budete používať hdsnode.p12 súbor a heslo, ktoré ste preň nastavili Vytvorte ISO konfigurácie pre hostiteľov HDS.
| Tieto súbory môžete znova použiť na vyžiadanie nového certifikátu, keď platnosť pôvodného certifikátu vyprší. |
Prevádzka medzi uzlami HDS a cloudom
Odchádzajúca návštevnosť zberu metrík
Uzly Hybrid Data Security odosielajú určité metriky do cloudu Webex. Patria sem systémové metriky pre maximálnu haldu, využitú haldu, zaťaženie procesora a počet vlákien; metriky na synchrónnych a asynchrónnych vláknach; metriky výstrah zahŕňajúce prah šifrovacích pripojení, latenciu alebo dĺžku frontu požiadaviek; metriky na dátovom úložisku; a metriky šifrovaného pripojenia. Uzly posielajú zašifrovaný kľúčový materiál cez kanál mimo pásma (oddelený od požiadavky).
Prichádzajúca premávka
Uzly Hybrid Data Security prijímajú nasledujúce typy prichádzajúcej prevádzky z cloudu Webex:
Šifrovacie požiadavky od klientov, ktoré sú smerované šifrovacou službou
Aktualizácie softvéru uzla
Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát
Websocket sa nemôže pripojiť cez Squid Proxy
Proxy serverov chobotnice, ktoré kontrolujú prenos HTTPS, môžu zasahovať do vytvorenia webovej zásuvky ( wss:) pripojenia, ktoré vyžaduje Hybrid Data Security. Tieto časti poskytujú návod, ako nakonfigurovať rôzne verzie Squid na ignorovanie wss: prevádzky pre správne fungovanie služieb.
Kalmáre 4 a 5
Pridajte on_unsupported_protocol smernica k squid.conf:
on_unsupported_protocol tunnel allKalmáre 3.5.27
Hybridnú bezpečnosť dát sme úspešne otestovali s nasledujúcimi pravidlami squid.conf. Tieto pravidlá sa môžu meniť, pretože vyvíjame funkcie a aktualizujeme cloud Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allNové a zmenené informácie
Dátum | Vykonané zmeny | ||
|---|---|---|---|
20. októbra 2023 |
| ||
7. augusta 2023 |
| ||
23. mája 2023 |
| ||
6. decembra 2022 |
| ||
23. novembra 2022 |
| ||
13. októbra 2021 | Pred inštaláciou uzlov HDS musí Docker Desktop spustiť inštalačný program. Pozri Požiadavky na plochu Docker. | ||
24. júna 2021 | Upozorňujeme, že súbor so súkromným kľúčom a CSR môžete znova použiť na vyžiadanie ďalšieho certifikátu. Pozri Na vygenerovanie súboru PKCS12 použite OpenSSL pre podrobnosti. | ||
| 30. apríla 2021 | Požiadavka VM na lokálny pevný disk sa zmenila na 30 GB. Pozri Požiadavky na virtuálny hostiteľ pre podrobnosti. | ||
24. februára 2021 | HDS Setup Tool teraz môže bežať za serverom proxy. Pozri Vytvorte ISO konfigurácie pre hostiteľov HDS pre podrobnosti. | ||
2. februára 2021 | HDS teraz môže bežať bez pripojeného súboru ISO. Pozri (Voliteľné) Odpojte ISO po konfigurácii HDS pre podrobnosti. | ||
11. januára 2021 | Pridané informácie o nástroji HDS Setup a proxy serveroch Vytvorte ISO konfigurácie pre hostiteľov HDS. | ||
13. októbra 2020 | Aktualizované Stiahnite si inštalačné súbory. | ||
8. októbra 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS a Zmeňte konfiguráciu uzla s príkazmi pre prostredia FedRAMP. | ||
14. augusta 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS a Zmeňte konfiguráciu uzla so zmenami v procese prihlasovania. | ||
5. augusta 2020 | Aktualizované Otestujte svoje nasadenie hybridného zabezpečenia dát pre zmeny v protokolových správach. Aktualizované Požiadavky na virtuálny hostiteľ na odstránenie maximálneho počtu hostiteľov. | ||
16. júna 2020 | Aktualizované Odstráňte uzol pre zmeny v používateľskom rozhraní Control Hub. | ||
4. júna 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS pre zmeny v rozšírených nastaveniach, ktoré môžete nastaviť. | ||
29. mája 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS ukázať, že TLS môžete použiť aj s databázami SQL Server, zmenami používateľského rozhrania a ďalšími vysvetleniami. | ||
5. mája 2020 | Aktualizované Požiadavky na virtuálny hostiteľ ukázať novú požiadavku ESXi 6.5. | ||
21. apríla 2020 | Aktualizované Požiadavky na externé pripojenie s novými hostiteľmi Americas CI. | ||
1. apríla 2020 | Aktualizované Požiadavky na externé pripojenie s informáciami o regionálnych hostiteľoch CI. | ||
| 20. februára 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS s informáciami o novej voliteľnej obrazovke rozšírených nastavení v nástroji HDS Setup Tool. | ||
| 4. februára 2020 | Aktualizované Požiadavky na proxy server. | ||
| 16. decembra 2019 | Objasnená požiadavka, aby fungoval režim zablokovaného externého rozlíšenia DNS Požiadavky na proxy server. | ||
| 19. novembra 2019 | Pridané informácie o režime zablokovaného externého rozlíšenia DNS v nasledujúcich častiach: | ||
8. novembra 2019 | Teraz môžete konfigurovať sieťové nastavenia pre uzol počas nasadzovania OVA a nie neskôr. Podľa toho aktualizovali nasledujúce sekcie:
| ||
6. septembra 2019 | Pridaný SQL Server Standard do Požiadavky na databázový server. | ||
| 29. augusta 2019 | Pridané Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát príloha s návodom na konfiguráciu proxy serverov Squid tak, aby ignorovali prevádzku websocket pre správnu činnosť. | ||
| 20. augusta 2019 | Pridané a aktualizované sekcie pokrývajúce podporu proxy pre komunikáciu uzlov Hybrid Data Security do cloudu Webex. Ak chcete získať prístup len k obsahu podpory proxy pre existujúce nasadenie, pozrite si Podpora proxy pre hybridné zabezpečenie dát a Webex Video Mesh pomocný článok. | ||
| 13. júna 2019 | Aktualizované Skúšobný postup produkčných úloh s pripomienkou na synchronizáciu HdsTrialGroup skupinový objekt pred spustením skúšobnej verzie, ak vaša organizácia používa synchronizáciu adresárov. | ||
| 6. marca 2019 |
| ||
| 28. februára 2019 |
| ||
| 26. februára 2019 |
| ||
24. januára 2019 |
| ||
| 5. novembra 2018 |
| ||
| 19. októbra 2018 |
| ||
31. júla 2018 |
| ||
| 21. mája 2018 | Zmenená terminológia, aby odrážala rebranding Cisco Spark:
| ||
| 11. apríla 2018 |
| ||
| 22. februára 2018 |
| ||
| 15. február 2018 |
| ||
| 18. januára 2018 |
| ||
2. novembra 2017 |
| ||
18. augusta 2017 | Prvýkrát zverejnené |
Prehľad zabezpečenia hybridných údajov
Od prvého dňa bola bezpečnosť údajov prvoradá pri navrhovaní Aplikácia Webex. Základným kameňom tohto zabezpečenia je komplexné šifrovanie obsahu, ktoré umožňuje Aplikácia Webex klientov interagujúcich so službou správy kľúčov (KMS). KMS je zodpovedný za vytváranie a správu kryptografických kľúčov, ktoré klienti používajú na dynamické šifrovanie a dešifrovanie správ a súborov.
Štandardne všetky Aplikácia Webex zákazníci získajú end-to-end šifrovanie s dynamickými kľúčmi uloženými v cloudovom KMS v oblasti bezpečnosti Cisco. Hybrid Data Security presúva KMS a ďalšie funkcie súvisiace so zabezpečením do vášho podnikového dátového centra, takže kľúče k vášmu šifrovanému obsahu nemá nikto okrem vás.
Architektúra bezpečnostnej sféry
Cloudová architektúra Webex oddeľuje rôzne typy služieb do samostatných oblastí alebo dôveryhodných domén, ako je znázornené nižšie.
Aby sme lepšie porozumeli Hybrid Data Security, pozrime sa najprv na tento čistý cloud, kde Cisco poskytuje všetky funkcie vo svojich cloudových sférach. Služba identity, jediné miesto, kde môžu používatelia priamo korelovať so svojimi osobnými údajmi, ako je e-mailová adresa, je logicky a fyzicky oddelená od oblasti zabezpečenia v dátovom centre B. Obe sú zase oddelené od oblasti, kde je v konečnom dôsledku uložený šifrovaný obsah. , v dátovom centre C.
V tomto diagrame je klientom aplikácia Webex, ktorá beží na notebooku používateľa a je overená službou identity. Keď používateľ vytvorí správu na odoslanie do priestoru, vykonajú sa tieto kroky:
Klient vytvorí zabezpečené spojenie so službou správy kľúčov (KMS), potom požiada o kľúč na zašifrovanie správy. Zabezpečené pripojenie používa ECDH a KMS šifruje kľúč pomocou hlavného kľúča AES-256.
Správa je pred opustením klienta zašifrovaná. Klient ho odošle do indexovacej služby, ktorá vytvorí šifrované indexy vyhľadávania na pomoc pri budúcom vyhľadávaní obsahu.
Zašifrovaná správa sa odošle do služby súladu na kontrolu súladu.
Zašifrovaná správa je uložená v úložnej sfére.
Keď nasadíte Hybrid Data Security, presuniete funkcie bezpečnostnej sféry (KMS, indexovanie a súlad) do vášho lokálneho dátového centra. Ostatné cloudové služby, ktoré tvoria Webex (vrátane ukladania identity a obsahu), zostávajú v sférach spoločnosti Cisco.
Spolupráca s inými organizáciami
Používatelia vo vašej organizácii môžu pravidelne používať aplikáciu Webex na spoluprácu s externými účastníkmi v iných organizáciách. Keď jeden z vašich používateľov požaduje kľúč pre priestor, ktorý vlastní vaša organizácia (pretože ho vytvoril jeden z vašich používateľov), váš KMS odošle kľúč klientovi cez zabezpečený kanál ECDH. Keď však kľúč priestoru vlastní iná organizácia, váš KMS nasmeruje požiadavku do cloudu Webex cez samostatný kanál ECDH, aby získal kľúč z príslušného KMS, a potom vráti kľúč vášmu používateľovi na pôvodnom kanáli.
Služba KMS spustená v organizácii A overuje pripojenia ku KMS v iných organizáciách pomocou x.509 PKI certifikátov. Pozri Pripravte si prostredie podrobnosti o generovaní x.509 certifikátu na použitie s nasadením Hybrid Data Security.
Očakávania týkajúce sa nasadenia hybridnej bezpečnosti údajov
Nasadenie Hybrid Data Security si vyžaduje značné nasadenie zákazníkov a uvedomenie si rizík, ktoré so sebou prináša vlastníctvo šifrovacích kľúčov.
Ak chcete nasadiť Hybrid Data Security, musíte poskytnúť:
Bezpečné dátové centrum v krajine, ktorá je a podporované miesto pre plány Cisco Webex Teams.
Vybavenie, softvér a sieťový prístup popísané v Pripravte si prostredie.
Úplná strata buď konfiguračného ISO, ktoré ste vytvorili pre Hybrid Data Security, alebo databázy, ktorú poskytnete, bude mať za následok stratu kľúčov. Strata kľúča bráni používateľom dešifrovať obsah priestoru a ďalšie šifrované údaje v aplikácii Webex. Ak sa tak stane, môžete vytvoriť nové nasadenie, ale bude viditeľný iba nový obsah. Aby ste predišli strate prístupu k údajom, musíte:
Spravujte zálohovanie a obnovu databázy a konfiguračného ISO.
Buďte pripravení vykonať rýchlu obnovu po havárii, ak dôjde ku katastrofe, ako je zlyhanie databázového disku alebo katastrofa dátového centra.
| Neexistuje žiadny mechanizmus na presun kľúčov späť do cloudu po nasadení HDS. |
Proces nastavenia na vysokej úrovni
Tento dokument pokrýva nastavenie a správu nasadenia Hybrid Data Security:
Nastavte Hybridné zabezpečenie dát—To zahŕňa prípravu požadovanej infraštruktúry a inštaláciu softvéru Hybrid Data Security, testovanie vášho nasadenia s podskupinou používateľov v skúšobnom režime a po dokončení testovania prechod do produkcie. To prevedie celú organizáciu na používanie vášho klastra Hybrid Data Security na bezpečnostné funkcie.
Fázy nastavenia, skúšania a výroby sú podrobne opísané v nasledujúcich troch kapitolách.
Udržujte svoje nasadenie Hybrid Data Security— Cloud Webex automaticky poskytuje priebežné aktualizácie. Vaše IT oddelenie môže poskytnúť podporu prvej úrovne pre toto nasadenie a podľa potreby zapojiť podporu Cisco. V Control Hub môžete používať upozornenia na obrazovke a nastaviť upozornenia prostredníctvom e-mailu.
Pochopte bežné upozornenia, kroky na riešenie problémov a známe problémy—Ak narazíte na problémy s nasadením alebo používaním Hybrid Data Security, posledná kapitola tejto príručky a príloha Známe problémy vám môžu pomôcť určiť a vyriešiť problém.
Hybridný model nasadenia zabezpečenia dát
V rámci podnikového dátového centra nasadíte Hybrid Data Security ako jeden klaster uzlov na samostatných virtuálnych hostiteľoch. Uzly komunikujú s cloudom Webex prostredníctvom zabezpečených webových zásuviek a zabezpečeného HTTP.
Počas procesu inštalácie vám poskytneme súbor OVA na nastavenie virtuálneho zariadenia na VM, ktoré poskytnete. Nástroj HDS Setup Tool použijete na vytvorenie vlastného konfiguračného súboru ISO klastra, ktorý pripojíte na každý uzol. Klaster Hybrid Data Security využíva váš poskytnutý server Syslogd a databázu PostgreSQL alebo Microsoft SQL Server. (Syslogd a podrobnosti o pripojení k databáze nakonfigurujete v nástroji HDS Setup Tool.)
Minimálny počet uzlov, ktoré môžete mať v klastri, sú dva. Odporúčame aspoň tri a môžete ich mať až päť. Viacnásobné uzly zaisťujú, že služba nebude prerušená počas aktualizácie softvéru alebo inej činnosti údržby na uzle. (Cloud Webex aktualizuje naraz iba jeden uzol.)
Všetky uzly v klastri pristupujú k rovnakému úložisku údajov kľúčov a zaznamenávajú aktivitu na rovnaký server syslog. Samotné uzly sú bez stavu a spracovávajú kľúčové požiadavky v režime round-robin podľa pokynov cloudu.
Uzly sa stanú aktívnymi, keď ich zaregistrujete v Control Hub. Ak chcete vyradiť jednotlivý uzol z prevádzky, môžete ho zrušiť a neskôr v prípade potreby znova zaregistrovať.
Podporujeme iba jeden klaster na organizáciu.
Skúšobný režim hybridnej bezpečnosti dát
Po nastavení nasadenia Hybrid Data Security ho najskôr vyskúšate so skupinou pilotných používateľov. Počas skúšobného obdobia títo používatelia používajú vašu lokálnu doménu Hybrid Data Security na šifrovacie kľúče a ďalšie služby v oblasti zabezpečenia. Ostatní vaši používatelia naďalej používajú oblasť zabezpečenia cloudu.
Ak sa rozhodnete nepokračovať v nasadzovaní počas skúšobného obdobia a službu deaktivujete, pilotní používatelia a všetci používatelia, s ktorými počas skúšobného obdobia interagovali vytvorením nových priestorov, stratia prístup k správam a obsahu. V aplikácii Webex sa im zobrazí „Táto správa sa nedá dešifrovať“.
Ak ste spokojní s tým, že vaše nasadenie funguje dobre pre skúšobných používateľov a ste pripravení rozšíriť Hybrid Data Security na všetkých svojich používateľov, presuniete nasadenie do produkcie. Pilotní používatelia majú naďalej prístup ku kľúčom, ktoré sa používali počas skúšobnej verzie. Nemôžete sa však pohybovať tam a späť medzi produkčným režimom a pôvodnou skúšobnou verziou. Ak musíte službu deaktivovať, napríklad vykonať obnovu po havárii, pri opätovnej aktivácii musíte spustiť novú skúšobnú verziu a nastaviť skupinu pilotných používateľov pre novú skúšobnú verziu, než sa vrátite späť do produkčného režimu. Či si používatelia v tomto bode zachovajú prístup k údajom, závisí od toho, či ste úspešne udržiavali zálohy úložiska kľúčových údajov a konfiguračného súboru ISO pre uzly Hybrid Data Security vo vašom klastri.
Pohotovostné dátové centrum pre obnovu po havárii
Počas nasadenia nastavíte zabezpečené pohotovostné dátové centrum. V prípade havárie dátového centra môžete manuálne zlyhať nasadenie do pohotovostného dátového centra.
Databázy aktívnych a pohotovostných dátových centier sú navzájom synchronizované, čo minimalizuje čas potrebný na vykonanie núdzového prepnutia. Súbor ISO pohotovostného dátového centra sa aktualizuje o ďalšie konfigurácie, ktoré zaisťujú, že uzly sú registrované v organizácii, ale nebudú spracovávať prevádzku. Preto uzly pohotovostného dátového centra zostávajú vždy aktuálne s najnovšou verziou softvéru HDS.
| Aktívne uzly Hybrid Data Security musia byť vždy v rovnakom údajovom centre ako aktívny databázový server. |
Nastavte pohotovostné dátové centrum pre obnovu po havárii
Ak chcete nakonfigurovať súbor ISO pohotovostného dátového centra, postupujte podľa nasledujúcich krokov:
Predtým ako začneš
Pohotovostné dátové centrum by malo odrážať produkčné prostredie VM a záložnú databázu PostgreSQL alebo Microsoft SQL Server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM. (Pozri Pohotovostné dátové centrum pre obnovu po havárii pre prehľad tohto modelu núdzového prepnutia.)
Uistite sa, že je povolená synchronizácia databázy medzi databázou aktívnych a pasívnych uzlov klastra.
| 1 | Spustite nástroj HDS Setup a postupujte podľa krokov uvedených v Vytvorte ISO konfigurácie pre hostiteľov HDS.
| ||
| 2 | Po nakonfigurovaní servera Syslogd kliknite na Pokročilé nastavenia | ||
| 3 | Na Pokročilé nastavenia pridajte konfiguráciu nižšie, aby ste umiestnili uzol do pasívneho režimu. V tomto režime bude uzol zaregistrovaný v organizácii a pripojený ku cloudu, ale nebude spracovávať žiadny prenos.
| ||
| 4 | Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť. | ||
| 5 | Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. | ||
| 6 | V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na VM a kliknite Upraviť nastavenia.. | ||
| 7 | Kliknite Upraviť nastavenia >CD/DVD mechanika 1 a vyberte Datastore ISO File.
| ||
| 8 | Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy. | ||
| 9 | Opakujte proces pre každý uzol v pohotovostnom dátovom centre.
|
Čo urobiť ďalej
Po konfigurácii passiveMode v súbore ISO a jeho uložením môžete vytvoriť ďalšiu kópiu súboru ISO bez súboru passiveMode konfiguráciu a uložte ju na bezpečnom mieste. Táto kópia súboru ISO bez passiveMode nakonfigurovaný môže pomôcť pri rýchlom procese núdzového prepnutia počas obnovy po havárii. Pozri Obnova po havárii pomocou pohotovostného dátového centra pre podrobný postup núdzového prepnutia.
Podpora proxy
Hybrid Data Security podporuje explicitné, transparentné kontrolné a nekontrolujúce proxy. Tieto servery proxy môžete prepojiť s nasadením, aby ste mohli zabezpečiť a monitorovať prevádzku z podniku do cloudu. Rozhranie správcu platformy na uzloch môžete použiť na správu certifikátov a na kontrolu celkového stavu pripojenia po nastavení servera proxy na uzloch.
Uzly Hybrid Data Security podporujú nasledujúce možnosti proxy:
Žiadny proxy—Predvolené, ak na integráciu servera proxy nepoužívate nastavenie uzla HDS Trust Store & Proxy. Nevyžaduje sa žiadna aktualizácia certifikátu.
Transparentný nekontrolujúci splnomocnenec– Uzly nie sú nakonfigurované na používanie špecifickej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.
Transparentné tunelovanie alebo kontrola proxy– Uzly nie sú nakonfigurované na používanie špecifickej adresy servera proxy. Na uzloch nie sú potrebné žiadne zmeny konfigurácie HTTP alebo HTTPS. Uzly však potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).
Explicitný proxy—S explicitným proxy, poviete HDS uzlom, ktorý proxy server a overovaciu schému použiť. Ak chcete nakonfigurovať explicitný server proxy, musíte do každého uzla zadať nasledujúce informácie:
Proxy IP/FQDN– Adresa, ktorú možno použiť na spojenie so zariadením proxy.
Port proxy—Číslo portu, ktoré server proxy používa na počúvanie prevádzky cez proxy.
Proxy protokol—V závislosti od toho, čo váš proxy server podporuje, vyberte si z nasledujúcich protokolov:
HTTP – zobrazuje a riadi všetky požiadavky, ktoré klient odosiela.
HTTPS – poskytuje kanál pre server. Klient prijme a overí certifikát servera.
autentický typ— Vyberte si z nasledujúcich typov autentifikácie:
žiadne— Nevyžaduje sa žiadna ďalšia autentifikácia.
Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.
Základné— Používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.
Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.
Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.
Digest– Používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.
Dostupné, iba ak vyberiete HTTPS ako protokol proxy.
Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.
Príklad uzlov na zabezpečenie hybridných dát a proxy
Tento diagram ukazuje príklad spojenia medzi Hybrid Data Security, sieťou a proxy. Pre možnosti transparentnej kontroly a explicitnej kontroly HTTPS proxy musí byť na serveri proxy aj na uzloch Hybrid Data Security nainštalovaný rovnaký koreňový certifikát.
Blokovaný režim externého rozlíšenia DNS (explicitné konfigurácie proxy)
Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. V nasadeniach s explicitnými konfiguráciami proxy, ktoré neumožňujú externé rozlíšenie DNS pre interných klientov, ak uzol nemôže dotazovať servery DNS, automaticky prejde do režimu blokovaného externého riešenia DNS. V tomto režime môže pokračovať registrácia uzla a ďalšie testy pripojenia proxy.
Požiadavky na hybridnú bezpečnosť dát
Požiadavky na licenciu Cisco Webex
Nasadenie Hybrid Data Security:
Musíte mať balík Pro Pack pre Cisco Webex Control Hub. (Pozri https://www.cisco.com/go/pro-pack.)
Požiadavky na plochu Docker
Pred inštaláciou uzlov HDS potrebujete Docker Desktop na spustenie inštalačného programu. Docker nedávno aktualizoval svoj licenčný model. Vaša organizácia môže vyžadovať platené predplatné pre Docker Desktop. Podrobnosti nájdete v blogovom príspevku Docker, " Docker aktualizuje a rozširuje naše predplatné produktov".
Požiadavky na certifikát X.509
Certifikačný reťazec musí spĺňať nasledujúce požiadavky:
Požiadavka | Podrobnosti |
|---|---|
| V predvolenom nastavení dôverujeme CA v zozname Mozilly (s výnimkou WoSign a StartCom) na https://wiki.mozilla.org/CA:IncludedCAs. |
| CN nemusí byť dosiahnuteľné alebo živého hostiteľa. Odporúčame vám použiť názov, ktorý odráža vašu organizáciu, napr. KN nesmie obsahovať * (zástupný znak). CN sa používa na overenie uzlov Hybrid Data Security pre klientov Webex App. Všetky uzly Hybrid Data Security vo vašom klastri používajú rovnaký certifikát. Váš KMS sa identifikuje pomocou domény CN, nie akejkoľvek domény, ktorá je definovaná v poliach x.509v3 SAN. Po zaregistrovaní uzla s týmto certifikátom nepodporujeme zmenu názvu domény CN. Vyberte doménu, ktorá sa môže vzťahovať na skúšobné aj produkčné nasadenie. |
| Softvér KMS nepodporuje podpisy SHA1 na overenie pripojení k KMS iných organizácií. |
| Na zmenu formátu certifikátu môžete použiť konvertor, ako je OpenSSL. Pri spustení nástroja HDS Setup Tool budete musieť zadať heslo. |
Softvér KMS nevynucuje používanie kľúčov ani rozšírené obmedzenia používania kľúčov. Niektoré certifikačné autority vyžadujú, aby sa na každý certifikát aplikovali rozšírené obmedzenia používania kľúčov, ako je autentifikácia servera. Je v poriadku použiť overenie servera alebo iné nastavenia.
Požiadavky na virtuálny hostiteľ
Virtuálni hostitelia, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri, majú nasledujúce požiadavky:
Aspoň dvaja oddelení hostitelia (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre
VMware ESXi 6.5 (alebo novší) nainštalovaný a spustený.
Ak máte staršiu verziu ESXi, musíte vykonať inováciu.
Minimálne 4 vCPU, 8 GB hlavnej pamäte, 30 GB miesta na lokálnom pevnom disku na server
Požiadavky na databázový server
| Vytvorte novú databázu pre uloženie kľúčov. Nepoužívajte predvolenú databázu. Aplikácie HDS, keď sú nainštalované, vytvoria schému databázy. |
Pre databázový server sú dve možnosti. Požiadavky na každú z nich sú nasledovné:
PostgreSQL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložný priestor) | Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložný priestor) |
Softvér HDS momentálne inštaluje nasledujúce verzie ovládačov na komunikáciu s databázovým serverom:
PostgreSQL | Microsoft SQL Server |
|---|---|
Postgres JDBC ovládač 42.2.5 | Ovládač SQL Server JDBC 4.6 Táto verzia ovládača podporuje SQL Server Always On ( Vždy v prípade zlyhania klastra a Vždy zapnuté skupiny dostupnosti). |
Dodatočné požiadavky na overenie systému Windows voči Microsoft SQL Server
Ak chcete, aby uzly HDS používali autentifikáciu systému Windows na získanie prístupu k vašej databáze úložiska kľúčov na serveri Microsoft SQL Server, potrebujete vo svojom prostredí nasledujúcu konfiguráciu:
HDS uzly, infraštruktúra Active Directory a MS SQL Server musia byť synchronizované s NTP.
Účet Windows, ktorý poskytnete uzlom HDS, musí mať prístup k databáze na čítanie/zápis.
Servery DNS, ktoré poskytujete uzlom HDS, musia byť schopné vyriešiť vaše Centrum distribúcie kľúčov (KDC).
Inštanciu databázy HDS môžete zaregistrovať na svojom serveri Microsoft SQL Server ako hlavný názov služby (SPN) vo vašom adresári Active Directory. Pozri Zaregistrujte hlavný názov služby pre pripojenia Kerberos.
Nástroj na nastavenie HDS, spúšťač HDS a miestne KMS musia na prístup k databáze kľúčov používať overenie systému Windows. Používajú podrobnosti z vašej konfigurácie ISO na vytvorenie SPN pri požadovaní prístupu s overením Kerberos.
Požiadavky na externé pripojenie
Nakonfigurujte svoj firewall tak, aby umožňoval nasledujúce pripojenie pre aplikácie HDS:
Aplikácia | Protokol | Port | Smer z App | Destinácia |
|---|---|---|---|---|
Hybridné uzly zabezpečenia údajov | TCP | 443 | Odchádzajúce HTTPS a WSS |
|
Nástroj na nastavenie HDS | TCP | 443 | Odchádzajúce HTTPS |
|
| Uzly Hybrid Data Security pracujú s prekladom sieťového prístupu (NAT) alebo za bránou firewall, pokiaľ NAT alebo brána firewall umožňuje požadované odchádzajúce pripojenia k destináciám domény v predchádzajúcej tabuľke. Pre pripojenia prichádzajúce do uzlov Hybrid Data Security by nemali byť z internetu viditeľné žiadne porty. V rámci vášho dátového centra potrebujú klienti prístup k uzlom Hybrid Data Security na portoch TCP 443 a 22 na administratívne účely. |
Adresy URL hostiteľov Common Identity (CI) sú špecifické pre daný región. Toto sú súčasní hostitelia CI:
región | Spoločné adresy URL hostiteľa identity |
|---|---|
Ameriky |
|
Európska únia |
|
Kanada |
|
Požiadavky na proxy server
Oficiálne podporujeme nasledujúce proxy riešenia, ktoré sa dajú integrovať s vašimi uzlami Hybrid Data Security.
Transparentný proxy – Cisco Web Security Appliance (WSA).
Explicitný proxy-Squid.
Proxy serverov chobotnice, ktoré kontrolujú prenos HTTPS, môžu zasahovať do vytvorenia webovej zásuvky (wss:) spojenia. Ak chcete tento problém obísť, pozrite si Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát.
Pre explicitné servery proxy podporujeme nasledujúce kombinácie typov overenia:
Žiadna autentifikácia pomocou HTTP alebo HTTPS
Základná autentifikácia pomocou HTTP alebo HTTPS
Digest overenie iba s HTTPS
Pre transparentný kontrolný proxy server alebo explicitný proxy server HTTPS musíte mať kópiu koreňového certifikátu servera proxy. Pokyny na nasadenie v tejto príručke vám povedia, ako nahrať kópiu do dôveryhodných obchodov uzlov Hybrid Data Security.
Sieť, ktorá hostí uzly HDS, musí byť nakonfigurovaná tak, aby vynútila smerovanie odchádzajúcej prevádzky TCP na porte 443 cez server proxy.
Proxy, ktoré kontrolujú webovú prevádzku, môžu narúšať pripojenia webových soketov. Ak sa vyskytne tento problém, obíďte (nie kontrolujte) premávku na
wbx2.comaciscospark.comproblém vyrieši.
Vyplňte Predpoklady pre hybridnú bezpečnosť údajov
| 1 | Uistite sa, že vaša organizácia Webex má povolený balík Pro Pack pre Cisco Webex Control Hub a získajte prihlasovacie údaje účtu s úplnými právami správcu organizácie. Ak potrebujete pomoc s týmto procesom, kontaktujte svojho partnera Cisco alebo account manažéra. | ||
| 2 | Vyberte názov domény pre svoje nasadenie HDS (napr. | ||
| 3 | Pripravte si identických virtuálnych hostiteľov, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri. Potrebujete aspoň dvoch samostatných hostiteľov (odporúčajú sa 3) umiestnených v rovnakom zabezpečenom dátovom centre, ktorí spĺňajú požiadavky v Požiadavky na virtuálny hostiteľ. | ||
| 4 | Pripravte databázový server, ktorý bude fungovať ako úložisko kľúčových údajov pre klaster, podľa Požiadavky na databázový server. Databázový server musí byť umiestnený v zabezpečenom údajovom centre spolu s virtuálnymi hostiteľmi. | ||
| 5 | Pre rýchlu obnovu po havárii nastavte zálohovacie prostredie v inom dátovom centre. Zálohovacie prostredie odzrkadľuje produkčné prostredie VM a záložný databázový server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM. | ||
| 6 | Nastavte hostiteľa syslog na zhromažďovanie protokolov z uzlov v klastri. Získajte jeho sieťovú adresu a port syslog (predvolené je UDP 514). | ||
| 7 | Vytvorte politiku bezpečného zálohovania pre uzly Hybrid Data Security, databázový server a hostiteľa syslog. Aby ste predišli nenapraviteľnej strate údajov, musíte minimálne zálohovať databázu a konfiguračný súbor ISO vygenerovaný pre uzly Hybrid Data Security.
Klienti Webex App ukladajú svoje kľúče do vyrovnávacej pamäte, takže výpadok nemusí byť okamžite viditeľný, ale časom sa prejaví. Zatiaľ čo dočasným výpadkom nie je možné zabrániť, sú obnoviteľné. Úplná strata (nie sú k dispozícii žiadne zálohy) databázy alebo konfiguračného ISO súboru však bude mať za následok neobnoviteľné zákaznícke údaje. Od operátorov uzlov Hybrid Data Security sa očakáva, že budú pravidelne zálohovať databázu a konfiguračný ISO súbor a budú pripravení na prestavbu dátového centra Hybrid Data Security, ak dôjde ku katastrofálnej poruche. | ||
| 8 | Uistite sa, že vaša konfigurácia brány firewall umožňuje pripojenie pre vaše uzly Hybrid Data Security, ako je uvedené v Požiadavky na externé pripojenie. | ||
| 9 | Nainštalujte Docker ( https://www.docker.com) na akomkoľvek lokálnom počítači s podporovaným operačným systémom (Microsoft Windows 10 Professional alebo Enterprise 64-bit, alebo Mac OSX Yosemite 10.10.3 alebo novší) s webovým prehliadačom, ktorý k nemu môže pristupovať na http://127.0.0.1:8080. Inštanciu Docker použijete na stiahnutie a spustenie nástroja HDS Setup Tool, ktorý vytvorí informácie o lokálnej konfigurácii pre všetky uzly Hybrid Data Security. Vaša organizácia môže potrebovať licenciu Docker Desktop. Pozri Požiadavky na plochu Docker Pre viac informácií. Ak chcete nainštalovať a spustiť nástroj HDS Setup Tool, lokálny počítač musí mať konektivitu uvedenú v Požiadavky na externé pripojenie. | ||
| 10 | Ak integrujete proxy s Hybrid Data Security, uistite sa, že spĺňa Požiadavky na proxy server. | ||
| 11 | Ak vaša organizácia používa synchronizáciu adresárov, vytvorte skupinu v Active Directory s názvom
|
Tok úloh nasadenia zabezpečenia hybridných údajov
Predtým ako začneš
| 1 | Stiahnite si inštalačné súbory Stiahnite si súbor OVA na váš lokálny počítač pre neskoršie použitie. | ||
| 2 | Vytvorte ISO konfigurácie pre hostiteľov HDS Pomocou nástroja HDS Setup Tool vytvorte konfiguračný súbor ISO pre uzly Hybrid Data Security. | ||
| 3 |
Vytvorte virtuálny počítač zo súboru OVA a vykonajte počiatočnú konfiguráciu, ako sú nastavenia siete.
| ||
| 4 | Nastavte virtuálny počítač Hybrid Data Security Prihláste sa do konzoly VM a nastavte prihlasovacie poverenia. Nakonfigurujte sieťové nastavenia pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA. | ||
| 5 | Nahrajte a pripojte ISO konfiguráciu HDS Nakonfigurujte VM z konfiguračného súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool. | ||
| 6 | Nakonfigurujte uzol HDS na integráciu proxy Ak sieťové prostredie vyžaduje konfiguráciu servera proxy, zadajte typ servera proxy, ktorý použijete pre uzol, a v prípade potreby pridajte certifikát servera proxy do dôveryhodného úložiska. | ||
| 7 | Zaregistrujte prvý uzol v klastri Zaregistrujte VM v cloude Cisco Webex ako uzol Hybrid Data Security. | ||
| 8 | Vytvorte a zaregistrujte viac uzlov Dokončite nastavenie klastra. | ||
| 9 | Spustite skúšobnú verziu a prejdite do výroby (ďalšia kapitola) Kým nezačnete skúšobnú verziu, vaše uzly generujú alarm oznamujúci, že vaša služba ešte nie je aktivovaná. |
Stiahnite si inštalačné súbory
| 1 | Prihláste sa do https://admin.webex.coma potom kliknite Služby. | ||||
| 2 | V časti Hybridné služby nájdite kartu Hybrid Data Security a potom kliknite Nastaviť. Ak je karta zakázaná alebo ju nevidíte, kontaktujte tím spravujúci váš účet alebo partnerskú organizáciu. Poskytnite im svoje číslo účtu a požiadajte, aby vašej organizácii umožnili Hybridné zabezpečenie dát. Ak chcete nájsť číslo účtu, kliknite na ozubené koliesko vpravo hore vedľa názvu organizácie.
| ||||
| 3 | Vyberte Nie na označenie, že ste ešte nenastavili uzol, a potom kliknite Ďalšie. Automaticky sa začne sťahovať súbor OVA. Uložte súbor na miesto v počítači.
| ||||
| 4 | Voliteľne kliknite Otvorte Sprievodcu nasadením a skontrolujte, či je k dispozícii novšia verzia tejto príručky. |
Vytvorte ISO konfigurácie pre hostiteľov HDS
Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.
Predtým ako začneš
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Control Hub s úplnými administrátorskými právami pre vašu organizáciu.
Ak nástroj HDS Setup beží za serverom proxy vo vašom prostredí, pri spúšťaní kontajnera Docker v kroku poskytnite nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker 5. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS Proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTKonfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:
Databázové poverenia
Aktualizácie certifikátov
Zmeny v politike autorizácie
Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.
| 1 | Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP:
| ||||||||||||
| 2 | Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce: | ||||||||||||
| 3 | Pri výzve na zadanie hesla zadajte tento hash: | ||||||||||||
| 4 | Stiahnite si najnovší stabilný obraz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: | ||||||||||||
| 5 | Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:
Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“. | ||||||||||||
| 6 |
Pomocou webového prehliadača prejdite na localhost, Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie. | ||||||||||||
| 7 | Po zobrazení výzvy zadajte svoje prihlasovacie poverenia správcu zákazníka Control Hub a potom kliknite Prihlásiť sa na umožnenie prístupu k požadovaným službám pre Hybridnú bezpečnosť dát. | ||||||||||||
| 8 | Na stránke prehľadu nástroja Setup kliknite na Začať. | ||||||||||||
| 9 | Na ISO import stránku, máte tieto možnosti:
| ||||||||||||
| 10 | Skontrolujte, či váš certifikát X.509 spĺňa požiadavky v Požiadavky na certifikát X.509.
| ||||||||||||
| 11 | Zadajte databázovú adresu a účet pre HDS, aby ste získali prístup k vášmu úložisku kľúčových údajov: | ||||||||||||
| 12 | Vyberte a Režim pripojenia databázy TLS:
Keď nahráte koreňový certifikát (ak je to potrebné) a kliknite na ďalej, HDS Setup Tool otestuje TLS pripojenie k databázovému serveru. Nástroj tiež overuje podpisovateľa certifikátu a názov hostiteľa, ak je to potrebné. Ak test zlyhá, nástroj zobrazí chybové hlásenie popisujúce problém. Môžete si vybrať, či chcete chybu ignorovať a pokračovať v nastavovaní. (Vzhľadom na rozdiely v konektivite môžu byť uzly HDS schopné nadviazať pripojenie TLS, aj keď ho zariadenie HDS Setup Tool nedokáže úspešne otestovať.) | ||||||||||||
| 13 | Na stránke Systémové denníky nakonfigurujte svoj server Syslogd: | ||||||||||||
| 14 | (Voliteľné) Môžete zmeniť predvolenú hodnotu pre niektoré parametre pripojenia k databáze v Pokročilé nastavenia. Vo všeobecnosti je tento parameter jediný, ktorý možno budete chcieť zmeniť: | ||||||||||||
| 15 | Kliknite ďalej na Obnovte heslo servisných účtov obrazovke. Heslá k servisným účtom majú životnosť deväť mesiacov. Túto obrazovku použite, keď sa blíži koniec platnosti vašich hesiel alebo ich chcete resetovať, aby ste zrušili platnosť predchádzajúcich súborov ISO. | ||||||||||||
| 16 | Kliknite Stiahnite si súbor ISO. Uložte súbor na miesto, ktoré sa dá ľahko nájsť. | ||||||||||||
| 17 | Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. | ||||||||||||
| 18 | Ak chcete vypnúť nástroj Setup, zadajte |
Čo urobiť ďalej
Zálohujte konfiguračný súbor ISO. Potrebujete ho na vytvorenie ďalších uzlov na obnovu alebo na vykonanie zmien v konfigurácii. Ak stratíte všetky kópie súboru ISO, stratili ste aj hlavný kľúč. Obnovenie kľúčov z databázy PostgreSQL alebo Microsoft SQL Server nie je možné.
| Nikdy nemáme kópiu tohto kľúča a nemôžeme vám pomôcť, ak ho stratíte. |
Nainštalujte HDS Host OVA
| 1 | Na prihlásenie do virtuálneho hostiteľa ESXi použite klienta VMware vSphere na vašom počítači. | ||||||
| 2 | Vyberte Súbor > Nasadiť šablónu OVF. | ||||||
| 3 | V sprievodcovi zadajte umiestnenie súboru OVA, ktorý ste si stiahli skôr, a potom kliknite Ďalšie . | ||||||
| 4 | Na Vyberte názov a priečinok stránku, zadajte a Názov virtuálneho počítača pre uzol (napríklad „HDS_Node_1"), vyberte umiestnenie, kde sa môže nachádzať nasadenie uzla virtuálneho počítača, a potom kliknite Ďalšie . | ||||||
| 5 | Na Vyberte výpočtový zdroj vyberte cieľový výpočtový zdroj a potom kliknite Ďalšie . Prebehne overovacia kontrola. Po dokončení sa zobrazia podrobnosti šablóny. | ||||||
| 6 | Overte podrobnosti šablóny a potom kliknite Ďalšie. | ||||||
| 7 | Ak sa zobrazí výzva na výber konfigurácie prostriedkov na Konfigurácia stránku, kliknite 4 CPU a potom kliknite Ďalšie . | ||||||
| 8 | Na Vyberte úložisko stránku, kliknite Ďalšie akceptovať predvolený formát disku a politiku úložiska VM. | ||||||
| 9 | Na Vyberte siete vyberte sieťovú možnosť zo zoznamu položiek, aby ste poskytli požadované pripojenie k VM. | ||||||
| 10 | Na Prispôsobiť šablónu nakonfigurujte nasledujúce nastavenia siete:
Ak chcete, môžete preskočiť konfiguráciu nastavenia siete a postupovať podľa krokov v Nastavte virtuálny počítač Hybrid Data Security na konfiguráciu nastavení z konzoly uzla.
| ||||||
| 11 | Kliknite pravým tlačidlom myši na uzol VM a potom vyberte . Softvér Hybrid Data Security je nainštalovaný ako hosť na hostiteľovi VM. Teraz ste pripravení prihlásiť sa do konzoly a nakonfigurovať uzol. Tipy na riešenie problémov Môžete zaznamenať oneskorenie niekoľkých minút, kým sa kontajnery uzlov objavia. Počas prvého spustenia, počas ktorého sa nemôžete prihlásiť, sa na konzole zobrazí správa brány firewall mosta. |
Nastavte virtuálny počítač Hybrid Data Security
Tento postup použite na prvé prihlásenie do konzoly VM uzla Hybrid Data Security a nastavenie prihlasovacích poverení. Konzolu môžete použiť aj na konfiguráciu sieťových nastavení pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.
| 1 | V klientovi VMware vSphere vyberte svoj uzol Hybrid Data Security VM a vyberte Konzola tab. VM sa spustí a zobrazí sa výzva na prihlásenie. Ak sa výzva na prihlásenie nezobrazí, stlačte Zadajte.
|
| 2 | Na prihlásenie a zmenu poverení použite nasledujúce predvolené prihlasovacie meno a heslo: Keďže sa do svojho VM prihlasujete prvýkrát, musíte zmeniť heslo správcu. |
| 3 | Ak ste už nakonfigurovali nastavenia siete v Nainštalujte HDS Host OVA, preskočte zvyšok tohto postupu. V opačnom prípade vyberte v hlavnom menu položku Upraviť konfiguráciu možnosť. |
| 4 | Nastavte statickú konfiguráciu s IP adresou, maskou, bránou a informáciami DNS. Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované. |
| 5 | (Voliteľné) Zmeňte názov hostiteľa, doménu alebo server(y) NTP, ak je to potrebné, aby zodpovedali zásadám vašej siete. Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509. |
| 6 | Uložte konfiguráciu siete a reštartujte VM, aby sa zmeny prejavili. |
Nahrajte a pripojte ISO konfiguráciu HDS
Predtým ako začneš
Pretože súbor ISO obsahuje hlavný kľúč, mal by byť zverejnený iba na základe „potreby vedieť“, aby k nemu mali prístup virtuálne počítače s hybridným zabezpečením údajov a všetci správcovia, ktorí môžu potrebovať vykonať zmeny. Uistite sa, že k úložisku údajov majú prístup iba títo správcovia.
| 1 | Nahrajte súbor ISO z počítača: |
| 2 | Pripojte súbor ISO: |
Čo urobiť ďalej
Ak to vyžaduje vaša politika IT, môžete voliteľne odpojiť súbor ISO po tom, čo všetky vaše uzly prevezmú zmeny konfigurácie. Pozri (Voliteľné) Odpojte ISO po konfigurácii HDS pre podrobnosti.
Nakonfigurujte uzol HDS na integráciu proxy
Ak sieťové prostredie vyžaduje server proxy, použite tento postup na určenie typu servera proxy, s ktorým sa chcete integrovať Hybridná bezpečnosť dát. Ak si vyberiete transparentný kontrolný proxy server alebo explicitný proxy server HTTPS, môžete použiť rozhranie uzla na nahranie a inštaláciu koreňového certifikátu. Môžete tiež skontrolovať pripojenie proxy z rozhrania a vyriešiť prípadné problémy.
Predtým ako začneš
Pozri Podpora proxy pre prehľad podporovaných možností proxy.
| 1 | Zadajte adresu URL nastavenia uzla HDS |
| 2 | Ísť do Trust Store a proxya potom vyberte možnosť:
Postupujte podľa nasledujúcich krokov pre transparentný kontrolný proxy server, explicitný proxy server HTTP so základným overením alebo explicitný proxy HTTPS. |
| 3 | Kliknite Nahrajte koreňový certifikát alebo certifikát koncovej entitya potom prejdite na výber koreňového certifikátu pre server proxy. Certifikát je nahraný, ale ešte nie je nainštalovaný, pretože na inštaláciu certifikátu musíte reštartovať uzol. Kliknutím na šípku v tvare šípky vedľa názvu vydavateľa certifikátu získate ďalšie podrobnosti alebo kliknite Odstrániť ak ste urobili chybu a chcete súbor znova nahrať. |
| 4 | Kliknite Skontrolujte pripojenie proxy na testovanie sieťového pripojenia medzi uzlom a proxy. Ak test pripojenia zlyhá, zobrazí sa chybové hlásenie, ktoré uvádza dôvod a spôsob, ako môžete problém vyriešiť. Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS. Tento stav sa očakáva v mnohých explicitných konfiguráciách proxy. Môžete pokračovať v nastavovaní a uzol bude fungovať v režime zablokovaného externého rozlíšenia DNS. Ak si myslíte, že ide o chybu, vykonajte tieto kroky a potom uvidíte Vypnite režim zablokovaného externého rozlíšenia DNS. |
| 5 | Po úspešnom teste pripojenia zapnite prepínač v prípade explicitného servera proxy nastaveného iba na https Smerujte všetky požiadavky https z tohto uzla na port 443/444 cez explicitný proxy server. Toto nastavenie sa prejaví po 15 sekundách. |
| 6 | Kliknite Nainštalujte všetky certifikáty do dôveryhodného úložiska (zobrazí sa pri explicitnom HTTPS proxy alebo transparentnom kontrolnom proxy serveri) alebo Reštartovať (zobrazí sa pri explicitnom serveri proxy HTTP), prečítajte si výzvu a potom kliknite Inštalácia ak si pripravený. Uzol sa reštartuje v priebehu niekoľkých minút. |
| 7 | Po reštartovaní uzla sa v prípade potreby znova prihláste a potom otvorte Prehľad stránku a skontrolujte kontroly pripojenia, aby ste sa uistili, že sú všetky v zelenom stave. Kontrola pripojenia proxy testuje iba subdoménu webex.com. Ak sa vyskytnú problémy s pripojením, bežným problémom je, že niektoré z cloudových domén uvedených v pokynoch na inštaláciu sú na serveri proxy blokované. |
Zaregistrujte prvý uzol v klastri
Keď zaregistrujete svoj prvý uzol, vytvoríte klaster, ku ktorému je uzol priradený. Klaster obsahuje jeden alebo viac uzlov nasadených na zabezpečenie redundancie.
Predtým ako začneš
Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.
Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.
| 1 | Prihláste sa do https://admin.webex.com. |
| 2 | V ponuke na ľavej strane obrazovky vyberte položku Služby. |
| 3 | V sekcii Hybridné služby nájdite Hybridné zabezpečenie dát a kliknite Nastaviť. Zobrazí sa stránka Register Hybrid Data Security Node.
|
| 4 | Vyberte Áno na označenie, že ste uzol nastavili a ste pripravení ho zaregistrovať, a potom kliknite Ďalšie. |
| 5 | Do prvého poľa zadajte názov klastra, ku ktorému chcete priradiť váš uzol Hybrid Data Security. Odporúčame pomenovať klaster podľa toho, kde sa geograficky nachádzajú uzly klastra. Príklady: „San Francisco“ alebo „New York“ alebo „Dallas“ |
| 6 | Do druhého poľa zadajte internú IP adresu alebo úplný názov domény (FQDN) vášho uzla a kliknite Ďalšie. Táto adresa IP alebo FQDN by sa mala zhodovať s adresou IP alebo názvom hostiteľa a doménou, ktorú ste použili Nastavte virtuálny počítač Hybrid Data Security. Zobrazí sa správa, že môžete zaregistrovať svoj uzol do Webexu.
|
| 7 | Kliknite Prejdite na Node. |
| 8 | Kliknite ďalej vo varovnej správe. Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že svojej organizácii Webex chcete udeliť povolenia na prístup k vášmu uzlu.
|
| 9 | Skontrolovať Povoľte prístup k svojmu uzlu zabezpečenia hybridných údajov začiarknite políčko a potom kliknite na ďalej. Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
|
| 10 | Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Hybrid Data Security Control Hub. Na Hybridná bezpečnosť dát sa zobrazí nový klaster obsahujúci uzol, ktorý ste zaregistrovali. Uzol si automaticky stiahne najnovší softvér z cloudu.
|
Vytvorte a zaregistrujte viac uzlov
| V súčasnosti sú záložné virtuálne počítače, ktoré ste vytvorili Vyplňte Predpoklady pre hybridnú bezpečnosť údajov sú pohotovostní hostitelia, ktorí sa používajú iba v prípade obnovy po havárii; dovtedy nie sú registrovaní v systéme. Podrobnosti nájdete v časti Obnova po havárii pomocou pohotovostného dátového centra. |
Predtým ako začneš
Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.
Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.
| 1 | Vytvorte nový virtuálny počítač z OVA zopakovaním krokov Nainštalujte HDS Host OVA. |
| 2 | Nastavte počiatočnú konfiguráciu na novom VM zopakovaním krokov v Nastavte virtuálny počítač Hybrid Data Security. |
| 3 | Na novom virtuálnom počítači zopakujte kroky v Nahrajte a pripojte ISO konfiguráciu HDS. |
| 4 | Ak nastavujete server proxy pre svoje nasadenie, zopakujte kroky v Nakonfigurujte uzol HDS na integráciu proxy podľa potreby pre nový uzol. |
| 5 | Zaregistrujte uzol. Váš uzol je zaregistrovaný. Upozorňujeme, že kým nezačnete skúšobnú verziu, vaše uzly generujú alarm, ktorý oznamuje, že vaša služba ešte nie je aktivovaná.
|
Čo urobiť ďalej
Skúšobný postup produkčných úloh
Po nastavení klastra Hybrid Data Security môžete spustiť pilotný test, pridať doň používateľov a začať ho používať na testovanie a overovanie vášho nasadenia v rámci prípravy na prechod do produkcie.
Predtým ako začneš
| 1 | V prípade potreby synchronizujte Ak vaša organizácia používa synchronizáciu adresárov pre používateľov, musíte vybrať |
| 2 |
Začnite skúšobnú verziu. Kým nevykonáte túto úlohu, vaše uzly generujú alarm, ktorý oznamuje, že služba ešte nie je aktivovaná. |
| 3 | Otestujte svoje nasadenie hybridného zabezpečenia dát Skontrolujte, či kľúčové požiadavky prechádzajú do vášho nasadenia Hybrid Data Security. |
| 4 | Monitorujte zdravie Hybrid Data Security Health Skontrolujte stav a nastavte e-mailové upozornenia na budíky. |
| 5 | Pridajte alebo odstráňte používateľov z vašej skúšobnej verzie |
| 6 | Dokončite skúšobnú fázu jedným z nasledujúcich krokov: |
Aktivovať skúšobnú verziu
Predtým ako začneš
Ak vaša organizácia používa synchronizáciu adresárov pre používateľov, musíte vybrať HdsTrialGroup skupinový objekt na synchronizáciu do cloudu predtým, ako začnete skúšobnú verziu pre vašu organizáciu. Pokyny nájdete na Sprievodca nasadením pre Cisco Directory Connector.
| 1 | Prihláste sa do https://admin.webex.coma potom vyberte Služby. |
| 2 | V časti Hybrid Data Security kliknite na nastavenie. |
| 3 | V časti Stav služby kliknite na Spustiť skúšku. Stav služby sa zmení na skúšobný režim.
|
| 4 | Kliknite Pridať používateľov a zadajte e-mailovú adresu jedného alebo viacerých používateľov na pilotné používanie vašich uzlov Hybrid Data Security na šifrovacie a indexovacie služby. (Ak vaša organizácia používa synchronizáciu adresárov, na správu skúšobnej skupiny použite službu Active Directory, |
Otestujte svoje nasadenie hybridného zabezpečenia dát
Predtým ako začneš
Nastavte nasadenie Hybrid Data Security.
Aktivujte skúšobnú verziu a pridajte niekoľko používateľov skúšobnej verzie.
Uistite sa, že máte prístup k syslog, aby ste si overili, že kľúčové požiadavky prechádzajú do vášho nasadenia Hybrid Data Security.
| 1 | Kľúče pre daný priestor nastavuje tvorca priestoru. Prihláste sa do aplikácie Webex ako jeden z pilotných používateľov a potom vytvorte priestor a pozvite aspoň jedného pilotného používateľa a jedného nepilotného používateľa.
| ||
| 2 | Posielajte správy do nového priestoru. | ||
| 3 | Skontrolujte výstup syslog, aby ste si overili, že požiadavky na kľúče prechádzajú do vášho nasadenia Hybrid Data Security. |
Monitorujte zdravie Hybrid Data Security Health
| 1 | In Control Hub, vyberte Služby z ponuky na ľavej strane obrazovky. |
| 2 | V sekcii Hybridné služby nájdite Hybridné zabezpečenie dát a kliknite nastavenie. Zobrazí sa stránka Hybrid Data Security Settings.
|
| 3 | V časti E-mailové upozornenia zadajte jednu alebo viac e-mailových adries oddelených čiarkami a stlačte Zadajte. |
Pridajte alebo odstráňte používateľov z vašej skúšobnej verzie
Ak odstránite používateľa zo skúšobnej verzie, klient tohto používateľa bude namiesto vášho KMS požadovať kľúče a vytvorenie kľúča z cloudového KMS. Ak klient potrebuje kľúč, ktorý je uložený vo vašom KMS, cloudový KMS ho načíta v mene používateľa.
Ak vaša organizácia používa synchronizáciu adresárov, použite Active Directory (namiesto tohto postupu) na správu skúšobnej skupiny, HdsTrialGroup; členov skupiny môžete zobraziť v Control Hub, ale nemôžete ich pridávať ani odstraňovať.
| 1 | Prihláste sa do Control Hub a potom vyberte Služby. |
| 2 | V časti Hybrid Data Security kliknite na nastavenie. |
| 3 | V časti Skúšobný režim v oblasti Stav služby kliknite na Pridať používateľov, alebo kliknite zobraziť a upraviť na odstránenie používateľov zo skúšobnej verzie. |
| 4 | Zadajte e-mailovú adresu jedného alebo viacerých používateľov, ktorých chcete pridať, alebo kliknite na X pomocou ID používateľa na odstránenie používateľa zo skúšobnej verzie. Potom kliknite Uložiť. |
Presuňte sa zo skúšobnej do produkčnej verzie
| 1 | Prihláste sa do Control Hub a potom vyberte Služby. |
| 2 | V časti Hybrid Data Security kliknite na nastavenie. |
| 3 | V časti Stav služby kliknite na Presunúť do výroby. |
| 4 | Potvrďte, že chcete presunúť všetkých svojich používateľov do produkcie. |
Ukončite skúšobnú verziu bez presunu do výroby
| 1 | Prihláste sa do Control Hub a potom vyberte Služby. |
| 2 | V časti Hybrid Data Security kliknite na nastavenie. |
| 3 | V časti Deaktivovať kliknite na Deaktivovať. |
| 4 | Potvrďte, že chcete službu deaktivovať a ukončiť skúšobnú verziu. |
Spravujte nasadenie HDS
Pomocou tu popísaných úloh spravujte svoje nasadenie Hybrid Data Security.
Nastavte plán aktualizácie klastra
Ak chcete nastaviť plán aktualizácie:
| 1 | Prihláste sa do Control Hub. |
| 2 | Na stránke Prehľad v časti Hybridné služby vyberte Hybridná bezpečnosť dát. |
| 3 | Na stránke Hybrid Data Security Resources vyberte klaster. |
| 4 | Na paneli Prehľad vpravo v časti Nastavenia klastra vyberte názov klastra. |
| 5 | Na stránke Nastavenia v časti Aktualizácia vyberte čas a časové pásmo pre plán inovácie. Poznámka: Pod časovým pásmom sa zobrazí dátum a čas ďalšej dostupnej aktualizácie. Kliknutím na tlačidlo môžete v prípade potreby odložiť aktualizáciu na nasledujúci deň Odložiť. |
Zmeňte konfiguráciu uzla
Zmena x.509 certifikátov z dôvodu uplynutia platnosti alebo iných dôvodov.
Nepodporujeme zmenu názvu domény CN certifikátu. Doména sa musí zhodovať s pôvodnou doménou použitou na registráciu klastra.
Aktualizácia nastavení databázy pre zmenu na repliku databázy PostgreSQL alebo Microsoft SQL Server.
Nepodporujeme migráciu údajov z PostgreSQL na Microsoft SQL Server alebo opačným spôsobom. Ak chcete zmeniť prostredie databázy, spustite nové nasadenie Hybrid Data Security.
Vytvorenie novej konfigurácie na prípravu nového dátového centra.
Z bezpečnostných dôvodov používa Hybrid Data Security heslá servisných účtov, ktoré majú životnosť deväť mesiacov. Keď nástroj HDS Setup vygeneruje tieto heslá, nasadíte ich do každého z vašich uzlov HDS v konfiguračnom súbore ISO. Keď sa blíži koniec platnosti hesiel vašej organizácie, dostanete od tímu Webex upozornenie na resetovanie hesla pre váš počítačový účet. (E-mail obsahuje text „Na aktualizáciu hesla použite rozhranie API strojového účtu.“) Ak platnosť vašich hesiel ešte nevypršala, nástroj vám ponúka dve možnosti:
Mäkký reset—Staré aj nové heslo fungujú až 10 dní. Toto obdobie použite na postupnú výmenu súboru ISO na uzloch.
Tvrdý reštart—Staré heslá okamžite prestanú fungovať.
Ak platnosť vašich hesiel vyprší bez resetovania, ovplyvní to vašu službu HDS, čo si vyžaduje okamžitý tvrdý reset a nahradenie súboru ISO na všetkých uzloch.
Tento postup použite na vygenerovanie nového konfiguračného súboru ISO a jeho použitie vo vašom klastri.
Predtým ako začneš
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Control Hub s úplnými administrátorskými právami pre vašu organizáciu.
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker zadajte nastavenia proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker 1.e. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS Proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTNa vygenerovanie novej konfigurácie potrebujete kópiu aktuálneho konfiguračného súboru ISO. ISO obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. ISO potrebujete, keď robíte zmeny v konfigurácii vrátane poverení databázy, aktualizácií certifikátov alebo zmien v politike autorizácie.
| 1 | Pomocou Docker na lokálnom počítači spustite nástroj HDS Setup Tool.
| ||||||
| 2 | Ak máte spustený iba jeden uzol HDS, vytvorte nový VM uzla Hybrid Data Security a zaregistrujte ho pomocou nového konfiguračného súboru ISO. Podrobnejšie pokyny nájdete v časti Vytvorte a zaregistrujte viac uzlov. | ||||||
| 3 | Pre existujúce uzly HDS, na ktorých je spustený starší konfiguračný súbor, pripojte súbor ISO. Postupne vykonajte nasledujúci postup na každom uzle, pričom aktualizujte každý uzol pred vypnutím ďalšieho uzla: | ||||||
| 4 | Opakujte krok 3, aby ste nahradili konfiguráciu na každom zostávajúcom uzle, na ktorom je spustená stará konfigurácia. |
Vypnite režim zablokovaného externého rozlíšenia DNS
Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. Ak server DNS uzla nedokáže rozlíšiť verejné názvy DNS, uzol automaticky prejde do režimu zablokovaného externého rozlíšenia DNS.
Ak vaše uzly dokážu rozlíšiť verejné názvy DNS prostredníctvom interných serverov DNS, môžete tento režim vypnúť opätovným spustením testu pripojenia proxy na každom uzle.
Predtým ako začneš
| 1 | Vo webovom prehliadači otvorte rozhranie uzla Hybrid Data Security (IP adresa/nastavenie, napr. https://192.0.2.0/setup), zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite Prihlásiť sa. |
| 2 | Ísť do Prehľad (predvolená stránka). Keď je povolené, Zablokované externé rozlíšenie DNS je nastavený na Áno. |
| 3 | Choďte na Trust Store a proxy stránku. |
| 4 | Kliknite Skontrolujte pripojenie proxy. Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS a zostane v tomto režime. V opačnom prípade po reštartovaní uzla a návrate do Prehľad na stránke Blocked External DNS Resolution by mala byť nastavená na no. |
Čo urobiť ďalej
Odstráňte uzol
| 1 | Pomocou klienta VMware vSphere vo svojom počítači sa prihláste do virtuálneho hostiteľa ESXi a vypnite virtuálny počítač. |
| 2 | Odstráňte uzol: |
| 3 | V klientovi vSphere odstráňte VM. (Na ľavom navigačnom paneli kliknite pravým tlačidlom myši na VM a kliknite na Odstrániť.) Ak nevymažete VM, nezabudnite odpojiť konfiguračný súbor ISO. Bez súboru ISO nemôžete použiť VM na prístup k bezpečnostným údajom. |
Obnova po havárii pomocou pohotovostného dátového centra
Najdôležitejšou službou, ktorú váš klaster Hybrid Data Security poskytuje, je vytváranie a ukladanie kľúčov používaných na šifrovanie správ a iného obsahu uloženého v cloude Webex. Pre každého používateľa v rámci organizácie, ktorý je priradený k Hybrid Data Security, sú do klastra smerované nové požiadavky na vytvorenie kľúča. Klaster je tiež zodpovedný za vrátenie kľúčov, ktoré vytvoril, všetkým používateľom oprávneným na ich získanie, napríklad členom konverzačného priestoru.
Pretože klaster vykonáva kritickú funkciu poskytovania týchto kľúčov, je nevyhnutné, aby klaster zostal spustený a aby boli udržiavané správne zálohy. Strata databázy Hybrid Data Security alebo konfigurácie ISO použitej pre schému bude mať za následok NENÁVRATNÚ STRATU zákazníckeho obsahu. Aby sa predišlo takejto strate, sú povinné nasledujúce postupy:
Ak havária spôsobí, že nasadenie HDS v primárnom dátovom centre sa stane nedostupným, podľa tohto postupu manuálne prepnite na pohotovostné dátové centrum.
| 1 | Spustite nástroj HDS Setup a postupujte podľa krokov uvedených v Vytvorte ISO konfigurácie pre hostiteľov HDS. | ||
| 2 | Po nakonfigurovaní servera Syslogd kliknite na Pokročilé nastavenia | ||
| 3 | Na Pokročilé nastavenia pridajte konfiguráciu nižšie alebo odstráňte
| ||
| 4 | Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť. | ||
| 5 | Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. | ||
| 6 | V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na VM a kliknite Upraviť nastavenia.. | ||
| 7 | Kliknite Upraviť nastavenia >CD/DVD mechanika 1 a vyberte Datastore ISO File.
| ||
| 8 | Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy. | ||
| 9 | Opakujte proces pre každý uzol v pohotovostnom dátovom centre.
|
Čo urobiť ďalej
(Voliteľné) Odpojte ISO po konfigurácii HDS
Štandardná konfigurácia HDS beží s namontovaným ISO. Niektorí zákazníci však uprednostňujú neponechať súbory ISO nepretržite pripojené. Súbor ISO môžete odpojiť potom, čo všetky uzly HDS prevezmú novú konfiguráciu.
Na vykonanie zmien v konfigurácii stále používate súbory ISO. Keď vytvoríte nový ISO alebo aktualizujete ISO pomocou nástroja Setup Tool, musíte aktualizovaný ISO pripojiť na všetky vaše uzly HDS. Keď všetky vaše uzly zachytia zmeny konfigurácie, môžete ISO znova odpojiť pomocou tohto postupu.
Predtým ako začneš
Inovujte všetky svoje uzly HDS na verziu 2021.01.22.4720 alebo novšiu.
| 1 | Vypnite jeden z uzlov HDS. |
| 2 | V serverovom zariadení vCenter vyberte uzol HDS. |
| 3 | Vyberte si a zrušte začiarknutie Súbor ISO úložiska údajov. |
| 4 | Zapnite uzol HDS a uistite sa, že aspoň 20 minút nie sú žiadne alarmy. |
| 5 | Postup opakujte pre každý uzol HDS. |
Zobraziť upozornenia a riešenie problémov
Nasadenie Hybrid Data Security sa považuje za nedostupné, ak sú všetky uzly v klastri nedostupné alebo klaster pracuje tak pomaly, že si vyžaduje časový limit. Ak používatelia nemôžu dosiahnuť váš klaster Hybrid Data Security, zaznamenajú nasledujúce príznaky:
Nie je možné vytvoriť nové medzery (nemožno vytvoriť nové kľúče)
Správy a názvy priestorov sa nepodarilo dešifrovať pre:
Noví používatelia pridaní do priestoru (nemožno načítať kľúče)
Existujúci používatelia v priestore používajúci nového klienta (nemožno načítať kľúče)
Existujúci používatelia v priestore budú naďalej úspešne fungovať, pokiaľ budú mať ich klienti vyrovnávaciu pamäť šifrovacích kľúčov
Je dôležité, aby ste správne monitorovali svoj klaster Hybrid Data Security a okamžite riešili všetky výstrahy, aby ste predišli prerušeniu služby.
Upozornenia
Ak sa vyskytne problém s nastavením Hybrid Data Security, Control Hub zobrazí upozornenia správcovi organizácie a odošle e-maily na nakonfigurovanú e-mailovú adresu. Výstrahy pokrývajú mnoho bežných scenárov.
Upozornenie | Akcia |
|---|---|
Zlyhanie prístupu k lokálnej databáze. |
Skontrolujte chyby databázy alebo problémy s lokálnou sieťou. |
Zlyhanie pripojenia k lokálnej databáze. |
Skontrolujte, či je databázový server dostupný a či boli v konfigurácii uzla použité správne poverenia servisného účtu. |
Zlyhanie prístupu k cloudovej službe. |
Skontrolujte, či majú uzly prístup k serverom Webex, ako je uvedené v Požiadavky na externé pripojenie. |
Obnovuje sa registrácia cloudovej služby. |
Registrácia do cloudových služieb bola zrušená. Prebieha obnova registrácie. |
Registrácia cloudovej služby bola zrušená. |
Registrácia do cloudových služieb bola ukončená. Služba sa vypína. |
Služba ešte nie je aktivovaná. |
Aktivujte skúšobnú verziu alebo dokončite presun skúšky do produkcie. |
Nakonfigurovaná doména sa nezhoduje s certifikátom servera. |
Uistite sa, že váš certifikát servera sa zhoduje s nakonfigurovanou doménou aktivácie služby. Najpravdepodobnejšou príčinou je, že certifikát CN bol nedávno zmenený a teraz sa líši od CN, ktorý bol použitý počas počiatočného nastavenia. |
Nepodarilo sa overiť v cloudových službách. |
Skontrolujte presnosť a možné vypršanie platnosti poverení servisného účtu. |
Nepodarilo sa otvoriť súbor lokálneho úložiska kľúčov. |
Skontrolujte integritu a presnosť hesla v lokálnom súbore skladu kľúčov. |
Certifikát lokálneho servera je neplatný. |
Skontrolujte dátum vypršania platnosti certifikátu servera a potvrďte, že bol vydaný dôveryhodnou certifikačnou autoritou. |
Nie je možné uverejniť metriky. |
Skontrolujte prístup k lokálnej sieti k externým cloudovým službám. |
Adresár /media/configdrive/hds neexistuje. |
Skontrolujte konfiguráciu pripojenia ISO na virtuálnom hostiteľovi. Overte, či súbor ISO existuje, či je nakonfigurovaný na pripojenie pri reštarte a či sa úspešne pripojí. |
Riešenie problémov so zabezpečením hybridných údajov
| 1 | Skontrolujte si v Control Hub všetky upozornenia a opravte všetky položky, ktoré tam nájdete. |
| 2 | Skontrolujte výstup servera syslog pre aktivitu z nasadenia Hybrid Data Security. |
| 3 | Kontakt Podpora Cisco. |
Známe problémy s hybridnou bezpečnosťou dát
Ak vypnete svoj klaster Hybrid Data Security (odstránením v Control Hub alebo vypnutím všetkých uzlov), stratíte svoj konfiguračný súbor ISO alebo stratíte prístup k databáze úložiska kľúčov, používatelia vašej aplikácie Webex App už nebudú môcť používať priestory pod svojimi ľuďmi. zoznam, ktorý bol vytvorený pomocou kľúčov z vášho KMS. Platí to pre skúšobné aj produkčné nasadenia. V súčasnosti nemáme riešenie ani opravu tohto problému a žiadame vás, aby ste nevypínali svoje služby HDS, keď budú spracovávať aktívne používateľské účty.
Klient, ktorý má existujúce pripojenie ECDH ku KMS, udržiava toto pripojenie určitý čas (pravdepodobne jednu hodinu). Keď sa používateľ stane členom skúšobnej verzie Hybrid Data Security, klient používateľa naďalej používa existujúce pripojenie ECDH, kým nevyprší časový limit. Prípadne sa používateľ môže odhlásiť a znova prihlásiť do aplikácie Webex App, aby aktualizoval umiestnenie, ktoré aplikácia kontaktuje pre šifrovacie kľúče.
Rovnaké správanie nastane, keď presuniete skúšobnú verziu do produkcie organizácie. Všetci neskúšobní používatelia s existujúcimi pripojeniami ECDH k predchádzajúcim službám zabezpečenia údajov budú tieto služby naďalej používať, kým sa znovu nedohodne pripojenie ECDH (prostredníctvom časového limitu alebo odhlásením a opätovným prihlásením).
Na vygenerovanie súboru PKCS12 použite OpenSSL
Predtým ako začneš
OpenSSL je jeden nástroj, ktorý možno použiť na vytvorenie súboru PKCS12 v správnom formáte na načítanie v nástroji HDS Setup Tool. Existujú aj iné spôsoby, ako to urobiť, a my nepodporujeme ani nepresadzujeme jeden spôsob oproti druhému.
Ak sa rozhodnete použiť OpenSSL, poskytujeme tento postup ako návod, ktorý vám pomôže vytvoriť súbor, ktorý spĺňa požiadavky certifikátu X.509 v Požiadavky na certifikát X.509. Než budete pokračovať, pochopte tieto požiadavky.
Nainštalujte OpenSSL v podporovanom prostredí. Pozri https://www.openssl.org pre softvér a dokumentáciu.
Vytvorte súkromný kľúč.
Tento postup začnite, keď dostanete certifikát servera od certifikačnej autority (CA).
| 1 | Keď dostanete certifikát servera od vašej CA, uložte ho ako |
| 2 | Zobrazte certifikát ako text a overte podrobnosti.
|
| 3 | Pomocou textového editora vytvorte súbor zväzku certifikátov s názvom
|
| 4 | Vytvorte súbor .p12 s popisným názvom
|
| 5 | Skontrolujte podrobnosti certifikátu servera. |
Čo urobiť ďalej
Návrat do Vyplňte Predpoklady pre hybridnú bezpečnosť údajov. Budete používať hdsnode.p12 súbor a heslo, ktoré ste preň nastavili Vytvorte ISO konfigurácie pre hostiteľov HDS.
| Tieto súbory môžete znova použiť na vyžiadanie nového certifikátu, keď platnosť pôvodného certifikátu vyprší. |
Prevádzka medzi uzlami HDS a cloudom
Odchádzajúca návštevnosť zberu metrík
Uzly Hybrid Data Security odosielajú určité metriky do cloudu Webex. Patria sem systémové metriky pre maximálnu haldu, využitú haldu, zaťaženie procesora a počet vlákien; metriky na synchrónnych a asynchrónnych vláknach; metriky výstrah zahŕňajúce prah šifrovacích pripojení, latenciu alebo dĺžku frontu požiadaviek; metriky na dátovom úložisku; a metriky šifrovaného pripojenia. Uzly posielajú zašifrovaný kľúčový materiál cez kanál mimo pásma (oddelený od požiadavky).
Prichádzajúca premávka
Uzly Hybrid Data Security prijímajú nasledujúce typy prichádzajúcej prevádzky z cloudu Webex:
Šifrovacie požiadavky od klientov, ktoré sú smerované šifrovacou službou
Aktualizácie softvéru uzla
Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát
Websocket sa nemôže pripojiť cez Squid Proxy
Proxy serverov chobotnice, ktoré kontrolujú prenos HTTPS, môžu zasahovať do vytvorenia webovej zásuvky ( wss:) pripojenia, ktoré vyžaduje Hybrid Data Security. Tieto časti poskytujú návod, ako nakonfigurovať rôzne verzie Squid na ignorovanie wss: prevádzky pre správne fungovanie služieb.
Kalmáre 4 a 5
Pridajte on_unsupported_protocol smernica k squid.conf:
on_unsupported_protocol tunnel allKalmáre 3.5.27
Hybridnú bezpečnosť dát sme úspešne otestovali s nasledujúcimi pravidlami squid.conf. Tieto pravidlá sa môžu meniť, pretože vyvíjame funkcie a aktualizujeme cloud Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allNové a zmenené informácie
Dátum | Vykonané zmeny | ||
|---|---|---|---|
20. októbra 2023 |
| ||
7. augusta 2023 |
| ||
23. mája 2023 |
| ||
6. decembra 2022 |
| ||
23. novembra 2022 |
| ||
13. októbra 2021 | Pred inštaláciou uzlov HDS musí Docker Desktop spustiť inštalačný program. Pozri Požiadavky na plochu Docker. | ||
24. júna 2021 | Upozorňujeme, že súbor so súkromným kľúčom a CSR môžete znova použiť na vyžiadanie ďalšieho certifikátu. Pozri Na vygenerovanie súboru PKCS12 použite OpenSSL pre podrobnosti. | ||
| 30. apríla 2021 | Požiadavka VM na lokálny pevný disk sa zmenila na 30 GB. Pozri Požiadavky na virtuálny hostiteľ pre podrobnosti. | ||
24. februára 2021 | HDS Setup Tool teraz môže bežať za serverom proxy. Pozri Vytvorte ISO konfigurácie pre hostiteľov HDS pre podrobnosti. | ||
2. februára 2021 | HDS teraz môže bežať bez pripojeného súboru ISO. Pozri (Voliteľné) Odpojte ISO po konfigurácii HDS pre podrobnosti. | ||
11. januára 2021 | Pridané informácie o nástroji HDS Setup a proxy serveroch Vytvorte ISO konfigurácie pre hostiteľov HDS. | ||
13. októbra 2020 | Aktualizované Stiahnite si inštalačné súbory. | ||
8. októbra 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS a Zmeňte konfiguráciu uzla s príkazmi pre prostredia FedRAMP. | ||
14. augusta 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS a Zmeňte konfiguráciu uzla so zmenami v procese prihlasovania. | ||
5. augusta 2020 | Aktualizované Otestujte svoje nasadenie hybridného zabezpečenia dát pre zmeny v protokolových správach. Aktualizované Požiadavky na virtuálny hostiteľ na odstránenie maximálneho počtu hostiteľov. | ||
16. júna 2020 | Aktualizované Odstráňte uzol pre zmeny v používateľskom rozhraní Control Hub. | ||
4. júna 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS pre zmeny v rozšírených nastaveniach, ktoré môžete nastaviť. | ||
29. mája 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS ukázať, že TLS môžete použiť aj s databázami SQL Server, zmenami používateľského rozhrania a ďalšími vysvetleniami. | ||
5. mája 2020 | Aktualizované Požiadavky na virtuálny hostiteľ ukázať novú požiadavku ESXi 6.5. | ||
21. apríla 2020 | Aktualizované Požiadavky na externé pripojenie s novými hostiteľmi Americas CI. | ||
1. apríla 2020 | Aktualizované Požiadavky na externé pripojenie s informáciami o regionálnych hostiteľoch CI. | ||
| 20. februára 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS s informáciami o novej voliteľnej obrazovke rozšírených nastavení v nástroji HDS Setup Tool. | ||
| 4. februára 2020 | Aktualizované Požiadavky na proxy server. | ||
| 16. decembra 2019 | Objasnená požiadavka, aby fungoval režim zablokovaného externého rozlíšenia DNS Požiadavky na proxy server. | ||
| 19. novembra 2019 | Pridané informácie o režime zablokovaného externého rozlíšenia DNS v nasledujúcich častiach: | ||
8. novembra 2019 | Teraz môžete konfigurovať sieťové nastavenia pre uzol počas nasadzovania OVA a nie neskôr. Podľa toho aktualizovali nasledujúce sekcie:
| ||
6. septembra 2019 | Pridaný SQL Server Standard do Požiadavky na databázový server. | ||
| 29. augusta 2019 | Pridané Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát príloha s návodom na konfiguráciu proxy serverov Squid tak, aby ignorovali prevádzku websocket pre správnu činnosť. | ||
| 20. augusta 2019 | Pridané a aktualizované sekcie pokrývajúce podporu proxy pre komunikáciu uzlov Hybrid Data Security do cloudu Webex. Ak chcete získať prístup len k obsahu podpory proxy pre existujúce nasadenie, pozrite si Podpora proxy pre hybridné zabezpečenie dát a Webex Video Mesh pomocný článok. | ||
| 13. júna 2019 | Aktualizované Skúšobný postup produkčných úloh s pripomienkou na synchronizáciu HdsTrialGroup skupinový objekt pred spustením skúšobnej verzie, ak vaša organizácia používa synchronizáciu adresárov. | ||
| 6. marca 2019 |
| ||
| 28. februára 2019 |
| ||
| 26. februára 2019 |
| ||
24. januára 2019 |
| ||
| 5. novembra 2018 |
| ||
| 19. októbra 2018 |
| ||
31. júla 2018 |
| ||
| 21. mája 2018 | Zmenená terminológia, aby odrážala rebranding Cisco Spark:
| ||
| 11. apríla 2018 |
| ||
| 22. februára 2018 |
| ||
| 15. február 2018 |
| ||
| 18. januára 2018 |
| ||
2. novembra 2017 |
| ||
18. augusta 2017 | Prvýkrát zverejnené |
Prehľad zabezpečenia hybridných údajov
Od prvého dňa bola bezpečnosť údajov prvoradá pri navrhovaní Aplikácia Webex. Základným kameňom tohto zabezpečenia je komplexné šifrovanie obsahu, ktoré umožňuje Aplikácia Webex klientov interagujúcich so službou správy kľúčov (KMS). KMS je zodpovedný za vytváranie a správu kryptografických kľúčov, ktoré klienti používajú na dynamické šifrovanie a dešifrovanie správ a súborov.
Štandardne všetky Aplikácia Webex zákazníci získajú end-to-end šifrovanie s dynamickými kľúčmi uloženými v cloudovom KMS v oblasti bezpečnosti Cisco. Hybrid Data Security presúva KMS a ďalšie funkcie súvisiace so zabezpečením do vášho podnikového dátového centra, takže kľúče k vášmu šifrovanému obsahu nemá nikto okrem vás.
Architektúra bezpečnostnej sféry
Cloudová architektúra Webex oddeľuje rôzne typy služieb do samostatných oblastí alebo dôveryhodných domén, ako je znázornené nižšie.
Aby sme lepšie porozumeli Hybrid Data Security, pozrime sa najprv na tento čistý cloud, kde Cisco poskytuje všetky funkcie vo svojich cloudových sférach. Služba identity, jediné miesto, kde môžu používatelia priamo korelovať so svojimi osobnými údajmi, ako je e-mailová adresa, je logicky a fyzicky oddelená od oblasti zabezpečenia v dátovom centre B. Obe sú zase oddelené od oblasti, kde je v konečnom dôsledku uložený šifrovaný obsah. , v dátovom centre C.
V tomto diagrame je klientom aplikácia Webex, ktorá beží na notebooku používateľa a je overená službou identity. Keď používateľ vytvorí správu na odoslanie do priestoru, vykonajú sa tieto kroky:
Klient vytvorí zabezpečené spojenie so službou správy kľúčov (KMS), potom požiada o kľúč na zašifrovanie správy. Zabezpečené pripojenie používa ECDH a KMS šifruje kľúč pomocou hlavného kľúča AES-256.
Správa je pred opustením klienta zašifrovaná. Klient ho odošle do indexovacej služby, ktorá vytvorí šifrované indexy vyhľadávania na pomoc pri budúcom vyhľadávaní obsahu.
Zašifrovaná správa sa odošle do služby súladu na kontrolu súladu.
Zašifrovaná správa je uložená v úložnej sfére.
Keď nasadíte Hybrid Data Security, presuniete funkcie bezpečnostnej sféry (KMS, indexovanie a súlad) do vášho lokálneho dátového centra. Ostatné cloudové služby, ktoré tvoria Webex (vrátane ukladania identity a obsahu), zostávajú v sférach spoločnosti Cisco.
Spolupráca s inými organizáciami
Používatelia vo vašej organizácii môžu pravidelne používať aplikáciu Webex na spoluprácu s externými účastníkmi v iných organizáciách. Keď jeden z vašich používateľov požaduje kľúč pre priestor, ktorý vlastní vaša organizácia (pretože ho vytvoril jeden z vašich používateľov), váš KMS odošle kľúč klientovi cez zabezpečený kanál ECDH. Keď však kľúč priestoru vlastní iná organizácia, váš KMS nasmeruje požiadavku do cloudu Webex cez samostatný kanál ECDH, aby získal kľúč z príslušného KMS, a potom vráti kľúč vášmu používateľovi na pôvodnom kanáli.
Služba KMS spustená v organizácii A overuje pripojenia ku KMS v iných organizáciách pomocou x.509 PKI certifikátov. Pozri Pripravte si prostredie podrobnosti o generovaní x.509 certifikátu na použitie s nasadením Hybrid Data Security.
Očakávania týkajúce sa nasadenia hybridnej bezpečnosti údajov
Nasadenie Hybrid Data Security si vyžaduje značné nasadenie zákazníkov a uvedomenie si rizík, ktoré so sebou prináša vlastníctvo šifrovacích kľúčov.
Ak chcete nasadiť Hybrid Data Security, musíte poskytnúť:
Bezpečné dátové centrum v krajine, ktorá je a podporované miesto pre plány Cisco Webex Teams.
Vybavenie, softvér a sieťový prístup popísané v Pripravte si prostredie.
Úplná strata buď konfiguračného ISO, ktoré ste vytvorili pre Hybrid Data Security, alebo databázy, ktorú poskytnete, bude mať za následok stratu kľúčov. Strata kľúča bráni používateľom dešifrovať obsah priestoru a ďalšie šifrované údaje v aplikácii Webex. Ak sa tak stane, môžete vytvoriť nové nasadenie, ale bude viditeľný iba nový obsah. Aby ste predišli strate prístupu k údajom, musíte:
Spravujte zálohovanie a obnovu databázy a konfiguračného ISO.
Buďte pripravení vykonať rýchlu obnovu po havárii, ak dôjde ku katastrofe, ako je zlyhanie databázového disku alebo katastrofa dátového centra.
| Neexistuje žiadny mechanizmus na presun kľúčov späť do cloudu po nasadení HDS. |
Proces nastavenia na vysokej úrovni
Tento dokument pokrýva nastavenie a správu nasadenia Hybrid Data Security:
Nastavte Hybridné zabezpečenie dát—To zahŕňa prípravu požadovanej infraštruktúry a inštaláciu softvéru Hybrid Data Security, testovanie vášho nasadenia s podskupinou používateľov v skúšobnom režime a po dokončení testovania prechod do produkcie. To prevedie celú organizáciu na používanie vášho klastra Hybrid Data Security na bezpečnostné funkcie.
Fázy nastavenia, skúšania a výroby sú podrobne opísané v nasledujúcich troch kapitolách.
Udržujte svoje nasadenie Hybrid Data Security— Cloud Webex automaticky poskytuje priebežné aktualizácie. Vaše IT oddelenie môže poskytnúť podporu prvej úrovne pre toto nasadenie a podľa potreby zapojiť podporu Cisco. V Control Hub môžete používať upozornenia na obrazovke a nastaviť upozornenia prostredníctvom e-mailu.
Pochopte bežné upozornenia, kroky na riešenie problémov a známe problémy—Ak narazíte na problémy s nasadením alebo používaním Hybrid Data Security, posledná kapitola tejto príručky a príloha Známe problémy vám môžu pomôcť určiť a vyriešiť problém.
Hybridný model nasadenia zabezpečenia dát
V rámci podnikového dátového centra nasadíte Hybrid Data Security ako jeden klaster uzlov na samostatných virtuálnych hostiteľoch. Uzly komunikujú s cloudom Webex prostredníctvom zabezpečených webových zásuviek a zabezpečeného HTTP.
Počas procesu inštalácie vám poskytneme súbor OVA na nastavenie virtuálneho zariadenia na VM, ktoré poskytnete. Nástroj HDS Setup Tool použijete na vytvorenie vlastného konfiguračného súboru ISO klastra, ktorý pripojíte na každý uzol. Klaster Hybrid Data Security využíva váš poskytnutý server Syslogd a databázu PostgreSQL alebo Microsoft SQL Server. (Syslogd a podrobnosti o pripojení k databáze nakonfigurujete v nástroji HDS Setup Tool.)
Minimálny počet uzlov, ktoré môžete mať v klastri, sú dva. Odporúčame aspoň tri a môžete ich mať až päť. Viacnásobné uzly zaisťujú, že služba nebude prerušená počas aktualizácie softvéru alebo inej činnosti údržby na uzle. (Cloud Webex aktualizuje naraz iba jeden uzol.)
Všetky uzly v klastri pristupujú k rovnakému úložisku údajov kľúčov a zaznamenávajú aktivitu na rovnaký server syslog. Samotné uzly sú bez stavu a spracovávajú kľúčové požiadavky v režime round-robin podľa pokynov cloudu.
Uzly sa stanú aktívnymi, keď ich zaregistrujete v Control Hub. Ak chcete vyradiť jednotlivý uzol z prevádzky, môžete ho zrušiť a neskôr v prípade potreby znova zaregistrovať.
Podporujeme iba jeden klaster na organizáciu.
Skúšobný režim hybridnej bezpečnosti dát
Po nastavení nasadenia Hybrid Data Security ho najskôr vyskúšate so skupinou pilotných používateľov. Počas skúšobného obdobia títo používatelia používajú vašu lokálnu doménu Hybrid Data Security na šifrovacie kľúče a ďalšie služby v oblasti zabezpečenia. Ostatní vaši používatelia naďalej používajú oblasť zabezpečenia cloudu.
Ak sa rozhodnete nepokračovať v nasadzovaní počas skúšobného obdobia a službu deaktivujete, pilotní používatelia a všetci používatelia, s ktorými počas skúšobného obdobia interagovali vytvorením nových priestorov, stratia prístup k správam a obsahu. V aplikácii Webex sa im zobrazí „Táto správa sa nedá dešifrovať“.
Ak ste spokojní s tým, že vaše nasadenie funguje dobre pre skúšobných používateľov a ste pripravení rozšíriť Hybrid Data Security na všetkých svojich používateľov, presuniete nasadenie do produkcie. Pilotní používatelia majú naďalej prístup ku kľúčom, ktoré sa používali počas skúšobnej verzie. Nemôžete sa však pohybovať tam a späť medzi produkčným režimom a pôvodnou skúšobnou verziou. Ak musíte službu deaktivovať, napríklad vykonať obnovu po havárii, pri opätovnej aktivácii musíte spustiť novú skúšobnú verziu a nastaviť skupinu pilotných používateľov pre novú skúšobnú verziu, než sa vrátite späť do produkčného režimu. Či si používatelia v tomto bode zachovajú prístup k údajom, závisí od toho, či ste úspešne udržiavali zálohy úložiska kľúčových údajov a konfiguračného súboru ISO pre uzly Hybrid Data Security vo vašom klastri.
Pohotovostné dátové centrum pre obnovu po havárii
Počas nasadenia nastavíte zabezpečené pohotovostné dátové centrum. V prípade havárie dátového centra môžete manuálne zlyhať nasadenie do pohotovostného dátového centra.
Databázy aktívnych a pohotovostných dátových centier sú navzájom synchronizované, čo minimalizuje čas potrebný na vykonanie núdzového prepnutia. Súbor ISO pohotovostného dátového centra sa aktualizuje o ďalšie konfigurácie, ktoré zaisťujú, že uzly sú registrované v organizácii, ale nebudú spracovávať prevádzku. Preto uzly pohotovostného dátového centra zostávajú vždy aktuálne s najnovšou verziou softvéru HDS.
| Aktívne uzly Hybrid Data Security musia byť vždy v rovnakom údajovom centre ako aktívny databázový server. |
Nastavte pohotovostné dátové centrum pre obnovu po havárii
Ak chcete nakonfigurovať súbor ISO pohotovostného dátového centra, postupujte podľa nasledujúcich krokov:
Predtým ako začneš
Pohotovostné dátové centrum by malo odrážať produkčné prostredie VM a záložnú databázu PostgreSQL alebo Microsoft SQL Server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM. (Pozri Pohotovostné dátové centrum pre obnovu po havárii pre prehľad tohto modelu núdzového prepnutia.)
Uistite sa, že je povolená synchronizácia databázy medzi databázou aktívnych a pasívnych uzlov klastra.
| 1 | Spustite nástroj HDS Setup a postupujte podľa krokov uvedených v Vytvorte ISO konfigurácie pre hostiteľov HDS.
| ||
| 2 | Po nakonfigurovaní servera Syslogd kliknite na Pokročilé nastavenia | ||
| 3 | Na Pokročilé nastavenia pridajte konfiguráciu nižšie, aby ste umiestnili uzol do pasívneho režimu. V tomto režime bude uzol zaregistrovaný v organizácii a pripojený ku cloudu, ale nebude spracovávať žiadny prenos.
| ||
| 4 | Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť. | ||
| 5 | Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. | ||
| 6 | V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na VM a kliknite Upraviť nastavenia.. | ||
| 7 | Kliknite Upraviť nastavenia >CD/DVD mechanika 1 a vyberte Datastore ISO File.
| ||
| 8 | Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy. | ||
| 9 | Opakujte proces pre každý uzol v pohotovostnom dátovom centre.
|
Čo urobiť ďalej
Po konfigurácii passiveMode v súbore ISO a jeho uložením môžete vytvoriť ďalšiu kópiu súboru ISO bez súboru passiveMode konfiguráciu a uložte ju na bezpečnom mieste. Táto kópia súboru ISO bez passiveMode nakonfigurovaný môže pomôcť pri rýchlom procese núdzového prepnutia počas obnovy po havárii. Pozri Obnova po havárii pomocou pohotovostného dátového centra pre podrobný postup núdzového prepnutia.
Podpora proxy
Hybrid Data Security podporuje explicitné, transparentné kontrolné a nekontrolujúce proxy. Tieto servery proxy môžete prepojiť s nasadením, aby ste mohli zabezpečiť a monitorovať prevádzku z podniku do cloudu. Rozhranie správcu platformy na uzloch môžete použiť na správu certifikátov a na kontrolu celkového stavu pripojenia po nastavení servera proxy na uzloch.
Uzly Hybrid Data Security podporujú nasledujúce možnosti proxy:
Žiadny proxy—Predvolené, ak na integráciu servera proxy nepoužívate nastavenie uzla HDS Trust Store & Proxy. Nevyžaduje sa žiadna aktualizácia certifikátu.
Transparentný nekontrolujúci splnomocnenec– Uzly nie sú nakonfigurované na používanie špecifickej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.
Transparentné tunelovanie alebo kontrola proxy– Uzly nie sú nakonfigurované na používanie špecifickej adresy servera proxy. Na uzloch nie sú potrebné žiadne zmeny konfigurácie HTTP alebo HTTPS. Uzly však potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).
Explicitný proxy—S explicitným proxy, poviete HDS uzlom, ktorý proxy server a overovaciu schému použiť. Ak chcete nakonfigurovať explicitný server proxy, musíte do každého uzla zadať nasledujúce informácie:
Proxy IP/FQDN– Adresa, ktorú možno použiť na spojenie so zariadením proxy.
Port proxy—Číslo portu, ktoré server proxy používa na počúvanie prevádzky cez proxy.
Proxy protokol—V závislosti od toho, čo váš proxy server podporuje, vyberte si z nasledujúcich protokolov:
HTTP – zobrazuje a riadi všetky požiadavky, ktoré klient odosiela.
HTTPS – poskytuje kanál pre server. Klient prijme a overí certifikát servera.
autentický typ— Vyberte si z nasledujúcich typov autentifikácie:
žiadne— Nevyžaduje sa žiadna ďalšia autentifikácia.
Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.
Základné— Používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.
Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.
Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.
Digest– Používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.
Dostupné, iba ak vyberiete HTTPS ako protokol proxy.
Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.
Príklad uzlov na zabezpečenie hybridných dát a proxy
Tento diagram ukazuje príklad spojenia medzi Hybrid Data Security, sieťou a proxy. Pre možnosti transparentnej kontroly a explicitnej kontroly HTTPS proxy musí byť na serveri proxy aj na uzloch Hybrid Data Security nainštalovaný rovnaký koreňový certifikát.
Blokovaný režim externého rozlíšenia DNS (explicitné konfigurácie proxy)
Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. V nasadeniach s explicitnými konfiguráciami proxy, ktoré neumožňujú externé rozlíšenie DNS pre interných klientov, ak uzol nemôže dotazovať servery DNS, automaticky prejde do režimu blokovaného externého riešenia DNS. V tomto režime môže pokračovať registrácia uzla a ďalšie testy pripojenia proxy.
Požiadavky na hybridnú bezpečnosť dát
Požiadavky na licenciu Cisco Webex
Nasadenie Hybrid Data Security:
Musíte mať balík Pro Pack pre Cisco Webex Control Hub. (Pozri https://www.cisco.com/go/pro-pack.)
Požiadavky na plochu Docker
Pred inštaláciou uzlov HDS potrebujete Docker Desktop na spustenie inštalačného programu. Docker nedávno aktualizoval svoj licenčný model. Vaša organizácia môže vyžadovať platené predplatné pre Docker Desktop. Podrobnosti nájdete v blogovom príspevku Docker, " Docker aktualizuje a rozširuje naše predplatné produktov".
Požiadavky na certifikát X.509
Certifikačný reťazec musí spĺňať nasledujúce požiadavky:
Požiadavka | Podrobnosti |
|---|---|
| V predvolenom nastavení dôverujeme CA v zozname Mozilly (s výnimkou WoSign a StartCom) na https://wiki.mozilla.org/CA:IncludedCAs. |
| CN nemusí byť dosiahnuteľné alebo živého hostiteľa. Odporúčame vám použiť názov, ktorý odráža vašu organizáciu, napr. KN nesmie obsahovať * (zástupný znak). CN sa používa na overenie uzlov Hybrid Data Security pre klientov Webex App. Všetky uzly Hybrid Data Security vo vašom klastri používajú rovnaký certifikát. Váš KMS sa identifikuje pomocou domény CN, nie akejkoľvek domény, ktorá je definovaná v poliach x.509v3 SAN. Po zaregistrovaní uzla s týmto certifikátom nepodporujeme zmenu názvu domény CN. Vyberte doménu, ktorá sa môže vzťahovať na skúšobné aj produkčné nasadenie. |
| Softvér KMS nepodporuje podpisy SHA1 na overenie pripojení k KMS iných organizácií. |
| Na zmenu formátu certifikátu môžete použiť konvertor, ako je OpenSSL. Pri spustení nástroja HDS Setup Tool budete musieť zadať heslo. |
Softvér KMS nevynucuje používanie kľúčov ani rozšírené obmedzenia používania kľúčov. Niektoré certifikačné autority vyžadujú, aby sa na každý certifikát aplikovali rozšírené obmedzenia používania kľúčov, ako je autentifikácia servera. Je v poriadku použiť overenie servera alebo iné nastavenia.
Požiadavky na virtuálny hostiteľ
Virtuálni hostitelia, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri, majú nasledujúce požiadavky:
Aspoň dvaja oddelení hostitelia (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre
VMware ESXi 6.5 (alebo novší) nainštalovaný a spustený.
Ak máte staršiu verziu ESXi, musíte vykonať inováciu.
Minimálne 4 vCPU, 8 GB hlavnej pamäte, 30 GB miesta na lokálnom pevnom disku na server
Požiadavky na databázový server
| Vytvorte novú databázu pre uloženie kľúčov. Nepoužívajte predvolenú databázu. Aplikácie HDS, keď sú nainštalované, vytvoria schému databázy. |
Pre databázový server sú dve možnosti. Požiadavky na každú z nich sú nasledovné:
PostgreSQL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložný priestor) | Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložný priestor) |
Softvér HDS momentálne inštaluje nasledujúce verzie ovládačov na komunikáciu s databázovým serverom:
PostgreSQL | Microsoft SQL Server |
|---|---|
Postgres JDBC ovládač 42.2.5 | Ovládač SQL Server JDBC 4.6 Táto verzia ovládača podporuje SQL Server Always On ( Vždy v prípade zlyhania klastra a Vždy zapnuté skupiny dostupnosti). |
Dodatočné požiadavky na overenie systému Windows voči Microsoft SQL Server
Ak chcete, aby uzly HDS používali autentifikáciu systému Windows na získanie prístupu k vašej databáze úložiska kľúčov na serveri Microsoft SQL Server, potrebujete vo svojom prostredí nasledujúcu konfiguráciu:
HDS uzly, infraštruktúra Active Directory a MS SQL Server musia byť synchronizované s NTP.
Účet Windows, ktorý poskytnete uzlom HDS, musí mať prístup k databáze na čítanie/zápis.
Servery DNS, ktoré poskytujete uzlom HDS, musia byť schopné vyriešiť vaše Centrum distribúcie kľúčov (KDC).
Inštanciu databázy HDS môžete zaregistrovať na svojom serveri Microsoft SQL Server ako hlavný názov služby (SPN) vo vašom adresári Active Directory. Pozri Zaregistrujte hlavný názov služby pre pripojenia Kerberos.
Nástroj na nastavenie HDS, spúšťač HDS a miestne KMS musia na prístup k databáze kľúčov používať overenie systému Windows. Používajú podrobnosti z vašej konfigurácie ISO na vytvorenie SPN pri požadovaní prístupu s overením Kerberos.
Požiadavky na externé pripojenie
Nakonfigurujte svoj firewall tak, aby umožňoval nasledujúce pripojenie pre aplikácie HDS:
Aplikácia | Protokol | Port | Smer z App | Destinácia |
|---|---|---|---|---|
Hybridné uzly zabezpečenia údajov | TCP | 443 | Odchádzajúce HTTPS a WSS |
|
Nástroj na nastavenie HDS | TCP | 443 | Odchádzajúce HTTPS |
|
| Uzly Hybrid Data Security pracujú s prekladom sieťového prístupu (NAT) alebo za bránou firewall, pokiaľ NAT alebo brána firewall umožňuje požadované odchádzajúce pripojenia k destináciám domény v predchádzajúcej tabuľke. Pre pripojenia prichádzajúce do uzlov Hybrid Data Security by nemali byť z internetu viditeľné žiadne porty. V rámci vášho dátového centra potrebujú klienti prístup k uzlom Hybrid Data Security na portoch TCP 443 a 22 na administratívne účely. |
Adresy URL hostiteľov Common Identity (CI) sú špecifické pre daný región. Toto sú súčasní hostitelia CI:
región | Spoločné adresy URL hostiteľa identity |
|---|---|
Ameriky |
|
Európska únia |
|
Kanada |
|
Požiadavky na proxy server
Oficiálne podporujeme nasledujúce proxy riešenia, ktoré sa dajú integrovať s vašimi uzlami Hybrid Data Security.
Transparentný proxy – Cisco Web Security Appliance (WSA).
Explicitný proxy-Squid.
Proxy serverov chobotnice, ktoré kontrolujú prenos HTTPS, môžu zasahovať do vytvorenia webovej zásuvky (wss:) spojenia. Ak chcete tento problém obísť, pozrite si Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát.
Pre explicitné servery proxy podporujeme nasledujúce kombinácie typov overenia:
Žiadna autentifikácia pomocou HTTP alebo HTTPS
Základná autentifikácia pomocou HTTP alebo HTTPS
Digest overenie iba s HTTPS
Pre transparentný kontrolný proxy server alebo explicitný proxy server HTTPS musíte mať kópiu koreňového certifikátu servera proxy. Pokyny na nasadenie v tejto príručke vám povedia, ako nahrať kópiu do dôveryhodných obchodov uzlov Hybrid Data Security.
Sieť, ktorá hostí uzly HDS, musí byť nakonfigurovaná tak, aby vynútila smerovanie odchádzajúcej prevádzky TCP na porte 443 cez server proxy.
Proxy, ktoré kontrolujú webovú prevádzku, môžu narúšať pripojenia webových soketov. Ak sa vyskytne tento problém, obíďte (nie kontrolujte) premávku na
wbx2.comaciscospark.comproblém vyrieši.
Vyplňte Predpoklady pre hybridnú bezpečnosť údajov
| 1 | Uistite sa, že vaša organizácia Webex má povolený balík Pro Pack pre Cisco Webex Control Hub a získajte prihlasovacie údaje účtu s úplnými právami správcu organizácie. Ak potrebujete pomoc s týmto procesom, kontaktujte svojho partnera Cisco alebo account manažéra. | ||
| 2 | Vyberte názov domény pre svoje nasadenie HDS (napr. | ||
| 3 | Pripravte si identických virtuálnych hostiteľov, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri. Potrebujete aspoň dvoch samostatných hostiteľov (odporúčajú sa 3) umiestnených v rovnakom zabezpečenom dátovom centre, ktorí spĺňajú požiadavky v Požiadavky na virtuálny hostiteľ. | ||
| 4 | Pripravte databázový server, ktorý bude fungovať ako úložisko kľúčových údajov pre klaster, podľa Požiadavky na databázový server. Databázový server musí byť umiestnený v zabezpečenom údajovom centre spolu s virtuálnymi hostiteľmi. | ||
| 5 | Pre rýchlu obnovu po havárii nastavte zálohovacie prostredie v inom dátovom centre. Zálohovacie prostredie odzrkadľuje produkčné prostredie VM a záložný databázový server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM. | ||
| 6 | Nastavte hostiteľa syslog na zhromažďovanie protokolov z uzlov v klastri. Získajte jeho sieťovú adresu a port syslog (predvolené je UDP 514). | ||
| 7 | Vytvorte politiku bezpečného zálohovania pre uzly Hybrid Data Security, databázový server a hostiteľa syslog. Aby ste predišli nenapraviteľnej strate údajov, musíte minimálne zálohovať databázu a konfiguračný súbor ISO vygenerovaný pre uzly Hybrid Data Security.
Klienti Webex App ukladajú svoje kľúče do vyrovnávacej pamäte, takže výpadok nemusí byť okamžite viditeľný, ale časom sa prejaví. Zatiaľ čo dočasným výpadkom nie je možné zabrániť, sú obnoviteľné. Úplná strata (nie sú k dispozícii žiadne zálohy) databázy alebo konfiguračného ISO súboru však bude mať za následok neobnoviteľné zákaznícke údaje. Od operátorov uzlov Hybrid Data Security sa očakáva, že budú pravidelne zálohovať databázu a konfiguračný ISO súbor a budú pripravení na prestavbu dátového centra Hybrid Data Security, ak dôjde ku katastrofálnej poruche. | ||
| 8 | Uistite sa, že vaša konfigurácia brány firewall umožňuje pripojenie pre vaše uzly Hybrid Data Security, ako je uvedené v Požiadavky na externé pripojenie. | ||
| 9 | Nainštalujte Docker ( https://www.docker.com) na akomkoľvek lokálnom počítači s podporovaným operačným systémom (Microsoft Windows 10 Professional alebo Enterprise 64-bit, alebo Mac OSX Yosemite 10.10.3 alebo novší) s webovým prehliadačom, ktorý k nemu môže pristupovať na http://127.0.0.1:8080. Inštanciu Docker použijete na stiahnutie a spustenie nástroja HDS Setup Tool, ktorý vytvorí informácie o lokálnej konfigurácii pre všetky uzly Hybrid Data Security. Vaša organizácia môže potrebovať licenciu Docker Desktop. Pozri Požiadavky na plochu Docker Pre viac informácií. Ak chcete nainštalovať a spustiť nástroj HDS Setup Tool, lokálny počítač musí mať konektivitu uvedenú v Požiadavky na externé pripojenie. | ||
| 10 | Ak integrujete proxy s Hybrid Data Security, uistite sa, že spĺňa Požiadavky na proxy server. | ||
| 11 | Ak vaša organizácia používa synchronizáciu adresárov, vytvorte skupinu v Active Directory s názvom
|
Tok úloh nasadenia zabezpečenia hybridných údajov
Predtým ako začneš
| 1 | Stiahnite si inštalačné súbory Stiahnite si súbor OVA na váš lokálny počítač pre neskoršie použitie. | ||
| 2 | Vytvorte ISO konfigurácie pre hostiteľov HDS Pomocou nástroja HDS Setup Tool vytvorte konfiguračný súbor ISO pre uzly Hybrid Data Security. | ||
| 3 |
Vytvorte virtuálny počítač zo súboru OVA a vykonajte počiatočnú konfiguráciu, ako sú nastavenia siete.
| ||
| 4 | Nastavte virtuálny počítač Hybrid Data Security Prihláste sa do konzoly VM a nastavte prihlasovacie poverenia. Nakonfigurujte sieťové nastavenia pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA. | ||
| 5 | Nahrajte a pripojte ISO konfiguráciu HDS Nakonfigurujte VM z konfiguračného súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool. | ||
| 6 | Nakonfigurujte uzol HDS na integráciu proxy Ak sieťové prostredie vyžaduje konfiguráciu servera proxy, zadajte typ servera proxy, ktorý použijete pre uzol, a v prípade potreby pridajte certifikát servera proxy do dôveryhodného úložiska. | ||
| 7 | Zaregistrujte prvý uzol v klastri Zaregistrujte VM v cloude Cisco Webex ako uzol Hybrid Data Security. | ||
| 8 | Vytvorte a zaregistrujte viac uzlov Dokončite nastavenie klastra. | ||
| 9 | Spustite skúšobnú verziu a prejdite do výroby (ďalšia kapitola) Kým nezačnete skúšobnú verziu, vaše uzly generujú alarm oznamujúci, že vaša služba ešte nie je aktivovaná. |
Stiahnite si inštalačné súbory
| 1 | Prihláste sa do https://admin.webex.coma potom kliknite Služby. | ||||
| 2 | V časti Hybridné služby nájdite kartu Hybrid Data Security a potom kliknite Nastaviť. Ak je karta zakázaná alebo ju nevidíte, kontaktujte tím spravujúci váš účet alebo partnerskú organizáciu. Poskytnite im svoje číslo účtu a požiadajte, aby vašej organizácii umožnili Hybridné zabezpečenie dát. Ak chcete nájsť číslo účtu, kliknite na ozubené koliesko vpravo hore vedľa názvu organizácie.
| ||||
| 3 | Vyberte Nie na označenie, že ste ešte nenastavili uzol, a potom kliknite Ďalšie. Automaticky sa začne sťahovať súbor OVA. Uložte súbor na miesto v počítači.
| ||||
| 4 | Voliteľne kliknite Otvorte Sprievodcu nasadením a skontrolujte, či je k dispozícii novšia verzia tejto príručky. |
Vytvorte ISO konfigurácie pre hostiteľov HDS
Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.
Predtým ako začneš
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Control Hub s úplnými administrátorskými právami pre vašu organizáciu.
Ak nástroj HDS Setup beží za serverom proxy vo vašom prostredí, pri spúšťaní kontajnera Docker v kroku poskytnite nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker 5. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS Proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTKonfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:
Databázové poverenia
Aktualizácie certifikátov
Zmeny v politike autorizácie
Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.
| 1 | Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP:
| ||||||||||||
| 2 | Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce: | ||||||||||||
| 3 | Pri výzve na zadanie hesla zadajte tento hash: | ||||||||||||
| 4 | Stiahnite si najnovší stabilný obraz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: | ||||||||||||
| 5 | Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:
Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“. | ||||||||||||
| 6 |
Pomocou webového prehliadača prejdite na localhost, Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie. | ||||||||||||
| 7 | Po zobrazení výzvy zadajte svoje prihlasovacie poverenia správcu zákazníka Control Hub a potom kliknite Prihlásiť sa na umožnenie prístupu k požadovaným službám pre Hybridnú bezpečnosť dát. | ||||||||||||
| 8 | Na stránke prehľadu nástroja Setup kliknite na Začať. | ||||||||||||
| 9 | Na ISO import stránku, máte tieto možnosti:
| ||||||||||||
| 10 | Skontrolujte, či váš certifikát X.509 spĺňa požiadavky v Požiadavky na certifikát X.509.
| ||||||||||||
| 11 | Zadajte databázovú adresu a účet pre HDS, aby ste získali prístup k vášmu úložisku kľúčových údajov: | ||||||||||||
| 12 | Vyberte a Režim pripojenia databázy TLS:
Keď nahráte koreňový certifikát (ak je to potrebné) a kliknite na ďalej, HDS Setup Tool otestuje TLS pripojenie k databázovému serveru. Nástroj tiež overuje podpisovateľa certifikátu a názov hostiteľa, ak je to potrebné. Ak test zlyhá, nástroj zobrazí chybové hlásenie popisujúce problém. Môžete si vybrať, či chcete chybu ignorovať a pokračovať v nastavovaní. (Vzhľadom na rozdiely v konektivite môžu byť uzly HDS schopné nadviazať pripojenie TLS, aj keď ho zariadenie HDS Setup Tool nedokáže úspešne otestovať.) | ||||||||||||
| 13 | Na stránke Systémové denníky nakonfigurujte svoj server Syslogd: | ||||||||||||
| 14 | (Voliteľné) Môžete zmeniť predvolenú hodnotu pre niektoré parametre pripojenia k databáze v Pokročilé nastavenia. Vo všeobecnosti je tento parameter jediný, ktorý možno budete chcieť zmeniť: | ||||||||||||
| 15 | Kliknite ďalej na Obnovte heslo servisných účtov obrazovke. Heslá k servisným účtom majú životnosť deväť mesiacov. Túto obrazovku použite, keď sa blíži koniec platnosti vašich hesiel alebo ich chcete resetovať, aby ste zrušili platnosť predchádzajúcich súborov ISO. | ||||||||||||
| 16 | Kliknite Stiahnite si súbor ISO. Uložte súbor na miesto, ktoré sa dá ľahko nájsť. | ||||||||||||
| 17 | Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. | ||||||||||||
| 18 | Ak chcete vypnúť nástroj Setup, zadajte |
Čo urobiť ďalej
Zálohujte konfiguračný súbor ISO. Potrebujete ho na vytvorenie ďalších uzlov na obnovu alebo na vykonanie zmien v konfigurácii. Ak stratíte všetky kópie súboru ISO, stratili ste aj hlavný kľúč. Obnovenie kľúčov z databázy PostgreSQL alebo Microsoft SQL Server nie je možné.
| Nikdy nemáme kópiu tohto kľúča a nemôžeme vám pomôcť, ak ho stratíte. |
Nainštalujte HDS Host OVA
| 1 | Na prihlásenie do virtuálneho hostiteľa ESXi použite klienta VMware vSphere na vašom počítači. | ||||||
| 2 | Vyberte Súbor > Nasadiť šablónu OVF. | ||||||
| 3 | V sprievodcovi zadajte umiestnenie súboru OVA, ktorý ste si stiahli skôr, a potom kliknite Ďalšie . | ||||||
| 4 | Na Vyberte názov a priečinok stránku, zadajte a Názov virtuálneho počítača pre uzol (napríklad „HDS_Node_1"), vyberte umiestnenie, kde sa môže nachádzať nasadenie uzla virtuálneho počítača, a potom kliknite Ďalšie . | ||||||
| 5 | Na Vyberte výpočtový zdroj vyberte cieľový výpočtový zdroj a potom kliknite Ďalšie . Prebehne overovacia kontrola. Po dokončení sa zobrazia podrobnosti šablóny. | ||||||
| 6 | Overte podrobnosti šablóny a potom kliknite Ďalšie. | ||||||
| 7 | Ak sa zobrazí výzva na výber konfigurácie prostriedkov na Konfigurácia stránku, kliknite 4 CPU a potom kliknite Ďalšie . | ||||||
| 8 | Na Vyberte úložisko stránku, kliknite Ďalšie akceptovať predvolený formát disku a politiku úložiska VM. | ||||||
| 9 | Na Vyberte siete vyberte sieťovú možnosť zo zoznamu položiek, aby ste poskytli požadované pripojenie k VM. | ||||||
| 10 | Na Prispôsobiť šablónu nakonfigurujte nasledujúce nastavenia siete:
Ak chcete, môžete preskočiť konfiguráciu nastavenia siete a postupovať podľa krokov v Nastavte virtuálny počítač Hybrid Data Security na konfiguráciu nastavení z konzoly uzla.
| ||||||
| 11 | Kliknite pravým tlačidlom myši na uzol VM a potom vyberte . Softvér Hybrid Data Security je nainštalovaný ako hosť na hostiteľovi VM. Teraz ste pripravení prihlásiť sa do konzoly a nakonfigurovať uzol. Tipy na riešenie problémov Môžete zaznamenať oneskorenie niekoľkých minút, kým sa kontajnery uzlov objavia. Počas prvého spustenia, počas ktorého sa nemôžete prihlásiť, sa na konzole zobrazí správa brány firewall mosta. |
Nastavte virtuálny počítač Hybrid Data Security
Tento postup použite na prvé prihlásenie do konzoly VM uzla Hybrid Data Security a nastavenie prihlasovacích poverení. Konzolu môžete použiť aj na konfiguráciu sieťových nastavení pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.
| 1 | V klientovi VMware vSphere vyberte svoj uzol Hybrid Data Security VM a vyberte Konzola tab. VM sa spustí a zobrazí sa výzva na prihlásenie. Ak sa výzva na prihlásenie nezobrazí, stlačte Zadajte.
|
| 2 | Na prihlásenie a zmenu poverení použite nasledujúce predvolené prihlasovacie meno a heslo: Keďže sa do svojho VM prihlasujete prvýkrát, musíte zmeniť heslo správcu. |
| 3 | Ak ste už nakonfigurovali nastavenia siete v Nainštalujte HDS Host OVA, preskočte zvyšok tohto postupu. V opačnom prípade vyberte v hlavnom menu položku Upraviť konfiguráciu možnosť. |
| 4 | Nastavte statickú konfiguráciu s IP adresou, maskou, bránou a informáciami DNS. Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované. |
| 5 | (Voliteľné) Zmeňte názov hostiteľa, doménu alebo server(y) NTP, ak je to potrebné, aby zodpovedali zásadám vašej siete. Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509. |
| 6 | Uložte konfiguráciu siete a reštartujte VM, aby sa zmeny prejavili. |
Nahrajte a pripojte ISO konfiguráciu HDS
Predtým ako začneš
Pretože súbor ISO obsahuje hlavný kľúč, mal by byť zverejnený iba na základe „potreby vedieť“, aby k nemu mali prístup virtuálne počítače s hybridným zabezpečením údajov a všetci správcovia, ktorí môžu potrebovať vykonať zmeny. Uistite sa, že k úložisku údajov majú prístup iba títo správcovia.
| 1 | Nahrajte súbor ISO z počítača: |
| 2 | Pripojte súbor ISO: |
Čo urobiť ďalej
Ak to vyžaduje vaša politika IT, môžete voliteľne odpojiť súbor ISO po tom, čo všetky vaše uzly prevezmú zmeny konfigurácie. Pozri (Voliteľné) Odpojte ISO po konfigurácii HDS pre podrobnosti.
Nakonfigurujte uzol HDS na integráciu proxy
Ak sieťové prostredie vyžaduje server proxy, použite tento postup na určenie typu servera proxy, s ktorým sa chcete integrovať Hybridná bezpečnosť dát. Ak si vyberiete transparentný kontrolný proxy server alebo explicitný proxy server HTTPS, môžete použiť rozhranie uzla na nahranie a inštaláciu koreňového certifikátu. Môžete tiež skontrolovať pripojenie proxy z rozhrania a vyriešiť prípadné problémy.
Predtým ako začneš
Pozri Podpora proxy pre prehľad podporovaných možností proxy.
| 1 | Zadajte adresu URL nastavenia uzla HDS |
| 2 | Ísť do Trust Store a proxya potom vyberte možnosť:
Postupujte podľa nasledujúcich krokov pre transparentný kontrolný proxy server, explicitný proxy server HTTP so základným overením alebo explicitný proxy HTTPS. |
| 3 | Kliknite Nahrajte koreňový certifikát alebo certifikát koncovej entitya potom prejdite na výber koreňového certifikátu pre server proxy. Certifikát je nahraný, ale ešte nie je nainštalovaný, pretože na inštaláciu certifikátu musíte reštartovať uzol. Kliknutím na šípku v tvare šípky vedľa názvu vydavateľa certifikátu získate ďalšie podrobnosti alebo kliknite Odstrániť ak ste urobili chybu a chcete súbor znova nahrať. |
| 4 | Kliknite Skontrolujte pripojenie proxy na testovanie sieťového pripojenia medzi uzlom a proxy. Ak test pripojenia zlyhá, zobrazí sa chybové hlásenie, ktoré uvádza dôvod a spôsob, ako môžete problém vyriešiť. Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS. Tento stav sa očakáva v mnohých explicitných konfiguráciách proxy. Môžete pokračovať v nastavovaní a uzol bude fungovať v režime zablokovaného externého rozlíšenia DNS. Ak si myslíte, že ide o chybu, vykonajte tieto kroky a potom uvidíte Vypnite režim zablokovaného externého rozlíšenia DNS. |
| 5 | Po úspešnom teste pripojenia zapnite prepínač v prípade explicitného servera proxy nastaveného iba na https Smerujte všetky požiadavky https z tohto uzla na port 443/444 cez explicitný proxy server. Toto nastavenie sa prejaví po 15 sekundách. |
| 6 | Kliknite Nainštalujte všetky certifikáty do dôveryhodného úložiska (zobrazí sa pri explicitnom HTTPS proxy alebo transparentnom kontrolnom proxy serveri) alebo Reštartovať (zobrazí sa pri explicitnom serveri proxy HTTP), prečítajte si výzvu a potom kliknite Inštalácia ak si pripravený. Uzol sa reštartuje v priebehu niekoľkých minút. |
| 7 | Po reštartovaní uzla sa v prípade potreby znova prihláste a potom otvorte Prehľad stránku a skontrolujte kontroly pripojenia, aby ste sa uistili, že sú všetky v zelenom stave. Kontrola pripojenia proxy testuje iba subdoménu webex.com. Ak sa vyskytnú problémy s pripojením, bežným problémom je, že niektoré z cloudových domén uvedených v pokynoch na inštaláciu sú na serveri proxy blokované. |
Zaregistrujte prvý uzol v klastri
Keď zaregistrujete svoj prvý uzol, vytvoríte klaster, ku ktorému je uzol priradený. Klaster obsahuje jeden alebo viac uzlov nasadených na zabezpečenie redundancie.
Predtým ako začneš
Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.
Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.
| 1 | Prihláste sa do https://admin.webex.com. |
| 2 | V ponuke na ľavej strane obrazovky vyberte položku Služby. |
| 3 | V sekcii Hybridné služby nájdite Hybridné zabezpečenie dát a kliknite Nastaviť. Zobrazí sa stránka Register Hybrid Data Security Node.
|
| 4 | Vyberte Áno na označenie, že ste uzol nastavili a ste pripravení ho zaregistrovať, a potom kliknite Ďalšie. |
| 5 | Do prvého poľa zadajte názov klastra, ku ktorému chcete priradiť váš uzol Hybrid Data Security. Odporúčame pomenovať klaster podľa toho, kde sa geograficky nachádzajú uzly klastra. Príklady: „San Francisco“ alebo „New York“ alebo „Dallas“ |
| 6 | Do druhého poľa zadajte internú IP adresu alebo úplný názov domény (FQDN) vášho uzla a kliknite Ďalšie. Táto adresa IP alebo FQDN by sa mala zhodovať s adresou IP alebo názvom hostiteľa a doménou, ktorú ste použili Nastavte virtuálny počítač Hybrid Data Security. Zobrazí sa správa, že môžete zaregistrovať svoj uzol do Webexu.
|
| 7 | Kliknite Prejdite na Node. |
| 8 | Kliknite ďalej vo varovnej správe. Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že svojej organizácii Webex chcete udeliť povolenia na prístup k vášmu uzlu.
|
| 9 | Skontrolovať Povoľte prístup k svojmu uzlu zabezpečenia hybridných údajov začiarknite políčko a potom kliknite na ďalej. Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
|
| 10 | Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Hybrid Data Security Control Hub. Na Hybridná bezpečnosť dát sa zobrazí nový klaster obsahujúci uzol, ktorý ste zaregistrovali. Uzol si automaticky stiahne najnovší softvér z cloudu.
|
Vytvorte a zaregistrujte viac uzlov
| V súčasnosti sú záložné virtuálne počítače, ktoré ste vytvorili Vyplňte Predpoklady pre hybridnú bezpečnosť údajov sú pohotovostní hostitelia, ktorí sa používajú iba v prípade obnovy po havárii; dovtedy nie sú registrovaní v systéme. Podrobnosti nájdete v časti Obnova po havárii pomocou pohotovostného dátového centra. |
Predtým ako začneš
Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.
Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.
| 1 | Vytvorte nový virtuálny počítač z OVA zopakovaním krokov Nainštalujte HDS Host OVA. |
| 2 | Nastavte počiatočnú konfiguráciu na novom VM zopakovaním krokov v Nastavte virtuálny počítač Hybrid Data Security. |
| 3 | Na novom virtuálnom počítači zopakujte kroky v Nahrajte a pripojte ISO konfiguráciu HDS. |
| 4 | Ak nastavujete server proxy pre svoje nasadenie, zopakujte kroky v Nakonfigurujte uzol HDS na integráciu proxy podľa potreby pre nový uzol. |
| 5 | Zaregistrujte uzol. Váš uzol je zaregistrovaný. Upozorňujeme, že kým nezačnete skúšobnú verziu, vaše uzly generujú alarm, ktorý oznamuje, že vaša služba ešte nie je aktivovaná.
|
Čo urobiť ďalej
Skúšobný postup produkčných úloh
Po nastavení klastra Hybrid Data Security môžete spustiť pilotný test, pridať doň používateľov a začať ho používať na testovanie a overovanie vášho nasadenia v rámci prípravy na prechod do produkcie.
Predtým ako začneš
| 1 | V prípade potreby synchronizujte Ak vaša organizácia používa synchronizáciu adresárov pre používateľov, musíte vybrať |
| 2 |
Začnite skúšobnú verziu. Kým nevykonáte túto úlohu, vaše uzly generujú alarm, ktorý oznamuje, že služba ešte nie je aktivovaná. |
| 3 | Otestujte svoje nasadenie hybridného zabezpečenia dát Skontrolujte, či kľúčové požiadavky prechádzajú do vášho nasadenia Hybrid Data Security. |
| 4 | Monitorujte zdravie Hybrid Data Security Health Skontrolujte stav a nastavte e-mailové upozornenia na budíky. |
| 5 | Pridajte alebo odstráňte používateľov z vašej skúšobnej verzie |
| 6 | Dokončite skúšobnú fázu jedným z nasledujúcich krokov: |
Aktivovať skúšobnú verziu
Predtým ako začneš
Ak vaša organizácia používa synchronizáciu adresárov pre používateľov, musíte vybrať HdsTrialGroup skupinový objekt na synchronizáciu do cloudu predtým, ako začnete skúšobnú verziu pre vašu organizáciu. Pokyny nájdete na Sprievodca nasadením pre Cisco Directory Connector.
| 1 | Prihláste sa do https://admin.webex.coma potom vyberte Služby. |
| 2 | V časti Hybrid Data Security kliknite na nastavenie. |
| 3 | V časti Stav služby kliknite na Spustiť skúšku. Stav služby sa zmení na skúšobný režim.
|
| 4 | Kliknite Pridať používateľov a zadajte e-mailovú adresu jedného alebo viacerých používateľov na pilotné používanie vašich uzlov Hybrid Data Security na šifrovacie a indexovacie služby. (Ak vaša organizácia používa synchronizáciu adresárov, na správu skúšobnej skupiny použite službu Active Directory, |
Otestujte svoje nasadenie hybridného zabezpečenia dát
Predtým ako začneš
Nastavte nasadenie Hybrid Data Security.
Aktivujte skúšobnú verziu a pridajte niekoľko používateľov skúšobnej verzie.
Uistite sa, že máte prístup k syslog, aby ste si overili, že kľúčové požiadavky prechádzajú do vášho nasadenia Hybrid Data Security.
| 1 | Kľúče pre daný priestor nastavuje tvorca priestoru. Prihláste sa do aplikácie Webex ako jeden z pilotných používateľov a potom vytvorte priestor a pozvite aspoň jedného pilotného používateľa a jedného nepilotného používateľa.
| ||
| 2 | Posielajte správy do nového priestoru. | ||
| 3 | Skontrolujte výstup syslog, aby ste si overili, že požiadavky na kľúče prechádzajú do vášho nasadenia Hybrid Data Security. |
Monitorujte zdravie Hybrid Data Security Health
| 1 | In Control Hub, vyberte Služby z ponuky na ľavej strane obrazovky. |
| 2 | V sekcii Hybridné služby nájdite Hybridné zabezpečenie dát a kliknite nastavenie. Zobrazí sa stránka Hybrid Data Security Settings.
|
| 3 | V časti E-mailové upozornenia zadajte jednu alebo viac e-mailových adries oddelených čiarkami a stlačte Zadajte. |
Pridajte alebo odstráňte používateľov z vašej skúšobnej verzie
Ak odstránite používateľa zo skúšobnej verzie, klient tohto používateľa bude namiesto vášho KMS požadovať kľúče a vytvorenie kľúča z cloudového KMS. Ak klient potrebuje kľúč, ktorý je uložený vo vašom KMS, cloudový KMS ho načíta v mene používateľa.
Ak vaša organizácia používa synchronizáciu adresárov, použite Active Directory (namiesto tohto postupu) na správu skúšobnej skupiny, HdsTrialGroup; členov skupiny môžete zobraziť v Control Hub, ale nemôžete ich pridávať ani odstraňovať.
| 1 | Prihláste sa do Control Hub a potom vyberte Služby. |
| 2 | V časti Hybrid Data Security kliknite na nastavenie. |
| 3 | V časti Skúšobný režim v oblasti Stav služby kliknite na Pridať používateľov, alebo kliknite zobraziť a upraviť na odstránenie používateľov zo skúšobnej verzie. |
| 4 | Zadajte e-mailovú adresu jedného alebo viacerých používateľov, ktorých chcete pridať, alebo kliknite na X pomocou ID používateľa na odstránenie používateľa zo skúšobnej verzie. Potom kliknite Uložiť. |
Presuňte sa zo skúšobnej do produkčnej verzie
| 1 | Prihláste sa do Control Hub a potom vyberte Služby. |
| 2 | V časti Hybrid Data Security kliknite na nastavenie. |
| 3 | V časti Stav služby kliknite na Presunúť do výroby. |
| 4 | Potvrďte, že chcete presunúť všetkých svojich používateľov do produkcie. |
Ukončite skúšobnú verziu bez presunu do výroby
| 1 | Prihláste sa do Control Hub a potom vyberte Služby. |
| 2 | V časti Hybrid Data Security kliknite na nastavenie. |
| 3 | V časti Deaktivovať kliknite na Deaktivovať. |
| 4 | Potvrďte, že chcete službu deaktivovať a ukončiť skúšobnú verziu. |
Spravujte nasadenie HDS
Pomocou tu popísaných úloh spravujte svoje nasadenie Hybrid Data Security.
Nastavte plán aktualizácie klastra
Ak chcete nastaviť plán aktualizácie:
| 1 | Prihláste sa do Control Hub. |
| 2 | Na stránke Prehľad v časti Hybridné služby vyberte Hybridná bezpečnosť dát. |
| 3 | Na stránke Hybrid Data Security Resources vyberte klaster. |
| 4 | Na paneli Prehľad vpravo v časti Nastavenia klastra vyberte názov klastra. |
| 5 | Na stránke Nastavenia v časti Aktualizácia vyberte čas a časové pásmo pre plán inovácie. Poznámka: Pod časovým pásmom sa zobrazí dátum a čas ďalšej dostupnej aktualizácie. Kliknutím na tlačidlo môžete v prípade potreby odložiť aktualizáciu na nasledujúci deň Odložiť. |
Zmeňte konfiguráciu uzla
Zmena x.509 certifikátov z dôvodu uplynutia platnosti alebo iných dôvodov.
Nepodporujeme zmenu názvu domény CN certifikátu. Doména sa musí zhodovať s pôvodnou doménou použitou na registráciu klastra.
Aktualizácia nastavení databázy pre zmenu na repliku databázy PostgreSQL alebo Microsoft SQL Server.
Nepodporujeme migráciu údajov z PostgreSQL na Microsoft SQL Server alebo opačným spôsobom. Ak chcete zmeniť prostredie databázy, spustite nové nasadenie Hybrid Data Security.
Vytvorenie novej konfigurácie na prípravu nového dátového centra.
Z bezpečnostných dôvodov používa Hybrid Data Security heslá servisných účtov, ktoré majú životnosť deväť mesiacov. Keď nástroj HDS Setup vygeneruje tieto heslá, nasadíte ich do každého z vašich uzlov HDS v konfiguračnom súbore ISO. Keď sa blíži koniec platnosti hesiel vašej organizácie, dostanete od tímu Webex upozornenie na resetovanie hesla pre váš počítačový účet. (E-mail obsahuje text „Na aktualizáciu hesla použite rozhranie API strojového účtu.“) Ak platnosť vašich hesiel ešte nevypršala, nástroj vám ponúka dve možnosti:
Mäkký reset—Staré aj nové heslo fungujú až 10 dní. Toto obdobie použite na postupnú výmenu súboru ISO na uzloch.
Tvrdý reštart—Staré heslá okamžite prestanú fungovať.
Ak platnosť vašich hesiel vyprší bez resetovania, ovplyvní to vašu službu HDS, čo si vyžaduje okamžitý tvrdý reset a nahradenie súboru ISO na všetkých uzloch.
Tento postup použite na vygenerovanie nového konfiguračného súboru ISO a jeho použitie vo vašom klastri.
Predtým ako začneš
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Control Hub s úplnými administrátorskými právami pre vašu organizáciu.
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker zadajte nastavenia proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker 1.e. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS Proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTNa vygenerovanie novej konfigurácie potrebujete kópiu aktuálneho konfiguračného súboru ISO. ISO obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. ISO potrebujete, keď robíte zmeny v konfigurácii vrátane poverení databázy, aktualizácií certifikátov alebo zmien v politike autorizácie.
| 1 | Pomocou Docker na lokálnom počítači spustite nástroj HDS Setup Tool.
| ||||||
| 2 | Ak máte spustený iba jeden uzol HDS, vytvorte nový VM uzla Hybrid Data Security a zaregistrujte ho pomocou nového konfiguračného súboru ISO. Podrobnejšie pokyny nájdete v časti Vytvorte a zaregistrujte viac uzlov. | ||||||
| 3 | Pre existujúce uzly HDS, na ktorých je spustený starší konfiguračný súbor, pripojte súbor ISO. Postupne vykonajte nasledujúci postup na každom uzle, pričom aktualizujte každý uzol pred vypnutím ďalšieho uzla: | ||||||
| 4 | Opakujte krok 3, aby ste nahradili konfiguráciu na každom zostávajúcom uzle, na ktorom je spustená stará konfigurácia. |
Vypnite režim zablokovaného externého rozlíšenia DNS
Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. Ak server DNS uzla nedokáže rozlíšiť verejné názvy DNS, uzol automaticky prejde do režimu zablokovaného externého rozlíšenia DNS.
Ak vaše uzly dokážu rozlíšiť verejné názvy DNS prostredníctvom interných serverov DNS, môžete tento režim vypnúť opätovným spustením testu pripojenia proxy na každom uzle.
Predtým ako začneš
| 1 | Vo webovom prehliadači otvorte rozhranie uzla Hybrid Data Security (IP adresa/nastavenie, napr. https://192.0.2.0/setup), zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite Prihlásiť sa. |
| 2 | Ísť do Prehľad (predvolená stránka). Keď je povolené, Zablokované externé rozlíšenie DNS je nastavený na Áno. |
| 3 | Choďte na Trust Store a proxy stránku. |
| 4 | Kliknite Skontrolujte pripojenie proxy. Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS a zostane v tomto režime. V opačnom prípade po reštartovaní uzla a návrate do Prehľad na stránke Blocked External DNS Resolution by mala byť nastavená na no. |
Čo urobiť ďalej
Odstráňte uzol
| 1 | Pomocou klienta VMware vSphere vo svojom počítači sa prihláste do virtuálneho hostiteľa ESXi a vypnite virtuálny počítač. |
| 2 | Odstráňte uzol: |
| 3 | V klientovi vSphere odstráňte VM. (Na ľavom navigačnom paneli kliknite pravým tlačidlom myši na VM a kliknite na Odstrániť.) Ak nevymažete VM, nezabudnite odpojiť konfiguračný súbor ISO. Bez súboru ISO nemôžete použiť VM na prístup k bezpečnostným údajom. |
Obnova po havárii pomocou pohotovostného dátového centra
Najdôležitejšou službou, ktorú váš klaster Hybrid Data Security poskytuje, je vytváranie a ukladanie kľúčov používaných na šifrovanie správ a iného obsahu uloženého v cloude Webex. Pre každého používateľa v rámci organizácie, ktorý je priradený k Hybrid Data Security, sú do klastra smerované nové požiadavky na vytvorenie kľúča. Klaster je tiež zodpovedný za vrátenie kľúčov, ktoré vytvoril, všetkým používateľom oprávneným na ich získanie, napríklad členom konverzačného priestoru.
Pretože klaster vykonáva kritickú funkciu poskytovania týchto kľúčov, je nevyhnutné, aby klaster zostal spustený a aby boli udržiavané správne zálohy. Strata databázy Hybrid Data Security alebo konfigurácie ISO použitej pre schému bude mať za následok NENÁVRATNÚ STRATU zákazníckeho obsahu. Aby sa predišlo takejto strate, sú povinné nasledujúce postupy:
Ak havária spôsobí, že nasadenie HDS v primárnom dátovom centre sa stane nedostupným, podľa tohto postupu manuálne prepnite na pohotovostné dátové centrum.
| 1 | Spustite nástroj HDS Setup a postupujte podľa krokov uvedených v Vytvorte ISO konfigurácie pre hostiteľov HDS. | ||
| 2 | Po nakonfigurovaní servera Syslogd kliknite na Pokročilé nastavenia | ||
| 3 | Na Pokročilé nastavenia pridajte konfiguráciu nižšie alebo odstráňte
| ||
| 4 | Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť. | ||
| 5 | Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. | ||
| 6 | V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na VM a kliknite Upraviť nastavenia.. | ||
| 7 | Kliknite Upraviť nastavenia >CD/DVD mechanika 1 a vyberte Datastore ISO File.
| ||
| 8 | Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy. | ||
| 9 | Opakujte proces pre každý uzol v pohotovostnom dátovom centre.
|
Čo urobiť ďalej
(Voliteľné) Odpojte ISO po konfigurácii HDS
Štandardná konfigurácia HDS beží s namontovaným ISO. Niektorí zákazníci však uprednostňujú neponechať súbory ISO nepretržite pripojené. Súbor ISO môžete odpojiť potom, čo všetky uzly HDS prevezmú novú konfiguráciu.
Na vykonanie zmien v konfigurácii stále používate súbory ISO. Keď vytvoríte nový ISO alebo aktualizujete ISO pomocou nástroja Setup Tool, musíte aktualizovaný ISO pripojiť na všetky vaše uzly HDS. Keď všetky vaše uzly zachytia zmeny konfigurácie, môžete ISO znova odpojiť pomocou tohto postupu.
Predtým ako začneš
Inovujte všetky svoje uzly HDS na verziu 2021.01.22.4720 alebo novšiu.
| 1 | Vypnite jeden z uzlov HDS. |
| 2 | V serverovom zariadení vCenter vyberte uzol HDS. |
| 3 | Vyberte si a zrušte začiarknutie Súbor ISO úložiska údajov. |
| 4 | Zapnite uzol HDS a uistite sa, že aspoň 20 minút nie sú žiadne alarmy. |
| 5 | Postup opakujte pre každý uzol HDS. |
Zobraziť upozornenia a riešenie problémov
Nasadenie Hybrid Data Security sa považuje za nedostupné, ak sú všetky uzly v klastri nedostupné alebo klaster pracuje tak pomaly, že si vyžaduje časový limit. Ak používatelia nemôžu dosiahnuť váš klaster Hybrid Data Security, zaznamenajú nasledujúce príznaky:
Nie je možné vytvoriť nové medzery (nemožno vytvoriť nové kľúče)
Správy a názvy priestorov sa nepodarilo dešifrovať pre:
Noví používatelia pridaní do priestoru (nemožno načítať kľúče)
Existujúci používatelia v priestore používajúci nového klienta (nemožno načítať kľúče)
Existujúci používatelia v priestore budú naďalej úspešne fungovať, pokiaľ budú mať ich klienti vyrovnávaciu pamäť šifrovacích kľúčov
Je dôležité, aby ste správne monitorovali svoj klaster Hybrid Data Security a okamžite riešili všetky výstrahy, aby ste predišli prerušeniu služby.
Upozornenia
Ak sa vyskytne problém s nastavením Hybrid Data Security, Control Hub zobrazí upozornenia správcovi organizácie a odošle e-maily na nakonfigurovanú e-mailovú adresu. Výstrahy pokrývajú mnoho bežných scenárov.
Upozornenie | Akcia |
|---|---|
Zlyhanie prístupu k lokálnej databáze. |
Skontrolujte chyby databázy alebo problémy s lokálnou sieťou. |
Zlyhanie pripojenia k lokálnej databáze. |
Skontrolujte, či je databázový server dostupný a či boli v konfigurácii uzla použité správne poverenia servisného účtu. |
Zlyhanie prístupu k cloudovej službe. |
Skontrolujte, či majú uzly prístup k serverom Webex, ako je uvedené v Požiadavky na externé pripojenie. |
Obnovuje sa registrácia cloudovej služby. |
Registrácia do cloudových služieb bola zrušená. Prebieha obnova registrácie. |
Registrácia cloudovej služby bola zrušená. |
Registrácia do cloudových služieb bola ukončená. Služba sa vypína. |
Služba ešte nie je aktivovaná. |
Aktivujte skúšobnú verziu alebo dokončite presun skúšky do produkcie. |
Nakonfigurovaná doména sa nezhoduje s certifikátom servera. |
Uistite sa, že váš certifikát servera sa zhoduje s nakonfigurovanou doménou aktivácie služby. Najpravdepodobnejšou príčinou je, že certifikát CN bol nedávno zmenený a teraz sa líši od CN, ktorý bol použitý počas počiatočného nastavenia. |
Nepodarilo sa overiť v cloudových službách. |
Skontrolujte presnosť a možné vypršanie platnosti poverení servisného účtu. |
Nepodarilo sa otvoriť súbor lokálneho úložiska kľúčov. |
Skontrolujte integritu a presnosť hesla v lokálnom súbore skladu kľúčov. |
Certifikát lokálneho servera je neplatný. |
Skontrolujte dátum vypršania platnosti certifikátu servera a potvrďte, že bol vydaný dôveryhodnou certifikačnou autoritou. |
Nie je možné uverejniť metriky. |
Skontrolujte prístup k lokálnej sieti k externým cloudovým službám. |
Adresár /media/configdrive/hds neexistuje. |
Skontrolujte konfiguráciu pripojenia ISO na virtuálnom hostiteľovi. Overte, či súbor ISO existuje, či je nakonfigurovaný na pripojenie pri reštarte a či sa úspešne pripojí. |
Riešenie problémov so zabezpečením hybridných údajov
| 1 | Skontrolujte si v Control Hub všetky upozornenia a opravte všetky položky, ktoré tam nájdete. |
| 2 | Skontrolujte výstup servera syslog pre aktivitu z nasadenia Hybrid Data Security. |
| 3 | Kontakt Podpora Cisco. |
Známe problémy s hybridnou bezpečnosťou dát
Ak vypnete svoj klaster Hybrid Data Security (odstránením v Control Hub alebo vypnutím všetkých uzlov), stratíte svoj konfiguračný súbor ISO alebo stratíte prístup k databáze úložiska kľúčov, používatelia vašej aplikácie Webex App už nebudú môcť používať priestory pod svojimi ľuďmi. zoznam, ktorý bol vytvorený pomocou kľúčov z vášho KMS. Platí to pre skúšobné aj produkčné nasadenia. V súčasnosti nemáme riešenie ani opravu tohto problému a žiadame vás, aby ste nevypínali svoje služby HDS, keď budú spracovávať aktívne používateľské účty.
Klient, ktorý má existujúce pripojenie ECDH ku KMS, udržiava toto pripojenie určitý čas (pravdepodobne jednu hodinu). Keď sa používateľ stane členom skúšobnej verzie Hybrid Data Security, klient používateľa naďalej používa existujúce pripojenie ECDH, kým nevyprší časový limit. Prípadne sa používateľ môže odhlásiť a znova prihlásiť do aplikácie Webex App, aby aktualizoval umiestnenie, ktoré aplikácia kontaktuje pre šifrovacie kľúče.
Rovnaké správanie nastane, keď presuniete skúšobnú verziu do produkcie organizácie. Všetci neskúšobní používatelia s existujúcimi pripojeniami ECDH k predchádzajúcim službám zabezpečenia údajov budú tieto služby naďalej používať, kým sa znovu nedohodne pripojenie ECDH (prostredníctvom časového limitu alebo odhlásením a opätovným prihlásením).
Na vygenerovanie súboru PKCS12 použite OpenSSL
Predtým ako začneš
OpenSSL je jeden nástroj, ktorý možno použiť na vytvorenie súboru PKCS12 v správnom formáte na načítanie v nástroji HDS Setup Tool. Existujú aj iné spôsoby, ako to urobiť, a my nepodporujeme ani nepresadzujeme jeden spôsob oproti druhému.
Ak sa rozhodnete použiť OpenSSL, poskytujeme tento postup ako návod, ktorý vám pomôže vytvoriť súbor, ktorý spĺňa požiadavky certifikátu X.509 v Požiadavky na certifikát X.509. Než budete pokračovať, pochopte tieto požiadavky.
Nainštalujte OpenSSL v podporovanom prostredí. Pozri https://www.openssl.org pre softvér a dokumentáciu.
Vytvorte súkromný kľúč.
Tento postup začnite, keď dostanete certifikát servera od certifikačnej autority (CA).
| 1 | Keď dostanete certifikát servera od vašej CA, uložte ho ako |
| 2 | Zobrazte certifikát ako text a overte podrobnosti.
|
| 3 | Pomocou textového editora vytvorte súbor zväzku certifikátov s názvom
|
| 4 | Vytvorte súbor .p12 s popisným názvom
|
| 5 | Skontrolujte podrobnosti certifikátu servera. |
Čo urobiť ďalej
Návrat do Vyplňte Predpoklady pre hybridnú bezpečnosť údajov. Budete používať hdsnode.p12 súbor a heslo, ktoré ste preň nastavili Vytvorte ISO konfigurácie pre hostiteľov HDS.
| Tieto súbory môžete znova použiť na vyžiadanie nového certifikátu, keď platnosť pôvodného certifikátu vyprší. |
Prevádzka medzi uzlami HDS a cloudom
Odchádzajúca návštevnosť zberu metrík
Uzly Hybrid Data Security odosielajú určité metriky do cloudu Webex. Patria sem systémové metriky pre maximálnu haldu, využitú haldu, zaťaženie procesora a počet vlákien; metriky na synchrónnych a asynchrónnych vláknach; metriky výstrah zahŕňajúce prah šifrovacích pripojení, latenciu alebo dĺžku frontu požiadaviek; metriky na dátovom úložisku; a metriky šifrovaného pripojenia. Uzly posielajú zašifrovaný kľúčový materiál cez kanál mimo pásma (oddelený od požiadavky).
Prichádzajúca premávka
Uzly Hybrid Data Security prijímajú nasledujúce typy prichádzajúcej prevádzky z cloudu Webex:
Šifrovacie požiadavky od klientov, ktoré sú smerované šifrovacou službou
Aktualizácie softvéru uzla
Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát
Websocket sa nemôže pripojiť cez Squid Proxy
Proxy serverov chobotnice, ktoré kontrolujú prenos HTTPS, môžu zasahovať do vytvorenia webovej zásuvky ( wss:) pripojenia, ktoré vyžaduje Hybrid Data Security. Tieto časti poskytujú návod, ako nakonfigurovať rôzne verzie Squid na ignorovanie wss: prevádzky pre správne fungovanie služieb.
Kalmáre 4 a 5
Pridajte on_unsupported_protocol smernica k squid.conf:
on_unsupported_protocol tunnel allKalmáre 3.5.27
Hybridnú bezpečnosť dát sme úspešne otestovali s nasledujúcimi pravidlami squid.conf. Tieto pravidlá sa môžu meniť, pretože vyvíjame funkcie a aktualizujeme cloud Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allNové a zmenené informácie
Dátum | Vykonané zmeny | ||
|---|---|---|---|
20. októbra 2023 |
| ||
7. augusta 2023 |
| ||
23. mája 2023 |
| ||
6. decembra 2022 |
| ||
23. novembra 2022 |
| ||
13. októbra 2021 | Pred inštaláciou uzlov HDS musí Docker Desktop spustiť inštalačný program. Pozri Požiadavky na plochu Docker. | ||
24. júna 2021 | Upozorňujeme, že súbor so súkromným kľúčom a CSR môžete znova použiť na vyžiadanie ďalšieho certifikátu. Pozri Na vygenerovanie súboru PKCS12 použite OpenSSL pre podrobnosti. | ||
| 30. apríla 2021 | Požiadavka VM na lokálny pevný disk sa zmenila na 30 GB. Pozri Požiadavky na virtuálny hostiteľ pre podrobnosti. | ||
24. februára 2021 | HDS Setup Tool teraz môže bežať za serverom proxy. Pozri Vytvorte ISO konfigurácie pre hostiteľov HDS pre podrobnosti. | ||
2. februára 2021 | HDS teraz môže bežať bez pripojeného súboru ISO. Pozri (Voliteľné) Odpojte ISO po konfigurácii HDS pre podrobnosti. | ||
11. januára 2021 | Pridané informácie o nástroji HDS Setup a proxy serveroch Vytvorte ISO konfigurácie pre hostiteľov HDS. | ||
13. októbra 2020 | Aktualizované Stiahnite si inštalačné súbory. | ||
8. októbra 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS a Zmeňte konfiguráciu uzla s príkazmi pre prostredia FedRAMP. | ||
14. augusta 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS a Zmeňte konfiguráciu uzla so zmenami v procese prihlasovania. | ||
5. augusta 2020 | Aktualizované Otestujte svoje nasadenie hybridného zabezpečenia dát pre zmeny v protokolových správach. Aktualizované Požiadavky na virtuálny hostiteľ na odstránenie maximálneho počtu hostiteľov. | ||
16. júna 2020 | Aktualizované Odstráňte uzol pre zmeny v používateľskom rozhraní Control Hub. | ||
4. júna 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS pre zmeny v rozšírených nastaveniach, ktoré môžete nastaviť. | ||
29. mája 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS ukázať, že TLS môžete použiť aj s databázami SQL Server, zmenami používateľského rozhrania a ďalšími vysvetleniami. | ||
5. mája 2020 | Aktualizované Požiadavky na virtuálny hostiteľ ukázať novú požiadavku ESXi 6.5. | ||
21. apríla 2020 | Aktualizované Požiadavky na externé pripojenie s novými hostiteľmi Americas CI. | ||
1. apríla 2020 | Aktualizované Požiadavky na externé pripojenie s informáciami o regionálnych hostiteľoch CI. | ||
| 20. februára 2020 | Aktualizované Vytvorte ISO konfigurácie pre hostiteľov HDS s informáciami o novej voliteľnej obrazovke rozšírených nastavení v nástroji HDS Setup Tool. | ||
| 4. februára 2020 | Aktualizované Požiadavky na proxy server. | ||
| 16. decembra 2019 | Objasnená požiadavka, aby fungoval režim zablokovaného externého rozlíšenia DNS Požiadavky na proxy server. | ||
| 19. novembra 2019 | Pridané informácie o režime zablokovaného externého rozlíšenia DNS v nasledujúcich častiach: | ||
8. novembra 2019 | Teraz môžete konfigurovať sieťové nastavenia pre uzol počas nasadzovania OVA a nie neskôr. Podľa toho aktualizovali nasledujúce sekcie:
| ||
6. septembra 2019 | Pridaný SQL Server Standard do Požiadavky na databázový server. | ||
| 29. augusta 2019 | Pridané Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát príloha s návodom na konfiguráciu proxy serverov Squid tak, aby ignorovali prevádzku websocket pre správnu činnosť. | ||
| 20. augusta 2019 | Pridané a aktualizované sekcie pokrývajúce podporu proxy pre komunikáciu uzlov Hybrid Data Security do cloudu Webex. Ak chcete získať prístup len k obsahu podpory proxy pre existujúce nasadenie, pozrite si Podpora proxy pre hybridné zabezpečenie dát a Webex Video Mesh pomocný článok. | ||
| 13. júna 2019 | Aktualizované Skúšobný postup produkčných úloh s pripomienkou na synchronizáciu HdsTrialGroup skupinový objekt pred spustením skúšobnej verzie, ak vaša organizácia používa synchronizáciu adresárov. | ||
| 6. marca 2019 |
| ||
| 28. februára 2019 |
| ||
| 26. februára 2019 |
| ||
24. januára 2019 |
| ||
| 5. novembra 2018 |
| ||
| 19. októbra 2018 |
| ||
31. júla 2018 |
| ||
| 21. mája 2018 | Zmenená terminológia, aby odrážala rebranding Cisco Spark:
| ||
| 11. apríla 2018 |
| ||
| 22. februára 2018 |
| ||
| 15. február 2018 |
| ||
| 18. januára 2018 |
| ||
2. novembra 2017 |
| ||
18. augusta 2017 | Prvýkrát zverejnené |
Prehľad zabezpečenia hybridných údajov
Od prvého dňa bola bezpečnosť údajov prvoradá pri navrhovaní Aplikácia Webex. Základným kameňom tohto zabezpečenia je komplexné šifrovanie obsahu, ktoré umožňuje Aplikácia Webex klientov interagujúcich so službou správy kľúčov (KMS). KMS je zodpovedný za vytváranie a správu kryptografických kľúčov, ktoré klienti používajú na dynamické šifrovanie a dešifrovanie správ a súborov.
Štandardne všetky Aplikácia Webex zákazníci získajú end-to-end šifrovanie s dynamickými kľúčmi uloženými v cloudovom KMS v oblasti bezpečnosti Cisco. Hybrid Data Security presúva KMS a ďalšie funkcie súvisiace so zabezpečením do vášho podnikového dátového centra, takže kľúče k vášmu šifrovanému obsahu nemá nikto okrem vás.
Architektúra bezpečnostnej sféry
Cloudová architektúra Webex oddeľuje rôzne typy služieb do samostatných oblastí alebo dôveryhodných domén, ako je znázornené nižšie.
Aby sme lepšie porozumeli Hybrid Data Security, pozrime sa najprv na tento čistý cloud, kde Cisco poskytuje všetky funkcie vo svojich cloudových sférach. Služba identity, jediné miesto, kde môžu používatelia priamo korelovať so svojimi osobnými údajmi, ako je e-mailová adresa, je logicky a fyzicky oddelená od oblasti zabezpečenia v dátovom centre B. Obe sú zase oddelené od oblasti, kde je v konečnom dôsledku uložený šifrovaný obsah. , v dátovom centre C.
V tomto diagrame je klientom aplikácia Webex, ktorá beží na notebooku používateľa a je overená službou identity. Keď používateľ vytvorí správu na odoslanie do priestoru, vykonajú sa tieto kroky:
Klient vytvorí zabezpečené spojenie so službou správy kľúčov (KMS), potom požiada o kľúč na zašifrovanie správy. Zabezpečené pripojenie používa ECDH a KMS šifruje kľúč pomocou hlavného kľúča AES-256.
Správa je pred opustením klienta zašifrovaná. Klient ho odošle do indexovacej služby, ktorá vytvorí šifrované indexy vyhľadávania na pomoc pri budúcom vyhľadávaní obsahu.
Zašifrovaná správa sa odošle do služby súladu na kontrolu súladu.
Zašifrovaná správa je uložená v úložnej sfére.
Keď nasadíte Hybrid Data Security, presuniete funkcie bezpečnostnej sféry (KMS, indexovanie a súlad) do vášho lokálneho dátového centra. Ostatné cloudové služby, ktoré tvoria Webex (vrátane ukladania identity a obsahu), zostávajú v sférach spoločnosti Cisco.
Spolupráca s inými organizáciami
Používatelia vo vašej organizácii môžu pravidelne používať aplikáciu Webex na spoluprácu s externými účastníkmi v iných organizáciách. Keď jeden z vašich používateľov požaduje kľúč pre priestor, ktorý vlastní vaša organizácia (pretože ho vytvoril jeden z vašich používateľov), váš KMS odošle kľúč klientovi cez zabezpečený kanál ECDH. Keď však kľúč priestoru vlastní iná organizácia, váš KMS nasmeruje požiadavku do cloudu Webex cez samostatný kanál ECDH, aby získal kľúč z príslušného KMS, a potom vráti kľúč vášmu používateľovi na pôvodnom kanáli.
Služba KMS spustená v organizácii A overuje pripojenia ku KMS v iných organizáciách pomocou x.509 PKI certifikátov. Pozri Pripravte si prostredie podrobnosti o generovaní x.509 certifikátu na použitie s nasadením Hybrid Data Security.
Očakávania týkajúce sa nasadenia hybridnej bezpečnosti údajov
Nasadenie Hybrid Data Security si vyžaduje značné nasadenie zákazníkov a uvedomenie si rizík, ktoré so sebou prináša vlastníctvo šifrovacích kľúčov.
Ak chcete nasadiť Hybrid Data Security, musíte poskytnúť:
Bezpečné dátové centrum v krajine, ktorá je a podporované miesto pre plány Cisco Webex Teams.
Vybavenie, softvér a sieťový prístup popísané v Pripravte si prostredie.
Úplná strata buď konfiguračného ISO, ktoré ste vytvorili pre Hybrid Data Security, alebo databázy, ktorú poskytnete, bude mať za následok stratu kľúčov. Strata kľúča bráni používateľom dešifrovať obsah priestoru a ďalšie šifrované údaje v aplikácii Webex. Ak sa tak stane, môžete vytvoriť nové nasadenie, ale bude viditeľný iba nový obsah. Aby ste predišli strate prístupu k údajom, musíte:
Spravujte zálohovanie a obnovu databázy a konfiguračného ISO.
Buďte pripravení vykonať rýchlu obnovu po havárii, ak dôjde ku katastrofe, ako je zlyhanie databázového disku alebo katastrofa dátového centra.
| Neexistuje žiadny mechanizmus na presun kľúčov späť do cloudu po nasadení HDS. |
Proces nastavenia na vysokej úrovni
Tento dokument pokrýva nastavenie a správu nasadenia Hybrid Data Security:
Nastavte Hybridné zabezpečenie dát—To zahŕňa prípravu požadovanej infraštruktúry a inštaláciu softvéru Hybrid Data Security, testovanie vášho nasadenia s podskupinou používateľov v skúšobnom režime a po dokončení testovania prechod do produkcie. To prevedie celú organizáciu na používanie vášho klastra Hybrid Data Security na bezpečnostné funkcie.
Fázy nastavenia, skúšania a výroby sú podrobne opísané v nasledujúcich troch kapitolách.
Udržujte svoje nasadenie Hybrid Data Security— Cloud Webex automaticky poskytuje priebežné aktualizácie. Vaše IT oddelenie môže poskytnúť podporu prvej úrovne pre toto nasadenie a podľa potreby zapojiť podporu Cisco. V Control Hub môžete používať upozornenia na obrazovke a nastaviť upozornenia prostredníctvom e-mailu.
Pochopte bežné upozornenia, kroky na riešenie problémov a známe problémy—Ak narazíte na problémy s nasadením alebo používaním Hybrid Data Security, posledná kapitola tejto príručky a príloha Známe problémy vám môžu pomôcť určiť a vyriešiť problém.
Hybridný model nasadenia zabezpečenia dát
V rámci podnikového dátového centra nasadíte Hybrid Data Security ako jeden klaster uzlov na samostatných virtuálnych hostiteľoch. Uzly komunikujú s cloudom Webex prostredníctvom zabezpečených webových zásuviek a zabezpečeného HTTP.
Počas procesu inštalácie vám poskytneme súbor OVA na nastavenie virtuálneho zariadenia na VM, ktoré poskytnete. Nástroj HDS Setup Tool použijete na vytvorenie vlastného konfiguračného súboru ISO klastra, ktorý pripojíte na každý uzol. Klaster Hybrid Data Security využíva váš poskytnutý server Syslogd a databázu PostgreSQL alebo Microsoft SQL Server. (Syslogd a podrobnosti o pripojení k databáze nakonfigurujete v nástroji HDS Setup Tool.)
Minimálny počet uzlov, ktoré môžete mať v klastri, sú dva. Odporúčame aspoň tri a môžete ich mať až päť. Viacnásobné uzly zaisťujú, že služba nebude prerušená počas aktualizácie softvéru alebo inej činnosti údržby na uzle. (Cloud Webex aktualizuje naraz iba jeden uzol.)
Všetky uzly v klastri pristupujú k rovnakému úložisku údajov kľúčov a zaznamenávajú aktivitu na rovnaký server syslog. Samotné uzly sú bez stavu a spracovávajú kľúčové požiadavky v režime round-robin podľa pokynov cloudu.
Uzly sa stanú aktívnymi, keď ich zaregistrujete v Control Hub. Ak chcete vyradiť jednotlivý uzol z prevádzky, môžete ho zrušiť a neskôr v prípade potreby znova zaregistrovať.
Podporujeme iba jeden klaster na organizáciu.
Skúšobný režim hybridnej bezpečnosti dát
Po nastavení nasadenia Hybrid Data Security ho najskôr vyskúšate so skupinou pilotných používateľov. Počas skúšobného obdobia títo používatelia používajú vašu lokálnu doménu Hybrid Data Security na šifrovacie kľúče a ďalšie služby v oblasti zabezpečenia. Ostatní vaši používatelia naďalej používajú oblasť zabezpečenia cloudu.
Ak sa rozhodnete nepokračovať v nasadzovaní počas skúšobného obdobia a službu deaktivujete, pilotní používatelia a všetci používatelia, s ktorými počas skúšobného obdobia interagovali vytvorením nových priestorov, stratia prístup k správam a obsahu. V aplikácii Webex sa im zobrazí „Táto správa sa nedá dešifrovať“.
Ak ste spokojní s tým, že vaše nasadenie funguje dobre pre skúšobných používateľov a ste pripravení rozšíriť Hybrid Data Security na všetkých svojich používateľov, presuniete nasadenie do produkcie. Pilotní používatelia majú naďalej prístup ku kľúčom, ktoré sa používali počas skúšobnej verzie. Nemôžete sa však pohybovať tam a späť medzi produkčným režimom a pôvodnou skúšobnou verziou. Ak musíte službu deaktivovať, napríklad vykonať obnovu po havárii, pri opätovnej aktivácii musíte spustiť novú skúšobnú verziu a nastaviť skupinu pilotných používateľov pre novú skúšobnú verziu, než sa vrátite späť do produkčného režimu. Či si používatelia v tomto bode zachovajú prístup k údajom, závisí od toho, či ste úspešne udržiavali zálohy úložiska kľúčových údajov a konfiguračného súboru ISO pre uzly Hybrid Data Security vo vašom klastri.
Pohotovostné dátové centrum pre obnovu po havárii
Počas nasadenia nastavíte zabezpečené pohotovostné dátové centrum. V prípade havárie dátového centra môžete manuálne zlyhať nasadenie do pohotovostného dátového centra.
Databázy aktívnych a pohotovostných dátových centier sú navzájom synchronizované, čo minimalizuje čas potrebný na vykonanie núdzového prepnutia. Súbor ISO pohotovostného dátového centra sa aktualizuje o ďalšie konfigurácie, ktoré zaisťujú, že uzly sú registrované v organizácii, ale nebudú spracovávať prevádzku. Preto uzly pohotovostného dátového centra zostávajú vždy aktuálne s najnovšou verziou softvéru HDS.
| Aktívne uzly Hybrid Data Security musia byť vždy v rovnakom údajovom centre ako aktívny databázový server. |
Nastavte pohotovostné dátové centrum pre obnovu po havárii
Ak chcete nakonfigurovať súbor ISO pohotovostného dátového centra, postupujte podľa nasledujúcich krokov:
Predtým ako začneš
Pohotovostné dátové centrum by malo odrážať produkčné prostredie VM a záložnú databázu PostgreSQL alebo Microsoft SQL Server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM. (Pozri Pohotovostné dátové centrum pre obnovu po havárii pre prehľad tohto modelu núdzového prepnutia.)
Uistite sa, že je povolená synchronizácia databázy medzi databázou aktívnych a pasívnych uzlov klastra.
| 1 | Spustite nástroj HDS Setup a postupujte podľa krokov uvedených v Vytvorte ISO konfigurácie pre hostiteľov HDS.
| ||
| 2 | Po nakonfigurovaní servera Syslogd kliknite na Pokročilé nastavenia | ||
| 3 | Na Pokročilé nastavenia pridajte konfiguráciu nižšie, aby ste umiestnili uzol do pasívneho režimu. V tomto režime bude uzol zaregistrovaný v organizácii a pripojený ku cloudu, ale nebude spracovávať žiadny prenos.
| ||
| 4 | Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť. | ||
| 5 | Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. | ||
| 6 | V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na VM a kliknite Upraviť nastavenia.. | ||
| 7 | Kliknite Upraviť nastavenia >CD/DVD mechanika 1 a vyberte Datastore ISO File.
| ||
| 8 | Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy. | ||
| 9 | Opakujte proces pre každý uzol v pohotovostnom dátovom centre.
|
Čo urobiť ďalej
Po konfigurácii passiveMode v súbore ISO a jeho uložením môžete vytvoriť ďalšiu kópiu súboru ISO bez súboru passiveMode konfiguráciu a uložte ju na bezpečnom mieste. Táto kópia súboru ISO bez passiveMode nakonfigurovaný môže pomôcť pri rýchlom procese núdzového prepnutia počas obnovy po havárii. Pozri Obnova po havárii pomocou pohotovostného dátového centra pre podrobný postup núdzového prepnutia.
Podpora proxy
Hybrid Data Security podporuje explicitné, transparentné kontrolné a nekontrolujúce proxy. Tieto servery proxy môžete prepojiť s nasadením, aby ste mohli zabezpečiť a monitorovať prevádzku z podniku do cloudu. Rozhranie správcu platformy na uzloch môžete použiť na správu certifikátov a na kontrolu celkového stavu pripojenia po nastavení servera proxy na uzloch.
Uzly Hybrid Data Security podporujú nasledujúce možnosti proxy:
Žiadny proxy—Predvolené, ak na integráciu servera proxy nepoužívate nastavenie uzla HDS Trust Store & Proxy. Nevyžaduje sa žiadna aktualizácia certifikátu.
Transparentný nekontrolujúci splnomocnenec– Uzly nie sú nakonfigurované na používanie špecifickej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.
Transparentné tunelovanie alebo kontrola proxy– Uzly nie sú nakonfigurované na používanie špecifickej adresy servera proxy. Na uzloch nie sú potrebné žiadne zmeny konfigurácie HTTP alebo HTTPS. Uzly však potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).
Explicitný proxy—S explicitným proxy, poviete HDS uzlom, ktorý proxy server a overovaciu schému použiť. Ak chcete nakonfigurovať explicitný server proxy, musíte do každého uzla zadať nasledujúce informácie:
Proxy IP/FQDN– Adresa, ktorú možno použiť na spojenie so zariadením proxy.
Port proxy—Číslo portu, ktoré server proxy používa na počúvanie prevádzky cez proxy.
Proxy protokol—V závislosti od toho, čo váš proxy server podporuje, vyberte si z nasledujúcich protokolov:
HTTP – zobrazuje a riadi všetky požiadavky, ktoré klient odosiela.
HTTPS – poskytuje kanál pre server. Klient prijme a overí certifikát servera.
autentický typ— Vyberte si z nasledujúcich typov autentifikácie:
žiadne— Nevyžaduje sa žiadna ďalšia autentifikácia.
Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.
Základné— Používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.
Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.
Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.
Digest– Používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.
Dostupné, iba ak vyberiete HTTPS ako protokol proxy.
Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.
Príklad uzlov na zabezpečenie hybridných dát a proxy
Tento diagram ukazuje príklad spojenia medzi Hybrid Data Security, sieťou a proxy. Pre možnosti transparentnej kontroly a explicitnej kontroly HTTPS proxy musí byť na serveri proxy aj na uzloch Hybrid Data Security nainštalovaný rovnaký koreňový certifikát.
Blokovaný režim externého rozlíšenia DNS (explicitné konfigurácie proxy)
Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. V nasadeniach s explicitnými konfiguráciami proxy, ktoré neumožňujú externé rozlíšenie DNS pre interných klientov, ak uzol nemôže dotazovať servery DNS, automaticky prejde do režimu blokovaného externého riešenia DNS. V tomto režime môže pokračovať registrácia uzla a ďalšie testy pripojenia proxy.
Požiadavky na hybridnú bezpečnosť dát
Požiadavky na licenciu Cisco Webex
Nasadenie Hybrid Data Security:
Musíte mať balík Pro Pack pre Cisco Webex Control Hub. (Pozri https://www.cisco.com/go/pro-pack.)
Požiadavky na plochu Docker
Pred inštaláciou uzlov HDS potrebujete Docker Desktop na spustenie inštalačného programu. Docker nedávno aktualizoval svoj licenčný model. Vaša organizácia môže vyžadovať platené predplatné pre Docker Desktop. Podrobnosti nájdete v blogovom príspevku Docker, " Docker aktualizuje a rozširuje naše predplatné produktov".
Požiadavky na certifikát X.509
Certifikačný reťazec musí spĺňať nasledujúce požiadavky:
Požiadavka | Podrobnosti |
|---|---|
| V predvolenom nastavení dôverujeme CA v zozname Mozilly (s výnimkou WoSign a StartCom) na https://wiki.mozilla.org/CA:IncludedCAs. |
| CN nemusí byť dosiahnuteľné alebo živého hostiteľa. Odporúčame vám použiť názov, ktorý odráža vašu organizáciu, napr. KN nesmie obsahovať * (zástupný znak). CN sa používa na overenie uzlov Hybrid Data Security pre klientov Webex App. Všetky uzly Hybrid Data Security vo vašom klastri používajú rovnaký certifikát. Váš KMS sa identifikuje pomocou domény CN, nie akejkoľvek domény, ktorá je definovaná v poliach x.509v3 SAN. Po zaregistrovaní uzla s týmto certifikátom nepodporujeme zmenu názvu domény CN. Vyberte doménu, ktorá sa môže vzťahovať na skúšobné aj produkčné nasadenie. |
| Softvér KMS nepodporuje podpisy SHA1 na overenie pripojení k KMS iných organizácií. |
| Na zmenu formátu certifikátu môžete použiť konvertor, ako je OpenSSL. Pri spustení nástroja HDS Setup Tool budete musieť zadať heslo. |
Softvér KMS nevynucuje používanie kľúčov ani rozšírené obmedzenia používania kľúčov. Niektoré certifikačné autority vyžadujú, aby sa na každý certifikát aplikovali rozšírené obmedzenia používania kľúčov, ako je autentifikácia servera. Je v poriadku použiť overenie servera alebo iné nastavenia.
Požiadavky na virtuálny hostiteľ
Virtuálni hostitelia, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri, majú nasledujúce požiadavky:
Aspoň dvaja oddelení hostitelia (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre
VMware ESXi 6.5 (alebo novší) nainštalovaný a spustený.
Ak máte staršiu verziu ESXi, musíte vykonať inováciu.
Minimálne 4 vCPU, 8 GB hlavnej pamäte, 30 GB miesta na lokálnom pevnom disku na server
Požiadavky na databázový server
| Vytvorte novú databázu pre uloženie kľúčov. Nepoužívajte predvolenú databázu. Aplikácie HDS, keď sú nainštalované, vytvoria schému databázy. |
Pre databázový server sú dve možnosti. Požiadavky na každú z nich sú nasledovné:
PostgreSQL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložný priestor) | Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložný priestor) |
Softvér HDS momentálne inštaluje nasledujúce verzie ovládačov na komunikáciu s databázovým serverom:
PostgreSQL | Microsoft SQL Server |
|---|---|
Postgres JDBC ovládač 42.2.5 | Ovládač SQL Server JDBC 4.6 Táto verzia ovládača podporuje SQL Server Always On ( Vždy v prípade zlyhania klastra a Vždy zapnuté skupiny dostupnosti). |
Dodatočné požiadavky na overenie systému Windows voči Microsoft SQL Server
Ak chcete, aby uzly HDS používali autentifikáciu systému Windows na získanie prístupu k vašej databáze úložiska kľúčov na serveri Microsoft SQL Server, potrebujete vo svojom prostredí nasledujúcu konfiguráciu:
HDS uzly, infraštruktúra Active Directory a MS SQL Server musia byť synchronizované s NTP.
Účet Windows, ktorý poskytnete uzlom HDS, musí mať prístup k databáze na čítanie/zápis.
Servery DNS, ktoré poskytujete uzlom HDS, musia byť schopné vyriešiť vaše Centrum distribúcie kľúčov (KDC).
Inštanciu databázy HDS môžete zaregistrovať na svojom serveri Microsoft SQL Server ako hlavný názov služby (SPN) vo vašom adresári Active Directory. Pozri Zaregistrujte hlavný názov služby pre pripojenia Kerberos.
Nástroj na nastavenie HDS, spúšťač HDS a miestne KMS musia na prístup k databáze kľúčov používať overenie systému Windows. Používajú podrobnosti z vašej konfigurácie ISO na vytvorenie SPN pri požadovaní prístupu s overením Kerberos.
Požiadavky na externé pripojenie
Nakonfigurujte svoj firewall tak, aby umožňoval nasledujúce pripojenie pre aplikácie HDS:
Aplikácia | Protokol | Port | Smer z App | Destinácia |
|---|---|---|---|---|
Hybridné uzly zabezpečenia údajov | TCP | 443 | Odchádzajúce HTTPS a WSS |
|
Nástroj na nastavenie HDS | TCP | 443 | Odchádzajúce HTTPS |
|
| Uzly Hybrid Data Security pracujú s prekladom sieťového prístupu (NAT) alebo za bránou firewall, pokiaľ NAT alebo brána firewall umožňuje požadované odchádzajúce pripojenia k destináciám domény v predchádzajúcej tabuľke. Pre pripojenia prichádzajúce do uzlov Hybrid Data Security by nemali byť z internetu viditeľné žiadne porty. V rámci vášho dátového centra potrebujú klienti prístup k uzlom Hybrid Data Security na portoch TCP 443 a 22 na administratívne účely. |
Adresy URL hostiteľov Common Identity (CI) sú špecifické pre daný región. Toto sú súčasní hostitelia CI:
región | Spoločné adresy URL hostiteľa identity |
|---|---|
Ameriky |
|
Európska únia |
|
Kanada |
|
Požiadavky na proxy server
Oficiálne podporujeme nasledujúce proxy riešenia, ktoré sa dajú integrovať s vašimi uzlami Hybrid Data Security.
Transparentný proxy – Cisco Web Security Appliance (WSA).
Explicitný proxy-Squid.
Proxy serverov chobotnice, ktoré kontrolujú prenos HTTPS, môžu zasahovať do vytvorenia webovej zásuvky (wss:) spojenia. Ak chcete tento problém obísť, pozrite si Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát.
Pre explicitné servery proxy podporujeme nasledujúce kombinácie typov overenia:
Žiadna autentifikácia pomocou HTTP alebo HTTPS
Základná autentifikácia pomocou HTTP alebo HTTPS
Digest overenie iba s HTTPS
Pre transparentný kontrolný proxy server alebo explicitný proxy server HTTPS musíte mať kópiu koreňového certifikátu servera proxy. Pokyny na nasadenie v tejto príručke vám povedia, ako nahrať kópiu do dôveryhodných obchodov uzlov Hybrid Data Security.
Sieť, ktorá hostí uzly HDS, musí byť nakonfigurovaná tak, aby vynútila smerovanie odchádzajúcej prevádzky TCP na porte 443 cez server proxy.
Proxy, ktoré kontrolujú webovú prevádzku, môžu narúšať pripojenia webových soketov. Ak sa vyskytne tento problém, obíďte (nie kontrolujte) premávku na
wbx2.comaciscospark.comproblém vyrieši.
Vyplňte Predpoklady pre hybridnú bezpečnosť údajov
| 1 | Uistite sa, že vaša organizácia Webex má povolený balík Pro Pack pre Cisco Webex Control Hub a získajte prihlasovacie údaje účtu s úplnými právami správcu organizácie. Ak potrebujete pomoc s týmto procesom, kontaktujte svojho partnera Cisco alebo account manažéra. | ||
| 2 | Vyberte názov domény pre svoje nasadenie HDS (napr. | ||
| 3 | Pripravte si identických virtuálnych hostiteľov, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri. Potrebujete aspoň dvoch samostatných hostiteľov (odporúčajú sa 3) umiestnených v rovnakom zabezpečenom dátovom centre, ktorí spĺňajú požiadavky v Požiadavky na virtuálny hostiteľ. | ||
| 4 | Pripravte databázový server, ktorý bude fungovať ako úložisko kľúčových údajov pre klaster, podľa Požiadavky na databázový server. Databázový server musí byť umiestnený v zabezpečenom údajovom centre spolu s virtuálnymi hostiteľmi. | ||
| 5 | Pre rýchlu obnovu po havárii nastavte zálohovacie prostredie v inom dátovom centre. Zálohovacie prostredie odzrkadľuje produkčné prostredie VM a záložný databázový server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM. | ||
| 6 | Nastavte hostiteľa syslog na zhromažďovanie protokolov z uzlov v klastri. Získajte jeho sieťovú adresu a port syslog (predvolené je UDP 514). | ||
| 7 | Vytvorte politiku bezpečného zálohovania pre uzly Hybrid Data Security, databázový server a hostiteľa syslog. Aby ste predišli nenapraviteľnej strate údajov, musíte minimálne zálohovať databázu a konfiguračný súbor ISO vygenerovaný pre uzly Hybrid Data Security.
Klienti Webex App ukladajú svoje kľúče do vyrovnávacej pamäte, takže výpadok nemusí byť okamžite viditeľný, ale časom sa prejaví. Zatiaľ čo dočasným výpadkom nie je možné zabrániť, sú obnoviteľné. Úplná strata (nie sú k dispozícii žiadne zálohy) databázy alebo konfiguračného ISO súboru však bude mať za následok neobnoviteľné zákaznícke údaje. Od operátorov uzlov Hybrid Data Security sa očakáva, že budú pravidelne zálohovať databázu a konfiguračný ISO súbor a budú pripravení na prestavbu dátového centra Hybrid Data Security, ak dôjde ku katastrofálnej poruche. | ||
| 8 | Uistite sa, že vaša konfigurácia brány firewall umožňuje pripojenie pre vaše uzly Hybrid Data Security, ako je uvedené v Požiadavky na externé pripojenie. | ||
| 9 | Nainštalujte Docker ( https://www.docker.com) na akomkoľvek lokálnom počítači s podporovaným operačným systémom (Microsoft Windows 10 Professional alebo Enterprise 64-bit, alebo Mac OSX Yosemite 10.10.3 alebo novší) s webovým prehliadačom, ktorý k nemu môže pristupovať na http://127.0.0.1:8080. Inštanciu Docker použijete na stiahnutie a spustenie nástroja HDS Setup Tool, ktorý vytvorí informácie o lokálnej konfigurácii pre všetky uzly Hybrid Data Security. Vaša organizácia môže potrebovať licenciu Docker Desktop. Pozri Požiadavky na plochu Docker Pre viac informácií. Ak chcete nainštalovať a spustiť nástroj HDS Setup Tool, lokálny počítač musí mať konektivitu uvedenú v Požiadavky na externé pripojenie. | ||
| 10 | Ak integrujete proxy s Hybrid Data Security, uistite sa, že spĺňa Požiadavky na proxy server. | ||
| 11 | Ak vaša organizácia používa synchronizáciu adresárov, vytvorte skupinu v Active Directory s názvom
|
Tok úloh nasadenia zabezpečenia hybridných údajov
Predtým ako začneš
| 1 | Stiahnite si inštalačné súbory Stiahnite si súbor OVA na váš lokálny počítač pre neskoršie použitie. | ||
| 2 | Vytvorte ISO konfigurácie pre hostiteľov HDS Pomocou nástroja HDS Setup Tool vytvorte konfiguračný súbor ISO pre uzly Hybrid Data Security. | ||
| 3 |
Vytvorte virtuálny počítač zo súboru OVA a vykonajte počiatočnú konfiguráciu, ako sú nastavenia siete.
| ||
| 4 | Nastavte virtuálny počítač Hybrid Data Security Prihláste sa do konzoly VM a nastavte prihlasovacie poverenia. Nakonfigurujte sieťové nastavenia pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA. | ||
| 5 | Nahrajte a pripojte ISO konfiguráciu HDS Nakonfigurujte VM z konfiguračného súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool. | ||
| 6 | Nakonfigurujte uzol HDS na integráciu proxy Ak sieťové prostredie vyžaduje konfiguráciu servera proxy, zadajte typ servera proxy, ktorý použijete pre uzol, a v prípade potreby pridajte certifikát servera proxy do dôveryhodného úložiska. | ||
| 7 | Zaregistrujte prvý uzol v klastri Zaregistrujte VM v cloude Cisco Webex ako uzol Hybrid Data Security. | ||
| 8 | Vytvorte a zaregistrujte viac uzlov Dokončite nastavenie klastra. | ||
| 9 | Spustite skúšobnú verziu a prejdite do výroby (ďalšia kapitola) Kým nezačnete skúšobnú verziu, vaše uzly generujú alarm oznamujúci, že vaša služba ešte nie je aktivovaná. |
Stiahnite si inštalačné súbory
| 1 | Prihláste sa do https://admin.webex.coma potom kliknite Služby. | ||||
| 2 | V časti Hybridné služby nájdite kartu Hybrid Data Security a potom kliknite Nastaviť. Ak je karta zakázaná alebo ju nevidíte, kontaktujte tím spravujúci váš účet alebo partnerskú organizáciu. Poskytnite im svoje číslo účtu a požiadajte, aby vašej organizácii umožnili Hybridné zabezpečenie dát. Ak chcete nájsť číslo účtu, kliknite na ozubené koliesko vpravo hore vedľa názvu organizácie.
| ||||
| 3 | Vyberte Nie na označenie, že ste ešte nenastavili uzol, a potom kliknite Ďalšie. Automaticky sa začne sťahovať súbor OVA. Uložte súbor na miesto v počítači.
| ||||
| 4 | Voliteľne kliknite Otvorte Sprievodcu nasadením a skontrolujte, či je k dispozícii novšia verzia tejto príručky. |
Vytvorte ISO konfigurácie pre hostiteľov HDS
Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.
Predtým ako začneš
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Control Hub s úplnými administrátorskými právami pre vašu organizáciu.
Ak nástroj HDS Setup beží za serverom proxy vo vašom prostredí, pri spúšťaní kontajnera Docker v kroku poskytnite nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker 5. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS Proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTKonfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:
Databázové poverenia
Aktualizácie certifikátov
Zmeny v politike autorizácie
Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.
| 1 | Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP:
| ||||||||||||
| 2 | Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce: | ||||||||||||
| 3 | Pri výzve na zadanie hesla zadajte tento hash: | ||||||||||||
| 4 | Stiahnite si najnovší stabilný obraz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: | ||||||||||||
| 5 | Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:
Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“. | ||||||||||||
| 6 |
Pomocou webového prehliadača prejdite na localhost, Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie. | ||||||||||||
| 7 | Po zobrazení výzvy zadajte svoje prihlasovacie poverenia správcu zákazníka Control Hub a potom kliknite Prihlásiť sa na umožnenie prístupu k požadovaným službám pre Hybridnú bezpečnosť dát. | ||||||||||||
| 8 | Na stránke prehľadu nástroja Setup kliknite na Začať. | ||||||||||||
| 9 | Na ISO import stránku, máte tieto možnosti:
| ||||||||||||
| 10 | Skontrolujte, či váš certifikát X.509 spĺňa požiadavky v Požiadavky na certifikát X.509.
| ||||||||||||
| 11 | Zadajte databázovú adresu a účet pre HDS, aby ste získali prístup k vášmu úložisku kľúčových údajov: | ||||||||||||
| 12 | Vyberte a Režim pripojenia databázy TLS:
Keď nahráte koreňový certifikát (ak je to potrebné) a kliknite na ďalej, HDS Setup Tool otestuje TLS pripojenie k databázovému serveru. Nástroj tiež overuje podpisovateľa certifikátu a názov hostiteľa, ak je to potrebné. Ak test zlyhá, nástroj zobrazí chybové hlásenie popisujúce problém. Môžete si vybrať, či chcete chybu ignorovať a pokračovať v nastavovaní. (Vzhľadom na rozdiely v konektivite môžu byť uzly HDS schopné nadviazať pripojenie TLS, aj keď ho zariadenie HDS Setup Tool nedokáže úspešne otestovať.) | ||||||||||||
| 13 | Na stránke Systémové denníky nakonfigurujte svoj server Syslogd: | ||||||||||||
| 14 | (Voliteľné) Môžete zmeniť predvolenú hodnotu pre niektoré parametre pripojenia k databáze v Pokročilé nastavenia. Vo všeobecnosti je tento parameter jediný, ktorý možno budete chcieť zmeniť: | ||||||||||||
| 15 | Kliknite ďalej na Obnovte heslo servisných účtov obrazovke. Heslá k servisným účtom majú životnosť deväť mesiacov. Túto obrazovku použite, keď sa blíži koniec platnosti vašich hesiel alebo ich chcete resetovať, aby ste zrušili platnosť predchádzajúcich súborov ISO. | ||||||||||||
| 16 | Kliknite Stiahnite si súbor ISO. Uložte súbor na miesto, ktoré sa dá ľahko nájsť. | ||||||||||||
| 17 | Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. | ||||||||||||
| 18 | Ak chcete vypnúť nástroj Setup, zadajte |
Čo urobiť ďalej
Zálohujte konfiguračný súbor ISO. Potrebujete ho na vytvorenie ďalších uzlov na obnovu alebo na vykonanie zmien v konfigurácii. Ak stratíte všetky kópie súboru ISO, stratili ste aj hlavný kľúč. Obnovenie kľúčov z databázy PostgreSQL alebo Microsoft SQL Server nie je možné.
| Nikdy nemáme kópiu tohto kľúča a nemôžeme vám pomôcť, ak ho stratíte. |
Nainštalujte HDS Host OVA
| 1 | Na prihlásenie do virtuálneho hostiteľa ESXi použite klienta VMware vSphere na vašom počítači. | ||||||
| 2 | Vyberte Súbor > Nasadiť šablónu OVF. | ||||||
| 3 | V sprievodcovi zadajte umiestnenie súboru OVA, ktorý ste si stiahli skôr, a potom kliknite Ďalšie . | ||||||
| 4 | Na Vyberte názov a priečinok stránku, zadajte a Názov virtuálneho počítača pre uzol (napríklad „HDS_Node_1"), vyberte umiestnenie, kde sa môže nachádzať nasadenie uzla virtuálneho počítača, a potom kliknite Ďalšie . | ||||||
| 5 | Na Vyberte výpočtový zdroj vyberte cieľový výpočtový zdroj a potom kliknite Ďalšie . Prebehne overovacia kontrola. Po dokončení sa zobrazia podrobnosti šablóny. | ||||||
| 6 | Overte podrobnosti šablóny a potom kliknite Ďalšie. | ||||||
| 7 | Ak sa zobrazí výzva na výber konfigurácie prostriedkov na Konfigurácia stránku, kliknite 4 CPU a potom kliknite Ďalšie . | ||||||
| 8 | Na Vyberte úložisko stránku, kliknite Ďalšie akceptovať predvolený formát disku a politiku úložiska VM. | ||||||
| 9 | Na Vyberte siete vyberte sieťovú možnosť zo zoznamu položiek, aby ste poskytli požadované pripojenie k VM. | ||||||
| 10 | Na Prispôsobiť šablónu nakonfigurujte nasledujúce nastavenia siete:
Ak chcete, môžete preskočiť konfiguráciu nastavenia siete a postupovať podľa krokov v Nastavte virtuálny počítač Hybrid Data Security na konfiguráciu nastavení z konzoly uzla.
| ||||||
| 11 | Kliknite pravým tlačidlom myši na uzol VM a potom vyberte . Softvér Hybrid Data Security je nainštalovaný ako hosť na hostiteľovi VM. Teraz ste pripravení prihlásiť sa do konzoly a nakonfigurovať uzol. Tipy na riešenie problémov Môžete zaznamenať oneskorenie niekoľkých minút, kým sa kontajnery uzlov objavia. Počas prvého spustenia, počas ktorého sa nemôžete prihlásiť, sa na konzole zobrazí správa brány firewall mosta. |
Nastavte virtuálny počítač Hybrid Data Security
Tento postup použite na prvé prihlásenie do konzoly VM uzla Hybrid Data Security a nastavenie prihlasovacích poverení. Konzolu môžete použiť aj na konfiguráciu sieťových nastavení pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.
| 1 | V klientovi VMware vSphere vyberte svoj uzol Hybrid Data Security VM a vyberte Konzola tab. VM sa spustí a zobrazí sa výzva na prihlásenie. Ak sa výzva na prihlásenie nezobrazí, stlačte Zadajte.
|
| 2 | Na prihlásenie a zmenu poverení použite nasledujúce predvolené prihlasovacie meno a heslo: Keďže sa do svojho VM prihlasujete prvýkrát, musíte zmeniť heslo správcu. |
| 3 | Ak ste už nakonfigurovali nastavenia siete v Nainštalujte HDS Host OVA, preskočte zvyšok tohto postupu. V opačnom prípade vyberte v hlavnom menu položku Upraviť konfiguráciu možnosť. |
| 4 | Nastavte statickú konfiguráciu s IP adresou, maskou, bránou a informáciami DNS. Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované. |
| 5 | (Voliteľné) Zmeňte názov hostiteľa, doménu alebo server(y) NTP, ak je to potrebné, aby zodpovedali zásadám vašej siete. Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509. |
| 6 | Uložte konfiguráciu siete a reštartujte VM, aby sa zmeny prejavili. |
Nahrajte a pripojte ISO konfiguráciu HDS
Predtým ako začneš
Pretože súbor ISO obsahuje hlavný kľúč, mal by byť zverejnený iba na základe „potreby vedieť“, aby k nemu mali prístup virtuálne počítače s hybridným zabezpečením údajov a všetci správcovia, ktorí môžu potrebovať vykonať zmeny. Uistite sa, že k úložisku údajov majú prístup iba títo správcovia.
| 1 | Nahrajte súbor ISO z počítača: |
| 2 | Pripojte súbor ISO: |
Čo urobiť ďalej
Ak to vyžaduje vaša politika IT, môžete voliteľne odpojiť súbor ISO po tom, čo všetky vaše uzly prevezmú zmeny konfigurácie. Pozri (Voliteľné) Odpojte ISO po konfigurácii HDS pre podrobnosti.
Nakonfigurujte uzol HDS na integráciu proxy
Ak sieťové prostredie vyžaduje server proxy, použite tento postup na určenie typu servera proxy, s ktorým sa chcete integrovať Hybridná bezpečnosť dát. Ak si vyberiete transparentný kontrolný proxy server alebo explicitný proxy server HTTPS, môžete použiť rozhranie uzla na nahranie a inštaláciu koreňového certifikátu. Môžete tiež skontrolovať pripojenie proxy z rozhrania a vyriešiť prípadné problémy.
Predtým ako začneš
Pozri Podpora proxy pre prehľad podporovaných možností proxy.
| 1 | Zadajte adresu URL nastavenia uzla HDS |
| 2 | Ísť do Trust Store a proxya potom vyberte možnosť:
Postupujte podľa nasledujúcich krokov pre transparentný kontrolný proxy server, explicitný proxy server HTTP so základným overením alebo explicitný proxy HTTPS. |
| 3 | Kliknite Nahrajte koreňový certifikát alebo certifikát koncovej entitya potom prejdite na výber koreňového certifikátu pre server proxy. Certifikát je nahraný, ale ešte nie je nainštalovaný, pretože na inštaláciu certifikátu musíte reštartovať uzol. Kliknutím na šípku v tvare šípky vedľa názvu vydavateľa certifikátu získate ďalšie podrobnosti alebo kliknite Odstrániť ak ste urobili chybu a chcete súbor znova nahrať. |
| 4 | Kliknite Skontrolujte pripojenie proxy na testovanie sieťového pripojenia medzi uzlom a proxy. Ak test pripojenia zlyhá, zobrazí sa chybové hlásenie, ktoré uvádza dôvod a spôsob, ako môžete problém vyriešiť. Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS. Tento stav sa očakáva v mnohých explicitných konfiguráciách proxy. Môžete pokračovať v nastavovaní a uzol bude fungovať v režime zablokovaného externého rozlíšenia DNS. Ak si myslíte, že ide o chybu, vykonajte tieto kroky a potom uvidíte Vypnite režim zablokovaného externého rozlíšenia DNS. |
| 5 | Po úspešnom teste pripojenia zapnite prepínač v prípade explicitného servera proxy nastaveného iba na https Smerujte všetky požiadavky https z tohto uzla na port 443/444 cez explicitný proxy server. Toto nastavenie sa prejaví po 15 sekundách. |
| 6 | Kliknite Nainštalujte všetky certifikáty do dôveryhodného úložiska (zobrazí sa pri explicitnom HTTPS proxy alebo transparentnom kontrolnom proxy serveri) alebo Reštartovať (zobrazí sa pri explicitnom serveri proxy HTTP), prečítajte si výzvu a potom kliknite Inštalácia ak si pripravený. Uzol sa reštartuje v priebehu niekoľkých minút. |
| 7 | Po reštartovaní uzla sa v prípade potreby znova prihláste a potom otvorte Prehľad stránku a skontrolujte kontroly pripojenia, aby ste sa uistili, že sú všetky v zelenom stave. Kontrola pripojenia proxy testuje iba subdoménu webex.com. Ak sa vyskytnú problémy s pripojením, bežným problémom je, že niektoré z cloudových domén uvedených v pokynoch na inštaláciu sú na serveri proxy blokované. |
Zaregistrujte prvý uzol v klastri
Keď zaregistrujete svoj prvý uzol, vytvoríte klaster, ku ktorému je uzol priradený. Klaster obsahuje jeden alebo viac uzlov nasadených na zabezpečenie redundancie.
Predtým ako začneš
Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.
Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.
| 1 | Prihláste sa do https://admin.webex.com. |
| 2 | V ponuke na ľavej strane obrazovky vyberte položku Služby. |
| 3 | V sekcii Hybridné služby nájdite Hybridné zabezpečenie dát a kliknite Nastaviť. Zobrazí sa stránka Register Hybrid Data Security Node.
|
| 4 | Vyberte Áno na označenie, že ste uzol nastavili a ste pripravení ho zaregistrovať, a potom kliknite Ďalšie. |
| 5 | Do prvého poľa zadajte názov klastra, ku ktorému chcete priradiť váš uzol Hybrid Data Security. Odporúčame pomenovať klaster podľa toho, kde sa geograficky nachádzajú uzly klastra. Príklady: „San Francisco“ alebo „New York“ alebo „Dallas“ |
| 6 | Do druhého poľa zadajte internú IP adresu alebo úplný názov domény (FQDN) vášho uzla a kliknite Ďalšie. Táto adresa IP alebo FQDN by sa mala zhodovať s adresou IP alebo názvom hostiteľa a doménou, ktorú ste použili Nastavte virtuálny počítač Hybrid Data Security. Zobrazí sa správa, že môžete zaregistrovať svoj uzol do Webexu.
|
| 7 | Kliknite Prejdite na Node. |
| 8 | Kliknite ďalej vo varovnej správe. Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že svojej organizácii Webex chcete udeliť povolenia na prístup k vášmu uzlu.
|
| 9 | Skontrolovať Povoľte prístup k svojmu uzlu zabezpečenia hybridných údajov začiarknite políčko a potom kliknite na ďalej. Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
|
| 10 | Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Hybrid Data Security Control Hub. Na Hybridná bezpečnosť dát sa zobrazí nový klaster obsahujúci uzol, ktorý ste zaregistrovali. Uzol si automaticky stiahne najnovší softvér z cloudu.
|
Vytvorte a zaregistrujte viac uzlov
| V súčasnosti sú záložné virtuálne počítače, ktoré ste vytvorili Vyplňte Predpoklady pre hybridnú bezpečnosť údajov sú pohotovostní hostitelia, ktorí sa používajú iba v prípade obnovy po havárii; dovtedy nie sú registrovaní v systéme. Podrobnosti nájdete v časti Obnova po havárii pomocou pohotovostného dátového centra. |
Predtým ako začneš
Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.
Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.
| 1 | Vytvorte nový virtuálny počítač z OVA zopakovaním krokov Nainštalujte HDS Host OVA. |
| 2 | Nastavte počiatočnú konfiguráciu na novom VM zopakovaním krokov v Nastavte virtuálny počítač Hybrid Data Security. |
| 3 | Na novom virtuálnom počítači zopakujte kroky v Nahrajte a pripojte ISO konfiguráciu HDS. |
| 4 | Ak nastavujete server proxy pre svoje nasadenie, zopakujte kroky v Nakonfigurujte uzol HDS na integráciu proxy podľa potreby pre nový uzol. |
| 5 | Zaregistrujte uzol. Váš uzol je zaregistrovaný. Upozorňujeme, že kým nezačnete skúšobnú verziu, vaše uzly generujú alarm, ktorý oznamuje, že vaša služba ešte nie je aktivovaná.
|
Čo urobiť ďalej
Skúšobný postup produkčných úloh
Po nastavení klastra Hybrid Data Security môžete spustiť pilotný test, pridať doň používateľov a začať ho používať na testovanie a overovanie vášho nasadenia v rámci prípravy na prechod do produkcie.
Predtým ako začneš
| 1 | V prípade potreby synchronizujte Ak vaša organizácia používa synchronizáciu adresárov pre používateľov, musíte vybrať |
| 2 |
Začnite skúšobnú verziu. Kým nevykonáte túto úlohu, vaše uzly generujú alarm, ktorý oznamuje, že služba ešte nie je aktivovaná. |
| 3 | Otestujte svoje nasadenie hybridného zabezpečenia dát Skontrolujte, či kľúčové požiadavky prechádzajú do vášho nasadenia Hybrid Data Security. |
| 4 | Monitorujte zdravie Hybrid Data Security Health Skontrolujte stav a nastavte e-mailové upozornenia na budíky. |
| 5 | Pridajte alebo odstráňte používateľov z vašej skúšobnej verzie |
| 6 | Dokončite skúšobnú fázu jedným z nasledujúcich krokov: |
Aktivovať skúšobnú verziu
Predtým ako začneš
Ak vaša organizácia používa synchronizáciu adresárov pre používateľov, musíte vybrať HdsTrialGroup skupinový objekt na synchronizáciu do cloudu predtým, ako začnete skúšobnú verziu pre vašu organizáciu. Pokyny nájdete na Sprievodca nasadením pre Cisco Directory Connector.
| 1 | Prihláste sa do https://admin.webex.coma potom vyberte Služby. |
| 2 | V časti Hybrid Data Security kliknite na nastavenie. |
| 3 | V časti Stav služby kliknite na Spustiť skúšku. Stav služby sa zmení na skúšobný režim.
|
| 4 | Kliknite Pridať používateľov a zadajte e-mailovú adresu jedného alebo viacerých používateľov na pilotné používanie vašich uzlov Hybrid Data Security na šifrovacie a indexovacie služby. (Ak vaša organizácia používa synchronizáciu adresárov, na správu skúšobnej skupiny použite službu Active Directory, |
Otestujte svoje nasadenie hybridného zabezpečenia dát
Predtým ako začneš
Nastavte nasadenie Hybrid Data Security.
Aktivujte skúšobnú verziu a pridajte niekoľko používateľov skúšobnej verzie.
Uistite sa, že máte prístup k syslog, aby ste si overili, že kľúčové požiadavky prechádzajú do vášho nasadenia Hybrid Data Security.
| 1 | Kľúče pre daný priestor nastavuje tvorca priestoru. Prihláste sa do aplikácie Webex ako jeden z pilotných používateľov a potom vytvorte priestor a pozvite aspoň jedného pilotného používateľa a jedného nepilotného používateľa.
| ||
| 2 | Posielajte správy do nového priestoru. | ||
| 3 | Skontrolujte výstup syslog, aby ste si overili, že požiadavky na kľúče prechádzajú do vášho nasadenia Hybrid Data Security. |
Monitorujte zdravie Hybrid Data Security Health
| 1 | In Control Hub, vyberte Služby z ponuky na ľavej strane obrazovky. |
| 2 | V sekcii Hybridné služby nájdite Hybridné zabezpečenie dát a kliknite nastavenie. Zobrazí sa stránka Hybrid Data Security Settings.
|
| 3 | V časti E-mailové upozornenia zadajte jednu alebo viac e-mailových adries oddelených čiarkami a stlačte Zadajte. |
Pridajte alebo odstráňte používateľov z vašej skúšobnej verzie
Ak odstránite používateľa zo skúšobnej verzie, klient tohto používateľa bude namiesto vášho KMS požadovať kľúče a vytvorenie kľúča z cloudového KMS. Ak klient potrebuje kľúč, ktorý je uložený vo vašom KMS, cloudový KMS ho načíta v mene používateľa.
Ak vaša organizácia používa synchronizáciu adresárov, použite Active Directory (namiesto tohto postupu) na správu skúšobnej skupiny, HdsTrialGroup; členov skupiny môžete zobraziť v Control Hub, ale nemôžete ich pridávať ani odstraňovať.
| 1 | Prihláste sa do Control Hub a potom vyberte Služby. |
| 2 | V časti Hybrid Data Security kliknite na nastavenie. |
| 3 | V časti Skúšobný režim v oblasti Stav služby kliknite na Pridať používateľov, alebo kliknite zobraziť a upraviť na odstránenie používateľov zo skúšobnej verzie. |
| 4 | Zadajte e-mailovú adresu jedného alebo viacerých používateľov, ktorých chcete pridať, alebo kliknite na X pomocou ID používateľa na odstránenie používateľa zo skúšobnej verzie. Potom kliknite Uložiť. |
Presuňte sa zo skúšobnej do produkčnej verzie
| 1 | Prihláste sa do Control Hub a potom vyberte Služby. |
| 2 | V časti Hybrid Data Security kliknite na nastavenie. |
| 3 | V časti Stav služby kliknite na Presunúť do výroby. |
| 4 | Potvrďte, že chcete presunúť všetkých svojich používateľov do produkcie. |
Ukončite skúšobnú verziu bez presunu do výroby
| 1 | Prihláste sa do Control Hub a potom vyberte Služby. |
| 2 | V časti Hybrid Data Security kliknite na nastavenie. |
| 3 | V časti Deaktivovať kliknite na Deaktivovať. |
| 4 | Potvrďte, že chcete službu deaktivovať a ukončiť skúšobnú verziu. |
Spravujte nasadenie HDS
Pomocou tu popísaných úloh spravujte svoje nasadenie Hybrid Data Security.
Nastavte plán aktualizácie klastra
Ak chcete nastaviť plán aktualizácie:
| 1 | Prihláste sa do Control Hub. |
| 2 | Na stránke Prehľad v časti Hybridné služby vyberte Hybridná bezpečnosť dát. |
| 3 | Na stránke Hybrid Data Security Resources vyberte klaster. |
| 4 | Na paneli Prehľad vpravo v časti Nastavenia klastra vyberte názov klastra. |
| 5 | Na stránke Nastavenia v časti Aktualizácia vyberte čas a časové pásmo pre plán inovácie. Poznámka: Pod časovým pásmom sa zobrazí dátum a čas ďalšej dostupnej aktualizácie. Kliknutím na tlačidlo môžete v prípade potreby odložiť aktualizáciu na nasledujúci deň Odložiť. |
Zmeňte konfiguráciu uzla
Zmena x.509 certifikátov z dôvodu uplynutia platnosti alebo iných dôvodov.
Nepodporujeme zmenu názvu domény CN certifikátu. Doména sa musí zhodovať s pôvodnou doménou použitou na registráciu klastra.
Aktualizácia nastavení databázy pre zmenu na repliku databázy PostgreSQL alebo Microsoft SQL Server.
Nepodporujeme migráciu údajov z PostgreSQL na Microsoft SQL Server alebo opačným spôsobom. Ak chcete zmeniť prostredie databázy, spustite nové nasadenie Hybrid Data Security.
Vytvorenie novej konfigurácie na prípravu nového dátového centra.
Z bezpečnostných dôvodov používa Hybrid Data Security heslá servisných účtov, ktoré majú životnosť deväť mesiacov. Keď nástroj HDS Setup vygeneruje tieto heslá, nasadíte ich do každého z vašich uzlov HDS v konfiguračnom súbore ISO. Keď sa blíži koniec platnosti hesiel vašej organizácie, dostanete od tímu Webex upozornenie na resetovanie hesla pre váš počítačový účet. (E-mail obsahuje text „Na aktualizáciu hesla použite rozhranie API strojového účtu.“) Ak platnosť vašich hesiel ešte nevypršala, nástroj vám ponúka dve možnosti:
Mäkký reset—Staré aj nové heslo fungujú až 10 dní. Toto obdobie použite na postupnú výmenu súboru ISO na uzloch.
Tvrdý reštart—Staré heslá okamžite prestanú fungovať.
Ak platnosť vašich hesiel vyprší bez resetovania, ovplyvní to vašu službu HDS, čo si vyžaduje okamžitý tvrdý reset a nahradenie súboru ISO na všetkých uzloch.
Tento postup použite na vygenerovanie nového konfiguračného súboru ISO a jeho použitie vo vašom klastri.
Predtým ako začneš
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Control Hub s úplnými administrátorskými právami pre vašu organizáciu.
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker zadajte nastavenia proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker 1.e. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS Proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTNa vygenerovanie novej konfigurácie potrebujete kópiu aktuálneho konfiguračného súboru ISO. ISO obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. ISO potrebujete, keď robíte zmeny v konfigurácii vrátane poverení databázy, aktualizácií certifikátov alebo zmien v politike autorizácie.
| 1 | Pomocou Docker na lokálnom počítači spustite nástroj HDS Setup Tool.
| ||||||
| 2 | Ak máte spustený iba jeden uzol HDS, vytvorte nový VM uzla Hybrid Data Security a zaregistrujte ho pomocou nového konfiguračného súboru ISO. Podrobnejšie pokyny nájdete v časti Vytvorte a zaregistrujte viac uzlov. | ||||||
| 3 | Pre existujúce uzly HDS, na ktorých je spustený starší konfiguračný súbor, pripojte súbor ISO. Postupne vykonajte nasledujúci postup na každom uzle, pričom aktualizujte každý uzol pred vypnutím ďalšieho uzla: | ||||||
| 4 | Opakujte krok 3, aby ste nahradili konfiguráciu na každom zostávajúcom uzle, na ktorom je spustená stará konfigurácia. |
Vypnite režim zablokovaného externého rozlíšenia DNS
Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. Ak server DNS uzla nedokáže rozlíšiť verejné názvy DNS, uzol automaticky prejde do režimu zablokovaného externého rozlíšenia DNS.
Ak vaše uzly dokážu rozlíšiť verejné názvy DNS prostredníctvom interných serverov DNS, môžete tento režim vypnúť opätovným spustením testu pripojenia proxy na každom uzle.
Predtým ako začneš
| 1 | Vo webovom prehliadači otvorte rozhranie uzla Hybrid Data Security (IP adresa/nastavenie, napr. https://192.0.2.0/setup), zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite Prihlásiť sa. |
| 2 | Ísť do Prehľad (predvolená stránka). Keď je povolené, Zablokované externé rozlíšenie DNS je nastavený na Áno. |
| 3 | Choďte na Trust Store a proxy stránku. |
| 4 | Kliknite Skontrolujte pripojenie proxy. Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS a zostane v tomto režime. V opačnom prípade po reštartovaní uzla a návrate do Prehľad na stránke Blocked External DNS Resolution by mala byť nastavená na no. |
Čo urobiť ďalej
Odstráňte uzol
| 1 | Pomocou klienta VMware vSphere vo svojom počítači sa prihláste do virtuálneho hostiteľa ESXi a vypnite virtuálny počítač. |
| 2 | Odstráňte uzol: |
| 3 | V klientovi vSphere odstráňte VM. (Na ľavom navigačnom paneli kliknite pravým tlačidlom myši na VM a kliknite na Odstrániť.) Ak nevymažete VM, nezabudnite odpojiť konfiguračný súbor ISO. Bez súboru ISO nemôžete použiť VM na prístup k bezpečnostným údajom. |
Obnova po havárii pomocou pohotovostného dátového centra
Najdôležitejšou službou, ktorú váš klaster Hybrid Data Security poskytuje, je vytváranie a ukladanie kľúčov používaných na šifrovanie správ a iného obsahu uloženého v cloude Webex. Pre každého používateľa v rámci organizácie, ktorý je priradený k Hybrid Data Security, sú do klastra smerované nové požiadavky na vytvorenie kľúča. Klaster je tiež zodpovedný za vrátenie kľúčov, ktoré vytvoril, všetkým používateľom oprávneným na ich získanie, napríklad členom konverzačného priestoru.
Pretože klaster vykonáva kritickú funkciu poskytovania týchto kľúčov, je nevyhnutné, aby klaster zostal spustený a aby boli udržiavané správne zálohy. Strata databázy Hybrid Data Security alebo konfigurácie ISO použitej pre schému bude mať za následok NENÁVRATNÚ STRATU zákazníckeho obsahu. Aby sa predišlo takejto strate, sú povinné nasledujúce postupy:
Ak havária spôsobí, že nasadenie HDS v primárnom dátovom centre sa stane nedostupným, podľa tohto postupu manuálne prepnite na pohotovostné dátové centrum.
| 1 | Spustite nástroj HDS Setup a postupujte podľa krokov uvedených v Vytvorte ISO konfigurácie pre hostiteľov HDS. | ||
| 2 | Po nakonfigurovaní servera Syslogd kliknite na Pokročilé nastavenia | ||
| 3 | Na Pokročilé nastavenia pridajte konfiguráciu nižšie alebo odstráňte
| ||
| 4 | Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť. | ||
| 5 | Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. | ||
| 6 | V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na VM a kliknite Upraviť nastavenia.. | ||
| 7 | Kliknite Upraviť nastavenia >CD/DVD mechanika 1 a vyberte Datastore ISO File.
| ||
| 8 | Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy. | ||
| 9 | Opakujte proces pre každý uzol v pohotovostnom dátovom centre.
|
Čo urobiť ďalej
(Voliteľné) Odpojte ISO po konfigurácii HDS
Štandardná konfigurácia HDS beží s namontovaným ISO. Niektorí zákazníci však uprednostňujú neponechať súbory ISO nepretržite pripojené. Súbor ISO môžete odpojiť potom, čo všetky uzly HDS prevezmú novú konfiguráciu.
Na vykonanie zmien v konfigurácii stále používate súbory ISO. Keď vytvoríte nový ISO alebo aktualizujete ISO pomocou nástroja Setup Tool, musíte aktualizovaný ISO pripojiť na všetky vaše uzly HDS. Keď všetky vaše uzly zachytia zmeny konfigurácie, môžete ISO znova odpojiť pomocou tohto postupu.
Predtým ako začneš
Inovujte všetky svoje uzly HDS na verziu 2021.01.22.4720 alebo novšiu.
| 1 | Vypnite jeden z uzlov HDS. |
| 2 | V serverovom zariadení vCenter vyberte uzol HDS. |
| 3 | Vyberte si a zrušte začiarknutie Súbor ISO úložiska údajov. |
| 4 | Zapnite uzol HDS a uistite sa, že aspoň 20 minút nie sú žiadne alarmy. |
| 5 | Postup opakujte pre každý uzol HDS. |
Zobraziť upozornenia a riešenie problémov
Nasadenie Hybrid Data Security sa považuje za nedostupné, ak sú všetky uzly v klastri nedostupné alebo klaster pracuje tak pomaly, že si vyžaduje časový limit. Ak používatelia nemôžu dosiahnuť váš klaster Hybrid Data Security, zaznamenajú nasledujúce príznaky:
Nie je možné vytvoriť nové medzery (nemožno vytvoriť nové kľúče)
Správy a názvy priestorov sa nepodarilo dešifrovať pre:
Noví používatelia pridaní do priestoru (nemožno načítať kľúče)
Existujúci používatelia v priestore používajúci nového klienta (nemožno načítať kľúče)
Existujúci používatelia v priestore budú naďalej úspešne fungovať, pokiaľ budú mať ich klienti vyrovnávaciu pamäť šifrovacích kľúčov
Je dôležité, aby ste správne monitorovali svoj klaster Hybrid Data Security a okamžite riešili všetky výstrahy, aby ste predišli prerušeniu služby.
Upozornenia
Ak sa vyskytne problém s nastavením Hybrid Data Security, Control Hub zobrazí upozornenia správcovi organizácie a odošle e-maily na nakonfigurovanú e-mailovú adresu. Výstrahy pokrývajú mnoho bežných scenárov.
Upozornenie | Akcia |
|---|---|
Zlyhanie prístupu k lokálnej databáze. |
Skontrolujte chyby databázy alebo problémy s lokálnou sieťou. |
Zlyhanie pripojenia k lokálnej databáze. |
Skontrolujte, či je databázový server dostupný a či boli v konfigurácii uzla použité správne poverenia servisného účtu. |
Zlyhanie prístupu k cloudovej službe. |
Skontrolujte, či majú uzly prístup k serverom Webex, ako je uvedené v Požiadavky na externé pripojenie. |
Obnovuje sa registrácia cloudovej služby. |
Registrácia do cloudových služieb bola zrušená. Prebieha obnova registrácie. |
Registrácia cloudovej služby bola zrušená. |
Registrácia do cloudových služieb bola ukončená. Služba sa vypína. |
Služba ešte nie je aktivovaná. |
Aktivujte skúšobnú verziu alebo dokončite presun skúšky do produkcie. |
Nakonfigurovaná doména sa nezhoduje s certifikátom servera. |
Uistite sa, že váš certifikát servera sa zhoduje s nakonfigurovanou doménou aktivácie služby. Najpravdepodobnejšou príčinou je, že certifikát CN bol nedávno zmenený a teraz sa líši od CN, ktorý bol použitý počas počiatočného nastavenia. |
Nepodarilo sa overiť v cloudových službách. |
Skontrolujte presnosť a možné vypršanie platnosti poverení servisného účtu. |
Nepodarilo sa otvoriť súbor lokálneho úložiska kľúčov. |
Skontrolujte integritu a presnosť hesla v lokálnom súbore skladu kľúčov. |
Certifikát lokálneho servera je neplatný. |
Skontrolujte dátum vypršania platnosti certifikátu servera a potvrďte, že bol vydaný dôveryhodnou certifikačnou autoritou. |
Nie je možné uverejniť metriky. |
Skontrolujte prístup k lokálnej sieti k externým cloudovým službám. |
Adresár /media/configdrive/hds neexistuje. |
Skontrolujte konfiguráciu pripojenia ISO na virtuálnom hostiteľovi. Overte, či súbor ISO existuje, či je nakonfigurovaný na pripojenie pri reštarte a či sa úspešne pripojí. |
Riešenie problémov so zabezpečením hybridných údajov
| 1 | Skontrolujte si v Control Hub všetky upozornenia a opravte všetky položky, ktoré tam nájdete. |
| 2 | Skontrolujte výstup servera syslog pre aktivitu z nasadenia Hybrid Data Security. |
| 3 | Kontakt Podpora Cisco. |
Známe problémy s hybridnou bezpečnosťou dát
Ak vypnete svoj klaster Hybrid Data Security (odstránením v Control Hub alebo vypnutím všetkých uzlov), stratíte svoj konfiguračný súbor ISO alebo stratíte prístup k databáze úložiska kľúčov, používatelia vašej aplikácie Webex App už nebudú môcť používať priestory pod svojimi ľuďmi. zoznam, ktorý bol vytvorený pomocou kľúčov z vášho KMS. Platí to pre skúšobné aj produkčné nasadenia. V súčasnosti nemáme riešenie ani opravu tohto problému a žiadame vás, aby ste nevypínali svoje služby HDS, keď budú spracovávať aktívne používateľské účty.
Klient, ktorý má existujúce pripojenie ECDH ku KMS, udržiava toto pripojenie určitý čas (pravdepodobne jednu hodinu). Keď sa používateľ stane členom skúšobnej verzie Hybrid Data Security, klient používateľa naďalej používa existujúce pripojenie ECDH, kým nevyprší časový limit. Prípadne sa používateľ môže odhlásiť a znova prihlásiť do aplikácie Webex App, aby aktualizoval umiestnenie, ktoré aplikácia kontaktuje pre šifrovacie kľúče.
Rovnaké správanie nastane, keď presuniete skúšobnú verziu do produkcie organizácie. Všetci neskúšobní používatelia s existujúcimi pripojeniami ECDH k predchádzajúcim službám zabezpečenia údajov budú tieto služby naďalej používať, kým sa znovu nedohodne pripojenie ECDH (prostredníctvom časového limitu alebo odhlásením a opätovným prihlásením).
Na vygenerovanie súboru PKCS12 použite OpenSSL
Predtým ako začneš
OpenSSL je jeden nástroj, ktorý možno použiť na vytvorenie súboru PKCS12 v správnom formáte na načítanie v nástroji HDS Setup Tool. Existujú aj iné spôsoby, ako to urobiť, a my nepodporujeme ani nepresadzujeme jeden spôsob oproti druhému.
Ak sa rozhodnete použiť OpenSSL, poskytujeme tento postup ako návod, ktorý vám pomôže vytvoriť súbor, ktorý spĺňa požiadavky certifikátu X.509 v Požiadavky na certifikát X.509. Než budete pokračovať, pochopte tieto požiadavky.
Nainštalujte OpenSSL v podporovanom prostredí. Pozri https://www.openssl.org pre softvér a dokumentáciu.
Vytvorte súkromný kľúč.
Tento postup začnite, keď dostanete certifikát servera od certifikačnej autority (CA).
| 1 | Keď dostanete certifikát servera od vašej CA, uložte ho ako |
| 2 | Zobrazte certifikát ako text a overte podrobnosti.
|
| 3 | Pomocou textového editora vytvorte súbor zväzku certifikátov s názvom
|
| 4 | Vytvorte súbor .p12 s popisným názvom
|
| 5 | Skontrolujte podrobnosti certifikátu servera. |
Čo urobiť ďalej
Návrat do Vyplňte Predpoklady pre hybridnú bezpečnosť údajov. Budete používať hdsnode.p12 súbor a heslo, ktoré ste preň nastavili Vytvorte ISO konfigurácie pre hostiteľov HDS.
| Tieto súbory môžete znova použiť na vyžiadanie nového certifikátu, keď platnosť pôvodného certifikátu vyprší. |
Prevádzka medzi uzlami HDS a cloudom
Odchádzajúca návštevnosť zberu metrík
Uzly Hybrid Data Security odosielajú určité metriky do cloudu Webex. Patria sem systémové metriky pre maximálnu haldu, využitú haldu, zaťaženie procesora a počet vlákien; metriky na synchrónnych a asynchrónnych vláknach; metriky výstrah zahŕňajúce prah šifrovacích pripojení, latenciu alebo dĺžku frontu požiadaviek; metriky na dátovom úložisku; a metriky šifrovaného pripojenia. Uzly posielajú zašifrovaný kľúčový materiál cez kanál mimo pásma (oddelený od požiadavky).
Prichádzajúca premávka
Uzly Hybrid Data Security prijímajú nasledujúce typy prichádzajúcej prevádzky z cloudu Webex:
Šifrovacie požiadavky od klientov, ktoré sú smerované šifrovacou službou
Aktualizácie softvéru uzla
Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát
Websocket sa nemôže pripojiť cez Squid Proxy
Proxy serverov chobotnice, ktoré kontrolujú prenos HTTPS, môžu zasahovať do vytvorenia webovej zásuvky ( wss:) pripojenia, ktoré vyžaduje Hybrid Data Security. Tieto časti poskytujú návod, ako nakonfigurovať rôzne verzie Squid na ignorovanie wss: prevádzky pre správne fungovanie služieb.
Kalmáre 4 a 5
Pridajte on_unsupported_protocol smernica k squid.conf:
on_unsupported_protocol tunnel allKalmáre 3.5.27
Hybridnú bezpečnosť dát sme úspešne otestovali s nasledujúcimi pravidlami squid.conf. Tieto pravidlá sa môžu meniť, pretože vyvíjame funkcie a aktualizujeme cloud Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allNew and changed information
|
Dátum |
Changes Made | ||
|---|---|---|---|
|
October 20, 2023 |
| ||
|
August 07, 2023 |
| ||
|
May 23, 2023 |
| ||
|
December 06, 2022 |
| ||
|
November 23, 2022 |
| ||
|
October 13, 2021 |
Docker Desktop needs to run a setup program before you can install HDS nodes. See Docker Desktop Requirements. | ||
|
June 24, 2021 |
Noted that you can reuse the private key file and CSR to request another certificate. See Use OpenSSL to Generate a PKCS12 File for details. | ||
| April 30, 2021 |
Changed the VM requirement for local hard disk space to 30 GB. See Virtual Host Requirements for details. | ||
|
February 24, 2021 |
HDS Setup Tool can now run behind a proxy. See Create a Configuration ISO for the HDS Hosts for details. | ||
|
February 2, 2021 |
HDS can now run without a mounted ISO file. See (Optional) Unmount ISO After HDS Configuration for details. | ||
|
January 11, 2021 |
Added info on HDS Setup tool and proxies to Create a Configuration ISO for the HDS Hosts. | ||
|
October 13, 2020 |
Updated Download Installation Files. | ||
|
October 8, 2020 |
Updated Create a Configuration ISO for the HDS Hosts and Change the Node Configuration with commands for FedRAMP environments. | ||
|
August 14, 2020 |
Updated Create a Configuration ISO for the HDS Hosts and Change the Node Configuration with changes to the sign-in process. | ||
|
August 5, 2020 |
Updated Test Your Hybrid Data Security Deployment for changes in log messages. Updated Virtual Host Requirements to remove maximum number of hosts. | ||
|
June 16, 2020 |
Updated Remove a Node for changes in the Control Hub UI. | ||
|
June 4, 2020 |
Updated Create a Configuration ISO for the HDS Hosts for changes in the Advanced Settings that you might set. | ||
|
May 29, 2020 |
Updated Create a Configuration ISO for the HDS Hosts to show you can also use TLS with SQL Server databases, UI changes, and other clarifications. | ||
|
May 5, 2020 |
Updated Virtual Host Requirements to show new requirement of ESXi 6.5. | ||
|
April 21, 2020 |
Updated External connectivity requirements with new Americas CI hosts. | ||
|
April 1, 2020 |
Updated External connectivity requirements with information on regional CI hosts. | ||
| February 20, 2020 | Updated Create a Configuration ISO for the HDS Hosts with information on new optional Advanced Settings screen in the HDS Setup Tool. | ||
| February 4, 2020 | Updated Proxy Server Requirements. | ||
| December 16, 2019 | Clarified the requirement for Blocked External DNS Resolution Mode to work in Proxy Server Requirements. | ||
| November 19, 2019 |
Added information about Blocked External DNS Resolution Mode in the following sections: | ||
|
November 8, 2019 |
You can now configure network settings for a node while deploying the OVA rather than afterwards. Updated the following sections accordingly:
| ||
|
September 6, 2019 |
Added SQL Server Standard to Database server requirements. | ||
| August 29, 2019 | Added Configure Squid Proxies for Hybrid Data Security appendix with guidance on configuring Squid proxies to ignore websocket traffic for proper operation. | ||
| August 20, 2019 |
Added and updated sections to cover proxy support for Hybrid Data Security node communications to the Webex cloud. To access just the proxy support content for an existing deployment, see the Proxy Support for Hybrid Data Security and Webex Video Mesh help article. | ||
| June 13, 2019 | Updated Trial to Production Task Flow with a reminder to synchronize the HdsTrialGroup group object before starting a trial if your organization uses directory synchronization. | ||
| March 6, 2019 |
| ||
| February 28, 2019 |
| ||
| February 26, 2019 |
| ||
|
January 24, 2019 |
| ||
| November 5, 2018 |
| ||
| October 19, 2018 |
| ||
|
July 31, 2018 |
| ||
| May 21, 2018 |
Changed terminology to reflect the rebranding of Cisco Spark:
| ||
| April 11, 2018 |
| ||
| February 22, 2018 |
| ||
| February 15, 2018 |
| ||
| January 18, 2018 |
| ||
|
November 2, 2017 |
| ||
|
August 18, 2017 |
First published |
Prehľad zabezpečenia hybridných údajov
Od prvého dňa bola bezpečnosť údajov hlavným zameraním pri navrhovaní Webex App. Základným kameňom tohto zabezpečenia je komplexné šifrovanie obsahu, ktoré umožňujú klienti Webex App interagujúci so službou správy kľúčov (KMS). KMS je zodpovedný za vytváranie a správu kryptografických kľúčov, ktoré klienti používajú na dynamické šifrovanie a dešifrovanie správ a súborov.
V predvolenom nastavení dostávajú všetci zákazníci Webex App end-to-end šifrovanie s dynamickými kľúčmi uloženými v cloudovom KMS v oblasti bezpečnosti Cisco. Hybrid Data Security presúva KMS a ďalšie funkcie súvisiace so zabezpečením do vášho podnikového dátového centra, takže kľúče k vášmu šifrovanému obsahu nemá nikto okrem vás.
Architektúra bezpečnostnej sféry
Cloudová architektúra Webex oddeľuje rôzne typy služieb do samostatných oblastí alebo dôveryhodných domén, ako je znázornené nižšie.
Aby sme lepšie porozumeli Hybrid Data Security, pozrime sa najprv na tento čistý cloud, kde Cisco poskytuje všetky funkcie vo svojich cloudových sférach. Služba identity, jediné miesto, kde môžu používatelia priamo korelovať so svojimi osobnými údajmi, ako je e-mailová adresa, je logicky a fyzicky oddelená od oblasti zabezpečenia v dátovom centre B. Obe sú zase oddelené od oblasti, kde je v konečnom dôsledku uložený šifrovaný obsah. , v dátovom centre C.
V tomto diagrame je klientom aplikácia Webex, ktorá beží na notebooku používateľa a je overená službou identity. Keď používateľ vytvorí správu na odoslanie do priestoru, vykonajú sa tieto kroky:
-
Klient vytvorí zabezpečené spojenie so službou správy kľúčov (KMS), potom požiada o kľúč na zašifrovanie správy. Zabezpečené pripojenie používa ECDH a KMS šifruje kľúč pomocou hlavného kľúča AES-256.
-
Správa je pred opustením klienta zašifrovaná. Klient ho odošle do indexovacej služby, ktorá vytvorí šifrované indexy vyhľadávania na pomoc pri budúcom vyhľadávaní obsahu.
-
Zašifrovaná správa sa odošle do služby súladu na kontrolu súladu.
-
Zašifrovaná správa je uložená v úložnej sfére.
Keď nasadíte Hybrid Data Security, presuniete funkcie bezpečnostnej sféry (KMS, indexovanie a súlad) do vášho lokálneho dátového centra. Ostatné cloudové služby, ktoré tvoria Webex (vrátane ukladania identity a obsahu), zostávajú v sférach spoločnosti Cisco.
Spolupráca s inými organizáciami
Používatelia vo vašej organizácii môžu pravidelne používať aplikáciu Webex na spoluprácu s externými účastníkmi v iných organizáciách. Keď jeden z vašich používateľov požaduje kľúč pre priestor, ktorý vlastní vaša organizácia (pretože ho vytvoril jeden z vašich používateľov), váš KMS odošle kľúč klientovi cez zabezpečený kanál ECDH. Keď však kľúč priestoru vlastní iná organizácia, váš KMS nasmeruje požiadavku do cloudu Webex cez samostatný kanál ECDH, aby získal kľúč z príslušného KMS, a potom vráti kľúč vášmu používateľovi na pôvodnom kanáli.
Služba KMS spustená v organizácii A overuje pripojenia ku KMS v iných organizáciách pomocou x.509 PKI certifikátov. Podrobnosti o generovaní certifikátu x.509 na použitie s nasadením Hybrid Data Security nájdete v časti Príprava prostredia .
Očakávania týkajúce sa nasadenia hybridnej bezpečnosti údajov
Nasadenie Hybrid Data Security si vyžaduje značné nasadenie zákazníkov a uvedomenie si rizík, ktoré so sebou prináša vlastníctvo šifrovacích kľúčov.
Ak chcete nasadiť Hybrid Data Security, musíte poskytnúť:
-
Zabezpečené dátové centrum v krajine, ktorá je podporovaným miestom pre plány Cisco Webex Teams.
-
Vybavenie, softvér a sieťový prístup popísané v časti Príprava prostredia.
Úplná strata buď konfiguračného ISO, ktoré ste vytvorili pre Hybrid Data Security, alebo databázy, ktorú poskytnete, bude mať za následok stratu kľúčov. Strata kľúča bráni používateľom dešifrovať obsah priestoru a ďalšie šifrované údaje v aplikácii Webex. Ak sa tak stane, môžete vytvoriť nové nasadenie, ale bude viditeľný iba nový obsah. Aby ste predišli strate prístupu k údajom, musíte:
-
Spravujte zálohovanie a obnovu databázy a konfiguračného ISO.
-
Buďte pripravení vykonať rýchlu obnovu po havárii, ak dôjde ku katastrofe, ako je zlyhanie databázového disku alebo katastrofa dátového centra.
| Neexistuje žiadny mechanizmus na presun kľúčov späť do cloudu po nasadení HDS. |
Proces nastavenia na vysokej úrovni
Tento dokument pokrýva nastavenie a správu nasadenia Hybrid Data Security:
Nastavenie Hybrid Data Security – zahŕňa prípravu požadovanej infraštruktúry a inštaláciu softvéru Hybrid Data Security, testovanie vášho nasadenia s podskupinou používateľov v skúšobnom režime a po dokončení testovania prechod do produkcie. To prevedie celú organizáciu na používanie vášho klastra Hybrid Data Security na bezpečnostné funkcie.
Fázy nastavenia, skúšania a výroby sú podrobne opísané v nasledujúcich troch kapitolách.
-
Udržujte svoje nasadenie Hybrid Data Security – cloud Webex automaticky poskytuje priebežné inovácie. Vaše IT oddelenie môže poskytnúť podporu prvej úrovne pre toto nasadenie a podľa potreby zapojiť podporu Cisco. V Control Hub môžete používať upozornenia na obrazovke a nastaviť upozornenia prostredníctvom e-mailu.
-
Pochopte bežné upozornenia, kroky na riešenie problémov a známe problémy – Ak narazíte na problémy s nasadením alebo používaním Hybrid Data Security, posledná kapitola tejto príručky a príloha Známe problémy vám môžu pomôcť určiť a vyriešiť problém.
Hybridný model nasadenia zabezpečenia dát
V rámci podnikového dátového centra nasadíte Hybrid Data Security ako jeden klaster uzlov na samostatných virtuálnych hostiteľoch. Uzly komunikujú s cloudom Webex prostredníctvom zabezpečených webových zásuviek a zabezpečeného HTTP.
Počas procesu inštalácie vám poskytneme súbor OVA na nastavenie virtuálneho zariadenia na VM, ktoré poskytnete. Nástroj HDS Setup Tool použijete na vytvorenie vlastného konfiguračného súboru ISO klastra, ktorý pripojíte na každý uzol. Klaster Hybrid Data Security využíva váš poskytnutý server Syslogd a databázu PostgreSQL alebo Microsoft SQL Server. (Syslogd a podrobnosti o pripojení k databáze nakonfigurujete v nástroji HDS Setup Tool.)
Minimálny počet uzlov, ktoré môžete mať v klastri, sú dva. Odporúčame aspoň tri a môžete ich mať až päť. Viacnásobné uzly zaisťujú, že služba nebude prerušená počas aktualizácie softvéru alebo inej činnosti údržby na uzle. (Cloud Webex aktualizuje naraz iba jeden uzol.)
Všetky uzly v klastri pristupujú k rovnakému úložisku údajov kľúčov a zaznamenávajú aktivitu na rovnaký server syslog. Samotné uzly sú bez stavu a spracovávajú kľúčové požiadavky v režime round-robin podľa pokynov cloudu.
Uzly sa stanú aktívnymi, keď ich zaregistrujete v Control Hub. Ak chcete vyradiť jednotlivý uzol z prevádzky, môžete ho zrušiť a neskôr v prípade potreby znova zaregistrovať.
Podporujeme iba jeden klaster na organizáciu.
Skúšobný režim hybridnej bezpečnosti dát
Po nastavení nasadenia Hybrid Data Security ho najskôr vyskúšate so skupinou pilotných používateľov. Počas skúšobného obdobia títo používatelia používajú vašu lokálnu doménu Hybrid Data Security na šifrovacie kľúče a ďalšie služby v oblasti zabezpečenia. Ostatní vaši používatelia naďalej používajú oblasť zabezpečenia cloudu.
Ak sa rozhodnete nepokračovať v nasadzovaní počas skúšobného obdobia a službu deaktivujete, pilotní používatelia a všetci používatelia, s ktorými počas skúšobného obdobia interagovali vytvorením nových priestorov, stratia prístup k správam a obsahu. V aplikácii Webex sa im zobrazí „Táto správa sa nedá dešifrovať“.
Ak ste spokojní s tým, že vaše nasadenie funguje dobre pre skúšobných používateľov a ste pripravení rozšíriť Hybrid Data Security na všetkých svojich používateľov, presuniete nasadenie do produkcie. Pilotní používatelia majú naďalej prístup ku kľúčom, ktoré sa používali počas skúšobnej verzie. Nemôžete sa však pohybovať tam a späť medzi produkčným režimom a pôvodnou skúšobnou verziou. Ak musíte službu deaktivovať, napríklad vykonať obnovu po havárii, pri opätovnej aktivácii musíte spustiť novú skúšobnú verziu a nastaviť skupinu pilotných používateľov pre novú skúšobnú verziu, než sa vrátite späť do produkčného režimu. Či si používatelia v tomto bode zachovajú prístup k údajom, závisí od toho, či ste úspešne udržiavali zálohy úložiska kľúčových údajov a konfiguračného súboru ISO pre uzly Hybrid Data Security vo vašom klastri.
Pohotovostné dátové centrum pre obnovu po havárii
Počas nasadenia nastavíte zabezpečené pohotovostné dátové centrum. V prípade havárie dátového centra môžete manuálne zlyhať nasadenie do pohotovostného dátového centra.
Databázy aktívnych a pohotovostných dátových centier sú navzájom synchronizované, čo minimalizuje čas potrebný na vykonanie núdzového prepnutia. Súbor ISO pohotovostného dátového centra sa aktualizuje o ďalšie konfigurácie, ktoré zaisťujú, že uzly sú registrované v organizácii, ale nebudú spracovávať prevádzku. Preto uzly pohotovostného dátového centra zostávajú vždy aktuálne s najnovšou verziou softvéru HDS.
| Aktívne uzly Hybrid Data Security musia byť vždy v rovnakom údajovom centre ako aktívny databázový server. |
Nastavte pohotovostné dátové centrum pre obnovu po havárii
Ak chcete nakonfigurovať súbor ISO pohotovostného dátového centra, postupujte podľa nasledujúcich krokov:
Skôr ako začnete
-
Pohotovostné dátové centrum by malo odrážať produkčné prostredie VM a záložnú databázu PostgreSQL alebo Microsoft SQL Server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM. (Prehľad tohto modelu núdzového prepnutia nájdete v časti Pohotovostné dátové centrum pre obnovu po havárii .)
-
Uistite sa, že je povolená synchronizácia databázy medzi databázou aktívnych a pasívnych uzlov klastra.
| 1 |
Spustite nástroj na nastavenie HDS a postupujte podľa krokov uvedených v časti Vytvorenie konfiguračného ISO pre hostiteľov HDS.
| ||
| 2 |
Po konfigurácii servera Syslogd kliknite na položku Rozšírené nastavenia | ||
| 3 |
Na stránke Rozšírené nastavenia pridajte nižšie uvedenú konfiguráciu, aby sa uzol dostal do pasívneho režimu. V tomto režime bude uzol zaregistrovaný v organizácii a pripojený ku cloudu, ale nebude spracovávať žiadny prenos.
| ||
| 4 |
Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť. | ||
| 5 |
Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. | ||
| 6 |
V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Upraviť nastavenia. | ||
| 7 |
Kliknite na položku Upraviť nastavenia >Jednotka CD/DVD 1 a vyberte položku Datastore ISO File.
| ||
| 8 |
Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy. | ||
| 9 |
Opakujte proces pre každý uzol v pohotovostnom dátovom centre.
|
Čo robiť ďalej
Po konfigurácii passiveMode v súbore ISO a jeho uložení môžete vytvoriť ďalšiu kópiu súboru ISO bez konfigurácie passiveMode a uložiť ju na bezpečné miesto. Táto kópia súboru ISO bez nakonfigurovaného passiveMode môže pomôcť pri rýchlom procese núdzového prepnutia počas obnovy po havárii. Podrobný postup pri zlyhaní nájdete v časti Obnova po havárii pomocou pohotovostného dátového centra .
Podpora proxy
Hybrid Data Security podporuje explicitné, transparentné kontrolné a nekontrolujúce proxy. Tieto servery proxy môžete prepojiť s nasadením, aby ste mohli zabezpečiť a monitorovať prevádzku z podniku do cloudu. Rozhranie správcu platformy na uzloch môžete použiť na správu certifikátov a na kontrolu celkového stavu pripojenia po nastavení servera proxy na uzloch.
Uzly Hybrid Data Security podporujú nasledujúce možnosti proxy:
-
Bez servera proxy – predvolená hodnota, ak na integráciu servera proxy nepoužívate konfiguráciu dôveryhodného obchodu a servera proxy na nastavenie uzla HDS. Nevyžaduje sa žiadna aktualizácia certifikátu.
-
Transparentný nekontrolujúci proxy server – uzly nie sú nakonfigurované na používanie konkrétnej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.
-
Transparentné tunelovanie alebo kontrola servera proxy – uzly nie sú nakonfigurované na používanie konkrétnej adresy servera proxy. Na uzloch nie sú potrebné žiadne zmeny konfigurácie HTTP alebo HTTPS. Uzly však potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).
-
Explicitný server proxy – pomocou explicitného servera proxy poviete uzlom HDS, ktorý server proxy a schému overenia majú použiť. Ak chcete nakonfigurovať explicitný server proxy, musíte do každého uzla zadať nasledujúce informácie:
-
Proxy IP/FQDN – adresa, ktorú možno použiť na spojenie so zariadením proxy.
-
Port proxy – číslo portu, ktoré server proxy používa na počúvanie prenosu cez server proxy.
-
Protokol proxy – v závislosti od toho, čo váš server proxy podporuje, si vyberte z nasledujúcich protokolov:
-
HTTP – zobrazuje a riadi všetky požiadavky, ktoré klient odosiela.
-
HTTPS – poskytuje kanál pre server. Klient prijme a overí certifikát servera.
-
-
Typ overenia totožnosti – vyberte si z nasledujúcich typov overenia totožnosti:
-
Žiadne – nevyžaduje sa žiadne ďalšie overenie.
Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.
-
Základné – používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.
Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.
Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.
-
Súhrn – používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.
Dostupné, iba ak vyberiete HTTPS ako protokol proxy.
Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.
-
-
Príklad uzlov na zabezpečenie hybridných dát a proxy
Tento diagram ukazuje príklad spojenia medzi Hybrid Data Security, sieťou a serverom proxy. Pre možnosti transparentnej kontroly a explicitnej kontroly HTTPS musí byť na serveri proxy a na uzloch Hybrid Data Security nainštalovaný rovnaký koreňový certifikát.
Blokovaný režim externého rozlíšenia DNS (explicitné konfigurácie proxy)
Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. V nasadeniach s explicitnými konfiguráciami proxy, ktoré neumožňujú externé rozlíšenie DNS pre interných klientov, ak uzol nemôže dotazovať servery DNS, automaticky prejde do režimu blokovaného externého riešenia DNS. V tomto režime môže pokračovať registrácia uzla a ďalšie testy pripojenia proxy.
Požiadavky na hybridnú bezpečnosť dát
Požiadavky na licenciu Cisco Webex
Nasadenie Hybrid Data Security:
-
Musíte mať balík Pro Pack pre Cisco Webex Control Hub. (Pozrite si https://www.cisco.com/go/pro-pack.)
Požiadavky na plochu Docker
Pred inštaláciou uzlov HDS potrebujete Docker Desktop na spustenie inštalačného programu. Docker nedávno aktualizoval svoj licenčný model. Vaša organizácia môže vyžadovať platené predplatné pre Docker Desktop. Podrobnosti nájdete v blogovom príspevku Docker „ Docker aktualizuje a rozširuje naše predplatné produktov“.
Požiadavky na certifikát X.509
Certifikačný reťazec musí spĺňať nasledujúce požiadavky:
|
Požiadavka |
Podrobnosti |
|---|---|
|
V predvolenom nastavení dôverujeme CA v zozname Mozilly (s výnimkou WoSign a StartCom) na https://wiki.mozilla.org/CA:IncludedCAs. |
|
CN nemusí byť dosiahnuteľné alebo živého hostiteľa. Odporúčame vám použiť názov, ktorý zodpovedá vašej organizácii, napríklad KN nesmie obsahovať * (zástupný znak). CN sa používa na overenie uzlov Hybrid Data Security pre klientov Webex App. Všetky uzly Hybrid Data Security vo vašom klastri používajú rovnaký certifikát. Váš KMS sa identifikuje pomocou domény CN, nie akejkoľvek domény, ktorá je definovaná v poliach x.509v3 SAN. Po zaregistrovaní uzla s týmto certifikátom nepodporujeme zmenu názvu domény CN. Vyberte doménu, ktorá sa môže vzťahovať na skúšobné aj produkčné nasadenie. |
|
Softvér KMS nepodporuje podpisy SHA1 na overenie pripojení k KMS iných organizácií. |
|
Na zmenu formátu certifikátu môžete použiť konvertor, ako je OpenSSL. Pri spustení nástroja HDS Setup Tool budete musieť zadať heslo. |
Softvér KMS nevynucuje používanie kľúčov ani rozšírené obmedzenia používania kľúčov. Niektoré certifikačné autority vyžadujú, aby sa na každý certifikát aplikovali rozšírené obmedzenia používania kľúčov, ako je autentifikácia servera. Je v poriadku použiť overenie servera alebo iné nastavenia.
Požiadavky na virtuálny hostiteľ
Virtuálni hostitelia, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri, majú nasledujúce požiadavky:
-
Aspoň dvaja oddelení hostitelia (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre
-
VMware ESXi 6.5 (alebo novší) nainštalovaný a spustený.
Ak máte staršiu verziu ESXi, musíte vykonať inováciu.
-
Minimálne 4 vCPU, 8 GB hlavnej pamäte, 30 GB miesta na lokálnom pevnom disku na server
Požiadavky na databázový server
| Vytvorte novú databázu pre uloženie kľúčov. Nepoužívajte predvolenú databázu. Aplikácie HDS, keď sú nainštalované, vytvoria schému databázy. |
Pre databázový server sú dve možnosti. Požiadavky na každú z nich sú nasledovné:
|
PostgreSQL |
Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
|
Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať po dlhú dobu bez toho, aby ste museli zväčšiť úložisko) |
Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať po dlhú dobu bez toho, aby ste museli zväčšiť úložisko) |
Softvér HDS momentálne inštaluje nasledujúce verzie ovládačov na komunikáciu s databázovým serverom:
|
PostgreSQL |
Microsoft SQL Server |
|---|---|
|
Postgres JDBC ovládač 42.2.5 |
Ovládač SQL Server JDBC 4.6 Táto verzia ovládača podporuje server SQL Server Always On (Inštancie klastra prepnutia pri zlyhaní a skupiny dostupnosti Vždy zapnuté). |
Dodatočné požiadavky na overenie systému Windows voči Microsoft SQL Server
Ak chcete, aby uzly HDS používali autentifikáciu systému Windows na získanie prístupu k vašej databáze úložiska kľúčov na serveri Microsoft SQL Server, potrebujete vo svojom prostredí nasledujúcu konfiguráciu:
-
HDS uzly, infraštruktúra Active Directory a MS SQL Server musia byť synchronizované s NTP.
-
Účet Windows, ktorý poskytnete uzlom HDS, musí mať prístup k databáze na čítanie/zápis.
-
Servery DNS, ktoré poskytujete uzlom HDS, musia byť schopné vyriešiť vaše Centrum distribúcie kľúčov (KDC).
-
Inštanciu databázy HDS môžete zaregistrovať na svojom serveri Microsoft SQL Server ako hlavný názov služby (SPN) vo vašom adresári Active Directory. Pozrite si časť Registrácia hlavného názvu služby pre pripojenia Kerberos.
Nástroj na nastavenie HDS, spúšťač HDS a miestne KMS musia na prístup k databáze kľúčov používať overenie systému Windows. Používajú podrobnosti z vašej konfigurácie ISO na vytvorenie SPN pri požadovaní prístupu s overením Kerberos.
Požiadavky na externé pripojenie
Nakonfigurujte svoj firewall tak, aby umožňoval nasledujúce pripojenie pre aplikácie HDS:
|
Aplikácia |
Protokol |
Port |
Smer z App |
Cieľ |
|---|---|---|---|---|
|
Hybridné uzly zabezpečenia údajov |
TCP |
443 |
Odchádzajúce HTTPS a WSS |
|
|
Nástroj na nastavenie HDS |
TCP |
443 |
Odchádzajúce HTTPS |
|
| Uzly Hybrid Data Security pracujú s prekladom sieťového prístupu (NAT) alebo za bránou firewall, pokiaľ NAT alebo brána firewall umožňuje požadované odchádzajúce pripojenia k destináciám domény v predchádzajúcej tabuľke. Pre pripojenia prichádzajúce do uzlov Hybrid Data Security by nemali byť z internetu viditeľné žiadne porty. V rámci vášho dátového centra potrebujú klienti prístup k uzlom Hybrid Data Security na portoch TCP 443 a 22 na administratívne účely. |
Adresy URL hostiteľov Common Identity (CI) sú špecifické pre daný región. Toto sú súčasní hostitelia CI:
|
región |
Spoločné adresy URL hostiteľa identity |
|---|---|
|
Ameriky |
|
|
Európskej únie |
|
|
Kanada |
|
Požiadavky na proxy server
-
Oficiálne podporujeme nasledujúce proxy riešenia, ktoré sa dajú integrovať s vašimi uzlami Hybrid Data Security.
-
Transparentný proxy – Cisco Web Security Appliance (WSA).
-
Explicitný proxy-Squid.
Squid proxy, ktoré kontrolujú prenos HTTPS, môžu narúšať vytváranie pripojení websocket (wss:). Ak chcete tento problém vyriešiť, prečítajte si časť Konfigurácia serverov proxy Squid pre hybridné zabezpečenie údajov.
-
-
Pre explicitné servery proxy podporujeme nasledujúce kombinácie typov overenia:
-
Žiadna autentifikácia pomocou HTTP alebo HTTPS
-
Základná autentifikácia pomocou HTTP alebo HTTPS
-
Digest overenie iba s HTTPS
-
-
Pre transparentný kontrolný proxy server alebo explicitný proxy server HTTPS musíte mať kópiu koreňového certifikátu servera proxy. Pokyny na nasadenie v tejto príručke vám povedia, ako nahrať kópiu do dôveryhodných obchodov uzlov Hybrid Data Security.
-
Sieť, ktorá hostí uzly HDS, musí byť nakonfigurovaná tak, aby vynútila smerovanie odchádzajúcej prevádzky TCP na porte 443 cez server proxy.
-
Proxy, ktoré kontrolujú webovú prevádzku, môžu narúšať pripojenia webových soketov. Ak sa vyskytne tento problém, problém vyrieši obídenie (nie kontrola) návštevnosti stránok
wbx2.comaciscospark.com.
Vyplňte Predpoklady pre hybridnú bezpečnosť údajov
| 1 |
Uistite sa, že vaša organizácia Webex má povolený balík Pro Pack pre Cisco Webex Control Hub a získajte prihlasovacie údaje účtu s úplnými právami správcu organizácie. Ak potrebujete pomoc s týmto procesom, kontaktujte svojho partnera Cisco alebo account manažéra. | ||
| 2 |
Vyberte názov domény pre svoje nasadenie HDS (napríklad | ||
| 3 |
Pripravte si identických virtuálnych hostiteľov, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri. Potrebujete aspoň dvoch samostatných hostiteľov (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre, ktorí spĺňajú požiadavky v časti Požiadavky na virtuálneho hostiteľa. | ||
| 4 |
Pripravte databázový server, ktorý bude fungovať ako úložisko kľúčových údajov pre klaster, v súlade s požiadavkami na databázový server. Databázový server musí byť umiestnený v zabezpečenom údajovom centre spolu s virtuálnymi hostiteľmi. | ||
| 5 |
Pre rýchlu obnovu po havárii nastavte zálohovacie prostredie v inom dátovom centre. Zálohovacie prostredie odzrkadľuje produkčné prostredie VM a záložný databázový server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM. | ||
| 6 |
Nastavte hostiteľa syslog na zhromažďovanie protokolov z uzlov v klastri. Získajte jeho sieťovú adresu a port syslog (predvolené je UDP 514). | ||
| 7 |
Vytvorte politiku bezpečného zálohovania pre uzly Hybrid Data Security, databázový server a hostiteľa syslog. Aby ste predišli nenapraviteľnej strate údajov, musíte minimálne zálohovať databázu a konfiguračný súbor ISO vygenerovaný pre uzly Hybrid Data Security.
Klienti Webex App ukladajú svoje kľúče do vyrovnávacej pamäte, takže výpadok nemusí byť okamžite viditeľný, ale časom sa prejaví. Zatiaľ čo dočasným výpadkom nie je možné zabrániť, sú obnoviteľné. Úplná strata (nie sú k dispozícii žiadne zálohy) databázy alebo konfiguračného ISO súboru však bude mať za následok neobnoviteľné zákaznícke údaje. Od operátorov uzlov Hybrid Data Security sa očakáva, že budú pravidelne zálohovať databázu a konfiguračný súbor ISO a budú pripravení na prestavbu dátového centra Hybrid Data Security, ak dôjde ku katastrofálnej poruche. | ||
| 8 |
Uistite sa, že konfigurácia brány firewall umožňuje pripojenie pre uzly Hybrid Data Security, ako je uvedené v časti Požiadavky na externé pripojenie. | ||
| 9 |
Nainštalujte Docker ( https://www.docker.com) na ľubovoľný lokálny počítač s podporovaným operačným systémom (Microsoft Windows 10 Professional alebo Enterprise 64-bitový alebo Mac OSX Yosemite 10.10.3 alebo novší) pomocou webového prehliadača, ktorý k nemu má prístup na adrese http://127.0.0.1:8080. Inštanciu Docker použijete na stiahnutie a spustenie nástroja HDS Setup Tool, ktorý vytvorí informácie o lokálnej konfigurácii pre všetky uzly Hybrid Data Security. Vaša organizácia môže potrebovať licenciu Docker Desktop. Ďalšie informácie nájdete v časti Požiadavky na pracovnú plochu Docker . Ak chcete nainštalovať a spustiť nástroj HDS Setup Tool, miestny počítač musí mať pripojenie uvedené v časti Požiadavky na externé pripojenie. | ||
| 10 |
Ak integrujete server proxy so službou Hybrid Data Security, uistite sa, že spĺňa požiadavky na server proxy. | ||
| 11 |
Ak vaša organizácia používa synchronizáciu adresárov, vytvorte v službe Active Directory skupinu s názvom
|
Tok úloh nasadenia zabezpečenia hybridných údajov
Skôr ako začnete
| 1 |
Stiahnite si inštalačné súbory Stiahnite si súbor OVA na váš lokálny počítač pre neskoršie použitie. | ||
| 2 |
Vytvorte ISO konfigurácie pre hostiteľov HDS Pomocou nástroja HDS Setup Tool vytvorte konfiguračný súbor ISO pre uzly Hybrid Data Security. | ||
| 3 |
Vytvorte virtuálny počítač zo súboru OVA a vykonajte počiatočnú konfiguráciu, ako sú nastavenia siete.
| ||
| 4 |
Nastavte virtuálny počítač Hybrid Data Security Prihláste sa do konzoly VM a nastavte prihlasovacie poverenia. Nakonfigurujte sieťové nastavenia pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA. | ||
| 5 |
Nahrajte a pripojte ISO konfiguráciu HDS Nakonfigurujte VM z konfiguračného súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool. | ||
| 6 |
Nakonfigurujte uzol HDS na integráciu proxy Ak sieťové prostredie vyžaduje konfiguráciu servera proxy, zadajte typ servera proxy, ktorý použijete pre uzol, a v prípade potreby pridajte certifikát servera proxy do dôveryhodného úložiska. | ||
| 7 |
Zaregistrujte prvý uzol v klastri Zaregistrujte VM v cloude Cisco Webex ako uzol Hybrid Data Security. | ||
| 8 |
Vytvorte a zaregistrujte viac uzlov Dokončite nastavenie klastra. | ||
| 9 |
Spustiť skúšobnú verziu a prejsť do produkcie (ďalšia kapitola) Kým nezačnete skúšobnú verziu, vaše uzly generujú alarm oznamujúci, že vaša služba ešte nie je aktivovaná. |
Stiahnite si inštalačné súbory
| 1 |
Prihláste sa do služby https://admin.webex.com a potom kliknite na položku Služby. | ||||
| 2 |
V sekcii Hybridné služby nájdite kartu Hybrid Data Security a kliknite na tlačidlo Nastaviť. Ak je karta zakázaná alebo ju nevidíte, kontaktujte tím spravujúci váš účet alebo partnerskú organizáciu. Poskytnite im svoje číslo účtu a požiadajte, aby vašej organizácii umožnili Hybridné zabezpečenie dát. Ak chcete nájsť číslo účtu, kliknite na ozubené koliesko vpravo hore vedľa názvu organizácie.
| ||||
| 3 |
Výberom možnosti Nie označíte, že ste ešte nenastavili uzol, a potom kliknite na tlačidlo Ďalej. Automaticky sa začne sťahovať súbor OVA. Uložte súbor na miesto v počítači.
| ||||
| 4 |
Voliteľne kliknite na položku Otvoriť sprievodcu nasadením a skontrolujte, či nie je k dispozícii novšia verzia tohto sprievodcu. |
Vytvorte ISO konfigurácie pre hostiteľov HDS
Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.
Skôr ako začnete
-
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Control Hub s úplnými administrátorskými právami pre vašu organizáciu.
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker v kroku 5 zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:
-
Databázové poverenia
-
Aktualizácie certifikátov
-
Zmeny v politike autorizácie
-
-
Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.
| 1 |
Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP:
| ||||||||||||
| 2 |
Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce: | ||||||||||||
| 3 |
Pri výzve na zadanie hesla zadajte tento hash: | ||||||||||||
| 4 |
Stiahnite si najnovší stabilný obraz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: | ||||||||||||
| 5 |
Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:
Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“. | ||||||||||||
| 6 |
Pomocou webového prehliadača prejdite na localhost, Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie. | ||||||||||||
| 7 |
Po zobrazení výzvy zadajte svoje prihlasovacie údaje správcu zákazníka Control Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre hybridné zabezpečenie údajov. | ||||||||||||
| 8 |
Na stránke prehľadu nástroja Setup kliknite na položku Začíname. | ||||||||||||
| 9 |
Na stránke Import ISO máte tieto možnosti:
| ||||||||||||
| 10 |
Skontrolujte, či váš certifikát X.509 spĺňa požiadavky uvedené v časti Požiadavky na certifikát X.509.
| ||||||||||||
| 11 |
Zadajte databázovú adresu a účet pre HDS, aby ste získali prístup k vášmu úložisku kľúčových údajov: | ||||||||||||
| 12 |
Vyberte Režim pripojenia databázy TLS:
Keď odovzdáte koreňový certifikát (ak je to potrebné) a kliknete na tlačidlo Pokračovať, nástroj HDS Setup Tool otestuje pripojenie TLS k databázovému serveru. Nástroj tiež overuje podpisovateľa certifikátu a názov hostiteľa, ak je to potrebné. Ak test zlyhá, nástroj zobrazí chybové hlásenie s popisom problému. Môžete si vybrať, či chcete chybu ignorovať a pokračovať v nastavovaní. (Vzhľadom na rozdiely v konektivite môžu byť uzly HDS schopné vytvoriť pripojenie TLS, aj keď ho zariadenie HDS Setup Tool nedokáže úspešne otestovať.) | ||||||||||||
| 13 |
Na stránke Systémové denníky nakonfigurujte svoj server Syslogd: | ||||||||||||
| 14 |
(Voliteľné) Predvolenú hodnotu niektorých parametrov pripojenia k databáze môžete zmeniť v časti Rozšírené nastavenia. Vo všeobecnosti je tento parameter jediný, ktorý možno budete chcieť zmeniť: | ||||||||||||
| 15 |
Kliknite na tlačidlo Pokračovať na obrazovke Obnoviť heslo servisných účtov . Heslá k servisným účtom majú životnosť deväť mesiacov. Túto obrazovku použite, keď sa blíži koniec platnosti vašich hesiel alebo ich chcete resetovať, aby ste zrušili platnosť predchádzajúcich súborov ISO. | ||||||||||||
| 16 |
Kliknite na položku Prevziať súbor ISO. Uložte súbor na miesto, ktoré sa dá ľahko nájsť. | ||||||||||||
| 17 |
Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. | ||||||||||||
| 18 |
Ak chcete vypnúť inštalačný nástroj, napíšte |
Čo robiť ďalej
Zálohujte konfiguračný súbor ISO. Potrebujete ho na vytvorenie ďalších uzlov na obnovu alebo na vykonanie zmien v konfigurácii. Ak stratíte všetky kópie súboru ISO, stratili ste aj hlavný kľúč. Obnovenie kľúčov z databázy PostgreSQL alebo Microsoft SQL Server nie je možné.
| Nikdy nemáme kópiu tohto kľúča a nemôžeme vám pomôcť, ak ho stratíte. |
Nainštalujte HDS Host OVA
| 1 |
Na prihlásenie do virtuálneho hostiteľa ESXi použite klienta VMware vSphere na vašom počítači. | ||||||
| 2 |
Vyberte položku Súbor > Nasadiť šablónu OVF. | ||||||
| 3 |
V sprievodcovi zadajte umiestnenie súboru OVA, ktorý ste prevzali predtým, a potom kliknite na tlačidlo Ďalej. | ||||||
| 4 |
Na stránke Vyberte názov a priečinok zadajte Názov virtuálneho počítača pre uzol (napríklad „HDS_Node_1“) a vyberte umiestnenie, kde nasadenie uzla virtuálneho počítača sa môže nachádzať a potom kliknite na tlačidlo Ďalej. | ||||||
| 5 |
Na stránke Vyberte výpočtový zdroj vyberte cieľový výpočtový zdroj a potom kliknite na tlačidlo Ďalej. Prebehne overovacia kontrola. Po dokončení sa zobrazia podrobnosti šablóny. | ||||||
| 6 |
Overte podrobnosti šablóny a potom kliknite na tlačidlo Ďalej. | ||||||
| 7 |
Ak sa zobrazí výzva na výber konfigurácie prostriedkov na stránke Konfigurácia , kliknite na položku 4 CPU a potom kliknite na tlačidlo Ďalej. | ||||||
| 8 |
Na stránke Vybrať úložisko kliknite na tlačidlo Ďalej , čím prijmete predvolený formát disku a pravidlá úložiska VM. | ||||||
| 9 |
Na stránke Vybrať siete vyberte sieťovú možnosť zo zoznamu položiek, aby ste poskytli požadované pripojenie k virtuálnemu počítaču. | ||||||
| 10 |
Na stránke Prispôsobiť šablónu nakonfigurujte nasledujúce nastavenia siete:
Ak chcete, môžete preskočiť konfiguráciu nastavenia siete a podľa krokov v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov nakonfigurujte nastavenia z konzoly uzla.
| ||||||
| 11 |
Kliknite pravým tlačidlom myši na uzol VM a potom vyberte položky . Softvér Hybrid Data Security je nainštalovaný ako hosť na hostiteľovi VM. Teraz ste pripravení prihlásiť sa do konzoly a nakonfigurovať uzol. Tipy na riešenie problémov Môžete zaznamenať oneskorenie niekoľkých minút, kým sa kontajnery uzlov objavia. Počas prvého spustenia, počas ktorého sa nemôžete prihlásiť, sa na konzole zobrazí správa brány firewall mosta. |
Nastavte virtuálny počítač Hybrid Data Security
Tento postup použite na prvé prihlásenie do konzoly VM uzla Hybrid Data Security a nastavenie prihlasovacích poverení. Konzolu môžete použiť aj na konfiguráciu sieťových nastavení pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.
| 1 |
V klientovi VMware vSphere vyberte svoj uzol Hybrid Data Security VM a vyberte kartu Konzola . VM sa spustí a zobrazí sa výzva na prihlásenie. Ak sa výzva na prihlásenie nezobrazí, stlačte kláves Enter.
|
| 2 |
Na prihlásenie a zmenu poverení použite nasledujúce predvolené prihlasovacie meno a heslo: Keďže sa do svojho VM prihlasujete prvýkrát, musíte zmeniť heslo správcu. |
| 3 |
Ak ste už nakonfigurovali nastavenia siete v časti Inštalácia hostiteľa HDS OVA, preskočte zvyšok tohto postupu. V opačnom prípade vyberte v hlavnej ponuke možnosť Upraviť konfiguráciu . |
| 4 |
Nastavte statickú konfiguráciu s IP adresou, maskou, bránou a informáciami DNS. Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované. |
| 5 |
(Voliteľné) Zmeňte názov hostiteľa, doménu alebo server(y) NTP, ak je to potrebné, aby zodpovedali zásadám vašej siete. Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509. |
| 6 |
Uložte konfiguráciu siete a reštartujte VM, aby sa zmeny prejavili. |
Nahrajte a pripojte ISO konfiguráciu HDS
Skôr ako začnete
Keďže súbor ISO obsahuje hlavný kľúč, mal by byť zverejnený len na základe „potreby vedieť“, aby k nemu mali prístup virtuálne počítače s hybridným zabezpečením údajov a všetci správcovia, ktorí môžu potrebovať vykonať zmeny. Uistite sa, že k úložisku údajov majú prístup iba títo správcovia.
| 1 |
Nahrajte súbor ISO z počítača: |
| 2 |
Pripojte súbor ISO: |
Čo robiť ďalej
Ak to vyžaduje vaša politika IT, môžete voliteľne odpojiť súbor ISO po tom, čo všetky vaše uzly prevezmú zmeny konfigurácie. Podrobnosti nájdete v časti (Voliteľné) Odpojenie ISO po konfigurácii HDS .
Nakonfigurujte uzol HDS na integráciu proxy
Ak sieťové prostredie vyžaduje server proxy, použite tento postup na určenie typu servera proxy, ktorý chcete integrovať s Hybrid Data Security. Ak si vyberiete transparentný kontrolný proxy server alebo explicitný proxy server HTTPS, môžete použiť rozhranie uzla na nahranie a inštaláciu koreňového certifikátu. Môžete tiež skontrolovať pripojenie proxy z rozhrania a vyriešiť prípadné problémy.
Skôr ako začnete
-
Prehľad podporovaných možností servera proxy nájdete v časti Podpora servera proxy .
| 1 |
Do webového prehliadača zadajte adresu URL nastavenia uzla HDS |
| 2 |
Prejdite na stránku Trust Store & Proxy a potom vyberte jednu z možností:
Postupujte podľa nasledujúcich krokov pre transparentný kontrolný proxy server, explicitný proxy server HTTP so základným overením alebo explicitný proxy HTTPS. |
| 3 |
Kliknite na položku Odovzdať koreňový certifikát alebo certifikát ukončenia entity a potom prejdite na výber koreňového certifikátu pre server proxy. Certifikát je nahraný, ale ešte nie je nainštalovaný, pretože na inštaláciu certifikátu musíte reštartovať uzol. Ak chcete získať ďalšie podrobnosti, kliknite na šípku so šípkou vedľa názvu vydavateľa certifikátu. Ak ste urobili chybu a chcete súbor nahrať znova, kliknite na tlačidlo Odstrániť . |
| 4 |
Kliknutím na položku Skontrolovať pripojenie proxy otestujete sieťové pripojenie medzi uzlom a serverom proxy. Ak test pripojenia zlyhá, zobrazí sa chybové hlásenie, v ktorom je uvedený dôvod a ako môžete problém vyriešiť. Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS. Tento stav sa očakáva v mnohých explicitných konfiguráciách proxy. Môžete pokračovať v nastavovaní a uzol bude fungovať v režime zablokovaného externého rozlíšenia DNS. Ak si myslíte, že ide o chybu, vykonajte tieto kroky a potom si pozrite časť Vypnutie režimu zablokovaného externého rozlíšenia DNS. |
| 5 |
Po úspešnom teste pripojenia pre explicitný server proxy nastavený iba na https zapnite prepínač na možnosť Smerovať všetky požiadavky protokolu https z tohto uzla na port 443/444 cez explicitný server proxy. Toto nastavenie sa prejaví po 15 sekundách. |
| 6 |
Kliknite na položku Inštalovať všetky certifikáty do dôveryhodného úložiska (zobrazí sa pri explicitnom serveri proxy HTTPS alebo transparentnom kontrolnom serveri proxy) alebo Reštartovať (zobrazí sa pri explicitnom serveri proxy HTTP), prečítajte si výzvu a potom kliknite na tlačidlo Inštalovať , ak ste pripravení. Uzol sa reštartuje v priebehu niekoľkých minút. |
| 7 |
Keď sa uzol reštartuje, v prípade potreby sa znova prihláste a potom otvorte stránku Prehľad a skontrolujte kontroly pripojenia, aby ste sa uistili, že sú všetky v zelenom stave. Kontrola pripojenia proxy testuje iba subdoménu webex.com. Ak sa vyskytnú problémy s pripojením, bežným problémom je, že niektoré z cloudových domén uvedených v pokynoch na inštaláciu sú na serveri proxy blokované. |
Zaregistrujte prvý uzol v klastri
Keď zaregistrujete svoj prvý uzol, vytvoríte klaster, ku ktorému je uzol priradený. Klaster obsahuje jeden alebo viac uzlov nasadených na zabezpečenie redundancie.
Skôr ako začnete
-
Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.
-
Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.
| 1 |
Prihláste sa do https://admin.webex.com. |
| 2 |
V ponuke na ľavej strane obrazovky vyberte položku Služby. |
| 3 |
V sekcii Hybridné služby nájdite položku Hybrid Data Security a kliknite na tlačidlo Nastaviť. Zobrazí sa stránka Register Hybrid Data Security Node.
|
| 4 |
Výberom možnosti Áno označíte, že ste uzol nastavili a ste pripravení ho zaregistrovať, a potom kliknite na tlačidlo Ďalej. |
| 5 |
Do prvého poľa zadajte názov klastra, ku ktorému chcete priradiť váš uzol Hybrid Data Security. Odporúčame pomenovať klaster podľa toho, kde sa geograficky nachádzajú uzly klastra. Príklady: „San Francisco“ alebo „New York“ alebo „Dallas“ |
| 6 |
Do druhého poľa zadajte internú adresu IP alebo úplný názov domény (FQDN) svojho uzla a kliknite na tlačidlo Ďalej. Táto adresa IP alebo FQDN by sa mala zhodovať s adresou IP alebo názvom hostiteľa a doménou, ktoré ste použili v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov. Zobrazí sa správa, že môžete zaregistrovať svoj uzol do Webexu.
|
| 7 |
Kliknite na položku Prejsť do uzla. |
| 8 |
V správe s upozornením kliknite na tlačidlo Pokračovať . Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že svojej organizácii Webex chcete udeliť povolenia na prístup k vášmu uzlu.
|
| 9 |
Začiarknite políčko Povoliť prístup k vášmu uzlu zabezpečenia hybridných údajov a potom kliknite na tlačidlo Pokračovať. Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
|
| 10 |
Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Hybrid Data Security Control Hub. Na stránke Hybrid Data Security sa zobrazí nový klaster obsahujúci uzol, ktorý ste zaregistrovali. Uzol si automaticky stiahne najnovší softvér z cloudu.
|
Vytvorte a zaregistrujte viac uzlov
| V súčasnosti sú záložné virtuálne počítače, ktoré ste vytvorili v časti Complete the Requirements for Hybrid Data Security , pohotovostnými hostiteľmi, ktorí sa používajú iba v prípade obnovy po havárii. dovtedy nie sú registrovaní v systéme. Podrobnosti nájdete v časti Obnova po havárii pomocou pohotovostného dátového centra. |
Skôr ako začnete
-
Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.
-
Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.
| 1 |
Vytvorte nový virtuálny počítač z OVA zopakovaním krokov v časti Inštalácia hostiteľského OVA HDS. |
| 2 |
Nastavte úvodnú konfiguráciu na novom virtuálnom počítači zopakovaním krokov v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov. |
| 3 |
Na novom virtuálnom počítači zopakujte kroky v časti Odovzdanie a pripojenie ISO konfigurácie HDS. |
| 4 |
Ak nastavujete server proxy pre svoje nasadenie, zopakujte kroky v časti Konfigurácia uzla HDS na integráciu servera proxy podľa potreby pre nový uzol. |
| 5 |
Zaregistrujte uzol. Váš uzol je zaregistrovaný. Upozorňujeme, že kým nezačnete skúšobnú verziu, vaše uzly generujú alarm, ktorý oznamuje, že vaša služba ešte nie je aktivovaná.
|
Čo robiť ďalej
Skúšobný postup produkčných úloh
Po nastavení klastra Hybrid Data Security môžete spustiť pilotný projekt, pridať doň používateľov a začať ho používať na testovanie a overovanie vášho nasadenia v rámci prípravy na prechod do produkcie.
Skôr ako začnete
| 1 |
Ak je to možné, synchronizujte objekt skupiny Ak vaša organizácia používa synchronizáciu adresárov pre používateľov, pred spustením skúšobnej verzie musíte vybrať objekt skupiny |
| 2 |
Začnite skúšobnú verziu. Kým nevykonáte túto úlohu, vaše uzly generujú alarm, ktorý oznamuje, že služba ešte nie je aktivovaná. |
| 3 |
Otestujte svoje nasadenie hybridného zabezpečenia dát Skontrolujte, či kľúčové požiadavky prechádzajú do vášho nasadenia Hybrid Data Security. |
| 4 |
Monitorujte zdravie Hybrid Data Security Health Skontrolujte stav a nastavte e-mailové upozornenia na budíky. |
| 5 |
Pridajte alebo odstráňte používateľov z vašej skúšobnej verzie |
| 6 |
Dokončite skúšobnú fázu jedným z nasledujúcich krokov: |
Aktivovať skúšobnú verziu
Skôr ako začnete
Ak vaša organizácia používa synchronizáciu adresárov pre používateľov, pred spustením skúšobnej verzie pre vašu organizáciu musíte vybrať objekt skupiny HdsTrialGroup na synchronizáciu do cloudu. Pokyny nájdete v Príručke nasadenia pre Cisco Directory Connector.
| 1 |
Prihláste sa do služby https://admin.webex.com a potom vyberte položku Služby. |
| 2 |
V časti Hybrid Data Security kliknite na položku Nastavenia. |
| 3 |
V časti Stav služby kliknite na tlačidlo Spustiť skúšobnú verziu. Stav služby sa zmení na skúšobný režim.
|
| 4 |
Kliknite na položku Pridať používateľov a zadajte e-mailovú adresu jedného alebo viacerých používateľov, ktorí budú pilotne používať vaše uzly Hybrid Data Security pre šifrovacie a indexovacie služby. (Ak vaša organizácia používa synchronizáciu adresárov, na správu skúšobnej skupiny |
Otestujte svoje nasadenie hybridného zabezpečenia dát
Skôr ako začnete
-
Nastavte nasadenie Hybrid Data Security.
-
Aktivujte skúšobnú verziu a pridajte niekoľko používateľov skúšobnej verzie.
-
Uistite sa, že máte prístup k syslog, aby ste si overili, že kľúčové požiadavky prechádzajú do vášho nasadenia Hybrid Data Security.
| 1 |
Kľúče pre daný priestor nastavuje tvorca priestoru. Prihláste sa do aplikácie Webex ako jeden z pilotných používateľov a potom vytvorte priestor a pozvite aspoň jedného pilotného používateľa a jedného nepilotného používateľa.
| ||
| 2 |
Posielajte správy do nového priestoru. | ||
| 3 |
Skontrolujte výstup syslog, aby ste si overili, že požiadavky na kľúče prechádzajú do vášho nasadenia Hybrid Data Security. |
Monitorujte zdravie Hybrid Data Security Health
| 1 |
V Control Hub vyberte z ponuky na ľavej strane obrazovky položku Služby . |
| 2 |
V sekcii Hybridné služby nájdite položku Hybrid Data Security a kliknite na položku Nastavenia. Zobrazí sa stránka Hybrid Data Security Settings.
|
| 3 |
V časti E-mailové upozornenia zadajte jednu alebo viac e-mailových adries oddelených čiarkami a stlačte kláves Enter. |
Pridajte alebo odstráňte používateľov z vašej skúšobnej verzie
Ak odstránite používateľa zo skúšobnej verzie, klient tohto používateľa bude namiesto vášho KMS požadovať kľúče a vytvorenie kľúča z cloudového KMS. Ak klient potrebuje kľúč, ktorý je uložený vo vašom KMS, cloudový KMS ho načíta v mene používateľa.
Ak vaša organizácia používa synchronizáciu adresárov, použite službu Active Directory (namiesto tohto postupu) na správu skúšobnej skupiny HdsTrialGroup. členov skupiny môžete zobraziť v Control Hub, ale nemôžete ich pridávať ani odstraňovať.
| 1 |
Prihláste sa do centra Control Hub a potom vyberte položku Služby. |
| 2 |
V časti Hybrid Data Security kliknite na položku Nastavenia. |
| 3 |
V sekcii Skúšobný režim v oblasti Stav služby kliknite na položku Pridať používateľov alebo kliknutím na položku zobraziť a upraviť odoberte používateľov zo skúšobnej verzie. |
| 4 |
Zadajte e-mailovú adresu jedného alebo viacerých používateľov, ktorých chcete pridať, alebo kliknutím na tlačidlo X pri ID používateľa odstráňte používateľa zo skúšobnej verzie. Potom kliknite na tlačidlo Uložiť. |
Presuňte sa zo skúšobnej do produkcie
| 1 |
Prihláste sa do centra Control Hub a potom vyberte položku Služby. |
| 2 |
V časti Hybrid Data Security kliknite na položku Nastavenia. |
| 3 |
V časti Stav služby kliknite na položku Presunúť do produkcie. |
| 4 |
Potvrďte, že chcete presunúť všetkých svojich používateľov do produkcie. |
Ukončite skúšobnú verziu bez presunu do výroby
| 1 |
Prihláste sa do centra Control Hub a potom vyberte položku Služby. |
| 2 |
V časti Hybrid Data Security kliknite na položku Nastavenia. |
| 3 |
V časti Deaktivovať kliknite na položku Deaktivovať. |
| 4 |
Potvrďte, že chcete službu deaktivovať a ukončiť skúšobnú verziu. |
Spravujte nasadenie HDS
Pomocou tu popísaných úloh spravujte svoje nasadenie Hybrid Data Security.
Nastavte plán aktualizácie klastra
Ak chcete nastaviť plán aktualizácie:
| 1 |
Prihláste sa do Control Hub. |
| 2 |
Na stránke Prehľad v časti Hybridné služby vyberte položku Bezpečnosť hybridných údajov. |
| 3 |
Na stránke Hybrid Data Security Resources vyberte klaster. |
| 4 |
Na paneli Prehľad vpravo v časti Nastavenia klastra vyberte názov klastra. |
| 5 |
Na stránke Nastavenia v časti Aktualizácia vyberte čas a časové pásmo pre plán inovácie. Poznámka: Pod časovým pásmom sa zobrazí dátum a čas ďalšej dostupnej aktualizácie. V prípade potreby môžete inováciu odložiť na nasledujúci deň kliknutím na tlačidlo Odložiť. |
Zmeňte konfiguráciu uzla
-
Zmena x.509 certifikátov z dôvodu uplynutia platnosti alebo iných dôvodov.
Nepodporujeme zmenu názvu domény CN certifikátu. Doména sa musí zhodovať s pôvodnou doménou použitou na registráciu klastra.
-
Aktualizácia nastavení databázy pre zmenu na repliku databázy PostgreSQL alebo Microsoft SQL Server.
Nepodporujeme migráciu údajov z PostgreSQL na Microsoft SQL Server ani opačným spôsobom. Ak chcete zmeniť prostredie databázy, spustite nové nasadenie Hybrid Data Security.
-
Vytvorenie novej konfigurácie na prípravu nového dátového centra.
Z bezpečnostných dôvodov používa Hybrid Data Security heslá servisných účtov, ktoré majú životnosť deväť mesiacov. Keď nástroj HDS Setup vygeneruje tieto heslá, nasadíte ich do každého z vašich uzlov HDS v konfiguračnom súbore ISO. Keď sa blíži koniec platnosti hesiel vašej organizácie, dostanete od tímu Webex upozornenie na resetovanie hesla pre váš počítačový účet. (E-mail obsahuje text „Na aktualizáciu hesla použite rozhranie API strojového účtu.“) Ak platnosť vašich hesiel ešte nevypršala, nástroj vám ponúka dve možnosti:
-
Mäkké obnovenie – staré aj nové heslo fungujú až 10 dní. Toto obdobie použite na postupnú výmenu súboru ISO na uzloch.
-
Tvrdý reset – staré heslá okamžite prestanú fungovať.
Ak platnosť vašich hesiel vyprší bez resetovania, ovplyvní to vašu službu HDS, čo si vyžaduje okamžitý tvrdý reset a nahradenie súboru ISO na všetkých uzloch.
Tento postup použite na vygenerovanie nového konfiguračného súboru ISO a jeho použitie vo vašom klastri.
Skôr ako začnete
-
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Control Hub s úplnými administrátorskými právami pre vašu organizáciu.
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri vytváraní kontajnera Docker v 1.e zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Na vygenerovanie novej konfigurácie potrebujete kópiu aktuálneho konfiguračného súboru ISO. ISO obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. ISO potrebujete, keď robíte zmeny v konfigurácii vrátane poverení databázy, aktualizácií certifikátov alebo zmien v politike autorizácie.
| 1 |
Pomocou Docker na lokálnom počítači spustite nástroj HDS Setup Tool.
| ||||||
| 2 |
Ak máte spustený iba jeden uzol HDS, vytvorte nový virtuálny počítač s uzlom Hybrid Data Security a zaregistrujte ho pomocou nového konfiguračného súboru ISO. Podrobnejšie pokyny nájdete v časti Vytvorenie a registrácia ďalších uzlov. | ||||||
| 3 |
Pre existujúce uzly HDS, na ktorých je spustený starší konfiguračný súbor, pripojte súbor ISO. Postupne vykonajte nasledujúci postup na každom uzle a pred vypnutím ďalšieho uzla aktualizujte každý uzol: | ||||||
| 4 |
Opakujte krok 3, aby ste nahradili konfiguráciu na každom zostávajúcom uzle, na ktorom je spustená stará konfigurácia. |
Vypnite režim zablokovaného externého rozlíšenia DNS
Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. Ak server DNS uzla nedokáže rozlíšiť verejné názvy DNS, uzol automaticky prejde do režimu zablokovaného externého rozlíšenia DNS.
Ak vaše uzly dokážu rozlíšiť verejné názvy DNS prostredníctvom interných serverov DNS, môžete tento režim vypnúť opätovným spustením testu pripojenia proxy na každom uzle.
Skôr ako začnete
| 1 |
Vo webovom prehliadači otvorte rozhranie uzla Hybrid Data Security (napríklad adresa IP alebo nastavenie, https://192.0.2.0/setup), zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite na tlačidlo Prihlásiť sa). |
| 2 |
Prejdite na Prehľad (predvolená stránka). Keď je táto možnosť povolená, možnosť Blokované externé rozlíšenie DNS je nastavená na možnosť Áno. |
| 3 |
Prejdite na stránku Trust Store & Proxy . |
| 4 |
Kliknite na položku Skontrolovať pripojenie proxy. Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS a zostane v tomto režime. V opačnom prípade po reštartovaní uzla a návrate na stránku Prehľad by mala byť možnosť Blokované externé rozlíšenie DNS nastavené na možnosť Nie. |
Čo robiť ďalej
Odstráňte uzol
| 1 |
Pomocou klienta VMware vSphere vo svojom počítači sa prihláste do virtuálneho hostiteľa ESXi a vypnite virtuálny počítač. |
| 2 |
Odstráňte uzol: |
| 3 |
V klientovi vSphere odstráňte VM. (Na ľavom navigačnom paneli kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Odstrániť.) Ak nevymažete VM, nezabudnite odpojiť konfiguračný súbor ISO. Bez súboru ISO nemôžete použiť VM na prístup k bezpečnostným údajom. |
Obnova po havárii pomocou pohotovostného dátového centra
Najdôležitejšou službou, ktorú váš klaster Hybrid Data Security poskytuje, je vytváranie a ukladanie kľúčov používaných na šifrovanie správ a iného obsahu uloženého v cloude Webex. Pre každého používateľa v rámci organizácie, ktorý je priradený k Hybrid Data Security, sú do klastra smerované nové požiadavky na vytvorenie kľúča. Klaster je tiež zodpovedný za vrátenie kľúčov, ktoré vytvoril, všetkým používateľom oprávneným na ich získanie, napríklad členom konverzačného priestoru.
Pretože klaster vykonáva kritickú funkciu poskytovania týchto kľúčov, je nevyhnutné, aby klaster zostal spustený a aby sa udržiavali správne zálohy. Strata databázy Hybrid Data Security alebo konfigurácie ISO použitej pre schému bude mať za následok NENÁVRATNÚ STRATU zákazníckeho obsahu. Aby sa predišlo takejto strate, sú povinné nasledujúce postupy:
Ak havária spôsobí, že nasadenie HDS v primárnom dátovom centre sa stane nedostupným, podľa tohto postupu manuálne prepnite na pohotovostné dátové centrum.
| 1 |
Spustite nástroj na nastavenie HDS a postupujte podľa krokov uvedených v časti Vytvorenie konfiguračného ISO pre hostiteľov HDS. | ||
| 2 |
Po konfigurácii servera Syslogd kliknite na položku Rozšírené nastavenia | ||
| 3 |
Na stránke Rozšírené nastavenia pridajte konfiguráciu nižšie alebo odstráňte konfiguráciu
| ||
| 4 |
Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť. | ||
| 5 |
Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. | ||
| 6 |
V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Upraviť nastavenia. | ||
| 7 |
Kliknite na položku Upraviť nastavenia >Jednotka CD/DVD 1 a vyberte položku Datastore ISO File.
| ||
| 8 |
Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy. | ||
| 9 |
Opakujte proces pre každý uzol v pohotovostnom dátovom centre.
|
Čo robiť ďalej
(Voliteľné) Odpojte ISO po konfigurácii HDS
Štandardná konfigurácia HDS beží s namontovaným ISO. Niektorí zákazníci však uprednostňujú neponechať súbory ISO nepretržite pripojené. Súbor ISO môžete odpojiť potom, čo všetky uzly HDS prevezmú novú konfiguráciu.
Na vykonanie zmien v konfigurácii stále používate súbory ISO. Keď vytvoríte nový ISO alebo aktualizujete ISO pomocou nástroja Setup Tool, musíte aktualizovaný ISO pripojiť na všetky vaše uzly HDS. Keď všetky vaše uzly zachytia zmeny konfigurácie, môžete ISO znova odpojiť pomocou tohto postupu.
Skôr ako začnete
Inovujte všetky svoje uzly HDS na verziu 2021.01.22.4720 alebo novšiu.
| 1 |
Vypnite jeden z uzlov HDS. |
| 2 |
V serverovom zariadení vCenter vyberte uzol HDS. |
| 3 |
Vyberte položku a zrušte začiarknutie políčka Súbor ISO úložiska údajov. |
| 4 |
Zapnite uzol HDS a uistite sa, že aspoň 20 minút nie sú žiadne alarmy. |
| 5 |
Postup opakujte pre každý uzol HDS. |
Zobraziť upozornenia a riešenie problémov
Nasadenie Hybrid Data Security sa považuje za nedostupné, ak sú všetky uzly v klastri nedostupné alebo klaster pracuje tak pomaly, že si vyžaduje časový limit. Ak používatelia nemôžu dosiahnuť váš klaster Hybrid Data Security, zaznamenajú nasledujúce príznaky:
-
Nie je možné vytvoriť nové medzery (nemožno vytvoriť nové kľúče)
-
Správy a názvy priestorov sa nedajú dešifrovať pre:
-
Noví používatelia pridaní do priestoru (nemožno načítať kľúče)
-
Existujúci používatelia v priestore používajúci nového klienta (nemožno načítať kľúče)
-
-
Existujúci používatelia v priestore budú naďalej úspešne fungovať, pokiaľ ich klienti majú vyrovnávaciu pamäť šifrovacích kľúčov
Je dôležité, aby ste správne monitorovali svoj klaster Hybrid Data Security a okamžite riešili všetky výstrahy, aby ste predišli prerušeniu služby.
Upozornenia
Ak sa vyskytne problém s nastavením Hybrid Data Security, Control Hub zobrazí upozornenia správcovi organizácie a odošle e-maily na nakonfigurovanú e-mailovú adresu. Výstrahy pokrývajú mnoho bežných scenárov.
|
Upozornenie |
Akcia |
|---|---|
|
Zlyhanie prístupu k lokálnej databáze. |
Skontrolujte chyby databázy alebo problémy s lokálnou sieťou. |
|
Zlyhanie pripojenia k lokálnej databáze. |
Skontrolujte, či je databázový server dostupný a či boli v konfigurácii uzla použité správne poverenia servisného účtu. |
|
Zlyhanie prístupu k cloudovej službe. |
Skontrolujte, či majú uzly prístup k serverom Webex, ako je uvedené v časti Požiadavky na externé pripojenie. |
|
Obnovuje sa registrácia cloudovej služby. |
Registrácia do cloudových služieb bola zrušená. Prebieha obnova registrácie. |
|
Registrácia cloudovej služby bola zrušená. |
Registrácia do cloudových služieb bola ukončená. Služba sa vypína. |
|
Služba ešte nie je aktivovaná. |
Aktivujte skúšobnú verziu alebo dokončite presun skúšky do produkcie. |
|
Nakonfigurovaná doména sa nezhoduje s certifikátom servera. |
Uistite sa, že váš certifikát servera sa zhoduje s nakonfigurovanou doménou aktivácie služby. Najpravdepodobnejšou príčinou je, že certifikát CN bol nedávno zmenený a teraz sa líši od CN, ktorý bol použitý počas počiatočného nastavenia. |
|
Nepodarilo sa overiť v cloudových službách. |
Skontrolujte presnosť a možné vypršanie platnosti poverení servisného účtu. |
|
Nepodarilo sa otvoriť súbor lokálneho úložiska kľúčov. |
Skontrolujte integritu a presnosť hesla v lokálnom súbore skladu kľúčov. |
|
Certifikát lokálneho servera je neplatný. |
Skontrolujte dátum vypršania platnosti certifikátu servera a potvrďte, že bol vydaný dôveryhodnou certifikačnou autoritou. |
|
Nie je možné uverejniť metriky. |
Skontrolujte prístup k lokálnej sieti k externým cloudovým službám. |
|
Adresár /media/configdrive/hds neexistuje. |
Skontrolujte konfiguráciu pripojenia ISO na virtuálnom hostiteľovi. Overte, či súbor ISO existuje, či je nakonfigurovaný na pripojenie pri reštarte a či sa úspešne pripojí. |
Riešenie problémov so zabezpečením hybridných údajov
| 1 |
Skontrolujte si v Control Hub všetky upozornenia a opravte všetky položky, ktoré tam nájdete. |
| 2 |
Skontrolujte výstup servera syslog pre aktivitu z nasadenia Hybrid Data Security. |
| 3 |
Kontaktujte podporu Cisco. |
Známe problémy s hybridnou bezpečnosťou dát
-
Ak vypnete svoj klaster Hybrid Data Security (odstránením v Control Hub alebo vypnutím všetkých uzlov), stratíte svoj konfiguračný súbor ISO alebo stratíte prístup k databáze úložiska kľúčov, používatelia vašej aplikácie Webex už nebudú môcť používať priestory pod svojimi ľuďmi. zoznam, ktorý bol vytvorený pomocou kľúčov z vášho KMS. Platí to pre skúšobné aj produkčné nasadenia. V súčasnosti nemáme riešenie ani opravu tohto problému a žiadame vás, aby ste nevypínali svoje služby HDS, keď budú spracovávať aktívne používateľské účty.
-
Klient, ktorý má existujúce pripojenie ECDH ku KMS, udržiava toto pripojenie určitý čas (pravdepodobne jednu hodinu). Keď sa používateľ stane členom skúšobnej verzie Hybrid Data Security, klient používateľa naďalej používa existujúce pripojenie ECDH, kým nevyprší časový limit. Prípadne sa používateľ môže odhlásiť a znova prihlásiť do aplikácie Webex App, aby aktualizoval umiestnenie, ktoré aplikácia kontaktuje pre šifrovacie kľúče.
Rovnaké správanie nastane, keď presuniete skúšobnú verziu do produkcie organizácie. Všetci neskúšobní používatelia s existujúcimi pripojeniami ECDH k predchádzajúcim službám zabezpečenia údajov budú tieto služby naďalej používať, kým sa znovu nedohodne pripojenie ECDH (prostredníctvom časového limitu alebo odhlásením a opätovným prihlásením).
Na vygenerovanie súboru PKCS12 použite OpenSSL
Skôr ako začnete
-
OpenSSL je jeden nástroj, ktorý možno použiť na vytvorenie súboru PKCS12 v správnom formáte na načítanie v nástroji HDS Setup Tool. Existujú aj iné spôsoby, ako to urobiť, a my nepodporujeme ani nepresadzujeme jeden spôsob oproti druhému.
-
Ak sa rozhodnete použiť OpenSSL, poskytujeme tento postup ako návod, ktorý vám pomôže vytvoriť súbor, ktorý spĺňa požiadavky na certifikát X.509 v časti Požiadavky na certifikát X.509. Než budete pokračovať, pochopte tieto požiadavky.
-
Nainštalujte OpenSSL v podporovanom prostredí. Softvér a dokumentáciu nájdete v časti https://www.openssl.org .
-
Vytvorte si súkromný kľúč.
-
Tento postup začnite, keď dostanete certifikát servera od certifikačnej autority (CA).
| 1 |
Keď od svojej CA dostanete certifikát servera, uložte ho ako |
| 2 |
Zobrazte certifikát ako text a overte podrobnosti.
|
| 3 |
Pomocou textového editora vytvorte súbor balíka certifikátov s názvom
|
| 4 |
Vytvorte súbor .p12 s priateľským názvom
|
| 5 |
Skontrolujte podrobnosti certifikátu servera. |
Čo robiť ďalej
Vráťte sa na stránku Dokončenie predpokladov pre hybridné zabezpečenie údajov. V časti Vytvorenie konfiguračného ISO pre hostiteľov HDS použijete súbor hdsnode.p12 a heslo, ktoré ste preň nastavili.
| Tieto súbory môžete znova použiť na vyžiadanie nového certifikátu, keď platnosť pôvodného certifikátu vyprší. |
Prevádzka medzi uzlami HDS a cloudom
Odchádzajúca návštevnosť zberu metrík
Uzly Hybrid Data Security odosielajú určité metriky do cloudu Webex. Patria sem systémové metriky pre maximálnu haldu, využitú haldu, zaťaženie procesora a počet vlákien; metriky na synchrónnych a asynchrónnych vláknach; metriky výstrah zahŕňajúce prah šifrovacích pripojení, latenciu alebo dĺžku frontu žiadostí; metriky v dátovom sklade; a metriky šifrovaného pripojenia. Uzly posielajú zašifrovaný kľúčový materiál cez kanál mimo pásma (oddelený od požiadavky).
Prichádzajúca premávka
Uzly Hybrid Data Security prijímajú nasledujúce typy prichádzajúcej prevádzky z cloudu Webex:
-
Šifrovacie požiadavky od klientov, ktoré sú smerované šifrovacou službou
-
Aktualizácie softvéru uzla
Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát
Websocket sa nemôže pripojiť cez Squid Proxy
Servery proxy typu Squid, ktoré kontrolujú prenos HTTPS, môžu narúšať vytváranie pripojení websocket (wss:), ktoré vyžaduje Hybrid Data Security. Tieto časti poskytujú návod, ako nakonfigurovať rôzne verzie Squid tak, aby ignorovali wss: prevádzky pre správne fungovanie služieb.
Kalmáre 4 a 5
Pridajte on_unsupported_protocol smernicu na stránku squid.conf:
on_unsupported_protocol tunel všetkoKalmáre 3.5.27
Úspešne sme testovali Hybrid Data Security pomocou nasledujúcich pravidiel pridaných na stránku squid.conf. Tieto pravidlá sa môžu meniť, pretože vyvíjame funkcie a aktualizujeme cloud Webex.
acl wssMercuryConnection ssl::server_name_regex ortuťové pripojenie ssl_bump splice wssMercuryConnection acl krok1 at_step SslBump1 acl krok2 at_step SslBump2 acl krok3 at_step SslBump3 ssl_bump pohľad krok1 všetko ssl_bump pozerať krok2 všetko ssl_bump vyskočiť krok3 všetko
