V tomto článku
dropdown icon
Nové a zmenené informácie
    Nové a zmenené informácie
dropdown icon
Začnite s hybridným zabezpečením údajov pre viacerých nájomníkov
    dropdown icon
    Prehľad zabezpečenia hybridných dát pre viacerých nájomníkov
      Ako hybridné zabezpečenie údajov pre viacerých nájomcov poskytuje suverenitu údajov a kontrolu nad údajmi
      Obmedzenia hybridného zabezpečenia údajov pre viacerých nájomcov
      Úlohy v oblasti hybridnej bezpečnosti údajov pre viacerých nájomníkov
    dropdown icon
    Architektúra bezpečnostnej oblasti
      Oblasti oddelenia (bez hybridnej bezpečnosti údajov)
    Spolupráca s inými organizáciami
    Očakávania týkajúce sa nasadenia hybridnej bezpečnosti údajov
    Proces nastavenia na vysokej úrovni
    dropdown icon
    Hybridný model nasadenia zabezpečenia údajov
      Hybridný model nasadenia zabezpečenia údajov
    dropdown icon
    Pohotovostné dátové centrum pre obnovu po havárii
      Manuálne prepnutie do záložného dátového centra
    Podpora proxy serverov
dropdown icon
Príprava prostredia
    dropdown icon
    Požiadavky na zabezpečenie hybridných dát pre viacerých nájomcov
      Licenčné požiadavky Cisco Webex
      Požiadavky na Docker Desktop
      Požiadavky na certifikát X.509
      Požiadavky na virtuálneho hostiteľa
      Požiadavky na databázový server
      Požiadavky na externé pripojenie
      Požiadavky na proxy server
    Splňte predpoklady pre hybridnú bezpečnosť údajov
dropdown icon
Nastavenie hybridného klastra zabezpečenia údajov
    Postup úlohy nasadenia hybridnej bezpečnosti údajov
    Vykonajte úvodné nastavenie a stiahnite si inštalačné súbory
    Vytvorte konfiguračný ISO súbor pre hostiteľov HDS
    Nainštalujte OVA hostiteľa HDS
    Nastavenie hybridného virtuálneho počítača zabezpečenia údajov
    Nahrajte a pripojte ISO súbor s konfiguráciou HDS
    Konfigurácia uzla HDS pre integráciu proxy servera
    Zaregistrujte prvý uzol v klastri
    Vytvorte a zaregistrujte ďalšie uzly
dropdown icon
Správa organizácií nájomníkov v rámci hybridného zabezpečenia údajov pre viacerých nájomníkov
    Aktivácia Multi-Tenant HDS v centre partnerov
    Pridanie organizácií nájomníkov do Centra partnerov
    Vytvorenie hlavných kľúčov zákazníka (CMK) pomocou nástroja HDS Setup
    Odstrániť organizácie nájomníkov
    Zrušiť kľúče nájomníkov odstránených z HDS.
dropdown icon
Otestujte si nasadenie hybridného zabezpečenia údajov
    Otestujte si nasadenie hybridného zabezpečenia údajov
    Monitorovanie stavu hybridnej bezpečnosti údajov
dropdown icon
Spravujte nasadenie HDS
    Správa nasadenia HDS
    Nastaviť plán aktualizácie klastra
    Zmena konfigurácie uzla
    Vypnite režim blokovaného externého rozlišovania DNS
    Odstrániť uzol
    Obnova po havárii pomocou záložného dátového centra
    (Voliteľné) Odpojenie ISO po konfigurácii HDS
dropdown icon
Riešenie problémov s hybridnou bezpečnosťou údajov
    Zobraziť upozornenia a riešenie problémov
    dropdown icon
    Upozornenia
      Bežné problémy a kroky na ich riešenie
    Riešenie problémov s hybridnou bezpečnosťou údajov
dropdown icon
Ďalšie poznámky
    Známe problémy s hybridnou bezpečnosťou údajov
    Spustite nástroj HDS Setup pomocou aplikácie Podman Desktop
    dropdown icon
    Presunúť existujúce nasadenie HDS pre jedného nájomníka partnerskej organizácie v Control Hub do nastavenia HDS pre viacerých nájomníkov v Partner Hub
      Deaktivácia HDS, zrušenie registrácie uzlov a odstránenie klastra v Control Hub
      Aktivujte Multi-Tenant HDS pre partnerskú organizáciu v Partner Hub a pridajte zákazníkov
    Použitie OpenSSL na generovanie súboru PKCS12
    Prevádzka medzi uzlami HDS a cloudom
    dropdown icon
    Konfigurácia proxy serverov Squid pre hybridnú bezpečnosť dát
      Websocket sa nemôže pripojiť cez proxy Squid
dropdown icon
Deaktivácia hybridného zabezpečenia údajov pre viacerých nájomníkov
    Postup deaktivácie viacnájomníckeho HDS

Sprievodca nasadením hybridného zabezpečenia údajov pre viacerých nájomníkov (HDS) (Beta)

list-menuV tomto článku
list-menuSpätná väzba?

Nové a zmenené informácie

Nové a zmenené informácie

Táto tabuľka obsahuje nové funkcie alebo funkcie, zmeny existujúceho obsahu a všetky hlavné chyby, ktoré boli opravené v Príručke nasadenia pre multi-tenantovú hybridnú bezpečnosť údajov.

Dátum

Vykonané zmeny

13. decembra 2024

Prvé vydanie.

Deaktivujte hybridné zabezpečenie dát pre viacerých nájomníkov

Tok úloh deaktivácie HDS pre viacerých nájomníkov

Ak chcete úplne deaktivovať Multi-Tenant HDS, postupujte podľa týchto krokov.

Skôr ako začnete

Túto úlohu by mal vykonávať iba úplný správca partnera.
1

Odstráňte všetkých zákazníkov zo všetkých svojich klastrov, ako je uvedené v časti Odstránenie organizácií nájomníkov.

2

Zrušte CMK všetkých zákazníkov, ako je uvedené v časti Zrušenie CMK nájomníkov odstránených z HDS.

3

Odstráňte všetky uzly zo všetkých klastrov, ako je uvedené v časti Odstránenie uzla.

4

Odstráňte všetky svoje klastre z Partner Hub pomocou jednej z nasledujúcich dvoch metód.

  • Kliknite na klaster, ktorý chcete odstrániť, a vyberte možnosť Odstrániť tento klaster v pravom hornom rohu stránky súhrnu.
  • Na stránke Zdroje kliknite na … na pravej strane klastra a vyberte možnosť Odstrániť klaster.
5

Kliknite na kartu Nastavenia na stránke prehľadu Hybrid Data Security a kliknite na položku Deaktivovať HDS na karte Stav HDS.

Začnite s Hybridným zabezpečením dát pre viacerých nájomníkov

Prehľad zabezpečenia hybridných dát pre viacerých nájomníkov

Od prvého dňa bola bezpečnosť údajov hlavným zameraním pri navrhovaní aplikácie Webex. Základným kameňom tohto zabezpečenia je komplexné šifrovanie obsahu, ktoré umožňujú klienti Webex App interagujúci so službou Key Management Service (KMS). KMS je zodpovedný za vytváranie a správu kryptografických kľúčov, ktoré klienti používajú na dynamické šifrovanie a dešifrovanie správ a súborov.

V predvolenom nastavení dostávajú všetci zákazníci Webex App end-to-end šifrovanie s dynamickými kľúčmi uloženými v cloudovom KMS v oblasti bezpečnosti Cisco. Hybrid Data Security presúva KMS a ďalšie funkcie súvisiace so zabezpečením do vášho podnikového dátového centra, takže kľúče k vášmu šifrovanému obsahu nemá nikto okrem vás.

Multi-Tenant Hybrid Data Security umožňuje organizáciám využívať HDS prostredníctvom dôveryhodného miestneho partnera, ktorý môže pôsobiť ako poskytovateľ služieb a spravovať lokálne šifrovanie a ďalšie bezpečnostné služby. Toto nastavenie umožňuje partnerskej organizácii mať úplnú kontrolu nad nasadením a správou šifrovacích kľúčov a zaisťuje, že používateľské údaje zákazníckych organizácií sú v bezpečí pred externým prístupom. Partnerské organizácie podľa potreby nastavujú inštancie HDS a vytvárajú klastre HDS. Každá inštancia môže podporovať viacero zákazníckych organizácií na rozdiel od bežného nasadenia HDS, ktoré je obmedzené na jednu organizáciu.

Zatiaľ čo partnerské organizácie majú kontrolu nad nasadením a správou, nemajú prístup k údajom a obsahu generovanému zákazníkmi. Tento prístup je obmedzený na zákaznícke organizácie a ich používateľov.

To tiež umožňuje menším organizáciám využívať HDS, pretože službu správy kľúčov a bezpečnostnú infraštruktúru, ako sú dátové centrá, vlastní dôveryhodný miestny partner.

Ako Multi-Tenant Hybrid Data Security poskytuje dátovú suverenitu a kontrolu dát

  • Obsah generovaný používateľmi je chránený pred externým prístupom, ako sú poskytovatelia cloudových služieb.
  • Miestni dôveryhodní partneri spravujú šifrovacie kľúče zákazníkov, s ktorými už majú vybudovaný vzťah.
  • Možnosť miestnej technickej podpory, ak ju poskytuje partner.
  • Podporuje obsah stretnutí, správ a hovorov.

Tento dokument je zameraný na pomoc partnerským organizáciám pri nastavovaní a správe zákazníkov v rámci systému Multi-Tenant Hybrid Data Security.

Úlohy v hybridnej bezpečnosti dát pre viacerých nájomníkov

  • Úplný správca partnera – môže spravovať nastavenia pre všetkých zákazníkov, ktorých partner spravuje. Môže tiež priradiť roly správcu existujúcim používateľom v organizácii a priradiť konkrétnych zákazníkov, ktorých majú spravovať správcovia partnerov.
  • Správca partnera – môže spravovať nastavenia pre zákazníkov, ktorých správca poskytol alebo ktorí boli priradení používateľovi.
  • Úplný správca – správca partnerskej organizácie, ktorý je oprávnený vykonávať úlohy, ako je úprava nastavení organizácie, správa licencií a prideľovanie rolí.
  • Nastavenie HDS pre viacerých nájomníkov a správa všetkých zákazníckych organizácií od konca do konca – Vyžaduje sa úplný správca partnera a úplné práva správcu.
  • Správa priradených organizácií nájomcov – vyžaduje sa správca partnera a úplné práva správcu.

Architektúra bezpečnostnej sféry

Cloudová architektúra Webex oddeľuje rôzne typy služieb do samostatných oblastí alebo dôveryhodných domén, ako je znázornené nižšie.

Realms of Separation (bez Hybrid Data Security)

Aby sme lepšie porozumeli Hybrid Data Security, pozrime sa najprv na tento čistý cloud, kde Cisco poskytuje všetky funkcie vo svojich cloudových sférach. Služba identity, jediné miesto, kde môžu používatelia priamo korelovať so svojimi osobnými údajmi, ako je e-mailová adresa, je logicky a fyzicky oddelená od oblasti zabezpečenia v dátovom centre B. Obe sú zase oddelené od oblasti, kde je v konečnom dôsledku uložený šifrovaný obsah. , v dátovom centre C.

V tomto diagrame je klientom aplikácia Webex, ktorá beží na notebooku používateľa a je overená službou identity. Keď používateľ vytvorí správu na odoslanie do priestoru, vykonajú sa tieto kroky:

  1. Klient vytvorí zabezpečené spojenie so službou správy kľúčov (KMS), potom požiada o kľúč na zašifrovanie správy. Zabezpečené pripojenie používa ECDH a KMS šifruje kľúč pomocou hlavného kľúča AES-256.

  2. Správa je pred opustením klienta zašifrovaná. Klient ho odošle do indexovacej služby, ktorá vytvorí zašifrované indexy vyhľadávania na pomoc pri budúcom vyhľadávaní obsahu.

  3. Zašifrovaná správa sa odošle do služby súladu na kontrolu súladu.

  4. Zašifrovaná správa je uložená v úložnej sfére.

Keď nasadíte Hybrid Data Security, presuniete funkcie bezpečnostnej sféry (KMS, indexovanie a súlad) do vášho lokálneho dátového centra. Ostatné cloudové služby, ktoré tvoria Webex (vrátane ukladania identity a obsahu), zostávajú v sférach spoločnosti Cisco.

Spolupráca s inými organizáciami

Používatelia vo vašej organizácii môžu pravidelne používať aplikáciu Webex na spoluprácu s externými účastníkmi v iných organizáciách. Keď jeden z vašich používateľov požaduje kľúč pre priestor, ktorý vlastní vaša organizácia (pretože ho vytvoril jeden z vašich používateľov), váš KMS odošle kľúč klientovi cez zabezpečený kanál ECDH. Keď však kľúč priestoru vlastní iná organizácia, váš KMS nasmeruje požiadavku do cloudu Webex cez samostatný kanál ECDH, aby získal kľúč z príslušného KMS, a potom vráti kľúč vášmu používateľovi na pôvodnom kanáli.

Služba KMS spustená v organizácii A overuje pripojenia ku KMS v iných organizáciách pomocou x.509 PKI certifikátov. Podrobnosti o generovaní certifikátu x.509 na použitie s nasadením Hybrid Data Security pre viacerých nájomníkov nájdete v časti Príprava prostredia .

Očakávania týkajúce sa nasadenia hybridnej bezpečnosti údajov

Nasadenie Hybrid Data Security si vyžaduje značné odhodlanie a uvedomenie si rizík, ktoré prináša vlastníctvo šifrovacích kľúčov.

Ak chcete nasadiť Hybrid Data Security, musíte poskytnúť:

Úplná strata buď konfiguračného ISO, ktoré ste vytvorili pre Hybrid Data Security, alebo databázy, ktorú poskytnete, bude mať za následok stratu kľúčov. Strata kľúča bráni používateľom dešifrovať obsah priestoru a ďalšie šifrované údaje v aplikácii Webex. Ak sa tak stane, môžete vytvoriť nové nasadenie, ale bude viditeľný iba nový obsah. Aby ste predišli strate prístupu k údajom, musíte:

  • Spravujte zálohovanie a obnovu databázy a konfiguračného ISO.

  • Buďte pripravení vykonať rýchlu obnovu po havárii, ak dôjde ku katastrofe, ako je zlyhanie databázového disku alebo katastrofa dátového centra.

Neexistuje žiadny mechanizmus na presun kľúčov späť do cloudu po nasadení HDS.

Proces nastavenia na vysokej úrovni

Tento dokument pokrýva nastavenie a správu nasadenia Hybrid Data Security pre viacerých nájomníkov:

  • Nastavenie Hybrid Data Security – zahŕňa prípravu požadovanej infraštruktúry a inštaláciu softvéru Hybrid Data Security, vybudovanie klastra HDS, pridanie organizácií nájomníkov do klastra a správu ich hlavných kľúčov zákazníkov (CMK). To umožní všetkým používateľom vašich zákazníckych organizácií používať váš klaster Hybrid Data Security na bezpečnostné funkcie.

    Fázy nastavenia, aktivácie a správy sú podrobne opísané v nasledujúcich troch kapitolách.

  • Udržujte svoje nasadenie Hybrid Data Security – cloud Webex automaticky poskytuje priebežné inovácie. Vaše IT oddelenie môže poskytnúť podporu prvej úrovne pre toto nasadenie a podľa potreby zapojiť podporu Cisco. V partnerskom centre môžete používať upozornenia na obrazovke a nastaviť upozornenia prostredníctvom e-mailu.

  • Pochopte bežné upozornenia, kroky na riešenie problémov a známe problémy – Ak narazíte na problémy s nasadením alebo používaním Hybrid Data Security, posledná kapitola tejto príručky a príloha Známe problémy vám môžu pomôcť určiť a vyriešiť problém.

Hybridný model nasadenia zabezpečenia dát

V rámci podnikového dátového centra nasadíte Hybrid Data Security ako jeden klaster uzlov na samostatných virtuálnych hostiteľoch. Uzly komunikujú s cloudom Webex cez zabezpečené websockety a zabezpečené HTTP.

Počas procesu inštalácie vám poskytneme súbor OVA na nastavenie virtuálneho zariadenia na VM, ktoré poskytnete. Nástroj HDS Setup Tool použijete na vytvorenie vlastného konfiguračného súboru ISO klastra, ktorý pripojíte na každý uzol. Klaster Hybrid Data Security využíva váš poskytnutý server Syslogd a databázu PostgreSQL alebo Microsoft SQL Server. (Syslogd a podrobnosti o pripojení k databáze nakonfigurujete v nástroji HDS Setup Tool.)

Hybridný model nasadenia zabezpečenia dát

Minimálny počet uzlov, ktoré môžete mať v klastri, sú dva. Odporúčame aspoň tri na klaster. Viacnásobné uzly zaisťujú, že služba nebude prerušená počas aktualizácie softvéru alebo inej činnosti údržby na uzle. (Cloud Webex aktualizuje naraz iba jeden uzol.)

Všetky uzly v klastri pristupujú k rovnakému úložisku údajov kľúčov a zaznamenávajú aktivitu na rovnaký server syslog. Samotné uzly sú bez stavu a spracovávajú kľúčové požiadavky v režime round-robin podľa pokynov cloudu.

Uzly sa stanú aktívnymi, keď ich zaregistrujete v Partner Hub. Ak chcete vyradiť jednotlivý uzol z prevádzky, môžete ho zrušiť a neskôr v prípade potreby znova zaregistrovať.

Pohotovostné dátové centrum pre obnovu po havárii

Počas nasadenia nastavíte zabezpečené pohotovostné dátové centrum. V prípade havárie dátového centra môžete manuálne zlyhať nasadenie do pohotovostného dátového centra.

Pred zlyhaním má Dátové centrum A aktívne uzly HDS a primárnu databázu PostgreSQL alebo Microsoft SQL Server, zatiaľ čo B má kópiu súboru ISO s ďalšími konfiguráciami, virtuálne počítače, ktoré sú registrované v organizácii, a záložnú databázu. Po zlyhaní má Dátové centrum B aktívne uzly HDS a primárnu databázu, zatiaľ čo A má neregistrované VM a kópiu súboru ISO a databáza je v pohotovostnom režime.
Manuálne prepnutie do pohotovostného dátového centra

Databázy aktívnych a pohotovostných dátových centier sú navzájom synchronizované, čo minimalizuje čas potrebný na vykonanie núdzového prepnutia.

Aktívne uzly Hybrid Data Security musia byť vždy v rovnakom údajovom centre ako aktívny databázový server.

Podpora proxy

Hybrid Data Security podporuje explicitné, transparentné kontrolné a nekontrolujúce proxy. Tieto servery proxy môžete prepojiť s nasadením, aby ste mohli zabezpečiť a monitorovať prevádzku z podniku do cloudu. Rozhranie správcu platformy na uzloch môžete použiť na správu certifikátov a na kontrolu celkového stavu pripojenia po nastavení servera proxy na uzloch.

Uzly Hybrid Data Security podporujú nasledujúce možnosti proxy:

  • Bez servera proxy – predvolená hodnota, ak na integráciu servera proxy nepoužívate konfiguráciu dôveryhodného obchodu a servera proxy na nastavenie uzla HDS. Nevyžaduje sa žiadna aktualizácia certifikátu.

  • Transparentný nekontrolujúci proxy server – uzly nie sú nakonfigurované na používanie konkrétnej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.

  • Transparentné tunelovanie alebo kontrola servera proxy – uzly nie sú nakonfigurované na používanie konkrétnej adresy servera proxy. Na uzloch nie sú potrebné žiadne zmeny konfigurácie HTTP alebo HTTPS. Uzly však potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).

  • Explicitný server proxy – pomocou explicitného servera proxy poviete uzlom HDS, ktorý server proxy a schému overenia majú použiť. Ak chcete nakonfigurovať explicitný server proxy, musíte do každého uzla zadať nasledujúce informácie:

    1. Proxy IP/FQDN – adresa, ktorú možno použiť na spojenie so zariadením proxy.

    2. Port proxy – číslo portu, ktoré server proxy používa na počúvanie prenosu cez server proxy.

    3. Protokol proxy – v závislosti od toho, čo váš server proxy podporuje, si vyberte z nasledujúcich protokolov:

      • HTTP – zobrazuje a riadi všetky požiadavky, ktoré klient odosiela.

      • HTTPS – poskytuje kanál pre server. Klient prijme a overí certifikát servera.

    4. Typ overenia totožnosti – vyberte si z nasledujúcich typov overenia totožnosti:

      • Žiadne – nevyžaduje sa žiadne ďalšie overenie.

        Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.

      • Základné – používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.

        Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.

        Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.

      • Súhrn – používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.

        Dostupné, iba ak vyberiete HTTPS ako protokol proxy.

        Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.

Príklad uzlov na zabezpečenie hybridných dát a proxy

Tento diagram ukazuje príklad spojenia medzi Hybrid Data Security, sieťou a proxy. Pre možnosti transparentnej kontroly a explicitnej kontroly HTTPS proxy musí byť nainštalovaný rovnaký koreňový certifikát na proxy a na uzloch Hybrid Data Security.

Blokovaný režim externého rozlíšenia DNS (explicitné konfigurácie proxy)

Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. V nasadeniach s explicitnými konfiguráciami proxy, ktoré neumožňujú externé rozlíšenie DNS pre interných klientov, ak uzol nemôže dotazovať servery DNS, automaticky prejde do režimu blokovaného externého riešenia DNS. V tomto režime môže pokračovať registrácia uzla a ďalšie testy pripojenia proxy.

Príprava prostredia

Požiadavky na hybridnú bezpečnosť dát pre viacerých nájomníkov

Požiadavky na licenciu Cisco Webex

Ak chcete nasadiť hybridné zabezpečenie dát pre viacerých nájomníkov:

  • Partnerské organizácie: Kontaktujte svojho partnera Cisco alebo správcu účtu a uistite sa, že je povolená funkcia viacerých nájomníkov.

  • Nájomné organizácie: Musíte mať balík Pro Pack pre Cisco Webex Control Hub. (Pozrite si https://www.cisco.com/go/pro-pack.)

Požiadavky na plochu Docker

Pred inštaláciou uzlov HDS potrebujete Docker Desktop na spustenie inštalačného programu. Docker nedávno aktualizoval svoj licenčný model. Vaša organizácia môže vyžadovať platené predplatné pre Docker Desktop. Podrobnosti nájdete v blogovom príspevku Docker „ Docker aktualizuje a rozširuje naše predplatné produktov“.

Požiadavky na certifikát X.509

Certifikačný reťazec musí spĺňať nasledujúce požiadavky:

Tabuľka č. 1 Požiadavky certifikátu X.509 pre nasadenie hybridného zabezpečenia dát

Požiadavka

Podrobnosti

  • Podpísané dôveryhodnou certifikačnou autoritou (CA)

V predvolenom nastavení dôverujeme CA v zozname Mozilly (s výnimkou WoSign a StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

  • Nesie názov domény Common Name (CN), ktorý identifikuje vaše nasadenie Hybrid Data Security

  • Nie je to zástupný certifikát

CN nemusí byť dosiahnuteľné alebo živého hostiteľa. Odporúčame vám použiť názov, ktorý zodpovedá vašej organizácii, napríklad hds.company.com.

KN nesmie obsahovať * (zástupný znak).

CN sa používa na overenie uzlov Hybrid Data Security pre klientov Webex App. Všetky uzly Hybrid Data Security vo vašom klastri používajú rovnaký certifikát. Váš KMS sa identifikuje pomocou domény CN, nie akejkoľvek domény, ktorá je definovaná v poliach x.509v3 SAN.

Po zaregistrovaní uzla s týmto certifikátom nepodporujeme zmenu názvu domény CN.

  • Podpis iný ako SHA1

Softvér KMS nepodporuje podpisy SHA1 na overenie pripojení k KMS iných organizácií.

  • Naformátovaný ako súbor PKCS #12 chránený heslom

  • Použite priateľský názov kms-private-key na označenie certifikátu, súkromného kľúča a akýchkoľvek sprostredkujúcich certifikátov na odovzdanie.

Na zmenu formátu certifikátu môžete použiť konvertor, ako je OpenSSL.

Pri spustení nástroja HDS Setup Tool budete musieť zadať heslo.

Softvér KMS nevynucuje používanie kľúčov ani rozšírené obmedzenia používania kľúčov. Niektoré certifikačné autority vyžadujú, aby sa na každý certifikát aplikovali rozšírené obmedzenia používania kľúčov, ako je autentifikácia servera. Je v poriadku použiť overenie servera alebo iné nastavenia.

Požiadavky na virtuálny hostiteľ

Virtuálni hostitelia, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri, majú nasledujúce požiadavky:

  • Aspoň dvaja oddelení hostitelia (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre

  • VMware ESXi 6.5 (alebo novší) nainštalovaný a spustený.

    Ak máte staršiu verziu ESXi, musíte vykonať inováciu.

  • Minimálne 4 vCPU, 8 GB hlavnej pamäte, 30 GB miesta na lokálnom pevnom disku na server

Požiadavky na databázový server

Vytvorte novú databázu pre uloženie kľúčov. Nepoužívajte predvolenú databázu. Aplikácie HDS, keď sú nainštalované, vytvoria schému databázy.

Pre databázový server sú dve možnosti. Požiadavky na každú z nich sú nasledovné:

Tabuľka 2 Požiadavky na databázový server podľa typu databázy

PostgreSQL

Microsoft SQL Server

  • PostgreSQL 14, 15 alebo 16, nainštalovaný a spustený.

  • SQL Server 2016, 2017 alebo 2019 (Enterprise alebo Standard) nainštalovaný.

    SQL Server 2016 vyžaduje Service Pack 2 a Kumulatívna aktualizácia 2 alebo novšia.

Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložisko)

Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložisko)

Softvér HDS momentálne inštaluje nasledujúce verzie ovládačov na komunikáciu s databázovým serverom:

PostgreSQL

Microsoft SQL Server

Postgres JDBC ovládač 42.2.5

Ovládač SQL Server JDBC 4.6

Táto verzia ovládača podporuje server SQL Server Always On (Inštancie klastra prepnutia pri zlyhaní a skupiny dostupnosti Vždy zapnuté).

Dodatočné požiadavky na overenie systému Windows voči Microsoft SQL Server

Ak chcete, aby uzly HDS používali autentifikáciu systému Windows na získanie prístupu k vašej databáze úložiska kľúčov na serveri Microsoft SQL Server, potrebujete vo svojom prostredí nasledujúcu konfiguráciu:

  • HDS uzly, infraštruktúra Active Directory a MS SQL Server musia byť synchronizované s NTP.

  • Účet Windows, ktorý poskytnete uzlom HDS, musí mať prístup k databáze na čítanie/zápis.

  • Servery DNS, ktoré poskytujete uzlom HDS, musia byť schopné vyriešiť vaše Centrum distribúcie kľúčov (KDC).

  • Inštanciu databázy HDS môžete zaregistrovať na svojom serveri Microsoft SQL Server ako hlavný názov služby (SPN) vo vašom adresári Active Directory. Pozrite si časť Registrácia hlavného názvu služby pre pripojenia Kerberos.

    Nástroj na nastavenie HDS, spúšťač HDS a miestne KMS musia na prístup k databáze kľúčov používať overenie systému Windows. Používajú podrobnosti z vašej konfigurácie ISO na vytvorenie SPN pri požadovaní prístupu s overením Kerberos.

Požiadavky na externé pripojenie

Nakonfigurujte svoj firewall tak, aby umožňoval nasledujúce pripojenie pre aplikácie HDS:

Aplikácia

Protokol

Port

Smer z App

Cieľ

Hybridné uzly zabezpečenia údajov

TCP

443

Odchádzajúce HTTPS a WSS

  • Webex servery:

    • *.wbx2.com

    • *.ciscospark.com

  • Všetci hostitelia Common Identity

  • Ďalšie adresy URL, ktoré sú uvedené pre Hybrid Data Security v tabuľke Ďalšie adresy URL pre hybridné služby Webex v časti Požiadavky na sieť pre služby Webex

Nástroj na nastavenie HDS

TCP

443

Odchádzajúce HTTPS

  • *.wbx2.com

  • Všetci hostitelia Common Identity

  • hub.docker.com

Uzly Hybrid Data Security pracujú s prekladom sieťového prístupu (NAT) alebo za bránou firewall, pokiaľ NAT alebo brána firewall umožňuje požadované odchádzajúce pripojenia k destináciám domény v predchádzajúcej tabuľke. Pre pripojenia prichádzajúce do uzlov Hybrid Data Security by nemali byť z internetu viditeľné žiadne porty. V rámci vášho dátového centra potrebujú klienti prístup k uzlom Hybrid Data Security na portoch TCP 443 a 22 na administratívne účely.

Adresy URL hostiteľov Common Identity (CI) sú špecifické pre daný región. Toto sú súčasní hostitelia CI:

región

Spoločné adresy URL hostiteľa identity

Ameriky

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Európskej únie

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur
  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Spojené arabské emiráty
  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Požiadavky na proxy server

  • Oficiálne podporujeme nasledujúce proxy riešenia, ktoré sa dajú integrovať s vašimi uzlami Hybrid Data Security.

  • Pre explicitné servery proxy podporujeme nasledujúce kombinácie typov overenia:

    • Žiadna autentifikácia pomocou HTTP alebo HTTPS

    • Základná autentifikácia pomocou HTTP alebo HTTPS

    • Digest overenie iba s HTTPS

  • Pre transparentný kontrolný proxy server alebo explicitný proxy server HTTPS musíte mať kópiu koreňového certifikátu servera proxy. Pokyny na nasadenie v tejto príručke vám povedia, ako nahrať kópiu do dôveryhodných obchodov uzlov Hybrid Data Security.

  • Sieť, ktorá hostí uzly HDS, musí byť nakonfigurovaná tak, aby vynútila smerovanie odchádzajúcej prevádzky TCP na porte 443 cez server proxy.

  • Proxy, ktoré kontrolujú webovú prevádzku, môžu narúšať pripojenia webových soketov. Ak sa vyskytne tento problém, problém vyrieši obídenie (nie kontrola) návštevnosti stránok wbx2.com a ciscospark.com .

Dokončite Predpoklady pre hybridnú bezpečnosť údajov

Pomocou tohto kontrolného zoznamu sa uistite, že ste pripravení na inštaláciu a konfiguráciu klastra Hybrid Data Security.
1

Uistite sa, že vaša partnerská organizácia má povolenú funkciu Multi-Tenant HDS a získajte prihlasovacie údaje účtu s úplným správcom partnera a plnými právami správcu. Uistite sa, že vaša organizácia zákazníkov Webex má povolený balík Pro Pack pre Cisco Webex Control Hub. Ak potrebujete pomoc s týmto procesom, kontaktujte svojho partnera Cisco alebo account manažéra.

Zákaznícke organizácie by nemali mať žiadne existujúce nasadenie HDS.

2

Vyberte názov domény pre svoje nasadenie HDS (napríklad hds.company.com) a získajte reťaz certifikátov obsahujúci certifikát X.509, súkromný kľúč a akékoľvek sprostredkujúce certifikáty. Reťazec certifikátov musí spĺňať požiadavky uvedené v časti Požiadavky na certifikát X.509.

3

Pripravte si identických virtuálnych hostiteľov, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri. Potrebujete aspoň dvoch samostatných hostiteľov (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre, ktorí spĺňajú požiadavky v časti Požiadavky na virtuálneho hostiteľa.

4

Pripravte databázový server, ktorý bude fungovať ako úložisko kľúčových údajov pre klaster, v súlade s požiadavkami na databázový server. Databázový server musí byť umiestnený v zabezpečenom údajovom centre spolu s virtuálnymi hostiteľmi.

  1. Vytvorte databázu pre ukladanie kľúčov. (Túto databázu musíte vytvoriť – nepoužívajte predvolenú databázu. Aplikácie HDS po nainštalovaní vytvoria schému databázy.)

  2. Zhromaždite podrobnosti, ktoré budú uzly používať na komunikáciu s databázovým serverom:

    • názov hostiteľa alebo IP adresa (hostiteľ) a port

    • názov databázy (dbname) pre uloženie kľúčov

    • užívateľské meno a heslo užívateľa so všetkými privilégiami v databáze kľúčov

5

Pre rýchlu obnovu po havárii nastavte zálohovacie prostredie v inom dátovom centre. Zálohovacie prostredie odzrkadľuje produkčné prostredie VM a záložný databázový server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM.

6

Nastavte hostiteľa syslog na zhromažďovanie protokolov z uzlov v klastri. Získajte jeho sieťovú adresu a port syslog (predvolené je UDP 514).

7

Vytvorte politiku bezpečného zálohovania pre uzly Hybrid Data Security, databázový server a hostiteľa syslog. Aby ste predišli nenapraviteľnej strate údajov, musíte minimálne zálohovať databázu a konfiguračný súbor ISO vygenerovaný pre uzly Hybrid Data Security.

Keďže uzly Hybrid Data Security ukladajú kľúče používané na šifrovanie a dešifrovanie obsahu, zlyhanie prevádzkyschopného nasadenia bude mať za následok NEOBNOVITEĽNÚ STRATU tohto obsahu.

Klienti Webex App ukladajú svoje kľúče do vyrovnávacej pamäte, takže výpadok nemusí byť okamžite viditeľný, ale časom sa prejaví. Dočasným výpadkom sa síce nedá zabrániť, dajú sa však obnoviť. Úplná strata (nie sú k dispozícii žiadne zálohy) databázy alebo konfiguračného ISO súboru však bude mať za následok neobnoviteľné zákaznícke údaje. Od operátorov uzlov Hybrid Data Security sa očakáva, že budú pravidelne zálohovať databázu a konfiguračný súbor ISO a budú pripravení na prestavbu dátového centra Hybrid Data Security, ak dôjde ku katastrofálnej poruche.

8

Uistite sa, že konfigurácia brány firewall umožňuje pripojenie pre uzly Hybrid Data Security, ako je uvedené v časti Požiadavky na externé pripojenie.

9

Nainštalujte Docker ( https://www.docker.com) na ľubovoľný lokálny počítač s podporovaným operačným systémom (Microsoft Windows 10 Professional alebo Enterprise 64-bitový alebo Mac OSX Yosemite 10.10.3 alebo novší) pomocou webového prehliadača, ktorý k nemu má prístup na adrese http://127.0.0.1:8080.

Inštanciu Docker použijete na stiahnutie a spustenie nástroja HDS Setup Tool, ktorý vytvorí informácie o lokálnej konfigurácii pre všetky uzly Hybrid Data Security. Možno budete potrebovať licenciu Docker Desktop. Ďalšie informácie nájdete v časti Požiadavky na pracovnú plochu Docker .

Ak chcete nainštalovať a spustiť nástroj HDS Setup Tool, miestny počítač musí mať pripojenie uvedené v časti Požiadavky na externé pripojenie.

10

Ak integrujete server proxy so službou Hybrid Data Security, uistite sa, že spĺňa požiadavky na server proxy.

Nastavte klaster Hybrid Data Security

Tok úloh nasadenia zabezpečenia hybridných údajov

Skôr ako začnete

1

Vykonajte počiatočné nastavenie a stiahnite inštalačné súbory

Stiahnite si súbor OVA na váš lokálny počítač pre neskoršie použitie.

2

Vytvorte ISO konfigurácie pre hostiteľov HDS

Pomocou nástroja HDS Setup Tool vytvorte konfiguračný súbor ISO pre uzly Hybrid Data Security.

3

Nainštalujte HDS Host OVA

Vytvorte virtuálny počítač zo súboru OVA a vykonajte počiatočnú konfiguráciu, ako sú nastavenia siete.

Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 6.5. Táto možnosť nemusí byť dostupná v starších verziách.

4

Nastavte virtuálny počítač Hybrid Data Security

Prihláste sa do konzoly VM a nastavte prihlasovacie poverenia. Nakonfigurujte sieťové nastavenia pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.

5

Nahrajte a pripojte ISO konfiguráciu HDS

Nakonfigurujte VM z konfiguračného súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool.

6

Nakonfigurujte uzol HDS na integráciu proxy

Ak sieťové prostredie vyžaduje konfiguráciu servera proxy, zadajte typ servera proxy, ktorý použijete pre uzol, a v prípade potreby pridajte certifikát servera proxy do dôveryhodného úložiska.

7

Zaregistrujte prvý uzol v klastri

Zaregistrujte VM v cloude Cisco Webex ako uzol Hybrid Data Security.

8

Vytvorte a zaregistrujte viac uzlov

Dokončite nastavenie klastra.

9

Aktivujte si Multi-Tenant HDS na Partner Hub.

Aktivujte si HDS a spravujte organizácie nájomníkov na Partner Hub.

Vykonajte počiatočné nastavenie a stiahnite inštalačné súbory

V tejto úlohe stiahnete súbor OVA do svojho počítača (nie na servery, ktoré ste nastavili ako uzly Hybrid Data Security). Tento súbor použijete neskôr v procese inštalácie.

1

Prihláste sa do Partnerského centra a potom kliknite na položku Služby.

2

V časti Cloudové služby nájdite kartu Hybrid Data Security a kliknite na tlačidlo Nastaviť.

3

Kliknite na položku Pridať zdroj a kliknite na položku Prevziať súbor .OVA na karte Inštalovať a konfigurovať softvér .

Staršie verzie softvérového balíka (OVA) nebudú kompatibilné s najnovšími aktualizáciami Hybrid Data Security. To môže viesť k problémom pri inovácii aplikácie. Uistite sa, že ste si stiahli najnovšiu verziu súboru OVA.

OVA si tiež môžete kedykoľvek stiahnuť zo sekcie Pomocník . Kliknite na položky Nastavenia > Pomocník > Prevziať softvér Hybrid Data Security.

Súbor OVA sa začne automaticky sťahovať. Uložte súbor na miesto v počítači.
4

Voliteľne kliknite na položku Zobraziť príručku nasadenia hybridného zabezpečenia údajov a skontrolujte, či je k dispozícii novšia verzia tejto príručky.

Vytvorte ISO konfigurácie pre hostiteľov HDS

Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.

Skôr ako začnete

1

Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

V bežných prostrediach:

docker rmi ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

2

Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:

docker login -u hdscustomersro
3

Pri výzve na zadanie hesla zadajte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stiahnite si najnovší stabilný obraz pre vaše prostredie:

V bežných prostrediach:

docker pull ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

  • V bežných prostrediach bez servera proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V prostrediach FedRAMP bez proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • V prostrediach FedRAMP s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný
  • V prostrediach FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný

Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“.

6

Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 .

Pomocou webového prehliadača prejdite na localhost, http://127.0.0.1:8080, a po výzve zadajte používateľské meno správcu pre partnerské centrum.

Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie.

7

Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia správcu Partner Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre Hybrid Data Security.

8

Na stránke prehľadu nástroja Setup kliknite na položku Začíname.

9

Na stránke Import ISO máte tieto možnosti:

  • Nie – Ak vytvárate svoj prvý uzol HDS, nemáte súbor ISO na odovzdanie.
  • Áno – ak ste už vytvorili uzly HDS, vyberte súbor ISO v prehľadávaní a odovzdajte ho.
10

Skontrolujte, či váš certifikát X.509 spĺňa požiadavky uvedené v časti Požiadavky na certifikát X.509.

  • Ak ste ešte nikdy neodovzdali certifikát, odovzdajte certifikát X.509, zadajte heslo a kliknite na tlačidlo Pokračovať.
  • Ak je váš certifikát v poriadku, kliknite na tlačidlo Pokračovať.
  • Ak platnosť vášho certifikátu vypršala alebo ho chcete nahradiť, vyberte možnosť Nie pre možnosť Pokračovať v používaní reťazca certifikátov HDS a súkromného kľúča z predchádzajúcej normy ISO?. Odovzdajte nový certifikát X.509, zadajte heslo a kliknite na tlačidlo Pokračovať.
11

Zadajte databázovú adresu a účet pre HDS, aby ste získali prístup k vášmu úložisku kľúčových údajov:

  1. Vyberte svoj Typ databázy (PostgreSQL alebo Microsoft SQL Server).

    Ak vyberiete možnosť Microsoft SQL Server, zobrazí sa pole Typ overenia.

  2. (Iba Microsoft SQL Server ) Vyberte svoj Typ overenia:

    • Základná autentifikácia: V poli Používateľské meno potrebujete názov lokálneho účtu SQL Server.

    • Overovanie systému Windows: Potrebujete účet Windows vo formáte používateľské meno@DOMAIN v poli Používateľské meno .

  3. Zadajte adresu databázového servera v tvare : alebo :.

    Príklad:
    dbhost.example.org:1433 alebo 198.51.100.17:1433

    Môžete použiť IP adresu na základnú autentifikáciu, ak uzly nemôžu použiť DNS na rozlíšenie názvu hostiteľa.

    Ak používate overenie systému Windows, musíte zadať úplný názov domény vo formáte dbhost.example.org:1433

  4. Zadajte Názov databázy.

  5. Zadajte Používateľské meno a Heslo používateľa so všetkými oprávneniami v databáze úložiska kľúčov.

12

Vyberte Režim pripojenia databázy TLS:

Režim

Opis

Preferovať TLS (predvolená možnosť)

HDS uzly nevyžadujú TLS na pripojenie k databázovému serveru. Ak povolíte TLS na databázovom serveri, uzly sa pokúsia o šifrované pripojenie.

Vyžadovať TLS

Uzly HDS sa pripájajú iba vtedy, ak databázový server dokáže dohodnúť TLS.

Vyžadovať TLS a overiť podpisovateľa certifikátu

Tento režim nie je použiteľný pre databázy SQL Server.

  • Uzly HDS sa pripájajú iba vtedy, ak databázový server dokáže dohodnúť TLS.

  • Po vytvorení pripojenia TLS uzol porovná podpisovateľa certifikátu z databázového servera s certifikačnou autoritou v koreňovom certifikáte databázy. Ak sa nezhodujú, uzol zruší spojenie.

Na odovzdanie koreňového certifikátu pre túto možnosť použite ovládací prvok Koreňový certifikát databázy pod rozbaľovacím zoznamom.

Vyžadovať TLS a overiť podpisovateľa certifikátu a názov hostiteľa

  • Uzly HDS sa pripájajú iba vtedy, ak databázový server dokáže dohodnúť TLS.

  • Po vytvorení pripojenia TLS uzol porovná podpisovateľa certifikátu z databázového servera s certifikačnou autoritou v koreňovom certifikáte databázy. Ak sa nezhodujú, uzol zruší spojenie.

  • Uzly tiež overia, či sa názov hostiteľa v certifikáte servera zhoduje s názvom hostiteľa v poli Hostiteľ databázy a port . Názvy sa musia presne zhodovať, inak uzol zruší spojenie.

Na odovzdanie koreňového certifikátu pre túto možnosť použite ovládací prvok Koreňový certifikát databázy pod rozbaľovacím zoznamom.

Keď odovzdáte koreňový certifikát (ak je to potrebné) a kliknete na tlačidlo Pokračovať, nástroj HDS Setup Tool otestuje pripojenie TLS k databázovému serveru. Nástroj tiež overuje podpisovateľa certifikátu a názov hostiteľa, ak je to potrebné. Ak test zlyhá, nástroj zobrazí chybové hlásenie s popisom problému. Môžete si vybrať, či chcete chybu ignorovať a pokračovať v nastavovaní. (Vzhľadom na rozdiely v konektivite môžu byť uzly HDS schopné nadviazať pripojenie TLS, aj keď ho zariadenie HDS Setup Tool nedokáže úspešne otestovať.)

13

Na stránke Systémové denníky nakonfigurujte svoj server Syslogd:

  1. Zadajte adresu URL servera syslog.

    Ak server nie je schopný rozlíšiť DNS z uzlov pre váš klaster HDS, použite v adrese URL adresu IP.

    Príklad:
    udp://10.92.43.23:514 označuje prihlásenie do hostiteľa Syslogd 10.92.43.23 na porte UDP 514.
  2. Ak ste na svojom serveri nastavili používanie šifrovania TLS, začiarknite políčko Je váš server syslog nakonfigurovaný na šifrovanie SSL?.

    Ak začiarknete toto políčko, uistite sa, že ste zadali adresu URL TCP, napríklad tcp://10.92.43.23:514.

  3. V rozbaľovacej ponuke Vybrať ukončenie záznamu syslog vyberte vhodné nastavenie pre váš súbor ISO: Choose alebo Newline sa používa pre Graylog a Rsyslog TCP

    • Nulový bajt -- \x00

    • Nový riadok -- \n – Túto možnosť vyberte pre Graylog a Rsyslog TCP.

  4. Kliknite na tlačidlo Pokračovať.

14

(Voliteľné) Predvolenú hodnotu niektorých parametrov pripojenia k databáze môžete zmeniť v časti Rozšírené nastavenia. Vo všeobecnosti je tento parameter jediný, ktorý možno budete chcieť zmeniť:

app_datasource_connection_pool_maxVeľkosť: 10
15

Kliknite na tlačidlo Pokračovať na obrazovke Obnoviť heslo servisných účtov .

Heslá k servisným účtom majú životnosť deväť mesiacov. Túto obrazovku použite, keď sa blíži koniec platnosti vašich hesiel alebo ich chcete resetovať, aby ste zrušili platnosť predchádzajúcich súborov ISO.

16

Kliknite na položku Prevziať súbor ISO. Uložte súbor na miesto, ktoré sa dá ľahko nájsť.

17

Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme.

Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii.

18

Ak chcete vypnúť inštalačný nástroj, napíšte CTRL+C.

Čo robiť ďalej

Zálohujte konfiguračný súbor ISO. Potrebujete ho na vytvorenie ďalších uzlov na obnovu alebo na vykonanie zmien v konfigurácii. Ak stratíte všetky kópie súboru ISO, stratili ste aj hlavný kľúč. Obnovenie kľúčov z databázy PostgreSQL alebo Microsoft SQL Server nie je možné.

Nikdy nemáme kópiu tohto kľúča a nemôžeme vám pomôcť, ak ho stratíte.

Nainštalujte HDS Host OVA

Tento postup použite na vytvorenie virtuálneho počítača zo súboru OVA.
1

Na prihlásenie do virtuálneho hostiteľa ESXi použite klienta VMware vSphere na vašom počítači.

2

Vyberte položku Súbor > Nasadiť šablónu OVF.

3

V sprievodcovi zadajte umiestnenie súboru OVA, ktorý ste prevzali predtým, a potom kliknite na tlačidlo Ďalej.

4

Na stránke Vyberte názov a priečinok zadajte Názov virtuálneho počítača pre uzol (napríklad „HDS_Node_1“) a vyberte umiestnenie, kde nasadenie uzla virtuálneho počítača sa môže nachádzať a potom kliknite na tlačidlo Ďalej.

5

Na stránke Vyberte výpočtový zdroj vyberte cieľový výpočtový zdroj a potom kliknite na tlačidlo Ďalej.

Prebehne overovacia kontrola. Po dokončení sa zobrazia podrobnosti šablóny.

6

Overte podrobnosti šablóny a potom kliknite na tlačidlo Ďalej.

7

Ak sa zobrazí výzva na výber konfigurácie prostriedkov na stránke Konfigurácia , kliknite na položku 4 CPU a potom kliknite na tlačidlo Ďalej.

8

Na stránke Vybrať úložisko kliknite na tlačidlo Ďalej , čím prijmete predvolený formát disku a pravidlá úložiska VM.

9

Na stránke Vybrať siete vyberte sieťovú možnosť zo zoznamu položiek, aby ste poskytli požadované pripojenie k virtuálnemu počítaču.

10

Na stránke Prispôsobiť šablónu nakonfigurujte nasledujúce nastavenia siete:

  • Názov hostiteľa – zadajte FQDN (názov hostiteľa a doménu) alebo jednoslovný názov hostiteľa pre uzol.
    • Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509.

    • Ak chcete zabezpečiť úspešnú registráciu do cloudu, použite iba malé písmená v FQDN alebo názve hostiteľa, ktorý ste nastavili pre uzol. Veľké písmená momentálne nie sú podporované.

    • Celková dĺžka FQDN nesmie presiahnuť 64 znakov.

  • Adresa IP – zadajte adresu IP interného rozhrania uzla.

    Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované.

  • Maska – zadajte adresu masky podsiete v desiatkovom formáte bodka. Napríklad 255.255.255.0.
  • Brána – zadajte adresu IP brány. Brána je sieťový uzol, ktorý slúži ako prístupový bod do inej siete.
  • Servery DNS – zadajte zoznam serverov DNS oddelených čiarkami, ktoré zabezpečujú preklad názvov domén na číselné adresy IP. (Povolené sú až 4 záznamy DNS.)
  • Servery NTP – zadajte server NTP vašej organizácie alebo iný externý server NTP, ktorý možno použiť vo vašej organizácii. Predvolené servery NTP nemusia fungovať pre všetky podniky. Na zadanie viacerých serverov NTP môžete použiť aj zoznam oddelený čiarkami.
  • Nasaďte všetky uzly v rovnakej podsieti alebo VLAN, aby boli všetky uzly v klastri dosiahnuteľné z klientov vo vašej sieti na administratívne účely.

Ak chcete, môžete preskočiť konfiguráciu nastavenia siete a podľa krokov v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov nakonfigurujte nastavenia z konzoly uzla.

Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 6.5. Táto možnosť nemusí byť dostupná v starších verziách.

11

Kliknite pravým tlačidlom myši na uzol VM a potom vyberte položky Napájanie > Zapnúť.

Softvér Hybrid Data Security je nainštalovaný ako hosť na hostiteľovi VM. Teraz ste pripravení prihlásiť sa do konzoly a nakonfigurovať uzol.

Tipy na riešenie problémov

Môžete zaznamenať oneskorenie niekoľkých minút, kým sa kontajnery uzlov objavia. Počas prvého spustenia, počas ktorého sa nemôžete prihlásiť, sa na konzole zobrazí správa brány firewall mosta.

Nastavte virtuálny počítač Hybrid Data Security

Tento postup použite na prvé prihlásenie do konzoly VM uzla Hybrid Data Security a nastavenie prihlasovacích poverení. Konzolu môžete použiť aj na konfiguráciu sieťových nastavení pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.

1

V klientovi VMware vSphere vyberte svoj uzol Hybrid Data Security VM a vyberte kartu Konzola .

VM sa spustí a zobrazí sa výzva na prihlásenie. Ak sa výzva na prihlásenie nezobrazí, stlačte kláves Enter.
2

Na prihlásenie a zmenu poverení použite nasledujúce predvolené prihlasovacie meno a heslo:

  1. Prihlásenie: admin

  2. heslo: cisco

Keďže sa do svojho VM prihlasujete prvýkrát, musíte zmeniť heslo správcu.

3

Ak ste už nakonfigurovali nastavenia siete v časti Inštalácia hostiteľa HDS OVA, preskočte zvyšok tohto postupu. V opačnom prípade vyberte v hlavnej ponuke možnosť Upraviť konfiguráciu .

4

Nastavte statickú konfiguráciu s IP adresou, maskou, bránou a informáciami DNS. Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované.

5

(Voliteľné) Zmeňte názov hostiteľa, doménu alebo server(y) NTP, ak je to potrebné, aby zodpovedali zásadám vašej siete.

Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509.

6

Uložte konfiguráciu siete a reštartujte VM, aby sa zmeny prejavili.

Nahrajte a pripojte ISO konfiguráciu HDS

Tento postup použite na konfiguráciu virtuálneho počítača zo súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool.

Skôr ako začnete

Pretože súbor ISO obsahuje hlavný kľúč, mal by byť zverejnený iba na základe „potreby vedieť“, aby k nemu mali prístup virtuálne počítače s hybridným zabezpečením údajov a všetci správcovia, ktorí môžu potrebovať vykonať zmeny. Uistite sa, že k úložisku údajov majú prístup iba títo správcovia.

1

Nahrajte súbor ISO z počítača:

  1. V ľavom navigačnom paneli klienta VMware vSphere kliknite na server ESXi.

  2. Na karte Konfigurácia v zozname Hardvér kliknite na položku Ukladací priestor.

  3. V zozname Úložisko údajov kliknite pravým tlačidlom myši na úložisko údajov pre vaše virtuálne počítače a kliknite na položku Prehliadať úložisko údajov.

  4. Kliknite na ikonu Odovzdať súbory a potom kliknite na položku Odovzdať súbor.

  5. Prejdite do umiestnenia, z ktorého ste prevzali súbor ISO do počítača, a kliknite na tlačidlo Otvoriť.

  6. Kliknutím na tlačidlo Áno prijmete upozornenie týkajúce sa operácie odovzdávania/sťahovania a zatvoríte dialógové okno úložiska údajov.

2

Pripojte súbor ISO:

  1. V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Upraviť nastavenia.

  2. Kliknutím na tlačidlo OK prijmete upozornenie na obmedzené možnosti úprav.

  3. Kliknite na položku Jednotka CD/DVD 1, vyberte možnosť pripojenia zo súboru ISO úložiska údajov a prejdite do umiestnenia, kam ste odovzdali konfiguračný súbor ISO.

  4. Začiarknite políčka Pripojené a Pripojiť pri zapnutí.

  5. Uložte zmeny a reštartujte virtuálny počítač.

Čo robiť ďalej

Ak to vyžaduje vaša politika IT, môžete voliteľne odpojiť súbor ISO po tom, čo všetky vaše uzly prevezmú zmeny konfigurácie. Podrobnosti nájdete v časti (Voliteľné) Odpojenie ISO po konfigurácii HDS .

Nakonfigurujte uzol HDS na integráciu proxy

Ak sieťové prostredie vyžaduje server proxy, použite tento postup na určenie typu servera proxy, ktorý chcete integrovať s Hybrid Data Security. Ak si vyberiete transparentný kontrolný proxy server alebo explicitný proxy server HTTPS, môžete použiť rozhranie uzla na nahranie a inštaláciu koreňového certifikátu. Môžete tiež skontrolovať pripojenie proxy z rozhrania a vyriešiť prípadné problémy.

Skôr ako začnete

1

Do webového prehliadača zadajte adresu URL nastavenia uzla HDS https://[IP uzla HDS alebo FQDN]/setup , zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite na tlačidlo Prihlásiť sa .

2

Prejdite na stránku Trust Store & Proxy a potom vyberte jednu z možností:

  • Bez servera proxy – predvolená možnosť pred integráciou servera proxy. Nevyžaduje sa žiadna aktualizácia certifikátu.
  • Transparentný nekontrolujúci proxy server – uzly nie sú nakonfigurované na používanie konkrétnej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.
  • Transparentný kontrolný proxy server – uzly nie sú nakonfigurované na používanie konkrétnej adresy servera proxy. Pri nasadení Hybrid Data Security nie sú potrebné žiadne zmeny konfigurácie HTTPS, no uzly HDS potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).
  • Explicitný server proxy – pomocou explicitného servera proxy informujete klienta (uzly HDS), ktorý server proxy má použiť, pričom táto možnosť podporuje niekoľko typov overenia. Po výbere tejto možnosti musíte zadať nasledujúce informácie:
    1. Proxy IP/FQDN – adresa, ktorú možno použiť na spojenie so zariadením proxy.

    2. Port proxy – číslo portu, ktoré server proxy používa na počúvanie prenosu cez server proxy.

    3. Protokol proxy – vyberte http (zobrazuje a riadi všetky požiadavky prijaté od klienta) alebo https (poskytuje kanál pre server a klient prijíma a overí certifikát servera). Vyberte možnosť podľa toho, čo váš proxy server podporuje.

    4. Typ overenia totožnosti – vyberte si z nasledujúcich typov overenia totožnosti:

      • Žiadne – nevyžaduje sa žiadne ďalšie overenie.

        Dostupné pre servery proxy HTTP alebo HTTPS.

      • Základné – používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.

        Dostupné pre servery proxy HTTP alebo HTTPS.

        Ak zvolíte túto možnosť, musíte zadať aj meno používateľa a heslo.

      • Súhrn – používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.

        Dostupné iba pre servery proxy HTTPS.

        Ak zvolíte túto možnosť, musíte zadať aj meno používateľa a heslo.

Postupujte podľa nasledujúcich krokov pre transparentný kontrolný proxy server, explicitný proxy server HTTP so základným overením alebo explicitný proxy HTTPS.

3

Kliknite na položku Odovzdať koreňový certifikát alebo certifikát ukončenia entity a potom prejdite na výber koreňového certifikátu pre server proxy.

Certifikát je nahraný, ale ešte nie je nainštalovaný, pretože na inštaláciu certifikátu musíte reštartovať uzol. Ak chcete získať ďalšie podrobnosti, kliknite na šípku so šípkou vedľa názvu vydavateľa certifikátu. Ak ste urobili chybu a chcete súbor nahrať znova, kliknite na tlačidlo Odstrániť .

4

Kliknutím na položku Skontrolovať pripojenie proxy otestujete sieťové pripojenie medzi uzlom a serverom proxy.

Ak test pripojenia zlyhá, zobrazí sa chybové hlásenie, ktoré uvádza dôvod a spôsob, ako môžete problém vyriešiť.

Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS. Tento stav sa očakáva v mnohých explicitných konfiguráciách proxy. Môžete pokračovať v nastavovaní a uzol bude fungovať v režime zablokovaného externého rozlíšenia DNS. Ak si myslíte, že ide o chybu, vykonajte tieto kroky a potom si pozrite časť Vypnutie režimu zablokovaného externého rozlíšenia DNS.

5

Po úspešnom teste pripojenia pre explicitný server proxy nastavený iba na https zapnite prepínač na možnosť Smerovať všetky požiadavky protokolu https z tohto uzla na port 443/444 cez explicitný server proxy. Toto nastavenie sa prejaví po 15 sekundách.

6

Kliknite na položku Inštalovať všetky certifikáty do dôveryhodného úložiska (zobrazí sa pri explicitnom serveri proxy HTTPS alebo transparentnom kontrolnom serveri proxy) alebo Reštartovať (zobrazí sa pri explicitnom serveri proxy HTTP), prečítajte si výzvu a potom kliknite na tlačidlo Inštalovať , ak ste pripravení.

Uzol sa reštartuje v priebehu niekoľkých minút.

7

Keď sa uzol reštartuje, v prípade potreby sa znova prihláste a potom otvorte stránku Prehľad a skontrolujte kontroly pripojenia, aby ste sa uistili, že sú všetky v zelenom stave.

Kontrola pripojenia proxy testuje iba subdoménu webex.com. Ak sa vyskytnú problémy s pripojením, bežným problémom je, že niektoré z cloudových domén uvedených v pokynoch na inštaláciu sú na serveri proxy blokované.

Zaregistrujte prvý uzol v klastri

Táto úloha prevezme všeobecný uzol, ktorý ste vytvorili v časti Nastavenie virtuálneho počítača Hybrid Data Security, zaregistruje uzol v cloude Webex a zmení ho na uzol Hybrid Data Security.

Keď zaregistrujete svoj prvý uzol, vytvoríte klaster, ku ktorému je uzol priradený. Klaster obsahuje jeden alebo viac uzlov nasadených na zabezpečenie redundancie.

Skôr ako začnete

  • Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.

  • Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.

1

Prihláste sa do https://admin.webex.com.

2

V ponuke na ľavej strane obrazovky vyberte položku Služby.

3

V časti Cloudové služby nájdite kartu Hybrid Data Security a kliknite na tlačidlo Nastaviť.

4

Na stránke, ktorá sa otvorí, kliknite na položku Pridať zdroj.

5

Do prvého poľa na karte Pridať uzol zadajte názov klastra, ktorému chcete priradiť uzol Hybrid Data Security.

Odporúčame pomenovať klaster podľa toho, kde sa geograficky nachádzajú uzly klastra. Príklady: „San Francisco“ alebo „New York“ alebo „Dallas“

6

Do druhého poľa zadajte internú adresu IP alebo úplný názov domény (FQDN) svojho uzla a kliknite na tlačidlo Pridať v dolnej časti obrazovky.

Táto adresa IP alebo FQDN by sa mala zhodovať s adresou IP alebo názvom hostiteľa a doménou, ktoré ste použili v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov.

Zobrazí sa správa, že môžete zaregistrovať svoj uzol do Webexu.
7

Kliknite na položku Prejsť do uzla.

Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že svojej organizácii Webex chcete udeliť povolenia na prístup k vášmu uzlu.

8

Začiarknite políčko Povoliť prístup k vášmu uzlu zabezpečenia hybridných údajov a potom kliknite na tlačidlo Pokračovať.

Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
9

Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Hybrid Data Security partnerského centra.

Na stránke Hybrid Data Security sa nový klaster obsahujúci uzol, ktorý ste zaregistrovali, zobrazí na karte Prostriedky . Uzol si automaticky stiahne najnovší softvér z cloudu.

Vytvorte a zaregistrujte viac uzlov

Ak chcete do svojho klastra pridať ďalšie uzly, jednoducho vytvoríte ďalšie virtuálne počítače a pripojíte rovnaký konfiguračný súbor ISO a potom uzol zaregistrujete. Odporúčame, aby ste mali aspoň 3 uzly.

Skôr ako začnete

  • Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.

  • Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.

1

Vytvorte nový virtuálny počítač z OVA zopakovaním krokov v časti Inštalácia hostiteľského OVA HDS.

2

Nastavte úvodnú konfiguráciu na novom virtuálnom počítači zopakovaním krokov v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov.

3

Na novom virtuálnom počítači zopakujte kroky v časti Odovzdanie a pripojenie ISO konfigurácie HDS.

4

Ak nastavujete server proxy pre svoje nasadenie, zopakujte kroky v časti Konfigurácia uzla HDS na integráciu servera proxy podľa potreby pre nový uzol.

5

Zaregistrujte uzol.

  1. V https://admin.webex.com vyberte z ponuky na ľavej strane obrazovky položku Služby .

  2. V časti Cloudové služby nájdite kartu Hybrid Data Security a kliknite na položku Zobraziť všetko.

    Zobrazí sa stránka Hybrid Data Security Resources.
  3. Novovytvorený klaster sa zobrazí na stránke Zdroje .

  4. Kliknutím na klaster zobrazíte uzly priradené ku klastru.

  5. Kliknite na položku Pridať uzol na pravej strane obrazovky.

  6. Zadajte internú adresu IP alebo úplný názov domény (FQDN) svojho uzla a kliknite na tlačidlo Pridať.

    Otvorí sa stránka so správou, že môžete zaregistrovať svoj uzol do cloudu Webex. Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že chcete svojej organizácii udeliť povolenia na prístup k vášmu uzlu.
  7. Začiarknite políčko Povoliť prístup k vášmu uzlu zabezpečenia hybridných údajov a potom kliknite na tlačidlo Pokračovať.

    Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
  8. Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Hybrid Data Security partnerského centra.

    Vyskakovacia správa Uzol bol pridaný sa tiež zobrazuje v spodnej časti obrazovky v Partnerskom centre.

    Váš uzol je zaregistrovaný.

Spravujte organizácie nájomníkov na hybridnom zabezpečení dát pre viacerých nájomníkov

Aktivujte si Multi-Tenant HDS na Partner Hub

Táto úloha zaisťuje, že všetci používatelia zákazníckych organizácií môžu začať využívať HDS pre lokálne šifrovacie kľúče a ďalšie bezpečnostné služby.

Skôr ako začnete

Uistite sa, že ste dokončili nastavenie klastra Multi-Tenant HDS s požadovaným počtom uzlov.

1

Prihláste sa do https://admin.webex.com.

2

V ponuke na ľavej strane obrazovky vyberte položku Služby.

3

V časti Cloudové služby vyhľadajte Hybrid Data Security a kliknite na položku Upraviť nastavenia.

4

Kliknite na položku Aktivovať HDS na karte Stav HDS .

Pridajte organizácie nájomníkov v partnerskom centre

V tejto úlohe priradíte zákaznícke organizácie k vášmu Hybrid Data Security Cluster.

1

Prihláste sa do https://admin.webex.com.

2

V ponuke na ľavej strane obrazovky vyberte položku Služby.

3

V sekcii Cloudové služby nájdite Hybrid Data Security a kliknite na položku Zobraziť všetko.

4

Kliknite na klaster, ku ktorému chcete priradiť zákazníka.

5

Prejdite na kartu Priradení zákazníci .

6

Kliknite na položku Pridať zákazníkov.

7

Z rozbaľovacej ponuky vyberte zákazníka, ktorého chcete pridať.

8

Kliknite na tlačidlo Pridať, zákazník bude pridaný do klastra.

9

Ak chcete do svojho klastra pridať viacerých zákazníkov, zopakujte kroky 6 až 8.

10

Po pridaní zákazníkov kliknite na tlačidlo Hotovo v dolnej časti obrazovky.

Čo robiť ďalej

Spustite nástroj HDS Setup, ako je podrobne uvedené v časti Vytvorenie zákazníckych hlavných kľúčov (CMK) pomocou nástroja HDS Setup a dokončite proces nastavenia.

Vytvorte hlavné kľúče zákazníka (CMK) pomocou nástroja HDS Setup

Skôr ako začnete

Priraďte zákazníkov do príslušného klastra, ako je podrobne uvedené v časti Pridanie organizácií nájomníkov do centra partnerov. Spustite nástroj HDS Setup a dokončite proces nastavenia pre novo pridané zákaznícke organizácie.

  • Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými administrátorskými právami pre vašu organizáciu.

    Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker v kroku 5 zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:

    Opis

    Variabilné

    HTTP Proxy bez autentifikácie

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentifikácie

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP Proxy s autentifikáciou

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS Proxy s autentifikáciou

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:

    • Databázové poverenia

    • Aktualizácie certifikátov

    • Zmeny v politike autorizácie

  • Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.

Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.

1

Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

V bežných prostrediach:

docker rmi ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

2

Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:

docker login -u hdscustomersro
3

Pri výzve na zadanie hesla zadajte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stiahnite si najnovší stabilný obraz pre vaše prostredie:

V bežných prostrediach:

docker pull ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

  • V bežných prostrediach bez servera proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V prostrediach FedRAMP bez proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • V prostrediach FedRAMP s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný
  • V prostrediach FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný

Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“.

6

Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 .

Pomocou webového prehliadača prejdite na localhost, http://127.0.0.1:8080, a po výzve zadajte používateľské meno správcu pre partnerské centrum.

Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie.

7

Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia správcu Partner Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre Hybrid Data Security.

8

Na stránke prehľadu nástroja Setup kliknite na položku Začíname.

9

Na stránke Import ISO kliknite na tlačidlo Áno.

10

Vyberte súbor ISO v prehliadači a nahrajte ho.

Ak chcete vykonávať správu CMK, zaistite pripojenie k databáze.
11

Prejdite na kartu Správa CMK nájomcov , kde nájdete nasledujúce tri spôsoby správy CMK nájomcov.

  • Vytvoriť CMK pre všetky ORG alebo Vytvoriť CMK – Kliknutím na toto tlačidlo na banneri v hornej časti obrazovky vytvoríte CMK pre všetky novo pridané organizácie.
  • Kliknite na tlačidlo Spravovať CMK na pravej strane obrazovky a kliknite na Vytvoriť CMK , aby ste vytvorili CMK pre všetky novo pridané organizácie.
  • Kliknite na … vedľa stavu čakania na správu CMK konkrétnej organizácie v tabuľke a kliknutím na položku Vytvoriť CMK vytvorte CMK pre túto organizáciu.
12

Po úspešnom vytvorení CMK sa stav v tabuľke zmení z Čaká sa na správu CMK na Spravuje CMK.

13

Ak je vytvorenie CMK neúspešné, zobrazí sa chyba.

Odstráňte organizácie nájomníkov

Skôr ako začnete

Po odstránení nebudú používatelia zákazníckych organizácií môcť využívať HDS pre svoje potreby šifrovania a stratia všetky existujúce miesta. Pred odstránením zákazníckych organizácií kontaktujte svojho partnera Cisco alebo správcu účtu.

1

Prihláste sa do https://admin.webex.com.

2

V ponuke na ľavej strane obrazovky vyberte položku Služby.

3

V sekcii Cloudové služby nájdite Hybrid Data Security a kliknite na položku Zobraziť všetko.

4

Na karte Zdroje kliknite na klaster, z ktorého chcete odstrániť organizácie zákazníkov.

5

Na stránke, ktorá sa otvorí, kliknite na položku Priradení zákazníci.

6

V zobrazenom zozname organizácií zákazníkov kliknite na položku ... na pravej strane organizácie zákazníka, ktorú chcete odstrániť, a kliknite na položku Odstrániť z klastra.

Čo robiť ďalej

Dokončite proces odstránenia zrušením CMK zákazníckych organizácií, ako je podrobne uvedené v časti Odvolanie CMK nájomníkov odstránených z HDS.

Zrušiť CMK nájomníkov odstránených z HDS.

Skôr ako začnete

Odstráňte zákazníkov z príslušného klastra, ako je podrobne uvedené v časti Odstránenie organizácií nájomníkov. Spustite nástroj HDS Setup a dokončite proces odstránenia pre zákaznícke organizácie, ktoré boli odstránené.

  • Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými administrátorskými právami pre vašu organizáciu.

    Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker v kroku 5 zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:

    Opis

    Variabilné

    HTTP Proxy bez autentifikácie

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentifikácie

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP Proxy s autentifikáciou

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS Proxy s autentifikáciou

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:

    • Databázové poverenia

    • Aktualizácie certifikátov

    • Zmeny v politike autorizácie

  • Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.

Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.

1

Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

V bežných prostrediach:

docker rmi ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

2

Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:

docker login -u hdscustomersro
3

Pri výzve na zadanie hesla zadajte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stiahnite si najnovší stabilný obraz pre vaše prostredie:

V bežných prostrediach:

docker pull ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

  • V bežných prostrediach bez servera proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V prostrediach FedRAMP bez proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • V prostrediach FedRAMP s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný
  • V prostrediach FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný

Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“.

6

Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 .

Pomocou webového prehliadača prejdite na localhost, http://127.0.0.1:8080, a po výzve zadajte používateľské meno správcu pre partnerské centrum.

Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie.

7

Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia správcu Partner Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre Hybrid Data Security.

8

Na stránke prehľadu nástroja Setup kliknite na položku Začíname.

9

Na stránke Import ISO kliknite na tlačidlo Áno.

10

Vyberte súbor ISO v prehliadači a nahrajte ho.

11

Prejdite na kartu Správa CMK nájomcov , kde nájdete nasledujúce tri spôsoby správy CMK nájomcov.

  • Odvolať CMK pre všetky ORG alebo Odvolať CMK – Kliknutím na toto tlačidlo na banneri v hornej časti obrazovky zrušíte CMK všetkých organizácií, ktoré boli odstránené.
  • Kliknite na tlačidlo Spravovať CMK na pravej strane obrazovky a kliknutím na Odvolať CMK odvolajte CMK všetkých organizácií, ktoré boli odstránené.
  • Kliknite na položku vedľa stavu CMK na odvolanie konkrétnej organizácie v tabuľke a kliknutím na položku Odvolať CMK odvoláte CMK pre túto konkrétnu organizáciu.
12

Po úspešnom odvolaní CMK sa zákaznícka organizácia už nebude zobrazovať v tabuľke.

13

Ak je zrušenie CMK neúspešné, zobrazí sa chyba.

Otestujte svoje nasadenie Hybrid Data Security

Otestujte svoje nasadenie hybridného zabezpečenia dát

Tento postup použite na testovanie scenárov šifrovania Hybrid Data Security pre viacerých nájomníkov.

Skôr ako začnete

  • Nastavte svoje nasadenie Hybridného zabezpečenia dát pre viacerých nájomníkov.

  • Uistite sa, že máte prístup k syslog, aby ste si overili, že kľúčové požiadavky prechádzajú do vášho nasadenia Multi-Tenant Hybrid Data Security.

1

Kľúče pre daný priestor nastavuje tvorca priestoru. Prihláste sa do aplikácie Webex ako jeden z používateľov zákazníckej organizácie a potom vytvorte priestor.

Ak deaktivujete nasadenie Hybrid Data Security, obsah v priestoroch, ktoré používatelia vytvoria, už nebude prístupný po výmene kópií šifrovacích kľúčov uložených vo vyrovnávacej pamäti klienta.

2

Posielajte správy do nového priestoru.

3

Skontrolujte výstup syslog, aby ste si overili, že požiadavky na kľúče prechádzajú do vášho nasadenia Hybrid Data Security.

  1. Ak chcete skontrolovať, či používateľ najprv vytvoril zabezpečený kanál na KMS, filtrujte podľa kms.data.method=create a kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Mali by ste nájsť záznam, ako je tento (identifikátory skrátené kvôli čitateľnosti):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] prijaté, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method= vytvoriť, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, km. data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
  2. Ak chcete vyhľadať používateľa, ktorý od KMS požaduje existujúci kľúč, filtrujte kms.data.method=retrieve a kms.data.type=KEY:

    Mali by ste nájsť záznam ako:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] prijaté, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method= načítať, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/ kľúče/d[~]2, kms.data.userId=1[~]b
  3. Ak chcete skontrolovať, či používateľ žiada o vytvorenie nového kľúča KMS, filtrujte kms.data.method=create a kms.data.type=KEY_COLLECTION:

    Mali by ste nájsť záznam ako:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] prijaté, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method =vytvoriť, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_ZBER, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data .userId=1[~]b
  4. Ak chcete pri vytváraní priestoru alebo iného chráneného zdroja skontrolovať, či používateľ žiada o vytvorenie nového objektu KMS Resource Object (KRO), použite filter kms.data.method=create a kms.data. type=RESOURCE_COLLECTION:

    Mali by ste nájsť záznam ako:
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] prijaté, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method= vytvoriť, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data .userId=1[~]b

Monitorujte zdravie Hybrid Data Security Health

Indikátor stavu v Partner Hub vám ukáže, či je s nasadením Multi-Tenant Hybrid Data Security všetko v poriadku. Ak chcete dostávať proaktívnejšie upozornenia, prihláste sa na odber e-mailových upozornení. Budete upozornení, keď sa vyskytnú alarmy alebo aktualizácie softvéru ovplyvňujúce službu.
1

V Centre pre partnerov vyberte z ponuky na ľavej strane obrazovky položku Služby .

2

V časti Cloudové služby vyhľadajte Hybrid Data Security a kliknite na položku Upraviť nastavenia.

Zobrazí sa stránka Hybrid Data Security Settings.
3

V časti E-mailové upozornenia zadajte jednu alebo viac e-mailových adries oddelených čiarkami a stlačte kláves Enter.

Spravujte svoje nasadenie HDS

Spravujte nasadenie HDS

Pomocou tu popísaných úloh spravujte svoje nasadenie Hybrid Data Security.

Nastavte plán aktualizácie klastra

Aktualizácie softvéru pre Hybrid Data Security sa vykonávajú automaticky na úrovni klastra, čo zaisťuje, že všetky uzly vždy bežia s rovnakou verziou softvéru. Inovácie sa vykonávajú podľa plánu aktualizácie pre klaster. Keď bude k dispozícii aktualizácia softvéru, máte možnosť manuálne aktualizovať klaster pred plánovaným časom aktualizácie. Môžete nastaviť konkrétny plán inovácie alebo použiť predvolený plán na 3:00 denne v USA: Amerika/Los Angeles. V prípade potreby môžete tiež odložiť nadchádzajúcu inováciu.

Ak chcete nastaviť plán aktualizácie:

1

Prihláste sa do Partnerského centra.

2

V ponuke na ľavej strane obrazovky vyberte položku Služby.

3

V časti Cloudové služby vyhľadajte Hybrid Data Security a kliknite na tlačidlo Nastaviť

4

Na stránke Hybrid Data Security Resources vyberte klaster.

5

Kliknite na kartu Nastavenia klastra .

6

Na stránke Nastavenia klastra v časti Plán aktualizácie vyberte čas a časové pásmo pre plán inovácie.

Poznámka: Pod časovým pásmom sa zobrazí dátum a čas ďalšej dostupnej aktualizácie. V prípade potreby môžete inováciu odložiť na nasledujúci deň kliknutím na položku Odložiť o 24 hodín.

Zmeňte konfiguráciu uzla

Príležitostne možno budete musieť zmeniť konfiguráciu uzla Hybrid Data Security z nasledujúcich dôvodov:
  • Zmena x.509 certifikátov z dôvodu uplynutia platnosti alebo iných dôvodov.

    Nepodporujeme zmenu názvu domény CN certifikátu. Doména sa musí zhodovať s pôvodnou doménou použitou na registráciu klastra.

  • Aktualizácia nastavení databázy pre zmenu na repliku databázy PostgreSQL alebo Microsoft SQL Server.

    Nepodporujeme migráciu údajov z PostgreSQL na Microsoft SQL Server ani opačným spôsobom. Ak chcete zmeniť prostredie databázy, spustite nové nasadenie Hybrid Data Security.

  • Vytvorenie novej konfigurácie na prípravu nového dátového centra.

Z bezpečnostných dôvodov používa Hybrid Data Security heslá servisných účtov, ktoré majú životnosť deväť mesiacov. Keď nástroj HDS Setup vygeneruje tieto heslá, nasadíte ich do každého z vašich uzlov HDS v konfiguračnom súbore ISO. Keď sa blíži koniec platnosti hesiel vašej organizácie, dostanete od tímu Webex upozornenie na resetovanie hesla pre váš počítačový účet. (E-mail obsahuje text „Na aktualizáciu hesla použite rozhranie API strojového účtu.“) Ak platnosť vašich hesiel ešte nevypršala, nástroj vám ponúka dve možnosti:

  • Mäkké obnovenie – staré aj nové heslo fungujú až 10 dní. Toto obdobie použite na postupnú výmenu súboru ISO na uzloch.

  • Tvrdý reset – staré heslá okamžite prestanú fungovať.

Ak platnosť vašich hesiel vyprší bez resetovania, ovplyvní to vašu službu HDS, čo si vyžaduje okamžitý tvrdý reset a nahradenie súboru ISO na všetkých uzloch.

Tento postup použite na vygenerovanie nového konfiguračného súboru ISO a jeho použitie vo vašom klastri.

Skôr ako začnete

  • Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými právami správcu partnera.

    Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri vytváraní kontajnera Docker v 1.e zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:

    Opis

    Variabilné

    HTTP Proxy bez autentifikácie

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentifikácie

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP Proxy s autentifikáciou

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS Proxy s autentifikáciou

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Na vygenerovanie novej konfigurácie potrebujete kópiu aktuálneho konfiguračného súboru ISO. ISO obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. ISO potrebujete, keď robíte zmeny v konfigurácii vrátane poverení databázy, aktualizácií certifikátov alebo zmien v politike autorizácie.

1

Pomocou Docker na lokálnom počítači spustite nástroj HDS Setup Tool.

  1. Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

    V bežných prostrediach:

    docker rmi ciscocitg/hds-setup:stable

    V prostrediach FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

  2. Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:

    docker login -u hdscustomersro
  3. Pri výzve na zadanie hesla zadajte tento hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
  4. Stiahnite si najnovší stabilný obraz pre vaše prostredie:

    V bežných prostrediach:

    docker pull ciscocitg/hds-setup:stable

    V prostrediach FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Uistite sa, že ste na tento postup použili najnovší nástroj Setup. Verzie nástroja vytvorené pred 22. februárom 2018 neobsahujú obrazovky na obnovenie hesla.

  5. Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

    • V bežných prostrediach bez servera proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
    • V bežných prostrediach s HTTP proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • V bežných prostrediach s HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • V prostrediach FedRAMP bez proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
    • V prostrediach FedRAMP s HTTP proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný
    • V prostrediach FedRAMP s HTTPS proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný

    Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“.

  6. Použite prehliadač na pripojenie k localhost, http://127.0.0.1:8080.

    Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 .

  7. Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia zákazníka Centra partnerov a potom pokračujte kliknutím na tlačidlo Prijať .

  8. Importujte aktuálny konfiguračný súbor ISO.

  9. Postupujte podľa pokynov na dokončenie nástroja a stiahnite si aktualizovaný súbor.

    Ak chcete vypnúť inštalačný nástroj, napíšte CTRL+C.

  10. Vytvorte záložnú kópiu aktualizovaného súboru v inom dátovom centre.

2

Ak máte spustený iba jeden uzol HDS, vytvorte nový virtuálny počítač s uzlom Hybrid Data Security a zaregistrujte ho pomocou nového konfiguračného súboru ISO. Podrobnejšie pokyny nájdete v časti Vytvorenie a registrácia ďalších uzlov.

  1. Nainštalujte hostiteľský OVA HDS.

  2. Nastavte HDS VM.

  3. Pripojte aktualizovaný konfiguračný súbor.

  4. Zaregistrujte nový uzol v partnerskom centre.

3

Pre existujúce uzly HDS, na ktorých je spustený starší konfiguračný súbor, pripojte súbor ISO. Postupne vykonajte nasledujúci postup na každom uzle, pričom aktualizujte každý uzol pred vypnutím ďalšieho uzla:

  1. Vypnite virtuálny stroj.

  2. V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Upraviť nastavenia.

  3. Kliknite na položku Jednotka CD/DVD 1, vyberte možnosť pripojenia zo súboru ISO a prejdite do umiestnenia, do ktorého ste prevzali nový konfiguračný súbor ISO.

  4. Začiarknite políčko Pripojiť pri zapnutí.

  5. Uložte zmeny a zapnite virtuálny počítač.

4

Opakujte krok 3, aby ste nahradili konfiguráciu na každom zostávajúcom uzle, na ktorom je spustená stará konfigurácia.

Vypnite režim zablokovaného externého rozlíšenia DNS

Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. Ak server DNS uzla nedokáže rozlíšiť verejné názvy DNS, uzol automaticky prejde do režimu zablokovaného externého rozlíšenia DNS.

Ak vaše uzly dokážu rozlíšiť verejné názvy DNS prostredníctvom interných serverov DNS, môžete tento režim vypnúť opätovným spustením testu pripojenia proxy na každom uzle.

Skôr ako začnete

Uistite sa, že vaše interné servery DNS dokážu rozlíšiť verejné názvy DNS a že vaše uzly s nimi môžu komunikovať.
1

Vo webovom prehliadači otvorte rozhranie uzla Hybrid Data Security (napríklad adresa IP alebo nastavenie, https://192.0.2.0/setup), zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite na tlačidlo Prihlásiť sa).

2

Prejdite na Prehľad (predvolená stránka).

Keď je táto možnosť povolená, možnosť Blokované externé rozlíšenie DNS je nastavená na možnosť Áno.

3

Prejdite na stránku Trust Store & Proxy .

4

Kliknite na položku Skontrolovať pripojenie proxy.

Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS a zostane v tomto režime. V opačnom prípade po reštartovaní uzla a návrate na stránku Prehľad by mala byť položka Blocked External DNS Resolution nastavená na hodnotu No.

Čo robiť ďalej

Zopakujte test pripojenia proxy na každom uzle v klastri Hybrid Data Security.

Odstráňte uzol

Tento postup použite na odstránenie uzla Hybrid Data Security z cloudu Webex. Po odstránení uzla z klastra odstráňte virtuálny počítač, aby ste zabránili ďalšiemu prístupu k vašim bezpečnostným údajom.
1

Pomocou klienta VMware vSphere vo svojom počítači sa prihláste do virtuálneho hostiteľa ESXi a vypnite virtuálny počítač.

2

Odstráňte uzol:

  1. Prihláste sa do centra pre partnerov a potom vyberte položku Služby.

  2. Na karte Hybrid Data Security kliknite na položku Zobraziť všetko , čím zobrazíte stránku Hybrid Data Security Resources.

  3. Vyberte svoj klaster, aby sa zobrazil jeho panel Prehľad.

  4. Kliknite na uzol, ktorý chcete odstrániť.

  5. Kliknite na položku Zrušiť registráciu tohto uzla na paneli, ktorý sa zobrazí vpravo

  6. Registráciu uzla môžete zrušiť aj kliknutím na … na pravej strane uzla a výberom možnosti Odstrániť tento uzol.

3

V klientovi vSphere odstráňte VM. (Na ľavom navigačnom paneli kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Odstrániť.)

Ak nevymažete VM, nezabudnite odpojiť konfiguračný súbor ISO. Bez súboru ISO nemôžete použiť VM na prístup k bezpečnostným údajom.

Obnova po havárii pomocou pohotovostného dátového centra

Najdôležitejšou službou, ktorú váš klaster Hybrid Data Security poskytuje, je vytváranie a ukladanie kľúčov používaných na šifrovanie správ a iného obsahu uloženého v cloude Webex. Pre každého používateľa v rámci organizácie, ktorý je priradený k Hybrid Data Security, sú do klastra smerované nové požiadavky na vytvorenie kľúča. Klaster je tiež zodpovedný za vrátenie kľúčov, ktoré vytvoril, všetkým používateľom oprávneným na ich získanie, napríklad členom konverzačného priestoru.

Pretože klaster vykonáva kritickú funkciu poskytovania týchto kľúčov, je nevyhnutné, aby klaster zostal spustený a aby sa udržiavali správne zálohy. Strata databázy Hybrid Data Security alebo konfigurácie ISO použitej pre schému bude mať za následok NENÁVRATNÚ STRATU zákazníckeho obsahu. Aby sa predišlo takejto strate, sú povinné nasledujúce postupy:

Ak havária spôsobí, že nasadenie HDS v primárnom dátovom centre sa stane nedostupným, podľa tohto postupu manuálne prepnite na pohotovostné dátové centrum.

Skôr ako začnete

Zrušte registráciu všetkých uzlov z centra partnerov, ako je uvedené v časti Odstránenie uzla. Na vykonanie procedúry prepnutia pri zlyhaní uvedenej nižšie použite najnovší súbor ISO, ktorý bol nakonfigurovaný voči uzlom klastra, ktorý bol predtým aktívny.
1

Spustite nástroj na nastavenie HDS a postupujte podľa krokov uvedených v časti Vytvorenie konfiguračného ISO pre hostiteľov HDS.

2

Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť.

3

Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii.

4

V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Upraviť nastavenia.

5

Kliknite na položku Upraviť nastavenia >Jednotka CD/DVD 1 a vyberte položku Datastore ISO File.

Uistite sa, že sú začiarknuté položky Pripojené a Pripojiť pri zapnutí , aby sa aktualizované zmeny konfigurácie prejavili po spustení uzlov.

6

Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy.

7

Zaregistrujte uzol v partnerskom centre. Pozrite si časť Registrácia prvého uzla v klastri.

8

Opakujte proces pre každý uzol v pohotovostnom dátovom centre.

Čo robiť ďalej

Ak sa po prepnutí pri zlyhaní opäť aktivuje primárne dátové centrum, zrušte registráciu uzlov pohotovostného dátového centra a zopakujte proces konfigurácie ISO a registrácie uzlov primárneho dátového centra, ako je uvedené vyššie.

(Voliteľné) Odpojte ISO po konfigurácii HDS

Štandardná konfigurácia HDS beží s namontovaným ISO. Niektorí zákazníci však uprednostňujú neponechať súbory ISO nepretržite pripojené. Súbor ISO môžete odpojiť potom, čo všetky uzly HDS prevezmú novú konfiguráciu.

Na vykonanie zmien v konfigurácii stále používate súbory ISO. Keď vytvoríte nový ISO alebo aktualizujete ISO pomocou nástroja Setup Tool, musíte aktualizovaný ISO pripojiť na všetky vaše uzly HDS. Keď všetky vaše uzly zachytia zmeny konfigurácie, môžete ISO znova odpojiť pomocou tohto postupu.

Skôr ako začnete

Inovujte všetky svoje uzly HDS na verziu 2021.01.22.4720 alebo novšiu.

1

Vypnite jeden z uzlov HDS.

2

V serverovom zariadení vCenter vyberte uzol HDS.

3

Vyberte položku Upraviť nastavenia > Jednotka CD/DVD a zrušte začiarknutie políčka Súbor ISO úložiska údajov.

4

Zapnite uzol HDS a uistite sa, že aspoň 20 minút nie sú žiadne alarmy.

5

Postup opakujte pre každý uzol HDS.

Riešenie problémov so zabezpečením hybridných údajov

Zobraziť upozornenia a riešenie problémov

Nasadenie Hybrid Data Security sa považuje za nedostupné, ak sú všetky uzly v klastri nedostupné alebo klaster pracuje tak pomaly, že si vyžaduje časový limit. Ak používatelia nemôžu dosiahnuť váš klaster Hybrid Data Security, zaznamenajú nasledujúce príznaky:

  • Nie je možné vytvoriť nové medzery (nemožno vytvoriť nové kľúče)

  • Správy a názvy priestorov sa nedajú dešifrovať pre:

    • Noví používatelia pridaní do priestoru (nemožno načítať kľúče)

    • Existujúci používatelia v priestore používajúci nového klienta (nemožno načítať kľúče)

  • Existujúci používatelia v priestore budú naďalej úspešne fungovať, pokiaľ ich klienti majú vyrovnávaciu pamäť šifrovacích kľúčov

Je dôležité, aby ste správne monitorovali svoj klaster Hybrid Data Security a okamžite riešili všetky výstrahy, aby ste predišli prerušeniu služby.

Upozornenia

Ak sa vyskytne problém s nastavením Hybrid Data Security, partnerské centrum zobrazí upozornenia správcovi organizácie a odošle e-maily na nakonfigurovanú e-mailovú adresu. Výstrahy pokrývajú mnoho bežných scenárov.

Tabuľka č. 1 Bežné problémy a kroky na ich vyriešenie

Upozornenie

Akcia

Zlyhanie prístupu k lokálnej databáze.

Skontrolujte chyby databázy alebo problémy s lokálnou sieťou.

Zlyhanie pripojenia k lokálnej databáze.

Skontrolujte, či je databázový server dostupný a či boli v konfigurácii uzla použité správne poverenia servisného účtu.

Zlyhanie prístupu k cloudovej službe.

Skontrolujte, či majú uzly prístup k serverom Webex, ako je uvedené v časti Požiadavky na externé pripojenie.

Obnovuje sa registrácia cloudovej služby.

Registrácia do cloudových služieb bola zrušená. Prebieha obnova registrácie.

Registrácia cloudovej služby bola zrušená.

Registrácia do cloudových služieb bola ukončená. Služba sa vypína.

Služba ešte nie je aktivovaná.

Aktivujte HDS v Partner Hub.

Nakonfigurovaná doména sa nezhoduje s certifikátom servera.

Uistite sa, že váš certifikát servera sa zhoduje s nakonfigurovanou doménou aktivácie služby.

Najpravdepodobnejšou príčinou je, že certifikát CN bol nedávno zmenený a teraz sa líši od CN, ktorý bol použitý počas počiatočného nastavenia.

Nepodarilo sa overiť v cloudových službách.

Skontrolujte presnosť a možné vypršanie platnosti poverení servisného účtu.

Nepodarilo sa otvoriť súbor lokálneho úložiska kľúčov.

Skontrolujte integritu a presnosť hesla v lokálnom súbore skladu kľúčov.

Certifikát lokálneho servera je neplatný.

Skontrolujte dátum vypršania platnosti certifikátu servera a potvrďte, že bol vydaný dôveryhodnou certifikačnou autoritou.

Nie je možné uverejniť metriky.

Skontrolujte prístup k lokálnej sieti k externým cloudovým službám.

Adresár /media/configdrive/hds neexistuje.

Skontrolujte konfiguráciu pripojenia ISO na virtuálnom hostiteľovi. Overte, či súbor ISO existuje, či je nakonfigurovaný na pripojenie pri reštarte a či sa úspešne pripojí.

Nastavenie nájomnej organizácie pre pridané organizácie nie je dokončené

Dokončite nastavenie vytvorením CMK pre novo pridané organizácie nájomníkov pomocou nástroja HDS Setup Tool.

Nastavenie nájomnej organizácie pre odstránené organizácie nie je dokončené

Dokončite nastavenie zrušením CMK organizácií nájomníkov, ktoré boli odstránené pomocou nástroja HDS Setup Tool.

Riešenie problémov so zabezpečením hybridných údajov

Pri riešení problémov s Hybrid Data Security použite nasledujúce všeobecné pokyny.
1

Skontrolujte partnerské centrum pre všetky upozornenia a opravte všetky položky, ktoré tam nájdete. Pozrite si obrázok nižšie ako referenciu.

2

Skontrolujte výstup servera syslog pre aktivitu z nasadenia Hybrid Data Security. Filtrujte slová ako „Upozornenie“ a „Chyba“, ktoré vám pomôžu pri riešení problémov.

3

Kontaktujte podporu Cisco.

Ďalšie poznámky

Známe problémy s hybridnou bezpečnosťou údajov

  • Ak vypnete svoj klaster Hybrid Data Security (odstránením v Partner Hub alebo vypnutím všetkých uzlov), stratíte svoj konfiguračný súbor ISO alebo stratíte prístup k databáze úložiska kľúčov, používatelia aplikácií Webex zo zákazníckych organizácií už nebudú môcť používať priestory pod ich zoznam ľudí, ktorý bol vytvorený pomocou kľúčov z vášho KMS. V súčasnosti nemáme riešenie ani opravu tohto problému a žiadame vás, aby ste nevypínali svoje služby HDS, keď budú spracovávať aktívne používateľské účty.

  • Klient, ktorý má existujúce pripojenie ECDH ku KMS, udržiava toto pripojenie určitý čas (pravdepodobne jednu hodinu).

Na vygenerovanie súboru PKCS12 použite OpenSSL

Skôr ako začnete

  • OpenSSL je jeden nástroj, ktorý možno použiť na vytvorenie súboru PKCS12 v správnom formáte na načítanie v nástroji HDS Setup Tool. Existujú aj iné spôsoby, ako to urobiť, a my nepodporujeme ani nepresadzujeme jeden spôsob oproti druhému.

  • Ak sa rozhodnete použiť OpenSSL, poskytujeme tento postup ako návod, ktorý vám pomôže vytvoriť súbor, ktorý spĺňa požiadavky na certifikát X.509 v časti Požiadavky na certifikát X.509. Než budete pokračovať, pochopte tieto požiadavky.

  • Nainštalujte OpenSSL v podporovanom prostredí. Softvér a dokumentáciu nájdete v časti https://www.openssl.org .

  • Vytvorte súkromný kľúč.

  • Tento postup začnite, keď dostanete certifikát servera od certifikačnej autority (CA).

1

Keď od svojej CA dostanete certifikát servera, uložte ho ako hdsnode.pem.

2

Zobrazte certifikát ako text a overte podrobnosti.

openssl x509 -text -noout -in hdsnode.pem

3

Pomocou textového editora vytvorte súbor balíka certifikátov s názvom hdsnode-bundle.pem. Súbor balíka musí obsahovať certifikát servera, akékoľvek sprostredkujúce certifikáty CA a certifikáty koreňovej CA vo formáte nižšie:

-----ZAČIATOK CERTIFIKÁT----- ### Certifikát servera. ### -----KONIEC CERTIFIKÁTU----- -----ZAČIATOK CERTIFIKÁTU----- ### Certifikát strednej CA. ### -----KONIEC CERTIFIKÁTU----- -----ZAČIATOK CERTIFIKÁTU----- ### Certifikát koreňovej CA. ### -----KONIEC CERTIFIKÁTU-----

4

Vytvorte súbor .p12 s priateľským názvom kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Skontrolujte podrobnosti certifikátu servera.

  1. openssl pkcs12 -in hdsnode.p12

  2. Vo výzve zadajte heslo na zašifrovanie súkromného kľúča, aby bol uvedený vo výstupe. Potom skontrolujte, či súkromný kľúč a prvý certifikát obsahujú riadky friendlyName: kms-private-key.

    Príklad:

    bash$ openssl pkcs12 -in hdsnode.p12 Zadajte heslo importu: Atribúty tašky OK s overením MAC friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Kľúčové atribúty:  Zadajte heslo PEM: Overenie – zadajte heslo PEM: -----ZAČIATOK ŠIFROVANÝ SÚKROMNÝ KĽÚČ-----  -----KONIEC ŠIFROVANÝ SÚKROMNÝ KĽÚČ----- Atribúty tašky friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -- Encrypt Authority ---ZAČIATOK CERTIFIKÁT-----  -----KONCOVÝ CERTIFIKÁT----- Vlastnosti tašky friendlyName: CN=Poďme šifrovať autoritu X3,O=Poďme zašifrovať,C=US predmet=/C=US/O=Poďme zašifrovať/CN=Poďme zašifrovať autoritu X3 vydavateľ=/O=Digitálny podpis Trust Co./CN=DST Root CA X3 -----ZAČIATOK CERTIFIKÁT-----  -----KONIEC CERTIFIKÁTU-----

Čo robiť ďalej

Vráťte sa na stránku Dokončenie predpokladov pre hybridné zabezpečenie údajov. V časti Vytvorenie konfiguračného ISO pre hostiteľov HDS použijete súbor hdsnode.p12 a heslo, ktoré ste preň nastavili.

Tieto súbory môžete znova použiť na vyžiadanie nového certifikátu, keď platnosť pôvodného certifikátu vyprší.

Prevádzka medzi uzlami HDS a cloudom

Odchádzajúca návštevnosť zberu metrík

Uzly Hybrid Data Security odosielajú určité metriky do cloudu Webex. Patria sem systémové metriky pre maximálnu haldu, využitú haldu, zaťaženie procesora a počet vlákien; metriky na synchrónnych a asynchrónnych vláknach; metriky výstrah zahŕňajúce prah šifrovacích pripojení, latenciu alebo dĺžku frontu požiadaviek; metriky v dátovom sklade; a metriky šifrovaného pripojenia. Uzly posielajú zašifrovaný kľúčový materiál cez kanál mimo pásma (oddelený od požiadavky).

Prichádzajúca premávka

Uzly Hybrid Data Security prijímajú nasledujúce typy prichádzajúcej prevádzky z cloudu Webex:

  • Šifrovacie požiadavky od klientov, ktoré sú smerované šifrovacou službou

  • Aktualizácie softvéru uzla

Nakonfigurujte Squid proxy pre hybridné zabezpečenie dát

Websocket sa nemôže pripojiť cez Squid Proxy

Servery proxy typu Squid, ktoré kontrolujú prenos HTTPS, môžu narúšať vytváranie pripojení websocket (wss:), ktoré vyžaduje Hybrid Data Security. Tieto časti poskytujú návod, ako nakonfigurovať rôzne verzie Squid tak, aby ignorovali wss: prevádzky pre správne fungovanie služieb.

Kalmáre 4 a 5

Pridajte on_unsupported_protocol smernicu na stránku squid.conf:

on_unsupported_protocol tunel všetko

Kalmáre 3.5.27

Úspešne sme testovali Hybrid Data Security pomocou nasledujúcich pravidiel pridaných na stránku squid.conf. Tieto pravidlá sa môžu meniť, pretože vyvíjame funkcie a aktualizujeme cloud Webex.

acl wssMercuryConnection ssl::server_name_regex ortuťové pripojenie ssl_bump splice wssMercuryConnection acl krok1 at_step SslBump1 acl krok2 at_step SslBump2 acl krok3 at_step SslBump3 ssl_bump pohľad krok1 všetko ssl_bump pozerať krok2 všetko ssl_bump vyskočiť krok3 všetko

Nové a zmenené informácie

Nové a zmenené informácie

Táto tabuľka obsahuje nové funkcie alebo funkcie, zmeny existujúceho obsahu a všetky hlavné chyby, ktoré boli opravené v Príručke nasadenia pre multi-tenantovú hybridnú bezpečnosť údajov.

Dátum

Vykonané zmeny

8. januára 2025

Do časti Vykonať úvodné nastavenie a prevziať inštalačné súbory bola pridaná poznámka, že kliknutie na položku Nastaviť na karte HDS v partnerskom centre je dôležitým krokom procesu inštalácie.

7. januára 2025

Aktualizované Požiadavky na virtuálneho hostiteľa, Tok úloh nasadenia hybridného zabezpečenia údajov a Inštalácia hostiteľského OVA HDS , aby zobrazovali novú požiadavku ESXi 7.0.

13. decembra 2024

Prvýkrát zverejnené.

Deaktivujte hybridné zabezpečenie dát pre viacerých nájomníkov

Tok úloh deaktivácie HDS pre viacerých nájomníkov

Ak chcete úplne deaktivovať Multi-Tenant HDS, postupujte podľa týchto krokov.

Skôr ako začnete

Túto úlohu by mal vykonávať iba úplný správca partnera.
1

Odstráňte všetkých zákazníkov zo všetkých svojich klastrov, ako je uvedené v časti Odstránenie organizácií nájomníkov.

2

Zrušte CMK všetkých zákazníkov, ako je uvedené v časti Zrušenie CMK nájomníkov odstránených z HDS.

3

Odstráňte všetky uzly zo všetkých klastrov, ako je uvedené v časti Odstránenie uzla.

4

Odstráňte všetky svoje klastre z Partner Hub pomocou jednej z nasledujúcich dvoch metód.

  • Kliknite na klaster, ktorý chcete odstrániť, a vyberte možnosť Odstrániť tento klaster v pravom hornom rohu stránky súhrnu.
  • Na stránke Zdroje kliknite na … na pravej strane klastra a vyberte možnosť Odstrániť klaster.
5

Kliknite na kartu Nastavenia na stránke prehľadu Hybrid Data Security a kliknite na položku Deaktivovať HDS na karte Stav HDS.

Začnite s Hybridným zabezpečením dát pre viacerých nájomníkov

Prehľad zabezpečenia hybridných dát pre viacerých nájomníkov

Od prvého dňa bola bezpečnosť údajov hlavným zameraním pri navrhovaní aplikácie Webex. Základným kameňom tohto zabezpečenia je komplexné šifrovanie obsahu, ktoré umožňujú klienti Webex App interagujúci so službou správy kľúčov (KMS). KMS je zodpovedný za vytváranie a správu kryptografických kľúčov, ktoré klienti používajú na dynamické šifrovanie a dešifrovanie správ a súborov.

V predvolenom nastavení dostávajú všetci zákazníci Webex App end-to-end šifrovanie s dynamickými kľúčmi uloženými v cloudovom KMS v oblasti bezpečnosti Cisco. Hybrid Data Security presúva KMS a ďalšie funkcie súvisiace so zabezpečením do vášho podnikového dátového centra, takže kľúče k vášmu šifrovanému obsahu nemá nikto okrem vás.

Multi-Tenant Hybrid Data Security umožňuje organizáciám využívať HDS prostredníctvom dôveryhodného miestneho partnera, ktorý môže pôsobiť ako poskytovateľ služieb a spravovať lokálne šifrovanie a ďalšie bezpečnostné služby. Toto nastavenie umožňuje partnerskej organizácii mať úplnú kontrolu nad nasadením a správou šifrovacích kľúčov a zaisťuje, že používateľské údaje zákazníckych organizácií sú v bezpečí pred externým prístupom. Partnerské organizácie podľa potreby nastavujú inštancie HDS a vytvárajú klastre HDS. Každá inštancia môže podporovať viacero zákazníckych organizácií na rozdiel od bežného nasadenia HDS, ktoré je obmedzené na jednu organizáciu.

Zatiaľ čo partnerské organizácie majú kontrolu nad nasadením a správou, nemajú prístup k údajom a obsahu generovanému zákazníkmi. Tento prístup je obmedzený na zákaznícke organizácie a ich používateľov.

To tiež umožňuje menším organizáciám využívať HDS, pretože službu správy kľúčov a bezpečnostnú infraštruktúru, ako sú dátové centrá, vlastní dôveryhodný miestny partner.

Ako Multi-Tenant Hybrid Data Security poskytuje dátovú suverenitu a kontrolu dát

  • Obsah generovaný používateľmi je chránený pred externým prístupom, ako sú poskytovatelia cloudových služieb.
  • Miestni dôveryhodní partneri spravujú šifrovacie kľúče zákazníkov, s ktorými už majú vybudovaný vzťah.
  • Možnosť miestnej technickej podpory, ak ju poskytuje partner.
  • Podporuje obsah stretnutí, správ a hovorov.

Tento dokument je zameraný na pomoc partnerským organizáciám pri nastavovaní a správe zákazníkov v rámci systému Multi-Tenant Hybrid Data Security.

Úlohy v hybridnej bezpečnosti dát pre viacerých nájomníkov

  • Úplný správca partnera – môže spravovať nastavenia pre všetkých zákazníkov, ktorých partner spravuje. Môže tiež priradiť roly správcu existujúcim používateľom v organizácii a priradiť konkrétnych zákazníkov, ktorých majú spravovať správcovia partnerov.
  • Správca partnera – môže spravovať nastavenia pre zákazníkov, ktorých správca poskytol alebo ktorí boli priradení používateľovi.
  • Úplný správca – správca partnerskej organizácie, ktorý je oprávnený vykonávať úlohy, ako je úprava nastavení organizácie, správa licencií a prideľovanie rolí.
  • Nastavenie HDS pre viacerých nájomníkov a správa všetkých zákazníckych organizácií od konca do konca – Vyžaduje sa úplný správca partnera a úplné práva správcu.
  • Správa priradených organizácií nájomcov – vyžaduje sa správca partnera a úplné práva správcu.

Architektúra bezpečnostnej sféry

Cloudová architektúra Webex oddeľuje rôzne typy služieb do samostatných oblastí alebo dôveryhodných domén, ako je znázornené nižšie.

Realms of Separation (bez Hybrid Data Security)

Aby sme lepšie porozumeli Hybrid Data Security, pozrime sa najprv na tento čistý cloud, kde Cisco poskytuje všetky funkcie vo svojich cloudových sférach. Služba identity, jediné miesto, kde môžu používatelia priamo korelovať so svojimi osobnými údajmi, ako je e-mailová adresa, je logicky a fyzicky oddelená od oblasti zabezpečenia v dátovom centre B. Obe sú zase oddelené od oblasti, kde je v konečnom dôsledku uložený šifrovaný obsah. , v dátovom centre C.

V tomto diagrame je klientom aplikácia Webex, ktorá beží na notebooku používateľa a je overená službou identity. Keď používateľ vytvorí správu na odoslanie do priestoru, vykonajú sa tieto kroky:

  1. Klient vytvorí zabezpečené spojenie so službou správy kľúčov (KMS), potom požiada o kľúč na zašifrovanie správy. Zabezpečené pripojenie používa ECDH a KMS šifruje kľúč pomocou hlavného kľúča AES-256.

  2. Správa je pred opustením klienta zašifrovaná. Klient ho odošle do indexovacej služby, ktorá vytvorí šifrované indexy vyhľadávania na pomoc pri budúcom vyhľadávaní obsahu.

  3. Zašifrovaná správa sa odošle do služby súladu na kontrolu súladu.

  4. Zašifrovaná správa je uložená v úložnej sfére.

Keď nasadíte Hybrid Data Security, presuniete funkcie bezpečnostnej sféry (KMS, indexovanie a súlad) do vášho lokálneho dátového centra. Ostatné cloudové služby, ktoré tvoria Webex (vrátane ukladania identity a obsahu), zostávajú v sférach spoločnosti Cisco.

Spolupráca s inými organizáciami

Používatelia vo vašej organizácii môžu pravidelne používať aplikáciu Webex na spoluprácu s externými účastníkmi v iných organizáciách. Keď jeden z vašich používateľov požaduje kľúč pre priestor, ktorý vlastní vaša organizácia (pretože ho vytvoril jeden z vašich používateľov), váš KMS odošle kľúč klientovi cez zabezpečený kanál ECDH. Keď však kľúč priestoru vlastní iná organizácia, váš KMS nasmeruje požiadavku do cloudu Webex cez samostatný kanál ECDH, aby získal kľúč z príslušného KMS, a potom vráti kľúč vášmu používateľovi na pôvodnom kanáli.

Služba KMS spustená v organizácii A overuje pripojenia ku KMS v iných organizáciách pomocou x.509 PKI certifikátov. Podrobnosti o generovaní certifikátu x.509 na použitie s nasadením Hybrid Data Security pre viacerých nájomníkov nájdete v časti Príprava prostredia .

Očakávania týkajúce sa nasadenia hybridnej bezpečnosti údajov

Nasadenie Hybrid Data Security si vyžaduje značné odhodlanie a uvedomenie si rizík, ktoré prináša vlastníctvo šifrovacích kľúčov.

Ak chcete nasadiť Hybrid Data Security, musíte poskytnúť:

Úplná strata buď konfiguračného ISO, ktoré ste vytvorili pre Hybrid Data Security, alebo databázy, ktorú poskytnete, bude mať za následok stratu kľúčov. Strata kľúča bráni používateľom dešifrovať obsah priestoru a ďalšie šifrované údaje v aplikácii Webex. Ak sa tak stane, môžete vytvoriť nové nasadenie, ale bude viditeľný iba nový obsah. Aby ste predišli strate prístupu k údajom, musíte:

  • Spravujte zálohovanie a obnovu databázy a konfiguračného ISO.

  • Buďte pripravení vykonať rýchlu obnovu po havárii, ak dôjde ku katastrofe, ako je zlyhanie databázového disku alebo katastrofa dátového centra.

Neexistuje žiadny mechanizmus na presun kľúčov späť do cloudu po nasadení HDS.

Proces nastavenia na vysokej úrovni

Tento dokument pokrýva nastavenie a správu nasadenia Hybrid Data Security pre viacerých nájomníkov:

  • Nastavenie Hybrid Data Security – zahŕňa prípravu požadovanej infraštruktúry a inštaláciu softvéru Hybrid Data Security, vybudovanie klastra HDS, pridanie organizácií nájomníkov do klastra a správu ich hlavných kľúčov zákazníkov (CMK). To umožní všetkým používateľom vašich zákazníckych organizácií používať váš klaster Hybrid Data Security na bezpečnostné funkcie.

    Fázy nastavenia, aktivácie a správy sú podrobne opísané v nasledujúcich troch kapitolách.

  • Udržujte svoje nasadenie Hybrid Data Security – cloud Webex automaticky poskytuje priebežné inovácie. Vaše IT oddelenie môže poskytnúť podporu prvej úrovne pre toto nasadenie a podľa potreby zapojiť podporu Cisco. V partnerskom centre môžete používať upozornenia na obrazovke a nastaviť upozornenia prostredníctvom e-mailu.

  • Pochopte bežné upozornenia, kroky na riešenie problémov a známe problémy – Ak narazíte na problémy s nasadením alebo používaním Hybrid Data Security, posledná kapitola tejto príručky a príloha Známe problémy vám môžu pomôcť určiť a vyriešiť problém.

Hybridný model nasadenia zabezpečenia dát

V rámci podnikového dátového centra nasadíte Hybrid Data Security ako jeden klaster uzlov na samostatných virtuálnych hostiteľoch. Uzly komunikujú s cloudom Webex cez zabezpečené websockety a zabezpečené HTTP.

Počas procesu inštalácie vám poskytneme súbor OVA na nastavenie virtuálneho zariadenia na VM, ktoré poskytnete. Nástroj HDS Setup Tool použijete na vytvorenie vlastného konfiguračného súboru ISO klastra, ktorý pripojíte na každý uzol. Klaster Hybrid Data Security využíva váš poskytnutý server Syslogd a databázu PostgreSQL alebo Microsoft SQL Server. (Syslogd a podrobnosti o pripojení k databáze nakonfigurujete v nástroji HDS Setup Tool.)

Hybridný model nasadenia zabezpečenia dát

Minimálny počet uzlov, ktoré môžete mať v klastri, sú dva. Odporúčame aspoň tri na klaster. Viacnásobné uzly zaisťujú, že služba nebude prerušená počas aktualizácie softvéru alebo inej činnosti údržby na uzle. (Cloud Webex aktualizuje naraz iba jeden uzol.)

Všetky uzly v klastri pristupujú k rovnakému úložisku údajov kľúčov a zaznamenávajú aktivitu na rovnaký server syslog. Samotné uzly sú bez stavu a spracovávajú kľúčové požiadavky v režime round-robin podľa pokynov cloudu.

Uzly sa stanú aktívnymi, keď ich zaregistrujete v Partner Hub. Ak chcete vyradiť jednotlivý uzol z prevádzky, môžete ho zrušiť a neskôr v prípade potreby znova zaregistrovať.

Pohotovostné dátové centrum pre obnovu po havárii

Počas nasadenia nastavíte zabezpečené pohotovostné dátové centrum. V prípade havárie dátového centra môžete manuálne zlyhať nasadenie do pohotovostného dátového centra.

Pred zlyhaním má Dátové centrum A aktívne uzly HDS a primárnu databázu PostgreSQL alebo Microsoft SQL Server, zatiaľ čo B má kópiu súboru ISO s ďalšími konfiguráciami, virtuálne počítače, ktoré sú registrované v organizácii, a záložnú databázu. Po zlyhaní má Dátové centrum B aktívne uzly HDS a primárnu databázu, zatiaľ čo A má neregistrované VM a kópiu súboru ISO a databáza je v pohotovostnom režime.
Manuálne prepnutie do pohotovostného dátového centra

Databázy aktívnych a pohotovostných dátových centier sú navzájom synchronizované, čo minimalizuje čas potrebný na vykonanie núdzového prepnutia.

Aktívne uzly Hybrid Data Security musia byť vždy v rovnakom údajovom centre ako aktívny databázový server.

Podpora proxy

Hybrid Data Security podporuje explicitné, transparentné kontrolné a nekontrolujúce proxy. Tieto servery proxy môžete prepojiť s nasadením, aby ste mohli zabezpečiť a monitorovať prevádzku z podniku do cloudu. Rozhranie správcu platformy na uzloch môžete použiť na správu certifikátov a na kontrolu celkového stavu pripojenia po nastavení servera proxy na uzloch.

Uzly Hybrid Data Security podporujú nasledujúce možnosti proxy:

  • Bez servera proxy – predvolená hodnota, ak na integráciu servera proxy nepoužívate konfiguráciu dôveryhodného obchodu a servera proxy na nastavenie uzla HDS. Nevyžaduje sa žiadna aktualizácia certifikátu.

  • Transparentný nekontrolujúci proxy server – uzly nie sú nakonfigurované na používanie konkrétnej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.

  • Transparentné tunelovanie alebo kontrola servera proxy – uzly nie sú nakonfigurované na používanie konkrétnej adresy servera proxy. Na uzloch nie sú potrebné žiadne zmeny konfigurácie HTTP alebo HTTPS. Uzly však potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).

  • Explicitný server proxy – pomocou explicitného servera proxy poviete uzlom HDS, ktorý server proxy a schému overenia majú použiť. Ak chcete nakonfigurovať explicitný server proxy, musíte do každého uzla zadať nasledujúce informácie:

    1. Proxy IP/FQDN – adresa, ktorú možno použiť na spojenie so zariadením proxy.

    2. Port proxy – číslo portu, ktoré server proxy používa na počúvanie prenosu cez server proxy.

    3. Protokol proxy – v závislosti od toho, čo váš server proxy podporuje, si vyberte z nasledujúcich protokolov:

      • HTTP – zobrazuje a riadi všetky požiadavky, ktoré klient odosiela.

      • HTTPS – poskytuje kanál pre server. Klient prijme a overí certifikát servera.

    4. Typ overenia totožnosti – vyberte si z nasledujúcich typov overenia totožnosti:

      • Žiadne – nevyžaduje sa žiadne ďalšie overenie.

        Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.

      • Základné – používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.

        Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.

        Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.

      • Súhrn – používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.

        Dostupné, iba ak vyberiete HTTPS ako protokol proxy.

        Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.

Príklad uzlov na zabezpečenie hybridných dát a proxy

Tento diagram ukazuje príklad spojenia medzi Hybrid Data Security, sieťou a proxy. Pre možnosti transparentnej kontroly a explicitnej kontroly HTTPS musí byť na serveri proxy a na uzloch Hybrid Data Security nainštalovaný rovnaký koreňový certifikát.

Blokovaný režim externého rozlíšenia DNS (explicitné konfigurácie proxy)

Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. V nasadeniach s explicitnými konfiguráciami proxy, ktoré neumožňujú externé rozlíšenie DNS pre interných klientov, ak uzol nemôže dotazovať servery DNS, automaticky prejde do režimu blokovaného externého riešenia DNS. V tomto režime môže pokračovať registrácia uzla a ďalšie testy pripojenia proxy.

Príprava prostredia

Požiadavky na hybridnú bezpečnosť dát pre viacerých nájomníkov

Požiadavky na licenciu Cisco Webex

Ak chcete nasadiť hybridné zabezpečenie dát pre viacerých nájomníkov:

  • Partnerské organizácie: Kontaktujte svojho partnera Cisco alebo správcu účtu a uistite sa, že je povolená funkcia viacerých nájomníkov.

  • Nájomné organizácie: Musíte mať balík Pro Pack pre Cisco Webex Control Hub. (Pozrite si https://www.cisco.com/go/pro-pack.)

Požiadavky na plochu Docker

Pred inštaláciou uzlov HDS potrebujete Docker Desktop na spustenie inštalačného programu. Docker nedávno aktualizoval svoj licenčný model. Vaša organizácia môže vyžadovať platené predplatné pre Docker Desktop. Podrobnosti nájdete v blogovom príspevku Docker „ Docker aktualizuje a rozširuje naše predplatné produktov“.

Požiadavky na certifikát X.509

Certifikačný reťazec musí spĺňať nasledujúce požiadavky:

Tabuľka č. 1 Požiadavky certifikátu X.509 pre nasadenie hybridného zabezpečenia dát

Požiadavka

Podrobnosti

  • Podpísané dôveryhodnou certifikačnou autoritou (CA)

V predvolenom nastavení dôverujeme CA v zozname Mozilly (s výnimkou WoSign a StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

  • Nesie názov domény Common Name (CN), ktorý identifikuje vaše nasadenie Hybrid Data Security

  • Nie je to zástupný certifikát

CN nemusí byť dosiahnuteľné alebo živého hostiteľa. Odporúčame vám použiť názov, ktorý zodpovedá vašej organizácii, napríklad hds.company.com.

KN nesmie obsahovať * (zástupný znak).

CN sa používa na overenie uzlov Hybrid Data Security pre klientov Webex App. Všetky uzly Hybrid Data Security vo vašom klastri používajú rovnaký certifikát. Váš KMS sa identifikuje pomocou domény CN, nie akejkoľvek domény, ktorá je definovaná v poliach x.509v3 SAN.

Po zaregistrovaní uzla s týmto certifikátom nepodporujeme zmenu názvu domény CN.

  • Podpis iný ako SHA1

Softvér KMS nepodporuje podpisy SHA1 na overenie pripojení k KMS iných organizácií.

  • Naformátovaný ako súbor PKCS #12 chránený heslom

  • Použite priateľský názov kms-private-key na označenie certifikátu, súkromného kľúča a akýchkoľvek sprostredkujúcich certifikátov na odovzdanie.

Na zmenu formátu certifikátu môžete použiť konvertor, ako je OpenSSL.

Pri spustení nástroja HDS Setup Tool budete musieť zadať heslo.

Softvér KMS nevynucuje používanie kľúčov ani rozšírené obmedzenia používania kľúčov. Niektoré certifikačné autority vyžadujú, aby sa na každý certifikát aplikovali rozšírené obmedzenia používania kľúčov, ako je autentifikácia servera. Je v poriadku použiť overenie servera alebo iné nastavenia.

Požiadavky na virtuálny hostiteľ

Virtuálni hostitelia, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri, majú nasledujúce požiadavky:

  • Aspoň dvaja oddelení hostitelia (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre

  • VMware ESXi 7.0 (alebo novší) nainštalovaný a spustený.

    Ak máte staršiu verziu ESXi, musíte vykonať inováciu.

  • Minimálne 4 vCPU, 8 GB hlavnej pamäte, 30 GB miesta na lokálnom pevnom disku na server

Požiadavky na databázový server

Vytvorte novú databázu pre uloženie kľúčov. Nepoužívajte predvolenú databázu. Aplikácie HDS, keď sú nainštalované, vytvoria schému databázy.

Pre databázový server sú dve možnosti. Požiadavky na každú z nich sú nasledovné:

Tabuľka 2 Požiadavky na databázový server podľa typu databázy

PostgreSQL

Microsoft SQL Server

  • PostgreSQL 14, 15 alebo 16, nainštalovaný a spustený.

  • SQL Server 2016, 2017 alebo 2019 (Enterprise alebo Standard) nainštalovaný.

    SQL Server 2016 vyžaduje Service Pack 2 a Kumulatívna aktualizácia 2 alebo novšia.

Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložisko)

Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložisko)

Softvér HDS momentálne inštaluje nasledujúce verzie ovládačov na komunikáciu s databázovým serverom:

PostgreSQL

Microsoft SQL Server

Postgres JDBC ovládač 42.2.5

Ovládač SQL Server JDBC 4.6

Táto verzia ovládača podporuje server SQL Server Always On (Inštancie klastra prepnutia pri zlyhaní a skupiny dostupnosti Vždy zapnuté).

Dodatočné požiadavky na overenie systému Windows voči Microsoft SQL Server

Ak chcete, aby uzly HDS používali autentifikáciu systému Windows na získanie prístupu k vašej databáze úložiska kľúčov na serveri Microsoft SQL Server, potrebujete vo svojom prostredí nasledujúcu konfiguráciu:

  • HDS uzly, infraštruktúra Active Directory a MS SQL Server musia byť synchronizované s NTP.

  • Účet Windows, ktorý poskytnete uzlom HDS, musí mať prístup k databáze na čítanie/zápis.

  • Servery DNS, ktoré poskytujete uzlom HDS, musia byť schopné vyriešiť vaše Centrum distribúcie kľúčov (KDC).

  • Inštanciu databázy HDS môžete zaregistrovať na svojom serveri Microsoft SQL Server ako hlavný názov služby (SPN) vo vašom adresári Active Directory. Pozrite si časť Registrácia hlavného názvu služby pre pripojenia Kerberos.

    Nástroj na nastavenie HDS, spúšťač HDS a miestne KMS musia na prístup k databáze kľúčov používať overenie systému Windows. Používajú podrobnosti z vašej konfigurácie ISO na vytvorenie SPN pri požadovaní prístupu s overením Kerberos.

Požiadavky na externé pripojenie

Nakonfigurujte svoj firewall tak, aby umožňoval nasledujúce pripojenie pre aplikácie HDS:

Aplikácia

Protokol

Port

Smer z App

Cieľ

Hybridné uzly zabezpečenia údajov

TCP

443

Odchádzajúce HTTPS a WSS

  • Webex servery:

    • *.wbx2.com

    • *.ciscospark.com

  • Všetci hostitelia Common Identity

  • Ďalšie adresy URL, ktoré sú uvedené pre Hybrid Data Security v tabuľke Ďalšie adresy URL pre hybridné služby Webex v časti Požiadavky na sieť pre služby Webex

Nástroj na nastavenie HDS

TCP

443

Odchádzajúce HTTPS

  • *.wbx2.com

  • Všetci hostitelia Common Identity

  • hub.docker.com

Uzly Hybrid Data Security pracujú s prekladom sieťového prístupu (NAT) alebo za bránou firewall, pokiaľ NAT alebo brána firewall umožňuje požadované odchádzajúce pripojenia k destináciám domény v predchádzajúcej tabuľke. Pre pripojenia prichádzajúce do uzlov Hybrid Data Security by nemali byť z internetu viditeľné žiadne porty. V rámci vášho dátového centra potrebujú klienti prístup k uzlom Hybrid Data Security na portoch TCP 443 a 22 na administratívne účely.

Adresy URL hostiteľov Common Identity (CI) sú špecifické pre daný región. Toto sú súčasní hostitelia CI:

región

Spoločné adresy URL hostiteľa identity

Ameriky

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Európskej únie

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur
  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Spojené arabské emiráty
  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Požiadavky na proxy server

  • Oficiálne podporujeme nasledujúce proxy riešenia, ktoré sa dajú integrovať s vašimi uzlami Hybrid Data Security.

  • Pre explicitné servery proxy podporujeme nasledujúce kombinácie typov overenia:

    • Žiadna autentifikácia pomocou HTTP alebo HTTPS

    • Základná autentifikácia pomocou HTTP alebo HTTPS

    • Digest overenie iba s HTTPS

  • Pre transparentný kontrolný proxy server alebo explicitný proxy server HTTPS musíte mať kópiu koreňového certifikátu servera proxy. Pokyny na nasadenie v tejto príručke vám povedia, ako nahrať kópiu do dôveryhodných obchodov uzlov Hybrid Data Security.

  • Sieť, ktorá hostí uzly HDS, musí byť nakonfigurovaná tak, aby vynútila smerovanie odchádzajúcej prevádzky TCP na porte 443 cez server proxy.

  • Proxy, ktoré kontrolujú webovú prevádzku, môžu narúšať pripojenia webových soketov. Ak sa vyskytne tento problém, problém vyrieši obídenie (nie kontrola) návštevnosti stránok wbx2.com a ciscospark.com .

Vyplňte Predpoklady pre hybridnú bezpečnosť údajov

Pomocou tohto kontrolného zoznamu sa uistite, že ste pripravení na inštaláciu a konfiguráciu klastra Hybrid Data Security.
1

Uistite sa, že vaša partnerská organizácia má povolenú funkciu Multi-Tenant HDS a získajte prihlasovacie údaje účtu s úplným správcom partnera a plnými právami správcu. Uistite sa, že vaša organizácia zákazníkov Webex má povolený balík Pro Pack pre Cisco Webex Control Hub. Ak potrebujete pomoc s týmto procesom, kontaktujte svojho partnera Cisco alebo account manažéra.

Zákaznícke organizácie by nemali mať žiadne existujúce nasadenie HDS.

2

Vyberte názov domény pre svoje nasadenie HDS (napríklad hds.company.com) a získajte reťaz certifikátov obsahujúci certifikát X.509, súkromný kľúč a akékoľvek sprostredkujúce certifikáty. Reťazec certifikátov musí spĺňať požiadavky uvedené v časti Požiadavky na certifikát X.509.

3

Pripravte si identických virtuálnych hostiteľov, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri. Potrebujete aspoň dvoch samostatných hostiteľov (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre, ktorí spĺňajú požiadavky v časti Požiadavky na virtuálneho hostiteľa.

4

Pripravte databázový server, ktorý bude fungovať ako úložisko kľúčových údajov pre klaster, v súlade s požiadavkami na databázový server. Databázový server musí byť umiestnený v zabezpečenom údajovom centre spolu s virtuálnymi hostiteľmi.

  1. Vytvorte databázu pre ukladanie kľúčov. (Túto databázu musíte vytvoriť – nepoužívajte predvolenú databázu. Aplikácie HDS po nainštalovaní vytvoria schému databázy.)

  2. Zhromaždite podrobnosti, ktoré budú uzly používať na komunikáciu s databázovým serverom:

    • názov hostiteľa alebo IP adresa (hostiteľ) a port

    • názov databázy (dbname) pre uloženie kľúčov

    • užívateľské meno a heslo užívateľa so všetkými privilégiami v databáze kľúča

5

Pre rýchlu obnovu po havárii nastavte zálohovacie prostredie v inom dátovom centre. Zálohovacie prostredie odzrkadľuje produkčné prostredie VM a záložný databázový server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM.

6

Nastavte hostiteľa syslog na zhromažďovanie protokolov z uzlov v klastri. Získajte jeho sieťovú adresu a port syslog (predvolené je UDP 514).

7

Vytvorte politiku bezpečného zálohovania pre uzly Hybrid Data Security, databázový server a hostiteľa syslog. Aby ste predišli nenapraviteľnej strate údajov, musíte minimálne zálohovať databázu a konfiguračný súbor ISO vygenerovaný pre uzly Hybrid Data Security.

Keďže uzly Hybrid Data Security ukladajú kľúče používané na šifrovanie a dešifrovanie obsahu, zlyhanie prevádzkyschopného nasadenia bude mať za následok NEOBNOVITEĽNÚ STRATU tohto obsahu.

Klienti Webex App ukladajú svoje kľúče do vyrovnávacej pamäte, takže výpadok nemusí byť okamžite viditeľný, ale časom sa prejaví. Zatiaľ čo dočasným výpadkom nie je možné zabrániť, sú obnoviteľné. Úplná strata (nie sú k dispozícii žiadne zálohy) databázy alebo konfiguračného ISO súboru však bude mať za následok neobnoviteľné zákaznícke údaje. Od operátorov uzlov Hybrid Data Security sa očakáva, že budú pravidelne zálohovať databázu a konfiguračný súbor ISO a budú pripravení na prestavbu dátového centra Hybrid Data Security, ak dôjde ku katastrofálnej poruche.

8

Uistite sa, že konfigurácia brány firewall umožňuje pripojenie pre uzly Hybrid Data Security, ako je uvedené v časti Požiadavky na externé pripojenie.

9

Nainštalujte Docker ( https://www.docker.com) na ľubovoľný lokálny počítač s podporovaným operačným systémom (Microsoft Windows 10 Professional alebo Enterprise 64-bitový alebo Mac OSX Yosemite 10.10.3 alebo novší) pomocou webového prehliadača, ktorý k nemu má prístup na adrese http://127.0.0.1:8080.

Inštanciu Docker použijete na stiahnutie a spustenie nástroja HDS Setup Tool, ktorý vytvorí informácie o lokálnej konfigurácii pre všetky uzly Hybrid Data Security. Možno budete potrebovať licenciu Docker Desktop. Ďalšie informácie nájdete v časti Požiadavky na pracovnú plochu Docker .

Ak chcete nainštalovať a spustiť nástroj HDS Setup Tool, miestny počítač musí mať pripojenie uvedené v časti Požiadavky na externé pripojenie.

10

Ak integrujete server proxy so službou Hybrid Data Security, uistite sa, že spĺňa požiadavky na server proxy.

Nastavte klaster Hybrid Data Security

Tok úloh nasadenia zabezpečenia hybridných údajov

Skôr ako začnete

1

Vykonajte počiatočné nastavenie a stiahnite inštalačné súbory

Stiahnite si súbor OVA na váš lokálny počítač pre neskoršie použitie.

2

Vytvorte ISO konfigurácie pre hostiteľov HDS

Pomocou nástroja HDS Setup Tool vytvorte konfiguračný súbor ISO pre uzly Hybrid Data Security.

3

Nainštalujte HDS Host OVA

Vytvorte virtuálny počítač zo súboru OVA a vykonajte počiatočnú konfiguráciu, ako sú nastavenia siete.

Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 7.0. Táto možnosť nemusí byť dostupná v starších verziách.

4

Nastavte virtuálny počítač Hybrid Data Security

Prihláste sa do konzoly VM a nastavte prihlasovacie poverenia. Nakonfigurujte sieťové nastavenia pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.

5

Nahrajte a pripojte ISO konfiguráciu HDS

Nakonfigurujte VM z konfiguračného súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool.

6

Nakonfigurujte uzol HDS na integráciu proxy

Ak sieťové prostredie vyžaduje konfiguráciu servera proxy, zadajte typ servera proxy, ktorý použijete pre uzol, a v prípade potreby pridajte certifikát servera proxy do dôveryhodného úložiska.

7

Zaregistrujte prvý uzol v klastri

Zaregistrujte VM v cloude Cisco Webex ako uzol Hybrid Data Security.

8

Vytvorte a zaregistrujte viac uzlov

Dokončite nastavenie klastra.

9

Aktivujte si Multi-Tenant HDS na Partner Hub.

Aktivujte si HDS a spravujte organizácie nájomníkov na Partner Hub.

Vykonajte počiatočné nastavenie a stiahnite inštalačné súbory

V tejto úlohe stiahnete súbor OVA do svojho počítača (nie na servery, ktoré ste nastavili ako uzly Hybrid Data Security). Tento súbor použijete neskôr v procese inštalácie.

1

Prihláste sa do Partnerského centra a potom kliknite na položku Služby.

2

V časti Cloudové služby nájdite kartu Hybrid Data Security a kliknite na tlačidlo Nastaviť.

Pre proces nasadenia je rozhodujúce kliknutie na položku Nastaviť v partnerskom centre. Nepokračujte v inštalácii bez dokončenia tohto kroku.

3

Kliknite na položku Pridať zdroj a kliknite na položku Prevziať súbor .OVA na karte Inštalovať a konfigurovať softvér .

Staršie verzie softvérového balíka (OVA) nebudú kompatibilné s najnovšími aktualizáciami Hybrid Data Security. To môže viesť k problémom pri inovácii aplikácie. Uistite sa, že ste si stiahli najnovšiu verziu súboru OVA.

OVA si tiež môžete kedykoľvek stiahnuť zo sekcie Pomocník . Kliknite na položky Nastavenia > Pomocník > Prevziať softvér Hybrid Data Security.

Súbor OVA sa začne automaticky sťahovať. Uložte súbor na miesto v počítači.
4

Voliteľne kliknite na položku Zobraziť príručku nasadenia hybridného zabezpečenia údajov a skontrolujte, či je k dispozícii novšia verzia tejto príručky.

Vytvorte ISO konfigurácie pre hostiteľov HDS

Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.

Skôr ako začnete

1

Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

V bežných prostrediach:

docker rmi ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

2

Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:

docker login -u hdscustomersro
3

Pri výzve na zadanie hesla zadajte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stiahnite si najnovší stabilný obraz pre vaše prostredie:

V bežných prostrediach:

docker pull ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

  • V bežných prostrediach bez servera proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V prostrediach FedRAMP bez proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • V prostrediach FedRAMP s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný
  • V prostrediach FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný

Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“.

6

Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 .

Pomocou webového prehliadača prejdite na localhost, http://127.0.0.1:8080, a po výzve zadajte používateľské meno správcu pre partnerské centrum.

Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie.

7

Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia správcu Partner Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre Hybrid Data Security.

8

Na stránke prehľadu nástroja Setup kliknite na položku Začíname.

9

Na stránke Import ISO máte tieto možnosti:

  • Nie – Ak vytvárate svoj prvý uzol HDS, nemáte súbor ISO na odovzdanie.
  • Áno – ak ste už vytvorili uzly HDS, vyberte súbor ISO v prehľadávaní a odovzdajte ho.
10

Skontrolujte, či váš certifikát X.509 spĺňa požiadavky uvedené v časti Požiadavky na certifikát X.509.

  • Ak ste ešte nikdy neodovzdali certifikát, odovzdajte certifikát X.509, zadajte heslo a kliknite na tlačidlo Pokračovať.
  • Ak je váš certifikát v poriadku, kliknite na tlačidlo Pokračovať.
  • Ak platnosť vášho certifikátu vypršala alebo ho chcete nahradiť, vyberte možnosť Nie pre možnosť Pokračovať v používaní reťazca certifikátov HDS a súkromného kľúča z predchádzajúcej normy ISO?. Odovzdajte nový certifikát X.509, zadajte heslo a kliknite na tlačidlo Pokračovať.
11

Zadajte databázovú adresu a účet pre HDS, aby ste získali prístup k vášmu úložisku kľúčových údajov:

  1. Vyberte svoj Typ databázy (PostgreSQL alebo Microsoft SQL Server).

    Ak vyberiete možnosť Microsoft SQL Server, zobrazí sa pole Typ overenia.

  2. (Iba Microsoft SQL Server ) Vyberte svoj Typ overenia:

    • Základná autentifikácia: V poli Používateľské meno potrebujete názov lokálneho účtu SQL Server.

    • Overovanie systému Windows: Potrebujete účet Windows vo formáte používateľské meno@DOMAIN v poli Používateľské meno .

  3. Zadajte adresu databázového servera v tvare : alebo :.

    Príklad:
    dbhost.example.org:1433 alebo 198.51.100.17:1433

    Ak uzly nemôžu použiť DNS na rozlíšenie názvu hostiteľa, môžete použiť IP adresu na základnú autentifikáciu.

    Ak používate overenie systému Windows, musíte zadať úplný názov domény vo formáte dbhost.example.org:1433

  4. Zadajte Názov databázy.

  5. Zadajte Používateľské meno a Heslo používateľa so všetkými oprávneniami v databáze úložiska kľúčov.

12

Vyberte Režim pripojenia databázy TLS:

Režim

Opis

Preferovať TLS (predvolená možnosť)

HDS uzly nevyžadujú TLS na pripojenie k databázovému serveru. Ak povolíte TLS na databázovom serveri, uzly sa pokúsia o šifrované pripojenie.

Vyžadovať TLS

Uzly HDS sa pripájajú iba vtedy, ak databázový server dokáže dohodnúť TLS.

Vyžadovať TLS a overiť podpisovateľa certifikátu

Tento režim nie je použiteľný pre databázy SQL Server.

  • Uzly HDS sa pripájajú iba vtedy, ak databázový server dokáže dohodnúť TLS.

  • Po vytvorení pripojenia TLS uzol porovná podpisovateľa certifikátu z databázového servera s certifikačnou autoritou v koreňovom certifikáte databázy. Ak sa nezhodujú, uzol zruší spojenie.

Na odovzdanie koreňového certifikátu pre túto možnosť použite ovládací prvok Koreňový certifikát databázy pod rozbaľovacím zoznamom.

Vyžadovať TLS a overiť podpisovateľa certifikátu a názov hostiteľa

  • Uzly HDS sa pripájajú iba vtedy, ak databázový server dokáže dohodnúť TLS.

  • Po vytvorení pripojenia TLS uzol porovná podpisovateľa certifikátu z databázového servera s certifikačnou autoritou v koreňovom certifikáte databázy. Ak sa nezhodujú, uzol zruší spojenie.

  • Uzly tiež overia, či sa názov hostiteľa v certifikáte servera zhoduje s názvom hostiteľa v poli Hostiteľ databázy a port . Názvy sa musia presne zhodovať, inak uzol zruší spojenie.

Na odovzdanie koreňového certifikátu pre túto možnosť použite ovládací prvok Koreňový certifikát databázy pod rozbaľovacím zoznamom.

Keď odovzdáte koreňový certifikát (ak je to potrebné) a kliknete na tlačidlo Pokračovať, nástroj HDS Setup Tool otestuje pripojenie TLS k databázovému serveru. Nástroj tiež overuje podpisovateľa certifikátu a názov hostiteľa, ak je to potrebné. Ak test zlyhá, nástroj zobrazí chybové hlásenie s popisom problému. Môžete si vybrať, či chcete chybu ignorovať a pokračovať v nastavovaní. (Vzhľadom na rozdiely v konektivite môžu byť uzly HDS schopné vytvoriť pripojenie TLS, aj keď ho zariadenie HDS Setup Tool nedokáže úspešne otestovať.)

13

Na stránke Systémové denníky nakonfigurujte svoj server Syslogd:

  1. Zadajte adresu URL servera syslog.

    Ak server nie je schopný rozlíšiť DNS z uzlov pre váš klaster HDS, použite v adrese URL adresu IP.

    Príklad:
    udp://10.92.43.23:514 označuje prihlásenie do hostiteľa Syslogd 10.92.43.23 na porte UDP 514.
  2. Ak ste na svojom serveri nastavili používanie šifrovania TLS, začiarknite políčko Je váš server syslog nakonfigurovaný na šifrovanie SSL?.

    Ak začiarknete toto políčko, uistite sa, že ste zadali adresu URL TCP, napríklad tcp://10.92.43.23:514.

  3. V rozbaľovacej ponuke Vybrať ukončenie záznamu syslog vyberte vhodné nastavenie pre váš súbor ISO: Choose alebo Newline sa používa pre Graylog a Rsyslog TCP

    • Null byte -- \x00

    • Nový riadok -- \n – Túto možnosť vyberte pre Graylog a Rsyslog TCP.

  4. Kliknite na tlačidlo Pokračovať.

14

(Voliteľné) Predvolenú hodnotu niektorých parametrov pripojenia k databáze môžete zmeniť v časti Rozšírené nastavenia. Vo všeobecnosti je tento parameter jediný, ktorý možno budete chcieť zmeniť:

app_datasource_connection_pool_maxVeľkosť: 10
15

Kliknite na tlačidlo Pokračovať na obrazovke Obnoviť heslo servisných účtov .

Heslá k servisným účtom majú životnosť deväť mesiacov. Túto obrazovku použite, keď sa blíži koniec platnosti vašich hesiel alebo ich chcete resetovať, aby ste zrušili platnosť predchádzajúcich súborov ISO.

16

Kliknite na položku Prevziať súbor ISO. Uložte súbor na miesto, ktoré sa dá ľahko nájsť.

17

Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme.

Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii.

18

Ak chcete vypnúť inštalačný nástroj, napíšte CTRL+C.

Čo robiť ďalej

Zálohujte konfiguračný súbor ISO. Potrebujete ho na vytvorenie ďalších uzlov na obnovu alebo na vykonanie zmien v konfigurácii. Ak stratíte všetky kópie súboru ISO, stratili ste aj hlavný kľúč. Obnovenie kľúčov z databázy PostgreSQL alebo Microsoft SQL Server nie je možné.

Nikdy nemáme kópiu tohto kľúča a nemôžeme vám pomôcť, ak ho stratíte.

Nainštalujte HDS Host OVA

Tento postup použite na vytvorenie virtuálneho počítača zo súboru OVA.
1

Na prihlásenie do virtuálneho hostiteľa ESXi použite klienta VMware vSphere na vašom počítači.

2

Vyberte položku Súbor > Nasadiť šablónu OVF.

3

V sprievodcovi zadajte umiestnenie súboru OVA, ktorý ste prevzali predtým, a potom kliknite na tlačidlo Ďalej.

4

Na stránke Vyberte názov a priečinok zadajte Názov virtuálneho počítača pre uzol (napríklad „HDS_Node_1“) a vyberte umiestnenie, kde nasadenie uzla virtuálneho počítača sa môže nachádzať a potom kliknite na tlačidlo Ďalej.

5

Na stránke Vyberte výpočtový zdroj vyberte cieľový výpočtový zdroj a potom kliknite na tlačidlo Ďalej.

Prebehne overovacia kontrola. Po dokončení sa zobrazia podrobnosti šablóny.

6

Overte podrobnosti šablóny a potom kliknite na tlačidlo Ďalej.

7

Ak sa zobrazí výzva na výber konfigurácie prostriedkov na stránke Konfigurácia , kliknite na položku 4 CPU a potom kliknite na tlačidlo Ďalej.

8

Na stránke Vybrať úložisko kliknite na tlačidlo Ďalej , čím prijmete predvolený formát disku a pravidlá úložiska VM.

9

Na stránke Vybrať siete vyberte sieťovú možnosť zo zoznamu položiek, aby ste poskytli požadované pripojenie k virtuálnemu počítaču.

10

Na stránke Prispôsobiť šablónu nakonfigurujte nasledujúce nastavenia siete:

  • Názov hostiteľa – zadajte FQDN (názov hostiteľa a doménu) alebo jednoslovný názov hostiteľa pre uzol.
    • Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509.

    • Ak chcete zabezpečiť úspešnú registráciu do cloudu, použite iba malé písmená v FQDN alebo názve hostiteľa, ktorý ste nastavili pre uzol. Veľké písmená momentálne nie sú podporované.

    • Celková dĺžka FQDN nesmie presiahnuť 64 znakov.

  • Adresa IP – zadajte adresu IP interného rozhrania uzla.

    Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované.

  • Maska – zadajte adresu masky podsiete v desiatkovom formáte bodka. Napríklad 255.255.255.0.
  • Brána – zadajte adresu IP brány. Brána je sieťový uzol, ktorý slúži ako prístupový bod do inej siete.
  • Servery DNS – zadajte zoznam serverov DNS oddelených čiarkami, ktoré zabezpečujú preklad názvov domén na číselné adresy IP. (Povolené sú až 4 záznamy DNS.)
  • Servery NTP – zadajte server NTP vašej organizácie alebo iný externý server NTP, ktorý možno použiť vo vašej organizácii. Predvolené servery NTP nemusia fungovať pre všetky podniky. Na zadanie viacerých serverov NTP môžete použiť aj zoznam oddelený čiarkami.
  • Nasaďte všetky uzly v rovnakej podsieti alebo VLAN, aby boli všetky uzly v klastri dosiahnuteľné z klientov vo vašej sieti na administratívne účely.

Ak chcete, môžete preskočiť konfiguráciu nastavenia siete a podľa krokov v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov nakonfigurujte nastavenia z konzoly uzla.

Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 7.0. Táto možnosť nemusí byť dostupná v starších verziách.

11

Kliknite pravým tlačidlom myši na uzol VM a potom vyberte položky Napájanie > Zapnúť.

Softvér Hybrid Data Security je nainštalovaný ako hosť na hostiteľovi VM. Teraz ste pripravení prihlásiť sa do konzoly a nakonfigurovať uzol.

Tipy na riešenie problémov

Môžete zaznamenať oneskorenie niekoľkých minút, kým sa kontajnery uzlov objavia. Počas prvého spustenia, počas ktorého sa nemôžete prihlásiť, sa na konzole zobrazí správa brány firewall mosta.

Nastavte virtuálny počítač Hybrid Data Security

Tento postup použite na prvé prihlásenie do konzoly VM uzla Hybrid Data Security a nastavenie prihlasovacích poverení. Konzolu môžete použiť aj na konfiguráciu sieťových nastavení pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.

1

V klientovi VMware vSphere vyberte svoj uzol Hybrid Data Security VM a vyberte kartu Konzola .

VM sa spustí a zobrazí sa výzva na prihlásenie. Ak sa výzva na prihlásenie nezobrazí, stlačte kláves Enter.
2

Na prihlásenie a zmenu poverení použite nasledujúce predvolené prihlasovacie meno a heslo:

  1. Prihlásenie: admin

  2. heslo: cisco

Keďže sa do svojho VM prihlasujete prvýkrát, musíte zmeniť heslo správcu.

3

Ak ste už nakonfigurovali nastavenia siete v časti Inštalácia hostiteľa HDS OVA, preskočte zvyšok tohto postupu. V opačnom prípade vyberte v hlavnej ponuke možnosť Upraviť konfiguráciu .

4

Nastavte statickú konfiguráciu s IP adresou, maskou, bránou a informáciami DNS. Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované.

5

(Voliteľné) Zmeňte názov hostiteľa, doménu alebo server(y) NTP, ak je to potrebné, aby zodpovedali zásadám vašej siete.

Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509.

6

Uložte konfiguráciu siete a reštartujte VM, aby sa zmeny prejavili.

Nahrajte a pripojte ISO konfiguráciu HDS

Tento postup použite na konfiguráciu virtuálneho počítača zo súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool.

Skôr ako začnete

Pretože súbor ISO obsahuje hlavný kľúč, mal by byť zverejnený iba na základe „potreby vedieť“, aby k nemu mali prístup virtuálne počítače s hybridným zabezpečením údajov a všetci správcovia, ktorí môžu potrebovať vykonať zmeny. Uistite sa, že k úložisku údajov majú prístup iba títo správcovia.

1

Nahrajte súbor ISO z počítača:

  1. V ľavom navigačnom paneli klienta VMware vSphere kliknite na server ESXi.

  2. Na karte Konfigurácia v zozname Hardvér kliknite na položku Ukladací priestor.

  3. V zozname Úložisko údajov kliknite pravým tlačidlom myši na úložisko údajov pre vaše virtuálne počítače a kliknite na položku Prehliadať úložisko údajov.

  4. Kliknite na ikonu Odovzdať súbory a potom kliknite na položku Odovzdať súbor.

  5. Prejdite do umiestnenia, z ktorého ste prevzali súbor ISO do počítača, a kliknite na tlačidlo Otvoriť.

  6. Kliknutím na tlačidlo Áno prijmete upozornenie týkajúce sa operácie odovzdávania/sťahovania a zatvoríte dialógové okno úložiska údajov.

2

Pripojte súbor ISO:

  1. V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Upraviť nastavenia.

  2. Kliknutím na tlačidlo OK prijmete upozornenie na obmedzené možnosti úprav.

  3. Kliknite na položku Jednotka CD/DVD 1, vyberte možnosť pripojenia zo súboru ISO úložiska údajov a prejdite do umiestnenia, kam ste odovzdali konfiguračný súbor ISO.

  4. Začiarknite políčka Pripojené a Pripojiť pri zapnutí.

  5. Uložte zmeny a reštartujte virtuálny počítač.

Čo robiť ďalej

Ak to vyžaduje vaša politika IT, môžete voliteľne odpojiť súbor ISO po tom, čo všetky vaše uzly prevezmú zmeny konfigurácie. Podrobnosti nájdete v časti (Voliteľné) Odpojenie ISO po konfigurácii HDS .

Nakonfigurujte uzol HDS na integráciu proxy

Ak sieťové prostredie vyžaduje server proxy, použite tento postup na určenie typu servera proxy, ktorý chcete integrovať s Hybrid Data Security. Ak si vyberiete transparentný kontrolný proxy server alebo explicitný proxy server HTTPS, môžete použiť rozhranie uzla na nahranie a inštaláciu koreňového certifikátu. Môžete tiež skontrolovať pripojenie proxy z rozhrania a vyriešiť prípadné problémy.

Skôr ako začnete

1

Do webového prehliadača zadajte adresu URL nastavenia uzla HDS https://[IP uzla HDS alebo FQDN]/setup , zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite na tlačidlo Prihlásiť sa .

2

Prejdite na stránku Trust Store & Proxy a potom vyberte jednu z možností:

  • Bez servera proxy – predvolená možnosť pred integráciou servera proxy. Nevyžaduje sa žiadna aktualizácia certifikátu.
  • Transparentný nekontrolujúci proxy server – uzly nie sú nakonfigurované na používanie konkrétnej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.
  • Transparentný kontrolný proxy server – uzly nie sú nakonfigurované na používanie konkrétnej adresy servera proxy. Pri nasadení Hybrid Data Security nie sú potrebné žiadne zmeny konfigurácie HTTPS, no uzly HDS potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).
  • Explicitný server proxy – pomocou explicitného servera proxy informujete klienta (uzly HDS), ktorý server proxy má použiť, pričom táto možnosť podporuje niekoľko typov overenia. Po výbere tejto možnosti musíte zadať nasledujúce informácie:
    1. Proxy IP/FQDN – adresa, ktorú možno použiť na spojenie so zariadením proxy.

    2. Port proxy – číslo portu, ktoré server proxy používa na počúvanie prenosu cez server proxy.

    3. Protokol proxy – vyberte http (zobrazuje a riadi všetky požiadavky prijaté od klienta) alebo https (poskytuje kanál pre server a klient prijíma a overí certifikát servera). Vyberte možnosť podľa toho, čo váš proxy server podporuje.

    4. Typ overenia totožnosti – vyberte si z nasledujúcich typov overenia totožnosti:

      • Žiadne – nevyžaduje sa žiadne ďalšie overenie.

        Dostupné pre servery proxy HTTP alebo HTTPS.

      • Základné – používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.

        Dostupné pre servery proxy HTTP alebo HTTPS.

        Ak zvolíte túto možnosť, musíte zadať aj meno používateľa a heslo.

      • Súhrn – používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.

        Dostupné iba pre servery proxy HTTPS.

        Ak zvolíte túto možnosť, musíte zadať aj meno používateľa a heslo.

Postupujte podľa nasledujúcich krokov pre transparentný kontrolný proxy server, explicitný proxy server HTTP so základným overením alebo explicitný proxy HTTPS.

3

Kliknite na položku Odovzdať koreňový certifikát alebo certifikát ukončenia entity a potom prejdite na výber koreňového certifikátu pre server proxy.

Certifikát je nahraný, ale ešte nie je nainštalovaný, pretože na inštaláciu certifikátu musíte reštartovať uzol. Ak chcete získať ďalšie podrobnosti, kliknite na šípku so šípkou vedľa názvu vydavateľa certifikátu. Ak ste urobili chybu a chcete súbor nahrať znova, kliknite na tlačidlo Odstrániť .

4

Kliknutím na položku Skontrolovať pripojenie proxy otestujete sieťové pripojenie medzi uzlom a serverom proxy.

Ak test pripojenia zlyhá, zobrazí sa chybové hlásenie, ktoré uvádza dôvod a spôsob, ako môžete problém vyriešiť.

Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS. Tento stav sa očakáva v mnohých explicitných konfiguráciách proxy. Môžete pokračovať v nastavovaní a uzol bude fungovať v režime zablokovaného externého rozlíšenia DNS. Ak si myslíte, že ide o chybu, vykonajte tieto kroky a potom si pozrite časť Vypnutie režimu zablokovaného externého rozlíšenia DNS.

5

Po úspešnom teste pripojenia pre explicitný server proxy nastavený iba na https zapnite prepínač na možnosť Smerovať všetky požiadavky protokolu https z tohto uzla na port 443/444 cez explicitný server proxy. Toto nastavenie sa prejaví po 15 sekundách.

6

Kliknite na položku Inštalovať všetky certifikáty do dôveryhodného úložiska (zobrazí sa pri explicitnom serveri proxy HTTPS alebo transparentnom kontrolnom serveri proxy) alebo Reštartovať (zobrazí sa pri explicitnom serveri proxy HTTP), prečítajte si výzvu a potom kliknite na tlačidlo Inštalovať , ak ste pripravení.

Uzol sa reštartuje v priebehu niekoľkých minút.

7

Keď sa uzol reštartuje, v prípade potreby sa znova prihláste a potom otvorte stránku Prehľad a skontrolujte kontroly pripojenia, aby ste sa uistili, že sú všetky v zelenom stave.

Kontrola pripojenia proxy testuje iba subdoménu webex.com. Ak sa vyskytnú problémy s pripojením, bežným problémom je, že niektoré z cloudových domén uvedených v pokynoch na inštaláciu sú na serveri proxy blokované.

Zaregistrujte prvý uzol v klastri

Táto úloha prevezme všeobecný uzol, ktorý ste vytvorili v časti Nastavenie virtuálneho počítača Hybrid Data Security, zaregistruje uzol v cloude Webex a zmení ho na uzol Hybrid Data Security.

Keď zaregistrujete svoj prvý uzol, vytvoríte klaster, ku ktorému je uzol priradený. Klaster obsahuje jeden alebo viac uzlov nasadených na zabezpečenie redundancie.

Skôr ako začnete

  • Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.

  • Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.

1

Prihláste sa do https://admin.webex.com.

2

V ponuke na ľavej strane obrazovky vyberte položku Služby.

3

V časti Cloudové služby nájdite kartu Hybrid Data Security a kliknite na tlačidlo Nastaviť.

4

Na stránke, ktorá sa otvorí, kliknite na položku Pridať zdroj.

5

Do prvého poľa na karte Pridať uzol zadajte názov klastra, ktorému chcete priradiť uzol Hybrid Data Security.

Odporúčame pomenovať klaster podľa toho, kde sa geograficky nachádzajú uzly klastra. Príklady: „San Francisco“ alebo „New York“ alebo „Dallas“

6

Do druhého poľa zadajte internú adresu IP alebo úplný názov domény (FQDN) svojho uzla a kliknite na tlačidlo Pridať v dolnej časti obrazovky.

Táto adresa IP alebo FQDN by sa mala zhodovať s adresou IP alebo názvom hostiteľa a doménou, ktoré ste použili v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov.

Zobrazí sa správa, že môžete zaregistrovať svoj uzol do Webexu.
7

Kliknite na položku Prejsť do uzla.

Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že svojej organizácii Webex chcete udeliť povolenia na prístup k vášmu uzlu.

8

Začiarknite políčko Povoliť prístup k vášmu uzlu zabezpečenia hybridných údajov a potom kliknite na tlačidlo Pokračovať.

Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
9

Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Hybrid Data Security partnerského centra.

Na stránke Hybrid Data Security sa nový klaster obsahujúci uzol, ktorý ste zaregistrovali, zobrazí na karte Prostriedky . Uzol si automaticky stiahne najnovší softvér z cloudu.

Vytvorte a zaregistrujte viac uzlov

Ak chcete do svojho klastra pridať ďalšie uzly, jednoducho vytvoríte ďalšie virtuálne počítače a pripojíte rovnaký konfiguračný súbor ISO a potom uzol zaregistrujete. Odporúčame, aby ste mali aspoň 3 uzly.

Skôr ako začnete

  • Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.

  • Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.

1

Vytvorte nový virtuálny počítač z OVA zopakovaním krokov v časti Inštalácia hostiteľského OVA HDS.

2

Nastavte úvodnú konfiguráciu na novom virtuálnom počítači zopakovaním krokov v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov.

3

Na novom virtuálnom počítači zopakujte kroky v časti Odovzdanie a pripojenie ISO konfigurácie HDS.

4

Ak nastavujete server proxy pre svoje nasadenie, zopakujte kroky v časti Konfigurácia uzla HDS na integráciu servera proxy podľa potreby pre nový uzol.

5

Zaregistrujte uzol.

  1. V https://admin.webex.com vyberte z ponuky na ľavej strane obrazovky položku Služby .

  2. V časti Cloudové služby nájdite kartu Hybrid Data Security a kliknite na položku Zobraziť všetko.

    Zobrazí sa stránka Hybrid Data Security Resources.
  3. Novovytvorený klaster sa zobrazí na stránke Zdroje .

  4. Kliknutím na klaster zobrazíte uzly priradené ku klastru.

  5. Kliknite na položku Pridať uzol na pravej strane obrazovky.

  6. Zadajte internú adresu IP alebo úplný názov domény (FQDN) svojho uzla a kliknite na tlačidlo Pridať.

    Otvorí sa stránka so správou, že môžete zaregistrovať svoj uzol do cloudu Webex. Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že chcete svojej organizácii udeliť povolenia na prístup k vášmu uzlu.
  7. Začiarknite políčko Povoliť prístup k vášmu uzlu zabezpečenia hybridných údajov a potom kliknite na tlačidlo Pokračovať.

    Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
  8. Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Hybrid Data Security partnerského centra.

    Vyskakovacia správa Uzol bol pridaný sa tiež zobrazuje v spodnej časti obrazovky v Partnerskom centre.

    Váš uzol je zaregistrovaný.

Spravujte organizácie nájomníkov na hybridnom zabezpečení dát pre viacerých nájomníkov

Aktivujte si Multi-Tenant HDS na Partner Hub

Táto úloha zaisťuje, že všetci používatelia zákazníckych organizácií môžu začať využívať HDS pre lokálne šifrovacie kľúče a ďalšie bezpečnostné služby.

Skôr ako začnete

Uistite sa, že ste dokončili nastavenie klastra Multi-Tenant HDS s požadovaným počtom uzlov.

1

Prihláste sa do https://admin.webex.com.

2

V ponuke na ľavej strane obrazovky vyberte položku Služby.

3

V časti Cloudové služby vyhľadajte Hybrid Data Security a kliknite na položku Upraviť nastavenia.

4

Kliknite na položku Aktivovať HDS na karte Stav HDS .

Pridajte organizácie nájomníkov v partnerskom centre

V tejto úlohe priradíte zákaznícke organizácie k vášmu Hybrid Data Security Cluster.

1

Prihláste sa do https://admin.webex.com.

2

V ponuke na ľavej strane obrazovky vyberte položku Služby.

3

V sekcii Cloudové služby nájdite Hybrid Data Security a kliknite na položku Zobraziť všetko.

4

Kliknite na klaster, ku ktorému chcete priradiť zákazníka.

5

Prejdite na kartu Priradení zákazníci .

6

Kliknite na položku Pridať zákazníkov.

7

Z rozbaľovacej ponuky vyberte zákazníka, ktorého chcete pridať.

8

Kliknite na tlačidlo Pridať, zákazník bude pridaný do klastra.

9

Ak chcete do svojho klastra pridať viacerých zákazníkov, zopakujte kroky 6 až 8.

10

Po pridaní zákazníkov kliknite na tlačidlo Hotovo v dolnej časti obrazovky.

Čo robiť ďalej

Spustite nástroj HDS Setup, ako je podrobne uvedené v časti Vytvorenie zákazníckych hlavných kľúčov (CMK) pomocou nástroja HDS Setup a dokončite proces nastavenia.

Vytvorte hlavné kľúče zákazníka (CMK) pomocou nástroja HDS Setup

Skôr ako začnete

Priraďte zákazníkov do príslušného klastra, ako je podrobne uvedené v časti Pridanie organizácií nájomníkov do centra partnerov. Spustite nástroj HDS Setup a dokončite proces nastavenia pre novo pridané zákaznícke organizácie.

  • Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými administrátorskými právami pre vašu organizáciu.

    Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker v kroku 5 zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:

    Opis

    Variabilné

    HTTP Proxy bez autentifikácie

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentifikácie

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP Proxy s autentifikáciou

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS Proxy s autentifikáciou

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:

    • Databázové poverenia

    • Aktualizácie certifikátov

    • Zmeny v politike autorizácie

  • Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.

Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.

1

Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

V bežných prostrediach:

docker rmi ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

2

Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:

docker login -u hdscustomersro
3

Pri výzve na zadanie hesla zadajte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stiahnite si najnovší stabilný obraz pre vaše prostredie:

V bežných prostrediach:

docker pull ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

  • V bežných prostrediach bez servera proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V prostrediach FedRAMP bez proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • V prostrediach FedRAMP s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný
  • V prostrediach FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný

Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“.

6

Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 .

Pomocou webového prehliadača prejdite na localhost, http://127.0.0.1:8080, a po výzve zadajte používateľské meno správcu pre partnerské centrum.

Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie.

7

Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia správcu Partner Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre Hybrid Data Security.

8

Na stránke prehľadu nástroja Setup kliknite na položku Začíname.

9

Na stránke Import ISO kliknite na tlačidlo Áno.

10

Vyberte súbor ISO v prehliadači a nahrajte ho.

Ak chcete vykonávať správu CMK, zaistite pripojenie k databáze.
11

Prejdite na kartu Správa CMK nájomcov , kde nájdete nasledujúce tri spôsoby správy CMK nájomcov.

  • Vytvoriť CMK pre všetky ORG alebo Vytvoriť CMK – Kliknutím na toto tlačidlo na banneri v hornej časti obrazovky vytvoríte CMK pre všetky novo pridané organizácie.
  • Kliknite na tlačidlo Spravovať CMK na pravej strane obrazovky a kliknite na Vytvoriť CMK , aby ste vytvorili CMK pre všetky novo pridané organizácie.
  • Kliknite na … vedľa stavu čakania na správu CMK konkrétnej organizácie v tabuľke a kliknutím na položku Vytvoriť CMK vytvorte CMK pre túto organizáciu.
12

Po úspešnom vytvorení CMK sa stav v tabuľke zmení z Čaká sa na správu CMK na Spravuje CMK.

13

Ak je vytvorenie CMK neúspešné, zobrazí sa chyba.

Odstráňte organizácie nájomníkov

Skôr ako začnete

Po odstránení nebudú používatelia zákazníckych organizácií môcť využívať HDS pre svoje potreby šifrovania a stratia všetky existujúce miesta. Pred odstránením zákazníckych organizácií kontaktujte svojho partnera Cisco alebo správcu účtu.

1

Prihláste sa do https://admin.webex.com.

2

V ponuke na ľavej strane obrazovky vyberte položku Služby.

3

V sekcii Cloudové služby nájdite Hybrid Data Security a kliknite na položku Zobraziť všetko.

4

Na karte Zdroje kliknite na klaster, z ktorého chcete odstrániť organizácie zákazníkov.

5

Na stránke, ktorá sa otvorí, kliknite na položku Priradení zákazníci.

6

V zobrazenom zozname organizácií zákazníkov kliknite na položku ... na pravej strane organizácie zákazníka, ktorú chcete odstrániť, a kliknite na položku Odstrániť z klastra.

Čo robiť ďalej

Dokončite proces odstránenia zrušením CMK zákazníckych organizácií, ako je podrobne uvedené v časti Odvolanie CMK nájomníkov odstránených z HDS.

Zrušiť CMK nájomníkov odstránených z HDS.

Skôr ako začnete

Odstráňte zákazníkov z príslušného klastra, ako je podrobne uvedené v časti Odstránenie organizácií nájomníkov. Spustite nástroj HDS Setup a dokončite proces odstránenia pre zákaznícke organizácie, ktoré boli odstránené.

  • Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými administrátorskými právami pre vašu organizáciu.

    Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker v kroku 5 zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:

    Opis

    Variabilné

    HTTP Proxy bez autentifikácie

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentifikácie

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP Proxy s autentifikáciou

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS Proxy s autentifikáciou

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:

    • Databázové poverenia

    • Aktualizácie certifikátov

    • Zmeny v politike autorizácie

  • Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.

Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.

1

Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

V bežných prostrediach:

docker rmi ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

2

Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:

docker login -u hdscustomersro
3

Pri výzve na zadanie hesla zadajte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stiahnite si najnovší stabilný obraz pre vaše prostredie:

V bežných prostrediach:

docker pull ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

  • V bežných prostrediach bez servera proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V prostrediach FedRAMP bez proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • V prostrediach FedRAMP s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný
  • V prostrediach FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný

Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“.

6

Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 .

Pomocou webového prehliadača prejdite na localhost, http://127.0.0.1:8080, a po výzve zadajte používateľské meno správcu pre partnerské centrum.

Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie.

7

Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia správcu Partner Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre Hybrid Data Security.

8

Na stránke prehľadu nástroja Setup kliknite na položku Začíname.

9

Na stránke Import ISO kliknite na tlačidlo Áno.

10

Vyberte súbor ISO v prehliadači a nahrajte ho.

11

Prejdite na kartu Správa CMK nájomcov , kde nájdete nasledujúce tri spôsoby správy CMK nájomcov.

  • Odvolať CMK pre všetky ORG alebo Odvolať CMK – Kliknutím na toto tlačidlo na banneri v hornej časti obrazovky zrušíte CMK všetkých organizácií, ktoré boli odstránené.
  • Kliknite na tlačidlo Spravovať CMK na pravej strane obrazovky a kliknutím na Odvolať CMK odvolajte CMK všetkých organizácií, ktoré boli odstránené.
  • Kliknite na položku vedľa stavu CMK na odvolanie konkrétnej organizácie v tabuľke a kliknutím na položku Odvolať CMK odvoláte CMK pre túto konkrétnu organizáciu.
12

Po úspešnom odvolaní CMK sa zákaznícka organizácia už nebude zobrazovať v tabuľke.

13

Ak je zrušenie CMK neúspešné, zobrazí sa chyba.

Otestujte svoje nasadenie Hybrid Data Security

Otestujte svoje nasadenie hybridného zabezpečenia dát

Tento postup použite na testovanie scenárov šifrovania Hybrid Data Security pre viacerých nájomníkov.

Skôr ako začnete

  • Nastavte svoje nasadenie Hybridného zabezpečenia dát pre viacerých nájomníkov.

  • Uistite sa, že máte prístup k syslog, aby ste si overili, že kľúčové požiadavky prechádzajú do vášho nasadenia Multi-Tenant Hybrid Data Security.

1

Kľúče pre daný priestor nastavuje tvorca priestoru. Prihláste sa do aplikácie Webex ako jeden z používateľov zákazníckej organizácie a potom vytvorte priestor.

Ak deaktivujete nasadenie Hybrid Data Security, obsah v priestoroch, ktoré používatelia vytvoria, už nebude prístupný po výmene kópií šifrovacích kľúčov uložených vo vyrovnávacej pamäti klienta.

2

Posielajte správy do nového priestoru.

3

Skontrolujte výstup syslog, aby ste si overili, že požiadavky na kľúče prechádzajú do vášho nasadenia Hybrid Data Security.

  1. Ak chcete skontrolovať, či používateľ najprv vytvoril zabezpečený kanál pre KMS, filtrujte podľa kms.data.method=create a kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Mali by ste nájsť záznam, ako je tento (identifikátory skrátené kvôli čitateľnosti):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] prijaté, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method= vytvoriť, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, km. data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
  2. Ak chcete vyhľadať používateľa, ktorý od KMS požaduje existujúci kľúč, filtrujte kms.data.method=retrieve a kms.data.type=KEY:

    Mali by ste nájsť záznam ako:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] prijaté, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method= načítať, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/ kľúče/d[~]2, kms.data.userId=1[~]b
  3. Ak chcete skontrolovať, či používateľ žiada o vytvorenie nového kľúča KMS, filtrujte kms.data.method=create a kms.data.type=KEY_COLLECTION:

    Mali by ste nájsť záznam ako:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] prijaté, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method =vytvoriť, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_ZBER, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data .userId=1[~]b
  4. Ak chcete pri vytváraní priestoru alebo iného chráneného zdroja skontrolovať, či používateľ žiada o vytvorenie nového objektu KMS Resource Object (KRO), použite filter kms.data.method=create a kms.data. type=RESOURCE_COLLECTION:

    Mali by ste nájsť záznam ako:
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] prijaté, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method= vytvoriť, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data .userId=1[~]b

Monitorujte zdravie Hybrid Data Security Health

Indikátor stavu v Partner Hub vám ukáže, či je s nasadením Multi-Tenant Hybrid Data Security všetko v poriadku. Ak chcete dostávať proaktívnejšie upozornenia, prihláste sa na odber e-mailových upozornení. Budete upozornení, keď sa vyskytnú alarmy alebo aktualizácie softvéru ovplyvňujúce službu.
1

V Centre pre partnerov vyberte z ponuky na ľavej strane obrazovky položku Služby .

2

V časti Cloudové služby vyhľadajte Hybrid Data Security a kliknite na položku Upraviť nastavenia.

Zobrazí sa stránka Hybrid Data Security Settings.
3

V časti E-mailové upozornenia zadajte jednu alebo viac e-mailových adries oddelených čiarkami a stlačte kláves Enter.

Spravujte svoje nasadenie HDS

Spravujte nasadenie HDS

Pomocou tu popísaných úloh spravujte svoje nasadenie Hybrid Data Security.

Nastavte plán aktualizácie klastra

Aktualizácie softvéru pre Hybrid Data Security sa vykonávajú automaticky na úrovni klastra, čo zaisťuje, že všetky uzly vždy bežia s rovnakou verziou softvéru. Inovácie sa vykonávajú podľa plánu aktualizácie pre klaster. Keď bude k dispozícii aktualizácia softvéru, máte možnosť manuálne aktualizovať klaster pred plánovaným časom aktualizácie. Môžete nastaviť konkrétny plán inovácie alebo použiť predvolený plán na 3:00 denne v USA: Amerika/Los Angeles. V prípade potreby môžete tiež odložiť nadchádzajúcu inováciu.

Ak chcete nastaviť plán aktualizácie:

1

Prihláste sa do Partnerského centra.

2

V ponuke na ľavej strane obrazovky vyberte položku Služby.

3

V časti Cloudové služby vyhľadajte Hybrid Data Security a kliknite na tlačidlo Nastaviť

4

Na stránke Hybrid Data Security Resources vyberte klaster.

5

Kliknite na kartu Nastavenia klastra .

6

Na stránke Nastavenia klastra v časti Plán aktualizácie vyberte čas a časové pásmo pre plán inovácie.

Poznámka: Pod časovým pásmom sa zobrazí dátum a čas ďalšej dostupnej aktualizácie. V prípade potreby môžete inováciu odložiť na nasledujúci deň kliknutím na položku Odložiť o 24 hodín.

Zmeňte konfiguráciu uzla

Príležitostne možno budete musieť zmeniť konfiguráciu uzla Hybrid Data Security z nasledujúcich dôvodov:
  • Zmena x.509 certifikátov z dôvodu uplynutia platnosti alebo iných dôvodov.

    Nepodporujeme zmenu názvu domény CN certifikátu. Doména sa musí zhodovať s pôvodnou doménou použitou na registráciu klastra.

  • Aktualizácia nastavení databázy pre zmenu na repliku databázy PostgreSQL alebo Microsoft SQL Server.

    Nepodporujeme migráciu údajov z PostgreSQL na Microsoft SQL Server ani opačným spôsobom. Ak chcete zmeniť prostredie databázy, spustite nové nasadenie Hybrid Data Security.

  • Vytvorenie novej konfigurácie na prípravu nového dátového centra.

Z bezpečnostných dôvodov používa Hybrid Data Security heslá servisných účtov, ktoré majú životnosť deväť mesiacov. Keď nástroj HDS Setup vygeneruje tieto heslá, nasadíte ich do každého z vašich uzlov HDS v konfiguračnom súbore ISO. Keď sa blíži koniec platnosti hesiel vašej organizácie, dostanete od tímu Webex upozornenie na resetovanie hesla pre váš počítačový účet. (E-mail obsahuje text „Na aktualizáciu hesla použite rozhranie API strojového účtu.“) Ak platnosť vašich hesiel ešte nevypršala, nástroj vám ponúka dve možnosti:

  • Mäkké obnovenie – staré aj nové heslo fungujú až 10 dní. Toto obdobie použite na postupnú výmenu súboru ISO na uzloch.

  • Tvrdý reset – staré heslá okamžite prestanú fungovať.

Ak platnosť vašich hesiel vyprší bez resetovania, ovplyvní to vašu službu HDS, čo si vyžaduje okamžitý tvrdý reset a nahradenie súboru ISO na všetkých uzloch.

Tento postup použite na vygenerovanie nového konfiguračného súboru ISO a jeho použitie vo vašom klastri.

Skôr ako začnete

  • Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými právami správcu partnera.

    Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri vytváraní kontajnera Docker v 1.e zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:

    Opis

    Variabilné

    HTTP Proxy bez autentifikácie

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentifikácie

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP Proxy s autentifikáciou

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS Proxy s autentifikáciou

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Na vygenerovanie novej konfigurácie potrebujete kópiu aktuálneho konfiguračného súboru ISO. ISO obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. ISO potrebujete, keď robíte zmeny v konfigurácii vrátane poverení databázy, aktualizácií certifikátov alebo zmien v politike autorizácie.

1

Pomocou Docker na lokálnom počítači spustite nástroj HDS Setup Tool.

  1. Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

    V bežných prostrediach:

    docker rmi ciscocitg/hds-setup:stable

    V prostrediach FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

  2. Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:

    docker login -u hdscustomersro
  3. Pri výzve na zadanie hesla zadajte tento hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
  4. Stiahnite si najnovší stabilný obraz pre vaše prostredie:

    V bežných prostrediach:

    docker pull ciscocitg/hds-setup:stable

    V prostrediach FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Uistite sa, že ste na tento postup použili najnovší nástroj Setup. Verzie nástroja vytvorené pred 22. februárom 2018 neobsahujú obrazovky na obnovenie hesla.

  5. Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

    • V bežných prostrediach bez servera proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
    • V bežných prostrediach s HTTP proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • V bežných prostrediach s HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • V prostrediach FedRAMP bez proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
    • V prostrediach FedRAMP s HTTP proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný
    • V prostrediach FedRAMP s HTTPS proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný

    Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“.

  6. Použite prehliadač na pripojenie k localhost, http://127.0.0.1:8080.

    Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 .

  7. Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia zákazníka Centra partnerov a potom pokračujte kliknutím na tlačidlo Prijať .

  8. Importujte aktuálny konfiguračný súbor ISO.

  9. Postupujte podľa pokynov na dokončenie nástroja a stiahnite si aktualizovaný súbor.

    Ak chcete vypnúť inštalačný nástroj, napíšte CTRL+C.

  10. Vytvorte záložnú kópiu aktualizovaného súboru v inom dátovom centre.

2

Ak máte spustený iba jeden uzol HDS, vytvorte nový virtuálny počítač s uzlom Hybrid Data Security a zaregistrujte ho pomocou nového konfiguračného súboru ISO. Podrobnejšie pokyny nájdete v časti Vytvorenie a registrácia ďalších uzlov.

  1. Nainštalujte hostiteľský OVA HDS.

  2. Nastavte HDS VM.

  3. Pripojte aktualizovaný konfiguračný súbor.

  4. Zaregistrujte nový uzol v partnerskom centre.

3

Pre existujúce uzly HDS, na ktorých je spustený starší konfiguračný súbor, pripojte súbor ISO. Postupne vykonajte nasledujúci postup na každom uzle a pred vypnutím ďalšieho uzla aktualizujte každý uzol:

  1. Vypnite virtuálny stroj.

  2. V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Upraviť nastavenia.

  3. Kliknite na položku Jednotka CD/DVD 1, vyberte možnosť pripojenia zo súboru ISO a prejdite do umiestnenia, do ktorého ste prevzali nový konfiguračný súbor ISO.

  4. Začiarknite políčko Pripojiť pri zapnutí.

  5. Uložte zmeny a zapnite virtuálny počítač.

4

Opakujte krok 3, aby ste nahradili konfiguráciu na každom zostávajúcom uzle, na ktorom je spustená stará konfigurácia.

Vypnite režim zablokovaného externého rozlíšenia DNS

Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. Ak server DNS uzla nedokáže rozlíšiť verejné názvy DNS, uzol automaticky prejde do režimu zablokovaného externého rozlíšenia DNS.

Ak vaše uzly dokážu rozlíšiť verejné názvy DNS prostredníctvom interných serverov DNS, môžete tento režim vypnúť opätovným spustením testu pripojenia proxy na každom uzle.

Skôr ako začnete

Uistite sa, že vaše interné servery DNS dokážu rozlíšiť verejné názvy DNS a že vaše uzly s nimi môžu komunikovať.
1

Vo webovom prehliadači otvorte rozhranie uzla Hybrid Data Security (adresa IP/ nastavenie, napríklad https://192.0.2.0/setup), zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite na tlačidlo Prihlásiť sa).

2

Prejdite na Prehľad (predvolená stránka).

Keď je táto možnosť povolená, možnosť Blokované externé rozlíšenie DNS je nastavená na možnosť Áno.

3

Prejdite na stránku Trust Store & Proxy .

4

Kliknite na položku Skontrolovať pripojenie proxy.

Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS a zostane v tomto režime. V opačnom prípade po reštartovaní uzla a návrate na stránku Prehľad by mala byť možnosť Blokované externé rozlíšenie DNS nastavené na možnosť Nie.

Čo robiť ďalej

Zopakujte test pripojenia proxy na každom uzle v klastri Hybrid Data Security.

Odstráňte uzol

Tento postup použite na odstránenie uzla Hybrid Data Security z cloudu Webex. Po odstránení uzla z klastra odstráňte virtuálny počítač, aby ste zabránili ďalšiemu prístupu k vašim bezpečnostným údajom.
1

Pomocou klienta VMware vSphere vo svojom počítači sa prihláste do virtuálneho hostiteľa ESXi a vypnite virtuálny počítač.

2

Odstráňte uzol:

  1. Prihláste sa do centra pre partnerov a potom vyberte položku Služby.

  2. Na karte Hybrid Data Security kliknite na položku Zobraziť všetko , čím zobrazíte stránku Hybrid Data Security Resources.

  3. Vyberte svoj klaster, aby sa zobrazil jeho panel Prehľad.

  4. Kliknite na uzol, ktorý chcete odstrániť.

  5. Kliknite na položku Zrušiť registráciu tohto uzla na paneli, ktorý sa zobrazí vpravo

  6. Registráciu uzla môžete zrušiť aj kliknutím na … na pravej strane uzla a výberom možnosti Odstrániť tento uzol.

3

V klientovi vSphere odstráňte VM. (Na ľavom navigačnom paneli kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Odstrániť.)

Ak nevymažete VM, nezabudnite odpojiť konfiguračný súbor ISO. Bez súboru ISO nemôžete použiť VM na prístup k bezpečnostným údajom.

Obnova po havárii pomocou pohotovostného dátového centra

Najdôležitejšou službou, ktorú váš klaster Hybrid Data Security poskytuje, je vytváranie a ukladanie kľúčov používaných na šifrovanie správ a iného obsahu uloženého v cloude Webex. Pre každého používateľa v rámci organizácie, ktorý je priradený k Hybrid Data Security, sú do klastra smerované nové požiadavky na vytvorenie kľúča. Klaster je tiež zodpovedný za vrátenie kľúčov, ktoré vytvoril, všetkým používateľom oprávneným na ich získanie, napríklad členom konverzačného priestoru.

Pretože klaster vykonáva kritickú funkciu poskytovania týchto kľúčov, je nevyhnutné, aby klaster zostal spustený a aby boli udržiavané správne zálohy. Strata databázy Hybrid Data Security alebo konfigurácie ISO použitej pre schému bude mať za následok NENÁVRATNÚ STRATU zákazníckeho obsahu. Na zabránenie takejto strate sú povinné nasledujúce postupy:

Ak havária spôsobí, že nasadenie HDS v primárnom dátovom centre sa stane nedostupným, podľa tohto postupu manuálne prepnite na pohotovostné dátové centrum.

Skôr ako začnete

Zrušte registráciu všetkých uzlov z centra partnerov, ako je uvedené v časti Odstránenie uzla. Na vykonanie procedúry prepnutia pri zlyhaní uvedenej nižšie použite najnovší súbor ISO, ktorý bol nakonfigurovaný voči uzlom klastra, ktorý bol predtým aktívny.
1

Spustite nástroj na nastavenie HDS a postupujte podľa krokov uvedených v časti Vytvorenie konfiguračného ISO pre hostiteľov HDS.

2

Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť.

3

Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii.

4

V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Upraviť nastavenia.

5

Kliknite na položku Upraviť nastavenia >Jednotka CD/DVD 1 a vyberte položku Datastore ISO File.

Uistite sa, že sú začiarknuté položky Pripojené a Pripojiť pri zapnutí , aby sa aktualizované zmeny konfigurácie prejavili po spustení uzlov.

6

Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy.

7

Zaregistrujte uzol v partnerskom centre. Pozrite si časť Registrácia prvého uzla v klastri.

8

Opakujte proces pre každý uzol v pohotovostnom dátovom centre.

Čo robiť ďalej

Ak sa po prepnutí pri zlyhaní opäť aktivuje primárne dátové centrum, zrušte registráciu uzlov pohotovostného dátového centra a zopakujte proces konfigurácie ISO a registrácie uzlov primárneho dátového centra, ako je uvedené vyššie.

(Voliteľné) Odpojte ISO po konfigurácii HDS

Štandardná konfigurácia HDS beží s namontovaným ISO. Niektorí zákazníci však uprednostňujú neponechať súbory ISO nepretržite pripojené. Súbor ISO môžete odpojiť potom, čo všetky uzly HDS prevezmú novú konfiguráciu.

Na vykonanie zmien v konfigurácii stále používate súbory ISO. Keď vytvoríte nový ISO alebo aktualizujete ISO pomocou nástroja Setup Tool, musíte aktualizovaný ISO pripojiť na všetky vaše uzly HDS. Keď všetky vaše uzly zachytia zmeny konfigurácie, môžete ISO znova odpojiť pomocou tohto postupu.

Skôr ako začnete

Inovujte všetky svoje uzly HDS na verziu 2021.01.22.4720 alebo novšiu.

1

Vypnite jeden z uzlov HDS.

2

V serverovom zariadení vCenter vyberte uzol HDS.

3

Vyberte položku Upraviť nastavenia > Jednotka CD/DVD a zrušte začiarknutie políčka Súbor ISO úložiska údajov.

4

Zapnite uzol HDS a uistite sa, že aspoň 20 minút nie sú žiadne alarmy.

5

Postup opakujte pre každý uzol HDS.

Riešenie problémov so zabezpečením hybridných údajov

Zobraziť upozornenia a riešenie problémov

Nasadenie Hybrid Data Security sa považuje za nedostupné, ak sú všetky uzly v klastri nedostupné alebo klaster pracuje tak pomaly, že si vyžaduje časový limit. Ak používatelia nemôžu dosiahnuť váš klaster Hybrid Data Security, zaznamenajú nasledujúce príznaky:

  • Nie je možné vytvoriť nové medzery (nemožno vytvoriť nové kľúče)

  • Správy a názvy priestorov sa nedajú dešifrovať pre:

    • Noví používatelia pridaní do priestoru (nemožno načítať kľúče)

    • Existujúci používatelia v priestore používajúci nového klienta (nemožno načítať kľúče)

  • Existujúci používatelia v priestore budú naďalej úspešne fungovať, pokiaľ ich klienti majú vyrovnávaciu pamäť šifrovacích kľúčov

Je dôležité, aby ste správne monitorovali svoj klaster Hybrid Data Security a okamžite riešili všetky výstrahy, aby ste predišli prerušeniu služby.

Upozornenia

Ak sa vyskytne problém s nastavením Hybrid Data Security, partnerské centrum zobrazí upozornenia správcovi organizácie a odošle e-maily na nakonfigurovanú e-mailovú adresu. Výstrahy pokrývajú mnoho bežných scenárov.

Tabuľka č. 1 Bežné problémy a kroky na ich vyriešenie

Upozornenie

Akcia

Zlyhanie prístupu k lokálnej databáze.

Skontrolujte chyby databázy alebo problémy s lokálnou sieťou.

Zlyhanie pripojenia k lokálnej databáze.

Skontrolujte, či je databázový server dostupný a či boli v konfigurácii uzla použité správne poverenia servisného účtu.

Zlyhanie prístupu k cloudovej službe.

Skontrolujte, či majú uzly prístup k serverom Webex, ako je uvedené v časti Požiadavky na externé pripojenie.

Obnovuje sa registrácia cloudovej služby.

Registrácia do cloudových služieb bola zrušená. Prebieha obnova registrácie.

Registrácia cloudovej služby bola zrušená.

Registrácia do cloudových služieb bola ukončená. Služba sa vypína.

Služba ešte nie je aktivovaná.

Aktivujte HDS v Partner Hub.

Nakonfigurovaná doména sa nezhoduje s certifikátom servera.

Uistite sa, že váš certifikát servera sa zhoduje s nakonfigurovanou doménou aktivácie služby.

Najpravdepodobnejšou príčinou je, že certifikát CN bol nedávno zmenený a teraz sa líši od CN, ktorý bol použitý počas počiatočného nastavenia.

Nepodarilo sa overiť v cloudových službách.

Skontrolujte presnosť a možné vypršanie platnosti poverení servisného účtu.

Nepodarilo sa otvoriť súbor lokálneho úložiska kľúčov.

Skontrolujte integritu a presnosť hesla v lokálnom súbore skladu kľúčov.

Certifikát lokálneho servera je neplatný.

Skontrolujte dátum vypršania platnosti certifikátu servera a potvrďte, že bol vydaný dôveryhodnou certifikačnou autoritou.

Nie je možné uverejniť metriky.

Skontrolujte prístup k lokálnej sieti k externým cloudovým službám.

Adresár /media/configdrive/hds neexistuje.

Skontrolujte konfiguráciu pripojenia ISO na virtuálnom hostiteľovi. Overte, či súbor ISO existuje, či je nakonfigurovaný na pripojenie pri reštarte a či sa úspešne pripojí.

Nastavenie nájomnej organizácie pre pridané organizácie nie je dokončené

Dokončite nastavenie vytvorením CMK pre novo pridané organizácie nájomníkov pomocou nástroja HDS Setup Tool.

Nastavenie nájomnej organizácie pre odstránené organizácie nie je dokončené

Dokončite nastavenie zrušením CMK organizácií nájomníkov, ktoré boli odstránené pomocou nástroja HDS Setup Tool.

Riešenie problémov so zabezpečením hybridných údajov

Pri riešení problémov s Hybrid Data Security použite nasledujúce všeobecné pokyny.
1

Skontrolujte partnerské centrum pre všetky upozornenia a opravte všetky položky, ktoré tam nájdete. Pozrite si obrázok nižšie ako referenciu.

2

Skontrolujte výstup servera syslog pre aktivitu z nasadenia Hybrid Data Security. Filtrujte slová ako „Upozornenie“ a „Chyba“, ktoré vám pomôžu pri riešení problémov.

3

Kontaktujte podporu Cisco.

Ďalšie poznámky

Známe problémy s hybridnou bezpečnosťou dát

  • Ak vypnete svoj klaster Hybrid Data Security (odstránením v Partner Hub alebo vypnutím všetkých uzlov), stratíte svoj konfiguračný súbor ISO alebo stratíte prístup k databáze úložiska kľúčov, používatelia aplikácií Webex zo zákazníckych organizácií už nebudú môcť používať priestory pod ich zoznam ľudí, ktorý bol vytvorený pomocou kľúčov z vášho KMS. V súčasnosti nemáme riešenie ani opravu tohto problému a žiadame vás, aby ste nevypínali svoje služby HDS, keď budú spracovávať aktívne používateľské účty.

  • Klient, ktorý má existujúce pripojenie ECDH ku KMS, udržiava toto pripojenie určitý čas (pravdepodobne jednu hodinu).

Na vygenerovanie súboru PKCS12 použite OpenSSL

Skôr ako začnete

  • OpenSSL je jeden nástroj, ktorý možno použiť na vytvorenie súboru PKCS12 v správnom formáte na načítanie v nástroji HDS Setup Tool. Existujú aj iné spôsoby, ako to urobiť, a my nepodporujeme ani nepresadzujeme jeden spôsob oproti druhému.

  • Ak sa rozhodnete použiť OpenSSL, poskytujeme tento postup ako návod, ktorý vám pomôže vytvoriť súbor, ktorý spĺňa požiadavky na certifikát X.509 v časti Požiadavky na certifikát X.509. Než budete pokračovať, pochopte tieto požiadavky.

  • Nainštalujte OpenSSL v podporovanom prostredí. Softvér a dokumentáciu nájdete v časti https://www.openssl.org .

  • Vytvorte si súkromný kľúč.

  • Tento postup začnite, keď dostanete certifikát servera od certifikačnej autority (CA).

1

Keď od svojej CA dostanete certifikát servera, uložte ho ako hdsnode.pem.

2

Zobrazte certifikát ako text a overte podrobnosti.

openssl x509 -text -noout -in hdsnode.pem

3

Pomocou textového editora vytvorte súbor balíka certifikátov s názvom hdsnode-bundle.pem. Súbor balíka musí obsahovať certifikát servera, akékoľvek sprostredkujúce certifikáty CA a certifikáty koreňovej CA vo formáte nižšie:

-----ZAČIATOK CERTIFIKÁT----- ### Certifikát servera. ### -----KONIEC CERTIFIKÁTU----- -----ZAČIATOK CERTIFIKÁTU----- ### Certifikát strednej CA. ### -----KONIEC CERTIFIKÁTU----- -----ZAČIATOK CERTIFIKÁTU----- ### Certifikát koreňovej CA. ### -----KONIEC CERTIFIKÁTU-----

4

Vytvorte súbor .p12 s priateľským názvom kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Skontrolujte podrobnosti certifikátu servera.

  1. openssl pkcs12 -in hdsnode.p12

  2. Vo výzve zadajte heslo na zašifrovanie súkromného kľúča, aby bol uvedený vo výstupe. Potom skontrolujte, či súkromný kľúč a prvý certifikát obsahujú riadky friendlyName: kms-private-key.

    Príklad:

    bash$ openssl pkcs12 -in hdsnode.p12 Zadajte heslo importu: Atribúty tašky OK s overením MAC friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Kľúčové atribúty:  Zadajte heslo PEM: Overenie – zadajte heslo PEM: -----ZAČIATOK ŠIFROVANÝ SÚKROMNÝ KĽÚČ-----  -----KONIEC ŠIFROVANÝ SÚKROMNÝ KĽÚČ----- Atribúty tašky friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -- Encrypt Authority ---ZAČIATOK CERTIFIKÁT-----  -----KONCOVÝ CERTIFIKÁT----- Vlastnosti tašky friendlyName: CN=Poďme šifrovať autoritu X3,O=Poďme zašifrovať,C=US predmet=/C=US/O=Poďme zašifrovať/CN=Poďme zašifrovať autoritu X3 vydavateľ=/O=Digitálny podpis Trust Co./CN=DST Root CA X3 -----ZAČIATOK CERTIFIKÁT-----  -----KONIEC CERTIFIKÁTU-----

Čo robiť ďalej

Vráťte sa na stránku Dokončenie predpokladov pre hybridné zabezpečenie údajov. V časti Vytvorenie konfiguračného ISO pre hostiteľov HDS použijete súbor hdsnode.p12 a heslo, ktoré ste preň nastavili.

Tieto súbory môžete znova použiť na vyžiadanie nového certifikátu, keď platnosť pôvodného certifikátu vyprší.

Prevádzka medzi uzlami HDS a cloudom

Odchádzajúca návštevnosť zberu metrík

Uzly Hybrid Data Security odosielajú určité metriky do cloudu Webex. Patria sem systémové metriky pre maximálnu haldu, využitú haldu, zaťaženie procesora a počet vlákien; metriky na synchrónnych a asynchrónnych vláknach; metriky výstrah zahŕňajúce prah šifrovacích pripojení, latenciu alebo dĺžku frontu požiadaviek; metriky na dátovom úložisku; a metriky šifrovaného pripojenia. Uzly posielajú zašifrovaný kľúčový materiál cez kanál mimo pásma (oddelený od požiadavky).

Prichádzajúca premávka

Uzly Hybrid Data Security prijímajú nasledujúce typy prichádzajúcej prevádzky z cloudu Webex:

  • Šifrovacie požiadavky od klientov, ktoré sú smerované šifrovacou službou

  • Aktualizácie softvéru uzla

Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát

Websocket sa nemôže pripojiť cez Squid Proxy

Servery proxy typu Squid, ktoré kontrolujú prenos HTTPS, môžu narúšať vytváranie pripojení websocket (wss:), ktoré vyžaduje Hybrid Data Security. Tieto časti poskytujú návod, ako nakonfigurovať rôzne verzie Squid tak, aby ignorovali wss: prevádzky pre správne fungovanie služieb.

Kalmáre 4 a 5

Pridajte on_unsupported_protocol smernicu na stránku squid.conf:

on_unsupported_protocol tunel všetko

Kalmáre 3.5.27

Úspešne sme testovali Hybrid Data Security pomocou nasledujúcich pravidiel pridaných na stránku squid.conf. Tieto pravidlá sa môžu meniť, pretože vyvíjame funkcie a aktualizujeme cloud Webex.

acl wssMercuryConnection ssl::server_name_regex ortuťové pripojenie ssl_bump splice wssMercuryConnection acl krok1 at_step SslBump1 acl krok2 at_step SslBump2 acl krok3 at_step SslBump3 ssl_bump pohľad krok1 všetko ssl_bump pozerať krok2 všetko ssl_bump vyskočiť krok3 všetko

Nové a zmenené informácie

Nové a zmenené informácie

Táto tabuľka obsahuje nové funkcie alebo funkcie, zmeny existujúceho obsahu a všetky hlavné chyby, ktoré boli opravené v Príručke nasadenia pre multi-tenantovú hybridnú bezpečnosť údajov.

Dátum

Vykonané zmeny

8. januára 2025

Do časti Vykonať úvodné nastavenie a prevziať inštalačné súbory bola pridaná poznámka, že kliknutie na položku Nastaviť na karte HDS v partnerskom centre je dôležitým krokom procesu inštalácie.

7. januára 2025

Aktualizované Požiadavky na virtuálneho hostiteľa, Tok úloh nasadenia hybridného zabezpečenia údajov a Inštalácia hostiteľského OVA HDS , aby zobrazovali novú požiadavku ESXi 7.0.

13. decembra 2024

Prvýkrát zverejnené.

Deaktivujte hybridné zabezpečenie dát pre viacerých nájomníkov

Tok úloh deaktivácie HDS pre viacerých nájomníkov

Ak chcete úplne deaktivovať Multi-Tenant HDS, postupujte podľa týchto krokov.

Skôr ako začnete

Túto úlohu by mal vykonávať iba úplný správca partnera.
1

Odstráňte všetkých zákazníkov zo všetkých svojich klastrov, ako je uvedené v časti Odstránenie organizácií nájomníkov.

2

Zrušte CMK všetkých zákazníkov, ako je uvedené v časti Zrušenie CMK nájomníkov odstránených z HDS.

3

Odstráňte všetky uzly zo všetkých klastrov, ako je uvedené v časti Odstránenie uzla.

4

Odstráňte všetky svoje klastre z Partner Hub pomocou jednej z nasledujúcich dvoch metód.

  • Kliknite na klaster, ktorý chcete odstrániť, a vyberte možnosť Odstrániť tento klaster v pravom hornom rohu stránky súhrnu.
  • Na stránke Zdroje kliknite na … na pravej strane klastra a vyberte možnosť Odstrániť klaster.
5

Kliknite na kartu Nastavenia na stránke prehľadu Hybrid Data Security a kliknite na položku Deaktivovať HDS na karte Stav HDS.

Začnite s Hybridným zabezpečením dát pre viacerých nájomníkov

Prehľad zabezpečenia hybridných dát pre viacerých nájomníkov

Od prvého dňa bola bezpečnosť údajov hlavným zameraním pri navrhovaní aplikácie Webex. Základným kameňom tohto zabezpečenia je komplexné šifrovanie obsahu, ktoré umožňujú klienti Webex App interagujúci so službou správy kľúčov (KMS). KMS je zodpovedný za vytváranie a správu kryptografických kľúčov, ktoré klienti používajú na dynamické šifrovanie a dešifrovanie správ a súborov.

V predvolenom nastavení dostávajú všetci zákazníci Webex App end-to-end šifrovanie s dynamickými kľúčmi uloženými v cloudovom KMS v oblasti bezpečnosti Cisco. Hybrid Data Security presúva KMS a ďalšie funkcie súvisiace so zabezpečením do vášho podnikového dátového centra, takže kľúče k vášmu šifrovanému obsahu nemá nikto okrem vás.

Multi-Tenant Hybrid Data Security umožňuje organizáciám využívať HDS prostredníctvom dôveryhodného miestneho partnera, ktorý môže pôsobiť ako poskytovateľ služieb a spravovať lokálne šifrovanie a ďalšie bezpečnostné služby. Toto nastavenie umožňuje partnerskej organizácii mať úplnú kontrolu nad nasadením a správou šifrovacích kľúčov a zaisťuje, že používateľské údaje zákazníckych organizácií sú v bezpečí pred externým prístupom. Partnerské organizácie podľa potreby nastavujú inštancie HDS a vytvárajú klastre HDS. Každá inštancia môže podporovať viacero zákazníckych organizácií na rozdiel od bežného nasadenia HDS, ktoré je obmedzené na jednu organizáciu.

Zatiaľ čo partnerské organizácie majú kontrolu nad nasadením a správou, nemajú prístup k údajom a obsahu generovanému zákazníkmi. Tento prístup je obmedzený na zákaznícke organizácie a ich používateľov.

To tiež umožňuje menším organizáciám využívať HDS, pretože službu správy kľúčov a bezpečnostnú infraštruktúru, ako sú dátové centrá, vlastní dôveryhodný miestny partner.

Ako Multi-Tenant Hybrid Data Security poskytuje dátovú suverenitu a kontrolu dát

  • Obsah generovaný používateľmi je chránený pred externým prístupom, ako sú poskytovatelia cloudových služieb.
  • Miestni dôveryhodní partneri spravujú šifrovacie kľúče zákazníkov, s ktorými už majú vybudovaný vzťah.
  • Možnosť miestnej technickej podpory, ak ju poskytuje partner.
  • Podporuje obsah stretnutí, správ a hovorov.

Tento dokument je zameraný na pomoc partnerským organizáciám pri nastavovaní a správe zákazníkov v rámci systému Multi-Tenant Hybrid Data Security.

Úlohy v hybridnej bezpečnosti dát pre viacerých nájomníkov

  • Úplný správca partnera – môže spravovať nastavenia pre všetkých zákazníkov, ktorých partner spravuje. Môže tiež priradiť roly správcu existujúcim používateľom v organizácii a priradiť konkrétnych zákazníkov, ktorých majú spravovať správcovia partnerov.
  • Správca partnera – môže spravovať nastavenia pre zákazníkov, ktorých správca poskytol alebo ktorí boli priradení používateľovi.
  • Úplný správca – správca partnerskej organizácie, ktorý je oprávnený vykonávať úlohy, ako je úprava nastavení organizácie, správa licencií a prideľovanie rolí.
  • Nastavenie HDS pre viacerých nájomníkov a správa všetkých zákazníckych organizácií od konca do konca – Vyžaduje sa úplný správca partnera a úplné práva správcu.
  • Správa priradených organizácií nájomcov – vyžaduje sa správca partnera a úplné práva správcu.

Architektúra bezpečnostnej sféry

Cloudová architektúra Webex oddeľuje rôzne typy služieb do samostatných oblastí alebo dôveryhodných domén, ako je znázornené nižšie.

Realms of Separation (bez Hybrid Data Security)

Aby sme lepšie porozumeli Hybrid Data Security, pozrime sa najprv na tento čistý cloud, kde Cisco poskytuje všetky funkcie vo svojich cloudových sférach. Služba identity, jediné miesto, kde môžu používatelia priamo korelovať so svojimi osobnými údajmi, ako je e-mailová adresa, je logicky a fyzicky oddelená od oblasti zabezpečenia v dátovom centre B. Obe sú zase oddelené od oblasti, kde je v konečnom dôsledku uložený šifrovaný obsah. , v dátovom centre C.

V tomto diagrame je klientom aplikácia Webex, ktorá beží na notebooku používateľa a je overená službou identity. Keď používateľ vytvorí správu na odoslanie do priestoru, vykonajú sa tieto kroky:

  1. Klient vytvorí zabezpečené spojenie so službou správy kľúčov (KMS), potom požiada o kľúč na zašifrovanie správy. Zabezpečené pripojenie používa ECDH a KMS šifruje kľúč pomocou hlavného kľúča AES-256.

  2. Správa je pred opustením klienta zašifrovaná. Klient ho odošle do indexovacej služby, ktorá vytvorí šifrované indexy vyhľadávania na pomoc pri budúcom vyhľadávaní obsahu.

  3. Zašifrovaná správa sa odošle do služby súladu na kontrolu súladu.

  4. Zašifrovaná správa je uložená v úložnej sfére.

Keď nasadíte Hybrid Data Security, presuniete funkcie bezpečnostnej sféry (KMS, indexovanie a súlad) do vášho lokálneho dátového centra. Ostatné cloudové služby, ktoré tvoria Webex (vrátane ukladania identity a obsahu), zostávajú v sférach spoločnosti Cisco.

Spolupráca s inými organizáciami

Používatelia vo vašej organizácii môžu pravidelne používať aplikáciu Webex na spoluprácu s externými účastníkmi v iných organizáciách. Keď jeden z vašich používateľov požaduje kľúč pre priestor, ktorý vlastní vaša organizácia (pretože ho vytvoril jeden z vašich používateľov), váš KMS odošle kľúč klientovi cez zabezpečený kanál ECDH. Keď však kľúč priestoru vlastní iná organizácia, váš KMS nasmeruje požiadavku do cloudu Webex cez samostatný kanál ECDH, aby získal kľúč z príslušného KMS, a potom vráti kľúč vášmu používateľovi na pôvodnom kanáli.

Služba KMS spustená v organizácii A overuje pripojenia ku KMS v iných organizáciách pomocou x.509 PKI certifikátov. Podrobnosti o generovaní certifikátu x.509 na použitie s nasadením Hybrid Data Security pre viacerých nájomníkov nájdete v časti Príprava prostredia .

Očakávania týkajúce sa nasadenia hybridnej bezpečnosti údajov

Nasadenie Hybrid Data Security si vyžaduje značné odhodlanie a uvedomenie si rizík, ktoré prináša vlastníctvo šifrovacích kľúčov.

Ak chcete nasadiť Hybrid Data Security, musíte poskytnúť:

Úplná strata buď konfiguračného ISO, ktoré ste vytvorili pre Hybrid Data Security, alebo databázy, ktorú poskytnete, bude mať za následok stratu kľúčov. Strata kľúča bráni používateľom dešifrovať obsah priestoru a ďalšie šifrované údaje v aplikácii Webex. Ak sa tak stane, môžete vytvoriť nové nasadenie, ale bude viditeľný iba nový obsah. Aby ste predišli strate prístupu k údajom, musíte:

  • Spravujte zálohovanie a obnovu databázy a konfiguračného ISO.

  • Buďte pripravení vykonať rýchlu obnovu po havárii, ak dôjde ku katastrofe, ako je zlyhanie databázového disku alebo katastrofa dátového centra.

Neexistuje žiadny mechanizmus na presun kľúčov späť do cloudu po nasadení HDS.

Proces nastavenia na vysokej úrovni

Tento dokument pokrýva nastavenie a správu nasadenia Hybrid Data Security pre viacerých nájomníkov:

  • Nastavenie Hybrid Data Security – zahŕňa prípravu požadovanej infraštruktúry a inštaláciu softvéru Hybrid Data Security, vybudovanie klastra HDS, pridanie organizácií nájomníkov do klastra a správu ich hlavných kľúčov zákazníkov (CMK). To umožní všetkým používateľom vašich zákazníckych organizácií používať váš klaster Hybrid Data Security na bezpečnostné funkcie.

    Fázy nastavenia, aktivácie a správy sú podrobne opísané v nasledujúcich troch kapitolách.

  • Udržujte svoje nasadenie Hybrid Data Security – cloud Webex automaticky poskytuje priebežné inovácie. Vaše IT oddelenie môže poskytnúť podporu prvej úrovne pre toto nasadenie a podľa potreby zapojiť podporu Cisco. V partnerskom centre môžete používať upozornenia na obrazovke a nastaviť upozornenia prostredníctvom e-mailu.

  • Pochopte bežné upozornenia, kroky na riešenie problémov a známe problémy – Ak narazíte na problémy s nasadením alebo používaním Hybrid Data Security, posledná kapitola tejto príručky a príloha Známe problémy vám môžu pomôcť určiť a vyriešiť problém.

Hybridný model nasadenia zabezpečenia dát

V rámci podnikového dátového centra nasadíte Hybrid Data Security ako jeden klaster uzlov na samostatných virtuálnych hostiteľoch. Uzly komunikujú s cloudom Webex cez zabezpečené websockety a zabezpečené HTTP.

Počas procesu inštalácie vám poskytneme súbor OVA na nastavenie virtuálneho zariadenia na VM, ktoré poskytnete. Nástroj HDS Setup Tool použijete na vytvorenie vlastného konfiguračného súboru ISO klastra, ktorý pripojíte na každý uzol. Klaster Hybrid Data Security využíva váš poskytnutý server Syslogd a databázu PostgreSQL alebo Microsoft SQL Server. (Syslogd a podrobnosti o pripojení k databáze nakonfigurujete v nástroji HDS Setup Tool.)

Hybridný model nasadenia zabezpečenia dát

Minimálny počet uzlov, ktoré môžete mať v klastri, sú dva. Odporúčame aspoň tri na klaster. Viacnásobné uzly zaisťujú, že služba nebude prerušená počas aktualizácie softvéru alebo inej činnosti údržby na uzle. (Cloud Webex aktualizuje naraz iba jeden uzol.)

Všetky uzly v klastri pristupujú k rovnakému úložisku údajov kľúčov a zaznamenávajú aktivitu na rovnaký server syslog. Samotné uzly sú bez stavu a spracovávajú kľúčové požiadavky v režime round-robin podľa pokynov cloudu.

Uzly sa stanú aktívnymi, keď ich zaregistrujete v Partner Hub. Ak chcete vyradiť jednotlivý uzol z prevádzky, môžete ho zrušiť a neskôr v prípade potreby znova zaregistrovať.

Pohotovostné dátové centrum pre obnovu po havárii

Počas nasadenia nastavíte zabezpečené pohotovostné dátové centrum. V prípade havárie dátového centra môžete manuálne zlyhať nasadenie do pohotovostného dátového centra.

Pred zlyhaním má Dátové centrum A aktívne uzly HDS a primárnu databázu PostgreSQL alebo Microsoft SQL Server, zatiaľ čo B má kópiu súboru ISO s ďalšími konfiguráciami, virtuálne počítače, ktoré sú registrované v organizácii, a záložnú databázu. Po zlyhaní má Dátové centrum B aktívne uzly HDS a primárnu databázu, zatiaľ čo A má neregistrované VM a kópiu súboru ISO a databáza je v pohotovostnom režime.
Manuálne prepnutie do pohotovostného dátového centra

Databázy aktívnych a pohotovostných dátových centier sú navzájom synchronizované, čo minimalizuje čas potrebný na vykonanie núdzového prepnutia.

Aktívne uzly Hybrid Data Security musia byť vždy v rovnakom údajovom centre ako aktívny databázový server.

Podpora proxy

Hybrid Data Security podporuje explicitné, transparentné kontrolné a nekontrolujúce proxy. Tieto servery proxy môžete prepojiť s nasadením, aby ste mohli zabezpečiť a monitorovať prevádzku z podniku do cloudu. Rozhranie správcu platformy na uzloch môžete použiť na správu certifikátov a na kontrolu celkového stavu pripojenia po nastavení servera proxy na uzloch.

Uzly Hybrid Data Security podporujú nasledujúce možnosti proxy:

  • Bez servera proxy – predvolená hodnota, ak na integráciu servera proxy nepoužívate konfiguráciu dôveryhodného obchodu a servera proxy na nastavenie uzla HDS. Nevyžaduje sa žiadna aktualizácia certifikátu.

  • Transparentný nekontrolujúci proxy server – uzly nie sú nakonfigurované na používanie konkrétnej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.

  • Transparentné tunelovanie alebo kontrola servera proxy – uzly nie sú nakonfigurované na používanie konkrétnej adresy servera proxy. Na uzloch nie sú potrebné žiadne zmeny konfigurácie HTTP alebo HTTPS. Uzly však potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).

  • Explicitný server proxy – pomocou explicitného servera proxy poviete uzlom HDS, ktorý server proxy a schému overenia majú použiť. Ak chcete nakonfigurovať explicitný server proxy, musíte do každého uzla zadať nasledujúce informácie:

    1. Proxy IP/FQDN – adresa, ktorú možno použiť na spojenie so zariadením proxy.

    2. Port proxy – číslo portu, ktoré server proxy používa na počúvanie prenosu cez server proxy.

    3. Protokol proxy – v závislosti od toho, čo váš server proxy podporuje, si vyberte z nasledujúcich protokolov:

      • HTTP – zobrazuje a riadi všetky požiadavky, ktoré klient odosiela.

      • HTTPS – poskytuje kanál pre server. Klient prijme a overí certifikát servera.

    4. Typ overenia totožnosti – vyberte si z nasledujúcich typov overenia totožnosti:

      • Žiadne – nevyžaduje sa žiadne ďalšie overenie.

        Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.

      • Základné – používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.

        Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.

        Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.

      • Súhrn – používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.

        Dostupné, iba ak vyberiete HTTPS ako protokol proxy.

        Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.

Príklad uzlov na zabezpečenie hybridných dát a proxy

Tento diagram ukazuje príklad spojenia medzi Hybrid Data Security, sieťou a proxy. Pre možnosti transparentnej kontroly a explicitnej kontroly HTTPS musí byť na serveri proxy a na uzloch Hybrid Data Security nainštalovaný rovnaký koreňový certifikát.

Blokovaný režim externého rozlíšenia DNS (explicitné konfigurácie proxy)

Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. V nasadeniach s explicitnými konfiguráciami proxy, ktoré neumožňujú externé rozlíšenie DNS pre interných klientov, ak uzol nemôže dotazovať servery DNS, automaticky prejde do režimu blokovaného externého riešenia DNS. V tomto režime môže pokračovať registrácia uzla a ďalšie testy pripojenia proxy.

Príprava prostredia

Požiadavky na hybridnú bezpečnosť dát pre viacerých nájomníkov

Požiadavky na licenciu Cisco Webex

Ak chcete nasadiť hybridné zabezpečenie dát pre viacerých nájomníkov:

  • Partnerské organizácie: Kontaktujte svojho partnera Cisco alebo správcu účtu a uistite sa, že je povolená funkcia viacerých nájomníkov.

  • Nájomné organizácie: Musíte mať balík Pro Pack pre Cisco Webex Control Hub. (Pozrite si https://www.cisco.com/go/pro-pack.)

Požiadavky na plochu Docker

Pred inštaláciou uzlov HDS potrebujete Docker Desktop na spustenie inštalačného programu. Docker nedávno aktualizoval svoj licenčný model. Vaša organizácia môže vyžadovať platené predplatné pre Docker Desktop. Podrobnosti nájdete v blogovom príspevku Docker „ Docker aktualizuje a rozširuje naše predplatné produktov“.

Požiadavky na certifikát X.509

Certifikačný reťazec musí spĺňať nasledujúce požiadavky:

Tabuľka č. 1 Požiadavky certifikátu X.509 pre nasadenie hybridného zabezpečenia dát

Požiadavka

Podrobnosti

  • Podpísané dôveryhodnou certifikačnou autoritou (CA)

V predvolenom nastavení dôverujeme CA v zozname Mozilly (s výnimkou WoSign a StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

  • Nesie názov domény Common Name (CN), ktorý identifikuje vaše nasadenie Hybrid Data Security

  • Nie je to zástupný certifikát

CN nemusí byť dosiahnuteľné alebo živého hostiteľa. Odporúčame vám použiť názov, ktorý zodpovedá vašej organizácii, napríklad hds.company.com.

KN nesmie obsahovať * (zástupný znak).

CN sa používa na overenie uzlov Hybrid Data Security pre klientov Webex App. Všetky uzly Hybrid Data Security vo vašom klastri používajú rovnaký certifikát. Váš KMS sa identifikuje pomocou domény CN, nie akejkoľvek domény, ktorá je definovaná v poliach x.509v3 SAN.

Po zaregistrovaní uzla s týmto certifikátom nepodporujeme zmenu názvu domény CN.

  • Podpis iný ako SHA1

Softvér KMS nepodporuje podpisy SHA1 na overenie pripojení k KMS iných organizácií.

  • Naformátovaný ako súbor PKCS #12 chránený heslom

  • Použite priateľský názov kms-private-key na označenie certifikátu, súkromného kľúča a akýchkoľvek sprostredkujúcich certifikátov na odovzdanie.

Na zmenu formátu certifikátu môžete použiť konvertor, ako je OpenSSL.

Pri spustení nástroja HDS Setup Tool budete musieť zadať heslo.

Softvér KMS nevynucuje používanie kľúčov ani rozšírené obmedzenia používania kľúčov. Niektoré certifikačné autority vyžadujú, aby sa na každý certifikát aplikovali rozšírené obmedzenia používania kľúčov, ako je autentifikácia servera. Je v poriadku použiť overenie servera alebo iné nastavenia.

Požiadavky na virtuálny hostiteľ

Virtuálni hostitelia, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri, majú nasledujúce požiadavky:

  • Aspoň dvaja oddelení hostitelia (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre

  • VMware ESXi 7.0 (alebo novší) nainštalovaný a spustený.

    Ak máte staršiu verziu ESXi, musíte vykonať inováciu.

  • Minimálne 4 vCPU, 8 GB hlavnej pamäte, 30 GB miesta na lokálnom pevnom disku na server

Požiadavky na databázový server

Vytvorte novú databázu pre uloženie kľúčov. Nepoužívajte predvolenú databázu. Aplikácie HDS, keď sú nainštalované, vytvoria schému databázy.

Pre databázový server sú dve možnosti. Požiadavky na každú z nich sú nasledovné:

Tabuľka 2 Požiadavky na databázový server podľa typu databázy

PostgreSQL

Microsoft SQL Server

  • PostgreSQL 14, 15 alebo 16, nainštalovaný a spustený.

  • SQL Server 2016, 2017 alebo 2019 (Enterprise alebo Standard) nainštalovaný.

    SQL Server 2016 vyžaduje Service Pack 2 a Kumulatívna aktualizácia 2 alebo novšia.

Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložisko)

Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložisko)

Softvér HDS momentálne inštaluje nasledujúce verzie ovládačov na komunikáciu s databázovým serverom:

PostgreSQL

Microsoft SQL Server

Postgres JDBC ovládač 42.2.5

Ovládač SQL Server JDBC 4.6

Táto verzia ovládača podporuje server SQL Server Always On (Inštancie klastra prepnutia pri zlyhaní a skupiny dostupnosti Vždy zapnuté).

Dodatočné požiadavky na overenie systému Windows voči Microsoft SQL Server

Ak chcete, aby uzly HDS používali autentifikáciu systému Windows na získanie prístupu k vašej databáze úložiska kľúčov na serveri Microsoft SQL Server, potrebujete vo svojom prostredí nasledujúcu konfiguráciu:

  • HDS uzly, infraštruktúra Active Directory a MS SQL Server musia byť synchronizované s NTP.

  • Účet Windows, ktorý poskytnete uzlom HDS, musí mať prístup k databáze na čítanie/zápis.

  • Servery DNS, ktoré poskytujete uzlom HDS, musia byť schopné vyriešiť vaše Centrum distribúcie kľúčov (KDC).

  • Inštanciu databázy HDS môžete zaregistrovať na svojom serveri Microsoft SQL Server ako hlavný názov služby (SPN) vo vašom adresári Active Directory. Pozrite si časť Registrácia hlavného názvu služby pre pripojenia Kerberos.

    Nástroj na nastavenie HDS, spúšťač HDS a miestne KMS musia na prístup k databáze kľúčov používať overenie systému Windows. Používajú podrobnosti z vašej konfigurácie ISO na vytvorenie SPN pri požadovaní prístupu s overením Kerberos.

Požiadavky na externé pripojenie

Nakonfigurujte svoj firewall tak, aby umožňoval nasledujúce pripojenie pre aplikácie HDS:

Aplikácia

Protokol

Port

Smer z App

Cieľ

Hybridné uzly zabezpečenia údajov

TCP

443

Odchádzajúce HTTPS a WSS

  • Webex servery:

    • *.wbx2.com

    • *.ciscospark.com

  • Všetci hostitelia Common Identity

  • Ďalšie adresy URL, ktoré sú uvedené pre Hybrid Data Security v tabuľke Ďalšie adresy URL pre hybridné služby Webex v časti Požiadavky na sieť pre služby Webex

Nástroj na nastavenie HDS

TCP

443

Odchádzajúce HTTPS

  • *.wbx2.com

  • Všetci hostitelia Common Identity

  • hub.docker.com

Uzly Hybrid Data Security pracujú s prekladom sieťového prístupu (NAT) alebo za bránou firewall, pokiaľ NAT alebo brána firewall umožňuje požadované odchádzajúce pripojenia k destináciám domény v predchádzajúcej tabuľke. Pre pripojenia prichádzajúce do uzlov Hybrid Data Security by nemali byť z internetu viditeľné žiadne porty. V rámci vášho dátového centra potrebujú klienti prístup k uzlom Hybrid Data Security na portoch TCP 443 a 22 na administratívne účely.

Adresy URL hostiteľov Common Identity (CI) sú špecifické pre daný región. Toto sú súčasní hostitelia CI:

región

Spoločné adresy URL hostiteľa identity

Ameriky

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Európskej únie

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur
  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Spojené arabské emiráty
  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Požiadavky na proxy server

  • Oficiálne podporujeme nasledujúce proxy riešenia, ktoré sa dajú integrovať s vašimi uzlami Hybrid Data Security.

  • Pre explicitné servery proxy podporujeme nasledujúce kombinácie typov overenia:

    • Žiadna autentifikácia pomocou HTTP alebo HTTPS

    • Základná autentifikácia pomocou HTTP alebo HTTPS

    • Digest overenie iba s HTTPS

  • Pre transparentný kontrolný proxy server alebo explicitný proxy server HTTPS musíte mať kópiu koreňového certifikátu servera proxy. Pokyny na nasadenie v tejto príručke vám povedia, ako nahrať kópiu do dôveryhodných obchodov uzlov Hybrid Data Security.

  • Sieť, ktorá hostí uzly HDS, musí byť nakonfigurovaná tak, aby vynútila smerovanie odchádzajúcej prevádzky TCP na porte 443 cez server proxy.

  • Proxy, ktoré kontrolujú webovú prevádzku, môžu narúšať pripojenia webových soketov. Ak sa vyskytne tento problém, problém vyrieši obídenie (nie kontrola) návštevnosti stránok wbx2.com a ciscospark.com .

Vyplňte Predpoklady pre hybridnú bezpečnosť údajov

Pomocou tohto kontrolného zoznamu sa uistite, že ste pripravení na inštaláciu a konfiguráciu klastra Hybrid Data Security.
1

Uistite sa, že vaša partnerská organizácia má povolenú funkciu Multi-Tenant HDS a získajte prihlasovacie údaje účtu s úplným správcom partnera a plnými právami správcu. Uistite sa, že vaša organizácia zákazníkov Webex má povolený balík Pro Pack pre Cisco Webex Control Hub. Ak potrebujete pomoc s týmto procesom, kontaktujte svojho partnera Cisco alebo account manažéra.

Zákaznícke organizácie by nemali mať žiadne existujúce nasadenie HDS.

2

Vyberte názov domény pre svoje nasadenie HDS (napríklad hds.company.com) a získajte reťaz certifikátov obsahujúci certifikát X.509, súkromný kľúč a akékoľvek sprostredkujúce certifikáty. Reťazec certifikátov musí spĺňať požiadavky uvedené v časti Požiadavky na certifikát X.509.

3

Pripravte si identických virtuálnych hostiteľov, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri. Potrebujete aspoň dvoch samostatných hostiteľov (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre, ktorí spĺňajú požiadavky v časti Požiadavky na virtuálneho hostiteľa.

4

Pripravte databázový server, ktorý bude fungovať ako úložisko kľúčových údajov pre klaster, v súlade s požiadavkami na databázový server. Databázový server musí byť umiestnený v zabezpečenom údajovom centre spolu s virtuálnymi hostiteľmi.

  1. Vytvorte databázu pre ukladanie kľúčov. (Túto databázu musíte vytvoriť – nepoužívajte predvolenú databázu. Aplikácie HDS po nainštalovaní vytvoria schému databázy.)

  2. Zhromaždite podrobnosti, ktoré budú uzly používať na komunikáciu s databázovým serverom:

    • názov hostiteľa alebo IP adresa (hostiteľ) a port

    • názov databázy (dbname) pre uloženie kľúčov

    • užívateľské meno a heslo užívateľa so všetkými privilégiami v databáze kľúča

5

Pre rýchlu obnovu po havárii nastavte zálohovacie prostredie v inom dátovom centre. Zálohovacie prostredie odzrkadľuje produkčné prostredie VM a záložný databázový server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM.

6

Nastavte hostiteľa syslog na zhromažďovanie protokolov z uzlov v klastri. Získajte jeho sieťovú adresu a port syslog (predvolené je UDP 514).

7

Vytvorte politiku bezpečného zálohovania pre uzly Hybrid Data Security, databázový server a hostiteľa syslog. Aby ste predišli nenapraviteľnej strate údajov, musíte minimálne zálohovať databázu a konfiguračný súbor ISO vygenerovaný pre uzly Hybrid Data Security.

Keďže uzly Hybrid Data Security ukladajú kľúče používané na šifrovanie a dešifrovanie obsahu, zlyhanie prevádzkyschopného nasadenia bude mať za následok NEOBNOVITEĽNÚ STRATU tohto obsahu.

Klienti Webex App ukladajú svoje kľúče do vyrovnávacej pamäte, takže výpadok nemusí byť okamžite viditeľný, ale časom sa prejaví. Zatiaľ čo dočasným výpadkom nie je možné zabrániť, sú obnoviteľné. Úplná strata (nie sú k dispozícii žiadne zálohy) databázy alebo konfiguračného ISO súboru však bude mať za následok neobnoviteľné zákaznícke údaje. Od operátorov uzlov Hybrid Data Security sa očakáva, že budú pravidelne zálohovať databázu a konfiguračný súbor ISO a budú pripravení na prestavbu dátového centra Hybrid Data Security, ak dôjde ku katastrofálnej poruche.

8

Uistite sa, že konfigurácia brány firewall umožňuje pripojenie pre uzly Hybrid Data Security, ako je uvedené v časti Požiadavky na externé pripojenie.

9

Nainštalujte Docker ( https://www.docker.com) na ľubovoľný lokálny počítač s podporovaným operačným systémom (Microsoft Windows 10 Professional alebo Enterprise 64-bitový alebo Mac OSX Yosemite 10.10.3 alebo novší) pomocou webového prehliadača, ktorý k nemu má prístup na adrese http://127.0.0.1:8080.

Inštanciu Docker použijete na stiahnutie a spustenie nástroja HDS Setup Tool, ktorý vytvorí informácie o lokálnej konfigurácii pre všetky uzly Hybrid Data Security. Možno budete potrebovať licenciu Docker Desktop. Ďalšie informácie nájdete v časti Požiadavky na pracovnú plochu Docker .

Ak chcete nainštalovať a spustiť nástroj HDS Setup Tool, miestny počítač musí mať pripojenie uvedené v časti Požiadavky na externé pripojenie.

10

Ak integrujete server proxy so službou Hybrid Data Security, uistite sa, že spĺňa požiadavky na server proxy.

Nastavte klaster Hybrid Data Security

Tok úloh nasadenia zabezpečenia hybridných údajov

Skôr ako začnete

1

Vykonajte počiatočné nastavenie a stiahnite inštalačné súbory

Stiahnite si súbor OVA na váš lokálny počítač pre neskoršie použitie.

2

Vytvorte ISO konfigurácie pre hostiteľov HDS

Pomocou nástroja HDS Setup Tool vytvorte konfiguračný súbor ISO pre uzly Hybrid Data Security.

3

Nainštalujte HDS Host OVA

Vytvorte virtuálny počítač zo súboru OVA a vykonajte počiatočnú konfiguráciu, ako sú nastavenia siete.

Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 7.0. Táto možnosť nemusí byť dostupná v starších verziách.

4

Nastavte virtuálny počítač Hybrid Data Security

Prihláste sa do konzoly VM a nastavte prihlasovacie poverenia. Nakonfigurujte sieťové nastavenia pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.

5

Nahrajte a pripojte ISO konfiguráciu HDS

Nakonfigurujte VM z konfiguračného súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool.

6

Nakonfigurujte uzol HDS na integráciu proxy

Ak sieťové prostredie vyžaduje konfiguráciu servera proxy, zadajte typ servera proxy, ktorý použijete pre uzol, a v prípade potreby pridajte certifikát servera proxy do dôveryhodného úložiska.

7

Zaregistrujte prvý uzol v klastri

Zaregistrujte VM v cloude Cisco Webex ako uzol Hybrid Data Security.

8

Vytvorte a zaregistrujte viac uzlov

Dokončite nastavenie klastra.

9

Aktivujte si Multi-Tenant HDS na Partner Hub.

Aktivujte si HDS a spravujte organizácie nájomníkov na Partner Hub.

Vykonajte počiatočné nastavenie a stiahnite inštalačné súbory

V tejto úlohe stiahnete súbor OVA do svojho počítača (nie na servery, ktoré ste nastavili ako uzly Hybrid Data Security). Tento súbor použijete neskôr v procese inštalácie.

1

Prihláste sa do Partnerského centra a potom kliknite na položku Služby.

2

V časti Cloudové služby nájdite kartu Hybrid Data Security a kliknite na tlačidlo Nastaviť.

Pre proces nasadenia je rozhodujúce kliknutie na položku Nastaviť v partnerskom centre. Nepokračujte v inštalácii bez dokončenia tohto kroku.

3

Kliknite na položku Pridať zdroj a kliknite na položku Prevziať súbor .OVA na karte Inštalovať a konfigurovať softvér .

Staršie verzie softvérového balíka (OVA) nebudú kompatibilné s najnovšími aktualizáciami Hybrid Data Security. To môže viesť k problémom pri inovácii aplikácie. Uistite sa, že ste si stiahli najnovšiu verziu súboru OVA.

OVA si tiež môžete kedykoľvek stiahnuť zo sekcie Pomocník . Kliknite na položky Nastavenia > Pomocník > Prevziať softvér Hybrid Data Security.

Súbor OVA sa začne automaticky sťahovať. Uložte súbor na miesto v počítači.
4

Voliteľne kliknite na položku Zobraziť príručku nasadenia hybridného zabezpečenia údajov a skontrolujte, či je k dispozícii novšia verzia tejto príručky.

Vytvorte ISO konfigurácie pre hostiteľov HDS

Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.

Skôr ako začnete

1

Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

V bežných prostrediach:

docker rmi ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

2

Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:

docker login -u hdscustomersro
3

Pri výzve na zadanie hesla zadajte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stiahnite si najnovší stabilný obraz pre vaše prostredie:

V bežných prostrediach:

docker pull ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

  • V bežných prostrediach bez servera proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V prostrediach FedRAMP bez proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • V prostrediach FedRAMP s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný
  • V prostrediach FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný

Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“.

6

Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 .

Pomocou webového prehliadača prejdite na localhost, http://127.0.0.1:8080, a po výzve zadajte používateľské meno správcu pre partnerské centrum.

Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie.

7

Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia správcu Partner Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre Hybrid Data Security.

8

Na stránke prehľadu nástroja Setup kliknite na položku Začíname.

9

Na stránke Import ISO máte tieto možnosti:

  • Nie – Ak vytvárate svoj prvý uzol HDS, nemáte súbor ISO na odovzdanie.
  • Áno – ak ste už vytvorili uzly HDS, vyberte súbor ISO v prehľadávaní a odovzdajte ho.
10

Skontrolujte, či váš certifikát X.509 spĺňa požiadavky uvedené v časti Požiadavky na certifikát X.509.

  • Ak ste ešte nikdy neodovzdali certifikát, odovzdajte certifikát X.509, zadajte heslo a kliknite na tlačidlo Pokračovať.
  • Ak je váš certifikát v poriadku, kliknite na tlačidlo Pokračovať.
  • Ak platnosť vášho certifikátu vypršala alebo ho chcete nahradiť, vyberte možnosť Nie pre možnosť Pokračovať v používaní reťazca certifikátov HDS a súkromného kľúča z predchádzajúcej normy ISO?. Odovzdajte nový certifikát X.509, zadajte heslo a kliknite na tlačidlo Pokračovať.
11

Zadajte databázovú adresu a účet pre HDS, aby ste získali prístup k vášmu úložisku kľúčových údajov:

  1. Vyberte svoj Typ databázy (PostgreSQL alebo Microsoft SQL Server).

    Ak vyberiete možnosť Microsoft SQL Server, zobrazí sa pole Typ overenia.

  2. (Iba Microsoft SQL Server ) Vyberte svoj Typ overenia:

    • Základná autentifikácia: V poli Používateľské meno potrebujete názov lokálneho účtu SQL Server.

    • Overovanie systému Windows: Potrebujete účet Windows vo formáte používateľské meno@DOMAIN v poli Používateľské meno .

  3. Zadajte adresu databázového servera v tvare : alebo :.

    Príklad:
    dbhost.example.org:1433 alebo 198.51.100.17:1433

    Ak uzly nemôžu použiť DNS na rozlíšenie názvu hostiteľa, môžete použiť IP adresu na základnú autentifikáciu.

    Ak používate overenie systému Windows, musíte zadať úplný názov domény vo formáte dbhost.example.org:1433

  4. Zadajte Názov databázy.

  5. Zadajte Používateľské meno a Heslo používateľa so všetkými oprávneniami v databáze úložiska kľúčov.

12

Vyberte Režim pripojenia databázy TLS:

Režim

Opis

Preferovať TLS (predvolená možnosť)

HDS uzly nevyžadujú TLS na pripojenie k databázovému serveru. Ak povolíte TLS na databázovom serveri, uzly sa pokúsia o šifrované pripojenie.

Vyžadovať TLS

Uzly HDS sa pripájajú iba vtedy, ak databázový server dokáže dohodnúť TLS.

Vyžadovať TLS a overiť podpisovateľa certifikátu

Tento režim nie je použiteľný pre databázy SQL Server.

  • Uzly HDS sa pripájajú iba vtedy, ak databázový server dokáže dohodnúť TLS.

  • Po vytvorení pripojenia TLS uzol porovná podpisovateľa certifikátu z databázového servera s certifikačnou autoritou v koreňovom certifikáte databázy. Ak sa nezhodujú, uzol zruší spojenie.

Na odovzdanie koreňového certifikátu pre túto možnosť použite ovládací prvok Koreňový certifikát databázy pod rozbaľovacím zoznamom.

Vyžadovať TLS a overiť podpisovateľa certifikátu a názov hostiteľa

  • Uzly HDS sa pripájajú iba vtedy, ak databázový server dokáže dohodnúť TLS.

  • Po vytvorení pripojenia TLS uzol porovná podpisovateľa certifikátu z databázového servera s certifikačnou autoritou v koreňovom certifikáte databázy. Ak sa nezhodujú, uzol zruší spojenie.

  • Uzly tiež overia, či sa názov hostiteľa v certifikáte servera zhoduje s názvom hostiteľa v poli Hostiteľ databázy a port . Názvy sa musia presne zhodovať, inak uzol zruší spojenie.

Na odovzdanie koreňového certifikátu pre túto možnosť použite ovládací prvok Koreňový certifikát databázy pod rozbaľovacím zoznamom.

Keď odovzdáte koreňový certifikát (ak je to potrebné) a kliknete na tlačidlo Pokračovať, nástroj HDS Setup Tool otestuje pripojenie TLS k databázovému serveru. Nástroj tiež overuje podpisovateľa certifikátu a názov hostiteľa, ak je to potrebné. Ak test zlyhá, nástroj zobrazí chybové hlásenie s popisom problému. Môžete si vybrať, či chcete chybu ignorovať a pokračovať v nastavovaní. (Vzhľadom na rozdiely v konektivite môžu byť uzly HDS schopné vytvoriť pripojenie TLS, aj keď ho zariadenie HDS Setup Tool nedokáže úspešne otestovať.)

13

Na stránke Systémové denníky nakonfigurujte svoj server Syslogd:

  1. Zadajte adresu URL servera syslog.

    Ak server nie je schopný rozlíšiť DNS z uzlov pre váš klaster HDS, použite v adrese URL adresu IP.

    Príklad:
    udp://10.92.43.23:514 označuje prihlásenie do hostiteľa Syslogd 10.92.43.23 na porte UDP 514.
  2. Ak ste na svojom serveri nastavili používanie šifrovania TLS, začiarknite políčko Je váš server syslog nakonfigurovaný na šifrovanie SSL?.

    Ak začiarknete toto políčko, uistite sa, že ste zadali adresu URL TCP, napríklad tcp://10.92.43.23:514.

  3. V rozbaľovacej ponuke Vybrať ukončenie záznamu syslog vyberte vhodné nastavenie pre váš súbor ISO: Choose alebo Newline sa používa pre Graylog a Rsyslog TCP

    • Null byte -- \x00

    • Nový riadok -- \n – Túto možnosť vyberte pre Graylog a Rsyslog TCP.

  4. Kliknite na tlačidlo Pokračovať.

14

(Voliteľné) Predvolenú hodnotu niektorých parametrov pripojenia k databáze môžete zmeniť v časti Rozšírené nastavenia. Vo všeobecnosti je tento parameter jediný, ktorý možno budete chcieť zmeniť:

app_datasource_connection_pool_maxVeľkosť: 10
15

Kliknite na tlačidlo Pokračovať na obrazovke Obnoviť heslo servisných účtov .

Heslá k servisným účtom majú životnosť deväť mesiacov. Túto obrazovku použite, keď sa blíži koniec platnosti vašich hesiel alebo ich chcete resetovať, aby ste zrušili platnosť predchádzajúcich súborov ISO.

16

Kliknite na položku Prevziať súbor ISO. Uložte súbor na miesto, ktoré sa dá ľahko nájsť.

17

Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme.

Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii.

18

Ak chcete vypnúť inštalačný nástroj, napíšte CTRL+C.

Čo robiť ďalej

Zálohujte konfiguračný súbor ISO. Potrebujete ho na vytvorenie ďalších uzlov na obnovu alebo na vykonanie zmien v konfigurácii. Ak stratíte všetky kópie súboru ISO, stratili ste aj hlavný kľúč. Obnovenie kľúčov z databázy PostgreSQL alebo Microsoft SQL Server nie je možné.

Nikdy nemáme kópiu tohto kľúča a nemôžeme vám pomôcť, ak ho stratíte.

Nainštalujte HDS Host OVA

Tento postup použite na vytvorenie virtuálneho počítača zo súboru OVA.
1

Na prihlásenie do virtuálneho hostiteľa ESXi použite klienta VMware vSphere na vašom počítači.

2

Vyberte položku Súbor > Nasadiť šablónu OVF.

3

V sprievodcovi zadajte umiestnenie súboru OVA, ktorý ste prevzali predtým, a potom kliknite na tlačidlo Ďalej.

4

Na stránke Vyberte názov a priečinok zadajte Názov virtuálneho počítača pre uzol (napríklad „HDS_Node_1“) a vyberte umiestnenie, kde nasadenie uzla virtuálneho počítača sa môže nachádzať a potom kliknite na tlačidlo Ďalej.

5

Na stránke Vyberte výpočtový zdroj vyberte cieľový výpočtový zdroj a potom kliknite na tlačidlo Ďalej.

Prebehne overovacia kontrola. Po dokončení sa zobrazia podrobnosti šablóny.

6

Overte podrobnosti šablóny a potom kliknite na tlačidlo Ďalej.

7

Ak sa zobrazí výzva na výber konfigurácie prostriedkov na stránke Konfigurácia , kliknite na položku 4 CPU a potom kliknite na tlačidlo Ďalej.

8

Na stránke Vybrať úložisko kliknite na tlačidlo Ďalej , čím prijmete predvolený formát disku a pravidlá úložiska VM.

9

Na stránke Vybrať siete vyberte sieťovú možnosť zo zoznamu položiek, aby ste poskytli požadované pripojenie k virtuálnemu počítaču.

10

Na stránke Prispôsobiť šablónu nakonfigurujte nasledujúce nastavenia siete:

  • Názov hostiteľa – zadajte FQDN (názov hostiteľa a doménu) alebo jednoslovný názov hostiteľa pre uzol.
    • Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509.

    • Ak chcete zabezpečiť úspešnú registráciu do cloudu, použite iba malé písmená v FQDN alebo názve hostiteľa, ktorý ste nastavili pre uzol. Veľké písmená momentálne nie sú podporované.

    • Celková dĺžka FQDN nesmie presiahnuť 64 znakov.

  • Adresa IP – zadajte adresu IP interného rozhrania uzla.

    Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované.

  • Maska – zadajte adresu masky podsiete v desiatkovom formáte bodka. Napríklad 255.255.255.0.
  • Brána – zadajte adresu IP brány. Brána je sieťový uzol, ktorý slúži ako prístupový bod do inej siete.
  • Servery DNS – zadajte zoznam serverov DNS oddelených čiarkami, ktoré zabezpečujú preklad názvov domén na číselné adresy IP. (Povolené sú až 4 záznamy DNS.)
  • Servery NTP – zadajte server NTP vašej organizácie alebo iný externý server NTP, ktorý možno použiť vo vašej organizácii. Predvolené servery NTP nemusia fungovať pre všetky podniky. Na zadanie viacerých serverov NTP môžete použiť aj zoznam oddelený čiarkami.
  • Nasaďte všetky uzly v rovnakej podsieti alebo VLAN, aby boli všetky uzly v klastri dosiahnuteľné z klientov vo vašej sieti na administratívne účely.

Ak chcete, môžete preskočiť konfiguráciu nastavenia siete a podľa krokov v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov nakonfigurujte nastavenia z konzoly uzla.

Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 7.0. Táto možnosť nemusí byť dostupná v starších verziách.

11

Kliknite pravým tlačidlom myši na uzol VM a potom vyberte položky Napájanie > Zapnúť.

Softvér Hybrid Data Security je nainštalovaný ako hosť na hostiteľovi VM. Teraz ste pripravení prihlásiť sa do konzoly a nakonfigurovať uzol.

Tipy na riešenie problémov

Môžete zaznamenať oneskorenie niekoľkých minút, kým sa kontajnery uzlov objavia. Počas prvého spustenia, počas ktorého sa nemôžete prihlásiť, sa na konzole zobrazí správa brány firewall mosta.

Nastavte virtuálny počítač Hybrid Data Security

Tento postup použite na prvé prihlásenie do konzoly VM uzla Hybrid Data Security a nastavenie prihlasovacích poverení. Konzolu môžete použiť aj na konfiguráciu sieťových nastavení pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.

1

V klientovi VMware vSphere vyberte svoj uzol Hybrid Data Security VM a vyberte kartu Konzola .

VM sa spustí a zobrazí sa výzva na prihlásenie. Ak sa výzva na prihlásenie nezobrazí, stlačte kláves Enter.
2

Na prihlásenie a zmenu poverení použite nasledujúce predvolené prihlasovacie meno a heslo:

  1. Prihlásenie: admin

  2. heslo: cisco

Keďže sa do svojho VM prihlasujete prvýkrát, musíte zmeniť heslo správcu.

3

Ak ste už nakonfigurovali nastavenia siete v časti Inštalácia hostiteľa HDS OVA, preskočte zvyšok tohto postupu. V opačnom prípade vyberte v hlavnej ponuke možnosť Upraviť konfiguráciu .

4

Nastavte statickú konfiguráciu s IP adresou, maskou, bránou a informáciami DNS. Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované.

5

(Voliteľné) Zmeňte názov hostiteľa, doménu alebo server(y) NTP, ak je to potrebné, aby zodpovedali zásadám vašej siete.

Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509.

6

Uložte konfiguráciu siete a reštartujte VM, aby sa zmeny prejavili.

Nahrajte a pripojte ISO konfiguráciu HDS

Tento postup použite na konfiguráciu virtuálneho počítača zo súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool.

Skôr ako začnete

Pretože súbor ISO obsahuje hlavný kľúč, mal by byť zverejnený iba na základe „potreby vedieť“, aby k nemu mali prístup virtuálne počítače s hybridným zabezpečením údajov a všetci správcovia, ktorí môžu potrebovať vykonať zmeny. Uistite sa, že k úložisku údajov majú prístup iba títo správcovia.

1

Nahrajte súbor ISO z počítača:

  1. V ľavom navigačnom paneli klienta VMware vSphere kliknite na server ESXi.

  2. Na karte Konfigurácia v zozname Hardvér kliknite na položku Ukladací priestor.

  3. V zozname Úložisko údajov kliknite pravým tlačidlom myši na úložisko údajov pre vaše virtuálne počítače a kliknite na položku Prehliadať úložisko údajov.

  4. Kliknite na ikonu Odovzdať súbory a potom kliknite na položku Odovzdať súbor.

  5. Prejdite do umiestnenia, z ktorého ste prevzali súbor ISO do počítača, a kliknite na tlačidlo Otvoriť.

  6. Kliknutím na tlačidlo Áno prijmete upozornenie týkajúce sa operácie odovzdávania/sťahovania a zatvoríte dialógové okno úložiska údajov.

2

Pripojte súbor ISO:

  1. V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Upraviť nastavenia.

  2. Kliknutím na tlačidlo OK prijmete upozornenie na obmedzené možnosti úprav.

  3. Kliknite na položku Jednotka CD/DVD 1, vyberte možnosť pripojenia zo súboru ISO úložiska údajov a prejdite do umiestnenia, kam ste odovzdali konfiguračný súbor ISO.

  4. Začiarknite políčka Pripojené a Pripojiť pri zapnutí.

  5. Uložte zmeny a reštartujte virtuálny počítač.

Čo robiť ďalej

Ak to vyžaduje vaša politika IT, môžete voliteľne odpojiť súbor ISO po tom, čo všetky vaše uzly prevezmú zmeny konfigurácie. Podrobnosti nájdete v časti (Voliteľné) Odpojenie ISO po konfigurácii HDS .

Nakonfigurujte uzol HDS na integráciu proxy

Ak sieťové prostredie vyžaduje server proxy, použite tento postup na určenie typu servera proxy, ktorý chcete integrovať s Hybrid Data Security. Ak si vyberiete transparentný kontrolný proxy server alebo explicitný proxy server HTTPS, môžete použiť rozhranie uzla na nahranie a inštaláciu koreňového certifikátu. Môžete tiež skontrolovať pripojenie proxy z rozhrania a vyriešiť prípadné problémy.

Skôr ako začnete

1

Do webového prehliadača zadajte adresu URL nastavenia uzla HDS https://[IP uzla HDS alebo FQDN]/setup , zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite na tlačidlo Prihlásiť sa .

2

Prejdite na stránku Trust Store & Proxy a potom vyberte jednu z možností:

  • Bez servera proxy – predvolená možnosť pred integráciou servera proxy. Nevyžaduje sa žiadna aktualizácia certifikátu.
  • Transparentný nekontrolujúci proxy server – uzly nie sú nakonfigurované na používanie konkrétnej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.
  • Transparentný kontrolný proxy server – uzly nie sú nakonfigurované na používanie konkrétnej adresy servera proxy. Pri nasadení Hybrid Data Security nie sú potrebné žiadne zmeny konfigurácie HTTPS, no uzly HDS potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).
  • Explicitný server proxy – pomocou explicitného servera proxy informujete klienta (uzly HDS), ktorý server proxy má použiť, pričom táto možnosť podporuje niekoľko typov overenia. Po výbere tejto možnosti musíte zadať nasledujúce informácie:
    1. Proxy IP/FQDN – adresa, ktorú možno použiť na spojenie so zariadením proxy.

    2. Port proxy – číslo portu, ktoré server proxy používa na počúvanie prenosu cez server proxy.

    3. Protokol proxy – vyberte http (zobrazuje a riadi všetky požiadavky prijaté od klienta) alebo https (poskytuje kanál pre server a klient prijíma a overí certifikát servera). Vyberte možnosť podľa toho, čo váš proxy server podporuje.

    4. Typ overenia totožnosti – vyberte si z nasledujúcich typov overenia totožnosti:

      • Žiadne – nevyžaduje sa žiadne ďalšie overenie.

        Dostupné pre servery proxy HTTP alebo HTTPS.

      • Základné – používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.

        Dostupné pre servery proxy HTTP alebo HTTPS.

        Ak zvolíte túto možnosť, musíte zadať aj meno používateľa a heslo.

      • Súhrn – používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.

        Dostupné iba pre servery proxy HTTPS.

        Ak zvolíte túto možnosť, musíte zadať aj meno používateľa a heslo.

Postupujte podľa nasledujúcich krokov pre transparentný kontrolný proxy server, explicitný proxy server HTTP so základným overením alebo explicitný proxy HTTPS.

3

Kliknite na položku Odovzdať koreňový certifikát alebo certifikát ukončenia entity a potom prejdite na výber koreňového certifikátu pre server proxy.

Certifikát je nahraný, ale ešte nie je nainštalovaný, pretože na inštaláciu certifikátu musíte reštartovať uzol. Ak chcete získať ďalšie podrobnosti, kliknite na šípku so šípkou vedľa názvu vydavateľa certifikátu. Ak ste urobili chybu a chcete súbor nahrať znova, kliknite na tlačidlo Odstrániť .

4

Kliknutím na položku Skontrolovať pripojenie proxy otestujete sieťové pripojenie medzi uzlom a serverom proxy.

Ak test pripojenia zlyhá, zobrazí sa chybové hlásenie, ktoré uvádza dôvod a spôsob, ako môžete problém vyriešiť.

Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS. Tento stav sa očakáva v mnohých explicitných konfiguráciách proxy. Môžete pokračovať v nastavovaní a uzol bude fungovať v režime zablokovaného externého rozlíšenia DNS. Ak si myslíte, že ide o chybu, vykonajte tieto kroky a potom si pozrite časť Vypnutie režimu zablokovaného externého rozlíšenia DNS.

5

Po úspešnom teste pripojenia pre explicitný server proxy nastavený iba na https zapnite prepínač na možnosť Smerovať všetky požiadavky protokolu https z tohto uzla na port 443/444 cez explicitný server proxy. Toto nastavenie sa prejaví po 15 sekundách.

6

Kliknite na položku Inštalovať všetky certifikáty do dôveryhodného úložiska (zobrazí sa pri explicitnom serveri proxy HTTPS alebo transparentnom kontrolnom serveri proxy) alebo Reštartovať (zobrazí sa pri explicitnom serveri proxy HTTP), prečítajte si výzvu a potom kliknite na tlačidlo Inštalovať , ak ste pripravení.

Uzol sa reštartuje v priebehu niekoľkých minút.

7

Keď sa uzol reštartuje, v prípade potreby sa znova prihláste a potom otvorte stránku Prehľad a skontrolujte kontroly pripojenia, aby ste sa uistili, že sú všetky v zelenom stave.

Kontrola pripojenia proxy testuje iba subdoménu webex.com. Ak sa vyskytnú problémy s pripojením, bežným problémom je, že niektoré z cloudových domén uvedených v pokynoch na inštaláciu sú na serveri proxy blokované.

Zaregistrujte prvý uzol v klastri

Táto úloha prevezme všeobecný uzol, ktorý ste vytvorili v časti Nastavenie virtuálneho počítača Hybrid Data Security, zaregistruje uzol v cloude Webex a zmení ho na uzol Hybrid Data Security.

Keď zaregistrujete svoj prvý uzol, vytvoríte klaster, ku ktorému je uzol priradený. Klaster obsahuje jeden alebo viac uzlov nasadených na zabezpečenie redundancie.

Skôr ako začnete

  • Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.

  • Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.

1

Prihláste sa do https://admin.webex.com.

2

V ponuke na ľavej strane obrazovky vyberte položku Služby.

3

V časti Cloudové služby nájdite kartu Hybrid Data Security a kliknite na tlačidlo Nastaviť.

4

Na stránke, ktorá sa otvorí, kliknite na položku Pridať zdroj.

5

Do prvého poľa na karte Pridať uzol zadajte názov klastra, ktorému chcete priradiť uzol Hybrid Data Security.

Odporúčame pomenovať klaster podľa toho, kde sa geograficky nachádzajú uzly klastra. Príklady: „San Francisco“ alebo „New York“ alebo „Dallas“

6

Do druhého poľa zadajte internú adresu IP alebo úplný názov domény (FQDN) svojho uzla a kliknite na tlačidlo Pridať v dolnej časti obrazovky.

Táto adresa IP alebo FQDN by sa mala zhodovať s adresou IP alebo názvom hostiteľa a doménou, ktoré ste použili v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov.

Zobrazí sa správa, že môžete zaregistrovať svoj uzol do Webexu.
7

Kliknite na položku Prejsť do uzla.

Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že svojej organizácii Webex chcete udeliť povolenia na prístup k vášmu uzlu.

8

Začiarknite políčko Povoliť prístup k vášmu uzlu zabezpečenia hybridných údajov a potom kliknite na tlačidlo Pokračovať.

Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
9

Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Hybrid Data Security partnerského centra.

Na stránke Hybrid Data Security sa nový klaster obsahujúci uzol, ktorý ste zaregistrovali, zobrazí na karte Prostriedky . Uzol si automaticky stiahne najnovší softvér z cloudu.

Vytvorte a zaregistrujte viac uzlov

Ak chcete do svojho klastra pridať ďalšie uzly, jednoducho vytvoríte ďalšie virtuálne počítače a pripojíte rovnaký konfiguračný súbor ISO a potom uzol zaregistrujete. Odporúčame, aby ste mali aspoň 3 uzly.

Skôr ako začnete

  • Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.

  • Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.

1

Vytvorte nový virtuálny počítač z OVA zopakovaním krokov v časti Inštalácia hostiteľského OVA HDS.

2

Nastavte úvodnú konfiguráciu na novom virtuálnom počítači zopakovaním krokov v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov.

3

Na novom virtuálnom počítači zopakujte kroky v časti Odovzdanie a pripojenie ISO konfigurácie HDS.

4

Ak nastavujete server proxy pre svoje nasadenie, zopakujte kroky v časti Konfigurácia uzla HDS na integráciu servera proxy podľa potreby pre nový uzol.

5

Zaregistrujte uzol.

  1. V https://admin.webex.com vyberte z ponuky na ľavej strane obrazovky položku Služby .

  2. V časti Cloudové služby nájdite kartu Hybrid Data Security a kliknite na položku Zobraziť všetko.

    Zobrazí sa stránka Hybrid Data Security Resources.
  3. Novovytvorený klaster sa zobrazí na stránke Zdroje .

  4. Kliknutím na klaster zobrazíte uzly priradené ku klastru.

  5. Kliknite na položku Pridať uzol na pravej strane obrazovky.

  6. Zadajte internú adresu IP alebo úplný názov domény (FQDN) svojho uzla a kliknite na tlačidlo Pridať.

    Otvorí sa stránka so správou, že môžete zaregistrovať svoj uzol do cloudu Webex. Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že chcete svojej organizácii udeliť povolenia na prístup k vášmu uzlu.
  7. Začiarknite políčko Povoliť prístup k vášmu uzlu zabezpečenia hybridných údajov a potom kliknite na tlačidlo Pokračovať.

    Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
  8. Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Hybrid Data Security partnerského centra.

    Vyskakovacia správa Uzol bol pridaný sa tiež zobrazuje v spodnej časti obrazovky v Partnerskom centre.

    Váš uzol je zaregistrovaný.

Spravujte organizácie nájomníkov na hybridnom zabezpečení dát pre viacerých nájomníkov

Aktivujte si Multi-Tenant HDS na Partner Hub

Táto úloha zaisťuje, že všetci používatelia zákazníckych organizácií môžu začať využívať HDS pre lokálne šifrovacie kľúče a ďalšie bezpečnostné služby.

Skôr ako začnete

Uistite sa, že ste dokončili nastavenie klastra Multi-Tenant HDS s požadovaným počtom uzlov.

1

Prihláste sa do https://admin.webex.com.

2

V ponuke na ľavej strane obrazovky vyberte položku Služby.

3

V časti Cloudové služby vyhľadajte Hybrid Data Security a kliknite na položku Upraviť nastavenia.

4

Kliknite na položku Aktivovať HDS na karte Stav HDS .

Pridajte organizácie nájomníkov v partnerskom centre

V tejto úlohe priradíte zákaznícke organizácie k vášmu Hybrid Data Security Cluster.

1

Prihláste sa do https://admin.webex.com.

2

V ponuke na ľavej strane obrazovky vyberte položku Služby.

3

V sekcii Cloudové služby nájdite Hybrid Data Security a kliknite na položku Zobraziť všetko.

4

Kliknite na klaster, ku ktorému chcete priradiť zákazníka.

5

Prejdite na kartu Priradení zákazníci .

6

Kliknite na položku Pridať zákazníkov.

7

Z rozbaľovacej ponuky vyberte zákazníka, ktorého chcete pridať.

8

Kliknite na tlačidlo Pridať, zákazník bude pridaný do klastra.

9

Ak chcete do svojho klastra pridať viacerých zákazníkov, zopakujte kroky 6 až 8.

10

Po pridaní zákazníkov kliknite na tlačidlo Hotovo v dolnej časti obrazovky.

Čo robiť ďalej

Spustite nástroj HDS Setup, ako je podrobne uvedené v časti Vytvorenie zákazníckych hlavných kľúčov (CMK) pomocou nástroja HDS Setup a dokončite proces nastavenia.

Vytvorte hlavné kľúče zákazníka (CMK) pomocou nástroja HDS Setup

Skôr ako začnete

Priraďte zákazníkov do príslušného klastra, ako je podrobne uvedené v časti Pridanie organizácií nájomníkov do centra partnerov. Spustite nástroj HDS Setup a dokončite proces nastavenia pre novo pridané zákaznícke organizácie.

  • Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými administrátorskými právami pre vašu organizáciu.

    Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker v kroku 5 zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:

    Opis

    Variabilné

    HTTP Proxy bez autentifikácie

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentifikácie

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP Proxy s autentifikáciou

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS Proxy s autentifikáciou

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:

    • Databázové poverenia

    • Aktualizácie certifikátov

    • Zmeny v politike autorizácie

  • Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.

Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.

1

Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

V bežných prostrediach:

docker rmi ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

2

Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:

docker login -u hdscustomersro
3

Pri výzve na zadanie hesla zadajte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stiahnite si najnovší stabilný obraz pre vaše prostredie:

V bežných prostrediach:

docker pull ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

  • V bežných prostrediach bez servera proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V prostrediach FedRAMP bez proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • V prostrediach FedRAMP s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný
  • V prostrediach FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný

Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“.

6

Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 .

Pomocou webového prehliadača prejdite na localhost, http://127.0.0.1:8080, a po výzve zadajte používateľské meno správcu pre partnerské centrum.

Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie.

7

Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia správcu Partner Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre Hybrid Data Security.

8

Na stránke prehľadu nástroja Setup kliknite na položku Začíname.

9

Na stránke Import ISO kliknite na tlačidlo Áno.

10

Vyberte súbor ISO v prehliadači a nahrajte ho.

Ak chcete vykonávať správu CMK, zaistite pripojenie k databáze.
11

Prejdite na kartu Správa CMK nájomcov , kde nájdete nasledujúce tri spôsoby správy CMK nájomcov.

  • Vytvoriť CMK pre všetky ORG alebo Vytvoriť CMK – Kliknutím na toto tlačidlo na banneri v hornej časti obrazovky vytvoríte CMK pre všetky novo pridané organizácie.
  • Kliknite na tlačidlo Spravovať CMK na pravej strane obrazovky a kliknite na Vytvoriť CMK , aby ste vytvorili CMK pre všetky novo pridané organizácie.
  • Kliknite na … vedľa stavu čakania na správu CMK konkrétnej organizácie v tabuľke a kliknutím na položku Vytvoriť CMK vytvorte CMK pre túto organizáciu.
12

Po úspešnom vytvorení CMK sa stav v tabuľke zmení z Čaká sa na správu CMK na Spravuje CMK.

13

Ak je vytvorenie CMK neúspešné, zobrazí sa chyba.

Odstráňte organizácie nájomníkov

Skôr ako začnete

Po odstránení nebudú používatelia zákazníckych organizácií môcť využívať HDS pre svoje potreby šifrovania a stratia všetky existujúce miesta. Pred odstránením zákazníckych organizácií kontaktujte svojho partnera Cisco alebo správcu účtu.

1

Prihláste sa do https://admin.webex.com.

2

V ponuke na ľavej strane obrazovky vyberte položku Služby.

3

V sekcii Cloudové služby nájdite Hybrid Data Security a kliknite na položku Zobraziť všetko.

4

Na karte Zdroje kliknite na klaster, z ktorého chcete odstrániť organizácie zákazníkov.

5

Na stránke, ktorá sa otvorí, kliknite na položku Priradení zákazníci.

6

V zobrazenom zozname organizácií zákazníkov kliknite na položku ... na pravej strane organizácie zákazníka, ktorú chcete odstrániť, a kliknite na položku Odstrániť z klastra.

Čo robiť ďalej

Dokončite proces odstránenia zrušením CMK zákazníckych organizácií, ako je podrobne uvedené v časti Odvolanie CMK nájomníkov odstránených z HDS.

Zrušiť CMK nájomníkov odstránených z HDS.

Skôr ako začnete

Odstráňte zákazníkov z príslušného klastra, ako je podrobne uvedené v časti Odstránenie organizácií nájomníkov. Spustite nástroj HDS Setup a dokončite proces odstránenia pre zákaznícke organizácie, ktoré boli odstránené.

  • Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými administrátorskými právami pre vašu organizáciu.

    Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker v kroku 5 zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:

    Opis

    Variabilné

    HTTP Proxy bez autentifikácie

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentifikácie

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP Proxy s autentifikáciou

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS Proxy s autentifikáciou

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:

    • Databázové poverenia

    • Aktualizácie certifikátov

    • Zmeny v politike autorizácie

  • Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.

Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.

1

Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

V bežných prostrediach:

docker rmi ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

2

Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:

docker login -u hdscustomersro
3

Pri výzve na zadanie hesla zadajte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stiahnite si najnovší stabilný obraz pre vaše prostredie:

V bežných prostrediach:

docker pull ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

  • V bežných prostrediach bez servera proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V prostrediach FedRAMP bez proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • V prostrediach FedRAMP s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný
  • V prostrediach FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný

Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“.

6

Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 .

Pomocou webového prehliadača prejdite na localhost, http://127.0.0.1:8080, a po výzve zadajte používateľské meno správcu pre partnerské centrum.

Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie.

7

Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia správcu Partner Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre Hybrid Data Security.

8

Na stránke prehľadu nástroja Setup kliknite na položku Začíname.

9

Na stránke Import ISO kliknite na tlačidlo Áno.

10

Vyberte súbor ISO v prehliadači a nahrajte ho.

11

Prejdite na kartu Správa CMK nájomcov , kde nájdete nasledujúce tri spôsoby správy CMK nájomcov.

  • Odvolať CMK pre všetky ORG alebo Odvolať CMK – Kliknutím na toto tlačidlo na banneri v hornej časti obrazovky zrušíte CMK všetkých organizácií, ktoré boli odstránené.
  • Kliknite na tlačidlo Spravovať CMK na pravej strane obrazovky a kliknutím na Odvolať CMK odvolajte CMK všetkých organizácií, ktoré boli odstránené.
  • Kliknite na položku vedľa stavu CMK na odvolanie konkrétnej organizácie v tabuľke a kliknutím na položku Odvolať CMK odvoláte CMK pre túto konkrétnu organizáciu.
12

Po úspešnom odvolaní CMK sa zákaznícka organizácia už nebude zobrazovať v tabuľke.

13

Ak je zrušenie CMK neúspešné, zobrazí sa chyba.

Otestujte svoje nasadenie Hybrid Data Security

Otestujte svoje nasadenie hybridného zabezpečenia dát

Tento postup použite na testovanie scenárov šifrovania Hybrid Data Security pre viacerých nájomníkov.

Skôr ako začnete

  • Nastavte svoje nasadenie Hybridného zabezpečenia dát pre viacerých nájomníkov.

  • Uistite sa, že máte prístup k syslog, aby ste si overili, že kľúčové požiadavky prechádzajú do vášho nasadenia Multi-Tenant Hybrid Data Security.

1

Kľúče pre daný priestor nastavuje tvorca priestoru. Prihláste sa do aplikácie Webex ako jeden z používateľov zákazníckej organizácie a potom vytvorte priestor.

Ak deaktivujete nasadenie Hybrid Data Security, obsah v priestoroch, ktoré používatelia vytvoria, už nebude prístupný po výmene kópií šifrovacích kľúčov uložených vo vyrovnávacej pamäti klienta.

2

Posielajte správy do nového priestoru.

3

Skontrolujte výstup syslog, aby ste si overili, že požiadavky na kľúče prechádzajú do vášho nasadenia Hybrid Data Security.

  1. Ak chcete skontrolovať, či používateľ najprv vytvoril zabezpečený kanál pre KMS, filtrujte podľa kms.data.method=create a kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Mali by ste nájsť záznam, ako je tento (identifikátory skrátené kvôli čitateľnosti):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] prijaté, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method= vytvoriť, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, km. data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
  2. Ak chcete vyhľadať používateľa, ktorý od KMS požaduje existujúci kľúč, filtrujte kms.data.method=retrieve a kms.data.type=KEY:

    Mali by ste nájsť záznam ako:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] prijaté, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method= načítať, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/ kľúče/d[~]2, kms.data.userId=1[~]b
  3. Ak chcete skontrolovať, či používateľ žiada o vytvorenie nového kľúča KMS, filtrujte kms.data.method=create a kms.data.type=KEY_COLLECTION:

    Mali by ste nájsť záznam ako:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] prijaté, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method =vytvoriť, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_ZBER, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data .userId=1[~]b
  4. Ak chcete pri vytváraní priestoru alebo iného chráneného zdroja skontrolovať, či používateľ žiada o vytvorenie nového objektu KMS Resource Object (KRO), použite filter kms.data.method=create a kms.data. type=RESOURCE_COLLECTION:

    Mali by ste nájsť záznam ako:
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] prijaté, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method= vytvoriť, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data .userId=1[~]b

Monitorujte zdravie Hybrid Data Security Health

Indikátor stavu v Partner Hub vám ukáže, či je s nasadením Multi-Tenant Hybrid Data Security všetko v poriadku. Ak chcete dostávať proaktívnejšie upozornenia, prihláste sa na odber e-mailových upozornení. Budete upozornení, keď sa vyskytnú alarmy alebo aktualizácie softvéru ovplyvňujúce službu.
1

V Centre pre partnerov vyberte z ponuky na ľavej strane obrazovky položku Služby .

2

V časti Cloudové služby vyhľadajte Hybrid Data Security a kliknite na položku Upraviť nastavenia.

Zobrazí sa stránka Hybrid Data Security Settings.
3

V časti E-mailové upozornenia zadajte jednu alebo viac e-mailových adries oddelených čiarkami a stlačte kláves Enter.

Spravujte svoje nasadenie HDS

Spravujte nasadenie HDS

Pomocou tu popísaných úloh spravujte svoje nasadenie Hybrid Data Security.

Nastavte plán aktualizácie klastra

Aktualizácie softvéru pre Hybrid Data Security sa vykonávajú automaticky na úrovni klastra, čo zaisťuje, že všetky uzly vždy bežia s rovnakou verziou softvéru. Inovácie sa vykonávajú podľa plánu aktualizácie pre klaster. Keď bude k dispozícii aktualizácia softvéru, máte možnosť manuálne aktualizovať klaster pred plánovaným časom aktualizácie. Môžete nastaviť konkrétny plán inovácie alebo použiť predvolený plán na 3:00 denne v USA: Amerika/Los Angeles. V prípade potreby môžete tiež odložiť nadchádzajúcu inováciu.

Ak chcete nastaviť plán aktualizácie:

1

Prihláste sa do Partnerského centra.

2

V ponuke na ľavej strane obrazovky vyberte položku Služby.

3

V časti Cloudové služby vyhľadajte Hybrid Data Security a kliknite na tlačidlo Nastaviť

4

Na stránke Hybrid Data Security Resources vyberte klaster.

5

Kliknite na kartu Nastavenia klastra .

6

Na stránke Nastavenia klastra v časti Plán aktualizácie vyberte čas a časové pásmo pre plán inovácie.

Poznámka: Pod časovým pásmom sa zobrazí dátum a čas ďalšej dostupnej aktualizácie. V prípade potreby môžete inováciu odložiť na nasledujúci deň kliknutím na položku Odložiť o 24 hodín.

Zmeňte konfiguráciu uzla

Príležitostne možno budete musieť zmeniť konfiguráciu uzla Hybrid Data Security z nasledujúcich dôvodov:
  • Zmena x.509 certifikátov z dôvodu uplynutia platnosti alebo iných dôvodov.

    Nepodporujeme zmenu názvu domény CN certifikátu. Doména sa musí zhodovať s pôvodnou doménou použitou na registráciu klastra.

  • Aktualizácia nastavení databázy pre zmenu na repliku databázy PostgreSQL alebo Microsoft SQL Server.

    Nepodporujeme migráciu údajov z PostgreSQL na Microsoft SQL Server ani opačným spôsobom. Ak chcete zmeniť prostredie databázy, spustite nové nasadenie Hybrid Data Security.

  • Vytvorenie novej konfigurácie na prípravu nového dátového centra.

Z bezpečnostných dôvodov používa Hybrid Data Security heslá servisných účtov, ktoré majú životnosť deväť mesiacov. Keď nástroj HDS Setup vygeneruje tieto heslá, nasadíte ich do každého z vašich uzlov HDS v konfiguračnom súbore ISO. Keď sa blíži koniec platnosti hesiel vašej organizácie, dostanete od tímu Webex upozornenie na resetovanie hesla pre váš počítačový účet. (E-mail obsahuje text „Na aktualizáciu hesla použite rozhranie API strojového účtu.“) Ak platnosť vašich hesiel ešte nevypršala, nástroj vám ponúka dve možnosti:

  • Mäkké obnovenie – staré aj nové heslo fungujú až 10 dní. Toto obdobie použite na postupnú výmenu súboru ISO na uzloch.

  • Tvrdý reset – staré heslá okamžite prestanú fungovať.

Ak platnosť vašich hesiel vyprší bez resetovania, ovplyvní to vašu službu HDS, čo si vyžaduje okamžitý tvrdý reset a nahradenie súboru ISO na všetkých uzloch.

Tento postup použite na vygenerovanie nového konfiguračného súboru ISO a jeho použitie vo vašom klastri.

Skôr ako začnete

  • Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými právami správcu partnera.

    Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri vytváraní kontajnera Docker v 1.e zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:

    Opis

    Variabilné

    HTTP Proxy bez autentifikácie

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentifikácie

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP Proxy s autentifikáciou

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS Proxy s autentifikáciou

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Na vygenerovanie novej konfigurácie potrebujete kópiu aktuálneho konfiguračného súboru ISO. ISO obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. ISO potrebujete, keď robíte zmeny v konfigurácii vrátane poverení databázy, aktualizácií certifikátov alebo zmien v politike autorizácie.

1

Pomocou Docker na lokálnom počítači spustite nástroj HDS Setup Tool.

  1. Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

    V bežných prostrediach:

    docker rmi ciscocitg/hds-setup:stable

    V prostrediach FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

  2. Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:

    docker login -u hdscustomersro
  3. Pri výzve na zadanie hesla zadajte tento hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
  4. Stiahnite si najnovší stabilný obraz pre vaše prostredie:

    V bežných prostrediach:

    docker pull ciscocitg/hds-setup:stable

    V prostrediach FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Uistite sa, že ste na tento postup použili najnovší nástroj Setup. Verzie nástroja vytvorené pred 22. februárom 2018 neobsahujú obrazovky na obnovenie hesla.

  5. Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

    • V bežných prostrediach bez servera proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
    • V bežných prostrediach s HTTP proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • V bežných prostrediach s HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • V prostrediach FedRAMP bez proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
    • V prostrediach FedRAMP s HTTP proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný
    • V prostrediach FedRAMP s HTTPS proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný

    Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“.

  6. Použite prehliadač na pripojenie k localhost, http://127.0.0.1:8080.

    Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 .

  7. Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia zákazníka Centra partnerov a potom pokračujte kliknutím na tlačidlo Prijať .

  8. Importujte aktuálny konfiguračný súbor ISO.

  9. Postupujte podľa pokynov na dokončenie nástroja a stiahnite si aktualizovaný súbor.

    Ak chcete vypnúť inštalačný nástroj, napíšte CTRL+C.

  10. Vytvorte záložnú kópiu aktualizovaného súboru v inom dátovom centre.

2

Ak máte spustený iba jeden uzol HDS, vytvorte nový virtuálny počítač s uzlom Hybrid Data Security a zaregistrujte ho pomocou nového konfiguračného súboru ISO. Podrobnejšie pokyny nájdete v časti Vytvorenie a registrácia ďalších uzlov.

  1. Nainštalujte hostiteľský OVA HDS.

  2. Nastavte HDS VM.

  3. Pripojte aktualizovaný konfiguračný súbor.

  4. Zaregistrujte nový uzol v partnerskom centre.

3

Pre existujúce uzly HDS, na ktorých je spustený starší konfiguračný súbor, pripojte súbor ISO. Postupne vykonajte nasledujúci postup na každom uzle a pred vypnutím ďalšieho uzla aktualizujte každý uzol:

  1. Vypnite virtuálny stroj.

  2. V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Upraviť nastavenia.

  3. Kliknite na položku Jednotka CD/DVD 1, vyberte možnosť pripojenia zo súboru ISO a prejdite do umiestnenia, do ktorého ste prevzali nový konfiguračný súbor ISO.

  4. Začiarknite políčko Pripojiť pri zapnutí.

  5. Uložte zmeny a zapnite virtuálny počítač.

4

Opakujte krok 3, aby ste nahradili konfiguráciu na každom zostávajúcom uzle, na ktorom je spustená stará konfigurácia.

Vypnite režim zablokovaného externého rozlíšenia DNS

Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. Ak server DNS uzla nedokáže rozlíšiť verejné názvy DNS, uzol automaticky prejde do režimu zablokovaného externého rozlíšenia DNS.

Ak vaše uzly dokážu rozlíšiť verejné názvy DNS prostredníctvom interných serverov DNS, môžete tento režim vypnúť opätovným spustením testu pripojenia proxy na každom uzle.

Skôr ako začnete

Uistite sa, že vaše interné servery DNS dokážu rozlíšiť verejné názvy DNS a že vaše uzly s nimi môžu komunikovať.
1

Vo webovom prehliadači otvorte rozhranie uzla Hybrid Data Security (adresa IP/ nastavenie, napríklad https://192.0.2.0/setup), zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite na tlačidlo Prihlásiť sa).

2

Prejdite na Prehľad (predvolená stránka).

Keď je táto možnosť povolená, možnosť Blokované externé rozlíšenie DNS je nastavená na možnosť Áno.

3

Prejdite na stránku Trust Store & Proxy .

4

Kliknite na položku Skontrolovať pripojenie proxy.

Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS a zostane v tomto režime. V opačnom prípade po reštartovaní uzla a návrate na stránku Prehľad by mala byť možnosť Blokované externé rozlíšenie DNS nastavené na možnosť Nie.

Čo robiť ďalej

Zopakujte test pripojenia proxy na každom uzle v klastri Hybrid Data Security.

Odstráňte uzol

Tento postup použite na odstránenie uzla Hybrid Data Security z cloudu Webex. Po odstránení uzla z klastra odstráňte virtuálny počítač, aby ste zabránili ďalšiemu prístupu k vašim bezpečnostným údajom.
1

Pomocou klienta VMware vSphere vo svojom počítači sa prihláste do virtuálneho hostiteľa ESXi a vypnite virtuálny počítač.

2

Odstráňte uzol:

  1. Prihláste sa do centra pre partnerov a potom vyberte položku Služby.

  2. Na karte Hybrid Data Security kliknite na položku Zobraziť všetko , čím zobrazíte stránku Hybrid Data Security Resources.

  3. Vyberte svoj klaster, aby sa zobrazil jeho panel Prehľad.

  4. Kliknite na uzol, ktorý chcete odstrániť.

  5. Kliknite na položku Zrušiť registráciu tohto uzla na paneli, ktorý sa zobrazí vpravo

  6. Registráciu uzla môžete zrušiť aj kliknutím na … na pravej strane uzla a výberom možnosti Odstrániť tento uzol.

3

V klientovi vSphere odstráňte VM. (Na ľavom navigačnom paneli kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Odstrániť.)

Ak nevymažete VM, nezabudnite odpojiť konfiguračný súbor ISO. Bez súboru ISO nemôžete použiť VM na prístup k bezpečnostným údajom.

Obnova po havárii pomocou pohotovostného dátového centra

Najdôležitejšou službou, ktorú váš klaster Hybrid Data Security poskytuje, je vytváranie a ukladanie kľúčov používaných na šifrovanie správ a iného obsahu uloženého v cloude Webex. Pre každého používateľa v rámci organizácie, ktorý je priradený k Hybrid Data Security, sú do klastra smerované nové požiadavky na vytvorenie kľúča. Klaster je tiež zodpovedný za vrátenie kľúčov, ktoré vytvoril, všetkým používateľom oprávneným na ich získanie, napríklad členom konverzačného priestoru.

Pretože klaster vykonáva kritickú funkciu poskytovania týchto kľúčov, je nevyhnutné, aby klaster zostal spustený a aby boli udržiavané správne zálohy. Strata databázy Hybrid Data Security alebo konfigurácie ISO použitej pre schému bude mať za následok NENÁVRATNÚ STRATU zákazníckeho obsahu. Na zabránenie takejto strate sú povinné nasledujúce postupy:

Ak havária spôsobí, že nasadenie HDS v primárnom dátovom centre sa stane nedostupným, podľa tohto postupu manuálne prepnite na pohotovostné dátové centrum.

Skôr ako začnete

Zrušte registráciu všetkých uzlov z centra partnerov, ako je uvedené v časti Odstránenie uzla. Na vykonanie procedúry prepnutia pri zlyhaní uvedenej nižšie použite najnovší súbor ISO, ktorý bol nakonfigurovaný voči uzlom klastra, ktorý bol predtým aktívny.
1

Spustite nástroj na nastavenie HDS a postupujte podľa krokov uvedených v časti Vytvorenie konfiguračného ISO pre hostiteľov HDS.

2

Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť.

3

Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii.

4

V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Upraviť nastavenia.

5

Kliknite na položku Upraviť nastavenia >Jednotka CD/DVD 1 a vyberte položku Datastore ISO File.

Uistite sa, že sú začiarknuté položky Pripojené a Pripojiť pri zapnutí , aby sa aktualizované zmeny konfigurácie prejavili po spustení uzlov.

6

Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy.

7

Zaregistrujte uzol v partnerskom centre. Pozrite si časť Registrácia prvého uzla v klastri.

8

Opakujte proces pre každý uzol v pohotovostnom dátovom centre.

Čo robiť ďalej

Ak sa po prepnutí pri zlyhaní opäť aktivuje primárne dátové centrum, zrušte registráciu uzlov pohotovostného dátového centra a zopakujte proces konfigurácie ISO a registrácie uzlov primárneho dátového centra, ako je uvedené vyššie.

(Voliteľné) Odpojte ISO po konfigurácii HDS

Štandardná konfigurácia HDS beží s namontovaným ISO. Niektorí zákazníci však uprednostňujú neponechať súbory ISO nepretržite pripojené. Súbor ISO môžete odpojiť potom, čo všetky uzly HDS prevezmú novú konfiguráciu.

Na vykonanie zmien v konfigurácii stále používate súbory ISO. Keď vytvoríte nový ISO alebo aktualizujete ISO pomocou nástroja Setup Tool, musíte aktualizovaný ISO pripojiť na všetky vaše uzly HDS. Keď všetky vaše uzly zachytia zmeny konfigurácie, môžete ISO znova odpojiť pomocou tohto postupu.

Skôr ako začnete

Inovujte všetky svoje uzly HDS na verziu 2021.01.22.4720 alebo novšiu.

1

Vypnite jeden z uzlov HDS.

2

V serverovom zariadení vCenter vyberte uzol HDS.

3

Vyberte položku Upraviť nastavenia > Jednotka CD/DVD a zrušte začiarknutie políčka Súbor ISO úložiska údajov.

4

Zapnite uzol HDS a uistite sa, že aspoň 20 minút nie sú žiadne alarmy.

5

Postup opakujte pre každý uzol HDS.

Riešenie problémov so zabezpečením hybridných údajov

Zobraziť upozornenia a riešenie problémov

Nasadenie Hybrid Data Security sa považuje za nedostupné, ak sú všetky uzly v klastri nedostupné alebo klaster pracuje tak pomaly, že si vyžaduje časový limit. Ak používatelia nemôžu dosiahnuť váš klaster Hybrid Data Security, zaznamenajú nasledujúce príznaky:

  • Nie je možné vytvoriť nové medzery (nemožno vytvoriť nové kľúče)

  • Správy a názvy priestorov sa nedajú dešifrovať pre:

    • Noví používatelia pridaní do priestoru (nemožno načítať kľúče)

    • Existujúci používatelia v priestore používajúci nového klienta (nemožno načítať kľúče)

  • Existujúci používatelia v priestore budú naďalej úspešne fungovať, pokiaľ ich klienti majú vyrovnávaciu pamäť šifrovacích kľúčov

Je dôležité, aby ste správne monitorovali svoj klaster Hybrid Data Security a okamžite riešili všetky výstrahy, aby ste predišli prerušeniu služby.

Upozornenia

Ak sa vyskytne problém s nastavením Hybrid Data Security, partnerské centrum zobrazí upozornenia správcovi organizácie a odošle e-maily na nakonfigurovanú e-mailovú adresu. Výstrahy pokrývajú mnoho bežných scenárov.

Tabuľka č. 1 Bežné problémy a kroky na ich vyriešenie

Upozornenie

Akcia

Zlyhanie prístupu k lokálnej databáze.

Skontrolujte chyby databázy alebo problémy s lokálnou sieťou.

Zlyhanie pripojenia k lokálnej databáze.

Skontrolujte, či je databázový server dostupný a či boli v konfigurácii uzla použité správne poverenia servisného účtu.

Zlyhanie prístupu k cloudovej službe.

Skontrolujte, či majú uzly prístup k serverom Webex, ako je uvedené v časti Požiadavky na externé pripojenie.

Obnovuje sa registrácia cloudovej služby.

Registrácia do cloudových služieb bola zrušená. Prebieha obnova registrácie.

Registrácia cloudovej služby bola zrušená.

Registrácia do cloudových služieb bola ukončená. Služba sa vypína.

Služba ešte nie je aktivovaná.

Aktivujte HDS v Partner Hub.

Nakonfigurovaná doména sa nezhoduje s certifikátom servera.

Uistite sa, že váš certifikát servera sa zhoduje s nakonfigurovanou doménou aktivácie služby.

Najpravdepodobnejšou príčinou je, že certifikát CN bol nedávno zmenený a teraz sa líši od CN, ktorý bol použitý počas počiatočného nastavenia.

Nepodarilo sa overiť v cloudových službách.

Skontrolujte presnosť a možné vypršanie platnosti poverení servisného účtu.

Nepodarilo sa otvoriť súbor lokálneho úložiska kľúčov.

Skontrolujte integritu a presnosť hesla v lokálnom súbore skladu kľúčov.

Certifikát lokálneho servera je neplatný.

Skontrolujte dátum vypršania platnosti certifikátu servera a potvrďte, že bol vydaný dôveryhodnou certifikačnou autoritou.

Nie je možné uverejniť metriky.

Skontrolujte prístup k lokálnej sieti k externým cloudovým službám.

Adresár /media/configdrive/hds neexistuje.

Skontrolujte konfiguráciu pripojenia ISO na virtuálnom hostiteľovi. Overte, či súbor ISO existuje, či je nakonfigurovaný na pripojenie pri reštarte a či sa úspešne pripojí.

Nastavenie nájomnej organizácie pre pridané organizácie nie je dokončené

Dokončite nastavenie vytvorením CMK pre novo pridané organizácie nájomníkov pomocou nástroja HDS Setup Tool.

Nastavenie nájomnej organizácie pre odstránené organizácie nie je dokončené

Dokončite nastavenie zrušením CMK organizácií nájomníkov, ktoré boli odstránené pomocou nástroja HDS Setup Tool.

Riešenie problémov so zabezpečením hybridných údajov

Pri riešení problémov s Hybrid Data Security použite nasledujúce všeobecné pokyny.
1

Skontrolujte partnerské centrum pre všetky upozornenia a opravte všetky položky, ktoré tam nájdete. Pozrite si obrázok nižšie ako referenciu.

2

Skontrolujte výstup servera syslog pre aktivitu z nasadenia Hybrid Data Security. Filtrujte slová ako „Upozornenie“ a „Chyba“, ktoré vám pomôžu pri riešení problémov.

3

Kontaktujte podporu Cisco.

Ďalšie poznámky

Známe problémy s hybridnou bezpečnosťou dát

  • Ak vypnete svoj klaster Hybrid Data Security (odstránením v Partner Hub alebo vypnutím všetkých uzlov), stratíte svoj konfiguračný súbor ISO alebo stratíte prístup k databáze úložiska kľúčov, používatelia aplikácií Webex zo zákazníckych organizácií už nebudú môcť používať priestory pod ich zoznam ľudí, ktorý bol vytvorený pomocou kľúčov z vášho KMS. V súčasnosti nemáme riešenie ani opravu tohto problému a žiadame vás, aby ste nevypínali svoje služby HDS, keď budú spracovávať aktívne používateľské účty.

  • Klient, ktorý má existujúce pripojenie ECDH ku KMS, udržiava toto pripojenie určitý čas (pravdepodobne jednu hodinu).

Na vygenerovanie súboru PKCS12 použite OpenSSL

Skôr ako začnete

  • OpenSSL je jeden nástroj, ktorý možno použiť na vytvorenie súboru PKCS12 v správnom formáte na načítanie v nástroji HDS Setup Tool. Existujú aj iné spôsoby, ako to urobiť, a my nepodporujeme ani nepresadzujeme jeden spôsob oproti druhému.

  • Ak sa rozhodnete použiť OpenSSL, poskytujeme tento postup ako návod, ktorý vám pomôže vytvoriť súbor, ktorý spĺňa požiadavky na certifikát X.509 v časti Požiadavky na certifikát X.509. Než budete pokračovať, pochopte tieto požiadavky.

  • Nainštalujte OpenSSL v podporovanom prostredí. Softvér a dokumentáciu nájdete v časti https://www.openssl.org .

  • Vytvorte si súkromný kľúč.

  • Tento postup začnite, keď dostanete certifikát servera od certifikačnej autority (CA).

1

Keď od svojej CA dostanete certifikát servera, uložte ho ako hdsnode.pem.

2

Zobrazte certifikát ako text a overte podrobnosti.

openssl x509 -text -noout -in hdsnode.pem

3

Pomocou textového editora vytvorte súbor balíka certifikátov s názvom hdsnode-bundle.pem. Súbor balíka musí obsahovať certifikát servera, akékoľvek sprostredkujúce certifikáty CA a certifikáty koreňovej CA vo formáte nižšie:

-----ZAČIATOK CERTIFIKÁT----- ### Certifikát servera. ### -----KONIEC CERTIFIKÁTU----- -----ZAČIATOK CERTIFIKÁTU----- ### Certifikát strednej CA. ### -----KONIEC CERTIFIKÁTU----- -----ZAČIATOK CERTIFIKÁTU----- ### Certifikát koreňovej CA. ### -----KONIEC CERTIFIKÁTU-----

4

Vytvorte súbor .p12 s priateľským názvom kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Skontrolujte podrobnosti certifikátu servera.

  1. openssl pkcs12 -in hdsnode.p12

  2. Vo výzve zadajte heslo na zašifrovanie súkromného kľúča, aby bol uvedený vo výstupe. Potom skontrolujte, či súkromný kľúč a prvý certifikát obsahujú riadky friendlyName: kms-private-key.

    Príklad:

    bash$ openssl pkcs12 -in hdsnode.p12 Zadajte heslo importu: Atribúty tašky OK s overením MAC friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Kľúčové atribúty:  Zadajte heslo PEM: Overenie – zadajte heslo PEM: -----ZAČIATOK ŠIFROVANÝ SÚKROMNÝ KĽÚČ-----  -----KONIEC ŠIFROVANÝ SÚKROMNÝ KĽÚČ----- Atribúty tašky friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -- Encrypt Authority ---ZAČIATOK CERTIFIKÁT-----  -----KONCOVÝ CERTIFIKÁT----- Vlastnosti tašky friendlyName: CN=Poďme šifrovať autoritu X3,O=Poďme zašifrovať,C=US predmet=/C=US/O=Poďme zašifrovať/CN=Poďme zašifrovať autoritu X3 vydavateľ=/O=Digitálny podpis Trust Co./CN=DST Root CA X3 -----ZAČIATOK CERTIFIKÁT-----  -----KONIEC CERTIFIKÁTU-----

Čo robiť ďalej

Vráťte sa na stránku Dokončenie predpokladov pre hybridné zabezpečenie údajov. V časti Vytvorenie konfiguračného ISO pre hostiteľov HDS použijete súbor hdsnode.p12 a heslo, ktoré ste preň nastavili.

Tieto súbory môžete znova použiť na vyžiadanie nového certifikátu, keď platnosť pôvodného certifikátu vyprší.

Prevádzka medzi uzlami HDS a cloudom

Odchádzajúca návštevnosť zberu metrík

Uzly Hybrid Data Security odosielajú určité metriky do cloudu Webex. Patria sem systémové metriky pre maximálnu haldu, využitú haldu, zaťaženie procesora a počet vlákien; metriky na synchrónnych a asynchrónnych vláknach; metriky výstrah zahŕňajúce prah šifrovacích pripojení, latenciu alebo dĺžku frontu požiadaviek; metriky na dátovom úložisku; a metriky šifrovaného pripojenia. Uzly posielajú zašifrovaný kľúčový materiál cez kanál mimo pásma (oddelený od požiadavky).

Prichádzajúca premávka

Uzly Hybrid Data Security prijímajú nasledujúce typy prichádzajúcej prevádzky z cloudu Webex:

  • Šifrovacie požiadavky od klientov, ktoré sú smerované šifrovacou službou

  • Aktualizácie softvéru uzla

Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát

Websocket sa nemôže pripojiť cez Squid Proxy

Servery proxy typu Squid, ktoré kontrolujú prenos HTTPS, môžu narúšať vytváranie pripojení websocket (wss:), ktoré vyžaduje Hybrid Data Security. Tieto časti poskytujú návod, ako nakonfigurovať rôzne verzie Squid tak, aby ignorovali wss: prevádzky pre správne fungovanie služieb.

Kalmáre 4 a 5

Pridajte on_unsupported_protocol smernicu na stránku squid.conf:

on_unsupported_protocol tunel všetko

Kalmáre 3.5.27

Úspešne sme testovali Hybrid Data Security pomocou nasledujúcich pravidiel pridaných na stránku squid.conf. Tieto pravidlá sa môžu meniť, pretože vyvíjame funkcie a aktualizujeme cloud Webex.

acl wssMercuryConnection ssl::server_name_regex ortuťové pripojenie ssl_bump splice wssMercuryConnection acl krok1 at_step SslBump1 acl krok2 at_step SslBump2 acl krok3 at_step SslBump3 ssl_bump pohľad krok1 všetko ssl_bump pozerať krok2 všetko ssl_bump vyskočiť krok3 všetko

Nové a zmenené informácie

Nové a zmenené informácie

Táto tabuľka obsahuje nové funkcie alebo funkcie, zmeny existujúceho obsahu a všetky hlavné chyby, ktoré boli opravené v Príručke nasadenia pre multi-tenantovú hybridnú bezpečnosť údajov.

Dátum

Vykonané zmeny

8. januára 2025

Do časti Vykonať úvodné nastavenie a prevziať inštalačné súbory bola pridaná poznámka, že kliknutie na položku Nastaviť na karte HDS v partnerskom centre je dôležitým krokom procesu inštalácie.

7. januára 2025

Aktualizované Požiadavky na virtuálneho hostiteľa, Tok úloh nasadenia hybridného zabezpečenia údajov a Inštalácia hostiteľského OVA HDS , aby zobrazovali novú požiadavku ESXi 7.0.

13. decembra 2024

Prvýkrát zverejnené.

Deaktivujte hybridné zabezpečenie dát pre viacerých nájomníkov

Tok úloh deaktivácie HDS pre viacerých nájomníkov

Ak chcete úplne deaktivovať Multi-Tenant HDS, postupujte podľa týchto krokov.

Skôr ako začnete

Túto úlohu by mal vykonávať iba úplný správca partnera.
1

Odstráňte všetkých zákazníkov zo všetkých svojich klastrov, ako je uvedené v časti Odstránenie organizácií nájomníkov.

2

Zrušte CMK všetkých zákazníkov, ako je uvedené v časti Zrušenie CMK nájomníkov odstránených z HDS.

3

Odstráňte všetky uzly zo všetkých klastrov, ako je uvedené v časti Odstránenie uzla.

4

Odstráňte všetky svoje klastre z Partner Hub pomocou jednej z nasledujúcich dvoch metód.

  • Kliknite na klaster, ktorý chcete odstrániť, a vyberte možnosť Odstrániť tento klaster v pravom hornom rohu stránky súhrnu.
  • Na stránke Zdroje kliknite na … na pravej strane klastra a vyberte možnosť Odstrániť klaster.
5

Kliknite na kartu Nastavenia na stránke prehľadu Hybrid Data Security a kliknite na položku Deaktivovať HDS na karte Stav HDS.

Začnite s Hybridným zabezpečením dát pre viacerých nájomníkov

Prehľad zabezpečenia hybridných dát pre viacerých nájomníkov

Od prvého dňa bola bezpečnosť údajov hlavným zameraním pri navrhovaní aplikácie Webex. Základným kameňom tohto zabezpečenia je komplexné šifrovanie obsahu, ktoré umožňujú klienti Webex App interagujúci so službou správy kľúčov (KMS). KMS je zodpovedný za vytváranie a správu kryptografických kľúčov, ktoré klienti používajú na dynamické šifrovanie a dešifrovanie správ a súborov.

V predvolenom nastavení dostávajú všetci zákazníci Webex App end-to-end šifrovanie s dynamickými kľúčmi uloženými v cloudovom KMS v oblasti bezpečnosti Cisco. Hybrid Data Security presúva KMS a ďalšie funkcie súvisiace so zabezpečením do vášho podnikového dátového centra, takže kľúče k vášmu šifrovanému obsahu nemá nikto okrem vás.

Multi-Tenant Hybrid Data Security umožňuje organizáciám využívať HDS prostredníctvom dôveryhodného miestneho partnera, ktorý môže pôsobiť ako poskytovateľ služieb a spravovať lokálne šifrovanie a ďalšie bezpečnostné služby. Toto nastavenie umožňuje partnerskej organizácii mať úplnú kontrolu nad nasadením a správou šifrovacích kľúčov a zaisťuje, že používateľské údaje zákazníckych organizácií sú v bezpečí pred externým prístupom. Partnerské organizácie podľa potreby nastavujú inštancie HDS a vytvárajú klastre HDS. Každá inštancia môže podporovať viacero zákazníckych organizácií na rozdiel od bežného nasadenia HDS, ktoré je obmedzené na jednu organizáciu.

Zatiaľ čo partnerské organizácie majú kontrolu nad nasadením a správou, nemajú prístup k údajom a obsahu generovanému zákazníkmi. Tento prístup je obmedzený na zákaznícke organizácie a ich používateľov.

To tiež umožňuje menším organizáciám využívať HDS, pretože službu správy kľúčov a bezpečnostnú infraštruktúru, ako sú dátové centrá, vlastní dôveryhodný miestny partner.

Ako Multi-Tenant Hybrid Data Security poskytuje dátovú suverenitu a kontrolu dát

  • Obsah generovaný používateľmi je chránený pred externým prístupom, ako sú poskytovatelia cloudových služieb.
  • Miestni dôveryhodní partneri spravujú šifrovacie kľúče zákazníkov, s ktorými už majú vybudovaný vzťah.
  • Možnosť miestnej technickej podpory, ak ju poskytuje partner.
  • Podporuje obsah stretnutí, správ a hovorov.

Tento dokument je zameraný na pomoc partnerským organizáciám pri nastavovaní a správe zákazníkov v rámci systému Multi-Tenant Hybrid Data Security.

Úlohy v hybridnej bezpečnosti dát pre viacerých nájomníkov

  • Úplný správca partnera – môže spravovať nastavenia pre všetkých zákazníkov, ktorých partner spravuje. Môže tiež priradiť roly správcu existujúcim používateľom v organizácii a priradiť konkrétnych zákazníkov, ktorých majú spravovať správcovia partnerov.
  • Správca partnera – môže spravovať nastavenia pre zákazníkov, ktorých správca poskytol alebo ktorí boli priradení používateľovi.
  • Úplný správca – správca partnerskej organizácie, ktorý je oprávnený vykonávať úlohy, ako je úprava nastavení organizácie, správa licencií a prideľovanie rolí.
  • Nastavenie HDS pre viacerých nájomníkov a správa všetkých zákazníckych organizácií od konca do konca – Vyžaduje sa úplný správca partnera a úplné práva správcu.
  • Správa priradených organizácií nájomcov – vyžaduje sa správca partnera a úplné práva správcu.

Architektúra bezpečnostnej sféry

Cloudová architektúra Webex oddeľuje rôzne typy služieb do samostatných oblastí alebo dôveryhodných domén, ako je znázornené nižšie.

Realms of Separation (bez Hybrid Data Security)

Aby sme lepšie porozumeli Hybrid Data Security, pozrime sa najprv na tento čistý cloud, kde Cisco poskytuje všetky funkcie vo svojich cloudových sférach. Služba identity, jediné miesto, kde môžu používatelia priamo korelovať so svojimi osobnými údajmi, ako je e-mailová adresa, je logicky a fyzicky oddelená od oblasti zabezpečenia v dátovom centre B. Obe sú zase oddelené od oblasti, kde je v konečnom dôsledku uložený šifrovaný obsah. , v dátovom centre C.

V tomto diagrame je klientom aplikácia Webex, ktorá beží na notebooku používateľa a je overená službou identity. Keď používateľ vytvorí správu na odoslanie do priestoru, vykonajú sa tieto kroky:

  1. Klient vytvorí zabezpečené spojenie so službou správy kľúčov (KMS), potom požiada o kľúč na zašifrovanie správy. Zabezpečené pripojenie používa ECDH a KMS šifruje kľúč pomocou hlavného kľúča AES-256.

  2. Správa je pred opustením klienta zašifrovaná. Klient ho odošle do indexovacej služby, ktorá vytvorí šifrované indexy vyhľadávania na pomoc pri budúcom vyhľadávaní obsahu.

  3. Zašifrovaná správa sa odošle do služby súladu na kontrolu súladu.

  4. Zašifrovaná správa je uložená v úložnej sfére.

Keď nasadíte Hybrid Data Security, presuniete funkcie bezpečnostnej sféry (KMS, indexovanie a súlad) do vášho lokálneho dátového centra. Ostatné cloudové služby, ktoré tvoria Webex (vrátane ukladania identity a obsahu), zostávajú v sférach spoločnosti Cisco.

Spolupráca s inými organizáciami

Používatelia vo vašej organizácii môžu pravidelne používať aplikáciu Webex na spoluprácu s externými účastníkmi v iných organizáciách. Keď jeden z vašich používateľov požaduje kľúč pre priestor, ktorý vlastní vaša organizácia (pretože ho vytvoril jeden z vašich používateľov), váš KMS odošle kľúč klientovi cez zabezpečený kanál ECDH. Keď však kľúč priestoru vlastní iná organizácia, váš KMS nasmeruje požiadavku do cloudu Webex cez samostatný kanál ECDH, aby získal kľúč z príslušného KMS, a potom vráti kľúč vášmu používateľovi na pôvodnom kanáli.

Služba KMS spustená v organizácii A overuje pripojenia ku KMS v iných organizáciách pomocou x.509 PKI certifikátov. Podrobnosti o generovaní certifikátu x.509 na použitie s nasadením Hybrid Data Security pre viacerých nájomníkov nájdete v časti Príprava prostredia .

Očakávania týkajúce sa nasadenia hybridnej bezpečnosti údajov

Nasadenie Hybrid Data Security si vyžaduje značné odhodlanie a uvedomenie si rizík, ktoré prináša vlastníctvo šifrovacích kľúčov.

Ak chcete nasadiť Hybrid Data Security, musíte poskytnúť:

Úplná strata buď konfiguračného ISO, ktoré ste vytvorili pre Hybrid Data Security, alebo databázy, ktorú poskytnete, bude mať za následok stratu kľúčov. Strata kľúča bráni používateľom dešifrovať obsah priestoru a ďalšie šifrované údaje v aplikácii Webex. Ak sa tak stane, môžete vytvoriť nové nasadenie, ale bude viditeľný iba nový obsah. Aby ste predišli strate prístupu k údajom, musíte:

  • Spravujte zálohovanie a obnovu databázy a konfiguračného ISO.

  • Buďte pripravení vykonať rýchlu obnovu po havárii, ak dôjde ku katastrofe, ako je zlyhanie databázového disku alebo katastrofa dátového centra.

Neexistuje žiadny mechanizmus na presun kľúčov späť do cloudu po nasadení HDS.

Proces nastavenia na vysokej úrovni

Tento dokument pokrýva nastavenie a správu nasadenia Hybrid Data Security pre viacerých nájomníkov:

  • Nastavenie Hybrid Data Security – zahŕňa prípravu požadovanej infraštruktúry a inštaláciu softvéru Hybrid Data Security, vybudovanie klastra HDS, pridanie organizácií nájomníkov do klastra a správu ich hlavných kľúčov zákazníkov (CMK). To umožní všetkým používateľom vašich zákazníckych organizácií používať váš klaster Hybrid Data Security na bezpečnostné funkcie.

    Fázy nastavenia, aktivácie a správy sú podrobne opísané v nasledujúcich troch kapitolách.

  • Udržujte svoje nasadenie Hybrid Data Security – cloud Webex automaticky poskytuje priebežné inovácie. Vaše IT oddelenie môže poskytnúť podporu prvej úrovne pre toto nasadenie a podľa potreby zapojiť podporu Cisco. V partnerskom centre môžete používať upozornenia na obrazovke a nastaviť upozornenia prostredníctvom e-mailu.

  • Pochopte bežné upozornenia, kroky na riešenie problémov a známe problémy – Ak narazíte na problémy s nasadením alebo používaním Hybrid Data Security, posledná kapitola tejto príručky a príloha Známe problémy vám môžu pomôcť určiť a vyriešiť problém.

Hybridný model nasadenia zabezpečenia dát

V rámci podnikového dátového centra nasadíte Hybrid Data Security ako jeden klaster uzlov na samostatných virtuálnych hostiteľoch. Uzly komunikujú s cloudom Webex cez zabezpečené websockety a zabezpečené HTTP.

Počas procesu inštalácie vám poskytneme súbor OVA na nastavenie virtuálneho zariadenia na VM, ktoré poskytnete. Nástroj HDS Setup Tool použijete na vytvorenie vlastného konfiguračného súboru ISO klastra, ktorý pripojíte na každý uzol. Klaster Hybrid Data Security využíva váš poskytnutý server Syslogd a databázu PostgreSQL alebo Microsoft SQL Server. (Syslogd a podrobnosti o pripojení k databáze nakonfigurujete v nástroji HDS Setup Tool.)

Hybridný model nasadenia zabezpečenia dát

Minimálny počet uzlov, ktoré môžete mať v klastri, sú dva. Odporúčame aspoň tri na klaster. Viacnásobné uzly zaisťujú, že služba nebude prerušená počas aktualizácie softvéru alebo inej činnosti údržby na uzle. (Cloud Webex aktualizuje naraz iba jeden uzol.)

Všetky uzly v klastri pristupujú k rovnakému úložisku údajov kľúčov a zaznamenávajú aktivitu na rovnaký server syslog. Samotné uzly sú bez stavu a spracovávajú kľúčové požiadavky v režime round-robin podľa pokynov cloudu.

Uzly sa stanú aktívnymi, keď ich zaregistrujete v Partner Hub. Ak chcete vyradiť jednotlivý uzol z prevádzky, môžete ho zrušiť a neskôr v prípade potreby znova zaregistrovať.

Pohotovostné dátové centrum pre obnovu po havárii

Počas nasadenia nastavíte zabezpečené pohotovostné dátové centrum. V prípade havárie dátového centra môžete manuálne zlyhať nasadenie do pohotovostného dátového centra.

Pred zlyhaním má Dátové centrum A aktívne uzly HDS a primárnu databázu PostgreSQL alebo Microsoft SQL Server, zatiaľ čo B má kópiu súboru ISO s ďalšími konfiguráciami, virtuálne počítače, ktoré sú registrované v organizácii, a záložnú databázu. Po zlyhaní má Dátové centrum B aktívne uzly HDS a primárnu databázu, zatiaľ čo A má neregistrované VM a kópiu súboru ISO a databáza je v pohotovostnom režime.
Manuálne prepnutie do pohotovostného dátového centra

Databázy aktívnych a pohotovostných dátových centier sú navzájom synchronizované, čo minimalizuje čas potrebný na vykonanie núdzového prepnutia.

Aktívne uzly Hybrid Data Security musia byť vždy v rovnakom údajovom centre ako aktívny databázový server.

Podpora proxy

Hybrid Data Security podporuje explicitné, transparentné kontrolné a nekontrolujúce proxy. Tieto servery proxy môžete prepojiť s nasadením, aby ste mohli zabezpečiť a monitorovať prevádzku z podniku do cloudu. Rozhranie správcu platformy na uzloch môžete použiť na správu certifikátov a na kontrolu celkového stavu pripojenia po nastavení servera proxy na uzloch.

Uzly Hybrid Data Security podporujú nasledujúce možnosti proxy:

  • Bez servera proxy – predvolená hodnota, ak na integráciu servera proxy nepoužívate konfiguráciu dôveryhodného obchodu a servera proxy na nastavenie uzla HDS. Nevyžaduje sa žiadna aktualizácia certifikátu.

  • Transparentný nekontrolujúci proxy server – uzly nie sú nakonfigurované na používanie konkrétnej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.

  • Transparentné tunelovanie alebo kontrola servera proxy – uzly nie sú nakonfigurované na používanie konkrétnej adresy servera proxy. Na uzloch nie sú potrebné žiadne zmeny konfigurácie HTTP alebo HTTPS. Uzly však potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).

  • Explicitný server proxy – pomocou explicitného servera proxy poviete uzlom HDS, ktorý server proxy a schému overenia majú použiť. Ak chcete nakonfigurovať explicitný server proxy, musíte do každého uzla zadať nasledujúce informácie:

    1. Proxy IP/FQDN – adresa, ktorú možno použiť na spojenie so zariadením proxy.

    2. Port proxy – číslo portu, ktoré server proxy používa na počúvanie prenosu cez server proxy.

    3. Protokol proxy – v závislosti od toho, čo váš server proxy podporuje, si vyberte z nasledujúcich protokolov:

      • HTTP – zobrazuje a riadi všetky požiadavky, ktoré klient odosiela.

      • HTTPS – poskytuje kanál pre server. Klient prijme a overí certifikát servera.

    4. Typ overenia totožnosti – vyberte si z nasledujúcich typov overenia totožnosti:

      • Žiadne – nevyžaduje sa žiadne ďalšie overenie.

        Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.

      • Základné – používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.

        Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.

        Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.

      • Súhrn – používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.

        Dostupné, iba ak vyberiete HTTPS ako protokol proxy.

        Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.

Príklad uzlov na zabezpečenie hybridných dát a proxy

Tento diagram ukazuje príklad spojenia medzi Hybrid Data Security, sieťou a proxy. Pre možnosti transparentnej kontroly a explicitnej kontroly HTTPS musí byť na serveri proxy a na uzloch Hybrid Data Security nainštalovaný rovnaký koreňový certifikát.

Blokovaný režim externého rozlíšenia DNS (explicitné konfigurácie proxy)

Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. V nasadeniach s explicitnými konfiguráciami proxy, ktoré neumožňujú externé rozlíšenie DNS pre interných klientov, ak uzol nemôže dotazovať servery DNS, automaticky prejde do režimu blokovaného externého riešenia DNS. V tomto režime môže pokračovať registrácia uzla a ďalšie testy pripojenia proxy.

Príprava prostredia

Požiadavky na hybridnú bezpečnosť dát pre viacerých nájomníkov

Požiadavky na licenciu Cisco Webex

Ak chcete nasadiť hybridné zabezpečenie dát pre viacerých nájomníkov:

  • Partnerské organizácie: Kontaktujte svojho partnera Cisco alebo správcu účtu a uistite sa, že je povolená funkcia viacerých nájomníkov.

  • Nájomné organizácie: Musíte mať balík Pro Pack pre Cisco Webex Control Hub. (Pozrite si https://www.cisco.com/go/pro-pack.)

Požiadavky na plochu Docker

Pred inštaláciou uzlov HDS potrebujete Docker Desktop na spustenie inštalačného programu. Docker nedávno aktualizoval svoj licenčný model. Vaša organizácia môže vyžadovať platené predplatné pre Docker Desktop. Podrobnosti nájdete v blogovom príspevku Docker „ Docker aktualizuje a rozširuje naše predplatné produktov“.

Požiadavky na certifikát X.509

Certifikačný reťazec musí spĺňať nasledujúce požiadavky:

Tabuľka č. 1 Požiadavky certifikátu X.509 pre nasadenie hybridného zabezpečenia dát

Požiadavka

Podrobnosti

  • Podpísané dôveryhodnou certifikačnou autoritou (CA)

V predvolenom nastavení dôverujeme CA v zozname Mozilly (s výnimkou WoSign a StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

  • Nesie názov domény Common Name (CN), ktorý identifikuje vaše nasadenie Hybrid Data Security

  • Nie je to zástupný certifikát

CN nemusí byť dosiahnuteľné alebo živého hostiteľa. Odporúčame vám použiť názov, ktorý zodpovedá vašej organizácii, napríklad hds.company.com.

KN nesmie obsahovať * (zástupný znak).

CN sa používa na overenie uzlov Hybrid Data Security pre klientov Webex App. Všetky uzly Hybrid Data Security vo vašom klastri používajú rovnaký certifikát. Váš KMS sa identifikuje pomocou domény CN, nie akejkoľvek domény, ktorá je definovaná v poliach x.509v3 SAN.

Po zaregistrovaní uzla s týmto certifikátom nepodporujeme zmenu názvu domény CN.

  • Podpis iný ako SHA1

Softvér KMS nepodporuje podpisy SHA1 na overenie pripojení k KMS iných organizácií.

  • Naformátovaný ako súbor PKCS #12 chránený heslom

  • Použite priateľský názov kms-private-key na označenie certifikátu, súkromného kľúča a akýchkoľvek sprostredkujúcich certifikátov na odovzdanie.

Na zmenu formátu certifikátu môžete použiť konvertor, ako je OpenSSL.

Pri spustení nástroja HDS Setup Tool budete musieť zadať heslo.

Softvér KMS nevynucuje používanie kľúčov ani rozšírené obmedzenia používania kľúčov. Niektoré certifikačné autority vyžadujú, aby sa na každý certifikát aplikovali rozšírené obmedzenia používania kľúčov, ako je autentifikácia servera. Je v poriadku použiť overenie servera alebo iné nastavenia.

Požiadavky na virtuálny hostiteľ

Virtuálni hostitelia, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri, majú nasledujúce požiadavky:

  • Aspoň dvaja oddelení hostitelia (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre

  • VMware ESXi 7.0 (alebo novší) nainštalovaný a spustený.

    Ak máte staršiu verziu ESXi, musíte vykonať inováciu.

  • Minimálne 4 vCPU, 8 GB hlavnej pamäte, 30 GB miesta na lokálnom pevnom disku na server

Požiadavky na databázový server

Vytvorte novú databázu pre uloženie kľúčov. Nepoužívajte predvolenú databázu. Aplikácie HDS, keď sú nainštalované, vytvoria schému databázy.

Pre databázový server sú dve možnosti. Požiadavky na každú z nich sú nasledovné:

Tabuľka 2 Požiadavky na databázový server podľa typu databázy

PostgreSQL

Microsoft SQL Server

  • PostgreSQL 14, 15 alebo 16, nainštalovaný a spustený.

  • SQL Server 2016, 2017 alebo 2019 (Enterprise alebo Standard) nainštalovaný.

    SQL Server 2016 vyžaduje Service Pack 2 a Kumulatívna aktualizácia 2 alebo novšia.

Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložisko)

Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložisko)

Softvér HDS momentálne inštaluje nasledujúce verzie ovládačov na komunikáciu s databázovým serverom:

PostgreSQL

Microsoft SQL Server

Postgres JDBC ovládač 42.2.5

Ovládač SQL Server JDBC 4.6

Táto verzia ovládača podporuje server SQL Server Always On (Inštancie klastra prepnutia pri zlyhaní a skupiny dostupnosti Vždy zapnuté).

Dodatočné požiadavky na overenie systému Windows voči Microsoft SQL Server

Ak chcete, aby uzly HDS používali autentifikáciu systému Windows na získanie prístupu k vašej databáze úložiska kľúčov na serveri Microsoft SQL Server, potrebujete vo svojom prostredí nasledujúcu konfiguráciu:

  • HDS uzly, infraštruktúra Active Directory a MS SQL Server musia byť synchronizované s NTP.

  • Účet Windows, ktorý poskytnete uzlom HDS, musí mať prístup k databáze na čítanie/zápis.

  • Servery DNS, ktoré poskytujete uzlom HDS, musia byť schopné vyriešiť vaše Centrum distribúcie kľúčov (KDC).

  • Inštanciu databázy HDS môžete zaregistrovať na svojom serveri Microsoft SQL Server ako hlavný názov služby (SPN) vo vašom adresári Active Directory. Pozrite si časť Registrácia hlavného názvu služby pre pripojenia Kerberos.

    Nástroj na nastavenie HDS, spúšťač HDS a miestne KMS musia na prístup k databáze kľúčov používať overenie systému Windows. Používajú podrobnosti z vašej konfigurácie ISO na vytvorenie SPN pri požadovaní prístupu s overením Kerberos.

Požiadavky na externé pripojenie

Nakonfigurujte svoj firewall tak, aby umožňoval nasledujúce pripojenie pre aplikácie HDS:

Aplikácia

Protokol

Port

Smer z App

Cieľ

Hybridné uzly zabezpečenia údajov

TCP

443

Odchádzajúce HTTPS a WSS

  • Webex servery:

    • *.wbx2.com

    • *.ciscospark.com

  • Všetci hostitelia Common Identity

  • Ďalšie adresy URL, ktoré sú uvedené pre Hybrid Data Security v tabuľke Ďalšie adresy URL pre hybridné služby Webex v časti Požiadavky na sieť pre služby Webex

Nástroj na nastavenie HDS

TCP

443

Odchádzajúce HTTPS

  • *.wbx2.com

  • Všetci hostitelia Common Identity

  • hub.docker.com

Uzly Hybrid Data Security pracujú s prekladom sieťového prístupu (NAT) alebo za bránou firewall, pokiaľ NAT alebo brána firewall umožňuje požadované odchádzajúce pripojenia k destináciám domény v predchádzajúcej tabuľke. Pre pripojenia prichádzajúce do uzlov Hybrid Data Security by nemali byť z internetu viditeľné žiadne porty. V rámci vášho dátového centra potrebujú klienti prístup k uzlom Hybrid Data Security na portoch TCP 443 a 22 na administratívne účely.

Adresy URL hostiteľov Common Identity (CI) sú špecifické pre daný región. Toto sú súčasní hostitelia CI:

región

Spoločné adresy URL hostiteľa identity

Ameriky

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Európskej únie

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur
  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Spojené arabské emiráty
  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Požiadavky na proxy server

  • Oficiálne podporujeme nasledujúce proxy riešenia, ktoré sa dajú integrovať s vašimi uzlami Hybrid Data Security.

  • Pre explicitné servery proxy podporujeme nasledujúce kombinácie typov overenia:

    • Žiadna autentifikácia pomocou HTTP alebo HTTPS

    • Základná autentifikácia pomocou HTTP alebo HTTPS

    • Digest overenie iba s HTTPS

  • Pre transparentný kontrolný proxy server alebo explicitný proxy server HTTPS musíte mať kópiu koreňového certifikátu servera proxy. Pokyny na nasadenie v tejto príručke vám povedia, ako nahrať kópiu do dôveryhodných obchodov uzlov Hybrid Data Security.

  • Sieť, ktorá hostí uzly HDS, musí byť nakonfigurovaná tak, aby vynútila smerovanie odchádzajúcej prevádzky TCP na porte 443 cez server proxy.

  • Proxy, ktoré kontrolujú webovú prevádzku, môžu narúšať pripojenia webových soketov. Ak sa vyskytne tento problém, problém vyrieši obídenie (nie kontrola) návštevnosti stránok wbx2.com a ciscospark.com .

Vyplňte Predpoklady pre hybridnú bezpečnosť údajov

Pomocou tohto kontrolného zoznamu sa uistite, že ste pripravení na inštaláciu a konfiguráciu klastra Hybrid Data Security.
1

Uistite sa, že vaša partnerská organizácia má povolenú funkciu Multi-Tenant HDS a získajte prihlasovacie údaje účtu s úplným správcom partnera a plnými právami správcu. Uistite sa, že vaša organizácia zákazníkov Webex má povolený balík Pro Pack pre Cisco Webex Control Hub. Ak potrebujete pomoc s týmto procesom, kontaktujte svojho partnera Cisco alebo account manažéra.

Zákaznícke organizácie by nemali mať žiadne existujúce nasadenie HDS.

2

Vyberte názov domény pre svoje nasadenie HDS (napríklad hds.company.com) a získajte reťaz certifikátov obsahujúci certifikát X.509, súkromný kľúč a akékoľvek sprostredkujúce certifikáty. Reťazec certifikátov musí spĺňať požiadavky uvedené v časti Požiadavky na certifikát X.509.

3

Pripravte si identických virtuálnych hostiteľov, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri. Potrebujete aspoň dvoch samostatných hostiteľov (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre, ktorí spĺňajú požiadavky v časti Požiadavky na virtuálneho hostiteľa.

4

Pripravte databázový server, ktorý bude fungovať ako úložisko kľúčových údajov pre klaster, v súlade s požiadavkami na databázový server. Databázový server musí byť umiestnený v zabezpečenom údajovom centre spolu s virtuálnymi hostiteľmi.

  1. Vytvorte databázu pre ukladanie kľúčov. (Túto databázu musíte vytvoriť – nepoužívajte predvolenú databázu. Aplikácie HDS po nainštalovaní vytvoria schému databázy.)

  2. Zhromaždite podrobnosti, ktoré budú uzly používať na komunikáciu s databázovým serverom:

    • názov hostiteľa alebo IP adresa (hostiteľ) a port

    • názov databázy (dbname) pre uloženie kľúčov

    • užívateľské meno a heslo užívateľa so všetkými privilégiami v databáze kľúča

5

Pre rýchlu obnovu po havárii nastavte zálohovacie prostredie v inom dátovom centre. Zálohovacie prostredie odzrkadľuje produkčné prostredie VM a záložný databázový server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM.

6

Nastavte hostiteľa syslog na zhromažďovanie protokolov z uzlov v klastri. Získajte jeho sieťovú adresu a port syslog (predvolené je UDP 514).

7

Vytvorte politiku bezpečného zálohovania pre uzly Hybrid Data Security, databázový server a hostiteľa syslog. Aby ste predišli nenapraviteľnej strate údajov, musíte minimálne zálohovať databázu a konfiguračný súbor ISO vygenerovaný pre uzly Hybrid Data Security.

Keďže uzly Hybrid Data Security ukladajú kľúče používané na šifrovanie a dešifrovanie obsahu, zlyhanie prevádzkyschopného nasadenia bude mať za následok NEOBNOVITEĽNÚ STRATU tohto obsahu.

Klienti Webex App ukladajú svoje kľúče do vyrovnávacej pamäte, takže výpadok nemusí byť okamžite viditeľný, ale časom sa prejaví. Zatiaľ čo dočasným výpadkom nie je možné zabrániť, sú obnoviteľné. Úplná strata (nie sú k dispozícii žiadne zálohy) databázy alebo konfiguračného ISO súboru však bude mať za následok neobnoviteľné zákaznícke údaje. Od operátorov uzlov Hybrid Data Security sa očakáva, že budú pravidelne zálohovať databázu a konfiguračný súbor ISO a budú pripravení na prestavbu dátového centra Hybrid Data Security, ak dôjde ku katastrofálnej poruche.

8

Uistite sa, že konfigurácia brány firewall umožňuje pripojenie pre uzly Hybrid Data Security, ako je uvedené v časti Požiadavky na externé pripojenie.

9

Nainštalujte Docker ( https://www.docker.com) na ľubovoľný lokálny počítač s podporovaným operačným systémom (Microsoft Windows 10 Professional alebo Enterprise 64-bitový alebo Mac OSX Yosemite 10.10.3 alebo novší) pomocou webového prehliadača, ktorý k nemu má prístup na adrese http://127.0.0.1:8080.

Inštanciu Docker použijete na stiahnutie a spustenie nástroja HDS Setup Tool, ktorý vytvorí informácie o lokálnej konfigurácii pre všetky uzly Hybrid Data Security. Možno budete potrebovať licenciu Docker Desktop. Ďalšie informácie nájdete v časti Požiadavky na pracovnú plochu Docker .

Ak chcete nainštalovať a spustiť nástroj HDS Setup Tool, miestny počítač musí mať pripojenie uvedené v časti Požiadavky na externé pripojenie.

10

Ak integrujete server proxy so službou Hybrid Data Security, uistite sa, že spĺňa požiadavky na server proxy.

Nastavte klaster Hybrid Data Security

Tok úloh nasadenia zabezpečenia hybridných údajov

Skôr ako začnete

1

Vykonajte počiatočné nastavenie a stiahnite inštalačné súbory

Stiahnite si súbor OVA na váš lokálny počítač pre neskoršie použitie.

2

Vytvorte ISO konfigurácie pre hostiteľov HDS

Pomocou nástroja HDS Setup Tool vytvorte konfiguračný súbor ISO pre uzly Hybrid Data Security.

3

Nainštalujte HDS Host OVA

Vytvorte virtuálny počítač zo súboru OVA a vykonajte počiatočnú konfiguráciu, ako sú nastavenia siete.

Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 7.0. Táto možnosť nemusí byť dostupná v starších verziách.

4

Nastavte virtuálny počítač Hybrid Data Security

Prihláste sa do konzoly VM a nastavte prihlasovacie poverenia. Nakonfigurujte sieťové nastavenia pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.

5

Nahrajte a pripojte ISO konfiguráciu HDS

Nakonfigurujte VM z konfiguračného súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool.

6

Nakonfigurujte uzol HDS na integráciu proxy

Ak sieťové prostredie vyžaduje konfiguráciu servera proxy, zadajte typ servera proxy, ktorý použijete pre uzol, a v prípade potreby pridajte certifikát servera proxy do dôveryhodného úložiska.

7

Zaregistrujte prvý uzol v klastri

Zaregistrujte VM v cloude Cisco Webex ako uzol Hybrid Data Security.

8

Vytvorte a zaregistrujte viac uzlov

Dokončite nastavenie klastra.

9

Aktivujte si Multi-Tenant HDS na Partner Hub.

Aktivujte si HDS a spravujte organizácie nájomníkov na Partner Hub.

Vykonajte počiatočné nastavenie a stiahnite inštalačné súbory

V tejto úlohe stiahnete súbor OVA do svojho počítača (nie na servery, ktoré ste nastavili ako uzly Hybrid Data Security). Tento súbor použijete neskôr v procese inštalácie.

1

Prihláste sa do Partnerského centra a potom kliknite na položku Služby.

2

V časti Cloudové služby nájdite kartu Hybrid Data Security a kliknite na tlačidlo Nastaviť.

Pre proces nasadenia je rozhodujúce kliknutie na položku Nastaviť v partnerskom centre. Nepokračujte v inštalácii bez dokončenia tohto kroku.

3

Kliknite na položku Pridať zdroj a kliknite na položku Prevziať súbor .OVA na karte Inštalovať a konfigurovať softvér .

Staršie verzie softvérového balíka (OVA) nebudú kompatibilné s najnovšími aktualizáciami Hybrid Data Security. To môže viesť k problémom pri inovácii aplikácie. Uistite sa, že ste si stiahli najnovšiu verziu súboru OVA.

OVA si tiež môžete kedykoľvek stiahnuť zo sekcie Pomocník . Kliknite na položky Nastavenia > Pomocník > Prevziať softvér Hybrid Data Security.

Súbor OVA sa začne automaticky sťahovať. Uložte súbor na miesto v počítači.
4

Voliteľne kliknite na položku Zobraziť príručku nasadenia hybridného zabezpečenia údajov a skontrolujte, či je k dispozícii novšia verzia tejto príručky.

Vytvorte ISO konfigurácie pre hostiteľov HDS

Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.

Skôr ako začnete

1

Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

V bežných prostrediach:

docker rmi ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

2

Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:

docker login -u hdscustomersro
3

Pri výzve na zadanie hesla zadajte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stiahnite si najnovší stabilný obraz pre vaše prostredie:

V bežných prostrediach:

docker pull ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

  • V bežných prostrediach bez servera proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V prostrediach FedRAMP bez proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • V prostrediach FedRAMP s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný
  • V prostrediach FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný

Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“.

6

Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 .

Pomocou webového prehliadača prejdite na localhost, http://127.0.0.1:8080, a po výzve zadajte používateľské meno správcu pre partnerské centrum.

Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie.

7

Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia správcu Partner Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre Hybrid Data Security.

8

Na stránke prehľadu nástroja Setup kliknite na položku Začíname.

9

Na stránke Import ISO máte tieto možnosti:

  • Nie – Ak vytvárate svoj prvý uzol HDS, nemáte súbor ISO na odovzdanie.
  • Áno – ak ste už vytvorili uzly HDS, vyberte súbor ISO v prehľadávaní a odovzdajte ho.
10

Skontrolujte, či váš certifikát X.509 spĺňa požiadavky uvedené v časti Požiadavky na certifikát X.509.

  • Ak ste ešte nikdy neodovzdali certifikát, odovzdajte certifikát X.509, zadajte heslo a kliknite na tlačidlo Pokračovať.
  • Ak je váš certifikát v poriadku, kliknite na tlačidlo Pokračovať.
  • Ak platnosť vášho certifikátu vypršala alebo ho chcete nahradiť, vyberte možnosť Nie pre možnosť Pokračovať v používaní reťazca certifikátov HDS a súkromného kľúča z predchádzajúcej normy ISO?. Odovzdajte nový certifikát X.509, zadajte heslo a kliknite na tlačidlo Pokračovať.
11

Zadajte databázovú adresu a účet pre HDS, aby ste získali prístup k vášmu úložisku kľúčových údajov:

  1. Vyberte svoj Typ databázy (PostgreSQL alebo Microsoft SQL Server).

    Ak vyberiete možnosť Microsoft SQL Server, zobrazí sa pole Typ overenia.

  2. (Iba Microsoft SQL Server ) Vyberte svoj Typ overenia:

    • Základná autentifikácia: V poli Používateľské meno potrebujete názov lokálneho účtu SQL Server.

    • Overovanie systému Windows: Potrebujete účet Windows vo formáte používateľské meno@DOMAIN v poli Používateľské meno .

  3. Zadajte adresu databázového servera v tvare : alebo :.

    Príklad:
    dbhost.example.org:1433 alebo 198.51.100.17:1433

    Ak uzly nemôžu použiť DNS na rozlíšenie názvu hostiteľa, môžete použiť IP adresu na základnú autentifikáciu.

    Ak používate overenie systému Windows, musíte zadať úplný názov domény vo formáte dbhost.example.org:1433

  4. Zadajte Názov databázy.

  5. Zadajte Používateľské meno a Heslo používateľa so všetkými oprávneniami v databáze úložiska kľúčov.

12

Vyberte Režim pripojenia databázy TLS:

Režim

Opis

Preferovať TLS (predvolená možnosť)

HDS uzly nevyžadujú TLS na pripojenie k databázovému serveru. Ak povolíte TLS na databázovom serveri, uzly sa pokúsia o šifrované pripojenie.

Vyžadovať TLS

Uzly HDS sa pripájajú iba vtedy, ak databázový server dokáže dohodnúť TLS.

Vyžadovať TLS a overiť podpisovateľa certifikátu

Tento režim nie je použiteľný pre databázy SQL Server.

  • Uzly HDS sa pripájajú iba vtedy, ak databázový server dokáže dohodnúť TLS.

  • Po vytvorení pripojenia TLS uzol porovná podpisovateľa certifikátu z databázového servera s certifikačnou autoritou v koreňovom certifikáte databázy. Ak sa nezhodujú, uzol zruší spojenie.

Na odovzdanie koreňového certifikátu pre túto možnosť použite ovládací prvok Koreňový certifikát databázy pod rozbaľovacím zoznamom.

Vyžadovať TLS a overiť podpisovateľa certifikátu a názov hostiteľa

  • Uzly HDS sa pripájajú iba vtedy, ak databázový server dokáže dohodnúť TLS.

  • Po vytvorení pripojenia TLS uzol porovná podpisovateľa certifikátu z databázového servera s certifikačnou autoritou v koreňovom certifikáte databázy. Ak sa nezhodujú, uzol zruší spojenie.

  • Uzly tiež overia, či sa názov hostiteľa v certifikáte servera zhoduje s názvom hostiteľa v poli Hostiteľ databázy a port . Názvy sa musia presne zhodovať, inak uzol zruší spojenie.

Na odovzdanie koreňového certifikátu pre túto možnosť použite ovládací prvok Koreňový certifikát databázy pod rozbaľovacím zoznamom.

Keď odovzdáte koreňový certifikát (ak je to potrebné) a kliknete na tlačidlo Pokračovať, nástroj HDS Setup Tool otestuje pripojenie TLS k databázovému serveru. Nástroj tiež overuje podpisovateľa certifikátu a názov hostiteľa, ak je to potrebné. Ak test zlyhá, nástroj zobrazí chybové hlásenie s popisom problému. Môžete si vybrať, či chcete chybu ignorovať a pokračovať v nastavovaní. (Vzhľadom na rozdiely v konektivite môžu byť uzly HDS schopné vytvoriť pripojenie TLS, aj keď ho zariadenie HDS Setup Tool nedokáže úspešne otestovať.)

13

Na stránke Systémové denníky nakonfigurujte svoj server Syslogd:

  1. Zadajte adresu URL servera syslog.

    Ak server nie je schopný rozlíšiť DNS z uzlov pre váš klaster HDS, použite v adrese URL adresu IP.

    Príklad:
    udp://10.92.43.23:514 označuje prihlásenie do hostiteľa Syslogd 10.92.43.23 na porte UDP 514.
  2. Ak ste na svojom serveri nastavili používanie šifrovania TLS, začiarknite políčko Je váš server syslog nakonfigurovaný na šifrovanie SSL?.

    Ak začiarknete toto políčko, uistite sa, že ste zadali adresu URL TCP, napríklad tcp://10.92.43.23:514.

  3. V rozbaľovacej ponuke Vybrať ukončenie záznamu syslog vyberte vhodné nastavenie pre váš súbor ISO: Choose alebo Newline sa používa pre Graylog a Rsyslog TCP

    • Null byte -- \x00

    • Nový riadok -- \n – Túto možnosť vyberte pre Graylog a Rsyslog TCP.

  4. Kliknite na tlačidlo Pokračovať.

14

(Voliteľné) Predvolenú hodnotu niektorých parametrov pripojenia k databáze môžete zmeniť v časti Rozšírené nastavenia. Vo všeobecnosti je tento parameter jediný, ktorý možno budete chcieť zmeniť:

app_datasource_connection_pool_maxVeľkosť: 10
15

Kliknite na tlačidlo Pokračovať na obrazovke Obnoviť heslo servisných účtov .

Heslá k servisným účtom majú životnosť deväť mesiacov. Túto obrazovku použite, keď sa blíži koniec platnosti vašich hesiel alebo ich chcete resetovať, aby ste zrušili platnosť predchádzajúcich súborov ISO.

16

Kliknite na položku Prevziať súbor ISO. Uložte súbor na miesto, ktoré sa dá ľahko nájsť.

17

Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme.

Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii.

18

Ak chcete vypnúť inštalačný nástroj, napíšte CTRL+C.

Čo robiť ďalej

Zálohujte konfiguračný súbor ISO. Potrebujete ho na vytvorenie ďalších uzlov na obnovu alebo na vykonanie zmien v konfigurácii. Ak stratíte všetky kópie súboru ISO, stratili ste aj hlavný kľúč. Obnovenie kľúčov z databázy PostgreSQL alebo Microsoft SQL Server nie je možné.

Nikdy nemáme kópiu tohto kľúča a nemôžeme vám pomôcť, ak ho stratíte.

Nainštalujte HDS Host OVA

Tento postup použite na vytvorenie virtuálneho počítača zo súboru OVA.
1

Na prihlásenie do virtuálneho hostiteľa ESXi použite klienta VMware vSphere na vašom počítači.

2

Vyberte položku Súbor > Nasadiť šablónu OVF.

3

V sprievodcovi zadajte umiestnenie súboru OVA, ktorý ste prevzali predtým, a potom kliknite na tlačidlo Ďalej.

4

Na stránke Vyberte názov a priečinok zadajte Názov virtuálneho počítača pre uzol (napríklad „HDS_Node_1“) a vyberte umiestnenie, kde nasadenie uzla virtuálneho počítača sa môže nachádzať a potom kliknite na tlačidlo Ďalej.

5

Na stránke Vyberte výpočtový zdroj vyberte cieľový výpočtový zdroj a potom kliknite na tlačidlo Ďalej.

Prebehne overovacia kontrola. Po dokončení sa zobrazia podrobnosti šablóny.

6

Overte podrobnosti šablóny a potom kliknite na tlačidlo Ďalej.

7

Ak sa zobrazí výzva na výber konfigurácie prostriedkov na stránke Konfigurácia , kliknite na položku 4 CPU a potom kliknite na tlačidlo Ďalej.

8

Na stránke Vybrať úložisko kliknite na tlačidlo Ďalej , čím prijmete predvolený formát disku a pravidlá úložiska VM.

9

Na stránke Vybrať siete vyberte sieťovú možnosť zo zoznamu položiek, aby ste poskytli požadované pripojenie k virtuálnemu počítaču.

10

Na stránke Prispôsobiť šablónu nakonfigurujte nasledujúce nastavenia siete:

  • Názov hostiteľa – zadajte FQDN (názov hostiteľa a doménu) alebo jednoslovný názov hostiteľa pre uzol.
    • Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509.

    • Ak chcete zabezpečiť úspešnú registráciu do cloudu, použite iba malé písmená v FQDN alebo názve hostiteľa, ktorý ste nastavili pre uzol. Veľké písmená momentálne nie sú podporované.

    • Celková dĺžka FQDN nesmie presiahnuť 64 znakov.

  • Adresa IP – zadajte adresu IP interného rozhrania uzla.

    Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované.

  • Maska – zadajte adresu masky podsiete v desiatkovom formáte bodka. Napríklad 255.255.255.0.
  • Brána – zadajte adresu IP brány. Brána je sieťový uzol, ktorý slúži ako prístupový bod do inej siete.
  • Servery DNS – zadajte zoznam serverov DNS oddelených čiarkami, ktoré zabezpečujú preklad názvov domén na číselné adresy IP. (Povolené sú až 4 záznamy DNS.)
  • Servery NTP – zadajte server NTP vašej organizácie alebo iný externý server NTP, ktorý možno použiť vo vašej organizácii. Predvolené servery NTP nemusia fungovať pre všetky podniky. Na zadanie viacerých serverov NTP môžete použiť aj zoznam oddelený čiarkami.
  • Nasaďte všetky uzly v rovnakej podsieti alebo VLAN, aby boli všetky uzly v klastri dosiahnuteľné z klientov vo vašej sieti na administratívne účely.

Ak chcete, môžete preskočiť konfiguráciu nastavenia siete a podľa krokov v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov nakonfigurujte nastavenia z konzoly uzla.

Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 7.0. Táto možnosť nemusí byť dostupná v starších verziách.

11

Kliknite pravým tlačidlom myši na uzol VM a potom vyberte položky Napájanie > Zapnúť.

Softvér Hybrid Data Security je nainštalovaný ako hosť na hostiteľovi VM. Teraz ste pripravení prihlásiť sa do konzoly a nakonfigurovať uzol.

Tipy na riešenie problémov

Môžete zaznamenať oneskorenie niekoľkých minút, kým sa kontajnery uzlov objavia. Počas prvého spustenia, počas ktorého sa nemôžete prihlásiť, sa na konzole zobrazí správa brány firewall mosta.

Nastavte virtuálny počítač Hybrid Data Security

Tento postup použite na prvé prihlásenie do konzoly VM uzla Hybrid Data Security a nastavenie prihlasovacích poverení. Konzolu môžete použiť aj na konfiguráciu sieťových nastavení pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.

1

V klientovi VMware vSphere vyberte svoj uzol Hybrid Data Security VM a vyberte kartu Konzola .

VM sa spustí a zobrazí sa výzva na prihlásenie. Ak sa výzva na prihlásenie nezobrazí, stlačte kláves Enter.
2

Na prihlásenie a zmenu poverení použite nasledujúce predvolené prihlasovacie meno a heslo:

  1. Prihlásenie: admin

  2. heslo: cisco

Keďže sa do svojho VM prihlasujete prvýkrát, musíte zmeniť heslo správcu.

3

Ak ste už nakonfigurovali nastavenia siete v časti Inštalácia hostiteľa HDS OVA, preskočte zvyšok tohto postupu. V opačnom prípade vyberte v hlavnej ponuke možnosť Upraviť konfiguráciu .

4

Nastavte statickú konfiguráciu s IP adresou, maskou, bránou a informáciami DNS. Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované.

5

(Voliteľné) Zmeňte názov hostiteľa, doménu alebo server(y) NTP, ak je to potrebné, aby zodpovedali zásadám vašej siete.

Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509.

6

Uložte konfiguráciu siete a reštartujte VM, aby sa zmeny prejavili.

Nahrajte a pripojte ISO konfiguráciu HDS

Tento postup použite na konfiguráciu virtuálneho počítača zo súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool.

Skôr ako začnete

Pretože súbor ISO obsahuje hlavný kľúč, mal by byť zverejnený iba na základe „potreby vedieť“, aby k nemu mali prístup virtuálne počítače s hybridným zabezpečením údajov a všetci správcovia, ktorí môžu potrebovať vykonať zmeny. Uistite sa, že k úložisku údajov majú prístup iba títo správcovia.

1

Nahrajte súbor ISO z počítača:

  1. V ľavom navigačnom paneli klienta VMware vSphere kliknite na server ESXi.

  2. Na karte Konfigurácia v zozname Hardvér kliknite na položku Ukladací priestor.

  3. V zozname Úložisko údajov kliknite pravým tlačidlom myši na úložisko údajov pre vaše virtuálne počítače a kliknite na položku Prehliadať úložisko údajov.

  4. Kliknite na ikonu Odovzdať súbory a potom kliknite na položku Odovzdať súbor.

  5. Prejdite do umiestnenia, z ktorého ste prevzali súbor ISO do počítača, a kliknite na tlačidlo Otvoriť.

  6. Kliknutím na tlačidlo Áno prijmete upozornenie týkajúce sa operácie odovzdávania/sťahovania a zatvoríte dialógové okno úložiska údajov.

2

Pripojte súbor ISO:

  1. V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Upraviť nastavenia.

  2. Kliknutím na tlačidlo OK prijmete upozornenie na obmedzené možnosti úprav.

  3. Kliknite na položku Jednotka CD/DVD 1, vyberte možnosť pripojenia zo súboru ISO úložiska údajov a prejdite do umiestnenia, kam ste odovzdali konfiguračný súbor ISO.

  4. Začiarknite políčka Pripojené a Pripojiť pri zapnutí.

  5. Uložte zmeny a reštartujte virtuálny počítač.

Čo robiť ďalej

Ak to vyžaduje vaša politika IT, môžete voliteľne odpojiť súbor ISO po tom, čo všetky vaše uzly prevezmú zmeny konfigurácie. Podrobnosti nájdete v časti (Voliteľné) Odpojenie ISO po konfigurácii HDS .

Nakonfigurujte uzol HDS na integráciu proxy

Ak sieťové prostredie vyžaduje server proxy, použite tento postup na určenie typu servera proxy, ktorý chcete integrovať s Hybrid Data Security. Ak si vyberiete transparentný kontrolný proxy server alebo explicitný proxy server HTTPS, môžete použiť rozhranie uzla na nahranie a inštaláciu koreňového certifikátu. Môžete tiež skontrolovať pripojenie proxy z rozhrania a vyriešiť prípadné problémy.

Skôr ako začnete

1

Do webového prehliadača zadajte adresu URL nastavenia uzla HDS https://[IP uzla HDS alebo FQDN]/setup , zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite na tlačidlo Prihlásiť sa .

2

Prejdite na stránku Trust Store & Proxy a potom vyberte jednu z možností:

  • Bez servera proxy – predvolená možnosť pred integráciou servera proxy. Nevyžaduje sa žiadna aktualizácia certifikátu.
  • Transparentný nekontrolujúci proxy server – uzly nie sú nakonfigurované na používanie konkrétnej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.
  • Transparentný kontrolný proxy server – uzly nie sú nakonfigurované na používanie konkrétnej adresy servera proxy. Pri nasadení Hybrid Data Security nie sú potrebné žiadne zmeny konfigurácie HTTPS, no uzly HDS potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).
  • Explicitný server proxy – pomocou explicitného servera proxy informujete klienta (uzly HDS), ktorý server proxy má použiť, pričom táto možnosť podporuje niekoľko typov overenia. Po výbere tejto možnosti musíte zadať nasledujúce informácie:
    1. Proxy IP/FQDN – adresa, ktorú možno použiť na spojenie so zariadením proxy.

    2. Port proxy – číslo portu, ktoré server proxy používa na počúvanie prenosu cez server proxy.

    3. Protokol proxy – vyberte http (zobrazuje a riadi všetky požiadavky prijaté od klienta) alebo https (poskytuje kanál pre server a klient prijíma a overí certifikát servera). Vyberte možnosť podľa toho, čo váš proxy server podporuje.

    4. Typ overenia totožnosti – vyberte si z nasledujúcich typov overenia totožnosti:

      • Žiadne – nevyžaduje sa žiadne ďalšie overenie.

        Dostupné pre servery proxy HTTP alebo HTTPS.

      • Základné – používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.

        Dostupné pre servery proxy HTTP alebo HTTPS.

        Ak zvolíte túto možnosť, musíte zadať aj meno používateľa a heslo.

      • Súhrn – používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.

        Dostupné iba pre servery proxy HTTPS.

        Ak zvolíte túto možnosť, musíte zadať aj meno používateľa a heslo.

Postupujte podľa nasledujúcich krokov pre transparentný kontrolný proxy server, explicitný proxy server HTTP so základným overením alebo explicitný proxy HTTPS.

3

Kliknite na položku Odovzdať koreňový certifikát alebo certifikát ukončenia entity a potom prejdite na výber koreňového certifikátu pre server proxy.

Certifikát je nahraný, ale ešte nie je nainštalovaný, pretože na inštaláciu certifikátu musíte reštartovať uzol. Ak chcete získať ďalšie podrobnosti, kliknite na šípku so šípkou vedľa názvu vydavateľa certifikátu. Ak ste urobili chybu a chcete súbor nahrať znova, kliknite na tlačidlo Odstrániť .

4

Kliknutím na položku Skontrolovať pripojenie proxy otestujete sieťové pripojenie medzi uzlom a serverom proxy.

Ak test pripojenia zlyhá, zobrazí sa chybové hlásenie, ktoré uvádza dôvod a spôsob, ako môžete problém vyriešiť.

Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS. Tento stav sa očakáva v mnohých explicitných konfiguráciách proxy. Môžete pokračovať v nastavovaní a uzol bude fungovať v režime zablokovaného externého rozlíšenia DNS. Ak si myslíte, že ide o chybu, vykonajte tieto kroky a potom si pozrite časť Vypnutie režimu zablokovaného externého rozlíšenia DNS.

5

Po úspešnom teste pripojenia pre explicitný server proxy nastavený iba na https zapnite prepínač na možnosť Smerovať všetky požiadavky protokolu https z tohto uzla na port 443/444 cez explicitný server proxy. Toto nastavenie sa prejaví po 15 sekundách.

6

Kliknite na položku Inštalovať všetky certifikáty do dôveryhodného úložiska (zobrazí sa pri explicitnom serveri proxy HTTPS alebo transparentnom kontrolnom serveri proxy) alebo Reštartovať (zobrazí sa pri explicitnom serveri proxy HTTP), prečítajte si výzvu a potom kliknite na tlačidlo Inštalovať , ak ste pripravení.

Uzol sa reštartuje v priebehu niekoľkých minút.

7

Keď sa uzol reštartuje, v prípade potreby sa znova prihláste a potom otvorte stránku Prehľad a skontrolujte kontroly pripojenia, aby ste sa uistili, že sú všetky v zelenom stave.

Kontrola pripojenia proxy testuje iba subdoménu webex.com. Ak sa vyskytnú problémy s pripojením, bežným problémom je, že niektoré z cloudových domén uvedených v pokynoch na inštaláciu sú na serveri proxy blokované.

Zaregistrujte prvý uzol v klastri

Táto úloha prevezme všeobecný uzol, ktorý ste vytvorili v časti Nastavenie virtuálneho počítača Hybrid Data Security, zaregistruje uzol v cloude Webex a zmení ho na uzol Hybrid Data Security.

Keď zaregistrujete svoj prvý uzol, vytvoríte klaster, ku ktorému je uzol priradený. Klaster obsahuje jeden alebo viac uzlov nasadených na zabezpečenie redundancie.

Skôr ako začnete

  • Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.

  • Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.

1

Prihláste sa do https://admin.webex.com.

2

V ponuke na ľavej strane obrazovky vyberte položku Služby.

3

V časti Cloudové služby nájdite kartu Hybrid Data Security a kliknite na tlačidlo Nastaviť.

4

Na stránke, ktorá sa otvorí, kliknite na položku Pridať zdroj.

5

Do prvého poľa na karte Pridať uzol zadajte názov klastra, ktorému chcete priradiť uzol Hybrid Data Security.

Odporúčame pomenovať klaster podľa toho, kde sa geograficky nachádzajú uzly klastra. Príklady: „San Francisco“ alebo „New York“ alebo „Dallas“

6

Do druhého poľa zadajte internú adresu IP alebo úplný názov domény (FQDN) svojho uzla a kliknite na tlačidlo Pridať v dolnej časti obrazovky.

Táto adresa IP alebo FQDN by sa mala zhodovať s adresou IP alebo názvom hostiteľa a doménou, ktoré ste použili v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov.

Zobrazí sa správa, že môžete zaregistrovať svoj uzol do Webexu.
7

Kliknite na položku Prejsť do uzla.

Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že svojej organizácii Webex chcete udeliť povolenia na prístup k vášmu uzlu.

8

Začiarknite políčko Povoliť prístup k vášmu uzlu zabezpečenia hybridných údajov a potom kliknite na tlačidlo Pokračovať.

Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
9

Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Hybrid Data Security partnerského centra.

Na stránke Hybrid Data Security sa nový klaster obsahujúci uzol, ktorý ste zaregistrovali, zobrazí na karte Prostriedky . Uzol si automaticky stiahne najnovší softvér z cloudu.

Vytvorte a zaregistrujte viac uzlov

Ak chcete do svojho klastra pridať ďalšie uzly, jednoducho vytvoríte ďalšie virtuálne počítače a pripojíte rovnaký konfiguračný súbor ISO a potom uzol zaregistrujete. Odporúčame, aby ste mali aspoň 3 uzly.

Skôr ako začnete

  • Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.

  • Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.

1

Vytvorte nový virtuálny počítač z OVA zopakovaním krokov v časti Inštalácia hostiteľského OVA HDS.

2

Nastavte úvodnú konfiguráciu na novom virtuálnom počítači zopakovaním krokov v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov.

3

Na novom virtuálnom počítači zopakujte kroky v časti Odovzdanie a pripojenie ISO konfigurácie HDS.

4

Ak nastavujete server proxy pre svoje nasadenie, zopakujte kroky v časti Konfigurácia uzla HDS na integráciu servera proxy podľa potreby pre nový uzol.

5

Zaregistrujte uzol.

  1. V https://admin.webex.com vyberte z ponuky na ľavej strane obrazovky položku Služby .

  2. V časti Cloudové služby nájdite kartu Hybrid Data Security a kliknite na položku Zobraziť všetko.

    Zobrazí sa stránka Hybrid Data Security Resources.
  3. Novovytvorený klaster sa zobrazí na stránke Zdroje .

  4. Kliknutím na klaster zobrazíte uzly priradené ku klastru.

  5. Kliknite na položku Pridať uzol na pravej strane obrazovky.

  6. Zadajte internú adresu IP alebo úplný názov domény (FQDN) svojho uzla a kliknite na tlačidlo Pridať.

    Otvorí sa stránka so správou, že môžete zaregistrovať svoj uzol do cloudu Webex. Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že chcete svojej organizácii udeliť povolenia na prístup k vášmu uzlu.
  7. Začiarknite políčko Povoliť prístup k vášmu uzlu zabezpečenia hybridných údajov a potom kliknite na tlačidlo Pokračovať.

    Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
  8. Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Hybrid Data Security partnerského centra.

    Vyskakovacia správa Uzol bol pridaný sa tiež zobrazuje v spodnej časti obrazovky v Partnerskom centre.

    Váš uzol je zaregistrovaný.

Spravujte organizácie nájomníkov na hybridnom zabezpečení dát pre viacerých nájomníkov

Aktivujte si Multi-Tenant HDS na Partner Hub

Táto úloha zaisťuje, že všetci používatelia zákazníckych organizácií môžu začať využívať HDS pre lokálne šifrovacie kľúče a ďalšie bezpečnostné služby.

Skôr ako začnete

Uistite sa, že ste dokončili nastavenie klastra Multi-Tenant HDS s požadovaným počtom uzlov.

1

Prihláste sa do https://admin.webex.com.

2

V ponuke na ľavej strane obrazovky vyberte položku Služby.

3

V časti Cloudové služby vyhľadajte Hybrid Data Security a kliknite na položku Upraviť nastavenia.

4

Kliknite na položku Aktivovať HDS na karte Stav HDS .

Pridajte organizácie nájomníkov v partnerskom centre

V tejto úlohe priradíte zákaznícke organizácie k vášmu Hybrid Data Security Cluster.

1

Prihláste sa do https://admin.webex.com.

2

V ponuke na ľavej strane obrazovky vyberte položku Služby.

3

V sekcii Cloudové služby nájdite Hybrid Data Security a kliknite na položku Zobraziť všetko.

4

Kliknite na klaster, ku ktorému chcete priradiť zákazníka.

5

Prejdite na kartu Priradení zákazníci .

6

Kliknite na položku Pridať zákazníkov.

7

Z rozbaľovacej ponuky vyberte zákazníka, ktorého chcete pridať.

8

Kliknite na tlačidlo Pridať, zákazník bude pridaný do klastra.

9

Ak chcete do svojho klastra pridať viacerých zákazníkov, zopakujte kroky 6 až 8.

10

Po pridaní zákazníkov kliknite na tlačidlo Hotovo v dolnej časti obrazovky.

Čo robiť ďalej

Spustite nástroj HDS Setup, ako je podrobne uvedené v časti Vytvorenie zákazníckych hlavných kľúčov (CMK) pomocou nástroja HDS Setup a dokončite proces nastavenia.

Vytvorte hlavné kľúče zákazníka (CMK) pomocou nástroja HDS Setup

Skôr ako začnete

Priraďte zákazníkov do príslušného klastra, ako je podrobne uvedené v časti Pridanie organizácií nájomníkov do centra partnerov. Spustite nástroj HDS Setup a dokončite proces nastavenia pre novo pridané zákaznícke organizácie.

  • Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými administrátorskými právami pre vašu organizáciu.

    Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker v kroku 5 zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:

    Opis

    Variabilné

    HTTP Proxy bez autentifikácie

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentifikácie

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP Proxy s autentifikáciou

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS Proxy s autentifikáciou

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:

    • Databázové poverenia

    • Aktualizácie certifikátov

    • Zmeny v politike autorizácie

  • Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.

Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.

1

Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

V bežných prostrediach:

docker rmi ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

2

Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:

docker login -u hdscustomersro
3

Pri výzve na zadanie hesla zadajte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stiahnite si najnovší stabilný obraz pre vaše prostredie:

V bežných prostrediach:

docker pull ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

  • V bežných prostrediach bez servera proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V prostrediach FedRAMP bez proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • V prostrediach FedRAMP s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný
  • V prostrediach FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný

Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“.

6

Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 .

Pomocou webového prehliadača prejdite na localhost, http://127.0.0.1:8080, a po výzve zadajte používateľské meno správcu pre partnerské centrum.

Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie.

7

Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia správcu Partner Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre Hybrid Data Security.

8

Na stránke prehľadu nástroja Setup kliknite na položku Začíname.

9

Na stránke Import ISO kliknite na tlačidlo Áno.

10

Vyberte súbor ISO v prehliadači a nahrajte ho.

Ak chcete vykonávať správu CMK, zaistite pripojenie k databáze.
11

Prejdite na kartu Správa CMK nájomcov , kde nájdete nasledujúce tri spôsoby správy CMK nájomcov.

  • Vytvoriť CMK pre všetky ORG alebo Vytvoriť CMK – Kliknutím na toto tlačidlo na banneri v hornej časti obrazovky vytvoríte CMK pre všetky novo pridané organizácie.
  • Kliknite na tlačidlo Spravovať CMK na pravej strane obrazovky a kliknite na Vytvoriť CMK , aby ste vytvorili CMK pre všetky novo pridané organizácie.
  • Kliknite na … vedľa stavu čakania na správu CMK konkrétnej organizácie v tabuľke a kliknutím na položku Vytvoriť CMK vytvorte CMK pre túto organizáciu.
12

Po úspešnom vytvorení CMK sa stav v tabuľke zmení z Čaká sa na správu CMK na Spravuje CMK.

13

Ak je vytvorenie CMK neúspešné, zobrazí sa chyba.

Odstráňte organizácie nájomníkov

Skôr ako začnete

Po odstránení nebudú používatelia zákazníckych organizácií môcť využívať HDS pre svoje potreby šifrovania a stratia všetky existujúce miesta. Pred odstránením zákazníckych organizácií kontaktujte svojho partnera Cisco alebo správcu účtu.

1

Prihláste sa do https://admin.webex.com.

2

V ponuke na ľavej strane obrazovky vyberte položku Služby.

3

V sekcii Cloudové služby nájdite Hybrid Data Security a kliknite na položku Zobraziť všetko.

4

Na karte Zdroje kliknite na klaster, z ktorého chcete odstrániť organizácie zákazníkov.

5

Na stránke, ktorá sa otvorí, kliknite na položku Priradení zákazníci.

6

V zobrazenom zozname organizácií zákazníkov kliknite na položku ... na pravej strane organizácie zákazníka, ktorú chcete odstrániť, a kliknite na položku Odstrániť z klastra.

Čo robiť ďalej

Dokončite proces odstránenia zrušením CMK zákazníckych organizácií, ako je podrobne uvedené v časti Odvolanie CMK nájomníkov odstránených z HDS.

Zrušiť CMK nájomníkov odstránených z HDS.

Skôr ako začnete

Odstráňte zákazníkov z príslušného klastra, ako je podrobne uvedené v časti Odstránenie organizácií nájomníkov. Spustite nástroj HDS Setup a dokončite proces odstránenia pre zákaznícke organizácie, ktoré boli odstránené.

  • Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými administrátorskými právami pre vašu organizáciu.

    Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker v kroku 5 zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:

    Opis

    Variabilné

    HTTP Proxy bez autentifikácie

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentifikácie

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP Proxy s autentifikáciou

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS Proxy s autentifikáciou

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:

    • Databázové poverenia

    • Aktualizácie certifikátov

    • Zmeny v politike autorizácie

  • Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.

Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.

1

Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

V bežných prostrediach:

docker rmi ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

2

Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:

docker login -u hdscustomersro
3

Pri výzve na zadanie hesla zadajte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stiahnite si najnovší stabilný obraz pre vaše prostredie:

V bežných prostrediach:

docker pull ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

  • V bežných prostrediach bez servera proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V prostrediach FedRAMP bez proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • V prostrediach FedRAMP s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný
  • V prostrediach FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný

Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“.

6

Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 .

Pomocou webového prehliadača prejdite na localhost, http://127.0.0.1:8080, a po výzve zadajte používateľské meno správcu pre partnerské centrum.

Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie.

7

Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia správcu Partner Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre Hybrid Data Security.

8

Na stránke prehľadu nástroja Setup kliknite na položku Začíname.

9

Na stránke Import ISO kliknite na tlačidlo Áno.

10

Vyberte súbor ISO v prehliadači a nahrajte ho.

11

Prejdite na kartu Správa CMK nájomcov , kde nájdete nasledujúce tri spôsoby správy CMK nájomcov.

  • Odvolať CMK pre všetky ORG alebo Odvolať CMK – Kliknutím na toto tlačidlo na banneri v hornej časti obrazovky zrušíte CMK všetkých organizácií, ktoré boli odstránené.
  • Kliknite na tlačidlo Spravovať CMK na pravej strane obrazovky a kliknutím na Odvolať CMK odvolajte CMK všetkých organizácií, ktoré boli odstránené.
  • Kliknite na položku vedľa stavu CMK na odvolanie konkrétnej organizácie v tabuľke a kliknutím na položku Odvolať CMK odvoláte CMK pre túto konkrétnu organizáciu.
12

Po úspešnom odvolaní CMK sa zákaznícka organizácia už nebude zobrazovať v tabuľke.

13

Ak je zrušenie CMK neúspešné, zobrazí sa chyba.

Otestujte svoje nasadenie Hybrid Data Security

Otestujte svoje nasadenie hybridného zabezpečenia dát

Tento postup použite na testovanie scenárov šifrovania Hybrid Data Security pre viacerých nájomníkov.

Skôr ako začnete

  • Nastavte svoje nasadenie Hybridného zabezpečenia dát pre viacerých nájomníkov.

  • Uistite sa, že máte prístup k syslog, aby ste si overili, že kľúčové požiadavky prechádzajú do vášho nasadenia Multi-Tenant Hybrid Data Security.

1

Kľúče pre daný priestor nastavuje tvorca priestoru. Prihláste sa do aplikácie Webex ako jeden z používateľov zákazníckej organizácie a potom vytvorte priestor.

Ak deaktivujete nasadenie Hybrid Data Security, obsah v priestoroch, ktoré používatelia vytvoria, už nebude prístupný po výmene kópií šifrovacích kľúčov uložených vo vyrovnávacej pamäti klienta.

2

Posielajte správy do nového priestoru.

3

Skontrolujte výstup syslog, aby ste si overili, že požiadavky na kľúče prechádzajú do vášho nasadenia Hybrid Data Security.

  1. Ak chcete skontrolovať, či používateľ najprv vytvoril zabezpečený kanál pre KMS, filtrujte podľa kms.data.method=create a kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Mali by ste nájsť záznam, ako je tento (identifikátory skrátené kvôli čitateľnosti):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] prijaté, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method= vytvoriť, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, km. data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
  2. Ak chcete vyhľadať používateľa, ktorý od KMS požaduje existujúci kľúč, filtrujte kms.data.method=retrieve a kms.data.type=KEY:

    Mali by ste nájsť záznam ako:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] prijaté, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method= načítať, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/ kľúče/d[~]2, kms.data.userId=1[~]b
  3. Ak chcete skontrolovať, či používateľ žiada o vytvorenie nového kľúča KMS, filtrujte kms.data.method=create a kms.data.type=KEY_COLLECTION:

    Mali by ste nájsť záznam ako:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] prijaté, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method =vytvoriť, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_ZBER, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data .userId=1[~]b
  4. Ak chcete pri vytváraní priestoru alebo iného chráneného zdroja skontrolovať, či používateľ žiada o vytvorenie nového objektu KMS Resource Object (KRO), použite filter kms.data.method=create a kms.data. type=RESOURCE_COLLECTION:

    Mali by ste nájsť záznam ako:
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] prijaté, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method= vytvoriť, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data .userId=1[~]b

Monitorujte zdravie Hybrid Data Security Health

Indikátor stavu v Partner Hub vám ukáže, či je s nasadením Multi-Tenant Hybrid Data Security všetko v poriadku. Ak chcete dostávať proaktívnejšie upozornenia, prihláste sa na odber e-mailových upozornení. Budete upozornení, keď sa vyskytnú alarmy alebo aktualizácie softvéru ovplyvňujúce službu.
1

V Centre pre partnerov vyberte z ponuky na ľavej strane obrazovky položku Služby .

2

V časti Cloudové služby vyhľadajte Hybrid Data Security a kliknite na položku Upraviť nastavenia.

Zobrazí sa stránka Hybrid Data Security Settings.
3

V časti E-mailové upozornenia zadajte jednu alebo viac e-mailových adries oddelených čiarkami a stlačte kláves Enter.

Spravujte svoje nasadenie HDS

Spravujte nasadenie HDS

Pomocou tu popísaných úloh spravujte svoje nasadenie Hybrid Data Security.

Nastavte plán aktualizácie klastra

Aktualizácie softvéru pre Hybrid Data Security sa vykonávajú automaticky na úrovni klastra, čo zaisťuje, že všetky uzly vždy bežia s rovnakou verziou softvéru. Inovácie sa vykonávajú podľa plánu aktualizácie pre klaster. Keď bude k dispozícii aktualizácia softvéru, máte možnosť manuálne aktualizovať klaster pred plánovaným časom aktualizácie. Môžete nastaviť konkrétny plán inovácie alebo použiť predvolený plán na 3:00 denne v USA: Amerika/Los Angeles. V prípade potreby môžete tiež odložiť nadchádzajúcu inováciu.

Ak chcete nastaviť plán aktualizácie:

1

Prihláste sa do Partnerského centra.

2

V ponuke na ľavej strane obrazovky vyberte položku Služby.

3

V časti Cloudové služby vyhľadajte Hybrid Data Security a kliknite na tlačidlo Nastaviť

4

Na stránke Hybrid Data Security Resources vyberte klaster.

5

Kliknite na kartu Nastavenia klastra .

6

Na stránke Nastavenia klastra v časti Plán aktualizácie vyberte čas a časové pásmo pre plán inovácie.

Poznámka: Pod časovým pásmom sa zobrazí dátum a čas ďalšej dostupnej aktualizácie. V prípade potreby môžete inováciu odložiť na nasledujúci deň kliknutím na položku Odložiť o 24 hodín.

Zmeňte konfiguráciu uzla

Príležitostne možno budete musieť zmeniť konfiguráciu uzla Hybrid Data Security z nasledujúcich dôvodov:
  • Zmena x.509 certifikátov z dôvodu uplynutia platnosti alebo iných dôvodov.

    Nepodporujeme zmenu názvu domény CN certifikátu. Doména sa musí zhodovať s pôvodnou doménou použitou na registráciu klastra.

  • Aktualizácia nastavení databázy pre zmenu na repliku databázy PostgreSQL alebo Microsoft SQL Server.

    Nepodporujeme migráciu údajov z PostgreSQL na Microsoft SQL Server ani opačným spôsobom. Ak chcete zmeniť prostredie databázy, spustite nové nasadenie Hybrid Data Security.

  • Vytvorenie novej konfigurácie na prípravu nového dátového centra.

Z bezpečnostných dôvodov používa Hybrid Data Security heslá servisných účtov, ktoré majú životnosť deväť mesiacov. Keď nástroj HDS Setup vygeneruje tieto heslá, nasadíte ich do každého z vašich uzlov HDS v konfiguračnom súbore ISO. Keď sa blíži koniec platnosti hesiel vašej organizácie, dostanete od tímu Webex upozornenie na resetovanie hesla pre váš počítačový účet. (E-mail obsahuje text „Na aktualizáciu hesla použite rozhranie API strojového účtu.“) Ak platnosť vašich hesiel ešte nevypršala, nástroj vám ponúka dve možnosti:

  • Mäkké obnovenie – staré aj nové heslo fungujú až 10 dní. Toto obdobie použite na postupnú výmenu súboru ISO na uzloch.

  • Tvrdý reset – staré heslá okamžite prestanú fungovať.

Ak platnosť vašich hesiel vyprší bez resetovania, ovplyvní to vašu službu HDS, čo si vyžaduje okamžitý tvrdý reset a nahradenie súboru ISO na všetkých uzloch.

Tento postup použite na vygenerovanie nového konfiguračného súboru ISO a jeho použitie vo vašom klastri.

Skôr ako začnete

  • Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými právami správcu partnera.

    Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri vytváraní kontajnera Docker v 1.e zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:

    Opis

    Variabilné

    HTTP Proxy bez autentifikácie

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentifikácie

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP Proxy s autentifikáciou

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS Proxy s autentifikáciou

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Na vygenerovanie novej konfigurácie potrebujete kópiu aktuálneho konfiguračného súboru ISO. ISO obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. ISO potrebujete, keď robíte zmeny v konfigurácii vrátane poverení databázy, aktualizácií certifikátov alebo zmien v politike autorizácie.

1

Pomocou Docker na lokálnom počítači spustite nástroj HDS Setup Tool.

  1. Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

    V bežných prostrediach:

    docker rmi ciscocitg/hds-setup:stable

    V prostrediach FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

  2. Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:

    docker login -u hdscustomersro
  3. Pri výzve na zadanie hesla zadajte tento hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
  4. Stiahnite si najnovší stabilný obraz pre vaše prostredie:

    V bežných prostrediach:

    docker pull ciscocitg/hds-setup:stable

    V prostrediach FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Uistite sa, že ste na tento postup použili najnovší nástroj Setup. Verzie nástroja vytvorené pred 22. februárom 2018 neobsahujú obrazovky na obnovenie hesla.

  5. Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

    • V bežných prostrediach bez servera proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
    • V bežných prostrediach s HTTP proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • V bežných prostrediach s HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • V prostrediach FedRAMP bez proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
    • V prostrediach FedRAMP s HTTP proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný
    • V prostrediach FedRAMP s HTTPS proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný

    Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“.

  6. Použite prehliadač na pripojenie k localhost, http://127.0.0.1:8080.

    Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 .

  7. Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia zákazníka Centra partnerov a potom pokračujte kliknutím na tlačidlo Prijať .

  8. Importujte aktuálny konfiguračný súbor ISO.

  9. Postupujte podľa pokynov na dokončenie nástroja a stiahnite si aktualizovaný súbor.

    Ak chcete vypnúť inštalačný nástroj, napíšte CTRL+C.

  10. Vytvorte záložnú kópiu aktualizovaného súboru v inom dátovom centre.

2

Ak máte spustený iba jeden uzol HDS, vytvorte nový virtuálny počítač s uzlom Hybrid Data Security a zaregistrujte ho pomocou nového konfiguračného súboru ISO. Podrobnejšie pokyny nájdete v časti Vytvorenie a registrácia ďalších uzlov.

  1. Nainštalujte hostiteľský OVA HDS.

  2. Nastavte HDS VM.

  3. Pripojte aktualizovaný konfiguračný súbor.

  4. Zaregistrujte nový uzol v partnerskom centre.

3

Pre existujúce uzly HDS, na ktorých je spustený starší konfiguračný súbor, pripojte súbor ISO. Postupne vykonajte nasledujúci postup na každom uzle a pred vypnutím ďalšieho uzla aktualizujte každý uzol:

  1. Vypnite virtuálny stroj.

  2. V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Upraviť nastavenia.

  3. Kliknite na položku Jednotka CD/DVD 1, vyberte možnosť pripojenia zo súboru ISO a prejdite do umiestnenia, do ktorého ste prevzali nový konfiguračný súbor ISO.

  4. Začiarknite políčko Pripojiť pri zapnutí.

  5. Uložte zmeny a zapnite virtuálny počítač.

4

Opakujte krok 3, aby ste nahradili konfiguráciu na každom zostávajúcom uzle, na ktorom je spustená stará konfigurácia.

Vypnite režim zablokovaného externého rozlíšenia DNS

Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. Ak server DNS uzla nedokáže rozlíšiť verejné názvy DNS, uzol automaticky prejde do režimu zablokovaného externého rozlíšenia DNS.

Ak vaše uzly dokážu rozlíšiť verejné názvy DNS prostredníctvom interných serverov DNS, môžete tento režim vypnúť opätovným spustením testu pripojenia proxy na každom uzle.

Skôr ako začnete

Uistite sa, že vaše interné servery DNS dokážu rozlíšiť verejné názvy DNS a že vaše uzly s nimi môžu komunikovať.
1

Vo webovom prehliadači otvorte rozhranie uzla Hybrid Data Security (adresa IP/ nastavenie, napríklad https://192.0.2.0/setup), zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite na tlačidlo Prihlásiť sa).

2

Prejdite na Prehľad (predvolená stránka).

Keď je táto možnosť povolená, možnosť Blokované externé rozlíšenie DNS je nastavená na možnosť Áno.

3

Prejdite na stránku Trust Store & Proxy .

4

Kliknite na položku Skontrolovať pripojenie proxy.

Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS a zostane v tomto režime. V opačnom prípade po reštartovaní uzla a návrate na stránku Prehľad by mala byť možnosť Blokované externé rozlíšenie DNS nastavené na možnosť Nie.

Čo robiť ďalej

Zopakujte test pripojenia proxy na každom uzle v klastri Hybrid Data Security.

Odstráňte uzol

Tento postup použite na odstránenie uzla Hybrid Data Security z cloudu Webex. Po odstránení uzla z klastra odstráňte virtuálny počítač, aby ste zabránili ďalšiemu prístupu k vašim bezpečnostným údajom.
1

Pomocou klienta VMware vSphere vo svojom počítači sa prihláste do virtuálneho hostiteľa ESXi a vypnite virtuálny počítač.

2

Odstráňte uzol:

  1. Prihláste sa do centra pre partnerov a potom vyberte položku Služby.

  2. Na karte Hybrid Data Security kliknite na položku Zobraziť všetko , čím zobrazíte stránku Hybrid Data Security Resources.

  3. Vyberte svoj klaster, aby sa zobrazil jeho panel Prehľad.

  4. Kliknite na uzol, ktorý chcete odstrániť.

  5. Kliknite na položku Zrušiť registráciu tohto uzla na paneli, ktorý sa zobrazí vpravo

  6. Registráciu uzla môžete zrušiť aj kliknutím na … na pravej strane uzla a výberom možnosti Odstrániť tento uzol.

3

V klientovi vSphere odstráňte VM. (Na ľavom navigačnom paneli kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Odstrániť.)

Ak nevymažete VM, nezabudnite odpojiť konfiguračný súbor ISO. Bez súboru ISO nemôžete použiť VM na prístup k bezpečnostným údajom.

Obnova po havárii pomocou pohotovostného dátového centra

Najdôležitejšou službou, ktorú váš klaster Hybrid Data Security poskytuje, je vytváranie a ukladanie kľúčov používaných na šifrovanie správ a iného obsahu uloženého v cloude Webex. Pre každého používateľa v rámci organizácie, ktorý je priradený k Hybrid Data Security, sú do klastra smerované nové požiadavky na vytvorenie kľúča. Klaster je tiež zodpovedný za vrátenie kľúčov, ktoré vytvoril, všetkým používateľom oprávneným na ich získanie, napríklad členom konverzačného priestoru.

Pretože klaster vykonáva kritickú funkciu poskytovania týchto kľúčov, je nevyhnutné, aby klaster zostal spustený a aby boli udržiavané správne zálohy. Strata databázy Hybrid Data Security alebo konfigurácie ISO použitej pre schému bude mať za následok NENÁVRATNÚ STRATU zákazníckeho obsahu. Na zabránenie takejto strate sú povinné nasledujúce postupy:

Ak havária spôsobí, že nasadenie HDS v primárnom dátovom centre sa stane nedostupným, podľa tohto postupu manuálne prepnite na pohotovostné dátové centrum.

Skôr ako začnete

Zrušte registráciu všetkých uzlov z centra partnerov, ako je uvedené v časti Odstránenie uzla. Na vykonanie procedúry prepnutia pri zlyhaní uvedenej nižšie použite najnovší súbor ISO, ktorý bol nakonfigurovaný voči uzlom klastra, ktorý bol predtým aktívny.
1

Spustite nástroj na nastavenie HDS a postupujte podľa krokov uvedených v časti Vytvorenie konfiguračného ISO pre hostiteľov HDS.

2

Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť.

3

Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii.

4

V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Upraviť nastavenia.

5

Kliknite na položku Upraviť nastavenia >Jednotka CD/DVD 1 a vyberte položku Datastore ISO File.

Uistite sa, že sú začiarknuté položky Pripojené a Pripojiť pri zapnutí , aby sa aktualizované zmeny konfigurácie prejavili po spustení uzlov.

6

Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy.

7

Zaregistrujte uzol v partnerskom centre. Pozrite si časť Registrácia prvého uzla v klastri.

8

Opakujte proces pre každý uzol v pohotovostnom dátovom centre.

Čo robiť ďalej

Ak sa po prepnutí pri zlyhaní opäť aktivuje primárne dátové centrum, zrušte registráciu uzlov pohotovostného dátového centra a zopakujte proces konfigurácie ISO a registrácie uzlov primárneho dátového centra, ako je uvedené vyššie.

(Voliteľné) Odpojte ISO po konfigurácii HDS

Štandardná konfigurácia HDS beží s namontovaným ISO. Niektorí zákazníci však uprednostňujú neponechať súbory ISO nepretržite pripojené. Súbor ISO môžete odpojiť potom, čo všetky uzly HDS prevezmú novú konfiguráciu.

Na vykonanie zmien v konfigurácii stále používate súbory ISO. Keď vytvoríte nový ISO alebo aktualizujete ISO pomocou nástroja Setup Tool, musíte aktualizovaný ISO pripojiť na všetky vaše uzly HDS. Keď všetky vaše uzly zachytia zmeny konfigurácie, môžete ISO znova odpojiť pomocou tohto postupu.

Skôr ako začnete

Inovujte všetky svoje uzly HDS na verziu 2021.01.22.4720 alebo novšiu.

1

Vypnite jeden z uzlov HDS.

2

V serverovom zariadení vCenter vyberte uzol HDS.

3

Vyberte položku Upraviť nastavenia > Jednotka CD/DVD a zrušte začiarknutie políčka Súbor ISO úložiska údajov.

4

Zapnite uzol HDS a uistite sa, že aspoň 20 minút nie sú žiadne alarmy.

5

Postup opakujte pre každý uzol HDS.

Riešenie problémov so zabezpečením hybridných údajov

Zobraziť upozornenia a riešenie problémov

Nasadenie Hybrid Data Security sa považuje za nedostupné, ak sú všetky uzly v klastri nedostupné alebo klaster pracuje tak pomaly, že si vyžaduje časový limit. Ak používatelia nemôžu dosiahnuť váš klaster Hybrid Data Security, zaznamenajú nasledujúce príznaky:

  • Nie je možné vytvoriť nové medzery (nemožno vytvoriť nové kľúče)

  • Správy a názvy priestorov sa nedajú dešifrovať pre:

    • Noví používatelia pridaní do priestoru (nemožno načítať kľúče)

    • Existujúci používatelia v priestore používajúci nového klienta (nemožno načítať kľúče)

  • Existujúci používatelia v priestore budú naďalej úspešne fungovať, pokiaľ ich klienti majú vyrovnávaciu pamäť šifrovacích kľúčov

Je dôležité, aby ste správne monitorovali svoj klaster Hybrid Data Security a okamžite riešili všetky výstrahy, aby ste predišli prerušeniu služby.

Upozornenia

Ak sa vyskytne problém s nastavením Hybrid Data Security, partnerské centrum zobrazí upozornenia správcovi organizácie a odošle e-maily na nakonfigurovanú e-mailovú adresu. Výstrahy pokrývajú mnoho bežných scenárov.

Tabuľka č. 1 Bežné problémy a kroky na ich vyriešenie

Upozornenie

Akcia

Zlyhanie prístupu k lokálnej databáze.

Skontrolujte chyby databázy alebo problémy s lokálnou sieťou.

Zlyhanie pripojenia k lokálnej databáze.

Skontrolujte, či je databázový server dostupný a či boli v konfigurácii uzla použité správne poverenia servisného účtu.

Zlyhanie prístupu k cloudovej službe.

Skontrolujte, či majú uzly prístup k serverom Webex, ako je uvedené v časti Požiadavky na externé pripojenie.

Obnovuje sa registrácia cloudovej služby.

Registrácia do cloudových služieb bola zrušená. Prebieha obnova registrácie.

Registrácia cloudovej služby bola zrušená.

Registrácia do cloudových služieb bola ukončená. Služba sa vypína.

Služba ešte nie je aktivovaná.

Aktivujte HDS v Partner Hub.

Nakonfigurovaná doména sa nezhoduje s certifikátom servera.

Uistite sa, že váš certifikát servera sa zhoduje s nakonfigurovanou doménou aktivácie služby.

Najpravdepodobnejšou príčinou je, že certifikát CN bol nedávno zmenený a teraz sa líši od CN, ktorý bol použitý počas počiatočného nastavenia.

Nepodarilo sa overiť v cloudových službách.

Skontrolujte presnosť a možné vypršanie platnosti poverení servisného účtu.

Nepodarilo sa otvoriť súbor lokálneho úložiska kľúčov.

Skontrolujte integritu a presnosť hesla v lokálnom súbore skladu kľúčov.

Certifikát lokálneho servera je neplatný.

Skontrolujte dátum vypršania platnosti certifikátu servera a potvrďte, že bol vydaný dôveryhodnou certifikačnou autoritou.

Nie je možné uverejniť metriky.

Skontrolujte prístup k lokálnej sieti k externým cloudovým službám.

Adresár /media/configdrive/hds neexistuje.

Skontrolujte konfiguráciu pripojenia ISO na virtuálnom hostiteľovi. Overte, či súbor ISO existuje, či je nakonfigurovaný na pripojenie pri reštarte a či sa úspešne pripojí.

Nastavenie nájomnej organizácie pre pridané organizácie nie je dokončené

Dokončite nastavenie vytvorením CMK pre novo pridané organizácie nájomníkov pomocou nástroja HDS Setup Tool.

Nastavenie nájomnej organizácie pre odstránené organizácie nie je dokončené

Dokončite nastavenie zrušením CMK organizácií nájomníkov, ktoré boli odstránené pomocou nástroja HDS Setup Tool.

Riešenie problémov so zabezpečením hybridných údajov

Pri riešení problémov s Hybrid Data Security použite nasledujúce všeobecné pokyny.
1

Skontrolujte partnerské centrum pre všetky upozornenia a opravte všetky položky, ktoré tam nájdete. Pozrite si obrázok nižšie ako referenciu.

2

Skontrolujte výstup servera syslog pre aktivitu z nasadenia Hybrid Data Security. Filtrujte slová ako „Upozornenie“ a „Chyba“, ktoré vám pomôžu pri riešení problémov.

3

Kontaktujte podporu Cisco.

Ďalšie poznámky

Známe problémy s hybridnou bezpečnosťou dát

  • Ak vypnete svoj klaster Hybrid Data Security (odstránením v Partner Hub alebo vypnutím všetkých uzlov), stratíte svoj konfiguračný súbor ISO alebo stratíte prístup k databáze úložiska kľúčov, používatelia aplikácií Webex zo zákazníckych organizácií už nebudú môcť používať priestory pod ich zoznam ľudí, ktorý bol vytvorený pomocou kľúčov z vášho KMS. V súčasnosti nemáme riešenie ani opravu tohto problému a žiadame vás, aby ste nevypínali svoje služby HDS, keď budú spracovávať aktívne používateľské účty.

  • Klient, ktorý má existujúce pripojenie ECDH ku KMS, udržiava toto pripojenie určitý čas (pravdepodobne jednu hodinu).

Na vygenerovanie súboru PKCS12 použite OpenSSL

Skôr ako začnete

  • OpenSSL je jeden nástroj, ktorý možno použiť na vytvorenie súboru PKCS12 v správnom formáte na načítanie v nástroji HDS Setup Tool. Existujú aj iné spôsoby, ako to urobiť, a my nepodporujeme ani nepresadzujeme jeden spôsob oproti druhému.

  • Ak sa rozhodnete použiť OpenSSL, poskytujeme tento postup ako návod, ktorý vám pomôže vytvoriť súbor, ktorý spĺňa požiadavky na certifikát X.509 v časti Požiadavky na certifikát X.509. Než budete pokračovať, pochopte tieto požiadavky.

  • Nainštalujte OpenSSL v podporovanom prostredí. Softvér a dokumentáciu nájdete v časti https://www.openssl.org .

  • Vytvorte si súkromný kľúč.

  • Tento postup začnite, keď dostanete certifikát servera od certifikačnej autority (CA).

1

Keď od svojej CA dostanete certifikát servera, uložte ho ako hdsnode.pem.

2

Zobrazte certifikát ako text a overte podrobnosti.

openssl x509 -text -noout -in hdsnode.pem

3

Pomocou textového editora vytvorte súbor balíka certifikátov s názvom hdsnode-bundle.pem. Súbor balíka musí obsahovať certifikát servera, akékoľvek sprostredkujúce certifikáty CA a certifikáty koreňovej CA vo formáte nižšie:

-----ZAČIATOK CERTIFIKÁT----- ### Certifikát servera. ### -----KONIEC CERTIFIKÁTU----- -----ZAČIATOK CERTIFIKÁTU----- ### Certifikát strednej CA. ### -----KONIEC CERTIFIKÁTU----- -----ZAČIATOK CERTIFIKÁTU----- ### Certifikát koreňovej CA. ### -----KONIEC CERTIFIKÁTU-----

4

Vytvorte súbor .p12 s priateľským názvom kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Skontrolujte podrobnosti certifikátu servera.

  1. openssl pkcs12 -in hdsnode.p12

  2. Vo výzve zadajte heslo na zašifrovanie súkromného kľúča, aby bol uvedený vo výstupe. Potom skontrolujte, či súkromný kľúč a prvý certifikát obsahujú riadky friendlyName: kms-private-key.

    Príklad:

    bash$ openssl pkcs12 -in hdsnode.p12 Zadajte heslo importu: Atribúty tašky OK s overením MAC friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Kľúčové atribúty:  Zadajte heslo PEM: Overenie – zadajte heslo PEM: -----ZAČIATOK ŠIFROVANÝ SÚKROMNÝ KĽÚČ-----  -----KONIEC ŠIFROVANÝ SÚKROMNÝ KĽÚČ----- Atribúty tašky friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -- Encrypt Authority ---ZAČIATOK CERTIFIKÁT-----  -----KONCOVÝ CERTIFIKÁT----- Vlastnosti tašky friendlyName: CN=Poďme šifrovať autoritu X3,O=Poďme zašifrovať,C=US predmet=/C=US/O=Poďme zašifrovať/CN=Poďme zašifrovať autoritu X3 vydavateľ=/O=Digitálny podpis Trust Co./CN=DST Root CA X3 -----ZAČIATOK CERTIFIKÁT-----  -----KONIEC CERTIFIKÁTU-----

Čo robiť ďalej

Vráťte sa na stránku Dokončenie predpokladov pre hybridné zabezpečenie údajov. V časti Vytvorenie konfiguračného ISO pre hostiteľov HDS použijete súbor hdsnode.p12 a heslo, ktoré ste preň nastavili.

Tieto súbory môžete znova použiť na vyžiadanie nového certifikátu, keď platnosť pôvodného certifikátu vyprší.

Prevádzka medzi uzlami HDS a cloudom

Odchádzajúca návštevnosť zberu metrík

Uzly Hybrid Data Security odosielajú určité metriky do cloudu Webex. Patria sem systémové metriky pre maximálnu haldu, využitú haldu, zaťaženie procesora a počet vlákien; metriky na synchrónnych a asynchrónnych vláknach; metriky výstrah zahŕňajúce prah šifrovacích pripojení, latenciu alebo dĺžku frontu požiadaviek; metriky na dátovom úložisku; a metriky šifrovaného pripojenia. Uzly posielajú zašifrovaný kľúčový materiál cez kanál mimo pásma (oddelený od požiadavky).

Prichádzajúca premávka

Uzly Hybrid Data Security prijímajú nasledujúce typy prichádzajúcej prevádzky z cloudu Webex:

  • Šifrovacie požiadavky od klientov, ktoré sú smerované šifrovacou službou

  • Aktualizácie softvéru uzla

Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát

Websocket sa nemôže pripojiť cez Squid Proxy

Servery proxy typu Squid, ktoré kontrolujú prenos HTTPS, môžu narúšať vytváranie pripojení websocket (wss:), ktoré vyžaduje Hybrid Data Security. Tieto časti poskytujú návod, ako nakonfigurovať rôzne verzie Squid tak, aby ignorovali wss: prevádzky pre správne fungovanie služieb.

Kalmáre 4 a 5

Pridajte on_unsupported_protocol smernicu na stránku squid.conf:

on_unsupported_protocol tunel všetko

Kalmáre 3.5.27

Úspešne sme testovali Hybrid Data Security pomocou nasledujúcich pravidiel pridaných na stránku squid.conf. Tieto pravidlá sa môžu meniť, pretože vyvíjame funkcie a aktualizujeme cloud Webex.

acl wssMercuryConnection ssl::server_name_regex ortuťové pripojenie ssl_bump splice wssMercuryConnection acl krok1 at_step SslBump1 acl krok2 at_step SslBump2 acl krok3 at_step SslBump3 ssl_bump pohľad krok1 všetko ssl_bump pozerať krok2 všetko ssl_bump vyskočiť krok3 všetko

Nové a zmenené informácie

Nové a zmenené informácie

Táto tabuľka obsahuje nové funkcie alebo funkcie, zmeny existujúceho obsahu a všetky hlavné chyby, ktoré boli opravené v Príručke nasadenia pre multi-tenantovú hybridnú bezpečnosť údajov.

Dátum

Vykonané zmeny

15. januára 2025

Pridané obmedzenia Hybridného zabezpečenia dát pre viacerých nájomníkov.

8. januára 2025

Do časti Vykonať úvodné nastavenie a prevziať inštalačné súbory bola pridaná poznámka, že kliknutie na položku Nastaviť na karte HDS v partnerskom centre je dôležitým krokom procesu inštalácie.

7. januára 2025

Aktualizované Požiadavky na virtuálneho hostiteľa, Tok úloh nasadenia hybridného zabezpečenia údajov a Inštalácia hostiteľského OVA HDS , aby zobrazovali novú požiadavku ESXi 7.0.

13. decembra 2024

Prvýkrát zverejnené.

Deaktivujte hybridné zabezpečenie dát pre viacerých nájomníkov

Tok úloh deaktivácie HDS pre viacerých nájomníkov

Ak chcete úplne deaktivovať Multi-Tenant HDS, postupujte podľa týchto krokov.

Skôr ako začnete

Túto úlohu by mal vykonávať iba úplný správca partnera.
1

Odstráňte všetkých zákazníkov zo všetkých svojich klastrov, ako je uvedené v časti Odstránenie organizácií nájomníkov.

2

Zrušte CMK všetkých zákazníkov, ako je uvedené v časti Zrušenie CMK nájomníkov odstránených z HDS.

3

Odstráňte všetky uzly zo všetkých klastrov, ako je uvedené v časti Odstránenie uzla.

4

Odstráňte všetky svoje klastre z Partner Hub pomocou jednej z nasledujúcich dvoch metód.

  • Kliknite na klaster, ktorý chcete odstrániť, a vyberte možnosť Odstrániť tento klaster v pravom hornom rohu stránky súhrnu.
  • Na stránke Zdroje kliknite na … na pravej strane klastra a vyberte možnosť Odstrániť klaster.
5

Kliknite na kartu Nastavenia na stránke prehľadu Hybrid Data Security a kliknite na položku Deaktivovať HDS na karte Stav HDS.

Začnite s Hybridným zabezpečením dát pre viacerých nájomníkov

Prehľad zabezpečenia hybridných dát pre viacerých nájomníkov

Od prvého dňa bola bezpečnosť údajov hlavným zameraním pri navrhovaní aplikácie Webex. Základným kameňom tohto zabezpečenia je komplexné šifrovanie obsahu, ktoré umožňujú klienti Webex App interagujúci so službou správy kľúčov (KMS). KMS je zodpovedný za vytváranie a správu kryptografických kľúčov, ktoré klienti používajú na dynamické šifrovanie a dešifrovanie správ a súborov.

V predvolenom nastavení dostávajú všetci zákazníci Webex App end-to-end šifrovanie s dynamickými kľúčmi uloženými v cloudovom KMS v oblasti bezpečnosti Cisco. Hybrid Data Security presúva KMS a ďalšie funkcie súvisiace so zabezpečením do vášho podnikového dátového centra, takže kľúče k vášmu šifrovanému obsahu nemá nikto okrem vás.

Multi-Tenant Hybrid Data Security umožňuje organizáciám využívať HDS prostredníctvom dôveryhodného miestneho partnera, ktorý môže pôsobiť ako poskytovateľ služieb a spravovať lokálne šifrovanie a ďalšie bezpečnostné služby. Toto nastavenie umožňuje partnerskej organizácii mať úplnú kontrolu nad nasadením a správou šifrovacích kľúčov a zaisťuje, že používateľské údaje zákazníckych organizácií sú v bezpečí pred externým prístupom. Partnerské organizácie podľa potreby nastavujú inštancie HDS a vytvárajú klastre HDS. Každá inštancia môže podporovať viacero zákazníckych organizácií na rozdiel od bežného nasadenia HDS, ktoré je obmedzené na jednu organizáciu.

Zatiaľ čo partnerské organizácie majú kontrolu nad nasadením a správou, nemajú prístup k údajom a obsahu generovanému zákazníkmi. Tento prístup je obmedzený na zákaznícke organizácie a ich používateľov.

To tiež umožňuje menším organizáciám využívať HDS, pretože službu správy kľúčov a bezpečnostnú infraštruktúru, ako sú dátové centrá, vlastní dôveryhodný miestny partner.

Ako Multi-Tenant Hybrid Data Security poskytuje dátovú suverenitu a kontrolu dát

  • Obsah generovaný používateľmi je chránený pred externým prístupom, ako sú poskytovatelia cloudových služieb.
  • Miestni dôveryhodní partneri spravujú šifrovacie kľúče zákazníkov, s ktorými už majú vybudovaný vzťah.
  • Možnosť miestnej technickej podpory, ak ju poskytuje partner.
  • Podporuje obsah stretnutí, správ a hovorov.

Tento dokument je zameraný na pomoc partnerským organizáciám pri nastavovaní a správe zákazníkov v rámci systému Multi-Tenant Hybrid Data Security.

Obmedzenia Hybridného zabezpečenia dát pre viacerých nájomníkov

  • Partnerské organizácie nesmú mať v Control Hub aktívne žiadne existujúce nasadenie HDS.
  • Nájomnícke alebo zákaznícke organizácie, ktoré chcú byť spravované partnerom, nesmú mať žiadne existujúce nasadenie HDS v Control Hub.
  • Akonáhle partner nasadí Multi-Tenant HDS, všetci používatelia zákazníckych organizácií, ako aj používatelia partnerskej organizácie začnú využívať Multi-Tenant HDS pre svoje šifrovacie služby.

    Partnerská organizácia a zákaznícke organizácie, ktoré riadia, budú využívať rovnaké nasadenie HDS pre viacerých nájomníkov.

    Po nasadení Multi-Tenant HDS už partnerská organizácia nebude používať cloudové KMS.

  • Neexistuje žiadny mechanizmus na presun kľúčov späť do Cloud KMS po nasadení HDS.
  • V súčasnosti môže mať každé nasadenie Multi-Tenant HDS iba jeden klaster s viacerými uzlami pod ním.
  • Úlohy správcu majú určité obmedzenia; podrobnosti nájdete v časti nižšie.

Úlohy v hybridnej bezpečnosti dát pre viacerých nájomníkov

  • Úplný správca partnera – môže spravovať nastavenia pre všetkých zákazníkov, ktorých partner spravuje. Môže tiež priradiť roly správcu existujúcim používateľom v organizácii a priradiť konkrétnych zákazníkov, ktorých majú spravovať správcovia partnerov.
  • Správca partnera – môže spravovať nastavenia pre zákazníkov, ktorých správca poskytol alebo ktorí boli priradení používateľovi.
  • Úplný správca – správca partnerskej organizácie, ktorý je oprávnený vykonávať úlohy, ako je úprava nastavení organizácie, správa licencií a prideľovanie rolí.
  • Nastavenie HDS pre viacerých nájomníkov a správa všetkých zákazníckych organizácií od konca do konca – Vyžaduje sa úplný správca partnera a úplné práva správcu.
  • Správa priradených organizácií nájomníkov – vyžaduje sa správca partnera a úplné práva správcu.

Architektúra bezpečnostnej sféry

Cloudová architektúra Webex oddeľuje rôzne typy služieb do samostatných oblastí alebo dôveryhodných domén, ako je znázornené nižšie.

Realms of Separation (bez Hybrid Data Security)

Aby sme lepšie porozumeli Hybrid Data Security, pozrime sa najprv na tento čistý cloud, kde Cisco poskytuje všetky funkcie vo svojich cloudových sférach. Služba identity, jediné miesto, kde môžu používatelia priamo korelovať so svojimi osobnými údajmi, ako je e-mailová adresa, je logicky a fyzicky oddelená od oblasti zabezpečenia v dátovom centre B. Obe sú zase oddelené od oblasti, kde je v konečnom dôsledku uložený šifrovaný obsah. , v dátovom centre C.

V tomto diagrame je klientom aplikácia Webex, ktorá beží na notebooku používateľa a je overená službou identity. Keď používateľ vytvorí správu na odoslanie do priestoru, vykonajú sa tieto kroky:

  1. Klient vytvorí zabezpečené spojenie so službou správy kľúčov (KMS), potom požiada o kľúč na zašifrovanie správy. Zabezpečené pripojenie používa ECDH a KMS šifruje kľúč pomocou hlavného kľúča AES-256.

  2. Správa je pred opustením klienta zašifrovaná. Klient ho odošle do indexovacej služby, ktorá vytvorí šifrované indexy vyhľadávania na pomoc pri budúcom vyhľadávaní obsahu.

  3. Zašifrovaná správa sa odošle do služby súladu na kontrolu súladu.

  4. Zašifrovaná správa je uložená v úložnej sfére.

Keď nasadíte Hybrid Data Security, presuniete funkcie bezpečnostnej sféry (KMS, indexovanie a súlad) do vášho lokálneho dátového centra. Ostatné cloudové služby, ktoré tvoria Webex (vrátane ukladania identity a obsahu), zostávajú v sférach spoločnosti Cisco.

Spolupráca s inými organizáciami

Používatelia vo vašej organizácii môžu pravidelne používať aplikáciu Webex na spoluprácu s externými účastníkmi v iných organizáciách. Keď jeden z vašich používateľov požaduje kľúč pre priestor, ktorý vlastní vaša organizácia (pretože ho vytvoril jeden z vašich používateľov), váš KMS odošle kľúč klientovi cez zabezpečený kanál ECDH. Keď však kľúč priestoru vlastní iná organizácia, váš KMS nasmeruje požiadavku do cloudu Webex cez samostatný kanál ECDH, aby získal kľúč z príslušného KMS, a potom vráti kľúč vášmu používateľovi na pôvodnom kanáli.

Služba KMS spustená v organizácii A overuje pripojenia ku KMS v iných organizáciách pomocou x.509 PKI certifikátov. Podrobnosti o generovaní certifikátu x.509 na použitie s nasadením Hybrid Data Security pre viacerých nájomníkov nájdete v časti Príprava prostredia .

Očakávania týkajúce sa nasadenia hybridnej bezpečnosti údajov

Nasadenie Hybrid Data Security si vyžaduje značné odhodlanie a uvedomenie si rizík, ktoré so sebou prináša vlastníctvo šifrovacích kľúčov.

Ak chcete nasadiť Hybrid Data Security, musíte poskytnúť:

Úplná strata buď konfiguračného ISO, ktoré ste vytvorili pre Hybrid Data Security, alebo databázy, ktorú poskytnete, bude mať za následok stratu kľúčov. Strata kľúča bráni používateľom dešifrovať obsah priestoru a ďalšie šifrované údaje v aplikácii Webex. Ak sa tak stane, môžete vytvoriť nové nasadenie, ale bude viditeľný iba nový obsah. Aby ste predišli strate prístupu k údajom, musíte:

  • Spravujte zálohovanie a obnovu databázy a konfiguračného ISO.

  • Buďte pripravení vykonať rýchlu obnovu po havárii, ak dôjde ku katastrofe, ako je zlyhanie databázového disku alebo katastrofa dátového centra.

Neexistuje žiadny mechanizmus na presun kľúčov späť do cloudu po nasadení HDS.

Proces nastavenia na vysokej úrovni

Tento dokument pokrýva nastavenie a správu nasadenia Hybrid Data Security pre viacerých nájomníkov:

  • Nastavenie Hybrid Data Security – zahŕňa prípravu požadovanej infraštruktúry a inštaláciu softvéru Hybrid Data Security, vybudovanie klastra HDS, pridanie organizácií nájomníkov do klastra a správu ich hlavných kľúčov zákazníkov (CMK). To umožní všetkým používateľom vašich zákazníckych organizácií používať váš klaster Hybrid Data Security na bezpečnostné funkcie.

    Fázy nastavenia, aktivácie a správy sú podrobne opísané v nasledujúcich troch kapitolách.

  • Udržujte svoje nasadenie Hybrid Data Security – cloud Webex automaticky poskytuje priebežné inovácie. Vaše IT oddelenie môže poskytnúť podporu prvej úrovne pre toto nasadenie a podľa potreby zapojiť podporu Cisco. V partnerskom centre môžete používať upozornenia na obrazovke a nastaviť upozornenia prostredníctvom e-mailu.

  • Pochopte bežné upozornenia, kroky na riešenie problémov a známe problémy – Ak narazíte na problémy s nasadením alebo používaním Hybrid Data Security, posledná kapitola tejto príručky a príloha Známe problémy vám môžu pomôcť určiť a vyriešiť problém.

Hybridný model nasadenia zabezpečenia dát

V rámci podnikového dátového centra nasadíte Hybrid Data Security ako jeden klaster uzlov na samostatných virtuálnych hostiteľoch. Uzly komunikujú s cloudom Webex cez zabezpečené websockety a zabezpečené HTTP.

Počas procesu inštalácie vám poskytneme súbor OVA na nastavenie virtuálneho zariadenia na VM, ktoré poskytnete. Nástroj HDS Setup Tool použijete na vytvorenie vlastného konfiguračného súboru ISO klastra, ktorý pripojíte na každý uzol. Klaster Hybrid Data Security využíva váš poskytnutý server Syslogd a databázu PostgreSQL alebo Microsoft SQL Server. (Syslogd a podrobnosti o pripojení k databáze nakonfigurujete v nástroji HDS Setup Tool.)

Hybridný model nasadenia zabezpečenia dát

Minimálny počet uzlov, ktoré môžete mať v klastri, sú dva. Odporúčame aspoň tri na klaster. Viacnásobné uzly zaisťujú, že služba nebude prerušená počas aktualizácie softvéru alebo inej činnosti údržby na uzle. (Cloud Webex aktualizuje naraz iba jeden uzol.)

Všetky uzly v klastri pristupujú k rovnakému úložisku údajov kľúčov a zaznamenávajú aktivitu na rovnaký server syslog. Samotné uzly sú bez stavu a spracovávajú kľúčové požiadavky v režime round-robin podľa pokynov cloudu.

Uzly sa stanú aktívnymi, keď ich zaregistrujete v Partner Hub. Ak chcete vyradiť jednotlivý uzol z prevádzky, môžete ho zrušiť a neskôr v prípade potreby znova zaregistrovať.

Pohotovostné dátové centrum pre obnovu po havárii

Počas nasadenia nastavíte zabezpečené pohotovostné dátové centrum. V prípade havárie dátového centra môžete manuálne zlyhať nasadenie do pohotovostného dátového centra.

Pred zlyhaním má Dátové centrum A aktívne uzly HDS a primárnu databázu PostgreSQL alebo Microsoft SQL Server, zatiaľ čo B má kópiu súboru ISO s ďalšími konfiguráciami, virtuálne počítače, ktoré sú registrované v organizácii, a záložnú databázu. Po zlyhaní má Dátové centrum B aktívne uzly HDS a primárnu databázu, zatiaľ čo A má neregistrované VM a kópiu súboru ISO a databáza je v pohotovostnom režime.
Manuálne prepnutie do pohotovostného dátového centra

Databázy aktívnych a pohotovostných dátových centier sú navzájom synchronizované, čo minimalizuje čas potrebný na vykonanie núdzového prepnutia.

Aktívne uzly Hybrid Data Security musia byť vždy v rovnakom údajovom centre ako aktívny databázový server.

Podpora proxy

Hybrid Data Security podporuje explicitné, transparentné kontrolné a nekontrolujúce proxy. Tieto servery proxy môžete prepojiť s nasadením, aby ste mohli zabezpečiť a monitorovať prevádzku z podniku do cloudu. Rozhranie správcu platformy na uzloch môžete použiť na správu certifikátov a na kontrolu celkového stavu pripojenia po nastavení servera proxy na uzloch.

Uzly Hybrid Data Security podporujú nasledujúce možnosti proxy:

  • Bez servera proxy – predvolená hodnota, ak na integráciu servera proxy nepoužívate konfiguráciu dôveryhodného obchodu a servera proxy na nastavenie uzla HDS. Nevyžaduje sa žiadna aktualizácia certifikátu.

  • Transparentný nekontrolujúci proxy server – uzly nie sú nakonfigurované na používanie konkrétnej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.

  • Transparentné tunelovanie alebo kontrola servera proxy – uzly nie sú nakonfigurované na používanie konkrétnej adresy servera proxy. Na uzloch nie sú potrebné žiadne zmeny konfigurácie HTTP alebo HTTPS. Uzly však potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).

  • Explicitný server proxy – pomocou explicitného servera proxy poviete uzlom HDS, ktorý server proxy a schému overenia majú použiť. Ak chcete nakonfigurovať explicitný server proxy, musíte do každého uzla zadať nasledujúce informácie:

    1. Proxy IP/FQDN – adresa, ktorú možno použiť na spojenie so zariadením proxy.

    2. Port proxy – číslo portu, ktoré server proxy používa na počúvanie prenosu cez server proxy.

    3. Protokol proxy – v závislosti od toho, čo váš server proxy podporuje, si vyberte z nasledujúcich protokolov:

      • HTTP – zobrazuje a riadi všetky požiadavky, ktoré klient odosiela.

      • HTTPS – poskytuje kanál pre server. Klient prijme a overí certifikát servera.

    4. Typ overenia totožnosti – vyberte si z nasledujúcich typov overenia totožnosti:

      • Žiadne – nevyžaduje sa žiadne ďalšie overenie.

        Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.

      • Základné – používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.

        Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.

        Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.

      • Súhrn – používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.

        Dostupné, iba ak vyberiete HTTPS ako protokol proxy.

        Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.

Príklad uzlov na zabezpečenie hybridných dát a proxy

Tento diagram ukazuje príklad spojenia medzi Hybrid Data Security, sieťou a proxy. Pre možnosti transparentnej kontroly a explicitnej kontroly HTTPS musí byť na serveri proxy a na uzloch Hybrid Data Security nainštalovaný rovnaký koreňový certifikát.

Blokovaný režim externého rozlíšenia DNS (explicitné konfigurácie proxy)

Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. V nasadeniach s explicitnými konfiguráciami proxy, ktoré neumožňujú externé rozlíšenie DNS pre interných klientov, ak uzol nemôže dotazovať servery DNS, automaticky prejde do režimu blokovaného externého riešenia DNS. V tomto režime môže pokračovať registrácia uzla a ďalšie testy pripojenia proxy.

Príprava prostredia

Požiadavky na hybridné zabezpečenie dát pre viacerých nájomníkov

Požiadavky na licenciu Cisco Webex

Ak chcete nasadiť hybridné zabezpečenie dát pre viacerých nájomníkov:

  • Partnerské organizácie: Kontaktujte svojho partnera Cisco alebo správcu účtu a uistite sa, že je povolená funkcia viacerých nájomníkov.

  • Nájomné organizácie: Musíte mať balík Pro Pack pre Cisco Webex Control Hub. (Pozrite si https://www.cisco.com/go/pro-pack.)

Požiadavky na plochu Docker

Pred inštaláciou uzlov HDS potrebujete Docker Desktop na spustenie inštalačného programu. Docker nedávno aktualizoval svoj licenčný model. Vaša organizácia môže vyžadovať platené predplatné pre Docker Desktop. Podrobnosti nájdete v blogovom príspevku Docker „ Docker aktualizuje a rozširuje naše predplatné produktov“.

Požiadavky na certifikát X.509

Certifikačný reťazec musí spĺňať nasledujúce požiadavky:

Tabuľka č. 1 Požiadavky certifikátu X.509 pre nasadenie hybridného zabezpečenia dát

Požiadavka

Podrobnosti

  • Podpísané dôveryhodnou certifikačnou autoritou (CA)

V predvolenom nastavení dôverujeme CA v zozname Mozilly (s výnimkou WoSign a StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

  • Nesie názov domény Common Name (CN), ktorý identifikuje vaše nasadenie Hybrid Data Security

  • Nie je to zástupný certifikát

CN nemusí byť dosiahnuteľné alebo živého hostiteľa. Odporúčame vám použiť názov, ktorý zodpovedá vašej organizácii, napríklad hds.company.com.

KN nesmie obsahovať * (zástupný znak).

CN sa používa na overenie uzlov Hybrid Data Security pre klientov Webex App. Všetky uzly Hybrid Data Security vo vašom klastri používajú rovnaký certifikát. Váš KMS sa identifikuje pomocou domény CN, nie akejkoľvek domény, ktorá je definovaná v poliach x.509v3 SAN.

Po zaregistrovaní uzla s týmto certifikátom nepodporujeme zmenu názvu domény CN.

  • Podpis iný ako SHA1

Softvér KMS nepodporuje podpisy SHA1 na overenie pripojení k KMS iných organizácií.

  • Naformátovaný ako súbor PKCS #12 chránený heslom

  • Použite priateľský názov kms-private-key na označenie certifikátu, súkromného kľúča a akýchkoľvek sprostredkujúcich certifikátov na odovzdanie.

Na zmenu formátu certifikátu môžete použiť konvertor, ako je OpenSSL.

Pri spustení nástroja HDS Setup Tool budete musieť zadať heslo.

Softvér KMS nevynucuje používanie kľúčov ani rozšírené obmedzenia používania kľúčov. Niektoré certifikačné autority vyžadujú, aby sa na každý certifikát aplikovali rozšírené obmedzenia používania kľúčov, ako je autentifikácia servera. Je v poriadku použiť overenie servera alebo iné nastavenia.

Požiadavky na virtuálny hostiteľ

Virtuálni hostitelia, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri, majú nasledujúce požiadavky:

  • Aspoň dvaja oddelení hostitelia (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre

  • VMware ESXi 7.0 (alebo novší) nainštalovaný a spustený.

    Ak máte staršiu verziu ESXi, musíte vykonať inováciu.

  • Minimálne 4 vCPU, 8 GB hlavnej pamäte, 30 GB miesta na lokálnom pevnom disku na server

Požiadavky na databázový server

Vytvorte novú databázu pre uloženie kľúčov. Nepoužívajte predvolenú databázu. Aplikácie HDS, keď sú nainštalované, vytvoria schému databázy.

Pre databázový server sú dve možnosti. Požiadavky na každú z nich sú nasledovné:

Tabuľka 2 Požiadavky na databázový server podľa typu databázy

PostgreSQL

Microsoft SQL Server

  • PostgreSQL 14, 15 alebo 16, nainštalovaný a spustený.

  • SQL Server 2016, 2017 alebo 2019 (Enterprise alebo Standard) nainštalovaný.

    SQL Server 2016 vyžaduje Service Pack 2 a Kumulatívna aktualizácia 2 alebo novšia.

Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložisko)

Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložisko)

Softvér HDS momentálne inštaluje nasledujúce verzie ovládačov na komunikáciu s databázovým serverom:

PostgreSQL

Microsoft SQL Server

Postgres JDBC ovládač 42.2.5

Ovládač SQL Server JDBC 4.6

Táto verzia ovládača podporuje server SQL Server Always On (Inštancie klastra prepnutia pri zlyhaní a skupiny dostupnosti Vždy zapnuté).

Dodatočné požiadavky na overenie systému Windows voči Microsoft SQL Server

Ak chcete, aby uzly HDS používali autentifikáciu systému Windows na získanie prístupu k vašej databáze úložiska kľúčov na serveri Microsoft SQL Server, potrebujete vo svojom prostredí nasledujúcu konfiguráciu:

  • HDS uzly, infraštruktúra Active Directory a MS SQL Server musia byť synchronizované s NTP.

  • Účet Windows, ktorý poskytnete uzlom HDS, musí mať prístup k databáze na čítanie/zápis.

  • Servery DNS, ktoré poskytujete uzlom HDS, musia byť schopné vyriešiť vaše Centrum distribúcie kľúčov (KDC).

  • Inštanciu databázy HDS môžete zaregistrovať na svojom serveri Microsoft SQL Server ako hlavný názov služby (SPN) vo vašom adresári Active Directory. Pozrite si časť Registrácia hlavného názvu služby pre pripojenia Kerberos.

    Nástroj na nastavenie HDS, spúšťač HDS a miestne KMS musia na prístup k databáze kľúčov používať overenie systému Windows. Používajú podrobnosti z vašej konfigurácie ISO na vytvorenie SPN pri požadovaní prístupu s overením Kerberos.

Požiadavky na externé pripojenie

Nakonfigurujte svoj firewall tak, aby umožňoval nasledujúce pripojenie pre aplikácie HDS:

Aplikácia

Protokol

Port

Smer z App

Cieľ

Hybridné uzly zabezpečenia údajov

TCP

443

Odchádzajúce HTTPS a WSS

  • Webex servery:

    • *.wbx2.com

    • *.ciscospark.com

  • Všetci hostitelia Common Identity

  • Ďalšie adresy URL, ktoré sú uvedené pre Hybrid Data Security v tabuľke Ďalšie adresy URL pre hybridné služby Webex v časti Požiadavky na sieť pre služby Webex

Nástroj na nastavenie HDS

TCP

443

Odchádzajúce HTTPS

  • *.wbx2.com

  • Všetci hostitelia Common Identity

  • hub.docker.com

Uzly Hybrid Data Security pracujú s prekladom sieťového prístupu (NAT) alebo za bránou firewall, pokiaľ NAT alebo brána firewall umožňuje požadované odchádzajúce pripojenia k destináciám domény v predchádzajúcej tabuľke. Pre pripojenia prichádzajúce do uzlov Hybrid Data Security by nemali byť z internetu viditeľné žiadne porty. V rámci vášho dátového centra potrebujú klienti prístup k uzlom Hybrid Data Security na portoch TCP 443 a 22 na administratívne účely.

Adresy URL hostiteľov Common Identity (CI) sú špecifické pre daný región. Toto sú súčasní hostitelia CI:

región

Spoločné adresy URL hostiteľa identity

Ameriky

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Európskej únie

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur
  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Spojené arabské emiráty
  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Požiadavky na proxy server

  • Oficiálne podporujeme nasledujúce proxy riešenia, ktoré sa dajú integrovať s vašimi uzlami Hybrid Data Security.

  • Pre explicitné servery proxy podporujeme nasledujúce kombinácie typov overenia:

    • Žiadna autentifikácia pomocou HTTP alebo HTTPS

    • Základná autentifikácia pomocou HTTP alebo HTTPS

    • Digest overenie iba s HTTPS

  • Pre transparentný kontrolný proxy server alebo explicitný proxy server HTTPS musíte mať kópiu koreňového certifikátu servera proxy. Pokyny na nasadenie v tejto príručke vám povedia, ako nahrať kópiu do dôveryhodných obchodov uzlov Hybrid Data Security.

  • Sieť, ktorá hostí uzly HDS, musí byť nakonfigurovaná tak, aby vynútila smerovanie odchádzajúcej prevádzky TCP na porte 443 cez server proxy.

  • Proxy, ktoré kontrolujú webovú prevádzku, môžu narúšať pripojenia webových soketov. Ak sa vyskytne tento problém, problém vyrieši obídenie (nie kontrola) návštevnosti stránok wbx2.com a ciscospark.com .

Vyplňte Predpoklady pre hybridnú bezpečnosť údajov

Pomocou tohto kontrolného zoznamu sa uistite, že ste pripravení na inštaláciu a konfiguráciu klastra Hybrid Data Security.
1

Uistite sa, že vaša partnerská organizácia má povolenú funkciu Multi-Tenant HDS a získajte prihlasovacie údaje účtu s úplným správcom partnera a plnými právami správcu. Uistite sa, že vaša organizácia zákazníkov Webex má povolený balík Pro Pack pre Cisco Webex Control Hub. Ak potrebujete pomoc s týmto procesom, kontaktujte svojho partnera Cisco alebo account manažéra.

Zákaznícke organizácie by nemali mať žiadne existujúce nasadenie HDS.

2

Vyberte názov domény pre svoje nasadenie HDS (napríklad hds.company.com) a získajte reťaz certifikátov obsahujúci certifikát X.509, súkromný kľúč a akékoľvek sprostredkujúce certifikáty. Reťazec certifikátov musí spĺňať požiadavky uvedené v časti Požiadavky na certifikát X.509.

3

Pripravte si identických virtuálnych hostiteľov, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri. Potrebujete aspoň dvoch samostatných hostiteľov (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre, ktorí spĺňajú požiadavky v časti Požiadavky na virtuálneho hostiteľa.

4

Pripravte databázový server, ktorý bude fungovať ako úložisko kľúčových údajov pre klaster, v súlade s požiadavkami na databázový server. Databázový server musí byť umiestnený v zabezpečenom údajovom centre spolu s virtuálnymi hostiteľmi.

  1. Vytvorte databázu pre ukladanie kľúčov. (Túto databázu musíte vytvoriť – nepoužívajte predvolenú databázu. Aplikácie HDS po nainštalovaní vytvoria schému databázy.)

  2. Zhromaždite podrobnosti, ktoré budú uzly používať na komunikáciu s databázovým serverom:

    • názov hostiteľa alebo IP adresa (hostiteľ) a port

    • názov databázy (dbname) pre uloženie kľúčov

    • užívateľské meno a heslo užívateľa so všetkými privilégiami v databáze kľúča

5

Pre rýchlu obnovu po havárii nastavte zálohovacie prostredie v inom dátovom centre. Zálohovacie prostredie odzrkadľuje produkčné prostredie VM a záložný databázový server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM.

6

Nastavte hostiteľa syslog na zhromažďovanie protokolov z uzlov v klastri. Získajte jeho sieťovú adresu a port syslog (predvolené je UDP 514).

7

Vytvorte politiku bezpečného zálohovania pre uzly Hybrid Data Security, databázový server a hostiteľa syslog. Aby ste predišli nenapraviteľnej strate údajov, musíte minimálne zálohovať databázu a konfiguračný súbor ISO vygenerovaný pre uzly Hybrid Data Security.

Keďže uzly Hybrid Data Security ukladajú kľúče používané na šifrovanie a dešifrovanie obsahu, zlyhanie prevádzkyschopného nasadenia bude mať za následok NEOBNOVITEĽNÚ STRATU tohto obsahu.

Klienti Webex App ukladajú svoje kľúče do vyrovnávacej pamäte, takže výpadok nemusí byť okamžite viditeľný, ale časom sa prejaví. Zatiaľ čo dočasným výpadkom nie je možné zabrániť, sú obnoviteľné. Úplná strata (nie sú k dispozícii žiadne zálohy) databázy alebo konfiguračného ISO súboru však bude mať za následok neobnoviteľné zákaznícke údaje. Od operátorov uzlov Hybrid Data Security sa očakáva, že budú pravidelne zálohovať databázu a konfiguračný súbor ISO a budú pripravení na prestavbu dátového centra Hybrid Data Security, ak dôjde ku katastrofálnej poruche.

8

Uistite sa, že konfigurácia brány firewall umožňuje pripojenie pre uzly Hybrid Data Security, ako je uvedené v časti Požiadavky na externé pripojenie.

9

Nainštalujte Docker ( https://www.docker.com) na ľubovoľný lokálny počítač s podporovaným operačným systémom (Microsoft Windows 10 Professional alebo Enterprise 64-bitový alebo Mac OSX Yosemite 10.10.3 alebo novší) pomocou webového prehliadača, ktorý k nemu má prístup na adrese http://127.0.0.1:8080.

Inštanciu Docker použijete na stiahnutie a spustenie nástroja HDS Setup Tool, ktorý vytvorí informácie o lokálnej konfigurácii pre všetky uzly Hybrid Data Security. Možno budete potrebovať licenciu Docker Desktop. Ďalšie informácie nájdete v časti Požiadavky na pracovnú plochu Docker .

Ak chcete nainštalovať a spustiť nástroj HDS Setup Tool, miestny počítač musí mať pripojenie uvedené v časti Požiadavky na externé pripojenie.

10

Ak integrujete server proxy so službou Hybrid Data Security, uistite sa, že spĺňa požiadavky na server proxy.

Nastavte klaster Hybrid Data Security

Tok úloh nasadenia zabezpečenia hybridných údajov

Skôr ako začnete

1

Vykonajte počiatočné nastavenie a stiahnite inštalačné súbory

Stiahnite si súbor OVA na váš lokálny počítač pre neskoršie použitie.

2

Vytvorte ISO konfigurácie pre hostiteľov HDS

Pomocou nástroja HDS Setup Tool vytvorte konfiguračný súbor ISO pre uzly Hybrid Data Security.

3

Nainštalujte HDS Host OVA

Vytvorte virtuálny počítač zo súboru OVA a vykonajte počiatočnú konfiguráciu, ako sú nastavenia siete.

Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 7.0. Táto možnosť nemusí byť dostupná v starších verziách.

4

Nastavte virtuálny počítač Hybrid Data Security

Prihláste sa do konzoly VM a nastavte prihlasovacie poverenia. Nakonfigurujte sieťové nastavenia pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.

5

Nahrajte a pripojte ISO konfiguráciu HDS

Nakonfigurujte VM z konfiguračného súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool.

6

Nakonfigurujte uzol HDS na integráciu proxy

Ak sieťové prostredie vyžaduje konfiguráciu servera proxy, zadajte typ servera proxy, ktorý použijete pre uzol, a v prípade potreby pridajte certifikát servera proxy do dôveryhodného úložiska.

7

Zaregistrujte prvý uzol v klastri

Zaregistrujte VM v cloude Cisco Webex ako uzol Hybrid Data Security.

8

Vytvorte a zaregistrujte viac uzlov

Dokončite nastavenie klastra.

9

Aktivujte si Multi-Tenant HDS na Partner Hub.

Aktivujte si HDS a spravujte organizácie nájomníkov na Partner Hub.

Vykonajte počiatočné nastavenie a stiahnite inštalačné súbory

V tejto úlohe stiahnete súbor OVA do svojho počítača (nie na servery, ktoré ste nastavili ako uzly Hybrid Data Security). Tento súbor použijete neskôr v procese inštalácie.

1

Prihláste sa do Partnerského centra a potom kliknite na položku Služby.

2

V časti Cloudové služby nájdite kartu Hybrid Data Security a kliknite na tlačidlo Nastaviť.

Pre proces nasadenia je rozhodujúce kliknutie na položku Nastaviť v partnerskom centre. Nepokračujte v inštalácii bez dokončenia tohto kroku.

3

Kliknite na položku Pridať zdroj a kliknite na položku Prevziať súbor .OVA na karte Inštalovať a konfigurovať softvér .

Staršie verzie softvérového balíka (OVA) nebudú kompatibilné s najnovšími aktualizáciami Hybrid Data Security. To môže viesť k problémom pri inovácii aplikácie. Uistite sa, že ste si stiahli najnovšiu verziu súboru OVA.

OVA si tiež môžete kedykoľvek stiahnuť zo sekcie Pomocník . Kliknite na položky Nastavenia > Pomocník > Prevziať softvér Hybrid Data Security.

Súbor OVA sa začne automaticky sťahovať. Uložte súbor na miesto v počítači.
4

Voliteľne kliknite na položku Zobraziť príručku nasadenia hybridného zabezpečenia údajov a skontrolujte, či je k dispozícii novšia verzia tejto príručky.

Vytvorte ISO konfigurácie pre hostiteľov HDS

Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.

Skôr ako začnete

1

Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

V bežných prostrediach:

docker rmi ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

2

Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:

docker login -u hdscustomersro
3

Pri výzve na zadanie hesla zadajte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stiahnite si najnovší stabilný obraz pre vaše prostredie:

V bežných prostrediach:

docker pull ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

  • V bežných prostrediach bez servera proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V prostrediach FedRAMP bez proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • V prostrediach FedRAMP s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný
  • V prostrediach FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný

Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“.

6

Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 .

Pomocou webového prehliadača prejdite na localhost, http://127.0.0.1:8080, a po výzve zadajte používateľské meno správcu pre partnerské centrum.

Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie.

7

Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia správcu Partner Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre Hybrid Data Security.

8

Na stránke prehľadu nástroja Setup kliknite na položku Začíname.

9

Na stránke Import ISO máte tieto možnosti:

  • Nie – Ak vytvárate svoj prvý uzol HDS, nemáte súbor ISO na odovzdanie.
  • Áno – ak ste už vytvorili uzly HDS, vyberte súbor ISO v prehľadávaní a odovzdajte ho.
10

Skontrolujte, či váš certifikát X.509 spĺňa požiadavky uvedené v časti Požiadavky na certifikát X.509.

  • Ak ste ešte nikdy neodovzdali certifikát, odovzdajte certifikát X.509, zadajte heslo a kliknite na tlačidlo Pokračovať.
  • Ak je váš certifikát v poriadku, kliknite na tlačidlo Pokračovať.
  • Ak platnosť vášho certifikátu vypršala alebo ho chcete nahradiť, vyberte možnosť Nie pre možnosť Pokračovať v používaní reťazca certifikátov HDS a súkromného kľúča z predchádzajúcej normy ISO?. Odovzdajte nový certifikát X.509, zadajte heslo a kliknite na tlačidlo Pokračovať.
11

Zadajte databázovú adresu a účet pre HDS, aby ste získali prístup k vášmu úložisku kľúčových údajov:

  1. Vyberte svoj Typ databázy (PostgreSQL alebo Microsoft SQL Server).

    Ak vyberiete možnosť Microsoft SQL Server, zobrazí sa pole Typ overenia.

  2. (Iba Microsoft SQL Server ) Vyberte svoj Typ overenia:

    • Základná autentifikácia: V poli Používateľské meno potrebujete názov lokálneho účtu SQL Server.

    • Overovanie systému Windows: Potrebujete účet Windows vo formáte používateľské meno@DOMAIN v poli Používateľské meno .

  3. Zadajte adresu databázového servera v tvare : alebo :.

    Príklad:
    dbhost.example.org:1433 alebo 198.51.100.17:1433

    Ak uzly nemôžu použiť DNS na rozlíšenie názvu hostiteľa, môžete použiť IP adresu na základnú autentifikáciu.

    Ak používate overenie systému Windows, musíte zadať úplný názov domény vo formáte dbhost.example.org:1433

  4. Zadajte Názov databázy.

  5. Zadajte Používateľské meno a Heslo používateľa so všetkými oprávneniami v databáze úložiska kľúčov.

12

Vyberte Režim pripojenia databázy TLS:

Režim

Opis

Preferovať TLS (predvolená možnosť)

HDS uzly nevyžadujú TLS na pripojenie k databázovému serveru. Ak povolíte TLS na databázovom serveri, uzly sa pokúsia o šifrované pripojenie.

Vyžadovať TLS

Uzly HDS sa pripájajú iba vtedy, ak databázový server dokáže dohodnúť TLS.

Vyžadovať TLS a overiť podpisovateľa certifikátu

Tento režim nie je použiteľný pre databázy SQL Server.

  • Uzly HDS sa pripájajú iba vtedy, ak databázový server dokáže dohodnúť TLS.

  • Po vytvorení pripojenia TLS uzol porovná podpisovateľa certifikátu z databázového servera s certifikačnou autoritou v koreňovom certifikáte databázy. Ak sa nezhodujú, uzol zruší spojenie.

Na odovzdanie koreňového certifikátu pre túto možnosť použite ovládací prvok Koreňový certifikát databázy pod rozbaľovacím zoznamom.

Vyžadovať TLS a overiť podpisovateľa certifikátu a názov hostiteľa

  • Uzly HDS sa pripájajú iba vtedy, ak databázový server dokáže dohodnúť TLS.

  • Po vytvorení pripojenia TLS uzol porovná podpisovateľa certifikátu z databázového servera s certifikačnou autoritou v koreňovom certifikáte databázy. Ak sa nezhodujú, uzol zruší spojenie.

  • Uzly tiež overia, či sa názov hostiteľa v certifikáte servera zhoduje s názvom hostiteľa v poli Hostiteľ databázy a port . Názvy sa musia presne zhodovať, inak uzol zruší spojenie.

Na odovzdanie koreňového certifikátu pre túto možnosť použite ovládací prvok Koreňový certifikát databázy pod rozbaľovacím zoznamom.

Keď odovzdáte koreňový certifikát (ak je to potrebné) a kliknete na tlačidlo Pokračovať, nástroj HDS Setup Tool otestuje pripojenie TLS k databázovému serveru. Nástroj tiež overuje podpisovateľa certifikátu a názov hostiteľa, ak je to potrebné. Ak test zlyhá, nástroj zobrazí chybové hlásenie s popisom problému. Môžete si vybrať, či chcete chybu ignorovať a pokračovať v nastavovaní. (Vzhľadom na rozdiely v konektivite môžu byť uzly HDS schopné vytvoriť pripojenie TLS, aj keď ho zariadenie HDS Setup Tool nedokáže úspešne otestovať.)

13

Na stránke Systémové denníky nakonfigurujte svoj server Syslogd:

  1. Zadajte adresu URL servera syslog.

    Ak server nie je schopný rozlíšiť DNS z uzlov pre váš klaster HDS, použite v adrese URL adresu IP.

    Príklad:
    udp://10.92.43.23:514 označuje prihlásenie do hostiteľa Syslogd 10.92.43.23 na porte UDP 514.
  2. Ak ste na svojom serveri nastavili používanie šifrovania TLS, začiarknite políčko Je váš server syslog nakonfigurovaný na šifrovanie SSL?.

    Ak začiarknete toto políčko, uistite sa, že ste zadali adresu URL TCP, napríklad tcp://10.92.43.23:514.

  3. V rozbaľovacej ponuke Vybrať ukončenie záznamu syslog vyberte vhodné nastavenie pre váš súbor ISO: Choose alebo Newline sa používa pre Graylog a Rsyslog TCP

    • Null byte -- \x00

    • Nový riadok -- \n – Túto možnosť vyberte pre Graylog a Rsyslog TCP.

  4. Kliknite na tlačidlo Pokračovať.

14

(Voliteľné) Predvolenú hodnotu niektorých parametrov pripojenia k databáze môžete zmeniť v časti Rozšírené nastavenia. Vo všeobecnosti je tento parameter jediný, ktorý možno budete chcieť zmeniť:

app_datasource_connection_pool_maxVeľkosť: 10
15

Kliknite na tlačidlo Pokračovať na obrazovke Obnoviť heslo servisných účtov .

Heslá k servisným účtom majú životnosť deväť mesiacov. Túto obrazovku použite, keď sa blíži koniec platnosti vašich hesiel alebo ich chcete resetovať, aby ste zrušili platnosť predchádzajúcich súborov ISO.

16

Kliknite na položku Prevziať súbor ISO. Uložte súbor na miesto, ktoré sa dá ľahko nájsť.

17

Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme.

Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii.

18

Ak chcete vypnúť inštalačný nástroj, napíšte CTRL+C.

Čo robiť ďalej

Zálohujte konfiguračný súbor ISO. Potrebujete ho na vytvorenie ďalších uzlov na obnovu alebo na vykonanie zmien v konfigurácii. Ak stratíte všetky kópie súboru ISO, stratili ste aj hlavný kľúč. Obnovenie kľúčov z databázy PostgreSQL alebo Microsoft SQL Server nie je možné.

Nikdy nemáme kópiu tohto kľúča a nemôžeme vám pomôcť, ak ho stratíte.

Nainštalujte HDS Host OVA

Tento postup použite na vytvorenie virtuálneho počítača zo súboru OVA.
1

Na prihlásenie do virtuálneho hostiteľa ESXi použite klienta VMware vSphere na vašom počítači.

2

Vyberte položku Súbor > Nasadiť šablónu OVF.

3

V sprievodcovi zadajte umiestnenie súboru OVA, ktorý ste prevzali predtým, a potom kliknite na tlačidlo Ďalej.

4

Na stránke Vyberte názov a priečinok zadajte Názov virtuálneho počítača pre uzol (napríklad „HDS_Node_1“) a vyberte umiestnenie, kde nasadenie uzla virtuálneho počítača sa môže nachádzať a potom kliknite na tlačidlo Ďalej.

5

Na stránke Vyberte výpočtový zdroj vyberte cieľový výpočtový zdroj a potom kliknite na tlačidlo Ďalej.

Prebehne overovacia kontrola. Po dokončení sa zobrazia podrobnosti šablóny.

6

Overte podrobnosti šablóny a potom kliknite na tlačidlo Ďalej.

7

Ak sa zobrazí výzva na výber konfigurácie prostriedkov na stránke Konfigurácia , kliknite na položku 4 CPU a potom kliknite na tlačidlo Ďalej.

8

Na stránke Vybrať úložisko kliknite na tlačidlo Ďalej , čím prijmete predvolený formát disku a pravidlá úložiska VM.

9

Na stránke Vybrať siete vyberte sieťovú možnosť zo zoznamu položiek, aby ste poskytli požadované pripojenie k virtuálnemu počítaču.

10

Na stránke Prispôsobiť šablónu nakonfigurujte nasledujúce nastavenia siete:

  • Názov hostiteľa – zadajte FQDN (názov hostiteľa a doménu) alebo jednoslovný názov hostiteľa pre uzol.
    • Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509.

    • Ak chcete zabezpečiť úspešnú registráciu do cloudu, použite iba malé písmená v FQDN alebo názve hostiteľa, ktorý ste nastavili pre uzol. Veľké písmená momentálne nie sú podporované.

    • Celková dĺžka FQDN nesmie presiahnuť 64 znakov.

  • Adresa IP – zadajte adresu IP interného rozhrania uzla.

    Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované.

  • Maska – zadajte adresu masky podsiete v desiatkovom formáte bodka. Napríklad 255.255.255.0.
  • Brána – zadajte adresu IP brány. Brána je sieťový uzol, ktorý slúži ako prístupový bod do inej siete.
  • Servery DNS – zadajte zoznam serverov DNS oddelených čiarkami, ktoré zabezpečujú preklad názvov domén na číselné adresy IP. (Povolené sú až 4 záznamy DNS.)
  • Servery NTP – zadajte server NTP vašej organizácie alebo iný externý server NTP, ktorý možno použiť vo vašej organizácii. Predvolené servery NTP nemusia fungovať pre všetky podniky. Na zadanie viacerých serverov NTP môžete použiť aj zoznam oddelený čiarkami.
  • Nasaďte všetky uzly v rovnakej podsieti alebo VLAN, aby boli všetky uzly v klastri dosiahnuteľné z klientov vo vašej sieti na administratívne účely.

Ak chcete, môžete preskočiť konfiguráciu nastavenia siete a podľa krokov v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov nakonfigurujte nastavenia z konzoly uzla.

Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 7.0. Táto možnosť nemusí byť dostupná v starších verziách.

11

Kliknite pravým tlačidlom myši na uzol VM a potom vyberte položky Napájanie > Zapnúť.

Softvér Hybrid Data Security je nainštalovaný ako hosť na hostiteľovi VM. Teraz ste pripravení prihlásiť sa do konzoly a nakonfigurovať uzol.

Tipy na riešenie problémov

Môžete zaznamenať oneskorenie niekoľkých minút, kým sa kontajnery uzlov objavia. Počas prvého spustenia, počas ktorého sa nemôžete prihlásiť, sa na konzole zobrazí správa brány firewall mosta.

Nastavte virtuálny počítač Hybrid Data Security

Tento postup použite na prvé prihlásenie do konzoly VM uzla Hybrid Data Security a nastavenie prihlasovacích poverení. Konzolu môžete použiť aj na konfiguráciu sieťových nastavení pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.

1

V klientovi VMware vSphere vyberte svoj uzol Hybrid Data Security VM a vyberte kartu Konzola .

VM sa spustí a zobrazí sa výzva na prihlásenie. Ak sa výzva na prihlásenie nezobrazí, stlačte kláves Enter.
2

Na prihlásenie a zmenu poverení použite nasledujúce predvolené prihlasovacie meno a heslo:

  1. Prihlásenie: admin

  2. heslo: cisco

Keďže sa do svojho VM prihlasujete prvýkrát, musíte zmeniť heslo správcu.

3

Ak ste už nakonfigurovali nastavenia siete v časti Inštalácia hostiteľa HDS OVA, preskočte zvyšok tohto postupu. V opačnom prípade vyberte v hlavnej ponuke možnosť Upraviť konfiguráciu .

4

Nastavte statickú konfiguráciu s IP adresou, maskou, bránou a informáciami DNS. Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované.

5

(Voliteľné) Zmeňte názov hostiteľa, doménu alebo server(y) NTP, ak je to potrebné, aby zodpovedali zásadám vašej siete.

Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509.

6

Uložte konfiguráciu siete a reštartujte VM, aby sa zmeny prejavili.

Nahrajte a pripojte ISO konfiguráciu HDS

Tento postup použite na konfiguráciu virtuálneho počítača zo súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool.

Skôr ako začnete

Pretože súbor ISO obsahuje hlavný kľúč, mal by byť zverejnený iba na základe „potreby vedieť“, aby k nemu mali prístup virtuálne počítače s hybridným zabezpečením údajov a všetci správcovia, ktorí môžu potrebovať vykonať zmeny. Uistite sa, že k úložisku údajov majú prístup iba títo správcovia.

1

Nahrajte súbor ISO z počítača:

  1. V ľavom navigačnom paneli klienta VMware vSphere kliknite na server ESXi.

  2. Na karte Konfigurácia v zozname Hardvér kliknite na položku Ukladací priestor.

  3. V zozname Úložisko údajov kliknite pravým tlačidlom myši na úložisko údajov pre vaše virtuálne počítače a kliknite na položku Prehliadať úložisko údajov.

  4. Kliknite na ikonu Odovzdať súbory a potom kliknite na položku Odovzdať súbor.

  5. Prejdite do umiestnenia, z ktorého ste prevzali súbor ISO do počítača, a kliknite na tlačidlo Otvoriť.

  6. Kliknutím na tlačidlo Áno prijmete upozornenie týkajúce sa operácie odovzdávania/sťahovania a zatvoríte dialógové okno úložiska údajov.

2

Pripojte súbor ISO:

  1. V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Upraviť nastavenia.

  2. Kliknutím na tlačidlo OK prijmete upozornenie na obmedzené možnosti úprav.

  3. Kliknite na položku Jednotka CD/DVD 1, vyberte možnosť pripojenia zo súboru ISO úložiska údajov a prejdite do umiestnenia, kam ste odovzdali konfiguračný súbor ISO.

  4. Začiarknite políčka Pripojené a Pripojiť pri zapnutí.

  5. Uložte zmeny a reštartujte virtuálny počítač.

Čo robiť ďalej

Ak to vyžaduje vaša politika IT, môžete voliteľne odpojiť súbor ISO po tom, čo všetky vaše uzly prevezmú zmeny konfigurácie. Podrobnosti nájdete v časti (Voliteľné) Odpojenie ISO po konfigurácii HDS .

Nakonfigurujte uzol HDS na integráciu proxy

Ak sieťové prostredie vyžaduje server proxy, použite tento postup na určenie typu servera proxy, ktorý chcete integrovať s Hybrid Data Security. Ak si vyberiete transparentný kontrolný proxy server alebo explicitný proxy server HTTPS, môžete použiť rozhranie uzla na nahranie a inštaláciu koreňového certifikátu. Môžete tiež skontrolovať pripojenie proxy z rozhrania a vyriešiť prípadné problémy.

Skôr ako začnete

1

Do webového prehliadača zadajte adresu URL nastavenia uzla HDS https://[IP uzla HDS alebo FQDN]/setup , zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite na tlačidlo Prihlásiť sa .

2

Prejdite na stránku Trust Store & Proxy a potom vyberte jednu z možností:

  • Bez servera proxy – predvolená možnosť pred integráciou servera proxy. Nevyžaduje sa žiadna aktualizácia certifikátu.
  • Transparentný nekontrolujúci proxy server – uzly nie sú nakonfigurované na používanie konkrétnej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.
  • Transparentný kontrolný proxy server – uzly nie sú nakonfigurované na používanie konkrétnej adresy servera proxy. Pri nasadení Hybrid Data Security nie sú potrebné žiadne zmeny konfigurácie HTTPS, no uzly HDS potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).
  • Explicitný server proxy – pomocou explicitného servera proxy informujete klienta (uzly HDS), ktorý server proxy má použiť, pričom táto možnosť podporuje niekoľko typov overenia. Po výbere tejto možnosti musíte zadať nasledujúce informácie:
    1. Proxy IP/FQDN – adresa, ktorú možno použiť na spojenie so zariadením proxy.

    2. Port proxy – číslo portu, ktoré server proxy používa na počúvanie prenosu cez server proxy.

    3. Protokol proxy – vyberte http (zobrazuje a riadi všetky požiadavky prijaté od klienta) alebo https (poskytuje kanál pre server a klient prijíma a overí certifikát servera). Vyberte možnosť podľa toho, čo váš proxy server podporuje.

    4. Typ overenia totožnosti – vyberte si z nasledujúcich typov overenia totožnosti:

      • Žiadne – nevyžaduje sa žiadne ďalšie overenie.

        Dostupné pre servery proxy HTTP alebo HTTPS.

      • Základné – používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.

        Dostupné pre servery proxy HTTP alebo HTTPS.

        Ak zvolíte túto možnosť, musíte zadať aj meno používateľa a heslo.

      • Súhrn – používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.

        Dostupné iba pre servery proxy HTTPS.

        Ak zvolíte túto možnosť, musíte zadať aj meno používateľa a heslo.

Postupujte podľa nasledujúcich krokov pre transparentný kontrolný proxy server, explicitný proxy server HTTP so základným overením alebo explicitný proxy HTTPS.

3

Kliknite na položku Odovzdať koreňový certifikát alebo certifikát ukončenia entity a potom prejdite na výber koreňového certifikátu pre server proxy.

Certifikát je nahraný, ale ešte nie je nainštalovaný, pretože na inštaláciu certifikátu musíte reštartovať uzol. Ak chcete získať ďalšie podrobnosti, kliknite na šípku so šípkou vedľa názvu vydavateľa certifikátu. Ak ste urobili chybu a chcete súbor nahrať znova, kliknite na tlačidlo Odstrániť .

4

Kliknutím na položku Skontrolovať pripojenie proxy otestujete sieťové pripojenie medzi uzlom a serverom proxy.

Ak test pripojenia zlyhá, zobrazí sa chybové hlásenie, ktoré uvádza dôvod a spôsob, ako môžete problém vyriešiť.

Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS. Tento stav sa očakáva v mnohých explicitných konfiguráciách proxy. Môžete pokračovať v nastavovaní a uzol bude fungovať v režime zablokovaného externého rozlíšenia DNS. Ak si myslíte, že ide o chybu, vykonajte tieto kroky a potom si pozrite časť Vypnutie režimu zablokovaného externého rozlíšenia DNS.

5

Po úspešnom teste pripojenia pre explicitný server proxy nastavený iba na https zapnite prepínač na možnosť Smerovať všetky požiadavky protokolu https z tohto uzla na port 443/444 cez explicitný server proxy. Toto nastavenie sa prejaví po 15 sekundách.

6

Kliknite na položku Inštalovať všetky certifikáty do dôveryhodného úložiska (zobrazí sa pri explicitnom serveri proxy HTTPS alebo transparentnom kontrolnom serveri proxy) alebo Reštartovať (zobrazí sa pri explicitnom serveri proxy HTTP), prečítajte si výzvu a potom kliknite na tlačidlo Inštalovať , ak ste pripravení.

Uzol sa reštartuje v priebehu niekoľkých minút.

7

Keď sa uzol reštartuje, v prípade potreby sa znova prihláste a potom otvorte stránku Prehľad a skontrolujte kontroly pripojenia, aby ste sa uistili, že sú všetky v zelenom stave.

Kontrola pripojenia proxy testuje iba subdoménu webex.com. Ak sa vyskytnú problémy s pripojením, bežným problémom je, že niektoré z cloudových domén uvedených v pokynoch na inštaláciu sú na serveri proxy blokované.

Zaregistrujte prvý uzol v klastri

Táto úloha prevezme všeobecný uzol, ktorý ste vytvorili v časti Nastavenie virtuálneho počítača Hybrid Data Security, zaregistruje uzol v cloude Webex a zmení ho na uzol Hybrid Data Security.

Keď zaregistrujete svoj prvý uzol, vytvoríte klaster, ku ktorému je uzol priradený. Klaster obsahuje jeden alebo viac uzlov nasadených na zabezpečenie redundancie.

Skôr ako začnete

  • Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.

  • Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.

1

Prihláste sa do https://admin.webex.com.

2

V ponuke na ľavej strane obrazovky vyberte položku Služby.

3

V časti Cloudové služby nájdite kartu Hybrid Data Security a kliknite na tlačidlo Nastaviť.

4

Na stránke, ktorá sa otvorí, kliknite na položku Pridať zdroj.

5

Do prvého poľa na karte Pridať uzol zadajte názov klastra, ktorému chcete priradiť uzol Hybrid Data Security.

Odporúčame pomenovať klaster podľa toho, kde sa geograficky nachádzajú uzly klastra. Príklady: „San Francisco“ alebo „New York“ alebo „Dallas“

6

Do druhého poľa zadajte internú adresu IP alebo úplný názov domény (FQDN) svojho uzla a kliknite na tlačidlo Pridať v dolnej časti obrazovky.

Táto adresa IP alebo FQDN by sa mala zhodovať s adresou IP alebo názvom hostiteľa a doménou, ktoré ste použili v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov.

Zobrazí sa správa, že môžete zaregistrovať svoj uzol do Webexu.
7

Kliknite na položku Prejsť do uzla.

Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že svojej organizácii Webex chcete udeliť povolenia na prístup k vášmu uzlu.

8

Začiarknite políčko Povoliť prístup k vášmu uzlu zabezpečenia hybridných údajov a potom kliknite na tlačidlo Pokračovať.

Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
9

Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Hybrid Data Security partnerského centra.

Na stránke Hybrid Data Security sa nový klaster obsahujúci uzol, ktorý ste zaregistrovali, zobrazí na karte Prostriedky . Uzol si automaticky stiahne najnovší softvér z cloudu.

Vytvorte a zaregistrujte viac uzlov

Ak chcete do svojho klastra pridať ďalšie uzly, jednoducho vytvoríte ďalšie virtuálne počítače a pripojíte rovnaký konfiguračný súbor ISO a potom uzol zaregistrujete. Odporúčame, aby ste mali aspoň 3 uzly.

Skôr ako začnete

  • Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.

  • Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.

1

Vytvorte nový virtuálny počítač z OVA zopakovaním krokov v časti Inštalácia hostiteľského OVA HDS.

2

Nastavte úvodnú konfiguráciu na novom virtuálnom počítači zopakovaním krokov v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov.

3

Na novom virtuálnom počítači zopakujte kroky v časti Odovzdanie a pripojenie ISO konfigurácie HDS.

4

Ak nastavujete server proxy pre svoje nasadenie, zopakujte kroky v časti Konfigurácia uzla HDS na integráciu servera proxy podľa potreby pre nový uzol.

5

Zaregistrujte uzol.

  1. V https://admin.webex.com vyberte z ponuky na ľavej strane obrazovky položku Služby .

  2. V časti Cloudové služby nájdite kartu Hybrid Data Security a kliknite na položku Zobraziť všetko.

    Zobrazí sa stránka Hybrid Data Security Resources.
  3. Novovytvorený klaster sa zobrazí na stránke Zdroje .

  4. Kliknutím na klaster zobrazíte uzly priradené ku klastru.

  5. Kliknite na položku Pridať uzol na pravej strane obrazovky.

  6. Zadajte internú adresu IP alebo úplný názov domény (FQDN) svojho uzla a kliknite na tlačidlo Pridať.

    Otvorí sa stránka so správou, že môžete zaregistrovať svoj uzol do cloudu Webex. Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že chcete svojej organizácii udeliť povolenia na prístup k vášmu uzlu.
  7. Začiarknite políčko Povoliť prístup k vášmu uzlu zabezpečenia hybridných údajov a potom kliknite na tlačidlo Pokračovať.

    Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
  8. Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Hybrid Data Security partnerského centra.

    Vyskakovacia správa Uzol bol pridaný sa tiež zobrazuje v spodnej časti obrazovky v Partnerskom centre.

    Váš uzol je zaregistrovaný.

Spravujte organizácie nájomníkov na hybridnom zabezpečení dát pre viacerých nájomníkov

Aktivujte si Multi-Tenant HDS na Partner Hub

Táto úloha zaisťuje, že všetci používatelia zákazníckych organizácií môžu začať využívať HDS pre lokálne šifrovacie kľúče a ďalšie bezpečnostné služby.

Skôr ako začnete

Uistite sa, že ste dokončili nastavenie klastra Multi-Tenant HDS s požadovaným počtom uzlov.

1

Prihláste sa do https://admin.webex.com.

2

V ponuke na ľavej strane obrazovky vyberte položku Služby.

3

V časti Cloudové služby vyhľadajte Hybrid Data Security a kliknite na položku Upraviť nastavenia.

4

Kliknite na položku Aktivovať HDS na karte Stav HDS .

Pridajte organizácie nájomníkov v partnerskom centre

V tejto úlohe priradíte zákaznícke organizácie k vášmu Hybrid Data Security Cluster.

1

Prihláste sa do https://admin.webex.com.

2

V ponuke na ľavej strane obrazovky vyberte položku Služby.

3

V sekcii Cloudové služby nájdite Hybrid Data Security a kliknite na položku Zobraziť všetko.

4

Kliknite na klaster, ku ktorému chcete priradiť zákazníka.

5

Prejdite na kartu Priradení zákazníci .

6

Kliknite na položku Pridať zákazníkov.

7

Z rozbaľovacej ponuky vyberte zákazníka, ktorého chcete pridať.

8

Kliknite na tlačidlo Pridať, zákazník bude pridaný do klastra.

9

Ak chcete do svojho klastra pridať viacerých zákazníkov, zopakujte kroky 6 až 8.

10

Po pridaní zákazníkov kliknite na tlačidlo Hotovo v dolnej časti obrazovky.

Čo robiť ďalej

Spustite nástroj HDS Setup, ako je podrobne uvedené v časti Vytvorenie zákazníckych hlavných kľúčov (CMK) pomocou nástroja HDS Setup a dokončite proces nastavenia.

Vytvorte hlavné kľúče zákazníka (CMK) pomocou nástroja HDS Setup

Skôr ako začnete

Priraďte zákazníkov do príslušného klastra, ako je podrobne uvedené v časti Pridanie organizácií nájomníkov do centra partnerov. Spustite nástroj HDS Setup a dokončite proces nastavenia pre novo pridané zákaznícke organizácie.

  • Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými administrátorskými právami pre vašu organizáciu.

    Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker v kroku 5 zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:

    Opis

    Variabilné

    HTTP Proxy bez autentifikácie

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentifikácie

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP Proxy s autentifikáciou

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS Proxy s autentifikáciou

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:

    • Databázové poverenia

    • Aktualizácie certifikátov

    • Zmeny v politike autorizácie

  • Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.

Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.

1

Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

V bežných prostrediach:

docker rmi ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

2

Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:

docker login -u hdscustomersro
3

Pri výzve na zadanie hesla zadajte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stiahnite si najnovší stabilný obraz pre vaše prostredie:

V bežných prostrediach:

docker pull ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

  • V bežných prostrediach bez servera proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V prostrediach FedRAMP bez proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • V prostrediach FedRAMP s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný
  • V prostrediach FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný

Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“.

6

Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 .

Pomocou webového prehliadača prejdite na localhost, http://127.0.0.1:8080, a po výzve zadajte používateľské meno správcu pre partnerské centrum.

Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie.

7

Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia správcu Partner Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre Hybrid Data Security.

8

Na stránke prehľadu nástroja Setup kliknite na položku Začíname.

9

Na stránke Import ISO kliknite na tlačidlo Áno.

10

Vyberte súbor ISO v prehliadači a nahrajte ho.

Ak chcete vykonávať správu CMK, zaistite pripojenie k databáze.
11

Prejdite na kartu Správa CMK nájomcov , kde nájdete nasledujúce tri spôsoby správy CMK nájomcov.

  • Vytvoriť CMK pre všetky ORG alebo Vytvoriť CMK – Kliknutím na toto tlačidlo na banneri v hornej časti obrazovky vytvoríte CMK pre všetky novo pridané organizácie.
  • Kliknite na tlačidlo Spravovať CMK na pravej strane obrazovky a kliknite na Vytvoriť CMK , aby ste vytvorili CMK pre všetky novo pridané organizácie.
  • Kliknite na … vedľa stavu čakania na správu CMK konkrétnej organizácie v tabuľke a kliknutím na položku Vytvoriť CMK vytvorte CMK pre túto organizáciu.
12

Po úspešnom vytvorení CMK sa stav v tabuľke zmení z Čaká sa na správu CMK na Spravuje CMK.

13

Ak je vytvorenie CMK neúspešné, zobrazí sa chyba.

Odstráňte organizácie nájomníkov

Skôr ako začnete

Po odstránení nebudú používatelia zákazníckych organizácií môcť využívať HDS pre svoje potreby šifrovania a stratia všetky existujúce miesta. Pred odstránením zákazníckych organizácií kontaktujte svojho partnera Cisco alebo správcu účtu.

1

Prihláste sa do https://admin.webex.com.

2

V ponuke na ľavej strane obrazovky vyberte položku Služby.

3

V sekcii Cloudové služby nájdite Hybrid Data Security a kliknite na položku Zobraziť všetko.

4

Na karte Zdroje kliknite na klaster, z ktorého chcete odstrániť organizácie zákazníkov.

5

Na stránke, ktorá sa otvorí, kliknite na položku Priradení zákazníci.

6

V zobrazenom zozname organizácií zákazníkov kliknite na položku ... na pravej strane organizácie zákazníka, ktorú chcete odstrániť, a kliknite na položku Odstrániť z klastra.

Čo robiť ďalej

Dokončite proces odstránenia zrušením CMK zákazníckych organizácií, ako je podrobne uvedené v časti Odvolanie CMK nájomníkov odstránených z HDS.

Zrušiť CMK nájomníkov odstránených z HDS.

Skôr ako začnete

Odstráňte zákazníkov z príslušného klastra, ako je podrobne uvedené v časti Odstránenie organizácií nájomníkov. Spustite nástroj HDS Setup a dokončite proces odstránenia pre zákaznícke organizácie, ktoré boli odstránené.

  • Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými administrátorskými právami pre vašu organizáciu.

    Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker v kroku 5 zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:

    Opis

    Variabilné

    HTTP Proxy bez autentifikácie

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentifikácie

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP Proxy s autentifikáciou

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS Proxy s autentifikáciou

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:

    • Databázové poverenia

    • Aktualizácie certifikátov

    • Zmeny v politike autorizácie

  • Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.

Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.

1

Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

V bežných prostrediach:

docker rmi ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

2

Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:

docker login -u hdscustomersro
3

Pri výzve na zadanie hesla zadajte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stiahnite si najnovší stabilný obraz pre vaše prostredie:

V bežných prostrediach:

docker pull ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

  • V bežných prostrediach bez servera proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V prostrediach FedRAMP bez proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • V prostrediach FedRAMP s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný
  • V prostrediach FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný

Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“.

6

Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 .

Pomocou webového prehliadača prejdite na localhost, http://127.0.0.1:8080, a po výzve zadajte používateľské meno správcu pre partnerské centrum.

Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie.

7

Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia správcu Partner Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre Hybrid Data Security.

8

Na stránke prehľadu nástroja Setup kliknite na položku Začíname.

9

Na stránke Import ISO kliknite na tlačidlo Áno.

10

Vyberte súbor ISO v prehliadači a nahrajte ho.

11

Prejdite na kartu Správa CMK nájomcov , kde nájdete nasledujúce tri spôsoby správy CMK nájomcov.

  • Odvolať CMK pre všetky ORG alebo Odvolať CMK – Kliknutím na toto tlačidlo na banneri v hornej časti obrazovky zrušíte CMK všetkých organizácií, ktoré boli odstránené.
  • Kliknite na tlačidlo Spravovať CMK na pravej strane obrazovky a kliknutím na Odvolať CMK odvolajte CMK všetkých organizácií, ktoré boli odstránené.
  • Kliknite na položku vedľa stavu CMK na odvolanie konkrétnej organizácie v tabuľke a kliknutím na položku Odvolať CMK odvoláte CMK pre túto konkrétnu organizáciu.
12

Po úspešnom odvolaní CMK sa zákaznícka organizácia už nebude zobrazovať v tabuľke.

13

Ak je zrušenie CMK neúspešné, zobrazí sa chyba.

Otestujte svoje nasadenie Hybrid Data Security

Otestujte svoje nasadenie hybridného zabezpečenia dát

Tento postup použite na testovanie scenárov šifrovania Hybrid Data Security pre viacerých nájomníkov.

Skôr ako začnete

  • Nastavte svoje nasadenie Hybridného zabezpečenia dát pre viacerých nájomníkov.

  • Uistite sa, že máte prístup k syslog, aby ste si overili, že kľúčové požiadavky prechádzajú do vášho nasadenia Multi-Tenant Hybrid Data Security.

1

Kľúče pre daný priestor nastavuje tvorca priestoru. Prihláste sa do aplikácie Webex ako jeden z používateľov zákazníckej organizácie a potom vytvorte priestor.

Ak deaktivujete nasadenie Hybrid Data Security, obsah v priestoroch, ktoré vytvoria používatelia, už nebude prístupný po výmene kópií šifrovacích kľúčov uložených vo vyrovnávacej pamäti klienta.

2

Posielajte správy do nového priestoru.

3

Skontrolujte výstup syslog, aby ste si overili, že požiadavky na kľúče prechádzajú do vášho nasadenia Hybrid Data Security.

  1. Ak chcete skontrolovať, či používateľ najprv vytvoril zabezpečený kanál pre KMS, filtrujte podľa kms.data.method=create a kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Mali by ste nájsť záznam, ako je tento (identifikátory skrátené kvôli čitateľnosti):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] prijaté, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method= vytvoriť, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, km. data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
  2. Ak chcete vyhľadať používateľa, ktorý od KMS požaduje existujúci kľúč, filtrujte kms.data.method=retrieve a kms.data.type=KEY:

    Mali by ste nájsť záznam ako:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] prijaté, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method= načítať, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/ kľúče/d[~]2, kms.data.userId=1[~]b
  3. Ak chcete skontrolovať, či používateľ žiada o vytvorenie nového kľúča KMS, filtrujte kms.data.method=create a kms.data.type=KEY_COLLECTION:

    Mali by ste nájsť záznam ako:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] prijaté, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method =vytvoriť, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_ZBER, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data .userId=1[~]b
  4. Ak chcete pri vytváraní priestoru alebo iného chráneného zdroja skontrolovať, či používateľ žiada o vytvorenie nového objektu KMS Resource Object (KRO), použite filter kms.data.method=create a kms.data. type=RESOURCE_COLLECTION:

    Mali by ste nájsť záznam ako:
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] prijaté, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method= vytvoriť, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data .userId=1[~]b

Monitorujte zdravie Hybrid Data Security Health

Indikátor stavu v Partner Hub vám ukáže, či je s nasadením Multi-Tenant Hybrid Data Security všetko v poriadku. Ak chcete dostávať proaktívnejšie upozornenia, prihláste sa na odber e-mailových upozornení. Budete upozornení, keď sa vyskytnú alarmy alebo aktualizácie softvéru ovplyvňujúce službu.
1

V Centre pre partnerov vyberte z ponuky na ľavej strane obrazovky položku Služby .

2

V časti Cloudové služby vyhľadajte Hybrid Data Security a kliknite na položku Upraviť nastavenia.

Zobrazí sa stránka Hybrid Data Security Settings.
3

V časti E-mailové upozornenia zadajte jednu alebo viac e-mailových adries oddelených čiarkami a stlačte kláves Enter.

Spravujte svoje nasadenie HDS

Spravujte nasadenie HDS

Pomocou tu popísaných úloh spravujte svoje nasadenie Hybrid Data Security.

Nastavte plán aktualizácie klastra

Aktualizácie softvéru pre Hybrid Data Security sa vykonávajú automaticky na úrovni klastra, čo zaisťuje, že všetky uzly vždy bežia s rovnakou verziou softvéru. Inovácie sa vykonávajú podľa plánu aktualizácie pre klaster. Keď bude k dispozícii aktualizácia softvéru, máte možnosť manuálne aktualizovať klaster pred plánovaným časom aktualizácie. Môžete nastaviť konkrétny plán inovácie alebo použiť predvolený plán na 3:00 denne v USA: Amerika/Los Angeles. V prípade potreby môžete tiež odložiť nadchádzajúcu inováciu.

Ak chcete nastaviť plán aktualizácie:

1

Prihláste sa do Partnerského centra.

2

V ponuke na ľavej strane obrazovky vyberte položku Služby.

3

V časti Cloudové služby vyhľadajte Hybrid Data Security a kliknite na tlačidlo Nastaviť

4

Na stránke Hybrid Data Security Resources vyberte klaster.

5

Kliknite na kartu Nastavenia klastra .

6

Na stránke Nastavenia klastra v časti Plán aktualizácie vyberte čas a časové pásmo pre plán inovácie.

Poznámka: Pod časovým pásmom sa zobrazí dátum a čas ďalšej dostupnej aktualizácie. V prípade potreby môžete inováciu odložiť na nasledujúci deň kliknutím na položku Odložiť o 24 hodín.

Zmeňte konfiguráciu uzla

Príležitostne možno budete musieť zmeniť konfiguráciu uzla Hybrid Data Security z nasledujúcich dôvodov:
  • Zmena x.509 certifikátov z dôvodu uplynutia platnosti alebo iných dôvodov.

    Nepodporujeme zmenu názvu domény CN certifikátu. Doména sa musí zhodovať s pôvodnou doménou použitou na registráciu klastra.

  • Aktualizácia nastavení databázy pre zmenu na repliku databázy PostgreSQL alebo Microsoft SQL Server.

    Nepodporujeme migráciu údajov z PostgreSQL na Microsoft SQL Server ani opačným spôsobom. Ak chcete zmeniť prostredie databázy, spustite nové nasadenie Hybrid Data Security.

  • Vytvorenie novej konfigurácie na prípravu nového dátového centra.

Z bezpečnostných dôvodov používa Hybrid Data Security heslá servisných účtov, ktoré majú životnosť deväť mesiacov. Keď nástroj HDS Setup vygeneruje tieto heslá, nasadíte ich do každého z vašich uzlov HDS v konfiguračnom súbore ISO. Keď sa blíži koniec platnosti hesiel vašej organizácie, dostanete od tímu Webex upozornenie na resetovanie hesla pre váš počítačový účet. (E-mail obsahuje text „Na aktualizáciu hesla použite rozhranie API strojového účtu.“) Ak platnosť vašich hesiel ešte nevypršala, nástroj vám ponúka dve možnosti:

  • Mäkké obnovenie – staré aj nové heslo fungujú až 10 dní. Toto obdobie použite na postupnú výmenu súboru ISO na uzloch.

  • Tvrdý reset – staré heslá okamžite prestanú fungovať.

Ak platnosť vašich hesiel vyprší bez resetovania, ovplyvní to vašu službu HDS, čo si vyžaduje okamžitý tvrdý reset a nahradenie súboru ISO na všetkých uzloch.

Tento postup použite na vygenerovanie nového konfiguračného súboru ISO a jeho použitie vo vašom klastri.

Skôr ako začnete

  • Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými administrátorskými právami partnera.

    Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri vytváraní kontajnera Docker v 1.e zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:

    Opis

    Variabilné

    HTTP Proxy bez autentifikácie

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentifikácie

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP Proxy s autentifikáciou

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS Proxy s autentifikáciou

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Na vygenerovanie novej konfigurácie potrebujete kópiu aktuálneho konfiguračného súboru ISO. ISO obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. ISO potrebujete, keď robíte zmeny v konfigurácii vrátane poverení databázy, aktualizácií certifikátov alebo zmien v politike autorizácie.

1

Pomocou Docker na lokálnom počítači spustite nástroj HDS Setup Tool.

  1. Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

    V bežných prostrediach:

    docker rmi ciscocitg/hds-setup:stable

    V prostrediach FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

  2. Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:

    docker login -u hdscustomersro
  3. Pri výzve na zadanie hesla zadajte tento hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
  4. Stiahnite si najnovší stabilný obraz pre vaše prostredie:

    V bežných prostrediach:

    docker pull ciscocitg/hds-setup:stable

    V prostrediach FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Uistite sa, že ste na tento postup použili najnovší nástroj Setup. Verzie nástroja vytvorené pred 22. februárom 2018 neobsahujú obrazovky na obnovenie hesla.

  5. Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

    • V bežných prostrediach bez servera proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
    • V bežných prostrediach s HTTP proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • V bežných prostrediach s HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • V prostrediach FedRAMP bez proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
    • V prostrediach FedRAMP s HTTP proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný
    • V prostrediach FedRAMP s HTTPS proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný

    Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“.

  6. Použite prehliadač na pripojenie k localhost, http://127.0.0.1:8080.

    Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 .

  7. Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia zákazníka Centra partnerov a potom pokračujte kliknutím na tlačidlo Prijať .

  8. Importujte aktuálny konfiguračný súbor ISO.

  9. Postupujte podľa pokynov na dokončenie nástroja a stiahnite si aktualizovaný súbor.

    Ak chcete vypnúť inštalačný nástroj, napíšte CTRL+C.

  10. Vytvorte záložnú kópiu aktualizovaného súboru v inom dátovom centre.

2

Ak máte spustený iba jeden uzol HDS, vytvorte nový virtuálny počítač s uzlom Hybrid Data Security a zaregistrujte ho pomocou nového konfiguračného súboru ISO. Podrobnejšie pokyny nájdete v časti Vytvorenie a registrácia ďalších uzlov.

  1. Nainštalujte hostiteľský OVA HDS.

  2. Nastavte HDS VM.

  3. Pripojte aktualizovaný konfiguračný súbor.

  4. Zaregistrujte nový uzol v partnerskom centre.

3

Pre existujúce uzly HDS, na ktorých je spustený starší konfiguračný súbor, pripojte súbor ISO. Postupne vykonajte nasledujúci postup na každom uzle a pred vypnutím ďalšieho uzla aktualizujte každý uzol:

  1. Vypnite virtuálny stroj.

  2. V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Upraviť nastavenia.

  3. Kliknite na položku Jednotka CD/DVD 1, vyberte možnosť pripojenia zo súboru ISO a prejdite do umiestnenia, kam ste prevzali nový konfiguračný súbor ISO.

  4. Začiarknite políčko Pripojiť pri zapnutí.

  5. Uložte zmeny a zapnite virtuálny počítač.

4

Opakujte krok 3, aby ste nahradili konfiguráciu na každom zostávajúcom uzle, na ktorom je spustená stará konfigurácia.

Vypnite režim zablokovaného externého rozlíšenia DNS

Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. Ak server DNS uzla nedokáže rozlíšiť verejné názvy DNS, uzol automaticky prejde do režimu zablokovaného externého rozlíšenia DNS.

Ak vaše uzly dokážu rozlíšiť verejné názvy DNS prostredníctvom interných serverov DNS, môžete tento režim vypnúť opätovným spustením testu pripojenia proxy na každom uzle.

Skôr ako začnete

Uistite sa, že vaše interné servery DNS dokážu rozlíšiť verejné názvy DNS a že vaše uzly s nimi môžu komunikovať.
1

Vo webovom prehliadači otvorte rozhranie uzla Hybrid Data Security (adresa IP/ nastavenie, napríklad https://192.0.2.0/setup), zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite na tlačidlo Prihlásiť sa).

2

Prejdite na Prehľad (predvolená stránka).

Keď je táto možnosť povolená, možnosť Blokované externé rozlíšenie DNS je nastavená na možnosť Áno.

3

Prejdite na stránku Trust Store & Proxy .

4

Kliknite na položku Skontrolovať pripojenie proxy.

Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS a zostane v tomto režime. V opačnom prípade po reštartovaní uzla a návrate na stránku Prehľad by mala byť možnosť Blokované externé rozlíšenie DNS nastavené na možnosť Nie.

Čo robiť ďalej

Zopakujte test pripojenia proxy na každom uzle v klastri Hybrid Data Security.

Odstráňte uzol

Tento postup použite na odstránenie uzla Hybrid Data Security z cloudu Webex. Po odstránení uzla z klastra odstráňte virtuálny počítač, aby ste zabránili ďalšiemu prístupu k vašim bezpečnostným údajom.
1

Pomocou klienta VMware vSphere vo svojom počítači sa prihláste do virtuálneho hostiteľa ESXi a vypnite virtuálny počítač.

2

Odstráňte uzol:

  1. Prihláste sa do centra pre partnerov a potom vyberte položku Služby.

  2. Na karte Hybrid Data Security kliknite na položku Zobraziť všetko , čím zobrazíte stránku Hybrid Data Security Resources.

  3. Vyberte svoj klaster, aby sa zobrazil jeho panel Prehľad.

  4. Kliknite na uzol, ktorý chcete odstrániť.

  5. Kliknite na položku Zrušiť registráciu tohto uzla na paneli, ktorý sa zobrazí vpravo

  6. Registráciu uzla môžete zrušiť aj kliknutím na … na pravej strane uzla a výberom možnosti Odstrániť tento uzol.

3

V klientovi vSphere odstráňte VM. (Na ľavom navigačnom paneli kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Odstrániť.)

Ak nevymažete VM, nezabudnite odpojiť konfiguračný súbor ISO. Bez súboru ISO nemôžete použiť VM na prístup k bezpečnostným údajom.

Obnova po havárii pomocou pohotovostného dátového centra

Najdôležitejšou službou, ktorú váš klaster Hybrid Data Security poskytuje, je vytváranie a ukladanie kľúčov používaných na šifrovanie správ a iného obsahu uloženého v cloude Webex. Pre každého používateľa v rámci organizácie, ktorý je priradený k Hybrid Data Security, sú do klastra smerované nové požiadavky na vytvorenie kľúča. Klaster je tiež zodpovedný za vrátenie kľúčov, ktoré vytvoril, všetkým používateľom oprávneným na ich získanie, napríklad členom konverzačného priestoru.

Pretože klaster vykonáva kritickú funkciu poskytovania týchto kľúčov, je nevyhnutné, aby klaster zostal spustený a aby boli udržiavané správne zálohy. Strata databázy Hybrid Data Security alebo konfigurácie ISO použitej pre schému bude mať za následok NENÁVRATNÚ STRATU zákazníckeho obsahu. Na zabránenie takejto strate sú povinné nasledujúce postupy:

Ak havária spôsobí, že nasadenie HDS v primárnom dátovom centre sa stane nedostupným, podľa tohto postupu manuálne prepnite na pohotovostné dátové centrum.

Skôr ako začnete

Zrušte registráciu všetkých uzlov z centra partnerov, ako je uvedené v časti Odstránenie uzla. Na vykonanie procedúry prepnutia pri zlyhaní uvedenej nižšie použite najnovší súbor ISO, ktorý bol nakonfigurovaný voči uzlom klastra, ktorý bol predtým aktívny.
1

Spustite nástroj na nastavenie HDS a postupujte podľa krokov uvedených v časti Vytvorenie konfiguračného ISO pre hostiteľov HDS.

2

Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť.

3

Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii.

4

V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Upraviť nastavenia.

5

Kliknite na položku Upraviť nastavenia >Jednotka CD/DVD 1 a vyberte položku Datastore ISO File.

Uistite sa, že sú začiarknuté položky Pripojené a Pripojiť pri zapnutí , aby sa aktualizované zmeny konfigurácie prejavili po spustení uzlov.

6

Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy.

7

Zaregistrujte uzol v partnerskom centre. Pozrite si časť Registrácia prvého uzla v klastri.

8

Opakujte proces pre každý uzol v pohotovostnom dátovom centre.

Čo robiť ďalej

Ak sa po prepnutí pri zlyhaní opäť aktivuje primárne dátové centrum, zrušte registráciu uzlov pohotovostného dátového centra a zopakujte proces konfigurácie ISO a registrácie uzlov primárneho dátového centra, ako je uvedené vyššie.

(Voliteľné) Odpojte ISO po konfigurácii HDS

Štandardná konfigurácia HDS beží s namontovaným ISO. Niektorí zákazníci však uprednostňujú neponechať súbory ISO nepretržite pripojené. Súbor ISO môžete odpojiť potom, čo všetky uzly HDS prevezmú novú konfiguráciu.

Na vykonanie zmien v konfigurácii stále používate súbory ISO. Keď vytvoríte nový ISO alebo aktualizujete ISO pomocou nástroja Setup Tool, musíte aktualizovaný ISO pripojiť na všetky vaše uzly HDS. Keď všetky vaše uzly zachytia zmeny konfigurácie, môžete ISO znova odpojiť pomocou tohto postupu.

Skôr ako začnete

Inovujte všetky svoje uzly HDS na verziu 2021.01.22.4720 alebo novšiu.

1

Vypnite jeden z uzlov HDS.

2

V serverovom zariadení vCenter vyberte uzol HDS.

3

Vyberte položku Upraviť nastavenia > Jednotka CD/DVD a zrušte začiarknutie políčka Súbor ISO úložiska údajov.

4

Zapnite uzol HDS a uistite sa, že aspoň 20 minút nie sú žiadne alarmy.

5

Postup opakujte pre každý uzol HDS.

Riešenie problémov so zabezpečením hybridných údajov

Zobraziť upozornenia a riešenie problémov

Nasadenie Hybrid Data Security sa považuje za nedostupné, ak sú všetky uzly v klastri nedostupné alebo klaster pracuje tak pomaly, že si vyžaduje časový limit. Ak používatelia nemôžu dosiahnuť váš klaster Hybrid Data Security, zaznamenajú nasledujúce príznaky:

  • Nie je možné vytvoriť nové medzery (nemožno vytvoriť nové kľúče)

  • Správy a názvy priestorov sa nedajú dešifrovať pre:

    • Noví používatelia pridaní do priestoru (nemožno načítať kľúče)

    • Existujúci používatelia v priestore používajúci nového klienta (nemožno načítať kľúče)

  • Existujúci používatelia v priestore budú naďalej úspešne fungovať, pokiaľ ich klienti majú vyrovnávaciu pamäť šifrovacích kľúčov

Je dôležité, aby ste správne monitorovali svoj klaster Hybrid Data Security a okamžite riešili všetky výstrahy, aby ste predišli prerušeniu služby.

Upozornenia

Ak sa vyskytne problém s nastavením Hybrid Data Security, partnerské centrum zobrazí upozornenia správcovi organizácie a odošle e-maily na nakonfigurovanú e-mailovú adresu. Výstrahy pokrývajú mnoho bežných scenárov.

Tabuľka č. 1 Bežné problémy a kroky na ich vyriešenie

Upozornenie

Akcia

Zlyhanie prístupu k lokálnej databáze.

Skontrolujte chyby databázy alebo problémy s lokálnou sieťou.

Zlyhanie pripojenia k lokálnej databáze.

Skontrolujte, či je databázový server dostupný a či boli v konfigurácii uzla použité správne poverenia servisného účtu.

Zlyhanie prístupu k cloudovej službe.

Skontrolujte, či majú uzly prístup k serverom Webex, ako je uvedené v časti Požiadavky na externé pripojenie.

Obnovuje sa registrácia cloudovej služby.

Registrácia do cloudových služieb bola zrušená. Prebieha obnova registrácie.

Registrácia cloudovej služby bola zrušená.

Registrácia do cloudových služieb bola ukončená. Služba sa vypína.

Služba ešte nie je aktivovaná.

Aktivujte HDS v Partner Hub.

Nakonfigurovaná doména sa nezhoduje s certifikátom servera.

Uistite sa, že váš certifikát servera sa zhoduje s nakonfigurovanou doménou aktivácie služby.

Najpravdepodobnejšou príčinou je, že certifikát CN bol nedávno zmenený a teraz sa líši od CN, ktorý bol použitý počas počiatočného nastavenia.

Nepodarilo sa overiť v cloudových službách.

Skontrolujte presnosť a možné vypršanie platnosti poverení servisného účtu.

Nepodarilo sa otvoriť súbor lokálneho úložiska kľúčov.

Skontrolujte integritu a presnosť hesla v lokálnom súbore skladu kľúčov.

Certifikát lokálneho servera je neplatný.

Skontrolujte dátum vypršania platnosti certifikátu servera a potvrďte, že bol vydaný dôveryhodnou certifikačnou autoritou.

Nie je možné uverejniť metriky.

Skontrolujte prístup k lokálnej sieti k externým cloudovým službám.

Adresár /media/configdrive/hds neexistuje.

Skontrolujte konfiguráciu pripojenia ISO na virtuálnom hostiteľovi. Overte, či súbor ISO existuje, či je nakonfigurovaný na pripojenie pri reštarte a či sa úspešne pripojí.

Nastavenie nájomnej organizácie pre pridané organizácie nie je dokončené

Dokončite nastavenie vytvorením CMK pre novo pridané organizácie nájomníkov pomocou nástroja HDS Setup Tool.

Nastavenie nájomnej organizácie pre odstránené organizácie nie je dokončené

Dokončite nastavenie zrušením CMK organizácií nájomníkov, ktoré boli odstránené pomocou nástroja HDS Setup Tool.

Riešenie problémov so zabezpečením hybridných údajov

Pri riešení problémov s Hybrid Data Security použite nasledujúce všeobecné pokyny.
1

Skontrolujte partnerské centrum pre všetky upozornenia a opravte všetky položky, ktoré tam nájdete. Pozrite si obrázok nižšie ako referenciu.

2

Skontrolujte výstup servera syslog pre aktivitu z nasadenia Hybrid Data Security. Filtrujte slová ako „Upozornenie“ a „Chyba“, ktoré vám pomôžu pri riešení problémov.

3

Kontaktujte podporu Cisco.

Ďalšie poznámky

Známe problémy s hybridnou bezpečnosťou dát

  • Ak vypnete svoj klaster Hybrid Data Security (odstránením v Partner Hub alebo vypnutím všetkých uzlov), stratíte svoj konfiguračný súbor ISO alebo stratíte prístup k databáze úložiska kľúčov, používatelia aplikácií Webex zo zákazníckych organizácií už nebudú môcť používať priestory pod ich zoznam ľudí, ktorý bol vytvorený pomocou kľúčov z vášho KMS. V súčasnosti nemáme riešenie ani opravu tohto problému a žiadame vás, aby ste nevypínali svoje služby HDS, keď budú spracovávať aktívne používateľské účty.

  • Klient, ktorý má existujúce pripojenie ECDH ku KMS, udržiava toto pripojenie určitý čas (pravdepodobne jednu hodinu).

Na vygenerovanie súboru PKCS12 použite OpenSSL

Skôr ako začnete

  • OpenSSL je jeden nástroj, ktorý možno použiť na vytvorenie súboru PKCS12 v správnom formáte na načítanie v nástroji HDS Setup Tool. Existujú aj iné spôsoby, ako to urobiť, a my nepodporujeme ani nepresadzujeme jeden spôsob oproti druhému.

  • Ak sa rozhodnete použiť OpenSSL, poskytujeme tento postup ako návod, ktorý vám pomôže vytvoriť súbor, ktorý spĺňa požiadavky na certifikát X.509 v časti Požiadavky na certifikát X.509. Než budete pokračovať, pochopte tieto požiadavky.

  • Nainštalujte OpenSSL v podporovanom prostredí. Softvér a dokumentáciu nájdete v časti https://www.openssl.org .

  • Vytvorte si súkromný kľúč.

  • Tento postup začnite, keď dostanete certifikát servera od certifikačnej autority (CA).

1

Keď od svojej CA dostanete certifikát servera, uložte ho ako hdsnode.pem.

2

Zobrazte certifikát ako text a overte podrobnosti.

openssl x509 -text -noout -in hdsnode.pem

3

Pomocou textového editora vytvorte súbor balíka certifikátov s názvom hdsnode-bundle.pem. Súbor balíka musí obsahovať certifikát servera, akékoľvek sprostredkujúce certifikáty CA a certifikáty koreňovej CA vo formáte nižšie:

-----ZAČIATOK CERTIFIKÁT----- ### Certifikát servera. ### -----KONIEC CERTIFIKÁTU----- -----ZAČIATOK CERTIFIKÁTU----- ### Certifikát strednej CA. ### -----KONIEC CERTIFIKÁTU----- -----ZAČIATOK CERTIFIKÁTU----- ### Certifikát koreňovej CA. ### -----KONIEC CERTIFIKÁTU-----

4

Vytvorte súbor .p12 s priateľským názvom kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Skontrolujte podrobnosti certifikátu servera.

  1. openssl pkcs12 -in hdsnode.p12

  2. Vo výzve zadajte heslo na zašifrovanie súkromného kľúča, aby bol uvedený vo výstupe. Potom skontrolujte, či súkromný kľúč a prvý certifikát obsahujú riadky friendlyName: kms-private-key.

    Príklad:

    bash$ openssl pkcs12 -in hdsnode.p12 Zadajte heslo importu: Atribúty tašky OK s overením MAC friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Kľúčové atribúty:  Zadajte heslo PEM: Overenie – zadajte heslo PEM: -----ZAČIATOK ŠIFROVANÝ SÚKROMNÝ KĽÚČ-----  -----KONIEC ŠIFROVANÝ SÚKROMNÝ KĽÚČ----- Atribúty tašky friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -- Encrypt Authority ---ZAČIATOK CERTIFIKÁT-----  -----KONCOVÝ CERTIFIKÁT----- Vlastnosti tašky friendlyName: CN=Poďme šifrovať autoritu X3,O=Poďme zašifrovať,C=US predmet=/C=US/O=Poďme zašifrovať/CN=Poďme zašifrovať autoritu X3 vydavateľ=/O=Digitálny podpis Trust Co./CN=DST Root CA X3 -----ZAČIATOK CERTIFIKÁT-----  -----KONIEC CERTIFIKÁTU-----

Čo robiť ďalej

Vráťte sa na stránku Dokončenie predpokladov pre hybridné zabezpečenie údajov. V časti Vytvorenie konfiguračného ISO pre hostiteľov HDS použijete súbor hdsnode.p12 a heslo, ktoré ste preň nastavili.

Tieto súbory môžete znova použiť na vyžiadanie nového certifikátu, keď platnosť pôvodného certifikátu vyprší.

Prevádzka medzi uzlami HDS a cloudom

Odchádzajúca návštevnosť zberu metrík

Uzly Hybrid Data Security odosielajú určité metriky do cloudu Webex. Patria sem systémové metriky pre maximálnu haldu, využitú haldu, zaťaženie procesora a počet vlákien; metriky na synchrónnych a asynchrónnych vláknach; metriky výstrah zahŕňajúce prah šifrovacích pripojení, latenciu alebo dĺžku frontu požiadaviek; metriky na dátovom úložisku; a metriky šifrovaného pripojenia. Uzly posielajú zašifrovaný kľúčový materiál cez kanál mimo pásma (oddelený od požiadavky).

Prichádzajúca premávka

Uzly Hybrid Data Security prijímajú nasledujúce typy prichádzajúcej prevádzky z cloudu Webex:

  • Šifrovacie požiadavky od klientov, ktoré sú smerované šifrovacou službou

  • Aktualizácie softvéru uzla

Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát

Websocket sa nemôže pripojiť cez Squid Proxy

Servery proxy typu Squid, ktoré kontrolujú prenos HTTPS, môžu narúšať vytváranie pripojení websocket (wss:), ktoré vyžaduje Hybrid Data Security. Tieto časti poskytujú návod, ako nakonfigurovať rôzne verzie Squid tak, aby ignorovali wss: prevádzky pre správne fungovanie služieb.

Kalmáre 4 a 5

Pridajte on_unsupported_protocol smernicu na stránku squid.conf:

on_unsupported_protocol tunel všetko

Kalmáre 3.5.27

Úspešne sme testovali Hybrid Data Security pomocou nasledujúcich pravidiel pridaných na stránku squid.conf. Tieto pravidlá sa môžu meniť, pretože vyvíjame funkcie a aktualizujeme cloud Webex.

acl wssMercuryConnection ssl::server_name_regex ortuťové pripojenie ssl_bump splice wssMercuryConnection acl krok1 at_step SslBump1 acl krok2 at_step SslBump2 acl krok3 at_step SslBump3 ssl_bump pohľad krok1 všetko ssl_bump pozerať krok2 všetko ssl_bump vyskočiť krok3 všetko

Nové a zmenené informácie

Nové a zmenené informácie

Táto tabuľka obsahuje nové funkcie alebo funkcie, zmeny existujúceho obsahu a všetky hlavné chyby, ktoré boli opravené v Príručke nasadenia pre multi-tenantovú hybridnú bezpečnosť údajov.

Dátum

Vykonané zmeny

30. januára 2025

Pridaný server SQL verzie 2022 do zoznamu podporovaných serverov SQL v časti Požiadavky na databázový server.

15. januára 2025

Pridané obmedzenia Hybridného zabezpečenia dát pre viacerých nájomníkov.

8. januára 2025

Do časti Vykonať úvodné nastavenie a prevziať inštalačné súbory bola pridaná poznámka, že kliknutie na položku Nastaviť na karte HDS v partnerskom centre je dôležitým krokom procesu inštalácie.

7. januára 2025

Aktualizované Požiadavky na virtuálneho hostiteľa, Tok úloh nasadenia hybridného zabezpečenia údajov a Inštalácia hostiteľského OVA HDS , aby zobrazovali novú požiadavku ESXi 7.0.

13. decembra 2024

Prvýkrát zverejnené.

Deaktivujte hybridné zabezpečenie dát pre viacerých nájomníkov

Tok úloh deaktivácie HDS pre viacerých nájomníkov

Ak chcete úplne deaktivovať Multi-Tenant HDS, postupujte podľa týchto krokov.

Skôr ako začnete

Túto úlohu by mal vykonávať iba úplný správca partnera.
1

Odstráňte všetkých zákazníkov zo všetkých svojich klastrov, ako je uvedené v časti Odstránenie organizácií nájomníkov.

2

Zrušte CMK všetkých zákazníkov, ako je uvedené v časti Zrušenie CMK nájomníkov odstránených z HDS.

3

Odstráňte všetky uzly zo všetkých klastrov, ako je uvedené v časti Odstránenie uzla.

4

Odstráňte všetky svoje klastre z Partner Hub pomocou jednej z nasledujúcich dvoch metód.

  • Kliknite na klaster, ktorý chcete odstrániť, a vyberte možnosť Odstrániť tento klaster v pravom hornom rohu stránky súhrnu.
  • Na stránke Zdroje kliknite na … na pravej strane klastra a vyberte možnosť Odstrániť klaster.
5

Kliknite na kartu Nastavenia na stránke prehľadu Hybrid Data Security a kliknite na položku Deaktivovať HDS na karte Stav HDS.

Začnite s Hybridným zabezpečením dát pre viacerých nájomníkov

Prehľad zabezpečenia hybridných dát pre viacerých nájomníkov

Od prvého dňa bola bezpečnosť údajov hlavným zameraním pri navrhovaní aplikácie Webex. Základným kameňom tohto zabezpečenia je komplexné šifrovanie obsahu, ktoré umožňujú klienti Webex App interagujúci so službou správy kľúčov (KMS). KMS je zodpovedný za vytváranie a správu kryptografických kľúčov, ktoré klienti používajú na dynamické šifrovanie a dešifrovanie správ a súborov.

V predvolenom nastavení dostávajú všetci zákazníci Webex App end-to-end šifrovanie s dynamickými kľúčmi uloženými v cloudovom KMS v oblasti bezpečnosti Cisco. Hybrid Data Security presúva KMS a ďalšie funkcie súvisiace so zabezpečením do vášho podnikového dátového centra, takže kľúče k vášmu šifrovanému obsahu nemá nikto okrem vás.

Multi-Tenant Hybrid Data Security umožňuje organizáciám využívať HDS prostredníctvom dôveryhodného miestneho partnera, ktorý môže pôsobiť ako poskytovateľ služieb a spravovať lokálne šifrovanie a ďalšie bezpečnostné služby. Toto nastavenie umožňuje partnerskej organizácii mať úplnú kontrolu nad nasadením a správou šifrovacích kľúčov a zaisťuje, že používateľské údaje zákazníckych organizácií sú v bezpečí pred externým prístupom. Partnerské organizácie podľa potreby nastavujú inštancie HDS a vytvárajú klastre HDS. Každá inštancia môže podporovať viacero zákazníckych organizácií na rozdiel od bežného nasadenia HDS, ktoré je obmedzené na jednu organizáciu.

Zatiaľ čo partnerské organizácie majú kontrolu nad nasadením a správou, nemajú prístup k údajom a obsahu generovanému zákazníkmi. Tento prístup je obmedzený na zákaznícke organizácie a ich používateľov.

To tiež umožňuje menším organizáciám využívať HDS, pretože službu správy kľúčov a bezpečnostnú infraštruktúru, ako sú dátové centrá, vlastní dôveryhodný miestny partner.

Ako Multi-Tenant Hybrid Data Security poskytuje dátovú suverenitu a kontrolu dát

  • Obsah generovaný používateľmi je chránený pred externým prístupom, ako sú poskytovatelia cloudových služieb.
  • Miestni dôveryhodní partneri spravujú šifrovacie kľúče zákazníkov, s ktorými už majú vybudovaný vzťah.
  • Možnosť miestnej technickej podpory, ak ju poskytuje partner.
  • Podporuje obsah stretnutí, správ a hovorov.

Tento dokument je zameraný na pomoc partnerským organizáciám pri nastavovaní a správe zákazníkov v rámci systému Multi-Tenant Hybrid Data Security.

Obmedzenia Hybridného zabezpečenia dát pre viacerých nájomníkov

  • Partnerské organizácie nesmú mať v Control Hub aktívne žiadne existujúce nasadenie HDS.
  • Nájomnícke alebo zákaznícke organizácie, ktoré chcú byť spravované partnerom, nesmú mať žiadne existujúce nasadenie HDS v Control Hub.
  • Akonáhle partner nasadí Multi-Tenant HDS, všetci používatelia zákazníckych organizácií, ako aj používatelia partnerskej organizácie začnú využívať Multi-Tenant HDS pre svoje šifrovacie služby.

    Partnerská organizácia a zákaznícke organizácie, ktoré riadia, budú využívať rovnaké nasadenie HDS pre viacerých nájomníkov.

    Po nasadení Multi-Tenant HDS už partnerská organizácia nebude používať cloudové KMS.

  • Neexistuje žiadny mechanizmus na presun kľúčov späť do Cloud KMS po nasadení HDS.
  • V súčasnosti môže mať každé nasadenie Multi-Tenant HDS iba jeden klaster s viacerými uzlami pod ním.
  • Úlohy správcu majú určité obmedzenia; podrobnosti nájdete v časti nižšie.

Úlohy v hybridnej bezpečnosti dát pre viacerých nájomníkov

  • Úplný správca partnera – môže spravovať nastavenia pre všetkých zákazníkov, ktorých partner spravuje. Môže tiež priradiť roly správcu existujúcim používateľom v organizácii a priradiť konkrétnych zákazníkov, ktorých majú spravovať správcovia partnerov.
  • Správca partnera – môže spravovať nastavenia pre zákazníkov, ktorých správca poskytol alebo ktorí boli priradení používateľovi.
  • Úplný správca – správca partnerskej organizácie, ktorý je oprávnený vykonávať úlohy, ako je úprava nastavení organizácie, správa licencií a prideľovanie rolí.
  • Nastavenie HDS pre viacerých nájomníkov a správa všetkých zákazníckych organizácií od konca do konca – Vyžaduje sa úplný správca partnera a úplné práva správcu.
  • Správa priradených organizácií nájomníkov – vyžaduje sa správca partnera a úplné práva správcu.

Architektúra bezpečnostnej sféry

Cloudová architektúra Webex oddeľuje rôzne typy služieb do samostatných oblastí alebo dôveryhodných domén, ako je znázornené nižšie.

Realms of Separation (bez Hybrid Data Security)

Aby sme lepšie porozumeli Hybrid Data Security, pozrime sa najprv na tento čistý cloud, kde Cisco poskytuje všetky funkcie vo svojich cloudových sférach. Služba identity, jediné miesto, kde môžu používatelia priamo korelovať so svojimi osobnými údajmi, ako je e-mailová adresa, je logicky a fyzicky oddelená od oblasti zabezpečenia v dátovom centre B. Obe sú zase oddelené od oblasti, kde je v konečnom dôsledku uložený šifrovaný obsah. , v dátovom centre C.

V tomto diagrame je klientom aplikácia Webex, ktorá beží na notebooku používateľa a je overená službou identity. Keď používateľ vytvorí správu na odoslanie do priestoru, vykonajú sa tieto kroky:

  1. Klient vytvorí zabezpečené spojenie so službou správy kľúčov (KMS), potom požiada o kľúč na zašifrovanie správy. Zabezpečené pripojenie používa ECDH a KMS šifruje kľúč pomocou hlavného kľúča AES-256.

  2. Správa je pred opustením klienta zašifrovaná. Klient ho odošle do indexovacej služby, ktorá vytvorí šifrované indexy vyhľadávania na pomoc pri budúcom vyhľadávaní obsahu.

  3. Zašifrovaná správa sa odošle do služby súladu na kontrolu súladu.

  4. Zašifrovaná správa je uložená v úložnej sfére.

Keď nasadíte Hybrid Data Security, presuniete funkcie bezpečnostnej sféry (KMS, indexovanie a súlad) do vášho lokálneho dátového centra. Ostatné cloudové služby, ktoré tvoria Webex (vrátane ukladania identity a obsahu), zostávajú v sférach spoločnosti Cisco.

Spolupráca s inými organizáciami

Používatelia vo vašej organizácii môžu pravidelne používať aplikáciu Webex na spoluprácu s externými účastníkmi v iných organizáciách. Keď jeden z vašich používateľov požaduje kľúč pre priestor, ktorý vlastní vaša organizácia (pretože ho vytvoril jeden z vašich používateľov), váš KMS odošle kľúč klientovi cez zabezpečený kanál ECDH. Keď však kľúč priestoru vlastní iná organizácia, váš KMS nasmeruje požiadavku do cloudu Webex cez samostatný kanál ECDH, aby získal kľúč z príslušného KMS, a potom vráti kľúč vášmu používateľovi na pôvodnom kanáli.

Služba KMS spustená v organizácii A overuje pripojenia ku KMS v iných organizáciách pomocou x.509 PKI certifikátov. Podrobnosti o generovaní certifikátu x.509 na použitie s nasadením Hybrid Data Security pre viacerých nájomníkov nájdete v časti Príprava prostredia .

Očakávania týkajúce sa nasadenia hybridnej bezpečnosti údajov

Nasadenie Hybrid Data Security si vyžaduje značné odhodlanie a uvedomenie si rizík, ktoré so sebou prináša vlastníctvo šifrovacích kľúčov.

Ak chcete nasadiť Hybrid Data Security, musíte poskytnúť:

Úplná strata buď konfiguračného ISO, ktoré ste vytvorili pre Hybrid Data Security, alebo databázy, ktorú poskytnete, bude mať za následok stratu kľúčov. Strata kľúča bráni používateľom dešifrovať obsah priestoru a ďalšie šifrované údaje v aplikácii Webex. Ak sa tak stane, môžete vytvoriť nové nasadenie, ale bude viditeľný iba nový obsah. Aby ste predišli strate prístupu k údajom, musíte:

  • Spravujte zálohovanie a obnovu databázy a konfiguračného ISO.

  • Buďte pripravení vykonať rýchlu obnovu po havárii, ak dôjde ku katastrofe, ako je zlyhanie databázového disku alebo katastrofa dátového centra.

Neexistuje žiadny mechanizmus na presun kľúčov späť do cloudu po nasadení HDS.

Proces nastavenia na vysokej úrovni

Tento dokument pokrýva nastavenie a správu nasadenia Hybrid Data Security pre viacerých nájomníkov:

  • Nastavenie Hybrid Data Security – zahŕňa prípravu požadovanej infraštruktúry a inštaláciu softvéru Hybrid Data Security, vybudovanie klastra HDS, pridanie organizácií nájomníkov do klastra a správu ich hlavných kľúčov zákazníkov (CMK). To umožní všetkým používateľom vašich zákazníckych organizácií používať váš klaster Hybrid Data Security na bezpečnostné funkcie.

    Fázy nastavenia, aktivácie a správy sú podrobne opísané v nasledujúcich troch kapitolách.

  • Udržujte svoje nasadenie Hybrid Data Security – cloud Webex automaticky poskytuje priebežné inovácie. Vaše IT oddelenie môže poskytnúť podporu prvej úrovne pre toto nasadenie a podľa potreby zapojiť podporu Cisco. V partnerskom centre môžete používať upozornenia na obrazovke a nastaviť upozornenia prostredníctvom e-mailu.

  • Pochopte bežné upozornenia, kroky na riešenie problémov a známe problémy – Ak narazíte na problémy s nasadením alebo používaním Hybrid Data Security, posledná kapitola tejto príručky a príloha Známe problémy vám môžu pomôcť určiť a vyriešiť problém.

Hybridný model nasadenia zabezpečenia dát

V rámci podnikového dátového centra nasadíte Hybrid Data Security ako jeden klaster uzlov na samostatných virtuálnych hostiteľoch. Uzly komunikujú s cloudom Webex cez zabezpečené websockety a zabezpečené HTTP.

Počas procesu inštalácie vám poskytneme súbor OVA na nastavenie virtuálneho zariadenia na VM, ktoré poskytnete. Nástroj HDS Setup Tool použijete na vytvorenie vlastného konfiguračného súboru ISO klastra, ktorý pripojíte na každý uzol. Klaster Hybrid Data Security využíva váš poskytnutý server Syslogd a databázu PostgreSQL alebo Microsoft SQL Server. (Syslogd a podrobnosti o pripojení k databáze nakonfigurujete v nástroji HDS Setup Tool.)

Hybridný model nasadenia zabezpečenia dát

Minimálny počet uzlov, ktoré môžete mať v klastri, sú dva. Odporúčame aspoň tri na klaster. Viacnásobné uzly zaisťujú, že služba nebude prerušená počas aktualizácie softvéru alebo inej činnosti údržby na uzle. (Cloud Webex aktualizuje naraz iba jeden uzol.)

Všetky uzly v klastri pristupujú k rovnakému úložisku údajov kľúčov a zaznamenávajú aktivitu na rovnaký server syslog. Samotné uzly sú bez stavu a spracovávajú kľúčové požiadavky v režime round-robin podľa pokynov cloudu.

Uzly sa stanú aktívnymi, keď ich zaregistrujete v Partner Hub. Ak chcete vyradiť jednotlivý uzol z prevádzky, môžete ho zrušiť a neskôr v prípade potreby znova zaregistrovať.

Pohotovostné dátové centrum pre obnovu po havárii

Počas nasadenia nastavíte zabezpečené pohotovostné dátové centrum. V prípade havárie dátového centra môžete manuálne zlyhať nasadenie do pohotovostného dátového centra.

Pred zlyhaním má Dátové centrum A aktívne uzly HDS a primárnu databázu PostgreSQL alebo Microsoft SQL Server, zatiaľ čo B má kópiu súboru ISO s ďalšími konfiguráciami, virtuálne počítače, ktoré sú registrované v organizácii, a záložnú databázu. Po zlyhaní má Dátové centrum B aktívne uzly HDS a primárnu databázu, zatiaľ čo A má neregistrované VM a kópiu súboru ISO a databáza je v pohotovostnom režime.
Manuálne prepnutie do pohotovostného dátového centra

Databázy aktívnych a pohotovostných dátových centier sú navzájom synchronizované, čo minimalizuje čas potrebný na vykonanie núdzového prepnutia.

Aktívne uzly Hybrid Data Security musia byť vždy v rovnakom údajovom centre ako aktívny databázový server.

Podpora proxy

Hybrid Data Security podporuje explicitné, transparentné kontrolné a nekontrolujúce proxy. Tieto servery proxy môžete prepojiť s nasadením, aby ste mohli zabezpečiť a monitorovať prevádzku z podniku do cloudu. Rozhranie správcu platformy na uzloch môžete použiť na správu certifikátov a na kontrolu celkového stavu pripojenia po nastavení servera proxy na uzloch.

Uzly Hybrid Data Security podporujú nasledujúce možnosti proxy:

  • Bez servera proxy – predvolená hodnota, ak na integráciu servera proxy nepoužívate konfiguráciu dôveryhodného obchodu a servera proxy na nastavenie uzla HDS. Nevyžaduje sa žiadna aktualizácia certifikátu.

  • Transparentný nekontrolujúci proxy server – uzly nie sú nakonfigurované na používanie konkrétnej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.

  • Transparentné tunelovanie alebo kontrola servera proxy – uzly nie sú nakonfigurované na používanie konkrétnej adresy servera proxy. Na uzloch nie sú potrebné žiadne zmeny konfigurácie HTTP alebo HTTPS. Uzly však potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).

  • Explicitný server proxy – pomocou explicitného servera proxy poviete uzlom HDS, ktorý server proxy a schému overenia majú použiť. Ak chcete nakonfigurovať explicitný server proxy, musíte do každého uzla zadať nasledujúce informácie:

    1. Proxy IP/FQDN – adresa, ktorú možno použiť na spojenie so zariadením proxy.

    2. Port proxy – číslo portu, ktoré server proxy používa na počúvanie prenosu cez server proxy.

    3. Protokol proxy – v závislosti od toho, čo váš server proxy podporuje, si vyberte z nasledujúcich protokolov:

      • HTTP – zobrazuje a riadi všetky požiadavky, ktoré klient odosiela.

      • HTTPS – poskytuje kanál pre server. Klient prijme a overí certifikát servera.

    4. Typ overenia totožnosti – vyberte si z nasledujúcich typov overenia totožnosti:

      • Žiadne – nevyžaduje sa žiadne ďalšie overenie.

        Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.

      • Základné – používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.

        Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.

        Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.

      • Súhrn – používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.

        Dostupné, iba ak vyberiete HTTPS ako protokol proxy.

        Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.

Príklad uzlov na zabezpečenie hybridných dát a proxy

Tento diagram ukazuje príklad spojenia medzi Hybrid Data Security, sieťou a proxy. Pre možnosti transparentnej kontroly a explicitnej kontroly HTTPS musí byť na serveri proxy a na uzloch Hybrid Data Security nainštalovaný rovnaký koreňový certifikát.

Blokovaný režim externého rozlíšenia DNS (explicitné konfigurácie proxy)

Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. V nasadeniach s explicitnými konfiguráciami proxy, ktoré neumožňujú externé rozlíšenie DNS pre interných klientov, ak uzol nemôže dotazovať servery DNS, automaticky prejde do režimu blokovaného externého riešenia DNS. V tomto režime môže pokračovať registrácia uzla a ďalšie testy pripojenia proxy.

Príprava prostredia

Požiadavky na hybridné zabezpečenie dát pre viacerých nájomníkov

Požiadavky na licenciu Cisco Webex

Ak chcete nasadiť hybridné zabezpečenie dát pre viacerých nájomníkov:

  • Partnerské organizácie: Kontaktujte svojho partnera Cisco alebo správcu účtu a uistite sa, že je povolená funkcia viacerých nájomníkov.

  • Nájomné organizácie: Musíte mať balík Pro Pack pre Cisco Webex Control Hub. (Pozrite si https://www.cisco.com/go/pro-pack.)

Požiadavky na plochu Docker

Pred inštaláciou uzlov HDS potrebujete Docker Desktop na spustenie inštalačného programu. Docker nedávno aktualizoval svoj licenčný model. Vaša organizácia môže vyžadovať platené predplatné pre Docker Desktop. Podrobnosti nájdete v blogovom príspevku Docker „ Docker aktualizuje a rozširuje naše predplatné produktov“.

Požiadavky na certifikát X.509

Certifikačný reťazec musí spĺňať nasledujúce požiadavky:

Tabuľka č. 1 Požiadavky certifikátu X.509 pre nasadenie hybridného zabezpečenia dát

Požiadavka

Podrobnosti

  • Podpísané dôveryhodnou certifikačnou autoritou (CA)

V predvolenom nastavení dôverujeme CA v zozname Mozilly (s výnimkou WoSign a StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

  • Nesie názov domény Common Name (CN), ktorý identifikuje vaše nasadenie Hybrid Data Security

  • Nie je to zástupný certifikát

CN nemusí byť dosiahnuteľné alebo živého hostiteľa. Odporúčame vám použiť názov, ktorý zodpovedá vašej organizácii, napríklad hds.company.com.

KN nesmie obsahovať * (zástupný znak).

CN sa používa na overenie uzlov Hybrid Data Security pre klientov Webex App. Všetky uzly Hybrid Data Security vo vašom klastri používajú rovnaký certifikát. Váš KMS sa identifikuje pomocou domény CN, nie akejkoľvek domény, ktorá je definovaná v poliach x.509v3 SAN.

Po zaregistrovaní uzla s týmto certifikátom nepodporujeme zmenu názvu domény CN.

  • Podpis iný ako SHA1

Softvér KMS nepodporuje podpisy SHA1 na overenie pripojení k KMS iných organizácií.

  • Naformátovaný ako súbor PKCS #12 chránený heslom

  • Použite priateľský názov kms-private-key na označenie certifikátu, súkromného kľúča a akýchkoľvek sprostredkujúcich certifikátov na odovzdanie.

Na zmenu formátu certifikátu môžete použiť konvertor, ako je OpenSSL.

Pri spustení nástroja HDS Setup Tool budete musieť zadať heslo.

Softvér KMS nevynucuje používanie kľúčov ani rozšírené obmedzenia používania kľúčov. Niektoré certifikačné autority vyžadujú, aby sa na každý certifikát aplikovali rozšírené obmedzenia používania kľúčov, ako je autentifikácia servera. Je v poriadku použiť overenie servera alebo iné nastavenia.

Požiadavky na virtuálny hostiteľ

Virtuálni hostitelia, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri, majú nasledujúce požiadavky:

  • Aspoň dvaja oddelení hostitelia (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre

  • VMware ESXi 7.0 (alebo novší) nainštalovaný a spustený.

    Ak máte staršiu verziu ESXi, musíte vykonať inováciu.

  • Minimálne 4 vCPU, 8 GB hlavnej pamäte, 30 GB miesta na lokálnom pevnom disku na server

Požiadavky na databázový server

Vytvorte novú databázu pre uloženie kľúčov. Nepoužívajte predvolenú databázu. Aplikácie HDS, keď sú nainštalované, vytvoria schému databázy.

Pre databázový server sú dve možnosti. Požiadavky na každú z nich sú nasledovné:

Tabuľka 2 Požiadavky na databázový server podľa typu databázy

PostgreSQL

Microsoft SQL Server

  • PostgreSQL 14, 15 alebo 16, nainštalovaný a spustený.

  • SQL Server 2016, 2017, 2019 alebo 2022 (Enterprise alebo Standard) nainštalovaný.

    SQL Server 2016 vyžaduje Service Pack 2 a Kumulatívna aktualizácia 2 alebo novšia.

Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložisko)

Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložisko)

Softvér HDS momentálne inštaluje nasledujúce verzie ovládačov na komunikáciu s databázovým serverom:

PostgreSQL

Microsoft SQL Server

Postgres JDBC ovládač 42.2.5

Ovládač SQL Server JDBC 4.6

Táto verzia ovládača podporuje server SQL Server Always On (Inštancie klastra prepnutia pri zlyhaní a skupiny dostupnosti Vždy zapnuté).

Dodatočné požiadavky na overenie systému Windows voči Microsoft SQL Server

Ak chcete, aby uzly HDS používali autentifikáciu systému Windows na získanie prístupu k vašej databáze úložiska kľúčov na serveri Microsoft SQL Server, potrebujete vo svojom prostredí nasledujúcu konfiguráciu:

  • HDS uzly, infraštruktúra Active Directory a MS SQL Server musia byť synchronizované s NTP.

  • Účet Windows, ktorý poskytnete uzlom HDS, musí mať prístup k databáze na čítanie/zápis.

  • Servery DNS, ktoré poskytujete uzlom HDS, musia byť schopné vyriešiť vaše Centrum distribúcie kľúčov (KDC).

  • Inštanciu databázy HDS môžete zaregistrovať na svojom serveri Microsoft SQL Server ako hlavný názov služby (SPN) vo vašom adresári Active Directory. Pozrite si časť Registrácia hlavného názvu služby pre pripojenia Kerberos.

    Nástroj na nastavenie HDS, spúšťač HDS a miestne KMS musia na prístup k databáze kľúčov používať overenie systému Windows. Používajú podrobnosti z vašej konfigurácie ISO na vytvorenie SPN pri požadovaní prístupu s overením Kerberos.

Požiadavky na externé pripojenie

Nakonfigurujte svoj firewall tak, aby umožňoval nasledujúce pripojenie pre aplikácie HDS:

Aplikácia

Protokol

Port

Smer z App

Cieľ

Hybridné uzly zabezpečenia údajov

TCP

443

Odchádzajúce HTTPS a WSS

  • Webex servery:

    • *.wbx2.com

    • *.ciscospark.com

  • Všetci hostitelia Common Identity

  • Ďalšie adresy URL, ktoré sú uvedené pre Hybrid Data Security v tabuľke Ďalšie adresy URL pre hybridné služby Webex v časti Požiadavky na sieť pre služby Webex

Nástroj na nastavenie HDS

TCP

443

Odchádzajúce HTTPS

  • *.wbx2.com

  • Všetci hostitelia Common Identity

  • hub.docker.com

Uzly Hybrid Data Security pracujú s prekladom sieťového prístupu (NAT) alebo za bránou firewall, pokiaľ NAT alebo brána firewall umožňuje požadované odchádzajúce pripojenia k destináciám domény v predchádzajúcej tabuľke. Pre pripojenia prichádzajúce do uzlov Hybrid Data Security by nemali byť z internetu viditeľné žiadne porty. V rámci vášho dátového centra potrebujú klienti prístup k uzlom Hybrid Data Security na portoch TCP 443 a 22 na administratívne účely.

Adresy URL hostiteľov Common Identity (CI) sú špecifické pre daný región. Toto sú súčasní hostitelia CI:

región

Spoločné adresy URL hostiteľa identity

Ameriky

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Európskej únie

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur
  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Spojené arabské emiráty
  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Požiadavky na proxy server

  • Oficiálne podporujeme nasledujúce proxy riešenia, ktoré sa dajú integrovať s vašimi uzlami Hybrid Data Security.

  • Pre explicitné servery proxy podporujeme nasledujúce kombinácie typov overenia:

    • Žiadna autentifikácia pomocou HTTP alebo HTTPS

    • Základná autentifikácia pomocou HTTP alebo HTTPS

    • Digest overenie iba s HTTPS

  • Pre transparentný kontrolný proxy server alebo explicitný proxy server HTTPS musíte mať kópiu koreňového certifikátu servera proxy. Pokyny na nasadenie v tejto príručke vám povedia, ako nahrať kópiu do dôveryhodných obchodov uzlov Hybrid Data Security.

  • Sieť, ktorá hostí uzly HDS, musí byť nakonfigurovaná tak, aby vynútila smerovanie odchádzajúcej prevádzky TCP na porte 443 cez server proxy.

  • Proxy, ktoré kontrolujú webovú prevádzku, môžu narúšať pripojenia webových soketov. Ak sa vyskytne tento problém, problém vyrieši obídenie (nie kontrola) návštevnosti stránok wbx2.com a ciscospark.com .

Vyplňte Predpoklady pre hybridnú bezpečnosť údajov

Pomocou tohto kontrolného zoznamu sa uistite, že ste pripravení na inštaláciu a konfiguráciu klastra Hybrid Data Security.
1

Uistite sa, že vaša partnerská organizácia má povolenú funkciu Multi-Tenant HDS a získajte prihlasovacie údaje účtu s úplným správcom partnera a plnými právami správcu. Uistite sa, že vaša organizácia zákazníkov Webex má povolený balík Pro Pack pre Cisco Webex Control Hub. Ak potrebujete pomoc s týmto procesom, kontaktujte svojho partnera Cisco alebo account manažéra.

Zákaznícke organizácie by nemali mať žiadne existujúce nasadenie HDS.

2

Vyberte názov domény pre svoje nasadenie HDS (napríklad hds.company.com) a získajte reťaz certifikátov obsahujúci certifikát X.509, súkromný kľúč a akékoľvek sprostredkujúce certifikáty. Reťazec certifikátov musí spĺňať požiadavky uvedené v časti Požiadavky na certifikát X.509.

3

Pripravte si identických virtuálnych hostiteľov, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri. Potrebujete aspoň dvoch samostatných hostiteľov (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre, ktorí spĺňajú požiadavky v časti Požiadavky na virtuálneho hostiteľa.

4

Pripravte databázový server, ktorý bude fungovať ako úložisko kľúčových údajov pre klaster, v súlade s požiadavkami na databázový server. Databázový server musí byť umiestnený v zabezpečenom údajovom centre spolu s virtuálnymi hostiteľmi.

  1. Vytvorte databázu pre ukladanie kľúčov. (Túto databázu musíte vytvoriť – nepoužívajte predvolenú databázu. Aplikácie HDS po nainštalovaní vytvoria schému databázy.)

  2. Zhromaždite podrobnosti, ktoré budú uzly používať na komunikáciu s databázovým serverom:

    • názov hostiteľa alebo IP adresa (hostiteľ) a port

    • názov databázy (dbname) pre uloženie kľúčov

    • užívateľské meno a heslo užívateľa so všetkými privilégiami v databáze kľúča

5

Pre rýchlu obnovu po havárii nastavte zálohovacie prostredie v inom dátovom centre. Zálohovacie prostredie odzrkadľuje produkčné prostredie VM a záložný databázový server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM.

6

Nastavte hostiteľa syslog na zhromažďovanie protokolov z uzlov v klastri. Získajte jeho sieťovú adresu a port syslog (predvolené je UDP 514).

7

Vytvorte politiku bezpečného zálohovania pre uzly Hybrid Data Security, databázový server a hostiteľa syslog. Aby ste predišli nenapraviteľnej strate údajov, musíte minimálne zálohovať databázu a konfiguračný súbor ISO vygenerovaný pre uzly Hybrid Data Security.

Keďže uzly Hybrid Data Security ukladajú kľúče používané na šifrovanie a dešifrovanie obsahu, zlyhanie prevádzkyschopného nasadenia bude mať za následok NEOBNOVITEĽNÚ STRATU tohto obsahu.

Klienti Webex App ukladajú svoje kľúče do vyrovnávacej pamäte, takže výpadok nemusí byť okamžite viditeľný, ale časom sa prejaví. Zatiaľ čo dočasným výpadkom nie je možné zabrániť, sú obnoviteľné. Úplná strata (nie sú k dispozícii žiadne zálohy) databázy alebo konfiguračného ISO súboru však bude mať za následok neobnoviteľné zákaznícke údaje. Od operátorov uzlov Hybrid Data Security sa očakáva, že budú pravidelne zálohovať databázu a konfiguračný súbor ISO a budú pripravení na prestavbu dátového centra Hybrid Data Security, ak dôjde ku katastrofálnej poruche.

8

Uistite sa, že konfigurácia brány firewall umožňuje pripojenie pre uzly Hybrid Data Security, ako je uvedené v časti Požiadavky na externé pripojenie.

9

Nainštalujte Docker ( https://www.docker.com) na ľubovoľný lokálny počítač s podporovaným operačným systémom (Microsoft Windows 10 Professional alebo Enterprise 64-bitový alebo Mac OSX Yosemite 10.10.3 alebo novší) pomocou webového prehliadača, ktorý k nemu má prístup na adrese http://127.0.0.1:8080.

Inštanciu Docker použijete na stiahnutie a spustenie nástroja HDS Setup Tool, ktorý vytvorí informácie o lokálnej konfigurácii pre všetky uzly Hybrid Data Security. Možno budete potrebovať licenciu Docker Desktop. Ďalšie informácie nájdete v časti Požiadavky na pracovnú plochu Docker .

Ak chcete nainštalovať a spustiť nástroj HDS Setup Tool, miestny počítač musí mať pripojenie uvedené v časti Požiadavky na externé pripojenie.

10

Ak integrujete server proxy so službou Hybrid Data Security, uistite sa, že spĺňa požiadavky na server proxy.

Nastavte klaster Hybrid Data Security

Tok úloh nasadenia zabezpečenia hybridných údajov

Skôr ako začnete

1

Vykonajte počiatočné nastavenie a stiahnite inštalačné súbory

Stiahnite si súbor OVA na váš lokálny počítač pre neskoršie použitie.

2

Vytvorte ISO konfigurácie pre hostiteľov HDS

Pomocou nástroja HDS Setup Tool vytvorte konfiguračný súbor ISO pre uzly Hybrid Data Security.

3

Nainštalujte HDS Host OVA

Vytvorte virtuálny počítač zo súboru OVA a vykonajte počiatočnú konfiguráciu, ako sú nastavenia siete.

Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 7.0. Táto možnosť nemusí byť dostupná v starších verziách.

4

Nastavte virtuálny počítač Hybrid Data Security

Prihláste sa do konzoly VM a nastavte prihlasovacie poverenia. Nakonfigurujte sieťové nastavenia pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.

5

Nahrajte a pripojte ISO konfiguráciu HDS

Nakonfigurujte VM z konfiguračného súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool.

6

Nakonfigurujte uzol HDS na integráciu proxy

Ak sieťové prostredie vyžaduje konfiguráciu servera proxy, zadajte typ servera proxy, ktorý použijete pre uzol, a v prípade potreby pridajte certifikát servera proxy do dôveryhodného úložiska.

7

Zaregistrujte prvý uzol v klastri

Zaregistrujte VM v cloude Cisco Webex ako uzol Hybrid Data Security.

8

Vytvorte a zaregistrujte viac uzlov

Dokončite nastavenie klastra.

9

Aktivujte si Multi-Tenant HDS na Partner Hub.

Aktivujte si HDS a spravujte organizácie nájomníkov na Partner Hub.

Vykonajte počiatočné nastavenie a stiahnite inštalačné súbory

V tejto úlohe stiahnete súbor OVA do svojho počítača (nie na servery, ktoré ste nastavili ako uzly Hybrid Data Security). Tento súbor použijete neskôr v procese inštalácie.

1

Prihláste sa do Partnerského centra a potom kliknite na položku Služby.

2

V časti Cloudové služby nájdite kartu Hybrid Data Security a kliknite na tlačidlo Nastaviť.

Pre proces nasadenia je rozhodujúce kliknutie na položku Nastaviť v partnerskom centre. Nepokračujte v inštalácii bez dokončenia tohto kroku.

3

Kliknite na položku Pridať zdroj a kliknite na položku Prevziať súbor .OVA na karte Inštalovať a konfigurovať softvér .

Staršie verzie softvérového balíka (OVA) nebudú kompatibilné s najnovšími aktualizáciami Hybrid Data Security. To môže viesť k problémom pri inovácii aplikácie. Uistite sa, že ste si stiahli najnovšiu verziu súboru OVA.

OVA si tiež môžete kedykoľvek stiahnuť zo sekcie Pomocník . Kliknite na položky Nastavenia > Pomocník > Prevziať softvér Hybrid Data Security.

Súbor OVA sa začne automaticky sťahovať. Uložte súbor na miesto v počítači.
4

Voliteľne kliknite na položku Zobraziť príručku nasadenia hybridného zabezpečenia údajov a skontrolujte, či je k dispozícii novšia verzia tejto príručky.

Vytvorte ISO konfigurácie pre hostiteľov HDS

Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.

Skôr ako začnete

1

Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

V bežných prostrediach:

docker rmi ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

2

Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:

docker login -u hdscustomersro
3

Pri výzve na zadanie hesla zadajte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stiahnite si najnovší stabilný obraz pre vaše prostredie:

V bežných prostrediach:

docker pull ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

  • V bežných prostrediach bez servera proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V prostrediach FedRAMP bez proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • V prostrediach FedRAMP s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný
  • V prostrediach FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný

Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“.

6

Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 .

Pomocou webového prehliadača prejdite na localhost, http://127.0.0.1:8080, a po výzve zadajte používateľské meno správcu pre partnerské centrum.

Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie.

7

Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia správcu Partner Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre Hybrid Data Security.

8

Na stránke prehľadu nástroja Setup kliknite na položku Začíname.

9

Na stránke Import ISO máte tieto možnosti:

  • Nie – Ak vytvárate svoj prvý uzol HDS, nemáte súbor ISO na odovzdanie.
  • Áno – ak ste už vytvorili uzly HDS, vyberte súbor ISO v prehľadávaní a odovzdajte ho.
10

Skontrolujte, či váš certifikát X.509 spĺňa požiadavky uvedené v časti Požiadavky na certifikát X.509.

  • Ak ste ešte nikdy neodovzdali certifikát, odovzdajte certifikát X.509, zadajte heslo a kliknite na tlačidlo Pokračovať.
  • Ak je váš certifikát v poriadku, kliknite na tlačidlo Pokračovať.
  • Ak platnosť vášho certifikátu vypršala alebo ho chcete nahradiť, vyberte možnosť Nie pre možnosť Pokračovať v používaní reťazca certifikátov HDS a súkromného kľúča z predchádzajúcej normy ISO?. Odovzdajte nový certifikát X.509, zadajte heslo a kliknite na tlačidlo Pokračovať.
11

Zadajte databázovú adresu a účet pre HDS, aby ste získali prístup k vášmu úložisku kľúčových údajov:

  1. Vyberte svoj Typ databázy (PostgreSQL alebo Microsoft SQL Server).

    Ak vyberiete možnosť Microsoft SQL Server, zobrazí sa pole Typ overenia.

  2. (Iba Microsoft SQL Server ) Vyberte svoj Typ overenia:

    • Základná autentifikácia: V poli Používateľské meno potrebujete názov lokálneho účtu SQL Server.

    • Overovanie systému Windows: Potrebujete účet Windows vo formáte používateľské meno@DOMAIN v poli Používateľské meno .

  3. Zadajte adresu databázového servera v tvare : alebo :.

    Príklad:
    dbhost.example.org:1433 alebo 198.51.100.17:1433

    Ak uzly nemôžu použiť DNS na rozlíšenie názvu hostiteľa, môžete použiť IP adresu na základnú autentifikáciu.

    Ak používate overenie systému Windows, musíte zadať úplný názov domény vo formáte dbhost.example.org:1433

  4. Zadajte Názov databázy.

  5. Zadajte Používateľské meno a Heslo používateľa so všetkými oprávneniami v databáze úložiska kľúčov.

12

Vyberte Režim pripojenia databázy TLS:

Režim

Opis

Preferovať TLS (predvolená možnosť)

HDS uzly nevyžadujú TLS na pripojenie k databázovému serveru. Ak povolíte TLS na databázovom serveri, uzly sa pokúsia o šifrované pripojenie.

Vyžadovať TLS

Uzly HDS sa pripájajú iba vtedy, ak databázový server dokáže dohodnúť TLS.

Vyžadovať TLS a overiť podpisovateľa certifikátu

Tento režim nie je použiteľný pre databázy SQL Server.

  • Uzly HDS sa pripájajú iba vtedy, ak databázový server dokáže dohodnúť TLS.

  • Po vytvorení pripojenia TLS uzol porovná podpisovateľa certifikátu z databázového servera s certifikačnou autoritou v koreňovom certifikáte databázy. Ak sa nezhodujú, uzol zruší spojenie.

Na odovzdanie koreňového certifikátu pre túto možnosť použite ovládací prvok Koreňový certifikát databázy pod rozbaľovacím zoznamom.

Vyžadovať TLS a overiť podpisovateľa certifikátu a názov hostiteľa

  • Uzly HDS sa pripájajú iba vtedy, ak databázový server dokáže dohodnúť TLS.

  • Po vytvorení pripojenia TLS uzol porovná podpisovateľa certifikátu z databázového servera s certifikačnou autoritou v koreňovom certifikáte databázy. Ak sa nezhodujú, uzol zruší spojenie.

  • Uzly tiež overia, či sa názov hostiteľa v certifikáte servera zhoduje s názvom hostiteľa v poli Hostiteľ databázy a port . Názvy sa musia presne zhodovať, inak uzol zruší spojenie.

Na odovzdanie koreňového certifikátu pre túto možnosť použite ovládací prvok Koreňový certifikát databázy pod rozbaľovacím zoznamom.

Keď odovzdáte koreňový certifikát (ak je to potrebné) a kliknete na tlačidlo Pokračovať, nástroj HDS Setup Tool otestuje pripojenie TLS k databázovému serveru. Nástroj tiež overuje podpisovateľa certifikátu a názov hostiteľa, ak je to potrebné. Ak test zlyhá, nástroj zobrazí chybové hlásenie s popisom problému. Môžete si vybrať, či chcete chybu ignorovať a pokračovať v nastavovaní. (Vzhľadom na rozdiely v konektivite môžu byť uzly HDS schopné vytvoriť pripojenie TLS, aj keď ho zariadenie HDS Setup Tool nedokáže úspešne otestovať.)

13

Na stránke Systémové denníky nakonfigurujte svoj server Syslogd:

  1. Zadajte adresu URL servera syslog.

    Ak server nie je schopný rozlíšiť DNS z uzlov pre váš klaster HDS, použite v adrese URL adresu IP.

    Príklad:
    udp://10.92.43.23:514 označuje prihlásenie do hostiteľa Syslogd 10.92.43.23 na porte UDP 514.
  2. Ak ste na svojom serveri nastavili používanie šifrovania TLS, začiarknite políčko Je váš server syslog nakonfigurovaný na šifrovanie SSL?.

    Ak začiarknete toto políčko, uistite sa, že ste zadali adresu URL TCP, napríklad tcp://10.92.43.23:514.

  3. V rozbaľovacej ponuke Vybrať ukončenie záznamu syslog vyberte vhodné nastavenie pre váš súbor ISO: Choose alebo Newline sa používa pre Graylog a Rsyslog TCP

    • Null byte -- \x00

    • Nový riadok -- \n – Túto možnosť vyberte pre Graylog a Rsyslog TCP.

  4. Kliknite na tlačidlo Pokračovať.

14

(Voliteľné) Predvolenú hodnotu niektorých parametrov pripojenia k databáze môžete zmeniť v časti Rozšírené nastavenia. Vo všeobecnosti je tento parameter jediný, ktorý možno budete chcieť zmeniť:

app_datasource_connection_pool_maxVeľkosť: 10
15

Kliknite na tlačidlo Pokračovať na obrazovke Obnoviť heslo servisných účtov .

Heslá k servisným účtom majú životnosť deväť mesiacov. Túto obrazovku použite, keď sa blíži koniec platnosti vašich hesiel alebo ich chcete resetovať, aby ste zrušili platnosť predchádzajúcich súborov ISO.

16

Kliknite na položku Prevziať súbor ISO. Uložte súbor na miesto, ktoré sa dá ľahko nájsť.

17

Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme.

Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii.

18

Ak chcete vypnúť inštalačný nástroj, napíšte CTRL+C.

Čo robiť ďalej

Zálohujte konfiguračný súbor ISO. Potrebujete ho na vytvorenie ďalších uzlov na obnovu alebo na vykonanie zmien v konfigurácii. Ak stratíte všetky kópie súboru ISO, stratili ste aj hlavný kľúč. Obnovenie kľúčov z databázy PostgreSQL alebo Microsoft SQL Server nie je možné.

Nikdy nemáme kópiu tohto kľúča a nemôžeme vám pomôcť, ak ho stratíte.

Nainštalujte HDS Host OVA

Tento postup použite na vytvorenie virtuálneho počítača zo súboru OVA.
1

Na prihlásenie do virtuálneho hostiteľa ESXi použite klienta VMware vSphere na vašom počítači.

2

Vyberte položku Súbor > Nasadiť šablónu OVF.

3

V sprievodcovi zadajte umiestnenie súboru OVA, ktorý ste prevzali predtým, a potom kliknite na tlačidlo Ďalej.

4

Na stránke Vyberte názov a priečinok zadajte Názov virtuálneho počítača pre uzol (napríklad „HDS_Node_1“) a vyberte umiestnenie, kde nasadenie uzla virtuálneho počítača sa môže nachádzať a potom kliknite na tlačidlo Ďalej.

5

Na stránke Vyberte výpočtový zdroj vyberte cieľový výpočtový zdroj a potom kliknite na tlačidlo Ďalej.

Prebehne overovacia kontrola. Po dokončení sa zobrazia podrobnosti šablóny.

6

Overte podrobnosti šablóny a potom kliknite na tlačidlo Ďalej.

7

Ak sa zobrazí výzva na výber konfigurácie prostriedkov na stránke Konfigurácia , kliknite na položku 4 CPU a potom kliknite na tlačidlo Ďalej.

8

Na stránke Vybrať úložisko kliknite na tlačidlo Ďalej , čím prijmete predvolený formát disku a pravidlá úložiska VM.

9

Na stránke Vybrať siete vyberte sieťovú možnosť zo zoznamu položiek, aby ste poskytli požadované pripojenie k virtuálnemu počítaču.

10

Na stránke Prispôsobiť šablónu nakonfigurujte nasledujúce nastavenia siete:

  • Názov hostiteľa – zadajte FQDN (názov hostiteľa a doménu) alebo jednoslovný názov hostiteľa pre uzol.
    • Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509.

    • Ak chcete zabezpečiť úspešnú registráciu do cloudu, použite iba malé písmená v FQDN alebo názve hostiteľa, ktorý ste nastavili pre uzol. Veľké písmená momentálne nie sú podporované.

    • Celková dĺžka FQDN nesmie presiahnuť 64 znakov.

  • Adresa IP – zadajte adresu IP interného rozhrania uzla.

    Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované.

  • Maska – zadajte adresu masky podsiete v desiatkovom formáte bodka. Napríklad 255.255.255.0.
  • Brána – zadajte adresu IP brány. Brána je sieťový uzol, ktorý slúži ako prístupový bod do inej siete.
  • Servery DNS – zadajte zoznam serverov DNS oddelených čiarkami, ktoré zabezpečujú preklad názvov domén na číselné adresy IP. (Povolené sú až 4 záznamy DNS.)
  • Servery NTP – zadajte server NTP vašej organizácie alebo iný externý server NTP, ktorý možno použiť vo vašej organizácii. Predvolené servery NTP nemusia fungovať pre všetky podniky. Na zadanie viacerých serverov NTP môžete použiť aj zoznam oddelený čiarkami.
  • Nasaďte všetky uzly v rovnakej podsieti alebo VLAN, aby boli všetky uzly v klastri dosiahnuteľné z klientov vo vašej sieti na administratívne účely.

Ak chcete, môžete preskočiť konfiguráciu nastavenia siete a podľa krokov v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov nakonfigurujte nastavenia z konzoly uzla.

Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 7.0. Táto možnosť nemusí byť dostupná v starších verziách.

11

Kliknite pravým tlačidlom myši na uzol VM a potom vyberte položky Napájanie > Zapnúť.

Softvér Hybrid Data Security je nainštalovaný ako hosť na hostiteľovi VM. Teraz ste pripravení prihlásiť sa do konzoly a nakonfigurovať uzol.

Tipy na riešenie problémov

Môžete zaznamenať oneskorenie niekoľkých minút, kým sa kontajnery uzlov objavia. Počas prvého spustenia, počas ktorého sa nemôžete prihlásiť, sa na konzole zobrazí správa brány firewall mosta.

Nastavte virtuálny počítač Hybrid Data Security

Tento postup použite na prvé prihlásenie do konzoly VM uzla Hybrid Data Security a nastavenie prihlasovacích poverení. Konzolu môžete použiť aj na konfiguráciu sieťových nastavení pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.

1

V klientovi VMware vSphere vyberte svoj uzol Hybrid Data Security VM a vyberte kartu Konzola .

VM sa spustí a zobrazí sa výzva na prihlásenie. Ak sa výzva na prihlásenie nezobrazí, stlačte kláves Enter.
2

Na prihlásenie a zmenu poverení použite nasledujúce predvolené prihlasovacie meno a heslo:

  1. Prihlásenie: admin

  2. heslo: cisco

Keďže sa do svojho VM prihlasujete prvýkrát, musíte zmeniť heslo správcu.

3

Ak ste už nakonfigurovali nastavenia siete v časti Inštalácia hostiteľa HDS OVA, preskočte zvyšok tohto postupu. V opačnom prípade vyberte v hlavnej ponuke možnosť Upraviť konfiguráciu .

4

Nastavte statickú konfiguráciu s IP adresou, maskou, bránou a informáciami DNS. Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované.

5

(Voliteľné) Zmeňte názov hostiteľa, doménu alebo server(y) NTP, ak je to potrebné, aby zodpovedali zásadám vašej siete.

Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509.

6

Uložte konfiguráciu siete a reštartujte VM, aby sa zmeny prejavili.

Nahrajte a pripojte ISO konfiguráciu HDS

Tento postup použite na konfiguráciu virtuálneho počítača zo súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool.

Skôr ako začnete

Pretože súbor ISO obsahuje hlavný kľúč, mal by byť zverejnený iba na základe „potreby vedieť“, aby k nemu mali prístup virtuálne počítače s hybridným zabezpečením údajov a všetci správcovia, ktorí môžu potrebovať vykonať zmeny. Uistite sa, že k úložisku údajov majú prístup iba títo správcovia.

1

Nahrajte súbor ISO z počítača:

  1. V ľavom navigačnom paneli klienta VMware vSphere kliknite na server ESXi.

  2. Na karte Konfigurácia v zozname Hardvér kliknite na položku Ukladací priestor.

  3. V zozname Úložisko údajov kliknite pravým tlačidlom myši na úložisko údajov pre vaše virtuálne počítače a kliknite na položku Prehliadať úložisko údajov.

  4. Kliknite na ikonu Odovzdať súbory a potom kliknite na položku Odovzdať súbor.

  5. Prejdite do umiestnenia, z ktorého ste prevzali súbor ISO do počítača, a kliknite na tlačidlo Otvoriť.

  6. Kliknutím na tlačidlo Áno prijmete upozornenie týkajúce sa operácie odovzdávania/sťahovania a zatvoríte dialógové okno úložiska údajov.

2

Pripojte súbor ISO:

  1. V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Upraviť nastavenia.

  2. Kliknutím na tlačidlo OK prijmete upozornenie na obmedzené možnosti úprav.

  3. Kliknite na položku Jednotka CD/DVD 1, vyberte možnosť pripojenia zo súboru ISO úložiska údajov a prejdite do umiestnenia, kam ste odovzdali konfiguračný súbor ISO.

  4. Začiarknite políčka Pripojené a Pripojiť pri zapnutí.

  5. Uložte zmeny a reštartujte virtuálny počítač.

Čo robiť ďalej

Ak to vyžaduje vaša politika IT, môžete voliteľne odpojiť súbor ISO po tom, čo všetky vaše uzly prevezmú zmeny konfigurácie. Podrobnosti nájdete v časti (Voliteľné) Odpojenie ISO po konfigurácii HDS .

Nakonfigurujte uzol HDS na integráciu proxy

Ak sieťové prostredie vyžaduje server proxy, použite tento postup na určenie typu servera proxy, ktorý chcete integrovať s Hybrid Data Security. Ak si vyberiete transparentný kontrolný proxy server alebo explicitný proxy server HTTPS, môžete použiť rozhranie uzla na nahranie a inštaláciu koreňového certifikátu. Môžete tiež skontrolovať pripojenie proxy z rozhrania a vyriešiť prípadné problémy.

Skôr ako začnete

1

Do webového prehliadača zadajte adresu URL nastavenia uzla HDS https://[IP uzla HDS alebo FQDN]/setup , zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite na tlačidlo Prihlásiť sa .

2

Prejdite na stránku Trust Store & Proxy a potom vyberte jednu z možností:

  • Bez servera proxy – predvolená možnosť pred integráciou servera proxy. Nevyžaduje sa žiadna aktualizácia certifikátu.
  • Transparentný nekontrolujúci proxy server – uzly nie sú nakonfigurované na používanie konkrétnej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.
  • Transparentný kontrolný proxy server – uzly nie sú nakonfigurované na používanie konkrétnej adresy servera proxy. Pri nasadení Hybrid Data Security nie sú potrebné žiadne zmeny konfigurácie HTTPS, no uzly HDS potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).
  • Explicitný server proxy – pomocou explicitného servera proxy informujete klienta (uzly HDS), ktorý server proxy má použiť, pričom táto možnosť podporuje niekoľko typov overenia. Po výbere tejto možnosti musíte zadať nasledujúce informácie:
    1. Proxy IP/FQDN – adresa, ktorú možno použiť na spojenie so zariadením proxy.

    2. Port proxy – číslo portu, ktoré server proxy používa na počúvanie prenosu cez server proxy.

    3. Protokol proxy – vyberte http (zobrazuje a riadi všetky požiadavky prijaté od klienta) alebo https (poskytuje kanál pre server a klient prijíma a overí certifikát servera). Vyberte možnosť podľa toho, čo váš proxy server podporuje.

    4. Typ overenia totožnosti – vyberte si z nasledujúcich typov overenia totožnosti:

      • Žiadne – nevyžaduje sa žiadne ďalšie overenie.

        Dostupné pre servery proxy HTTP alebo HTTPS.

      • Základné – používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.

        Dostupné pre servery proxy HTTP alebo HTTPS.

        Ak zvolíte túto možnosť, musíte zadať aj meno používateľa a heslo.

      • Súhrn – používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.

        Dostupné iba pre servery proxy HTTPS.

        Ak zvolíte túto možnosť, musíte zadať aj meno používateľa a heslo.

Postupujte podľa nasledujúcich krokov pre transparentný kontrolný proxy server, explicitný proxy server HTTP so základným overením alebo explicitný proxy HTTPS.

3

Kliknite na položku Odovzdať koreňový certifikát alebo certifikát ukončenia entity a potom prejdite na výber koreňového certifikátu pre server proxy.

Certifikát je nahraný, ale ešte nie je nainštalovaný, pretože na inštaláciu certifikátu musíte reštartovať uzol. Ak chcete získať ďalšie podrobnosti, kliknite na šípku so šípkou vedľa názvu vydavateľa certifikátu. Ak ste urobili chybu a chcete súbor nahrať znova, kliknite na tlačidlo Odstrániť .

4

Kliknutím na položku Skontrolovať pripojenie proxy otestujete sieťové pripojenie medzi uzlom a serverom proxy.

Ak test pripojenia zlyhá, zobrazí sa chybové hlásenie, ktoré uvádza dôvod a spôsob, ako môžete problém vyriešiť.

Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS. Tento stav sa očakáva v mnohých explicitných konfiguráciách proxy. Môžete pokračovať v nastavovaní a uzol bude fungovať v režime zablokovaného externého rozlíšenia DNS. Ak si myslíte, že ide o chybu, vykonajte tieto kroky a potom si pozrite časť Vypnutie režimu zablokovaného externého rozlíšenia DNS.

5

Po úspešnom teste pripojenia pre explicitný server proxy nastavený iba na https zapnite prepínač na možnosť Smerovať všetky požiadavky protokolu https z tohto uzla na port 443/444 cez explicitný server proxy. Toto nastavenie sa prejaví po 15 sekundách.

6

Kliknite na položku Inštalovať všetky certifikáty do dôveryhodného úložiska (zobrazí sa pri explicitnom serveri proxy HTTPS alebo transparentnom kontrolnom serveri proxy) alebo Reštartovať (zobrazí sa pri explicitnom serveri proxy HTTP), prečítajte si výzvu a potom kliknite na tlačidlo Inštalovať , ak ste pripravení.

Uzol sa reštartuje v priebehu niekoľkých minút.

7

Keď sa uzol reštartuje, v prípade potreby sa znova prihláste a potom otvorte stránku Prehľad a skontrolujte kontroly pripojenia, aby ste sa uistili, že sú všetky v zelenom stave.

Kontrola pripojenia proxy testuje iba subdoménu webex.com. Ak sa vyskytnú problémy s pripojením, bežným problémom je, že niektoré z cloudových domén uvedených v pokynoch na inštaláciu sú na serveri proxy blokované.

Zaregistrujte prvý uzol v klastri

Táto úloha prevezme všeobecný uzol, ktorý ste vytvorili v časti Nastavenie virtuálneho počítača Hybrid Data Security, zaregistruje uzol v cloude Webex a zmení ho na uzol Hybrid Data Security.

Keď zaregistrujete svoj prvý uzol, vytvoríte klaster, ku ktorému je uzol priradený. Klaster obsahuje jeden alebo viac uzlov nasadených na zabezpečenie redundancie.

Skôr ako začnete

  • Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.

  • Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.

1

Prihláste sa do https://admin.webex.com.

2

V ponuke na ľavej strane obrazovky vyberte položku Služby.

3

V časti Cloudové služby nájdite kartu Hybrid Data Security a kliknite na tlačidlo Nastaviť.

4

Na stránke, ktorá sa otvorí, kliknite na položku Pridať zdroj.

5

Do prvého poľa na karte Pridať uzol zadajte názov klastra, ktorému chcete priradiť uzol Hybrid Data Security.

Odporúčame pomenovať klaster podľa toho, kde sa geograficky nachádzajú uzly klastra. Príklady: „San Francisco“ alebo „New York“ alebo „Dallas“

6

Do druhého poľa zadajte internú adresu IP alebo úplný názov domény (FQDN) svojho uzla a kliknite na tlačidlo Pridať v dolnej časti obrazovky.

Táto adresa IP alebo FQDN by sa mala zhodovať s adresou IP alebo názvom hostiteľa a doménou, ktoré ste použili v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov.

Zobrazí sa správa, že môžete zaregistrovať svoj uzol do Webexu.
7

Kliknite na položku Prejsť do uzla.

Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že svojej organizácii Webex chcete udeliť povolenia na prístup k vášmu uzlu.

8

Začiarknite políčko Povoliť prístup k vášmu uzlu zabezpečenia hybridných údajov a potom kliknite na tlačidlo Pokračovať.

Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
9

Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Hybrid Data Security partnerského centra.

Na stránke Hybrid Data Security sa nový klaster obsahujúci uzol, ktorý ste zaregistrovali, zobrazí na karte Prostriedky . Uzol si automaticky stiahne najnovší softvér z cloudu.

Vytvorte a zaregistrujte viac uzlov

Ak chcete do svojho klastra pridať ďalšie uzly, jednoducho vytvoríte ďalšie virtuálne počítače a pripojíte rovnaký konfiguračný súbor ISO a potom uzol zaregistrujete. Odporúčame, aby ste mali aspoň 3 uzly.

Skôr ako začnete

  • Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.

  • Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.

1

Vytvorte nový virtuálny počítač z OVA zopakovaním krokov v časti Inštalácia hostiteľského OVA HDS.

2

Nastavte úvodnú konfiguráciu na novom virtuálnom počítači zopakovaním krokov v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov.

3

Na novom virtuálnom počítači zopakujte kroky v časti Odovzdanie a pripojenie ISO konfigurácie HDS.

4

Ak nastavujete server proxy pre svoje nasadenie, zopakujte kroky v časti Konfigurácia uzla HDS na integráciu servera proxy podľa potreby pre nový uzol.

5

Zaregistrujte uzol.

  1. V https://admin.webex.com vyberte z ponuky na ľavej strane obrazovky položku Služby .

  2. V časti Cloudové služby nájdite kartu Hybrid Data Security a kliknite na položku Zobraziť všetko.

    Zobrazí sa stránka Hybrid Data Security Resources.
  3. Novovytvorený klaster sa zobrazí na stránke Zdroje .

  4. Kliknutím na klaster zobrazíte uzly priradené ku klastru.

  5. Kliknite na položku Pridať uzol na pravej strane obrazovky.

  6. Zadajte internú adresu IP alebo úplný názov domény (FQDN) svojho uzla a kliknite na tlačidlo Pridať.

    Otvorí sa stránka so správou, že môžete zaregistrovať svoj uzol do cloudu Webex. Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že chcete svojej organizácii udeliť povolenia na prístup k vášmu uzlu.
  7. Začiarknite políčko Povoliť prístup k vášmu uzlu zabezpečenia hybridných údajov a potom kliknite na tlačidlo Pokračovať.

    Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
  8. Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Hybrid Data Security partnerského centra.

    Vyskakovacia správa Uzol bol pridaný sa tiež zobrazuje v spodnej časti obrazovky v Partnerskom centre.

    Váš uzol je zaregistrovaný.

Spravujte organizácie nájomníkov na hybridnom zabezpečení dát pre viacerých nájomníkov

Aktivujte si Multi-Tenant HDS na Partner Hub

Táto úloha zaisťuje, že všetci používatelia zákazníckych organizácií môžu začať využívať HDS pre lokálne šifrovacie kľúče a ďalšie bezpečnostné služby.

Skôr ako začnete

Uistite sa, že ste dokončili nastavenie klastra Multi-Tenant HDS s požadovaným počtom uzlov.

1

Prihláste sa do https://admin.webex.com.

2

V ponuke na ľavej strane obrazovky vyberte položku Služby.

3

V časti Cloudové služby vyhľadajte Hybrid Data Security a kliknite na položku Upraviť nastavenia.

4

Kliknite na položku Aktivovať HDS na karte Stav HDS .

Pridajte organizácie nájomníkov v partnerskom centre

V tejto úlohe priradíte zákaznícke organizácie k vášmu Hybrid Data Security Cluster.

1

Prihláste sa do https://admin.webex.com.

2

V ponuke na ľavej strane obrazovky vyberte položku Služby.

3

V sekcii Cloudové služby vyhľadajte Hybrid Data Security a kliknite na položku Zobraziť všetko.

4

Kliknite na klaster, ku ktorému chcete priradiť zákazníka.

5

Prejdite na kartu Priradení zákazníci .

6

Kliknite na položku Pridať zákazníkov.

7

Z rozbaľovacej ponuky vyberte zákazníka, ktorého chcete pridať.

8

Kliknite na tlačidlo Pridať, zákazník bude pridaný do klastra.

9

Ak chcete do svojho klastra pridať viacerých zákazníkov, zopakujte kroky 6 až 8.

10

Po pridaní zákazníkov kliknite na tlačidlo Hotovo v dolnej časti obrazovky.

Čo robiť ďalej

Spustite nástroj HDS Setup, ako je podrobne uvedené v časti Vytvorenie zákazníckych hlavných kľúčov (CMK) pomocou nástroja HDS Setup a dokončite proces nastavenia.

Vytvorte hlavné kľúče zákazníka (CMK) pomocou nástroja HDS Setup

Skôr ako začnete

Priraďte zákazníkov do príslušného klastra, ako je podrobne uvedené v časti Pridanie organizácií nájomníkov do centra partnerov. Spustite nástroj HDS Setup a dokončite proces nastavenia pre novo pridané zákaznícke organizácie.

  • Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými administrátorskými právami pre vašu organizáciu.

    Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker v kroku 5 zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:

    Opis

    Variabilné

    HTTP Proxy bez autentifikácie

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentifikácie

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP Proxy s autentifikáciou

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS Proxy s autentifikáciou

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:

    • Databázové poverenia

    • Aktualizácie certifikátov

    • Zmeny v politike autorizácie

  • Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.

Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.

1

Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

V bežných prostrediach:

docker rmi ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

2

Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:

docker login -u hdscustomersro
3

Pri výzve na zadanie hesla zadajte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stiahnite si najnovší stabilný obraz pre vaše prostredie:

V bežných prostrediach:

docker pull ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

  • V bežných prostrediach bez servera proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V prostrediach FedRAMP bez proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • V prostrediach FedRAMP s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný
  • V prostrediach FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný

Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“.

6

Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 .

Pomocou webového prehliadača prejdite na localhost, http://127.0.0.1:8080, a po výzve zadajte používateľské meno správcu pre partnerské centrum.

Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie.

7

Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia správcu Partner Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre Hybrid Data Security.

8

Na stránke prehľadu nástroja Setup kliknite na položku Začíname.

9

Na stránke Import ISO kliknite na tlačidlo Áno.

10

Vyberte súbor ISO v prehliadači a nahrajte ho.

Ak chcete vykonávať správu CMK, zaistite pripojenie k databáze.
11

Prejdite na kartu Správa CMK nájomcov , kde nájdete nasledujúce tri spôsoby správy CMK nájomcov.

  • Vytvoriť CMK pre všetky ORG alebo Vytvoriť CMK – Kliknutím na toto tlačidlo na banneri v hornej časti obrazovky vytvoríte CMK pre všetky novo pridané organizácie.
  • Kliknite na tlačidlo Spravovať CMK na pravej strane obrazovky a kliknite na Vytvoriť CMK , aby ste vytvorili CMK pre všetky novo pridané organizácie.
  • Kliknite na … vedľa stavu čakania na správu CMK konkrétnej organizácie v tabuľke a kliknutím na položku Vytvoriť CMK vytvorte CMK pre túto organizáciu.
12

Po úspešnom vytvorení CMK sa stav v tabuľke zmení z Čaká sa na správu CMK na Spravuje CMK.

13

Ak je vytvorenie CMK neúspešné, zobrazí sa chyba.

Odstráňte organizácie nájomníkov

Skôr ako začnete

Po odstránení nebudú používatelia zákazníckych organizácií môcť využívať HDS pre svoje potreby šifrovania a stratia všetky existujúce miesta. Pred odstránením zákazníckych organizácií kontaktujte svojho partnera Cisco alebo správcu účtu.

1

Prihláste sa do https://admin.webex.com.

2

V ponuke na ľavej strane obrazovky vyberte položku Služby.

3

V sekcii Cloudové služby vyhľadajte Hybrid Data Security a kliknite na položku Zobraziť všetko.

4

Na karte Zdroje kliknite na klaster, z ktorého chcete odstrániť organizácie zákazníkov.

5

Na stránke, ktorá sa otvorí, kliknite na položku Priradení zákazníci.

6

V zobrazenom zozname organizácií zákazníkov kliknite na položku ... na pravej strane organizácie zákazníka, ktorú chcete odstrániť, a kliknite na položku Odstrániť z klastra.

Čo robiť ďalej

Dokončite proces odstránenia zrušením CMK zákazníckych organizácií, ako je podrobne uvedené v časti Odvolanie CMK nájomníkov odstránených z HDS.

Zrušiť CMK nájomníkov odstránených z HDS.

Skôr ako začnete

Odstráňte zákazníkov z príslušného klastra, ako je podrobne uvedené v časti Odstránenie organizácií nájomníkov. Spustite nástroj HDS Setup a dokončite proces odstránenia pre zákaznícke organizácie, ktoré boli odstránené.

  • Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými administrátorskými právami pre vašu organizáciu.

    Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker v kroku 5 zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:

    Opis

    Variabilné

    HTTP Proxy bez autentifikácie

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentifikácie

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP Proxy s autentifikáciou

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS Proxy s autentifikáciou

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:

    • Databázové poverenia

    • Aktualizácie certifikátov

    • Zmeny v politike autorizácie

  • Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.

Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.

1

Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

V bežných prostrediach:

docker rmi ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

2

Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:

docker login -u hdscustomersro
3

Pri výzve na zadanie hesla zadajte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stiahnite si najnovší stabilný obraz pre vaše prostredie:

V bežných prostrediach:

docker pull ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

  • V bežných prostrediach bez servera proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V prostrediach FedRAMP bez proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • V prostrediach FedRAMP s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný
  • V prostrediach FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný

Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“.

6

Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 .

Pomocou webového prehliadača prejdite na localhost, http://127.0.0.1:8080, a po výzve zadajte používateľské meno správcu pre partnerské centrum.

Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie.

7

Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia správcu Partner Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre Hybrid Data Security.

8

Na stránke prehľadu nástroja Setup kliknite na položku Začíname.

9

Na stránke Import ISO kliknite na tlačidlo Áno.

10

Vyberte súbor ISO v prehliadači a nahrajte ho.

11

Prejdite na kartu Správa CMK nájomcov , kde nájdete nasledujúce tri spôsoby správy CMK nájomcov.

  • Odvolať CMK pre všetky ORG alebo Odvolať CMK – Kliknutím na toto tlačidlo na banneri v hornej časti obrazovky zrušíte CMK všetkých organizácií, ktoré boli odstránené.
  • Kliknite na tlačidlo Spravovať CMK na pravej strane obrazovky a kliknutím na Odvolať CMK odvolajte CMK všetkých organizácií, ktoré boli odstránené.
  • Kliknite na položku vedľa stavu CMK na odvolanie konkrétnej organizácie v tabuľke a kliknutím na položku Odvolať CMK odvoláte CMK pre túto konkrétnu organizáciu.
12

Po úspešnom odvolaní CMK sa zákaznícka organizácia už nebude zobrazovať v tabuľke.

13

Ak je zrušenie CMK neúspešné, zobrazí sa chyba.

Otestujte svoje nasadenie Hybrid Data Security

Otestujte svoje nasadenie hybridného zabezpečenia dát

Tento postup použite na testovanie scenárov šifrovania Hybrid Data Security pre viacerých nájomníkov.

Skôr ako začnete

  • Nastavte svoje nasadenie Hybridného zabezpečenia dát pre viacerých nájomníkov.

  • Uistite sa, že máte prístup k syslog, aby ste si overili, že kľúčové požiadavky prechádzajú do vášho nasadenia Multi-Tenant Hybrid Data Security.

1

Kľúče pre daný priestor nastavuje tvorca priestoru. Prihláste sa do aplikácie Webex ako jeden z používateľov zákazníckej organizácie a potom vytvorte priestor.

Ak deaktivujete nasadenie Hybrid Data Security, obsah v priestoroch, ktoré vytvoria používatelia, už nebude prístupný po výmene kópií šifrovacích kľúčov uložených vo vyrovnávacej pamäti klienta.

2

Posielajte správy do nového priestoru.

3

Skontrolujte výstup syslog, aby ste si overili, že požiadavky na kľúče prechádzajú do vášho nasadenia Hybrid Data Security.

  1. Ak chcete skontrolovať, či používateľ najprv vytvoril zabezpečený kanál pre KMS, filtrujte podľa kms.data.method=create a kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Mali by ste nájsť záznam, ako je tento (identifikátory skrátené kvôli čitateľnosti):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] prijaté, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method= vytvoriť, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, km. data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
  2. Ak chcete vyhľadať používateľa, ktorý od KMS požaduje existujúci kľúč, filtrujte kms.data.method=retrieve a kms.data.type=KEY:

    Mali by ste nájsť záznam ako:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] prijaté, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method= načítať, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/ kľúče/d[~]2, kms.data.userId=1[~]b
  3. Ak chcete skontrolovať, či používateľ žiada o vytvorenie nového kľúča KMS, filtrujte kms.data.method=create a kms.data.type=KEY_COLLECTION:

    Mali by ste nájsť záznam ako:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] prijaté, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method =vytvoriť, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_ZBER, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data .userId=1[~]b
  4. Ak chcete pri vytváraní priestoru alebo iného chráneného zdroja skontrolovať, či používateľ žiada o vytvorenie nového objektu KMS Resource Object (KRO), použite filter kms.data.method=create a kms.data. type=RESOURCE_COLLECTION:

    Mali by ste nájsť záznam ako:
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] prijaté, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method= vytvoriť, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data .userId=1[~]b

Monitorujte zdravie Hybrid Data Security Health

Indikátor stavu v Partner Hub vám ukáže, či je s nasadením Multi-Tenant Hybrid Data Security všetko v poriadku. Ak chcete dostávať proaktívnejšie upozornenia, prihláste sa na odber e-mailových upozornení. Budete upozornení, keď sa vyskytnú alarmy alebo aktualizácie softvéru ovplyvňujúce službu.
1

V Centre pre partnerov vyberte z ponuky na ľavej strane obrazovky položku Služby .

2

V časti Cloudové služby vyhľadajte Hybrid Data Security a kliknite na položku Upraviť nastavenia.

Zobrazí sa stránka Hybrid Data Security Settings.
3

V časti E-mailové upozornenia zadajte jednu alebo viac e-mailových adries oddelených čiarkami a stlačte kláves Enter.

Spravujte svoje nasadenie HDS

Spravujte nasadenie HDS

Pomocou tu popísaných úloh spravujte svoje nasadenie Hybrid Data Security.

Nastavte plán aktualizácie klastra

Aktualizácie softvéru pre Hybrid Data Security sa vykonávajú automaticky na úrovni klastra, čo zaisťuje, že všetky uzly vždy bežia s rovnakou verziou softvéru. Inovácie sa vykonávajú podľa plánu aktualizácie pre klaster. Keď bude k dispozícii aktualizácia softvéru, máte možnosť manuálne aktualizovať klaster pred plánovaným časom aktualizácie. Môžete nastaviť konkrétny plán inovácie alebo použiť predvolený plán na 3:00 denne v USA: Amerika/Los Angeles. V prípade potreby môžete tiež odložiť nadchádzajúcu inováciu.

Ak chcete nastaviť plán aktualizácie:

1

Prihláste sa do Partnerského centra.

2

V ponuke na ľavej strane obrazovky vyberte položku Služby.

3

V časti Cloudové služby vyhľadajte Hybrid Data Security a kliknite na tlačidlo Nastaviť

4

Na stránke Hybrid Data Security Resources vyberte klaster.

5

Kliknite na kartu Nastavenia klastra .

6

Na stránke Nastavenia klastra v časti Plán aktualizácie vyberte čas a časové pásmo pre plán inovácie.

Poznámka: Pod časovým pásmom sa zobrazí dátum a čas ďalšej dostupnej aktualizácie. V prípade potreby môžete inováciu odložiť na nasledujúci deň kliknutím na položku Odložiť o 24 hodín.

Zmeňte konfiguráciu uzla

Príležitostne možno budete musieť zmeniť konfiguráciu uzla Hybrid Data Security z nasledujúcich dôvodov:
  • Zmena x.509 certifikátov z dôvodu uplynutia platnosti alebo iných dôvodov.

    Nepodporujeme zmenu názvu domény CN certifikátu. Doména sa musí zhodovať s pôvodnou doménou použitou na registráciu klastra.

  • Aktualizácia nastavení databázy pre zmenu na repliku databázy PostgreSQL alebo Microsoft SQL Server.

    Nepodporujeme migráciu údajov z PostgreSQL na Microsoft SQL Server ani opačným spôsobom. Ak chcete zmeniť prostredie databázy, spustite nové nasadenie Hybrid Data Security.

  • Vytvorenie novej konfigurácie na prípravu nového dátového centra.

Z bezpečnostných dôvodov používa Hybrid Data Security heslá servisných účtov, ktoré majú životnosť deväť mesiacov. Keď nástroj HDS Setup vygeneruje tieto heslá, nasadíte ich do každého z vašich uzlov HDS v konfiguračnom súbore ISO. Keď sa blíži koniec platnosti hesiel vašej organizácie, dostanete od tímu Webex upozornenie na resetovanie hesla pre váš počítačový účet. (E-mail obsahuje text „Na aktualizáciu hesla použite rozhranie API strojového účtu.“) Ak platnosť vašich hesiel ešte nevypršala, nástroj vám ponúka dve možnosti:

  • Mäkké obnovenie – staré aj nové heslo fungujú až 10 dní. Toto obdobie použite na postupnú výmenu súboru ISO na uzloch.

  • Tvrdý reset – staré heslá okamžite prestanú fungovať.

Ak platnosť vašich hesiel vyprší bez resetovania, ovplyvní to vašu službu HDS, čo si vyžaduje okamžitý tvrdý reset a nahradenie súboru ISO na všetkých uzloch.

Tento postup použite na vygenerovanie nového konfiguračného súboru ISO a jeho použitie vo vašom klastri.

Skôr ako začnete

  • Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými administrátorskými právami partnera.

    Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri vytváraní kontajnera Docker v 1.e zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:

    Opis

    Variabilné

    HTTP Proxy bez autentifikácie

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentifikácie

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP Proxy s autentifikáciou

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS Proxy s autentifikáciou

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Na vygenerovanie novej konfigurácie potrebujete kópiu aktuálneho konfiguračného súboru ISO. ISO obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. ISO potrebujete, keď robíte zmeny v konfigurácii vrátane poverení databázy, aktualizácií certifikátov alebo zmien v politike autorizácie.

1

Pomocou Docker na lokálnom počítači spustite nástroj HDS Setup Tool.

  1. Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

    V bežných prostrediach:

    docker rmi ciscocitg/hds-setup:stable

    V prostrediach FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

  2. Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:

    docker login -u hdscustomersro
  3. Pri výzve na zadanie hesla zadajte tento hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
  4. Stiahnite si najnovší stabilný obraz pre vaše prostredie:

    V bežných prostrediach:

    docker pull ciscocitg/hds-setup:stable

    V prostrediach FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Uistite sa, že ste na tento postup použili najnovší nástroj Setup. Verzie nástroja vytvorené pred 22. februárom 2018 neobsahujú obrazovky na obnovenie hesla.

  5. Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

    • V bežných prostrediach bez servera proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
    • V bežných prostrediach s HTTP proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • V bežných prostrediach s HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • V prostrediach FedRAMP bez proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
    • V prostrediach FedRAMP s HTTP proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný
    • V prostrediach FedRAMP s HTTPS proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný

    Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“.

  6. Použite prehliadač na pripojenie k localhost, http://127.0.0.1:8080.

    Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 .

  7. Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia zákazníka Centra partnerov a potom pokračujte kliknutím na tlačidlo Prijať .

  8. Importujte aktuálny konfiguračný súbor ISO.

  9. Postupujte podľa pokynov na dokončenie nástroja a stiahnite si aktualizovaný súbor.

    Ak chcete vypnúť inštalačný nástroj, napíšte CTRL+C.

  10. Vytvorte záložnú kópiu aktualizovaného súboru v inom dátovom centre.

2

Ak máte spustený iba jeden uzol HDS, vytvorte nový virtuálny počítač s uzlom Hybrid Data Security a zaregistrujte ho pomocou nového konfiguračného súboru ISO. Podrobnejšie pokyny nájdete v časti Vytvorenie a registrácia ďalších uzlov.

  1. Nainštalujte hostiteľský OVA HDS.

  2. Nastavte HDS VM.

  3. Pripojte aktualizovaný konfiguračný súbor.

  4. Zaregistrujte nový uzol v partnerskom centre.

3

Pre existujúce uzly HDS, na ktorých je spustený starší konfiguračný súbor, pripojte súbor ISO. Postupne vykonajte nasledujúci postup na každom uzle a pred vypnutím ďalšieho uzla aktualizujte každý uzol:

  1. Vypnite virtuálny stroj.

  2. V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Upraviť nastavenia.

  3. Kliknite na položku Jednotka CD/DVD 1, vyberte možnosť pripojenia zo súboru ISO a prejdite do umiestnenia, kam ste prevzali nový konfiguračný súbor ISO.

  4. Začiarknite políčko Pripojiť pri zapnutí.

  5. Uložte zmeny a zapnite virtuálny počítač.

4

Opakujte krok 3, aby ste nahradili konfiguráciu na každom zostávajúcom uzle, na ktorom je spustená stará konfigurácia.

Vypnite režim zablokovaného externého rozlíšenia DNS

Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. Ak server DNS uzla nedokáže rozlíšiť verejné názvy DNS, uzol automaticky prejde do režimu zablokovaného externého rozlíšenia DNS.

Ak vaše uzly dokážu rozlíšiť verejné názvy DNS prostredníctvom interných serverov DNS, môžete tento režim vypnúť opätovným spustením testu pripojenia proxy na každom uzle.

Skôr ako začnete

Uistite sa, že vaše interné servery DNS dokážu rozlíšiť verejné názvy DNS a že vaše uzly s nimi môžu komunikovať.
1

Vo webovom prehliadači otvorte rozhranie uzla Hybrid Data Security (adresa IP/ nastavenie, napríklad https://192.0.2.0/setup), zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite na tlačidlo Prihlásiť sa).

2

Prejdite na Prehľad (predvolená stránka).

Keď je táto možnosť povolená, možnosť Blokované externé rozlíšenie DNS je nastavená na možnosť Áno.

3

Prejdite na stránku Trust Store & Proxy .

4

Kliknite na položku Skontrolovať pripojenie proxy.

Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS a zostane v tomto režime. V opačnom prípade po reštartovaní uzla a návrate na stránku Prehľad by mala byť možnosť Blokované externé rozlíšenie DNS nastavené na možnosť Nie.

Čo robiť ďalej

Zopakujte test pripojenia proxy na každom uzle v klastri Hybrid Data Security.

Odstráňte uzol

Tento postup použite na odstránenie uzla Hybrid Data Security z cloudu Webex. Po odstránení uzla z klastra odstráňte virtuálny počítač, aby ste zabránili ďalšiemu prístupu k vašim bezpečnostným údajom.
1

Pomocou klienta VMware vSphere vo svojom počítači sa prihláste do virtuálneho hostiteľa ESXi a vypnite virtuálny počítač.

2

Odstráňte uzol:

  1. Prihláste sa do centra pre partnerov a potom vyberte položku Služby.

  2. Na karte Hybrid Data Security kliknite na položku Zobraziť všetko , čím zobrazíte stránku Hybrid Data Security Resources.

  3. Vyberte svoj klaster, aby sa zobrazil jeho panel Prehľad.

  4. Kliknite na uzol, ktorý chcete odstrániť.

  5. Kliknite na položku Zrušiť registráciu tohto uzla na paneli, ktorý sa zobrazí vpravo

  6. Registráciu uzla môžete zrušiť aj kliknutím na … na pravej strane uzla a výberom možnosti Odstrániť tento uzol.

3

V klientovi vSphere odstráňte VM. (Na ľavom navigačnom paneli kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Odstrániť.)

Ak nevymažete VM, nezabudnite odpojiť konfiguračný súbor ISO. Bez súboru ISO nemôžete použiť VM na prístup k bezpečnostným údajom.

Obnova po havárii pomocou pohotovostného dátového centra

Najdôležitejšou službou, ktorú váš klaster Hybrid Data Security poskytuje, je vytváranie a ukladanie kľúčov používaných na šifrovanie správ a iného obsahu uloženého v cloude Webex. Pre každého používateľa v rámci organizácie, ktorý je priradený k Hybrid Data Security, sú do klastra smerované nové požiadavky na vytvorenie kľúča. Klaster je tiež zodpovedný za vrátenie kľúčov, ktoré vytvoril, všetkým používateľom oprávneným na ich získanie, napríklad členom konverzačného priestoru.

Pretože klaster vykonáva kritickú funkciu poskytovania týchto kľúčov, je nevyhnutné, aby klaster zostal spustený a aby boli udržiavané správne zálohy. Strata databázy Hybrid Data Security alebo konfigurácie ISO použitej pre schému bude mať za následok NENÁVRATNÚ STRATU zákazníckeho obsahu. Na zabránenie takejto strate sú povinné nasledujúce postupy:

Ak havária spôsobí, že nasadenie HDS v primárnom dátovom centre sa stane nedostupným, podľa tohto postupu manuálne prepnite na pohotovostné dátové centrum.

Skôr ako začnete

Zrušte registráciu všetkých uzlov z centra partnerov, ako je uvedené v časti Odstránenie uzla. Na vykonanie procedúry prepnutia pri zlyhaní uvedenej nižšie použite najnovší súbor ISO, ktorý bol nakonfigurovaný voči uzlom klastra, ktorý bol predtým aktívny.
1

Spustite nástroj na nastavenie HDS a postupujte podľa krokov uvedených v časti Vytvorenie konfiguračného ISO pre hostiteľov HDS.

2

Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť.

3

Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii.

4

V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Upraviť nastavenia.

5

Kliknite na položku Upraviť nastavenia >Jednotka CD/DVD 1 a vyberte položku Datastore ISO File.

Uistite sa, že sú začiarknuté položky Pripojené a Pripojiť pri zapnutí , aby sa aktualizované zmeny konfigurácie prejavili po spustení uzlov.

6

Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy.

7

Zaregistrujte uzol v partnerskom centre. Pozrite si časť Registrácia prvého uzla v klastri.

8

Opakujte proces pre každý uzol v pohotovostnom dátovom centre.

Čo robiť ďalej

Ak sa po prepnutí pri zlyhaní opäť aktivuje primárne dátové centrum, zrušte registráciu uzlov pohotovostného dátového centra a zopakujte proces konfigurácie ISO a registrácie uzlov primárneho dátového centra, ako je uvedené vyššie.

(Voliteľné) Odpojte ISO po konfigurácii HDS

Štandardná konfigurácia HDS beží s namontovaným ISO. Niektorí zákazníci však uprednostňujú neponechať súbory ISO nepretržite pripojené. Súbor ISO môžete odpojiť potom, čo všetky uzly HDS prevezmú novú konfiguráciu.

Na vykonanie zmien v konfigurácii stále používate súbory ISO. Keď vytvoríte nový ISO alebo aktualizujete ISO pomocou nástroja Setup Tool, musíte aktualizovaný ISO pripojiť na všetky vaše uzly HDS. Keď všetky vaše uzly zachytia zmeny konfigurácie, môžete ISO znova odpojiť pomocou tohto postupu.

Skôr ako začnete

Inovujte všetky svoje uzly HDS na verziu 2021.01.22.4720 alebo novšiu.

1

Vypnite jeden z uzlov HDS.

2

V serverovom zariadení vCenter vyberte uzol HDS.

3

Vyberte položku Upraviť nastavenia > Jednotka CD/DVD a zrušte začiarknutie políčka Súbor ISO úložiska údajov.

4

Zapnite uzol HDS a uistite sa, že aspoň 20 minút nie sú žiadne alarmy.

5

Postup opakujte pre každý uzol HDS.

Riešenie problémov so zabezpečením hybridných údajov

Zobraziť upozornenia a riešenie problémov

Nasadenie Hybrid Data Security sa považuje za nedostupné, ak sú všetky uzly v klastri nedostupné alebo klaster pracuje tak pomaly, že si vyžaduje časový limit. Ak používatelia nemôžu dosiahnuť váš klaster Hybrid Data Security, zaznamenajú nasledujúce príznaky:

  • Nie je možné vytvoriť nové medzery (nemožno vytvoriť nové kľúče)

  • Správy a názvy priestorov sa nedajú dešifrovať pre:

    • Noví používatelia pridaní do priestoru (nemožno načítať kľúče)

    • Existujúci používatelia v priestore používajúci nového klienta (nemožno načítať kľúče)

  • Existujúci používatelia v priestore budú naďalej úspešne fungovať, pokiaľ ich klienti majú vyrovnávaciu pamäť šifrovacích kľúčov

Je dôležité, aby ste správne monitorovali svoj klaster Hybrid Data Security a okamžite riešili všetky výstrahy, aby ste predišli prerušeniu služby.

Upozornenia

Ak sa vyskytne problém s nastavením Hybrid Data Security, partnerské centrum zobrazí upozornenia správcovi organizácie a odošle e-maily na nakonfigurovanú e-mailovú adresu. Výstrahy pokrývajú mnoho bežných scenárov.

Tabuľka č. 1 Bežné problémy a kroky na ich vyriešenie

Upozornenie

Akcia

Zlyhanie prístupu k lokálnej databáze.

Skontrolujte chyby databázy alebo problémy s lokálnou sieťou.

Zlyhanie pripojenia k lokálnej databáze.

Skontrolujte, či je databázový server dostupný a či boli v konfigurácii uzla použité správne poverenia servisného účtu.

Zlyhanie prístupu k cloudovej službe.

Skontrolujte, či majú uzly prístup k serverom Webex, ako je uvedené v časti Požiadavky na externé pripojenie.

Obnovuje sa registrácia cloudovej služby.

Registrácia do cloudových služieb bola zrušená. Prebieha obnova registrácie.

Registrácia cloudovej služby bola zrušená.

Registrácia do cloudových služieb bola ukončená. Služba sa vypína.

Služba ešte nie je aktivovaná.

Aktivujte HDS v Partner Hub.

Nakonfigurovaná doména sa nezhoduje s certifikátom servera.

Uistite sa, že váš certifikát servera sa zhoduje s nakonfigurovanou doménou aktivácie služby.

Najpravdepodobnejšou príčinou je, že certifikát CN bol nedávno zmenený a teraz sa líši od CN, ktorý bol použitý počas počiatočného nastavenia.

Nepodarilo sa overiť v cloudových službách.

Skontrolujte presnosť a možné vypršanie platnosti poverení servisného účtu.

Nepodarilo sa otvoriť súbor lokálneho úložiska kľúčov.

Skontrolujte integritu a presnosť hesla v lokálnom súbore skladu kľúčov.

Certifikát lokálneho servera je neplatný.

Skontrolujte dátum vypršania platnosti certifikátu servera a potvrďte, že bol vydaný dôveryhodnou certifikačnou autoritou.

Nie je možné uverejniť metriky.

Skontrolujte prístup k lokálnej sieti k externým cloudovým službám.

Adresár /media/configdrive/hds neexistuje.

Skontrolujte konfiguráciu pripojenia ISO na virtuálnom hostiteľovi. Overte, či súbor ISO existuje, či je nakonfigurovaný na pripojenie pri reštarte a či sa úspešne pripojí.

Nastavenie nájomnej organizácie pre pridané organizácie nie je dokončené

Dokončite nastavenie vytvorením CMK pre novo pridané organizácie nájomníkov pomocou nástroja HDS Setup Tool.

Nastavenie nájomnej organizácie pre odstránené organizácie nie je dokončené

Dokončite nastavenie zrušením CMK organizácií nájomníkov, ktoré boli odstránené pomocou nástroja HDS Setup Tool.

Riešenie problémov so zabezpečením hybridných údajov

Pri riešení problémov s Hybrid Data Security použite nasledujúce všeobecné pokyny.
1

Skontrolujte partnerské centrum pre všetky upozornenia a opravte všetky položky, ktoré tam nájdete. Pozrite si obrázok nižšie ako referenciu.

2

Skontrolujte výstup servera syslog pre aktivitu z nasadenia Hybrid Data Security. Filtrujte slová ako „Upozornenie“ a „Chyba“, ktoré vám pomôžu pri riešení problémov.

3

Kontaktujte podporu Cisco.

Ďalšie poznámky

Známe problémy s hybridnou bezpečnosťou dát

  • Ak vypnete svoj klaster Hybrid Data Security (odstránením v Partner Hub alebo vypnutím všetkých uzlov), stratíte svoj konfiguračný súbor ISO alebo stratíte prístup k databáze úložiska kľúčov, používatelia aplikácií Webex zo zákazníckych organizácií už nebudú môcť používať priestory pod ich zoznam ľudí, ktorý bol vytvorený pomocou kľúčov z vášho KMS. V súčasnosti nemáme riešenie ani opravu tohto problému a žiadame vás, aby ste nevypínali svoje služby HDS, keď budú spracovávať aktívne používateľské účty.

  • Klient, ktorý má existujúce pripojenie ECDH ku KMS, udržiava toto pripojenie určitý čas (pravdepodobne jednu hodinu).

Na vygenerovanie súboru PKCS12 použite OpenSSL

Skôr ako začnete

  • OpenSSL je jeden nástroj, ktorý možno použiť na vytvorenie súboru PKCS12 v správnom formáte na načítanie v nástroji HDS Setup Tool. Existujú aj iné spôsoby, ako to urobiť, a my nepodporujeme ani nepresadzujeme jeden spôsob oproti druhému.

  • Ak sa rozhodnete použiť OpenSSL, poskytujeme tento postup ako návod, ktorý vám pomôže vytvoriť súbor, ktorý spĺňa požiadavky na certifikát X.509 v časti Požiadavky na certifikát X.509. Než budete pokračovať, pochopte tieto požiadavky.

  • Nainštalujte OpenSSL v podporovanom prostredí. Softvér a dokumentáciu nájdete v časti https://www.openssl.org .

  • Vytvorte si súkromný kľúč.

  • Tento postup začnite, keď dostanete certifikát servera od certifikačnej autority (CA).

1

Keď od svojej CA dostanete certifikát servera, uložte ho ako hdsnode.pem.

2

Zobrazte certifikát ako text a overte podrobnosti.

openssl x509 -text -noout -in hdsnode.pem

3

Pomocou textového editora vytvorte súbor balíka certifikátov s názvom hdsnode-bundle.pem. Súbor balíka musí obsahovať certifikát servera, akékoľvek sprostredkujúce certifikáty CA a certifikáty koreňovej CA vo formáte nižšie:

-----ZAČIATOK CERTIFIKÁT----- ### Certifikát servera. ### -----KONIEC CERTIFIKÁTU----- -----ZAČIATOK CERTIFIKÁTU----- ### Certifikát strednej CA. ### -----KONIEC CERTIFIKÁTU----- -----ZAČIATOK CERTIFIKÁTU----- ### Certifikát koreňovej CA. ### -----KONIEC CERTIFIKÁTU-----

4

Vytvorte súbor .p12 s priateľským názvom kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Skontrolujte podrobnosti certifikátu servera.

  1. openssl pkcs12 -in hdsnode.p12

  2. Vo výzve zadajte heslo na zašifrovanie súkromného kľúča, aby bol uvedený vo výstupe. Potom skontrolujte, či súkromný kľúč a prvý certifikát obsahujú riadky friendlyName: kms-private-key.

    Príklad:

    bash$ openssl pkcs12 -in hdsnode.p12 Zadajte heslo importu: Atribúty tašky OK s overením MAC friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Kľúčové atribúty:  Zadajte heslo PEM: Overenie – zadajte heslo PEM: -----ZAČIATOK ŠIFROVANÝ SÚKROMNÝ KĽÚČ-----  -----KONIEC ŠIFROVANÝ SÚKROMNÝ KĽÚČ----- Atribúty tašky friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -- Encrypt Authority ---ZAČIATOK CERTIFIKÁT-----  -----KONCOVÝ CERTIFIKÁT----- Vlastnosti tašky friendlyName: CN=Poďme šifrovať autoritu X3,O=Poďme zašifrovať,C=US predmet=/C=US/O=Poďme zašifrovať/CN=Poďme zašifrovať autoritu X3 vydavateľ=/O=Digitálny podpis Trust Co./CN=DST Root CA X3 -----ZAČIATOK CERTIFIKÁT-----  -----KONIEC CERTIFIKÁTU-----

Čo robiť ďalej

Vráťte sa na stránku Dokončenie predpokladov pre hybridné zabezpečenie údajov. V časti Vytvorenie konfiguračného ISO pre hostiteľov HDS použijete súbor hdsnode.p12 a heslo, ktoré ste preň nastavili.

Tieto súbory môžete znova použiť na vyžiadanie nového certifikátu, keď platnosť pôvodného certifikátu vyprší.

Prevádzka medzi uzlami HDS a cloudom

Odchádzajúca návštevnosť zberu metrík

Uzly Hybrid Data Security odosielajú určité metriky do cloudu Webex. Patria sem systémové metriky pre maximálnu haldu, využitú haldu, zaťaženie procesora a počet vlákien; metriky na synchrónnych a asynchrónnych vláknach; metriky výstrah zahŕňajúce prah šifrovacích pripojení, latenciu alebo dĺžku frontu požiadaviek; metriky na dátovom úložisku; a metriky šifrovaného pripojenia. Uzly posielajú zašifrovaný kľúčový materiál cez kanál mimo pásma (oddelený od požiadavky).

Prichádzajúca premávka

Uzly Hybrid Data Security prijímajú nasledujúce typy prichádzajúcej prevádzky z cloudu Webex:

  • Šifrovacie požiadavky od klientov, ktoré sú smerované šifrovacou službou

  • Aktualizácie softvéru uzla

Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát

Websocket sa nemôže pripojiť cez Squid Proxy

Servery proxy typu Squid, ktoré kontrolujú prenos HTTPS, môžu narúšať vytváranie pripojení websocket (wss:), ktoré vyžaduje Hybrid Data Security. Tieto časti poskytujú návod, ako nakonfigurovať rôzne verzie Squid tak, aby ignorovali wss: prevádzky pre správne fungovanie služieb.

Kalmáre 4 a 5

Pridajte on_unsupported_protocol smernicu na stránku squid.conf:

on_unsupported_protocol tunel všetko

Kalmáre 3.5.27

Úspešne sme testovali Hybrid Data Security pomocou nasledujúcich pravidiel pridaných na stránku squid.conf. Tieto pravidlá sa môžu meniť, pretože vyvíjame funkcie a aktualizujeme cloud Webex.

acl wssMercuryConnection ssl::server_name_regex ortuťové pripojenie ssl_bump splice wssMercuryConnection acl krok1 at_step SslBump1 acl krok2 at_step SslBump2 acl krok3 at_step SslBump3 ssl_bump pohľad krok1 všetko ssl_bump pozerať krok2 všetko ssl_bump vyskočiť krok3 všetko

Nové a zmenené informácie

Nové a zmenené informácie

Táto tabuľka obsahuje nové funkcie alebo funkcie, zmeny existujúceho obsahu a všetky hlavné chyby, ktoré boli opravené v Príručke nasadenia pre multi-tenantovú hybridnú bezpečnosť údajov.

Dátum

Vykonané zmeny

30. januára 2025

Pridaný server SQL verzie 2022 do zoznamu podporovaných serverov SQL v časti Požiadavky na databázový server.

15. januára 2025

Pridané obmedzenia Hybridného zabezpečenia dát pre viacerých nájomníkov.

8. januára 2025

Do časti Vykonať úvodné nastavenie a prevziať inštalačné súbory bola pridaná poznámka, že kliknutie na položku Nastaviť na karte HDS v partnerskom centre je dôležitým krokom procesu inštalácie.

7. januára 2025

Aktualizované Požiadavky na virtuálneho hostiteľa, Tok úloh nasadenia hybridného zabezpečenia údajov a Inštalácia hostiteľského OVA HDS , aby zobrazovali novú požiadavku ESXi 7.0.

13. decembra 2024

Prvýkrát zverejnené.

Deaktivujte hybridné zabezpečenie dát pre viacerých nájomníkov

Tok úloh deaktivácie HDS pre viacerých nájomníkov

Ak chcete úplne deaktivovať Multi-Tenant HDS, postupujte podľa týchto krokov.

Skôr ako začnete

Túto úlohu by mal vykonávať iba úplný správca partnera.
1

Odstráňte všetkých zákazníkov zo všetkých svojich klastrov, ako je uvedené v časti Odstránenie organizácií nájomníkov.

2

Zrušte CMK všetkých zákazníkov, ako je uvedené v časti Zrušenie CMK nájomníkov odstránených z HDS.

3

Odstráňte všetky uzly zo všetkých klastrov, ako je uvedené v časti Odstránenie uzla.

4

Odstráňte všetky svoje klastre z Partner Hub pomocou jednej z nasledujúcich dvoch metód.

  • Kliknite na klaster, ktorý chcete odstrániť, a vyberte možnosť Odstrániť tento klaster v pravom hornom rohu stránky súhrnu.
  • Na stránke Zdroje kliknite na … na pravej strane klastra a vyberte možnosť Odstrániť klaster.
5

Kliknite na kartu Nastavenia na stránke prehľadu Hybrid Data Security a kliknite na položku Deaktivovať HDS na karte Stav HDS.

Začnite s Hybridným zabezpečením dát pre viacerých nájomníkov

Prehľad zabezpečenia hybridných dát pre viacerých nájomníkov

Od prvého dňa bola bezpečnosť údajov hlavným zameraním pri navrhovaní aplikácie Webex. Základným kameňom tohto zabezpečenia je komplexné šifrovanie obsahu, ktoré umožňujú klienti Webex App interagujúci so službou správy kľúčov (KMS). KMS je zodpovedný za vytváranie a správu kryptografických kľúčov, ktoré klienti používajú na dynamické šifrovanie a dešifrovanie správ a súborov.

V predvolenom nastavení dostávajú všetci zákazníci Webex App end-to-end šifrovanie s dynamickými kľúčmi uloženými v cloudovom KMS v oblasti bezpečnosti Cisco. Hybrid Data Security presúva KMS a ďalšie funkcie súvisiace so zabezpečením do vášho podnikového dátového centra, takže kľúče k vášmu šifrovanému obsahu nemá nikto okrem vás.

Multi-Tenant Hybrid Data Security umožňuje organizáciám využívať HDS prostredníctvom dôveryhodného miestneho partnera, ktorý môže pôsobiť ako poskytovateľ služieb a spravovať lokálne šifrovanie a ďalšie bezpečnostné služby. Toto nastavenie umožňuje partnerskej organizácii mať úplnú kontrolu nad nasadením a správou šifrovacích kľúčov a zaisťuje, že používateľské údaje zákazníckych organizácií sú v bezpečí pred externým prístupom. Partnerské organizácie podľa potreby nastavujú inštancie HDS a vytvárajú klastre HDS. Každá inštancia môže podporovať viacero zákazníckych organizácií na rozdiel od bežného nasadenia HDS, ktoré je obmedzené na jednu organizáciu.

Zatiaľ čo partnerské organizácie majú kontrolu nad nasadením a správou, nemajú prístup k údajom a obsahu generovanému zákazníkmi. Tento prístup je obmedzený na zákaznícke organizácie a ich používateľov.

To tiež umožňuje menším organizáciám využívať HDS, pretože službu správy kľúčov a bezpečnostnú infraštruktúru, ako sú dátové centrá, vlastní dôveryhodný miestny partner.

Ako Multi-Tenant Hybrid Data Security poskytuje dátovú suverenitu a kontrolu dát

  • Obsah generovaný používateľmi je chránený pred externým prístupom, ako sú poskytovatelia cloudových služieb.
  • Miestni dôveryhodní partneri spravujú šifrovacie kľúče zákazníkov, s ktorými už majú vybudovaný vzťah.
  • Možnosť miestnej technickej podpory, ak ju poskytuje partner.
  • Podporuje obsah stretnutí, správ a hovorov.

Tento dokument je zameraný na pomoc partnerským organizáciám pri nastavovaní a správe zákazníkov v rámci systému Multi-Tenant Hybrid Data Security.

Obmedzenia Hybridného zabezpečenia dát pre viacerých nájomníkov

  • Partnerské organizácie nesmú mať v Control Hub aktívne žiadne existujúce nasadenie HDS.
  • Nájomnícke alebo zákaznícke organizácie, ktoré chcú byť spravované partnerom, nesmú mať žiadne existujúce nasadenie HDS v Control Hub.
  • Akonáhle partner nasadí Multi-Tenant HDS, všetci používatelia zákazníckych organizácií, ako aj používatelia partnerskej organizácie začnú využívať Multi-Tenant HDS pre svoje šifrovacie služby.

    Partnerská organizácia a zákaznícke organizácie, ktoré riadia, budú využívať rovnaké nasadenie HDS pre viacerých nájomníkov.

    Po nasadení Multi-Tenant HDS už partnerská organizácia nebude používať cloudové KMS.

  • Neexistuje žiadny mechanizmus na presun kľúčov späť do Cloud KMS po nasadení HDS.
  • V súčasnosti môže mať každé nasadenie Multi-Tenant HDS iba jeden klaster s viacerými uzlami pod ním.
  • Úlohy správcu majú určité obmedzenia; podrobnosti nájdete v časti nižšie.

Úlohy v hybridnej bezpečnosti dát pre viacerých nájomníkov

  • Úplný správca partnera – môže spravovať nastavenia pre všetkých zákazníkov, ktorých partner spravuje. Môže tiež priradiť roly správcu existujúcim používateľom v organizácii a priradiť konkrétnych zákazníkov, ktorých majú spravovať správcovia partnerov.
  • Správca partnera – môže spravovať nastavenia pre zákazníkov, ktorých správca poskytol alebo ktorí boli priradení používateľovi.
  • Úplný správca – správca partnerskej organizácie, ktorý je oprávnený vykonávať úlohy, ako je úprava nastavení organizácie, správa licencií a prideľovanie rolí.
  • Nastavenie HDS pre viacerých nájomníkov a správa všetkých zákazníckych organizácií od konca do konca – Vyžaduje sa úplný správca partnera a úplné práva správcu.
  • Správa priradených organizácií nájomníkov – vyžaduje sa správca partnera a úplné práva správcu.

Architektúra bezpečnostnej sféry

Cloudová architektúra Webex oddeľuje rôzne typy služieb do samostatných oblastí alebo dôveryhodných domén, ako je znázornené nižšie.

Realms of Separation (bez Hybrid Data Security)

Aby sme lepšie porozumeli Hybrid Data Security, pozrime sa najprv na tento čistý cloud, kde Cisco poskytuje všetky funkcie vo svojich cloudových sférach. Služba identity, jediné miesto, kde môžu používatelia priamo korelovať so svojimi osobnými údajmi, ako je e-mailová adresa, je logicky a fyzicky oddelená od oblasti zabezpečenia v dátovom centre B. Obe sú zase oddelené od oblasti, kde je v konečnom dôsledku uložený šifrovaný obsah. , v dátovom centre C.

V tomto diagrame je klientom aplikácia Webex, ktorá beží na notebooku používateľa a je overená službou identity. Keď používateľ vytvorí správu na odoslanie do priestoru, vykonajú sa tieto kroky:

  1. Klient vytvorí zabezpečené spojenie so službou správy kľúčov (KMS), potom požiada o kľúč na zašifrovanie správy. Zabezpečené pripojenie používa ECDH a KMS šifruje kľúč pomocou hlavného kľúča AES-256.

  2. Správa je pred opustením klienta zašifrovaná. Klient ho odošle do indexovacej služby, ktorá vytvorí šifrované indexy vyhľadávania na pomoc pri budúcom vyhľadávaní obsahu.

  3. Zašifrovaná správa sa odošle do služby súladu na kontrolu súladu.

  4. Zašifrovaná správa je uložená v úložnej sfére.

Keď nasadíte Hybrid Data Security, presuniete funkcie bezpečnostnej sféry (KMS, indexovanie a súlad) do vášho lokálneho dátového centra. Ostatné cloudové služby, ktoré tvoria Webex (vrátane ukladania identity a obsahu), zostávajú v sférach spoločnosti Cisco.

Spolupráca s inými organizáciami

Používatelia vo vašej organizácii môžu pravidelne používať aplikáciu Webex na spoluprácu s externými účastníkmi v iných organizáciách. Keď jeden z vašich používateľov požaduje kľúč pre priestor, ktorý vlastní vaša organizácia (pretože ho vytvoril jeden z vašich používateľov), váš KMS odošle kľúč klientovi cez zabezpečený kanál ECDH. Keď však kľúč priestoru vlastní iná organizácia, váš KMS nasmeruje požiadavku do cloudu Webex cez samostatný kanál ECDH, aby získal kľúč z príslušného KMS, a potom vráti kľúč vášmu používateľovi na pôvodnom kanáli.

Služba KMS spustená v organizácii A overuje pripojenia ku KMS v iných organizáciách pomocou x.509 PKI certifikátov. Podrobnosti o generovaní certifikátu x.509 na použitie s nasadením Hybrid Data Security pre viacerých nájomníkov nájdete v časti Príprava prostredia .

Očakávania týkajúce sa nasadenia hybridnej bezpečnosti údajov

Nasadenie Hybrid Data Security si vyžaduje značné odhodlanie a uvedomenie si rizík, ktoré so sebou prináša vlastníctvo šifrovacích kľúčov.

Ak chcete nasadiť Hybrid Data Security, musíte poskytnúť:

Úplná strata buď konfiguračného ISO, ktoré ste vytvorili pre Hybrid Data Security, alebo databázy, ktorú poskytnete, bude mať za následok stratu kľúčov. Strata kľúča bráni používateľom dešifrovať obsah priestoru a ďalšie šifrované údaje v aplikácii Webex. Ak sa tak stane, môžete vytvoriť nové nasadenie, ale bude viditeľný iba nový obsah. Aby ste predišli strate prístupu k údajom, musíte:

  • Spravujte zálohovanie a obnovu databázy a konfiguračného ISO.

  • Buďte pripravení vykonať rýchlu obnovu po havárii, ak dôjde ku katastrofe, ako je zlyhanie databázového disku alebo katastrofa dátového centra.

Neexistuje žiadny mechanizmus na presun kľúčov späť do cloudu po nasadení HDS.

Proces nastavenia na vysokej úrovni

Tento dokument pokrýva nastavenie a správu nasadenia Hybrid Data Security pre viacerých nájomníkov:

  • Nastavenie Hybrid Data Security – zahŕňa prípravu požadovanej infraštruktúry a inštaláciu softvéru Hybrid Data Security, vybudovanie klastra HDS, pridanie organizácií nájomníkov do klastra a správu ich hlavných kľúčov zákazníkov (CMK). To umožní všetkým používateľom vašich zákazníckych organizácií používať váš klaster Hybrid Data Security na bezpečnostné funkcie.

    Fázy nastavenia, aktivácie a správy sú podrobne opísané v nasledujúcich troch kapitolách.

  • Udržujte svoje nasadenie Hybrid Data Security – cloud Webex automaticky poskytuje priebežné inovácie. Vaše IT oddelenie môže poskytnúť podporu prvej úrovne pre toto nasadenie a podľa potreby zapojiť podporu Cisco. V partnerskom centre môžete používať upozornenia na obrazovke a nastaviť upozornenia prostredníctvom e-mailu.

  • Pochopte bežné upozornenia, kroky na riešenie problémov a známe problémy – Ak narazíte na problémy s nasadením alebo používaním Hybrid Data Security, posledná kapitola tejto príručky a príloha Známe problémy vám môžu pomôcť určiť a vyriešiť problém.

Hybridný model nasadenia zabezpečenia dát

V rámci podnikového dátového centra nasadíte Hybrid Data Security ako jeden klaster uzlov na samostatných virtuálnych hostiteľoch. Uzly komunikujú s cloudom Webex cez zabezpečené websockety a zabezpečené HTTP.

Počas procesu inštalácie vám poskytneme súbor OVA na nastavenie virtuálneho zariadenia na VM, ktoré poskytnete. Nástroj HDS Setup Tool použijete na vytvorenie vlastného konfiguračného súboru ISO klastra, ktorý pripojíte na každý uzol. Klaster Hybrid Data Security využíva váš poskytnutý server Syslogd a databázu PostgreSQL alebo Microsoft SQL Server. (Syslogd a podrobnosti o pripojení k databáze nakonfigurujete v nástroji HDS Setup Tool.)

Hybridný model nasadenia zabezpečenia dát

Minimálny počet uzlov, ktoré môžete mať v klastri, sú dva. Odporúčame aspoň tri na klaster. Viacnásobné uzly zaisťujú, že služba nebude prerušená počas aktualizácie softvéru alebo inej činnosti údržby na uzle. (Cloud Webex aktualizuje naraz iba jeden uzol.)

Všetky uzly v klastri pristupujú k rovnakému úložisku údajov kľúčov a zaznamenávajú aktivitu na rovnaký server syslog. Samotné uzly sú bez stavu a spracovávajú kľúčové požiadavky v režime round-robin podľa pokynov cloudu.

Uzly sa stanú aktívnymi, keď ich zaregistrujete v Partner Hub. Ak chcete vyradiť jednotlivý uzol z prevádzky, môžete ho zrušiť a neskôr v prípade potreby znova zaregistrovať.

Pohotovostné dátové centrum pre obnovu po havárii

Počas nasadenia nastavíte zabezpečené pohotovostné dátové centrum. V prípade havárie dátového centra môžete manuálne zlyhať nasadenie do pohotovostného dátového centra.

Pred zlyhaním má Dátové centrum A aktívne uzly HDS a primárnu databázu PostgreSQL alebo Microsoft SQL Server, zatiaľ čo B má kópiu súboru ISO s ďalšími konfiguráciami, virtuálne počítače, ktoré sú registrované v organizácii, a záložnú databázu. Po zlyhaní má Dátové centrum B aktívne uzly HDS a primárnu databázu, zatiaľ čo A má neregistrované VM a kópiu súboru ISO a databáza je v pohotovostnom režime.
Manuálne prepnutie do pohotovostného dátového centra

Databázy aktívnych a pohotovostných dátových centier sú navzájom synchronizované, čo minimalizuje čas potrebný na vykonanie núdzového prepnutia.

Aktívne uzly Hybrid Data Security musia byť vždy v rovnakom údajovom centre ako aktívny databázový server.

Podpora proxy

Hybrid Data Security podporuje explicitné, transparentné kontrolné a nekontrolujúce proxy. Tieto servery proxy môžete prepojiť s nasadením, aby ste mohli zabezpečiť a monitorovať prevádzku z podniku do cloudu. Rozhranie správcu platformy na uzloch môžete použiť na správu certifikátov a na kontrolu celkového stavu pripojenia po nastavení servera proxy na uzloch.

Uzly Hybrid Data Security podporujú nasledujúce možnosti proxy:

  • Bez servera proxy – predvolená hodnota, ak na integráciu servera proxy nepoužívate konfiguráciu dôveryhodného obchodu a servera proxy na nastavenie uzla HDS. Nevyžaduje sa žiadna aktualizácia certifikátu.

  • Transparentný nekontrolujúci proxy server – uzly nie sú nakonfigurované na používanie konkrétnej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.

  • Transparentné tunelovanie alebo kontrola servera proxy – uzly nie sú nakonfigurované na používanie konkrétnej adresy servera proxy. Na uzloch nie sú potrebné žiadne zmeny konfigurácie HTTP alebo HTTPS. Uzly však potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).

  • Explicitný server proxy – pomocou explicitného servera proxy poviete uzlom HDS, ktorý server proxy a schému overenia majú použiť. Ak chcete nakonfigurovať explicitný server proxy, musíte do každého uzla zadať nasledujúce informácie:

    1. Proxy IP/FQDN – adresa, ktorú možno použiť na spojenie so zariadením proxy.

    2. Port proxy – číslo portu, ktoré server proxy používa na počúvanie prenosu cez server proxy.

    3. Protokol proxy – v závislosti od toho, čo váš server proxy podporuje, si vyberte z nasledujúcich protokolov:

      • HTTP – zobrazuje a riadi všetky požiadavky, ktoré klient odosiela.

      • HTTPS – poskytuje kanál pre server. Klient prijme a overí certifikát servera.

    4. Typ overenia totožnosti – vyberte si z nasledujúcich typov overenia totožnosti:

      • Žiadne – nevyžaduje sa žiadne ďalšie overenie.

        Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.

      • Základné – používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.

        Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.

        Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.

      • Súhrn – používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.

        Dostupné, iba ak vyberiete HTTPS ako protokol proxy.

        Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.

Príklad uzlov na zabezpečenie hybridných dát a proxy

Tento diagram ukazuje príklad spojenia medzi Hybrid Data Security, sieťou a proxy. Pre možnosti transparentnej kontroly a explicitnej kontroly HTTPS musí byť na serveri proxy a na uzloch Hybrid Data Security nainštalovaný rovnaký koreňový certifikát.

Blokovaný režim externého rozlíšenia DNS (explicitné konfigurácie proxy)

Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. V nasadeniach s explicitnými konfiguráciami proxy, ktoré neumožňujú externé rozlíšenie DNS pre interných klientov, ak uzol nemôže dotazovať servery DNS, automaticky prejde do režimu blokovaného externého riešenia DNS. V tomto režime môže pokračovať registrácia uzla a ďalšie testy pripojenia proxy.

Príprava prostredia

Požiadavky na hybridné zabezpečenie dát pre viacerých nájomníkov

Požiadavky na licenciu Cisco Webex

Ak chcete nasadiť hybridné zabezpečenie dát pre viacerých nájomníkov:

  • Partnerské organizácie: Kontaktujte svojho partnera Cisco alebo správcu účtu a uistite sa, že je povolená funkcia viacerých nájomníkov.

  • Nájomné organizácie: Musíte mať balík Pro Pack pre Cisco Webex Control Hub. (Pozrite si https://www.cisco.com/go/pro-pack.)

Požiadavky na plochu Docker

Pred inštaláciou uzlov HDS potrebujete Docker Desktop na spustenie inštalačného programu. Docker nedávno aktualizoval svoj licenčný model. Vaša organizácia môže vyžadovať platené predplatné pre Docker Desktop. Podrobnosti nájdete v blogovom príspevku Docker „ Docker aktualizuje a rozširuje naše predplatné produktov“.

Požiadavky na certifikát X.509

Certifikačný reťazec musí spĺňať nasledujúce požiadavky:

Tabuľka č. 1 Požiadavky certifikátu X.509 pre nasadenie hybridného zabezpečenia dát

Požiadavka

Podrobnosti

  • Podpísané dôveryhodnou certifikačnou autoritou (CA)

V predvolenom nastavení dôverujeme CA v zozname Mozilly (s výnimkou WoSign a StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

  • Nesie názov domény Common Name (CN), ktorý identifikuje vaše nasadenie Hybrid Data Security

  • Nie je to zástupný certifikát

CN nemusí byť dosiahnuteľné alebo živého hostiteľa. Odporúčame vám použiť názov, ktorý zodpovedá vašej organizácii, napríklad hds.company.com.

KN nesmie obsahovať * (zástupný znak).

CN sa používa na overenie uzlov Hybrid Data Security pre klientov Webex App. Všetky uzly Hybrid Data Security vo vašom klastri používajú rovnaký certifikát. Váš KMS sa identifikuje pomocou domény CN, nie akejkoľvek domény, ktorá je definovaná v poliach x.509v3 SAN.

Po zaregistrovaní uzla s týmto certifikátom nepodporujeme zmenu názvu domény CN.

  • Podpis iný ako SHA1

Softvér KMS nepodporuje podpisy SHA1 na overenie pripojení k KMS iných organizácií.

  • Naformátovaný ako súbor PKCS #12 chránený heslom

  • Použite priateľský názov kms-private-key na označenie certifikátu, súkromného kľúča a akýchkoľvek sprostredkujúcich certifikátov na odovzdanie.

Na zmenu formátu certifikátu môžete použiť konvertor, ako je OpenSSL.

Pri spustení nástroja HDS Setup Tool budete musieť zadať heslo.

Softvér KMS nevynucuje používanie kľúčov ani rozšírené obmedzenia používania kľúčov. Niektoré certifikačné autority vyžadujú, aby sa na každý certifikát aplikovali rozšírené obmedzenia používania kľúčov, ako je autentifikácia servera. Je v poriadku použiť overenie servera alebo iné nastavenia.

Požiadavky na virtuálny hostiteľ

Virtuálni hostitelia, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri, majú nasledujúce požiadavky:

  • Aspoň dvaja oddelení hostitelia (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre

  • VMware ESXi 7.0 (alebo novší) nainštalovaný a spustený.

    Ak máte staršiu verziu ESXi, musíte vykonať inováciu.

  • Minimálne 4 vCPU, 8 GB hlavnej pamäte, 30 GB miesta na lokálnom pevnom disku na server

Požiadavky na databázový server

Vytvorte novú databázu pre uloženie kľúčov. Nepoužívajte predvolenú databázu. Aplikácie HDS, keď sú nainštalované, vytvoria schému databázy.

Pre databázový server sú dve možnosti. Požiadavky na každú z nich sú nasledovné:

Tabuľka 2 Požiadavky na databázový server podľa typu databázy

PostgreSQL

Microsoft SQL Server

  • PostgreSQL 14, 15 alebo 16, nainštalovaný a spustený.

  • SQL Server 2016, 2017, 2019 alebo 2022 (Enterprise alebo Standard) nainštalovaný.

    SQL Server 2016 vyžaduje Service Pack 2 a Kumulatívna aktualizácia 2 alebo novšia.

Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložisko)

Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložisko)

Softvér HDS momentálne inštaluje nasledujúce verzie ovládačov na komunikáciu s databázovým serverom:

PostgreSQL

Microsoft SQL Server

Postgres JDBC ovládač 42.2.5

Ovládač SQL Server JDBC 4.6

Táto verzia ovládača podporuje server SQL Server Always On (Inštancie klastra prepnutia pri zlyhaní a skupiny dostupnosti Vždy zapnuté).

Dodatočné požiadavky na overenie systému Windows voči Microsoft SQL Server

Ak chcete, aby uzly HDS používali autentifikáciu systému Windows na získanie prístupu k vašej databáze úložiska kľúčov na serveri Microsoft SQL Server, potrebujete vo svojom prostredí nasledujúcu konfiguráciu:

  • HDS uzly, infraštruktúra Active Directory a MS SQL Server musia byť synchronizované s NTP.

  • Účet Windows, ktorý poskytnete uzlom HDS, musí mať prístup k databáze na čítanie/zápis.

  • Servery DNS, ktoré poskytujete uzlom HDS, musia byť schopné vyriešiť vaše Centrum distribúcie kľúčov (KDC).

  • Inštanciu databázy HDS môžete zaregistrovať na svojom serveri Microsoft SQL Server ako hlavný názov služby (SPN) vo vašom adresári Active Directory. Pozrite si časť Registrácia hlavného názvu služby pre pripojenia Kerberos.

    Nástroj na nastavenie HDS, spúšťač HDS a miestne KMS musia na prístup k databáze kľúčov používať overenie systému Windows. Používajú podrobnosti z vašej konfigurácie ISO na vytvorenie SPN pri požadovaní prístupu s overením Kerberos.

Požiadavky na externé pripojenie

Nakonfigurujte svoj firewall tak, aby umožňoval nasledujúce pripojenie pre aplikácie HDS:

Aplikácia

Protokol

Port

Smer z App

Cieľ

Hybridné uzly zabezpečenia údajov

TCP

443

Odchádzajúce HTTPS a WSS

  • Webex servery:

    • *.wbx2.com

    • *.ciscospark.com

  • Všetci hostitelia Common Identity

  • Ďalšie adresy URL, ktoré sú uvedené pre Hybrid Data Security v tabuľke Ďalšie adresy URL pre hybridné služby Webex v časti Požiadavky na sieť pre služby Webex

Nástroj na nastavenie HDS

TCP

443

Odchádzajúce HTTPS

  • *.wbx2.com

  • Všetci hostitelia Common Identity

  • hub.docker.com

Uzly Hybrid Data Security pracujú s prekladom sieťového prístupu (NAT) alebo za bránou firewall, pokiaľ NAT alebo brána firewall umožňuje požadované odchádzajúce pripojenia k destináciám domény v predchádzajúcej tabuľke. Pre pripojenia prichádzajúce do uzlov Hybrid Data Security by nemali byť z internetu viditeľné žiadne porty. V rámci vášho dátového centra potrebujú klienti prístup k uzlom Hybrid Data Security na portoch TCP 443 a 22 na administratívne účely.

Adresy URL hostiteľov Common Identity (CI) sú špecifické pre daný región. Toto sú súčasní hostitelia CI:

región

Spoločné adresy URL hostiteľa identity

Ameriky

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Európskej únie

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur
  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Spojené arabské emiráty
  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Požiadavky na proxy server

  • Oficiálne podporujeme nasledujúce proxy riešenia, ktoré sa dajú integrovať s vašimi uzlami Hybrid Data Security.

  • Pre explicitné servery proxy podporujeme nasledujúce kombinácie typov overenia:

    • Žiadna autentifikácia pomocou HTTP alebo HTTPS

    • Základná autentifikácia pomocou HTTP alebo HTTPS

    • Digest overenie iba s HTTPS

  • Pre transparentný kontrolný proxy server alebo explicitný proxy server HTTPS musíte mať kópiu koreňového certifikátu servera proxy. Pokyny na nasadenie v tejto príručke vám povedia, ako nahrať kópiu do dôveryhodných obchodov uzlov Hybrid Data Security.

  • Sieť, ktorá hostí uzly HDS, musí byť nakonfigurovaná tak, aby vynútila smerovanie odchádzajúcej prevádzky TCP na porte 443 cez server proxy.

  • Proxy, ktoré kontrolujú webovú prevádzku, môžu narúšať pripojenia webových soketov. Ak sa vyskytne tento problém, problém vyrieši obídenie (nie kontrola) návštevnosti stránok wbx2.com a ciscospark.com .

Vyplňte Predpoklady pre hybridnú bezpečnosť údajov

Pomocou tohto kontrolného zoznamu sa uistite, že ste pripravení na inštaláciu a konfiguráciu klastra Hybrid Data Security.
1

Uistite sa, že vaša partnerská organizácia má povolenú funkciu Multi-Tenant HDS a získajte prihlasovacie údaje účtu s úplným správcom partnera a plnými právami správcu. Uistite sa, že vaša organizácia zákazníkov Webex má povolený balík Pro Pack pre Cisco Webex Control Hub. Ak potrebujete pomoc s týmto procesom, kontaktujte svojho partnera Cisco alebo account manažéra.

Zákaznícke organizácie by nemali mať žiadne existujúce nasadenie HDS.

2

Vyberte názov domény pre svoje nasadenie HDS (napríklad hds.company.com) a získajte reťaz certifikátov obsahujúci certifikát X.509, súkromný kľúč a akékoľvek sprostredkujúce certifikáty. Reťazec certifikátov musí spĺňať požiadavky uvedené v časti Požiadavky na certifikát X.509.

3

Pripravte si identických virtuálnych hostiteľov, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri. Potrebujete aspoň dvoch samostatných hostiteľov (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre, ktorí spĺňajú požiadavky v časti Požiadavky na virtuálneho hostiteľa.

4

Pripravte databázový server, ktorý bude fungovať ako úložisko kľúčových údajov pre klaster, v súlade s požiadavkami na databázový server. Databázový server musí byť umiestnený v zabezpečenom údajovom centre spolu s virtuálnymi hostiteľmi.

  1. Vytvorte databázu pre ukladanie kľúčov. (Túto databázu musíte vytvoriť – nepoužívajte predvolenú databázu. Aplikácie HDS po nainštalovaní vytvoria schému databázy.)

  2. Zhromaždite podrobnosti, ktoré budú uzly používať na komunikáciu s databázovým serverom:

    • názov hostiteľa alebo IP adresa (hostiteľ) a port

    • názov databázy (dbname) pre uloženie kľúčov

    • užívateľské meno a heslo užívateľa so všetkými privilégiami v databáze kľúča

5

Pre rýchlu obnovu po havárii nastavte zálohovacie prostredie v inom dátovom centre. Zálohovacie prostredie odzrkadľuje produkčné prostredie VM a záložný databázový server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM.

6

Nastavte hostiteľa syslog na zhromažďovanie protokolov z uzlov v klastri. Získajte jeho sieťovú adresu a port syslog (predvolené je UDP 514).

7

Vytvorte politiku bezpečného zálohovania pre uzly Hybrid Data Security, databázový server a hostiteľa syslog. Aby ste predišli nenapraviteľnej strate údajov, musíte minimálne zálohovať databázu a konfiguračný súbor ISO vygenerovaný pre uzly Hybrid Data Security.

Keďže uzly Hybrid Data Security ukladajú kľúče používané na šifrovanie a dešifrovanie obsahu, zlyhanie prevádzkyschopného nasadenia bude mať za následok NEOBNOVITEĽNÚ STRATU tohto obsahu.

Klienti Webex App ukladajú svoje kľúče do vyrovnávacej pamäte, takže výpadok nemusí byť okamžite viditeľný, ale časom sa prejaví. Zatiaľ čo dočasným výpadkom nie je možné zabrániť, sú obnoviteľné. Úplná strata (nie sú k dispozícii žiadne zálohy) databázy alebo konfiguračného ISO súboru však bude mať za následok neobnoviteľné zákaznícke údaje. Od operátorov uzlov Hybrid Data Security sa očakáva, že budú pravidelne zálohovať databázu a konfiguračný súbor ISO a budú pripravení na prestavbu dátového centra Hybrid Data Security, ak dôjde ku katastrofálnej poruche.

8

Uistite sa, že konfigurácia brány firewall umožňuje pripojenie pre uzly Hybrid Data Security, ako je uvedené v časti Požiadavky na externé pripojenie.

9

Nainštalujte Docker ( https://www.docker.com) na ľubovoľný lokálny počítač s podporovaným operačným systémom (Microsoft Windows 10 Professional alebo Enterprise 64-bitový alebo Mac OSX Yosemite 10.10.3 alebo novší) pomocou webového prehliadača, ktorý k nemu má prístup na adrese http://127.0.0.1:8080.

Inštanciu Docker použijete na stiahnutie a spustenie nástroja HDS Setup Tool, ktorý vytvorí informácie o lokálnej konfigurácii pre všetky uzly Hybrid Data Security. Možno budete potrebovať licenciu Docker Desktop. Ďalšie informácie nájdete v časti Požiadavky na pracovnú plochu Docker .

Ak chcete nainštalovať a spustiť nástroj HDS Setup Tool, miestny počítač musí mať pripojenie uvedené v časti Požiadavky na externé pripojenie.

10

Ak integrujete server proxy so službou Hybrid Data Security, uistite sa, že spĺňa požiadavky na server proxy.

Nastavte klaster Hybrid Data Security

Tok úloh nasadenia zabezpečenia hybridných údajov

Skôr ako začnete

1

Vykonajte počiatočné nastavenie a stiahnite inštalačné súbory

Stiahnite si súbor OVA na váš lokálny počítač pre neskoršie použitie.

2

Vytvorte ISO konfigurácie pre hostiteľov HDS

Pomocou nástroja HDS Setup Tool vytvorte konfiguračný súbor ISO pre uzly Hybrid Data Security.

3

Nainštalujte HDS Host OVA

Vytvorte virtuálny počítač zo súboru OVA a vykonajte počiatočnú konfiguráciu, ako sú nastavenia siete.

Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 7.0. Táto možnosť nemusí byť dostupná v starších verziách.

4

Nastavte virtuálny počítač Hybrid Data Security

Prihláste sa do konzoly VM a nastavte prihlasovacie poverenia. Nakonfigurujte sieťové nastavenia pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.

5

Nahrajte a pripojte ISO konfiguráciu HDS

Nakonfigurujte VM z konfiguračného súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool.

6

Nakonfigurujte uzol HDS na integráciu proxy

Ak sieťové prostredie vyžaduje konfiguráciu servera proxy, zadajte typ servera proxy, ktorý použijete pre uzol, a v prípade potreby pridajte certifikát servera proxy do dôveryhodného úložiska.

7

Zaregistrujte prvý uzol v klastri

Zaregistrujte VM v cloude Cisco Webex ako uzol Hybrid Data Security.

8

Vytvorte a zaregistrujte viac uzlov

Dokončite nastavenie klastra.

9

Aktivujte si Multi-Tenant HDS na Partner Hub.

Aktivujte si HDS a spravujte organizácie nájomníkov na Partner Hub.

Vykonajte počiatočné nastavenie a stiahnite inštalačné súbory

V tejto úlohe stiahnete súbor OVA do svojho počítača (nie na servery, ktoré ste nastavili ako uzly Hybrid Data Security). Tento súbor použijete neskôr v procese inštalácie.

1

Prihláste sa do Partnerského centra a potom kliknite na položku Služby.

2

V časti Cloudové služby nájdite kartu Hybrid Data Security a kliknite na tlačidlo Nastaviť.

Pre proces nasadenia je rozhodujúce kliknutie na položku Nastaviť v partnerskom centre. Nepokračujte v inštalácii bez dokončenia tohto kroku.

3

Kliknite na položku Pridať zdroj a kliknite na položku Prevziať súbor .OVA na karte Inštalovať a konfigurovať softvér .

Staršie verzie softvérového balíka (OVA) nebudú kompatibilné s najnovšími aktualizáciami Hybrid Data Security. To môže viesť k problémom pri inovácii aplikácie. Uistite sa, že ste si stiahli najnovšiu verziu súboru OVA.

OVA si tiež môžete kedykoľvek stiahnuť zo sekcie Pomocník . Kliknite na položky Nastavenia > Pomocník > Prevziať softvér Hybrid Data Security.

Súbor OVA sa začne automaticky sťahovať. Uložte súbor na miesto v počítači.
4

Voliteľne kliknite na položku Zobraziť príručku nasadenia hybridného zabezpečenia údajov a skontrolujte, či je k dispozícii novšia verzia tejto príručky.

Vytvorte ISO konfigurácie pre hostiteľov HDS

Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.

Skôr ako začnete

1

Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

V bežných prostrediach:

docker rmi ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

2

Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:

docker login -u hdscustomersro
3

Pri výzve na zadanie hesla zadajte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stiahnite si najnovší stabilný obraz pre vaše prostredie:

V bežných prostrediach:

docker pull ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

  • V bežných prostrediach bez servera proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V prostrediach FedRAMP bez proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • V prostrediach FedRAMP s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný
  • V prostrediach FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný

Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“.

6

Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 .

Pomocou webového prehliadača prejdite na localhost, http://127.0.0.1:8080, a po výzve zadajte používateľské meno správcu pre partnerské centrum.

Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie.

7

Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia správcu Partner Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre Hybrid Data Security.

8

Na stránke prehľadu nástroja Setup kliknite na položku Začíname.

9

Na stránke Import ISO máte tieto možnosti:

  • Nie – Ak vytvárate svoj prvý uzol HDS, nemáte súbor ISO na odovzdanie.
  • Áno – ak ste už vytvorili uzly HDS, vyberte súbor ISO v prehľadávaní a odovzdajte ho.
10

Skontrolujte, či váš certifikát X.509 spĺňa požiadavky uvedené v časti Požiadavky na certifikát X.509.

  • Ak ste ešte nikdy neodovzdali certifikát, odovzdajte certifikát X.509, zadajte heslo a kliknite na tlačidlo Pokračovať.
  • Ak je váš certifikát v poriadku, kliknite na tlačidlo Pokračovať.
  • Ak platnosť vášho certifikátu vypršala alebo ho chcete nahradiť, vyberte možnosť Nie pre možnosť Pokračovať v používaní reťazca certifikátov HDS a súkromného kľúča z predchádzajúcej normy ISO?. Odovzdajte nový certifikát X.509, zadajte heslo a kliknite na tlačidlo Pokračovať.
11

Zadajte databázovú adresu a účet pre HDS, aby ste získali prístup k vášmu úložisku kľúčových údajov:

  1. Vyberte svoj Typ databázy (PostgreSQL alebo Microsoft SQL Server).

    Ak vyberiete možnosť Microsoft SQL Server, zobrazí sa pole Typ overenia.

  2. (Iba Microsoft SQL Server ) Vyberte svoj Typ overenia:

    • Základná autentifikácia: V poli Používateľské meno potrebujete názov lokálneho účtu SQL Server.

    • Overovanie systému Windows: Potrebujete účet Windows vo formáte používateľské meno@DOMAIN v poli Používateľské meno .

  3. Zadajte adresu databázového servera v tvare : alebo :.

    Príklad:
    dbhost.example.org:1433 alebo 198.51.100.17:1433

    Ak uzly nemôžu použiť DNS na rozlíšenie názvu hostiteľa, môžete použiť IP adresu na základnú autentifikáciu.

    Ak používate overenie systému Windows, musíte zadať úplný názov domény vo formáte dbhost.example.org:1433

  4. Zadajte Názov databázy.

  5. Zadajte Používateľské meno a Heslo používateľa so všetkými oprávneniami v databáze úložiska kľúčov.

12

Vyberte Režim pripojenia databázy TLS:

Režim

Opis

Preferovať TLS (predvolená možnosť)

HDS uzly nevyžadujú TLS na pripojenie k databázovému serveru. Ak povolíte TLS na databázovom serveri, uzly sa pokúsia o šifrované pripojenie.

Vyžadovať TLS

Uzly HDS sa pripájajú iba vtedy, ak databázový server dokáže dohodnúť TLS.

Vyžadovať TLS a overiť podpisovateľa certifikátu

Tento režim nie je použiteľný pre databázy SQL Server.

  • Uzly HDS sa pripájajú iba vtedy, ak databázový server dokáže dohodnúť TLS.

  • Po vytvorení pripojenia TLS uzol porovná podpisovateľa certifikátu z databázového servera s certifikačnou autoritou v koreňovom certifikáte databázy. Ak sa nezhodujú, uzol zruší spojenie.

Na odovzdanie koreňového certifikátu pre túto možnosť použite ovládací prvok Koreňový certifikát databázy pod rozbaľovacím zoznamom.

Vyžadovať TLS a overiť podpisovateľa certifikátu a názov hostiteľa

  • Uzly HDS sa pripájajú iba vtedy, ak databázový server dokáže dohodnúť TLS.

  • Po vytvorení pripojenia TLS uzol porovná podpisovateľa certifikátu z databázového servera s certifikačnou autoritou v koreňovom certifikáte databázy. Ak sa nezhodujú, uzol zruší spojenie.

  • Uzly tiež overia, či sa názov hostiteľa v certifikáte servera zhoduje s názvom hostiteľa v poli Hostiteľ databázy a port . Názvy sa musia presne zhodovať, inak uzol zruší spojenie.

Na odovzdanie koreňového certifikátu pre túto možnosť použite ovládací prvok Koreňový certifikát databázy pod rozbaľovacím zoznamom.

Keď odovzdáte koreňový certifikát (ak je to potrebné) a kliknete na tlačidlo Pokračovať, nástroj HDS Setup Tool otestuje pripojenie TLS k databázovému serveru. Nástroj tiež overuje podpisovateľa certifikátu a názov hostiteľa, ak je to potrebné. Ak test zlyhá, nástroj zobrazí chybové hlásenie s popisom problému. Môžete si vybrať, či chcete chybu ignorovať a pokračovať v nastavovaní. (Vzhľadom na rozdiely v konektivite môžu byť uzly HDS schopné vytvoriť pripojenie TLS, aj keď ho zariadenie HDS Setup Tool nedokáže úspešne otestovať.)

13

Na stránke Systémové denníky nakonfigurujte svoj server Syslogd:

  1. Zadajte adresu URL servera syslog.

    Ak server nie je schopný rozlíšiť DNS z uzlov pre váš klaster HDS, použite v adrese URL adresu IP.

    Príklad:
    udp://10.92.43.23:514 označuje prihlásenie do hostiteľa Syslogd 10.92.43.23 na porte UDP 514.
  2. Ak ste na svojom serveri nastavili používanie šifrovania TLS, začiarknite políčko Je váš server syslog nakonfigurovaný na šifrovanie SSL?.

    Ak začiarknete toto políčko, uistite sa, že ste zadali adresu URL TCP, napríklad tcp://10.92.43.23:514.

  3. V rozbaľovacej ponuke Vybrať ukončenie záznamu syslog vyberte vhodné nastavenie pre váš súbor ISO: Choose alebo Newline sa používa pre Graylog a Rsyslog TCP

    • Null byte -- \x00

    • Nový riadok -- \n – Túto možnosť vyberte pre Graylog a Rsyslog TCP.

  4. Kliknite na tlačidlo Pokračovať.

14

(Voliteľné) Predvolenú hodnotu niektorých parametrov pripojenia k databáze môžete zmeniť v časti Rozšírené nastavenia. Vo všeobecnosti je tento parameter jediný, ktorý možno budete chcieť zmeniť:

app_datasource_connection_pool_maxVeľkosť: 10
15

Kliknite na tlačidlo Pokračovať na obrazovke Obnoviť heslo servisných účtov .

Heslá k servisným účtom majú životnosť deväť mesiacov. Túto obrazovku použite, keď sa blíži koniec platnosti vašich hesiel alebo ich chcete resetovať, aby ste zrušili platnosť predchádzajúcich súborov ISO.

16

Kliknite na položku Prevziať súbor ISO. Uložte súbor na miesto, ktoré sa dá ľahko nájsť.

17

Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme.

Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii.

18

Ak chcete vypnúť inštalačný nástroj, napíšte CTRL+C.

Čo robiť ďalej

Zálohujte konfiguračný súbor ISO. Potrebujete ho na vytvorenie ďalších uzlov na obnovu alebo na vykonanie zmien v konfigurácii. Ak stratíte všetky kópie súboru ISO, stratili ste aj hlavný kľúč. Obnovenie kľúčov z databázy PostgreSQL alebo Microsoft SQL Server nie je možné.

Nikdy nemáme kópiu tohto kľúča a nemôžeme vám pomôcť, ak ho stratíte.

Nainštalujte HDS Host OVA

Tento postup použite na vytvorenie virtuálneho počítača zo súboru OVA.
1

Na prihlásenie do virtuálneho hostiteľa ESXi použite klienta VMware vSphere na vašom počítači.

2

Vyberte položku Súbor > Nasadiť šablónu OVF.

3

V sprievodcovi zadajte umiestnenie súboru OVA, ktorý ste prevzali predtým, a potom kliknite na tlačidlo Ďalej.

4

Na stránke Vyberte názov a priečinok zadajte Názov virtuálneho počítača pre uzol (napríklad „HDS_Node_1“) a vyberte umiestnenie, kde nasadenie uzla virtuálneho počítača sa môže nachádzať a potom kliknite na tlačidlo Ďalej.

5

Na stránke Vyberte výpočtový zdroj vyberte cieľový výpočtový zdroj a potom kliknite na tlačidlo Ďalej.

Prebehne overovacia kontrola. Po dokončení sa zobrazia podrobnosti šablóny.

6

Overte podrobnosti šablóny a potom kliknite na tlačidlo Ďalej.

7

Ak sa zobrazí výzva na výber konfigurácie prostriedkov na stránke Konfigurácia , kliknite na položku 4 CPU a potom kliknite na tlačidlo Ďalej.

8

Na stránke Vybrať úložisko kliknite na tlačidlo Ďalej , čím prijmete predvolený formát disku a pravidlá úložiska VM.

9

Na stránke Vybrať siete vyberte sieťovú možnosť zo zoznamu položiek, aby ste poskytli požadované pripojenie k virtuálnemu počítaču.

10

Na stránke Prispôsobiť šablónu nakonfigurujte nasledujúce nastavenia siete:

  • Názov hostiteľa – zadajte FQDN (názov hostiteľa a doménu) alebo jednoslovný názov hostiteľa pre uzol.
    • Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509.

    • Ak chcete zabezpečiť úspešnú registráciu do cloudu, použite iba malé písmená v FQDN alebo názve hostiteľa, ktorý ste nastavili pre uzol. Veľké písmená momentálne nie sú podporované.

    • Celková dĺžka FQDN nesmie presiahnuť 64 znakov.

  • Adresa IP – zadajte adresu IP interného rozhrania uzla.

    Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované.

  • Maska – zadajte adresu masky podsiete v desiatkovom formáte bodka. Napríklad 255.255.255.0.
  • Brána – zadajte adresu IP brány. Brána je sieťový uzol, ktorý slúži ako prístupový bod do inej siete.
  • Servery DNS – zadajte zoznam serverov DNS oddelených čiarkami, ktoré zabezpečujú preklad názvov domén na číselné adresy IP. (Povolené sú až 4 záznamy DNS.)
  • Servery NTP – zadajte server NTP vašej organizácie alebo iný externý server NTP, ktorý možno použiť vo vašej organizácii. Predvolené servery NTP nemusia fungovať pre všetky podniky. Na zadanie viacerých serverov NTP môžete použiť aj zoznam oddelený čiarkami.
  • Nasaďte všetky uzly v rovnakej podsieti alebo VLAN, aby boli všetky uzly v klastri dosiahnuteľné z klientov vo vašej sieti na administratívne účely.

Ak chcete, môžete preskočiť konfiguráciu nastavenia siete a podľa krokov v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov nakonfigurujte nastavenia z konzoly uzla.

Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 7.0. Táto možnosť nemusí byť dostupná v starších verziách.

11

Kliknite pravým tlačidlom myši na uzol VM a potom vyberte položky Napájanie > Zapnúť.

Softvér Hybrid Data Security je nainštalovaný ako hosť na hostiteľovi VM. Teraz ste pripravení prihlásiť sa do konzoly a nakonfigurovať uzol.

Tipy na riešenie problémov

Môžete zaznamenať oneskorenie niekoľkých minút, kým sa kontajnery uzlov objavia. Počas prvého spustenia, počas ktorého sa nemôžete prihlásiť, sa na konzole zobrazí správa brány firewall mosta.

Nastavte virtuálny počítač Hybrid Data Security

Tento postup použite na prvé prihlásenie do konzoly VM uzla Hybrid Data Security a nastavenie prihlasovacích poverení. Konzolu môžete použiť aj na konfiguráciu sieťových nastavení pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.

1

V klientovi VMware vSphere vyberte svoj uzol Hybrid Data Security VM a vyberte kartu Konzola .

VM sa spustí a zobrazí sa výzva na prihlásenie. Ak sa výzva na prihlásenie nezobrazí, stlačte kláves Enter.
2

Na prihlásenie a zmenu poverení použite nasledujúce predvolené prihlasovacie meno a heslo:

  1. Prihlásenie: admin

  2. heslo: cisco

Keďže sa do svojho VM prihlasujete prvýkrát, musíte zmeniť heslo správcu.

3

Ak ste už nakonfigurovali nastavenia siete v časti Inštalácia hostiteľa HDS OVA, preskočte zvyšok tohto postupu. V opačnom prípade vyberte v hlavnej ponuke možnosť Upraviť konfiguráciu .

4

Nastavte statickú konfiguráciu s IP adresou, maskou, bránou a informáciami DNS. Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované.

5

(Voliteľné) Zmeňte názov hostiteľa, doménu alebo server(y) NTP, ak je to potrebné, aby zodpovedali zásadám vašej siete.

Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509.

6

Uložte konfiguráciu siete a reštartujte VM, aby sa zmeny prejavili.

Nahrajte a pripojte ISO konfiguráciu HDS

Tento postup použite na konfiguráciu virtuálneho počítača zo súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool.

Skôr ako začnete

Pretože súbor ISO obsahuje hlavný kľúč, mal by byť zverejnený iba na základe „potreby vedieť“, aby k nemu mali prístup virtuálne počítače s hybridným zabezpečením údajov a všetci správcovia, ktorí môžu potrebovať vykonať zmeny. Uistite sa, že k úložisku údajov majú prístup iba títo správcovia.

1

Nahrajte súbor ISO z počítača:

  1. V ľavom navigačnom paneli klienta VMware vSphere kliknite na server ESXi.

  2. Na karte Konfigurácia v zozname Hardvér kliknite na položku Ukladací priestor.

  3. V zozname Úložisko údajov kliknite pravým tlačidlom myši na úložisko údajov pre vaše virtuálne počítače a kliknite na položku Prehliadať úložisko údajov.

  4. Kliknite na ikonu Odovzdať súbory a potom kliknite na položku Odovzdať súbor.

  5. Prejdite do umiestnenia, z ktorého ste prevzali súbor ISO do počítača, a kliknite na tlačidlo Otvoriť.

  6. Kliknutím na tlačidlo Áno prijmete upozornenie týkajúce sa operácie odovzdávania/sťahovania a zatvoríte dialógové okno úložiska údajov.

2

Pripojte súbor ISO:

  1. V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Upraviť nastavenia.

  2. Kliknutím na tlačidlo OK prijmete upozornenie na obmedzené možnosti úprav.

  3. Kliknite na položku Jednotka CD/DVD 1, vyberte možnosť pripojenia zo súboru ISO úložiska údajov a prejdite do umiestnenia, kam ste odovzdali konfiguračný súbor ISO.

  4. Začiarknite políčka Pripojené a Pripojiť pri zapnutí.

  5. Uložte zmeny a reštartujte virtuálny počítač.

Čo robiť ďalej

Ak to vyžaduje vaša politika IT, môžete voliteľne odpojiť súbor ISO po tom, čo všetky vaše uzly prevezmú zmeny konfigurácie. Podrobnosti nájdete v časti (Voliteľné) Odpojenie ISO po konfigurácii HDS .

Nakonfigurujte uzol HDS na integráciu proxy

Ak sieťové prostredie vyžaduje server proxy, použite tento postup na určenie typu servera proxy, ktorý chcete integrovať s Hybrid Data Security. Ak si vyberiete transparentný kontrolný proxy server alebo explicitný proxy server HTTPS, môžete použiť rozhranie uzla na nahranie a inštaláciu koreňového certifikátu. Môžete tiež skontrolovať pripojenie proxy z rozhrania a vyriešiť prípadné problémy.

Skôr ako začnete

1

Do webového prehliadača zadajte adresu URL nastavenia uzla HDS https://[IP uzla HDS alebo FQDN]/setup , zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite na tlačidlo Prihlásiť sa .

2

Prejdite na stránku Trust Store & Proxy a potom vyberte jednu z možností:

  • Bez servera proxy – predvolená možnosť pred integráciou servera proxy. Nevyžaduje sa žiadna aktualizácia certifikátu.
  • Transparentný nekontrolujúci proxy server – uzly nie sú nakonfigurované na používanie konkrétnej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.
  • Transparentný kontrolný proxy server – uzly nie sú nakonfigurované na používanie konkrétnej adresy servera proxy. Pri nasadení Hybrid Data Security nie sú potrebné žiadne zmeny konfigurácie HTTPS, no uzly HDS potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).
  • Explicitný server proxy – pomocou explicitného servera proxy informujete klienta (uzly HDS), ktorý server proxy má použiť, pričom táto možnosť podporuje niekoľko typov overenia. Po výbere tejto možnosti musíte zadať nasledujúce informácie:
    1. Proxy IP/FQDN – adresa, ktorú možno použiť na spojenie so zariadením proxy.

    2. Port proxy – číslo portu, ktoré server proxy používa na počúvanie prenosu cez server proxy.

    3. Protokol proxy – vyberte http (zobrazuje a riadi všetky požiadavky prijaté od klienta) alebo https (poskytuje kanál pre server a klient prijíma a overí certifikát servera). Vyberte možnosť podľa toho, čo váš proxy server podporuje.

    4. Typ overenia totožnosti – vyberte si z nasledujúcich typov overenia totožnosti:

      • Žiadne – nevyžaduje sa žiadne ďalšie overenie.

        Dostupné pre servery proxy HTTP alebo HTTPS.

      • Základné – používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.

        Dostupné pre servery proxy HTTP alebo HTTPS.

        Ak zvolíte túto možnosť, musíte zadať aj meno používateľa a heslo.

      • Súhrn – používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.

        Dostupné iba pre servery proxy HTTPS.

        Ak zvolíte túto možnosť, musíte zadať aj meno používateľa a heslo.

Postupujte podľa nasledujúcich krokov pre transparentný kontrolný proxy server, explicitný proxy server HTTP so základným overením alebo explicitný proxy HTTPS.

3

Kliknite na položku Odovzdať koreňový certifikát alebo certifikát ukončenia entity a potom prejdite na výber koreňového certifikátu pre server proxy.

Certifikát je nahraný, ale ešte nie je nainštalovaný, pretože na inštaláciu certifikátu musíte reštartovať uzol. Ak chcete získať ďalšie podrobnosti, kliknite na šípku so šípkou vedľa názvu vydavateľa certifikátu. Ak ste urobili chybu a chcete súbor nahrať znova, kliknite na tlačidlo Odstrániť .

4

Kliknutím na položku Skontrolovať pripojenie proxy otestujete sieťové pripojenie medzi uzlom a serverom proxy.

Ak test pripojenia zlyhá, zobrazí sa chybové hlásenie, ktoré uvádza dôvod a spôsob, ako môžete problém vyriešiť.

Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS. Tento stav sa očakáva v mnohých explicitných konfiguráciách proxy. Môžete pokračovať v nastavovaní a uzol bude fungovať v režime zablokovaného externého rozlíšenia DNS. Ak si myslíte, že ide o chybu, vykonajte tieto kroky a potom si pozrite časť Vypnutie režimu zablokovaného externého rozlíšenia DNS.

5

Po úspešnom teste pripojenia pre explicitný server proxy nastavený iba na https zapnite prepínač na možnosť Smerovať všetky požiadavky protokolu https z tohto uzla na port 443/444 cez explicitný server proxy. Toto nastavenie sa prejaví po 15 sekundách.

6

Kliknite na položku Inštalovať všetky certifikáty do dôveryhodného úložiska (zobrazí sa pri explicitnom serveri proxy HTTPS alebo transparentnom kontrolnom serveri proxy) alebo Reštartovať (zobrazí sa pri explicitnom serveri proxy HTTP), prečítajte si výzvu a potom kliknite na tlačidlo Inštalovať , ak ste pripravení.

Uzol sa reštartuje v priebehu niekoľkých minút.

7

Keď sa uzol reštartuje, v prípade potreby sa znova prihláste a potom otvorte stránku Prehľad a skontrolujte kontroly pripojenia, aby ste sa uistili, že sú všetky v zelenom stave.

Kontrola pripojenia proxy testuje iba subdoménu webex.com. Ak sa vyskytnú problémy s pripojením, bežným problémom je, že niektoré z cloudových domén uvedených v pokynoch na inštaláciu sú na serveri proxy blokované.

Zaregistrujte prvý uzol v klastri

Táto úloha prevezme všeobecný uzol, ktorý ste vytvorili v časti Nastavenie virtuálneho počítača Hybrid Data Security, zaregistruje uzol v cloude Webex a zmení ho na uzol Hybrid Data Security.

Keď zaregistrujete svoj prvý uzol, vytvoríte klaster, ku ktorému je uzol priradený. Klaster obsahuje jeden alebo viac uzlov nasadených na zabezpečenie redundancie.

Skôr ako začnete

  • Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.

  • Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.

1

Prihláste sa do https://admin.webex.com.

2

V ponuke na ľavej strane obrazovky vyberte položku Služby.

3

V časti Cloudové služby nájdite kartu Hybrid Data Security a kliknite na tlačidlo Nastaviť.

4

Na stránke, ktorá sa otvorí, kliknite na položku Pridať zdroj.

5

Do prvého poľa na karte Pridať uzol zadajte názov klastra, ktorému chcete priradiť uzol Hybrid Data Security.

Odporúčame pomenovať klaster podľa toho, kde sa geograficky nachádzajú uzly klastra. Príklady: „San Francisco“ alebo „New York“ alebo „Dallas“

6

Do druhého poľa zadajte internú adresu IP alebo úplný názov domény (FQDN) svojho uzla a kliknite na tlačidlo Pridať v dolnej časti obrazovky.

Táto adresa IP alebo FQDN by sa mala zhodovať s adresou IP alebo názvom hostiteľa a doménou, ktoré ste použili v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov.

Zobrazí sa správa, že môžete zaregistrovať svoj uzol do Webexu.
7

Kliknite na položku Prejsť do uzla.

Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že svojej organizácii Webex chcete udeliť povolenia na prístup k vášmu uzlu.

8

Začiarknite políčko Povoliť prístup k vášmu uzlu zabezpečenia hybridných údajov a potom kliknite na tlačidlo Pokračovať.

Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
9

Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Hybrid Data Security partnerského centra.

Na stránke Hybrid Data Security sa nový klaster obsahujúci uzol, ktorý ste zaregistrovali, zobrazí na karte Prostriedky . Uzol si automaticky stiahne najnovší softvér z cloudu.

Vytvorte a zaregistrujte viac uzlov

Ak chcete do svojho klastra pridať ďalšie uzly, jednoducho vytvoríte ďalšie virtuálne počítače a pripojíte rovnaký konfiguračný súbor ISO a potom uzol zaregistrujete. Odporúčame, aby ste mali aspoň 3 uzly.

Skôr ako začnete

  • Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.

  • Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.

1

Vytvorte nový virtuálny počítač z OVA zopakovaním krokov v časti Inštalácia hostiteľského OVA HDS.

2

Nastavte úvodnú konfiguráciu na novom virtuálnom počítači zopakovaním krokov v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov.

3

Na novom virtuálnom počítači zopakujte kroky v časti Odovzdanie a pripojenie ISO konfigurácie HDS.

4

Ak nastavujete server proxy pre svoje nasadenie, zopakujte kroky v časti Konfigurácia uzla HDS na integráciu servera proxy podľa potreby pre nový uzol.

5

Zaregistrujte uzol.

  1. V https://admin.webex.com vyberte z ponuky na ľavej strane obrazovky položku Služby .

  2. V časti Cloudové služby nájdite kartu Hybrid Data Security a kliknite na položku Zobraziť všetko.

    Zobrazí sa stránka Hybrid Data Security Resources.
  3. Novovytvorený klaster sa zobrazí na stránke Zdroje .

  4. Kliknutím na klaster zobrazíte uzly priradené ku klastru.

  5. Kliknite na položku Pridať uzol na pravej strane obrazovky.

  6. Zadajte internú adresu IP alebo úplný názov domény (FQDN) svojho uzla a kliknite na tlačidlo Pridať.

    Otvorí sa stránka so správou, že môžete zaregistrovať svoj uzol do cloudu Webex. Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že chcete svojej organizácii udeliť povolenia na prístup k vášmu uzlu.
  7. Začiarknite políčko Povoliť prístup k vášmu uzlu zabezpečenia hybridných údajov a potom kliknite na tlačidlo Pokračovať.

    Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
  8. Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Hybrid Data Security partnerského centra.

    Vyskakovacia správa Uzol bol pridaný sa tiež zobrazuje v spodnej časti obrazovky v Partnerskom centre.

    Váš uzol je zaregistrovaný.

Spravujte organizácie nájomníkov na hybridnom zabezpečení dát pre viacerých nájomníkov

Aktivujte si Multi-Tenant HDS na Partner Hub

Táto úloha zaisťuje, že všetci používatelia zákazníckych organizácií môžu začať využívať HDS pre lokálne šifrovacie kľúče a ďalšie bezpečnostné služby.

Skôr ako začnete

Uistite sa, že ste dokončili nastavenie klastra Multi-Tenant HDS s požadovaným počtom uzlov.

1

Prihláste sa do https://admin.webex.com.

2

V ponuke na ľavej strane obrazovky vyberte položku Služby.

3

V časti Cloudové služby vyhľadajte Hybrid Data Security a kliknite na položku Upraviť nastavenia.

4

Kliknite na položku Aktivovať HDS na karte Stav HDS .

Pridajte organizácie nájomníkov v partnerskom centre

V tejto úlohe priradíte zákaznícke organizácie k vášmu Hybrid Data Security Cluster.

1

Prihláste sa do https://admin.webex.com.

2

V ponuke na ľavej strane obrazovky vyberte položku Služby.

3

V sekcii Cloudové služby vyhľadajte Hybrid Data Security a kliknite na položku Zobraziť všetko.

4

Kliknite na klaster, ku ktorému chcete priradiť zákazníka.

5

Prejdite na kartu Priradení zákazníci .

6

Kliknite na položku Pridať zákazníkov.

7

Z rozbaľovacej ponuky vyberte zákazníka, ktorého chcete pridať.

8

Kliknite na tlačidlo Pridať, zákazník bude pridaný do klastra.

9

Ak chcete do svojho klastra pridať viacerých zákazníkov, zopakujte kroky 6 až 8.

10

Po pridaní zákazníkov kliknite na tlačidlo Hotovo v dolnej časti obrazovky.

Čo robiť ďalej

Spustite nástroj HDS Setup, ako je podrobne uvedené v časti Vytvorenie zákazníckych hlavných kľúčov (CMK) pomocou nástroja HDS Setup a dokončite proces nastavenia.

Vytvorte hlavné kľúče zákazníka (CMK) pomocou nástroja HDS Setup

Skôr ako začnete

Priraďte zákazníkov do príslušného klastra, ako je podrobne uvedené v časti Pridanie organizácií nájomníkov do centra partnerov. Spustite nástroj HDS Setup a dokončite proces nastavenia pre novo pridané zákaznícke organizácie.

  • Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými administrátorskými právami pre vašu organizáciu.

    Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker v kroku 5 zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:

    Opis

    Variabilné

    HTTP Proxy bez autentifikácie

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentifikácie

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP Proxy s autentifikáciou

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS Proxy s autentifikáciou

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:

    • Databázové poverenia

    • Aktualizácie certifikátov

    • Zmeny v politike autorizácie

  • Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.

Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.

1

Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

V bežných prostrediach:

docker rmi ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

2

Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:

docker login -u hdscustomersro
3

Pri výzve na zadanie hesla zadajte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stiahnite si najnovší stabilný obraz pre vaše prostredie:

V bežných prostrediach:

docker pull ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

  • V bežných prostrediach bez servera proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V prostrediach FedRAMP bez proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • V prostrediach FedRAMP s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný
  • V prostrediach FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný

Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“.

6

Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 .

Pomocou webového prehliadača prejdite na localhost, http://127.0.0.1:8080, a po výzve zadajte používateľské meno správcu pre partnerské centrum.

Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie.

7

Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia správcu Partner Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre Hybrid Data Security.

8

Na stránke prehľadu nástroja Setup kliknite na položku Začíname.

9

Na stránke Import ISO kliknite na tlačidlo Áno.

10

Vyberte súbor ISO v prehliadači a nahrajte ho.

Ak chcete vykonávať správu CMK, zaistite pripojenie k databáze.
11

Prejdite na kartu Správa CMK nájomcov , kde nájdete nasledujúce tri spôsoby správy CMK nájomcov.

  • Vytvoriť CMK pre všetky ORG alebo Vytvoriť CMK – Kliknutím na toto tlačidlo na banneri v hornej časti obrazovky vytvoríte CMK pre všetky novo pridané organizácie.
  • Kliknite na tlačidlo Spravovať CMK na pravej strane obrazovky a kliknite na Vytvoriť CMK , aby ste vytvorili CMK pre všetky novo pridané organizácie.
  • Kliknite na … vedľa stavu čakania na správu CMK konkrétnej organizácie v tabuľke a kliknutím na položku Vytvoriť CMK vytvorte CMK pre túto organizáciu.
12

Po úspešnom vytvorení CMK sa stav v tabuľke zmení z Čaká sa na správu CMK na Spravuje CMK.

13

Ak je vytvorenie CMK neúspešné, zobrazí sa chyba.

Odstráňte organizácie nájomníkov

Skôr ako začnete

Po odstránení nebudú používatelia zákazníckych organizácií môcť využívať HDS pre svoje potreby šifrovania a stratia všetky existujúce miesta. Pred odstránením zákazníckych organizácií kontaktujte svojho partnera Cisco alebo správcu účtu.

1

Prihláste sa do https://admin.webex.com.

2

V ponuke na ľavej strane obrazovky vyberte položku Služby.

3

V sekcii Cloudové služby vyhľadajte Hybrid Data Security a kliknite na položku Zobraziť všetko.

4

Na karte Zdroje kliknite na klaster, z ktorého chcete odstrániť organizácie zákazníkov.

5

Na stránke, ktorá sa otvorí, kliknite na položku Priradení zákazníci.

6

V zobrazenom zozname organizácií zákazníkov kliknite na položku ... na pravej strane organizácie zákazníka, ktorú chcete odstrániť, a kliknite na položku Odstrániť z klastra.

Čo robiť ďalej

Dokončite proces odstránenia zrušením CMK zákazníckych organizácií, ako je podrobne uvedené v časti Odvolanie CMK nájomníkov odstránených z HDS.

Zrušiť CMK nájomníkov odstránených z HDS.

Skôr ako začnete

Odstráňte zákazníkov z príslušného klastra, ako je podrobne uvedené v časti Odstránenie organizácií nájomníkov. Spustite nástroj HDS Setup a dokončite proces odstránenia pre zákaznícke organizácie, ktoré boli odstránené.

  • Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými administrátorskými právami pre vašu organizáciu.

    Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker v kroku 5 zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:

    Opis

    Variabilné

    HTTP Proxy bez autentifikácie

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentifikácie

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP Proxy s autentifikáciou

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS Proxy s autentifikáciou

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:

    • Databázové poverenia

    • Aktualizácie certifikátov

    • Zmeny v politike autorizácie

  • Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.

Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.

1

Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

V bežných prostrediach:

docker rmi ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

2

Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:

docker login -u hdscustomersro
3

Pri výzve na zadanie hesla zadajte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stiahnite si najnovší stabilný obraz pre vaše prostredie:

V bežných prostrediach:

docker pull ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

  • V bežných prostrediach bez servera proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V prostrediach FedRAMP bez proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • V prostrediach FedRAMP s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný
  • V prostrediach FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný

Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“.

6

Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 .

Pomocou webového prehliadača prejdite na localhost, http://127.0.0.1:8080, a po výzve zadajte používateľské meno správcu pre partnerské centrum.

Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie.

7

Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia správcu Partner Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre Hybrid Data Security.

8

Na stránke prehľadu nástroja Setup kliknite na položku Začíname.

9

Na stránke Import ISO kliknite na tlačidlo Áno.

10

Vyberte súbor ISO v prehliadači a nahrajte ho.

11

Prejdite na kartu Správa CMK nájomcov , kde nájdete nasledujúce tri spôsoby správy CMK nájomcov.

  • Odvolať CMK pre všetky ORG alebo Odvolať CMK – Kliknutím na toto tlačidlo na banneri v hornej časti obrazovky zrušíte CMK všetkých organizácií, ktoré boli odstránené.
  • Kliknite na tlačidlo Spravovať CMK na pravej strane obrazovky a kliknutím na Odvolať CMK odvolajte CMK všetkých organizácií, ktoré boli odstránené.
  • Kliknite na položku vedľa stavu CMK na odvolanie konkrétnej organizácie v tabuľke a kliknutím na položku Odvolať CMK odvoláte CMK pre túto konkrétnu organizáciu.
12

Po úspešnom odvolaní CMK sa zákaznícka organizácia už nebude zobrazovať v tabuľke.

13

Ak je zrušenie CMK neúspešné, zobrazí sa chyba.

Otestujte svoje nasadenie Hybrid Data Security

Otestujte svoje nasadenie hybridného zabezpečenia dát

Tento postup použite na testovanie scenárov šifrovania Hybrid Data Security pre viacerých nájomníkov.

Skôr ako začnete

  • Nastavte svoje nasadenie Hybridného zabezpečenia dát pre viacerých nájomníkov.

  • Uistite sa, že máte prístup k syslog, aby ste si overili, že kľúčové požiadavky prechádzajú do vášho nasadenia Multi-Tenant Hybrid Data Security.

1

Kľúče pre daný priestor nastavuje tvorca priestoru. Prihláste sa do aplikácie Webex ako jeden z používateľov zákazníckej organizácie a potom vytvorte priestor.

Ak deaktivujete nasadenie Hybrid Data Security, obsah v priestoroch, ktoré vytvoria používatelia, už nebude prístupný po výmene kópií šifrovacích kľúčov uložených vo vyrovnávacej pamäti klienta.

2

Posielajte správy do nového priestoru.

3

Skontrolujte výstup syslog, aby ste si overili, že požiadavky na kľúče prechádzajú do vášho nasadenia Hybrid Data Security.

  1. Ak chcete skontrolovať, či používateľ najprv vytvoril zabezpečený kanál pre KMS, filtrujte podľa kms.data.method=create a kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Mali by ste nájsť záznam, ako je tento (identifikátory skrátené kvôli čitateľnosti):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] prijaté, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method= vytvoriť, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, km. data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
  2. Ak chcete vyhľadať používateľa, ktorý od KMS požaduje existujúci kľúč, filtrujte kms.data.method=retrieve a kms.data.type=KEY:

    Mali by ste nájsť záznam ako:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] prijaté, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method= načítať, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/ kľúče/d[~]2, kms.data.userId=1[~]b
  3. Ak chcete skontrolovať, či používateľ žiada o vytvorenie nového kľúča KMS, filtrujte kms.data.method=create a kms.data.type=KEY_COLLECTION:

    Mali by ste nájsť záznam ako:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] prijaté, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method =vytvoriť, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_ZBER, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data .userId=1[~]b
  4. Ak chcete pri vytváraní priestoru alebo iného chráneného zdroja skontrolovať, či používateľ žiada o vytvorenie nového objektu KMS Resource Object (KRO), použite filter kms.data.method=create a kms.data. type=RESOURCE_COLLECTION:

    Mali by ste nájsť záznam ako:
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] prijaté, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method= vytvoriť, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data .userId=1[~]b

Monitorujte zdravie Hybrid Data Security Health

Indikátor stavu v Partner Hub vám ukáže, či je s nasadením Multi-Tenant Hybrid Data Security všetko v poriadku. Ak chcete dostávať proaktívnejšie upozornenia, prihláste sa na odber e-mailových upozornení. Budete upozornení, keď sa vyskytnú alarmy alebo aktualizácie softvéru ovplyvňujúce službu.
1

V Centre pre partnerov vyberte z ponuky na ľavej strane obrazovky položku Služby .

2

V časti Cloudové služby vyhľadajte Hybrid Data Security a kliknite na položku Upraviť nastavenia.

Zobrazí sa stránka Hybrid Data Security Settings.
3

V časti E-mailové upozornenia zadajte jednu alebo viac e-mailových adries oddelených čiarkami a stlačte kláves Enter.

Spravujte svoje nasadenie HDS

Spravujte nasadenie HDS

Pomocou tu popísaných úloh spravujte svoje nasadenie Hybrid Data Security.

Nastavte plán aktualizácie klastra

Aktualizácie softvéru pre Hybrid Data Security sa vykonávajú automaticky na úrovni klastra, čo zaisťuje, že všetky uzly vždy bežia s rovnakou verziou softvéru. Inovácie sa vykonávajú podľa plánu aktualizácie pre klaster. Keď bude k dispozícii aktualizácia softvéru, máte možnosť manuálne aktualizovať klaster pred plánovaným časom aktualizácie. Môžete nastaviť konkrétny plán inovácie alebo použiť predvolený plán na 3:00 denne v USA: Amerika/Los Angeles. V prípade potreby môžete tiež odložiť nadchádzajúcu inováciu.

Ak chcete nastaviť plán aktualizácie:

1

Prihláste sa do Partnerského centra.

2

V ponuke na ľavej strane obrazovky vyberte položku Služby.

3

V časti Cloudové služby vyhľadajte Hybrid Data Security a kliknite na tlačidlo Nastaviť

4

Na stránke Hybrid Data Security Resources vyberte klaster.

5

Kliknite na kartu Nastavenia klastra .

6

Na stránke Nastavenia klastra v časti Plán aktualizácie vyberte čas a časové pásmo pre plán inovácie.

Poznámka: Pod časovým pásmom sa zobrazí dátum a čas ďalšej dostupnej aktualizácie. V prípade potreby môžete inováciu odložiť na nasledujúci deň kliknutím na položku Odložiť o 24 hodín.

Zmeňte konfiguráciu uzla

Príležitostne možno budete musieť zmeniť konfiguráciu uzla Hybrid Data Security z nasledujúcich dôvodov:
  • Zmena x.509 certifikátov z dôvodu uplynutia platnosti alebo iných dôvodov.

    Nepodporujeme zmenu názvu domény CN certifikátu. Doména sa musí zhodovať s pôvodnou doménou použitou na registráciu klastra.

  • Aktualizácia nastavení databázy pre zmenu na repliku databázy PostgreSQL alebo Microsoft SQL Server.

    Nepodporujeme migráciu údajov z PostgreSQL na Microsoft SQL Server ani opačným spôsobom. Ak chcete zmeniť prostredie databázy, spustite nové nasadenie Hybrid Data Security.

  • Vytvorenie novej konfigurácie na prípravu nového dátového centra.

Z bezpečnostných dôvodov používa Hybrid Data Security heslá servisných účtov, ktoré majú životnosť deväť mesiacov. Keď nástroj HDS Setup vygeneruje tieto heslá, nasadíte ich do každého z vašich uzlov HDS v konfiguračnom súbore ISO. Keď sa blíži koniec platnosti hesiel vašej organizácie, dostanete od tímu Webex upozornenie na resetovanie hesla pre váš počítačový účet. (E-mail obsahuje text „Na aktualizáciu hesla použite rozhranie API strojového účtu.“) Ak platnosť vašich hesiel ešte nevypršala, nástroj vám ponúka dve možnosti:

  • Mäkké obnovenie – staré aj nové heslo fungujú až 10 dní. Toto obdobie použite na postupnú výmenu súboru ISO na uzloch.

  • Tvrdý reset – staré heslá okamžite prestanú fungovať.

Ak platnosť vašich hesiel vyprší bez resetovania, ovplyvní to vašu službu HDS, čo si vyžaduje okamžitý tvrdý reset a nahradenie súboru ISO na všetkých uzloch.

Tento postup použite na vygenerovanie nového konfiguračného súboru ISO a jeho použitie vo vašom klastri.

Skôr ako začnete

  • Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými administrátorskými právami partnera.

    Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri vytváraní kontajnera Docker v 1.e zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:

    Opis

    Variabilné

    HTTP Proxy bez autentifikácie

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentifikácie

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP Proxy s autentifikáciou

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS Proxy s autentifikáciou

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Na vygenerovanie novej konfigurácie potrebujete kópiu aktuálneho konfiguračného súboru ISO. ISO obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. ISO potrebujete, keď robíte zmeny v konfigurácii vrátane poverení databázy, aktualizácií certifikátov alebo zmien v politike autorizácie.

1

Pomocou Docker na lokálnom počítači spustite nástroj HDS Setup Tool.

  1. Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

    V bežných prostrediach:

    docker rmi ciscocitg/hds-setup:stable

    V prostrediach FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

  2. Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:

    docker login -u hdscustomersro
  3. Pri výzve na zadanie hesla zadajte tento hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
  4. Stiahnite si najnovší stabilný obraz pre vaše prostredie:

    V bežných prostrediach:

    docker pull ciscocitg/hds-setup:stable

    V prostrediach FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Uistite sa, že ste na tento postup použili najnovší nástroj Setup. Verzie nástroja vytvorené pred 22. februárom 2018 neobsahujú obrazovky na obnovenie hesla.

  5. Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

    • V bežných prostrediach bez servera proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
    • V bežných prostrediach s HTTP proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • V bežných prostrediach s HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • V prostrediach FedRAMP bez proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
    • V prostrediach FedRAMP s HTTP proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný
    • V prostrediach FedRAMP s HTTPS proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp: stabilný

    Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“.

  6. Použite prehliadač na pripojenie k localhost, http://127.0.0.1:8080.

    Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 .

  7. Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia zákazníka Centra partnerov a potom pokračujte kliknutím na tlačidlo Prijať .

  8. Importujte aktuálny konfiguračný súbor ISO.

  9. Postupujte podľa pokynov na dokončenie nástroja a stiahnite si aktualizovaný súbor.

    Ak chcete vypnúť inštalačný nástroj, napíšte CTRL+C.

  10. Vytvorte záložnú kópiu aktualizovaného súboru v inom dátovom centre.

2

Ak máte spustený iba jeden uzol HDS, vytvorte nový virtuálny počítač s uzlom Hybrid Data Security a zaregistrujte ho pomocou nového konfiguračného súboru ISO. Podrobnejšie pokyny nájdete v časti Vytvorenie a registrácia ďalších uzlov.

  1. Nainštalujte hostiteľský OVA HDS.

  2. Nastavte HDS VM.

  3. Pripojte aktualizovaný konfiguračný súbor.

  4. Zaregistrujte nový uzol v partnerskom centre.

3

Pre existujúce uzly HDS, na ktorých je spustený starší konfiguračný súbor, pripojte súbor ISO. Postupne vykonajte nasledujúci postup na každom uzle a pred vypnutím ďalšieho uzla aktualizujte každý uzol:

  1. Vypnite virtuálny stroj.

  2. V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Upraviť nastavenia.

  3. Kliknite na položku Jednotka CD/DVD 1, vyberte možnosť pripojenia zo súboru ISO a prejdite do umiestnenia, kam ste prevzali nový konfiguračný súbor ISO.

  4. Začiarknite políčko Pripojiť pri zapnutí.

  5. Uložte zmeny a zapnite virtuálny počítač.

4

Opakujte krok 3, aby ste nahradili konfiguráciu na každom zostávajúcom uzle, na ktorom je spustená stará konfigurácia.

Vypnite režim zablokovaného externého rozlíšenia DNS

Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. Ak server DNS uzla nedokáže rozlíšiť verejné názvy DNS, uzol automaticky prejde do režimu zablokovaného externého rozlíšenia DNS.

Ak vaše uzly dokážu rozlíšiť verejné názvy DNS prostredníctvom interných serverov DNS, môžete tento režim vypnúť opätovným spustením testu pripojenia proxy na každom uzle.

Skôr ako začnete

Uistite sa, že vaše interné servery DNS dokážu rozlíšiť verejné názvy DNS a že vaše uzly s nimi môžu komunikovať.
1

Vo webovom prehliadači otvorte rozhranie uzla Hybrid Data Security (adresa IP/ nastavenie, napríklad https://192.0.2.0/setup), zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite na tlačidlo Prihlásiť sa).

2

Prejdite na Prehľad (predvolená stránka).

Keď je táto možnosť povolená, možnosť Blokované externé rozlíšenie DNS je nastavená na možnosť Áno.

3

Prejdite na stránku Trust Store & Proxy .

4

Kliknite na položku Skontrolovať pripojenie proxy.

Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS a zostane v tomto režime. V opačnom prípade po reštartovaní uzla a návrate na stránku Prehľad by mala byť možnosť Blokované externé rozlíšenie DNS nastavené na možnosť Nie.

Čo robiť ďalej

Zopakujte test pripojenia proxy na každom uzle v klastri Hybrid Data Security.

Odstráňte uzol

Tento postup použite na odstránenie uzla Hybrid Data Security z cloudu Webex. Po odstránení uzla z klastra odstráňte virtuálny počítač, aby ste zabránili ďalšiemu prístupu k vašim bezpečnostným údajom.
1

Pomocou klienta VMware vSphere vo svojom počítači sa prihláste do virtuálneho hostiteľa ESXi a vypnite virtuálny počítač.

2

Odstráňte uzol:

  1. Prihláste sa do centra pre partnerov a potom vyberte položku Služby.

  2. Na karte Hybrid Data Security kliknite na položku Zobraziť všetko , čím zobrazíte stránku Hybrid Data Security Resources.

  3. Vyberte svoj klaster, aby sa zobrazil jeho panel Prehľad.

  4. Kliknite na uzol, ktorý chcete odstrániť.

  5. Kliknite na položku Zrušiť registráciu tohto uzla na paneli, ktorý sa zobrazí vpravo

  6. Registráciu uzla môžete zrušiť aj kliknutím na … na pravej strane uzla a výberom možnosti Odstrániť tento uzol.

3

V klientovi vSphere odstráňte VM. (Na ľavom navigačnom paneli kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Odstrániť.)

Ak nevymažete VM, nezabudnite odpojiť konfiguračný súbor ISO. Bez súboru ISO nemôžete použiť VM na prístup k bezpečnostným údajom.

Obnova po havárii pomocou pohotovostného dátového centra

Najdôležitejšou službou, ktorú váš klaster Hybrid Data Security poskytuje, je vytváranie a ukladanie kľúčov používaných na šifrovanie správ a iného obsahu uloženého v cloude Webex. Pre každého používateľa v rámci organizácie, ktorý je priradený k Hybrid Data Security, sú do klastra smerované nové požiadavky na vytvorenie kľúča. Klaster je tiež zodpovedný za vrátenie kľúčov, ktoré vytvoril, všetkým používateľom oprávneným na ich získanie, napríklad členom konverzačného priestoru.

Pretože klaster vykonáva kritickú funkciu poskytovania týchto kľúčov, je nevyhnutné, aby klaster zostal spustený a aby boli udržiavané správne zálohy. Strata databázy Hybrid Data Security alebo konfigurácie ISO použitej pre schému bude mať za následok NENÁVRATNÚ STRATU zákazníckeho obsahu. Na zabránenie takejto strate sú povinné nasledujúce postupy:

Ak havária spôsobí, že nasadenie HDS v primárnom dátovom centre sa stane nedostupným, podľa tohto postupu manuálne prepnite na pohotovostné dátové centrum.

Skôr ako začnete

Zrušte registráciu všetkých uzlov z centra partnerov, ako je uvedené v časti Odstránenie uzla. Na vykonanie procedúry prepnutia pri zlyhaní uvedenej nižšie použite najnovší súbor ISO, ktorý bol nakonfigurovaný voči uzlom klastra, ktorý bol predtým aktívny.
1

Spustite nástroj na nastavenie HDS a postupujte podľa krokov uvedených v časti Vytvorenie konfiguračného ISO pre hostiteľov HDS.

2

Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť.

3

Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii.

4

V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Upraviť nastavenia.

5

Kliknite na položku Upraviť nastavenia >Jednotka CD/DVD 1 a vyberte položku Datastore ISO File.

Uistite sa, že sú začiarknuté položky Pripojené a Pripojiť pri zapnutí , aby sa aktualizované zmeny konfigurácie prejavili po spustení uzlov.

6

Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy.

7

Zaregistrujte uzol v partnerskom centre. Pozrite si časť Registrácia prvého uzla v klastri.

8

Opakujte proces pre každý uzol v pohotovostnom dátovom centre.

Čo robiť ďalej

Ak sa po prepnutí pri zlyhaní opäť aktivuje primárne dátové centrum, zrušte registráciu uzlov pohotovostného dátového centra a zopakujte proces konfigurácie ISO a registrácie uzlov primárneho dátového centra, ako je uvedené vyššie.

(Voliteľné) Odpojte ISO po konfigurácii HDS

Štandardná konfigurácia HDS beží s namontovaným ISO. Niektorí zákazníci však uprednostňujú neponechať súbory ISO nepretržite pripojené. Súbor ISO môžete odpojiť potom, čo všetky uzly HDS prevezmú novú konfiguráciu.

Na vykonanie zmien v konfigurácii stále používate súbory ISO. Keď vytvoríte nový ISO alebo aktualizujete ISO pomocou nástroja Setup Tool, musíte aktualizovaný ISO pripojiť na všetky vaše uzly HDS. Keď všetky vaše uzly zachytia zmeny konfigurácie, môžete ISO znova odpojiť pomocou tohto postupu.

Skôr ako začnete

Inovujte všetky svoje uzly HDS na verziu 2021.01.22.4720 alebo novšiu.

1

Vypnite jeden z uzlov HDS.

2

V serverovom zariadení vCenter vyberte uzol HDS.

3

Vyberte položku Upraviť nastavenia > Jednotka CD/DVD a zrušte začiarknutie políčka Súbor ISO úložiska údajov.

4

Zapnite uzol HDS a uistite sa, že aspoň 20 minút nie sú žiadne alarmy.

5

Postup opakujte pre každý uzol HDS.

Riešenie problémov so zabezpečením hybridných údajov

Zobraziť upozornenia a riešenie problémov

Nasadenie Hybrid Data Security sa považuje za nedostupné, ak sú všetky uzly v klastri nedostupné alebo klaster pracuje tak pomaly, že si vyžaduje časový limit. Ak používatelia nemôžu dosiahnuť váš klaster Hybrid Data Security, zaznamenajú nasledujúce príznaky:

  • Nie je možné vytvoriť nové medzery (nemožno vytvoriť nové kľúče)

  • Správy a názvy priestorov sa nedajú dešifrovať pre:

    • Noví používatelia pridaní do priestoru (nemožno načítať kľúče)

    • Existujúci používatelia v priestore používajúci nového klienta (nemožno načítať kľúče)

  • Existujúci používatelia v priestore budú naďalej úspešne fungovať, pokiaľ ich klienti majú vyrovnávaciu pamäť šifrovacích kľúčov

Je dôležité, aby ste správne monitorovali svoj klaster Hybrid Data Security a okamžite riešili všetky výstrahy, aby ste predišli prerušeniu služby.

Upozornenia

Ak sa vyskytne problém s nastavením Hybrid Data Security, partnerské centrum zobrazí upozornenia správcovi organizácie a odošle e-maily na nakonfigurovanú e-mailovú adresu. Výstrahy pokrývajú mnoho bežných scenárov.

Tabuľka č. 1 Bežné problémy a kroky na ich vyriešenie

Upozornenie

Akcia

Zlyhanie prístupu k lokálnej databáze.

Skontrolujte chyby databázy alebo problémy s lokálnou sieťou.

Zlyhanie pripojenia k lokálnej databáze.

Skontrolujte, či je databázový server dostupný a či boli v konfigurácii uzla použité správne poverenia servisného účtu.

Zlyhanie prístupu k cloudovej službe.

Skontrolujte, či majú uzly prístup k serverom Webex, ako je uvedené v časti Požiadavky na externé pripojenie.

Obnovuje sa registrácia cloudovej služby.

Registrácia do cloudových služieb bola zrušená. Prebieha obnova registrácie.

Registrácia cloudovej služby bola zrušená.

Registrácia do cloudových služieb bola ukončená. Služba sa vypína.

Služba ešte nie je aktivovaná.

Aktivujte HDS v Partner Hub.

Nakonfigurovaná doména sa nezhoduje s certifikátom servera.

Uistite sa, že váš certifikát servera sa zhoduje s nakonfigurovanou doménou aktivácie služby.

Najpravdepodobnejšou príčinou je, že certifikát CN bol nedávno zmenený a teraz sa líši od CN, ktorý bol použitý počas počiatočného nastavenia.

Nepodarilo sa overiť v cloudových službách.

Skontrolujte presnosť a možné vypršanie platnosti poverení servisného účtu.

Nepodarilo sa otvoriť súbor lokálneho úložiska kľúčov.

Skontrolujte integritu a presnosť hesla v lokálnom súbore skladu kľúčov.

Certifikát lokálneho servera je neplatný.

Skontrolujte dátum vypršania platnosti certifikátu servera a potvrďte, že bol vydaný dôveryhodnou certifikačnou autoritou.

Nie je možné uverejniť metriky.

Skontrolujte prístup k lokálnej sieti k externým cloudovým službám.

Adresár /media/configdrive/hds neexistuje.

Skontrolujte konfiguráciu pripojenia ISO na virtuálnom hostiteľovi. Overte, či súbor ISO existuje, či je nakonfigurovaný na pripojenie pri reštarte a či sa úspešne pripojí.

Nastavenie nájomnej organizácie pre pridané organizácie nie je dokončené

Dokončite nastavenie vytvorením CMK pre novo pridané organizácie nájomníkov pomocou nástroja HDS Setup Tool.

Nastavenie nájomnej organizácie pre odstránené organizácie nie je dokončené

Dokončite nastavenie zrušením CMK organizácií nájomníkov, ktoré boli odstránené pomocou nástroja HDS Setup Tool.

Riešenie problémov so zabezpečením hybridných údajov

Pri riešení problémov s Hybrid Data Security použite nasledujúce všeobecné pokyny.
1

Skontrolujte partnerské centrum pre všetky upozornenia a opravte všetky položky, ktoré tam nájdete. Pozrite si obrázok nižšie ako referenciu.

2

Skontrolujte výstup servera syslog pre aktivitu z nasadenia Hybrid Data Security. Filtrujte slová ako „Upozornenie“ a „Chyba“, ktoré vám pomôžu pri riešení problémov.

3

Kontaktujte podporu Cisco.

Ďalšie poznámky

Známe problémy s hybridnou bezpečnosťou dát

  • Ak vypnete svoj klaster Hybrid Data Security (odstránením v Partner Hub alebo vypnutím všetkých uzlov), stratíte svoj konfiguračný súbor ISO alebo stratíte prístup k databáze úložiska kľúčov, používatelia aplikácií Webex zo zákazníckych organizácií už nebudú môcť používať priestory pod ich zoznam ľudí, ktorý bol vytvorený pomocou kľúčov z vášho KMS. V súčasnosti nemáme riešenie ani opravu tohto problému a žiadame vás, aby ste nevypínali svoje služby HDS, keď budú spracovávať aktívne používateľské účty.

  • Klient, ktorý má existujúce pripojenie ECDH ku KMS, udržiava toto pripojenie určitý čas (pravdepodobne jednu hodinu).

Na vygenerovanie súboru PKCS12 použite OpenSSL

Skôr ako začnete

  • OpenSSL je jeden nástroj, ktorý možno použiť na vytvorenie súboru PKCS12 v správnom formáte na načítanie v nástroji HDS Setup Tool. Existujú aj iné spôsoby, ako to urobiť, a my nepodporujeme ani nepresadzujeme jeden spôsob oproti druhému.

  • Ak sa rozhodnete použiť OpenSSL, poskytujeme tento postup ako návod, ktorý vám pomôže vytvoriť súbor, ktorý spĺňa požiadavky na certifikát X.509 v časti Požiadavky na certifikát X.509. Než budete pokračovať, pochopte tieto požiadavky.

  • Nainštalujte OpenSSL v podporovanom prostredí. Softvér a dokumentáciu nájdete v časti https://www.openssl.org .

  • Vytvorte si súkromný kľúč.

  • Tento postup začnite, keď dostanete certifikát servera od certifikačnej autority (CA).

1

Keď od svojej CA dostanete certifikát servera, uložte ho ako hdsnode.pem.

2

Zobrazte certifikát ako text a overte podrobnosti.

openssl x509 -text -noout -in hdsnode.pem

3

Pomocou textového editora vytvorte súbor balíka certifikátov s názvom hdsnode-bundle.pem. Súbor balíka musí obsahovať certifikát servera, akékoľvek sprostredkujúce certifikáty CA a certifikáty koreňovej CA vo formáte nižšie:

-----ZAČIATOK CERTIFIKÁT----- ### Certifikát servera. ### -----KONIEC CERTIFIKÁTU----- -----ZAČIATOK CERTIFIKÁTU----- ### Certifikát strednej CA. ### -----KONIEC CERTIFIKÁTU----- -----ZAČIATOK CERTIFIKÁTU----- ### Certifikát koreňovej CA. ### -----KONIEC CERTIFIKÁTU-----

4

Vytvorte súbor .p12 s priateľským názvom kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Skontrolujte podrobnosti certifikátu servera.

  1. openssl pkcs12 -in hdsnode.p12

  2. Vo výzve zadajte heslo na zašifrovanie súkromného kľúča, aby bol uvedený vo výstupe. Potom skontrolujte, či súkromný kľúč a prvý certifikát obsahujú riadky friendlyName: kms-private-key.

    Príklad:

    bash$ openssl pkcs12 -in hdsnode.p12 Zadajte heslo importu: Atribúty tašky OK s overením MAC friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Kľúčové atribúty:  Zadajte heslo PEM: Overenie – zadajte heslo PEM: -----ZAČIATOK ŠIFROVANÝ SÚKROMNÝ KĽÚČ-----  -----KONIEC ŠIFROVANÝ SÚKROMNÝ KĽÚČ----- Atribúty tašky friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -- Encrypt Authority ---ZAČIATOK CERTIFIKÁT-----  -----KONCOVÝ CERTIFIKÁT----- Vlastnosti tašky friendlyName: CN=Poďme šifrovať autoritu X3,O=Poďme zašifrovať,C=US predmet=/C=US/O=Poďme zašifrovať/CN=Poďme zašifrovať autoritu X3 vydavateľ=/O=Digitálny podpis Trust Co./CN=DST Root CA X3 -----ZAČIATOK CERTIFIKÁT-----  -----KONIEC CERTIFIKÁTU-----

Čo robiť ďalej

Vráťte sa na stránku Dokončenie predpokladov pre hybridné zabezpečenie údajov. V časti Vytvorenie konfiguračného ISO pre hostiteľov HDS použijete súbor hdsnode.p12 a heslo, ktoré ste preň nastavili.

Tieto súbory môžete znova použiť na vyžiadanie nového certifikátu, keď platnosť pôvodného certifikátu vyprší.

Prevádzka medzi uzlami HDS a cloudom

Odchádzajúca návštevnosť zberu metrík

Uzly Hybrid Data Security odosielajú určité metriky do cloudu Webex. Patria sem systémové metriky pre maximálnu haldu, využitú haldu, zaťaženie procesora a počet vlákien; metriky na synchrónnych a asynchrónnych vláknach; metriky výstrah zahŕňajúce prah šifrovacích pripojení, latenciu alebo dĺžku frontu požiadaviek; metriky na dátovom úložisku; a metriky šifrovaného pripojenia. Uzly posielajú zašifrovaný kľúčový materiál cez kanál mimo pásma (oddelený od požiadavky).

Prichádzajúca premávka

Uzly Hybrid Data Security prijímajú nasledujúce typy prichádzajúcej prevádzky z cloudu Webex:

  • Šifrovacie požiadavky od klientov, ktoré sú smerované šifrovacou službou

  • Aktualizácie softvéru uzla

Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát

Websocket sa nemôže pripojiť cez Squid Proxy

Servery proxy typu Squid, ktoré kontrolujú prenos HTTPS, môžu narúšať vytváranie pripojení websocket (wss:), ktoré vyžaduje Hybrid Data Security. Tieto časti poskytujú návod, ako nakonfigurovať rôzne verzie Squid tak, aby ignorovali wss: prevádzky pre správne fungovanie služieb.

Kalmáre 4 a 5

Pridajte on_unsupported_protocol smernicu na stránku squid.conf:

on_unsupported_protocol tunel všetko

Kalmáre 3.5.27

Úspešne sme testovali Hybrid Data Security pomocou nasledujúcich pravidiel pridaných na stránku squid.conf. Tieto pravidlá sa môžu meniť, pretože vyvíjame funkcie a aktualizujeme cloud Webex.

acl wssMercuryConnection ssl::server_name_regex ortuťové pripojenie ssl_bump splice wssMercuryConnection acl krok1 at_step SslBump1 acl krok2 at_step SslBump2 acl krok3 at_step SslBump3 ssl_bump pohľad krok1 všetko ssl_bump pozerať krok2 všetko ssl_bump vyskočiť krok3 všetko

Nové a zmenené informácie

Nové a zmenené informácie

Táto tabuľka obsahuje nové funkcie alebo funkcie, zmeny existujúceho obsahu a všetky hlavné chyby, ktoré boli opravené v Príručke nasadenia pre multi-tenantovú hybridnú bezpečnosť údajov.

Dátum

Vykonané zmeny

4. marca 2025

30. januára 2025

Pridaný server SQL verzie 2022 do zoznamu podporovaných serverov SQL v časti Požiadavky na databázový server.

15. januára 2025

Pridané Obmedzenia hybridného zabezpečenia údajov pre viacerých nájomcov.

8. januára 2025

Do časti Vykonať úvodné nastavenie a prevziať inštalačné súbory bola pridaná poznámka, že kliknutie na položku Nastaviť na karte HDS v partnerskom centre je dôležitým krokom procesu inštalácie.

7. januára 2025

Aktualizované Požiadavky na virtuálneho hostiteľa, Tok úloh nasadenia hybridného zabezpečenia údajov a Inštalácia hostiteľského OVA HDS , aby zobrazovali novú požiadavku ESXi 7.0.

13. decembra 2024

Prvýkrát zverejnené.

Deaktivujte hybridné zabezpečenie dát pre viacerých nájomníkov

Tok úloh deaktivácie HDS pre viacerých nájomníkov

Ak chcete úplne deaktivovať Multi-Tenant HDS, postupujte podľa týchto krokov.

Skôr ako začnete

Túto úlohu by mal vykonávať iba úplný správca partnera.
1

Odstráňte všetkých zákazníkov zo všetkých svojich klastrov, ako je uvedené v časti Odstránenie organizácií nájomníkov.

2

Zrušte CMK všetkých zákazníkov, ako je uvedené v časti Zrušenie CMK nájomníkov odstránených z HDS.

3

Odstráňte všetky uzly zo všetkých klastrov, ako je uvedené v časti Odstránenie uzla.

4

Odstráňte všetky svoje klastre z Partner Hub pomocou jednej z nasledujúcich dvoch metód.

  • Kliknite na klaster, ktorý chcete odstrániť, a vyberte možnosť Odstrániť tento klaster v pravom hornom rohu stránky súhrnu.
  • Na stránke Zdroje kliknite na … na pravej strane klastra a vyberte možnosť Odstrániť klaster.
5

Kliknite na kartu Nastavenia na stránke prehľadu Hybrid Data Security a kliknite na položku Deaktivovať HDS na karte Stav HDS.

Začnite s Hybridným zabezpečením dát pre viacerých nájomníkov

Prehľad zabezpečenia hybridných dát pre viacerých nájomníkov

Od prvého dňa bola bezpečnosť údajov hlavným zameraním pri navrhovaní Webex App. Základným kameňom tohto zabezpečenia je komplexné šifrovanie obsahu, ktoré umožňujú klienti Webex App interagujúci so službou správy kľúčov (KMS). KMS je zodpovedný za vytváranie a správu kryptografických kľúčov, ktoré klienti používajú na dynamické šifrovanie a dešifrovanie správ a súborov.

V predvolenom nastavení dostávajú všetci zákazníci Webex App end-to-end šifrovanie s dynamickými kľúčmi uloženými v cloudovom KMS v oblasti bezpečnosti Cisco. Hybrid Data Security presúva KMS a ďalšie funkcie súvisiace so zabezpečením do vášho podnikového dátového centra, takže kľúče k vášmu šifrovanému obsahu nemá nikto okrem vás.

Multi-Tenant Hybrid Data Security umožňuje organizáciám využívať HDS prostredníctvom dôveryhodného miestneho partnera, ktorý môže pôsobiť ako poskytovateľ služieb a spravovať lokálne šifrovanie a ďalšie bezpečnostné služby. Toto nastavenie umožňuje partnerskej organizácii mať úplnú kontrolu nad nasadením a správou šifrovacích kľúčov a zaisťuje, že používateľské údaje zákazníckych organizácií sú v bezpečí pred externým prístupom. Partnerské organizácie podľa potreby nastavujú inštancie HDS a vytvárajú klastre HDS. Každá inštancia môže podporovať viacero zákazníckych organizácií na rozdiel od bežného nasadenia HDS, ktoré je obmedzené na jednu organizáciu.

Zatiaľ čo partnerské organizácie majú kontrolu nad nasadením a správou, nemajú prístup k údajom a obsahu generovanému zákazníkmi. Tento prístup je obmedzený na zákaznícke organizácie a ich používateľov.

To tiež umožňuje menším organizáciám využívať HDS, pretože službu správy kľúčov a bezpečnostnú infraštruktúru, ako sú dátové centrá, vlastní dôveryhodný miestny partner.

Ako Multi-Tenant Hybrid Data Security poskytuje dátovú suverenitu a kontrolu dát

  • Obsah generovaný používateľmi je chránený pred externým prístupom, ako sú poskytovatelia cloudových služieb.
  • Miestni dôveryhodní partneri spravujú šifrovacie kľúče zákazníkov, s ktorými už majú vybudovaný vzťah.
  • Možnosť miestnej technickej podpory, ak ju poskytuje partner.
  • Podporuje obsah stretnutí, správ a hovorov.

Tento dokument je zameraný na pomoc partnerským organizáciám pri nastavovaní a správe zákazníkov v rámci systému Multi-Tenant Hybrid Data Security.

Obmedzenia Hybridného zabezpečenia dát pre viacerých nájomníkov

  • Partnerské organizácie nesmú mať v Control Hub aktívne žiadne existujúce nasadenie HDS.
  • Nájomnícke alebo zákaznícke organizácie, ktoré chcú byť spravované partnerom, nesmú mať žiadne existujúce nasadenie HDS v Control Hub.
  • Akonáhle partner nasadí Multi-Tenant HDS, všetci používatelia zákazníckych organizácií, ako aj používatelia partnerskej organizácie začnú využívať Multi-Tenant HDS pre svoje šifrovacie služby.

    Partnerská organizácia a zákaznícke organizácie, ktoré riadia, budú využívať rovnaké nasadenie HDS pre viacerých nájomníkov.

    Po nasadení Multi-Tenant HDS už partnerská organizácia nebude používať cloudové KMS.

  • Neexistuje žiadny mechanizmus na presun kľúčov späť do Cloud KMS po nasadení HDS.
  • V súčasnosti môže mať každé nasadenie Multi-Tenant HDS iba jeden klaster s viacerými uzlami pod ním.
  • Úlohy správcu majú určité obmedzenia; podrobnosti nájdete v časti nižšie.

Úlohy v hybridnej bezpečnosti dát pre viacerých nájomníkov

  • Úplný správca partnera – môže spravovať nastavenia pre všetkých zákazníkov, ktorých partner spravuje. Môže tiež priradiť roly správcu existujúcim používateľom v organizácii a priradiť konkrétnych zákazníkov, ktorých majú spravovať správcovia partnerov.
  • Správca partnera – môže spravovať nastavenia pre zákazníkov, ktorých správca poskytol alebo ktorí boli priradení používateľovi.
  • Úplný správca – správca partnerskej organizácie, ktorý je oprávnený vykonávať úlohy, ako je úprava nastavení organizácie, správa licencií a prideľovanie rolí.
  • Nastavenie HDS pre viacerých nájomníkov a správa všetkých zákazníckych organizácií od konca do konca – Vyžaduje sa úplný správca partnera a úplné práva správcu.
  • Správa priradených organizácií nájomcov – vyžaduje sa správca partnera a úplné práva správcu.

Architektúra bezpečnostnej sféry

Cloudová architektúra Webex oddeľuje rôzne typy služieb do samostatných oblastí alebo dôveryhodných domén, ako je znázornené nižšie.

Realms of Separation (bez Hybrid Data Security)

Aby sme lepšie porozumeli Hybrid Data Security, pozrime sa najprv na tento čistý cloud, kde Cisco poskytuje všetky funkcie vo svojich cloudových sférach. Služba identity, jediné miesto, kde môžu byť používatelia priamo korelovaní s ich osobnými informáciami, ako je e-mailová adresa, je logicky a fyzicky oddelená od sféry zabezpečenia v dátovom centre B. Obe sú zase oddelené od sféry, kde je v konečnom dôsledku uložený šifrovaný obsah, v dátovom centre C.

V tomto diagrame je klientom aplikácia Webex, ktorá beží na notebooku používateľa a je overená službou identity. Keď používateľ vytvorí správu na odoslanie do priestoru, vykonajú sa tieto kroky:

  1. Klient vytvorí zabezpečené spojenie so službou správy kľúčov (KMS), potom požiada o kľúč na zašifrovanie správy. Zabezpečené pripojenie používa ECDH a KMS šifruje kľúč pomocou hlavného kľúča AES-256.

  2. Správa je pred opustením klienta zašifrovaná. Klient ho odošle do indexovacej služby, ktorá vytvorí šifrované indexy vyhľadávania na pomoc pri budúcom vyhľadávaní obsahu.

  3. Zašifrovaná správa sa odošle do služby súladu na kontrolu súladu.

  4. Zašifrovaná správa je uložená v úložnej sfére.

Keď nasadíte Hybrid Data Security, presuniete funkcie bezpečnostnej sféry (KMS, indexovanie a súlad) do vášho lokálneho dátového centra. Ostatné cloudové služby, ktoré tvoria Webex (vrátane ukladania identity a obsahu), zostávajú v sférach spoločnosti Cisco.

Spolupráca s inými organizáciami

Používatelia vo vašej organizácii môžu pravidelne používať aplikáciu Webex na spoluprácu s externými účastníkmi v iných organizáciách. Keď jeden z vašich používateľov požaduje kľúč pre priestor, ktorý vlastní vaša organizácia (pretože ho vytvoril jeden z vašich používateľov), váš KMS odošle kľúč klientovi cez zabezpečený kanál ECDH. Keď však kľúč priestoru vlastní iná organizácia, váš KMS nasmeruje požiadavku do cloudu Webex cez samostatný kanál ECDH, aby získal kľúč z príslušného KMS, a potom vráti kľúč vášmu používateľovi na pôvodnom kanáli.

Služba KMS spustená v organizácii A overuje pripojenia ku KMS v iných organizáciách pomocou x.509 PKI certifikátov. Podrobnosti o generovaní certifikátu x.509 na použitie s nasadením Hybrid Data Security pre viacerých nájomníkov nájdete v časti Príprava prostredia .

Očakávania týkajúce sa nasadenia hybridnej bezpečnosti údajov

Nasadenie Hybrid Data Security si vyžaduje značné odhodlanie a uvedomenie si rizík, ktoré so sebou prináša vlastníctvo šifrovacích kľúčov.

Ak chcete nasadiť Hybrid Data Security, musíte poskytnúť:

Úplná strata buď konfiguračného ISO, ktoré ste vytvorili pre Hybrid Data Security, alebo databázy, ktorú poskytnete, bude mať za následok stratu kľúčov. Strata kľúča bráni používateľom dešifrovať obsah priestoru a ďalšie šifrované údaje v aplikácii Webex. Ak sa tak stane, môžete vytvoriť nové nasadenie, ale bude viditeľný iba nový obsah. Aby ste predišli strate prístupu k údajom, musíte:

  • Spravujte zálohovanie a obnovu databázy a konfiguračného ISO.

  • Buďte pripravení vykonať rýchlu obnovu po havárii, ak dôjde ku katastrofe, ako je zlyhanie databázového disku alebo katastrofa dátového centra.

Neexistuje žiadny mechanizmus na presun kľúčov späť do cloudu po nasadení HDS.

Proces nastavenia na vysokej úrovni

Tento dokument pokrýva nastavenie a správu nasadenia Hybrid Data Security pre viacerých nájomníkov:

  • Nastavenie Hybrid Data Security – zahŕňa prípravu požadovanej infraštruktúry a inštaláciu softvéru Hybrid Data Security, vybudovanie klastra HDS, pridanie organizácií nájomníkov do klastra a správu ich hlavných kľúčov zákazníkov (CMK). To umožní všetkým používateľom vašich zákazníckych organizácií používať váš klaster Hybrid Data Security na bezpečnostné funkcie.

    Fázy nastavenia, aktivácie a správy sú podrobne opísané v nasledujúcich troch kapitolách.

  • Udržujte svoje nasadenie Hybrid Data Security – cloud Webex automaticky poskytuje priebežné inovácie. Vaše IT oddelenie môže poskytnúť podporu prvej úrovne pre toto nasadenie a podľa potreby zapojiť podporu Cisco. V partnerskom centre môžete používať upozornenia na obrazovke a nastaviť upozornenia prostredníctvom e-mailu.

  • Pochopte bežné upozornenia, kroky na riešenie problémov a známe problémy – Ak narazíte na problémy s nasadením alebo používaním Hybrid Data Security, posledná kapitola tejto príručky a príloha Známe problémy vám môžu pomôcť určiť a vyriešiť problém.

Hybridný model nasadenia zabezpečenia dát

V rámci podnikového dátového centra nasadíte Hybrid Data Security ako jeden klaster uzlov na samostatných virtuálnych hostiteľoch. Uzly komunikujú s cloudom Webex prostredníctvom zabezpečených webových zásuviek a zabezpečeného HTTP.

Počas procesu inštalácie vám poskytneme súbor OVA na nastavenie virtuálneho zariadenia na VM, ktoré poskytnete. Nástroj HDS Setup Tool použijete na vytvorenie vlastného konfiguračného súboru ISO klastra, ktorý pripojíte na každý uzol. Klaster Hybrid Data Security využíva váš poskytnutý server Syslogd a databázu PostgreSQL alebo Microsoft SQL Server. (Syslogd a podrobnosti o pripojení k databáze nakonfigurujete v nástroji HDS Setup Tool.)

Hybridný model nasadenia zabezpečenia dát

Minimálny počet uzlov, ktoré môžete mať v klastri, sú dva. Odporúčame aspoň tri na klaster. Viacnásobné uzly zaisťujú, že služba nebude prerušená počas aktualizácie softvéru alebo inej činnosti údržby na uzle. (Cloud Webex aktualizuje naraz iba jeden uzol.)

Všetky uzly v klastri pristupujú k rovnakému úložisku údajov kľúčov a zaznamenávajú aktivitu na rovnaký server syslog. Samotné uzly sú bez stavu a spracovávajú kľúčové požiadavky v režime round-robin podľa pokynov cloudu.

Uzly sa stanú aktívnymi, keď ich zaregistrujete v Partner Hub. Ak chcete vyradiť jednotlivý uzol z prevádzky, môžete ho zrušiť a neskôr v prípade potreby znova zaregistrovať.

Pohotovostné dátové centrum pre obnovu po havárii

Počas nasadenia nastavíte zabezpečené pohotovostné dátové centrum. V prípade havárie dátového centra môžete manuálne zlyhať nasadenie do pohotovostného dátového centra.

Pred zlyhaním má Dátové centrum A aktívne uzly HDS a primárnu databázu PostgreSQL alebo Microsoft SQL Server, zatiaľ čo B má kópiu súboru ISO s ďalšími konfiguráciami, virtuálne počítače, ktoré sú registrované v organizácii, a záložnú databázu. Po zlyhaní má Dátové centrum B aktívne uzly HDS a primárnu databázu, zatiaľ čo A má neregistrované VM a kópiu súboru ISO a databáza je v pohotovostnom režime.
Manuálne prepnutie do pohotovostného dátového centra

Databázy aktívnych a pohotovostných dátových centier sú navzájom synchronizované, čo minimalizuje čas potrebný na vykonanie núdzového prepnutia.

Aktívne uzly Hybrid Data Security musia byť vždy v rovnakom údajovom centre ako aktívny databázový server.

Podpora proxy

Hybrid Data Security podporuje explicitné, transparentné kontrolné a nekontrolujúce proxy. Tieto servery proxy môžete prepojiť s nasadením, aby ste mohli zabezpečiť a monitorovať prevádzku z podniku do cloudu. Rozhranie správcu platformy na uzloch môžete použiť na správu certifikátov a na kontrolu celkového stavu pripojenia po nastavení servera proxy na uzloch.

Uzly Hybrid Data Security podporujú nasledujúce možnosti proxy:

  • Bez servera proxy – predvolená hodnota, ak na integráciu servera proxy nepoužívate konfiguráciu dôveryhodného obchodu a servera proxy na nastavenie uzla HDS. Nevyžaduje sa žiadna aktualizácia certifikátu.

  • Transparentný nekontrolujúci proxy server – uzly nie sú nakonfigurované na používanie konkrétnej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.

  • Transparentné tunelovanie alebo kontrola servera proxy – uzly nie sú nakonfigurované na používanie konkrétnej adresy servera proxy. Na uzloch nie sú potrebné žiadne zmeny konfigurácie HTTP alebo HTTPS. Uzly však potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).

  • Explicitný server proxy – pomocou explicitného servera proxy poviete uzlom HDS, ktorý server proxy a schému overenia majú použiť. Ak chcete nakonfigurovať explicitný server proxy, musíte do každého uzla zadať nasledujúce informácie:

    1. Proxy IP/FQDN – adresa, ktorú možno použiť na spojenie so zariadením proxy.

    2. Port servera proxy – číslo portu, ktoré server proxy používa na počúvanie prevádzky cez server proxy.

    3. Protokol proxy – v závislosti od toho, čo váš server proxy podporuje, si vyberte z nasledujúcich protokolov:

      • HTTP – zobrazuje a riadi všetky požiadavky, ktoré klient odosiela.

      • HTTPS – poskytuje kanál pre server. Klient prijme a overí certifikát servera.

    4. Typ overenia totožnosti – vyberte si z nasledujúcich typov overenia totožnosti:

      • Žiadne – nevyžaduje sa žiadne ďalšie overenie.

        Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.

      • Základné – používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.

        Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.

        Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.

      • Súhrn – používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.

        Dostupné, iba ak vyberiete HTTPS ako protokol proxy.

        Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.

Príklad uzlov na zabezpečenie hybridných dát a proxy

Tento diagram ukazuje príklad spojenia medzi Hybrid Data Security, sieťou a proxy. Pre možnosti transparentnej kontroly a explicitnej kontroly HTTPS musí byť na serveri proxy a na uzloch Hybrid Data Security nainštalovaný rovnaký koreňový certifikát.

Blokovaný režim externého rozlíšenia DNS (explicitné konfigurácie proxy)

Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. V nasadeniach s explicitnými konfiguráciami proxy, ktoré neumožňujú externé rozlíšenie DNS pre interných klientov, ak uzol nemôže dotazovať servery DNS, automaticky prejde do režimu blokovaného externého riešenia DNS. V tomto režime môže pokračovať registrácia uzla a ďalšie testy pripojenia proxy.

Príprava prostredia

Požiadavky na hybridné zabezpečenie dát pre viacerých nájomníkov

Požiadavky na licenciu Cisco Webex

Ak chcete nasadiť hybridné zabezpečenie dát pre viacerých nájomníkov:

  • Partnerské organizácie: Kontaktujte svojho partnera Cisco alebo správcu účtu a uistite sa, že je povolená funkcia viacerých nájomníkov.

  • Nájomné organizácie: Musíte mať balík Pro Pack pre Cisco Webex Control Hub. (Pozrite si https://www.cisco.com/go/pro-pack.)

Požiadavky na plochu Docker

Pred inštaláciou uzlov HDS potrebujete Docker Desktop na spustenie inštalačného programu. Docker nedávno aktualizoval svoj licenčný model. Vaša organizácia môže vyžadovať platené predplatné pre Docker Desktop. Podrobnosti nájdete v blogovom príspevku Docker „ Docker aktualizuje a rozširuje naše predplatné produktov“.

Zákazníci bez licencie Docker Desktop môžu na spúšťanie, správu a vytváranie kontajnerov použiť nástroj na správu kontajnerov s otvoreným zdrojovým kódom, ako je napríklad Podman Desktop. Podrobnosti nájdete v časti Spustenie nástroja HDS Setup pomocou aplikácie Podman Desktop .

Požiadavky na certifikát X.509

Certifikačný reťazec musí spĺňať nasledujúce požiadavky:

Tabuľka č. 1 Požiadavky certifikátu X.509 pre nasadenie hybridného zabezpečenia dát

Požiadavka

Podrobnosti

  • Podpísané dôveryhodnou certifikačnou autoritou (CA)

V predvolenom nastavení dôverujeme CA v zozname Mozilly (s výnimkou WoSign a StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

  • Nesie názov domény Common Name (CN), ktorý identifikuje vaše nasadenie Hybrid Data Security

  • Nie je to zástupný certifikát

CN nemusí byť dosiahnuteľné alebo živého hostiteľa. Odporúčame vám použiť názov, ktorý zodpovedá vašej organizácii, napríklad hds.company.com.

KN nesmie obsahovať * (zástupný znak).

CN sa používa na overenie uzlov Hybrid Data Security pre klientov Webex App. Všetky uzly Hybrid Data Security vo vašom klastri používajú rovnaký certifikát. Váš KMS sa identifikuje pomocou domény CN, nie akejkoľvek domény, ktorá je definovaná v poliach x.509v3 SAN.

Po zaregistrovaní uzla s týmto certifikátom nepodporujeme zmenu názvu domény CN.

  • Podpis iný ako SHA1

Softvér KMS nepodporuje podpisy SHA1 na overenie pripojení k KMS iných organizácií.

  • Naformátovaný ako súbor PKCS #12 chránený heslom

  • Na označenie certifikátu, súkromného kľúča a akýchkoľvek sprostredkujúcich certifikátov, ktoré chcete odovzdať, použite priateľský názov kms-private-key .

Na zmenu formátu certifikátu môžete použiť konvertor, ako je OpenSSL.

Pri spustení nástroja HDS Setup Tool budete musieť zadať heslo.

Softvér KMS nevynucuje používanie kľúčov ani rozšírené obmedzenia používania kľúčov. Niektoré certifikačné autority vyžadujú, aby sa na každý certifikát aplikovali rozšírené obmedzenia používania kľúčov, ako je autentifikácia servera. Je v poriadku použiť overenie servera alebo iné nastavenia.

Požiadavky na virtuálny hostiteľ

Virtuálni hostitelia, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri, majú nasledujúce požiadavky:

  • Aspoň dvaja oddelení hostitelia (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre

  • VMware ESXi 7.0 (alebo novší) nainštalovaný a spustený.

    Ak máte staršiu verziu ESXi, musíte vykonať inováciu.

  • Minimálne 4 vCPU, 8 GB hlavnej pamäte, 30 GB miesta na lokálnom pevnom disku na server

Požiadavky na databázový server

Vytvorte novú databázu pre uloženie kľúčov. Nepoužívajte predvolenú databázu. Aplikácie HDS, keď sú nainštalované, vytvoria schému databázy.

Pre databázový server sú dve možnosti. Požiadavky na každú z nich sú nasledovné:

Tabuľka 2 Požiadavky na databázový server podľa typu databázy

PostgreSQL

Microsoft SQL Server

  • PostgreSQL 14, 15 alebo 16, nainštalovaný a spustený.

  • SQL Server 2016, 2017, 2019 alebo 2022 (Enterprise alebo Standard) nainštalovaný.

    SQL Server 2016 vyžaduje Service Pack 2 a Kumulatívna aktualizácia 2 alebo novšia.

Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložisko)

Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložisko)

Softvér HDS momentálne inštaluje nasledujúce verzie ovládačov na komunikáciu s databázovým serverom:

PostgreSQL

Microsoft SQL Server

Postgres JDBC ovládač 42.2.5

Ovládač SQL Server JDBC 4.6

Táto verzia ovládača podporuje server SQL Server Always On (Inštancie klastra prepnutia pri zlyhaní a skupiny dostupnosti Vždy zapnuté).

Dodatočné požiadavky na overenie systému Windows voči Microsoft SQL Server

Ak chcete, aby uzly HDS používali autentifikáciu systému Windows na získanie prístupu k vašej databáze úložiska kľúčov na serveri Microsoft SQL Server, potrebujete vo svojom prostredí nasledujúcu konfiguráciu:

  • HDS uzly, infraštruktúra Active Directory a MS SQL Server musia byť synchronizované s NTP.

  • Účet Windows, ktorý poskytnete uzlom HDS, musí mať prístup k databáze na čítanie/zápis.

  • Servery DNS, ktoré poskytujete uzlom HDS, musia byť schopné vyriešiť vaše Centrum distribúcie kľúčov (KDC).

  • Inštanciu databázy HDS môžete zaregistrovať na svojom serveri Microsoft SQL Server ako hlavný názov služby (SPN) vo vašom adresári Active Directory. Pozrite si časť Registrácia hlavného názvu služby pre pripojenia Kerberos.

    Nástroj na nastavenie HDS, spúšťač HDS a miestne KMS musia na prístup k databáze kľúčov používať overenie systému Windows. Používajú podrobnosti z vašej konfigurácie ISO na vytvorenie SPN pri požadovaní prístupu s overením Kerberos.

Požiadavky na externé pripojenie

Nakonfigurujte svoj firewall tak, aby umožňoval nasledujúce pripojenie pre aplikácie HDS:

Aplikácia

Protokol

Port

Smer z App

Cieľ

Hybridné uzly zabezpečenia údajov

TCP

443

Odchádzajúce HTTPS a WSS

  • Webex servery:

    • *.wbx2.com

    • *.ciscospark.com

  • Všetci hostitelia Common Identity

  • Ďalšie adresy URL, ktoré sú uvedené pre Hybrid Data Security v tabuľke Ďalšie adresy URL pre hybridné služby Webex v časti Požiadavky na sieť pre služby Webex

Nástroj na nastavenie HDS

TCP

443

Odchádzajúce HTTPS

  • *.wbx2.com

  • Všetci hostitelia Common Identity

  • hub.docker.com

Uzly Hybrid Data Security pracujú s prekladom sieťového prístupu (NAT) alebo za bránou firewall, pokiaľ NAT alebo brána firewall umožňuje požadované odchádzajúce pripojenia k destináciám domény v predchádzajúcej tabuľke. Pre pripojenia prichádzajúce do uzlov Hybrid Data Security by nemali byť z internetu viditeľné žiadne porty. V rámci vášho dátového centra potrebujú klienti prístup k uzlom Hybrid Data Security na portoch TCP 443 a 22 na administratívne účely.

Adresy URL hostiteľov Common Identity (CI) sú špecifické pre daný región. Toto sú súčasní hostitelia CI:

región

Spoločné adresy URL hostiteľa identity

Ameriky

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Európskej únie

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur
  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Spojené arabské emiráty
  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Požiadavky na proxy server

  • Oficiálne podporujeme nasledujúce proxy riešenia, ktoré sa dajú integrovať s vašimi uzlami Hybrid Data Security.

  • Pre explicitné servery proxy podporujeme nasledujúce kombinácie typov overenia:

    • Žiadna autentifikácia pomocou HTTP alebo HTTPS

    • Základná autentifikácia pomocou HTTP alebo HTTPS

    • Digest overenie iba s HTTPS

  • Pre transparentný kontrolný proxy server alebo explicitný proxy server HTTPS musíte mať kópiu koreňového certifikátu servera proxy. Pokyny na nasadenie v tejto príručke vám povedia, ako nahrať kópiu do dôveryhodných obchodov uzlov Hybrid Data Security.

  • Sieť, ktorá hostí uzly HDS, musí byť nakonfigurovaná tak, aby vynútila smerovanie odchádzajúcej prevádzky TCP na porte 443 cez server proxy.

  • Proxy, ktoré kontrolujú webovú prevádzku, môžu narúšať pripojenia webových soketov. Ak sa vyskytne tento problém, problém sa vyrieši obídením (nie kontrolou) návštevnosti wbx2.com a ciscospark.com .

Vyplňte Predpoklady pre hybridnú bezpečnosť údajov

Pomocou tohto kontrolného zoznamu sa uistite, že ste pripravení na inštaláciu a konfiguráciu klastra Hybrid Data Security.
1

Uistite sa, že vaša partnerská organizácia má povolenú funkciu Multi-Tenant HDS a získajte prihlasovacie údaje účtu s úplným správcom partnera a plnými právami správcu. Uistite sa, že vaša organizácia zákazníkov Webex má povolený balík Pro Pack pre Cisco Webex Control Hub. Ak potrebujete pomoc s týmto procesom, kontaktujte svojho partnera Cisco alebo account manažéra.

Zákaznícke organizácie by nemali mať žiadne existujúce nasadenie HDS.

2

Vyberte názov domény pre svoje nasadenie HDS (napríklad hds.company.com) a získajte reťazec certifikátov obsahujúci certifikát X.509, súkromný kľúč a akékoľvek sprostredkujúce certifikáty. Reťazec certifikátov musí spĺňať požiadavky uvedené v časti Požiadavky na certifikát X.509.

3

Pripravte si identických virtuálnych hostiteľov, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri. Potrebujete aspoň dvoch samostatných hostiteľov (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre, ktorí spĺňajú požiadavky v časti Požiadavky na virtuálneho hostiteľa.

4

Pripravte databázový server, ktorý bude fungovať ako úložisko kľúčových údajov pre klaster, v súlade s požiadavkami na databázový server. Databázový server musí byť umiestnený v zabezpečenom údajovom centre spolu s virtuálnymi hostiteľmi.

  1. Vytvorte databázu pre ukladanie kľúčov. (Túto databázu musíte vytvoriť – nepoužívajte predvolenú databázu. Aplikácie HDS po nainštalovaní vytvoria schému databázy.)

  2. Zhromaždite podrobnosti, ktoré budú uzly používať na komunikáciu s databázovým serverom:

    • názov hostiteľa alebo IP adresa (hostiteľ) a port

    • názov databázy (dbname) pre uloženie kľúčov

    • užívateľské meno a heslo užívateľa so všetkými privilégiami v databáze kľúča

5

Pre rýchlu obnovu po havárii nastavte zálohovacie prostredie v inom dátovom centre. Zálohovacie prostredie odzrkadľuje produkčné prostredie VM a záložný databázový server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM.

6

Nastavte hostiteľa syslog na zhromažďovanie protokolov z uzlov v klastri. Získajte jeho sieťovú adresu a port syslog (predvolené je UDP 514).

7

Vytvorte politiku bezpečného zálohovania pre uzly Hybrid Data Security, databázový server a hostiteľa syslog. Aby ste predišli nenapraviteľnej strate údajov, musíte minimálne zálohovať databázu a konfiguračný súbor ISO vygenerovaný pre uzly Hybrid Data Security.

Keďže uzly Hybrid Data Security ukladajú kľúče používané na šifrovanie a dešifrovanie obsahu, zlyhanie prevádzkyschopného nasadenia bude mať za následok NEOBNOVITEĽNÚ STRATU tohto obsahu.

Klienti Webex App ukladajú svoje kľúče do vyrovnávacej pamäte, takže výpadok nemusí byť okamžite viditeľný, ale časom sa prejaví. Dočasným výpadkom sa síce nedá zabrániť, dajú sa však obnoviť. Úplná strata (nie sú k dispozícii žiadne zálohy) databázy alebo konfiguračného ISO súboru však bude mať za následok neobnoviteľné zákaznícke údaje. Od prevádzkovateľov uzlov Hybrid Data Security sa očakáva, že budú pravidelne zálohovať databázu a konfiguračný súbor ISO a budú pripravení na prestavbu dátového centra Hybrid Data Security, ak dôjde ku katastrofálnej poruche.

8

Uistite sa, že konfigurácia brány firewall umožňuje pripojenie pre uzly Hybrid Data Security, ako je uvedené v časti Požiadavky na externé pripojenie.

9

Nainštalujte Docker ( https://www.docker.com) na ľubovoľný lokálny počítač s podporovaným operačným systémom (Microsoft Windows 10 Professional alebo Enterprise 64-bitový alebo Mac OSX Yosemite 10.10.3 alebo novší) pomocou webového prehliadača, ktorý k nemu má prístup na adrese http://127.0.0.1:8080.

Inštanciu Docker použijete na stiahnutie a spustenie nástroja HDS Setup Tool, ktorý vytvorí informácie o lokálnej konfigurácii pre všetky uzly Hybrid Data Security. Možno budete potrebovať licenciu Docker Desktop. Ďalšie informácie nájdete v časti Požiadavky na pracovnú plochu Docker .

Ak chcete nainštalovať a spustiť nástroj HDS Setup Tool, miestny počítač musí mať pripojenie uvedené v časti Požiadavky na externé pripojenie.

10

Ak integrujete server proxy so službou Hybrid Data Security, uistite sa, že spĺňa požiadavky na server proxy.

Nastavte klaster Hybrid Data Security

Tok úloh nasadenia zabezpečenia hybridných údajov

Skôr ako začnete

1

Vykonajte počiatočné nastavenie a stiahnite inštalačné súbory

Stiahnite si súbor OVA na váš lokálny počítač pre neskoršie použitie.

2

Vytvorte ISO konfigurácie pre hostiteľov HDS

Pomocou nástroja HDS Setup Tool vytvorte konfiguračný súbor ISO pre uzly Hybrid Data Security.

3

Nainštalujte HDS Host OVA

Vytvorte virtuálny počítač zo súboru OVA a vykonajte počiatočnú konfiguráciu, ako sú nastavenia siete.

Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 7.0. Táto možnosť nemusí byť dostupná v starších verziách.

4

Nastavte virtuálny počítač Hybrid Data Security

Prihláste sa do konzoly VM a nastavte prihlasovacie poverenia. Nakonfigurujte sieťové nastavenia pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.

5

Nahrajte a pripojte ISO konfiguráciu HDS

Nakonfigurujte VM z konfiguračného súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool.

6

Nakonfigurujte uzol HDS na integráciu proxy

Ak sieťové prostredie vyžaduje konfiguráciu servera proxy, zadajte typ servera proxy, ktorý použijete pre uzol, a v prípade potreby pridajte certifikát servera proxy do dôveryhodného úložiska.

7

Zaregistrujte prvý uzol v klastri

Zaregistrujte VM v cloude Cisco Webex ako uzol Hybrid Data Security.

8

Vytvorte a zaregistrujte viac uzlov

Dokončite nastavenie klastra.

9

Aktivujte si Multi-Tenant HDS na Partner Hub.

Aktivujte si HDS a spravujte organizácie nájomníkov na Partner Hub.

Vykonajte počiatočné nastavenie a stiahnite inštalačné súbory

V tejto úlohe stiahnete súbor OVA do svojho počítača (nie na servery, ktoré ste nastavili ako uzly Hybrid Data Security). Tento súbor použijete neskôr v procese inštalácie.

1

Prihláste sa do Partnerského centra a potom kliknite na položku Služby.

2

V časti Cloudové služby nájdite kartu Hybrid Data Security a kliknite na tlačidlo Nastaviť.

Pre proces nasadenia je rozhodujúce kliknutie na položku Nastaviť v partnerskom centre. Nepokračujte v inštalácii bez dokončenia tohto kroku.

3

Kliknite na položku Pridať zdroj a kliknite na položku Prevziať súbor .OVA na karte Inštalovať a konfigurovať softvér .

Staršie verzie softvérového balíka (OVA) nebudú kompatibilné s najnovšími aktualizáciami Hybrid Data Security. To môže viesť k problémom pri inovácii aplikácie. Uistite sa, že ste si stiahli najnovšiu verziu súboru OVA.

OVA si tiež môžete kedykoľvek stiahnuť zo sekcie Pomocník . Kliknite na položky Nastavenia > Pomocník > Prevziať softvér Hybrid Data Security.

Automaticky sa začne sťahovať súbor OVA. Uložte súbor na miesto v počítači.
4

Voliteľne kliknite na položku Zobraziť príručku nasadenia hybridného zabezpečenia údajov a skontrolujte, či je k dispozícii novšia verzia tejto príručky.

Vytvorte ISO konfigurácie pre hostiteľov HDS

Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.

Skôr ako začnete

1

Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

V bežných prostrediach:

docker rmi ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

2

Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:

docker login -u hdscustomersro
3

Pri výzve na zadanie hesla zadajte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stiahnite si najnovší stabilný obraz pre vaše prostredie:

V bežných prostrediach:

docker pull ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

  • V bežných prostrediach bez servera proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V prostrediach FedRAMP bez proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • V prostrediach FedRAMP s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • V prostrediach FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“.

6

Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 .

Pomocou webového prehliadača prejdite na localhost, http://127.0.0.1:8080, a po výzve zadajte používateľské meno správcu pre partnerské centrum.

Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie.

7

Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia správcu Partner Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre Hybrid Data Security.

8

Na stránke prehľadu nástroja Setup kliknite na položku Začíname.

9

Na stránke Import ISO máte tieto možnosti:

  • Nie – Ak vytvárate svoj prvý uzol HDS, nemáte súbor ISO na odovzdanie.
  • Áno – Ak ste už vytvorili uzly HDS, vyberte súbor ISO v prehľadávaní a odovzdajte ho.
10

Skontrolujte, či váš certifikát X.509 spĺňa požiadavky uvedené v časti Požiadavky na certifikát X.509.

  • Ak ste ešte nikdy neodovzdali certifikát, odovzdajte certifikát X.509, zadajte heslo a kliknite na tlačidlo Pokračovať.
  • Ak je váš certifikát v poriadku, kliknite na tlačidlo Pokračovať.
  • Ak platnosť vášho certifikátu vypršala alebo ho chcete nahradiť, vyberte možnosť Nie pre možnosť Pokračovať v používaní reťazca certifikátov HDS a súkromného kľúča z predchádzajúcej normy ISO?. Odovzdajte nový certifikát X.509, zadajte heslo a kliknite na tlačidlo Pokračovať.
11

Zadajte databázovú adresu a účet pre HDS, aby ste získali prístup k vášmu úložisku kľúčových údajov:

  1. Vyberte svoj Typ databázy (PostgreSQL alebo Microsoft SQL Server).

    Ak vyberiete možnosť Microsoft SQL Server, zobrazí sa pole Typ overenia.

  2. (Iba Microsoft SQL Server ) Vyberte svoj Typ overenia:

    • Základná autentifikácia: V poli Používateľské meno potrebujete názov lokálneho účtu SQL Server.

    • Overovanie systému Windows: Potrebujete účet Windows vo formáte username@DOMAIN v poli Používateľské meno .

  3. Zadajte adresu databázového servera v tvare : alebo :.

    Príklad:
    dbhost.example.org:1433 alebo 198.51.100.17:1433

    Môžete použiť IP adresu na základnú autentifikáciu, ak uzly nemôžu použiť DNS na rozlíšenie názvu hostiteľa.

    Ak používate overovanie systému Windows, musíte zadať úplný názov domény vo formáte dbhost.example.org:1433

  4. Zadajte Názov databázy.

  5. Zadajte Používateľské meno a Heslo používateľa so všetkými oprávneniami v databáze úložiska kľúčov.

12

Vyberte Režim pripojenia databázy TLS:

Režim

Opis

Preferovať TLS (predvolená možnosť)

HDS uzly nevyžadujú TLS na pripojenie k databázovému serveru. Ak povolíte TLS na databázovom serveri, uzly sa pokúsia o šifrované pripojenie.

Vyžadovať TLS

Uzly HDS sa pripájajú iba vtedy, ak databázový server dokáže dohodnúť TLS.

Vyžadovať TLS a overiť podpisovateľa certifikátu

Tento režim nie je použiteľný pre databázy SQL Server.

  • Uzly HDS sa pripájajú iba vtedy, ak databázový server dokáže dohodnúť TLS.

  • Po vytvorení pripojenia TLS uzol porovná podpisovateľa certifikátu z databázového servera s certifikačnou autoritou v koreňovom certifikáte databázy. Ak sa nezhodujú, uzol zruší spojenie.

Na odovzdanie koreňového certifikátu pre túto možnosť použite ovládací prvok Koreňový certifikát databázy pod rozbaľovacím zoznamom.

Vyžadovať TLS a overiť podpisovateľa certifikátu a názov hostiteľa

  • Uzly HDS sa pripájajú iba vtedy, ak databázový server dokáže dohodnúť TLS.

  • Po vytvorení pripojenia TLS uzol porovná podpisovateľa certifikátu z databázového servera s certifikačnou autoritou v koreňovom certifikáte databázy. Ak sa nezhodujú, uzol zruší spojenie.

  • Uzly tiež overia, či sa názov hostiteľa v certifikáte servera zhoduje s názvom hostiteľa v poli Hostiteľ databázy a port . Názvy sa musia presne zhodovať, inak uzol zruší spojenie.

Na odovzdanie koreňového certifikátu pre túto možnosť použite ovládací prvok Koreňový certifikát databázy pod rozbaľovacím zoznamom.

Keď odovzdáte koreňový certifikát (ak je to potrebné) a kliknete na tlačidlo Pokračovať, nástroj HDS Setup Tool otestuje pripojenie TLS k databázovému serveru. Nástroj tiež overuje podpisovateľa certifikátu a názov hostiteľa, ak je to potrebné. Ak test zlyhá, nástroj zobrazí chybové hlásenie s popisom problému. Môžete si vybrať, či chcete chybu ignorovať a pokračovať v nastavovaní. (Vzhľadom na rozdiely v konektivite môžu byť uzly HDS schopné vytvoriť pripojenie TLS, aj keď ho zariadenie HDS Setup Tool nedokáže úspešne otestovať.)

13

Na stránke Systémové denníky nakonfigurujte svoj server Syslogd:

  1. Zadajte adresu URL servera syslog.

    Ak server nie je schopný rozlíšiť DNS z uzlov pre váš klaster HDS, použite v adrese URL adresu IP.

    Príklad:
    udp://10.92.43.23:514 označuje prihlásenie do hostiteľa Syslogd 10.92.43.23 na porte UDP 514.
  2. Ak ste na svojom serveri nastavili používanie šifrovania TLS, začiarknite políčko Je váš server syslog nakonfigurovaný na šifrovanie SSL?.

    Ak začiarknete toto políčko, uistite sa, že ste zadali adresu URL TCP, napríklad tcp://10.92.43.23:514.

  3. V rozbaľovacej ponuke Vybrať ukončenie záznamu syslog vyberte vhodné nastavenie pre váš súbor ISO: Choose alebo Newline sa používa pre Graylog a Rsyslog TCP

    • Null byte -- \x00

    • Nový riadok -- \n – Túto možnosť vyberte pre Graylog a Rsyslog TCP.

  4. Kliknite na tlačidlo Pokračovať.

14

(Voliteľné) Predvolenú hodnotu niektorých parametrov pripojenia k databáze môžete zmeniť v časti Rozšírené nastavenia. Vo všeobecnosti je tento parameter jediný, ktorý možno budete chcieť zmeniť:

app_datasource_connection_pool_maxSize: 10
15

Kliknite na tlačidlo Pokračovať na obrazovke Obnoviť heslo servisných účtov .

Heslá k servisným účtom majú životnosť deväť mesiacov. Túto obrazovku použite, keď sa blíži koniec platnosti vašich hesiel alebo ich chcete resetovať, aby ste zrušili platnosť predchádzajúcich súborov ISO.

16

Kliknite na položku Prevziať súbor ISO. Uložte súbor na miesto, ktoré sa dá ľahko nájsť.

17

Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme.

Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii.

18

Ak chcete vypnúť nástroj Setup, zadajte CTRL+C.

Čo robiť ďalej

Zálohujte konfiguračný súbor ISO. Potrebujete ho na vytvorenie ďalších uzlov na obnovu alebo na vykonanie zmien v konfigurácii. Ak stratíte všetky kópie súboru ISO, stratili ste aj hlavný kľúč. Obnovenie kľúčov z databázy PostgreSQL alebo Microsoft SQL Server nie je možné.

Nikdy nemáme kópiu tohto kľúča a nemôžeme vám pomôcť, ak ho stratíte.

Nainštalujte HDS Host OVA

Tento postup použite na vytvorenie virtuálneho počítača zo súboru OVA.
1

Na prihlásenie do virtuálneho hostiteľa ESXi použite klienta VMware vSphere na vašom počítači.

2

Vyberte položku Súbor > Nasadiť šablónu OVF.

3

V sprievodcovi zadajte umiestnenie súboru OVA, ktorý ste prevzali predtým, a potom kliknite na tlačidlo Ďalej.

4

Na stránke Vyberte názov a priečinok zadajte Názov virtuálneho počítača pre uzol (napríklad „HDS_Node_1“), vyberte umiestnenie, kde sa môže nachádzať nasadenie uzla virtuálneho počítača, a potom kliknite na tlačidlo Ďalej.

5

Na stránke Vyberte výpočtový zdroj vyberte cieľový výpočtový zdroj a potom kliknite na tlačidlo Ďalej.

Prebehne overovacia kontrola. Po dokončení sa zobrazia podrobnosti šablóny.

6

Overte podrobnosti šablóny a potom kliknite na tlačidlo Ďalej.

7

Ak sa zobrazí výzva na výber konfigurácie prostriedkov na stránke Konfigurácia , kliknite na položku 4 CPU a potom kliknite na tlačidlo Ďalej.

8

Na stránke Vybrať úložisko kliknite na tlačidlo Ďalej , čím prijmete predvolený formát disku a pravidlá úložiska VM.

9

Na stránke Vybrať siete vyberte sieťovú možnosť zo zoznamu položiek, aby ste poskytli požadované pripojenie k virtuálnemu počítaču.

10

Na stránke Prispôsobiť šablónu nakonfigurujte nasledujúce nastavenia siete:

  • Názov hostiteľa – zadajte FQDN (názov hostiteľa a doménu) alebo jednoslovný názov hostiteľa pre uzol.
    • Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509.

    • Ak chcete zabezpečiť úspešnú registráciu do cloudu, použite iba malé písmená v FQDN alebo názve hostiteľa, ktorý ste nastavili pre uzol. Veľké písmená momentálne nie sú podporované.

    • Celková dĺžka FQDN nesmie presiahnuť 64 znakov.

  • Adresa IP – zadajte adresu IP interného rozhrania uzla.

    Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované.

  • Maska – zadajte adresu masky podsiete v desiatkovom formáte bodka. Napríklad 255.255.255.0.
  • Brána – zadajte adresu IP brány. Brána je sieťový uzol, ktorý slúži ako prístupový bod do inej siete.
  • Servery DNS – zadajte zoznam serverov DNS oddelených čiarkami, ktoré zabezpečujú preklad názvov domén na číselné adresy IP. (Povolené sú až 4 záznamy DNS.)
  • Servery NTP – zadajte server NTP vašej organizácie alebo iný externý server NTP, ktorý možno použiť vo vašej organizácii. Predvolené servery NTP nemusia fungovať pre všetky podniky. Na zadanie viacerých serverov NTP môžete použiť aj zoznam oddelený čiarkami.
  • Nasaďte všetky uzly v rovnakej podsieti alebo VLAN, aby boli všetky uzly v klastri dosiahnuteľné z klientov vo vašej sieti na administratívne účely.

Ak chcete, môžete preskočiť konfiguráciu nastavenia siete a podľa krokov v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov nakonfigurujte nastavenia z konzoly uzla.

Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 7.0. Táto možnosť nemusí byť dostupná v starších verziách.

11

Kliknite pravým tlačidlom myši na uzol VM a potom vyberte položky Napájanie > Zapnúť.

Softvér Hybrid Data Security je nainštalovaný ako hosť na hostiteľovi VM. Teraz ste pripravení prihlásiť sa do konzoly a nakonfigurovať uzol.

Tipy na riešenie problémov

Môžete zaznamenať oneskorenie niekoľkých minút, kým sa kontajnery uzlov objavia. Počas prvého spustenia, počas ktorého sa nemôžete prihlásiť, sa na konzole zobrazí správa brány firewall mosta.

Nastavte virtuálny počítač Hybrid Data Security

Tento postup použite na prvé prihlásenie do konzoly VM uzla Hybrid Data Security a nastavenie prihlasovacích poverení. Konzolu môžete použiť aj na konfiguráciu sieťových nastavení pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.

1

V klientovi VMware vSphere vyberte svoj uzol Hybrid Data Security VM a vyberte kartu Konzola .

VM sa spustí a zobrazí sa výzva na prihlásenie. Ak sa výzva na prihlásenie nezobrazí, stlačte kláves Enter.
2

Na prihlásenie a zmenu poverení použite nasledujúce predvolené prihlasovacie meno a heslo:

  1. Prihlásenie: admin

  2. heslo: cisco

Keďže sa do svojho VM prihlasujete prvýkrát, musíte zmeniť heslo správcu.

3

Ak ste už nakonfigurovali nastavenia siete v časti Inštalácia hostiteľa HDS OVA, preskočte zvyšok tohto postupu. V opačnom prípade vyberte v hlavnej ponuke možnosť Upraviť konfiguráciu .

4

Nastavte statickú konfiguráciu s IP adresou, maskou, bránou a informáciami DNS. Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované.

5

(Voliteľné) Zmeňte názov hostiteľa, doménu alebo server(y) NTP, ak je to potrebné, aby zodpovedali zásadám vašej siete.

Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509.

6

Uložte konfiguráciu siete a reštartujte VM, aby sa zmeny prejavili.

Nahrajte a pripojte ISO konfiguráciu HDS

Tento postup použite na konfiguráciu virtuálneho počítača zo súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool.

Skôr ako začnete

Pretože súbor ISO obsahuje hlavný kľúč, mal by byť zverejnený iba na základe „potreby vedieť“, aby k nemu mali prístup virtuálne počítače s hybridným zabezpečením údajov a všetci správcovia, ktorí môžu potrebovať vykonať zmeny. Uistite sa, že k úložisku údajov majú prístup iba títo správcovia.

1

Nahrajte súbor ISO z počítača:

  1. V ľavom navigačnom paneli klienta VMware vSphere kliknite na server ESXi.

  2. Na karte Konfigurácia v zozname Hardvér kliknite na položku Ukladací priestor.

  3. V zozname Úložisko údajov kliknite pravým tlačidlom myši na úložisko údajov pre vaše virtuálne počítače a kliknite na položku Prehliadať úložisko údajov.

  4. Kliknite na ikonu Odovzdať súbory a potom kliknite na položku Odovzdať súbor.

  5. Prejdite do umiestnenia, z ktorého ste prevzali súbor ISO do počítača, a kliknite na tlačidlo Otvoriť.

  6. Kliknutím na tlačidlo Áno prijmete upozornenie týkajúce sa operácie odovzdávania/sťahovania a zatvoríte dialógové okno úložiska údajov.

2

Pripojte súbor ISO:

  1. Na ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Upraviť nastavenia.

  2. Kliknutím na tlačidlo OK prijmete upozornenie na obmedzené možnosti úprav.

  3. Kliknite na tlačidlo CD/DVD Drive 1, vyberte možnosť pripojenia zo súboru ISO úložiska údajov a prejdite do umiestnenia, do ktorého ste nahrali konfiguračný súbor ISO.

  4. Začiarknite políčka Pripojené a Pripojiť pri zapnutí.

  5. Uložte zmeny a reštartujte virtuálny počítač.

Čo robiť ďalej

Ak to vyžaduje vaša politika IT, môžete voliteľne odpojiť súbor ISO po tom, čo všetky vaše uzly prevezmú zmeny konfigurácie. Podrobnosti nájdete v časti (Voliteľné) Odpojenie ISO po konfigurácii HDS .

Nakonfigurujte uzol HDS na integráciu proxy

Ak sieťové prostredie vyžaduje server proxy, použite tento postup na určenie typu servera proxy, ktorý chcete integrovať s Hybrid Data Security. Ak si vyberiete transparentný kontrolný proxy server alebo explicitný proxy server HTTPS, môžete použiť rozhranie uzla na nahranie a inštaláciu koreňového certifikátu. Môžete tiež skontrolovať pripojenie proxy z rozhrania a vyriešiť prípadné problémy.

Skôr ako začnete

1

Vo webovom prehliadači zadajte adresu URL nastavenia uzla HDS https://[HDS Node IP or FQDN]/setup , zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite na tlačidlo Prihlásiť sa.

2

Prejdite na stránku Trust Store & Proxy a potom vyberte jednu z možností:

  • Bez servera proxy – predvolená možnosť pred integráciou servera proxy. Nevyžaduje sa žiadna aktualizácia certifikátu.
  • Transparentný nekontrolujúci proxy server – uzly nie sú nakonfigurované na používanie konkrétnej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.
  • Transparentný kontrolný proxy server – uzly nie sú nakonfigurované na používanie konkrétnej adresy servera proxy. Pri nasadení Hybrid Data Security nie sú potrebné žiadne zmeny konfigurácie HTTPS, no uzly HDS potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).
  • Explicitný server proxy – pomocou explicitného servera proxy informujete klienta (uzly HDS), ktorý server proxy má použiť, pričom táto možnosť podporuje niekoľko typov overenia. Po výbere tejto možnosti musíte zadať nasledujúce informácie:
    1. Proxy IP/FQDN – adresa, ktorú možno použiť na spojenie so zariadením proxy.

    2. Port servera proxy – číslo portu, ktoré server proxy používa na počúvanie prevádzky cez server proxy.

    3. Protokol proxy – vyberte http (zobrazuje a riadi všetky požiadavky prijaté od klienta) alebo https (poskytuje kanál pre server a klient prijíma a overuje certifikát servera). Vyberte možnosť podľa toho, čo váš proxy server podporuje.

    4. Typ overenia totožnosti – vyberte si z nasledujúcich typov overenia totožnosti:

      • Žiadne – nevyžaduje sa žiadne ďalšie overenie.

        Dostupné pre servery proxy HTTP alebo HTTPS.

      • Základné – používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.

        Dostupné pre servery proxy HTTP alebo HTTPS.

        Ak zvolíte túto možnosť, musíte zadať aj meno používateľa a heslo.

      • Súhrn – používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.

        Dostupné iba pre servery proxy HTTPS.

        Ak zvolíte túto možnosť, musíte zadať aj meno používateľa a heslo.

Postupujte podľa nasledujúcich krokov pre transparentný kontrolný proxy server, explicitný proxy server HTTP so základným overením alebo explicitný server HTTPS.

3

Kliknite na položku Odovzdať koreňový certifikát alebo certifikát ukončenia entity a potom prejdite na výber koreňového certifikátu pre server proxy.

Certifikát je nahraný, ale ešte nie je nainštalovaný, pretože na inštaláciu certifikátu musíte reštartovať uzol. Ak chcete získať ďalšie podrobnosti, kliknite na šípku so šípkou vedľa názvu vydavateľa certifikátu. Ak ste urobili chybu a chcete súbor nahrať znova, kliknite na tlačidlo Odstrániť .

4

Kliknutím na položku Skontrolovať pripojenie proxy otestujete sieťové pripojenie medzi uzlom a serverom proxy.

Ak test pripojenia zlyhá, zobrazí sa chybové hlásenie, v ktorom je uvedený dôvod a ako môžete problém vyriešiť.

Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS. Tento stav sa očakáva v mnohých explicitných konfiguráciách proxy. Môžete pokračovať v nastavovaní a uzol bude fungovať v režime zablokovaného externého rozlíšenia DNS. Ak si myslíte, že ide o chybu, vykonajte tieto kroky a potom si pozrite časť Vypnutie režimu zablokovaného externého rozlíšenia DNS.

5

Po úspešnom teste pripojenia pre explicitný server proxy nastavený iba na https zapnite prepínač na možnosť Smerovať všetky požiadavky protokolu https z tohto uzla na port 443/444 cez explicitný server proxy. Toto nastavenie sa prejaví po 15 sekundách.

6

Kliknite na položku Inštalovať všetky certifikáty do dôveryhodného úložiska (zobrazí sa pri explicitnom serveri HTTPS alebo transparentnom kontrolnom serveri proxy) alebo Reštartovať (zobrazí sa pri explicitnom serveri proxy HTTP), prečítajte si výzvu a ak ste pripravení, kliknite na tlačidlo Inštalovať .

Uzol sa reštartuje v priebehu niekoľkých minút.

7

Keď sa uzol reštartuje, v prípade potreby sa znova prihláste a potom otvorte stránku Prehľad a skontrolujte kontroly pripojenia, aby ste sa uistili, že sú všetky v zelenom stave.

Kontrola pripojenia proxy testuje iba subdoménu webex.com. Ak sa vyskytnú problémy s pripojením, bežným problémom je, že niektoré z cloudových domén uvedených v pokynoch na inštaláciu sú na serveri proxy blokované.

Zaregistrujte prvý uzol v klastri

Táto úloha prevezme všeobecný uzol, ktorý ste vytvorili v časti Nastavenie virtuálneho počítača Hybrid Data Security, zaregistruje uzol v cloude Webex a zmení ho na uzol Hybrid Data Security.

Keď zaregistrujete svoj prvý uzol, vytvoríte klaster, ku ktorému je uzol priradený. Klaster obsahuje jeden alebo viac uzlov nasadených na zabezpečenie redundancie.

Skôr ako začnete

  • Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.

  • Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.

1

Prihláste sa do https://admin.webex.com.

2

V ponuke na ľavej strane obrazovky vyberte položku Služby.

3

V časti Cloudové služby nájdite kartu Hybrid Data Security a kliknite na tlačidlo Nastaviť.

4

Na stránke, ktorá sa otvorí, kliknite na položku Pridať zdroj.

5

Do prvého poľa karty Pridať uzol zadajte názov klastra, ktorému chcete priradiť uzol Hybrid Data Security.

Odporúčame pomenovať klaster podľa toho, kde sa geograficky nachádzajú uzly klastra. Príklady: „San Francisco“ alebo „New York“ alebo „Dallas“

6

Do druhého poľa zadajte internú adresu IP alebo úplný názov domény (FQDN) svojho uzla a kliknite na tlačidlo Pridať v dolnej časti obrazovky.

Táto adresa IP alebo FQDN by sa mala zhodovať s adresou IP alebo názvom hostiteľa a doménou, ktoré ste použili v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov.

Zobrazí sa správa, že môžete zaregistrovať svoj uzol do Webexu.
7

Kliknite na položku Prejsť do uzla.

Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že svojej organizácii Webex chcete udeliť povolenia na prístup k vášmu uzlu.

8

Začiarknite políčko Povoliť prístup k vášmu uzlu zabezpečenia hybridných údajov a potom kliknite na tlačidlo Pokračovať.

Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
9

Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Partner Hub Hybrid Data Security.

Na stránke Hybrid Data Security sa nový klaster obsahujúci uzol, ktorý ste zaregistrovali, zobrazí na karte Prostriedky . Uzol si automaticky stiahne najnovší softvér z cloudu.

Vytvorte a zaregistrujte viac uzlov

Ak chcete do svojho klastra pridať ďalšie uzly, jednoducho vytvoríte ďalšie virtuálne počítače a pripojíte rovnaký konfiguračný súbor ISO a potom uzol zaregistrujete. Odporúčame, aby ste mali aspoň 3 uzly.

Skôr ako začnete

  • Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.

  • Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.

1

Vytvorte nový virtuálny počítač z OVA zopakovaním krokov v časti Inštalácia hostiteľského OVA HDS.

2

Nastavte úvodnú konfiguráciu na novom virtuálnom počítači zopakovaním krokov v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov.

3

Na novom virtuálnom počítači zopakujte kroky v časti Odovzdanie a pripojenie ISO konfigurácie HDS.

4

Ak nastavujete server proxy pre svoje nasadenie, zopakujte kroky v časti Konfigurácia uzla HDS na integráciu servera proxy podľa potreby pre nový uzol.

5

Zaregistrujte uzol.

  1. V https://admin.webex.com vyberte z ponuky na ľavej strane obrazovky položku Služby .

  2. V časti Cloudové služby nájdite kartu Hybrid Data Security a kliknite na položku Zobraziť všetko.

    Zobrazí sa stránka Hybrid Data Security Resources.
  3. Novovytvorený klaster sa zobrazí na stránke Zdroje .

  4. Kliknutím na klaster zobrazíte uzly priradené ku klastru.

  5. Kliknite na položku Pridať uzol na pravej strane obrazovky.

  6. Zadajte internú adresu IP alebo úplný názov domény (FQDN) svojho uzla a kliknite na tlačidlo Pridať.

    Otvorí sa stránka so správou, že môžete zaregistrovať svoj uzol do cloudu Webex. Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že chcete svojej organizácii udeliť povolenia na prístup k vášmu uzlu.
  7. Začiarknite políčko Povoliť prístup k vášmu uzlu zabezpečenia hybridných údajov a potom kliknite na tlačidlo Pokračovať.

    Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
  8. Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Partner Hub Hybrid Data Security.

    Vyskakovacia správa Uzol bol pridaný sa tiež zobrazuje v spodnej časti obrazovky v Partnerskom centre.

    Váš uzol je zaregistrovaný.

Spravujte organizácie nájomníkov na hybridnom zabezpečení dát pre viacerých nájomníkov

Aktivujte si Multi-Tenant HDS na Partner Hub

Táto úloha zaisťuje, že všetci používatelia zákazníckych organizácií môžu začať využívať HDS pre lokálne šifrovacie kľúče a ďalšie bezpečnostné služby.

Skôr ako začnete

Uistite sa, že ste dokončili nastavenie klastra Multi-Tenant HDS s požadovaným počtom uzlov.

1

Prihláste sa do https://admin.webex.com.

2

V ponuke na ľavej strane obrazovky vyberte položku Služby.

3

V časti Cloudové služby vyhľadajte Hybrid Data Security a kliknite na položku Upraviť nastavenia.

4

Kliknite na položku Aktivovať HDS na karte Stav HDS .

Pridajte organizácie nájomníkov v partnerskom centre

V tejto úlohe priradíte zákaznícke organizácie k vášmu Hybrid Data Security Cluster.

1

Prihláste sa do https://admin.webex.com.

2

V ponuke na ľavej strane obrazovky vyberte položku Služby.

3

V sekcii Cloudové služby nájdite Hybrid Data Security a kliknite na položku Zobraziť všetko.

4

Kliknite na klaster, ku ktorému chcete priradiť zákazníka.

5

Prejdite na kartu Priradení zákazníci .

6

Kliknite na položku Pridať zákazníkov.

7

Z rozbaľovacej ponuky vyberte zákazníka, ktorého chcete pridať.

8

Kliknite na tlačidlo Pridať, zákazník bude pridaný do klastra.

9

Ak chcete do svojho klastra pridať viacerých zákazníkov, zopakujte kroky 6 až 8.

10

Po pridaní zákazníkov kliknite na tlačidlo Hotovo v dolnej časti obrazovky.

Čo robiť ďalej

Spustite nástroj HDS Setup, ako je podrobne uvedené v časti Vytvorenie zákazníckych hlavných kľúčov (CMK) pomocou nástroja HDS Setup a dokončite proces nastavenia.

Vytvorte hlavné kľúče zákazníka (CMK) pomocou nástroja HDS Setup

Skôr ako začnete

Priraďte zákazníkov do príslušného klastra, ako je podrobne uvedené v časti Pridanie organizácií nájomníkov do centra partnerov. Spustite nástroj HDS Setup a dokončite proces nastavenia pre novo pridané zákaznícke organizácie.

  • Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými administrátorskými právami pre vašu organizáciu.

    Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker v kroku 5 zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:

    Opis

    Variabilné

    HTTP Proxy bez autentifikácie

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentifikácie

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP Proxy s autentifikáciou

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS Proxy s autentifikáciou

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:

    • Databázové poverenia

    • Aktualizácie certifikátov

    • Zmeny v politike autorizácie

  • Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.

Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.

1

Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

V bežných prostrediach:

docker rmi ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

2

Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:

docker login -u hdscustomersro
3

Pri výzve na zadanie hesla zadajte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stiahnite si najnovší stabilný obraz pre vaše prostredie:

V bežných prostrediach:

docker pull ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

  • V bežných prostrediach bez servera proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V prostrediach FedRAMP bez proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • V prostrediach FedRAMP s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • V prostrediach FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“.

6

Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 .

Pomocou webového prehliadača prejdite na localhost, http://127.0.0.1:8080, a po výzve zadajte používateľské meno správcu pre partnerské centrum.

Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie.

7

Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia správcu Partner Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre Hybrid Data Security.

8

Na stránke prehľadu nástroja Setup kliknite na položku Začíname.

9

Na stránke Import ISO kliknite na tlačidlo Áno.

10

Vyberte súbor ISO v prehliadači a nahrajte ho.

Ak chcete vykonávať správu CMK, zaistite pripojenie k databáze.
11

Prejdite na kartu Správa CMK nájomcov , kde nájdete nasledujúce tri spôsoby správy CMK nájomcov.

  • Vytvoriť CMK pre všetky ORG alebo Vytvoriť CMK – Kliknutím na toto tlačidlo na banneri v hornej časti obrazovky vytvoríte CMK pre všetky novo pridané organizácie.
  • Kliknite na tlačidlo Spravovať CMK na pravej strane obrazovky a kliknite na Vytvoriť CMK , aby ste vytvorili CMK pre všetky novo pridané organizácie.
  • Kliknite na … vedľa stavu čakania na správu CMK konkrétnej organizácie v tabuľke a kliknutím na položku Vytvoriť CMK vytvorte CMK pre túto organizáciu.
12

Po úspešnom vytvorení CMK sa stav v tabuľke zmení z Čaká sa na správu CMK na Spravuje CMK.

13

Ak je vytvorenie CMK neúspešné, zobrazí sa chyba.

Odstráňte organizácie nájomníkov

Skôr ako začnete

Po odstránení nebudú používatelia zákazníckych organizácií môcť využívať HDS pre svoje potreby šifrovania a stratia všetky existujúce miesta. Pred odstránením zákazníckych organizácií kontaktujte svojho partnera Cisco alebo správcu účtu.

1

Prihláste sa do https://admin.webex.com.

2

V ponuke na ľavej strane obrazovky vyberte položku Služby.

3

V sekcii Cloudové služby nájdite Hybrid Data Security a kliknite na položku Zobraziť všetko.

4

Na karte Zdroje kliknite na klaster, z ktorého chcete odstrániť organizácie zákazníkov.

5

Na stránke, ktorá sa otvorí, kliknite na položku Priradení zákazníci.

6

V zobrazenom zozname organizácií zákazníkov kliknite na položku ... na pravej strane organizácie zákazníka, ktorú chcete odstrániť, a kliknite na položku Odstrániť z klastra.

Čo robiť ďalej

Dokončite proces odstránenia zrušením CMK zákazníckych organizácií, ako je podrobne uvedené v časti Odvolanie CMK nájomníkov odstránených z HDS.

Zrušiť CMK nájomníkov odstránených z HDS.

Skôr ako začnete

Odstráňte zákazníkov z príslušného klastra, ako je podrobne uvedené v časti Odstránenie organizácií nájomníkov. Spustite nástroj HDS Setup a dokončite proces odstránenia pre zákaznícke organizácie, ktoré boli odstránené.

  • Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými administrátorskými právami pre vašu organizáciu.

    Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker v kroku 5 zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:

    Opis

    Variabilné

    HTTP Proxy bez autentifikácie

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentifikácie

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP Proxy s autentifikáciou

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS Proxy s autentifikáciou

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:

    • Databázové poverenia

    • Aktualizácie certifikátov

    • Zmeny v politike autorizácie

  • Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.

Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.

1

Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

V bežných prostrediach:

docker rmi ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

2

Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:

docker login -u hdscustomersro
3

Pri výzve na zadanie hesla zadajte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stiahnite si najnovší stabilný obraz pre vaše prostredie:

V bežných prostrediach:

docker pull ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

  • V bežných prostrediach bez servera proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V prostrediach FedRAMP bez proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • V prostrediach FedRAMP s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • V prostrediach FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“.

6

Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 .

Pomocou webového prehliadača prejdite na localhost, http://127.0.0.1:8080, a po výzve zadajte používateľské meno správcu pre partnerské centrum.

Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie.

7

Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia správcu Partner Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre Hybrid Data Security.

8

Na stránke prehľadu nástroja Setup kliknite na položku Začíname.

9

Na stránke Import ISO kliknite na tlačidlo Áno.

10

Vyberte súbor ISO v prehliadači a nahrajte ho.

11

Prejdite na kartu Správa CMK nájomcov , kde nájdete nasledujúce tri spôsoby správy CMK nájomcov.

  • Odvolať CMK pre všetky ORG alebo Odvolať CMK – Kliknutím na toto tlačidlo na banneri v hornej časti obrazovky zrušíte CMK všetkých organizácií, ktoré boli odstránené.
  • Kliknite na tlačidlo Spravovať CMK na pravej strane obrazovky a kliknutím na Odvolať CMK odvolajte CMK všetkých organizácií, ktoré boli odstránené.
  • Kliknite na položku vedľa stavu CMK na odvolanie konkrétnej organizácie v tabuľke a kliknutím na položku Odvolať CMK odvoláte CMK pre túto konkrétnu organizáciu.
12

Po úspešnom odvolaní CMK sa zákaznícka organizácia už nebude zobrazovať v tabuľke.

13

Ak je zrušenie CMK neúspešné, zobrazí sa chyba.

Otestujte svoje nasadenie Hybrid Data Security

Otestujte svoje nasadenie hybridného zabezpečenia dát

Tento postup použite na testovanie scenárov šifrovania Hybrid Data Security pre viacerých nájomníkov.

Skôr ako začnete

  • Nastavte svoje nasadenie Hybridného zabezpečenia dát pre viacerých nájomníkov.

  • Uistite sa, že máte prístup k syslog, aby ste si overili, že kľúčové požiadavky prechádzajú do vášho nasadenia Multi-Tenant Hybrid Data Security.

1

Kľúče pre daný priestor nastavuje tvorca priestoru. Prihláste sa do aplikácie Webex ako jeden z používateľov zákazníckej organizácie a potom vytvorte priestor.

Ak deaktivujete nasadenie Hybrid Data Security, obsah v priestoroch, ktoré vytvoria používatelia, už nebude prístupný po výmene kópií šifrovacích kľúčov uložených vo vyrovnávacej pamäti klienta.

2

Posielajte správy do nového priestoru.

3

Skontrolujte výstup syslog, aby ste si overili, že požiadavky na kľúče prechádzajú do vášho nasadenia Hybrid Data Security.

  1. Ak chcete skontrolovať, či používateľ najprv vytvoril zabezpečený kanál pre KMS, filtrujte na kms.data.method=create a kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Mali by ste nájsť záznam, ako je tento (identifikátory skrátené kvôli čitateľnosti):
    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
  2. Ak chcete skontrolovať používateľa, ktorý požaduje existujúci kľúč z KMS, filtrujte kms.data.method=retrieve a kms.data.type=KEY:

    Mali by ste nájsť záznam ako:
    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
  3. Ak chcete skontrolovať používateľa požadujúceho vytvorenie nového kľúča KMS, filtrujte kms.data.method=create a kms.data.type=KEY_COLLECTION:

    Mali by ste nájsť záznam ako:
    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
  4. Ak chcete pri vytváraní priestoru alebo iného chráneného zdroja skontrolovať používateľa požadujúceho vytvorenie nového objektu KMS (KRO), filtrujte na kms.data.method=create a kms.data.type=RESOURCE_COLLECTION:

    Mali by ste nájsť záznam ako:
    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitorujte zdravie Hybrid Data Security Health

Indikátor stavu v Partner Hub vám ukáže, či je s nasadením Multi-Tenant Hybrid Data Security všetko v poriadku. Ak chcete dostávať proaktívnejšie upozornenia, prihláste sa na odber e-mailových upozornení. Budete upozornení, keď sa vyskytnú alarmy alebo aktualizácie softvéru ovplyvňujúce službu.
1

V Centre pre partnerov vyberte z ponuky na ľavej strane obrazovky položku Služby .

2

V časti Cloudové služby vyhľadajte Hybrid Data Security a kliknite na položku Upraviť nastavenia.

Zobrazí sa stránka Hybrid Data Security Settings.
3

V časti E-mailové upozornenia zadajte jednu alebo viac e-mailových adries oddelených čiarkami a stlačte kláves Enter.

Spravujte svoje nasadenie HDS

Spravujte nasadenie HDS

Pomocou tu popísaných úloh spravujte svoje nasadenie Hybrid Data Security.

Nastavte plán aktualizácie klastra

Aktualizácie softvéru pre Hybrid Data Security sa vykonávajú automaticky na úrovni klastra, čo zaisťuje, že všetky uzly vždy bežia s rovnakou verziou softvéru. Inovácie sa vykonávajú podľa plánu aktualizácie pre klaster. Keď bude k dispozícii aktualizácia softvéru, máte možnosť manuálne aktualizovať klaster pred plánovaným časom aktualizácie. Môžete nastaviť konkrétny plán inovácie alebo použiť predvolený plán na 3:00 denne v USA: Amerika/Los Angeles. V prípade potreby môžete tiež odložiť nadchádzajúcu inováciu.

Ak chcete nastaviť plán aktualizácie:

1

Prihláste sa do Partnerského centra.

2

V ponuke na ľavej strane obrazovky vyberte položku Služby.

3

V časti Cloudové služby vyhľadajte Hybrid Data Security a kliknite na tlačidlo Nastaviť

4

Na stránke Hybrid Data Security Resources vyberte klaster.

5

Kliknite na kartu Nastavenia klastra .

6

Na stránke Nastavenia klastra v časti Plán aktualizácie vyberte čas a časové pásmo pre plán inovácie.

Poznámka: Pod časovým pásmom sa zobrazí dátum a čas ďalšej dostupnej aktualizácie. V prípade potreby môžete inováciu odložiť na nasledujúci deň kliknutím na položku Odložiť o 24 hodín.

Zmeňte konfiguráciu uzla

Príležitostne možno budete musieť zmeniť konfiguráciu uzla Hybrid Data Security z nasledujúcich dôvodov:
  • Zmena x.509 certifikátov z dôvodu uplynutia platnosti alebo iných dôvodov.

    Nepodporujeme zmenu názvu domény CN certifikátu. Doména sa musí zhodovať s pôvodnou doménou použitou na registráciu klastra.

  • Aktualizácia nastavení databázy pre zmenu na repliku databázy PostgreSQL alebo Microsoft SQL Server.

    Nepodporujeme migráciu údajov z PostgreSQL na Microsoft SQL Server ani opačným spôsobom. Ak chcete zmeniť prostredie databázy, spustite nové nasadenie Hybrid Data Security.

  • Vytvorenie novej konfigurácie na prípravu nového dátového centra.

Z bezpečnostných dôvodov používa Hybrid Data Security heslá servisných účtov, ktoré majú životnosť deväť mesiacov. Keď nástroj HDS Setup vygeneruje tieto heslá, nasadíte ich do každého z vašich uzlov HDS v konfiguračnom súbore ISO. Keď sa blíži koniec platnosti hesiel vašej organizácie, dostanete od tímu Webex upozornenie na resetovanie hesla pre váš počítačový účet. (E-mail obsahuje text „Na aktualizáciu hesla použite rozhranie API strojového účtu.“) Ak platnosť vašich hesiel ešte nevypršala, nástroj vám ponúka dve možnosti:

  • Mäkké obnovenie – staré aj nové heslo fungujú až 10 dní. Toto obdobie použite na postupnú výmenu súboru ISO na uzloch.

  • Tvrdý reset – staré heslá okamžite prestanú fungovať.

Ak platnosť vašich hesiel vyprší bez resetovania, ovplyvní to vašu službu HDS, čo si vyžaduje okamžitý tvrdý reset a nahradenie súboru ISO na všetkých uzloch.

Tento postup použite na vygenerovanie nového konfiguračného súboru ISO a jeho použitie vo vašom klastri.

Skôr ako začnete

  • Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými právami správcu partnera.

    Ak nemáte licenciu Docker Desktop, môžete použiť Podman Desktop na spustenie nástroja HDS Setup pre kroky 1.a až 1.e v postupe nižšie. Podrobnosti nájdete v časti Spustenie nástroja HDS Setup pomocou aplikácie Podman Desktop .

    Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri vytváraní kontajnera Docker v 1.e zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:

    Opis

    Variabilné

    HTTP Proxy bez autentifikácie

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentifikácie

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP Proxy s autentifikáciou

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS Proxy s autentifikáciou

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Na vygenerovanie novej konfigurácie potrebujete kópiu aktuálneho konfiguračného súboru ISO. ISO obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. ISO potrebujete, keď robíte zmeny v konfigurácii vrátane poverení databázy, aktualizácií certifikátov alebo zmien v politike autorizácie.

1

Pomocou Docker na lokálnom počítači spustite nástroj HDS Setup Tool.

  1. Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

    V bežných prostrediach:

    docker rmi ciscocitg/hds-setup:stable

    V prostrediach FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

  2. Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:

    docker login -u hdscustomersro
  3. Pri výzve na zadanie hesla zadajte tento hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
  4. Stiahnite si najnovší stabilný obraz pre vaše prostredie:

    V bežných prostrediach:

    docker pull ciscocitg/hds-setup:stable

    V prostrediach FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Uistite sa, že ste na tento postup použili najnovší nástroj Setup. Verzie nástroja vytvorené pred 22. februárom 2018 neobsahujú obrazovky na obnovenie hesla.

  5. Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

    • V bežných prostrediach bez servera proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
    • V bežných prostrediach s HTTP proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • V bežných prostrediach s HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • V prostrediach FedRAMP bez proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
    • V prostrediach FedRAMP s HTTP proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
    • V prostrediach FedRAMP s HTTPS proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“.

  6. Použite prehliadač na pripojenie k localhost, http://127.0.0.1:8080.

    Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 .

  7. Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia zákazníka Centra partnerov a potom pokračujte kliknutím na tlačidlo Prijať .

  8. Importujte aktuálny konfiguračný súbor ISO.

  9. Postupujte podľa pokynov na dokončenie nástroja a stiahnite si aktualizovaný súbor.

    Ak chcete vypnúť nástroj Setup, zadajte CTRL+C.

  10. Vytvorte záložnú kópiu aktualizovaného súboru v inom údajovom centre.

2

Ak máte spustený iba jeden uzol HDS, vytvorte nový virtuálny počítač s uzlom Hybrid Data Security a zaregistrujte ho pomocou nového konfiguračného súboru ISO. Podrobnejšie pokyny nájdete v časti Vytvorenie a registrácia ďalších uzlov.

  1. Nainštalujte hostiteľský OVA HDS.

  2. Nastavte HDS VM.

  3. Pripojte aktualizovaný konfiguračný súbor.

  4. Zaregistrujte nový uzol v partnerskom centre.

3

Pre existujúce uzly HDS, na ktorých je spustený starší konfiguračný súbor, pripojte súbor ISO. Postupne vykonajte nasledujúci postup na každom uzle, pričom aktualizujte každý uzol pred vypnutím ďalšieho uzla:

  1. Vypnite virtuálny stroj.

  2. Na ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Upraviť nastavenia.

  3. Kliknite na tlačidlo CD/DVD Drive 1, vyberte možnosť pripojenia zo súboru ISO a prejdite do umiestnenia, kam ste stiahli nový konfiguračný súbor ISO.

  4. Začiarknite políčko Pripojiť pri zapnutí.

  5. Uložte zmeny a zapnite virtuálny počítač.

4

Opakujte krok 3, aby ste nahradili konfiguráciu na každom zostávajúcom uzle, na ktorom je spustená stará konfigurácia.

Vypnite režim zablokovaného externého rozlíšenia DNS

Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. Ak server DNS uzla nedokáže rozlíšiť verejné názvy DNS, uzol automaticky prejde do režimu zablokovaného externého rozlíšenia DNS.

Ak vaše uzly dokážu rozlíšiť verejné názvy DNS prostredníctvom interných serverov DNS, môžete tento režim vypnúť opätovným spustením testu pripojenia proxy na každom uzle.

Skôr ako začnete

Uistite sa, že vaše interné servery DNS dokážu rozlíšiť verejné názvy DNS a že vaše uzly s nimi môžu komunikovať.
1

Vo webovom prehliadači otvorte rozhranie uzla Hybrid Data Security (napríklad adresa IP alebo nastavenie, https://192.0.2.0/setup), zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite na tlačidlo Prihlásiť sa).

2

Prejdite na Prehľad (predvolená stránka).

Keď je táto možnosť povolená, možnosť Blokované externé rozlíšenie DNS je nastavená na možnosť Áno.

3

Prejdite na stránku Trust Store & Proxy .

4

Kliknite na položku Skontrolovať pripojenie proxy.

Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS a zostane v tomto režime. V opačnom prípade po reštartovaní uzla a návrate na stránku Prehľad by mala byť možnosť Blokované externé rozlíšenie DNS nastavené na možnosť Nie.

Čo robiť ďalej

Zopakujte test pripojenia proxy na každom uzle v klastri Hybrid Data Security.

Odstráňte uzol

Tento postup použite na odstránenie uzla Hybrid Data Security z cloudu Webex. Po odstránení uzla z klastra odstráňte virtuálny počítač, aby ste zabránili ďalšiemu prístupu k vašim bezpečnostným údajom.
1

Pomocou klienta VMware vSphere vo svojom počítači sa prihláste do virtuálneho hostiteľa ESXi a vypnite virtuálny počítač.

2

Odstráňte uzol:

  1. Prihláste sa do Partnerského centra a potom vyberte položku Služby.

  2. Na karte Hybrid Data Security kliknite na položku Zobraziť všetko , čím zobrazíte stránku Hybrid Data Security Resources.

  3. Vyberte svoj klaster, aby sa zobrazil jeho panel Prehľad.

  4. Kliknite na uzol, ktorý chcete odstrániť.

  5. Kliknite na položku Zrušiť registráciu tohto uzla na paneli, ktorý sa zobrazí vpravo

  6. Registráciu uzla môžete zrušiť aj kliknutím na … na pravej strane uzla a výberom možnosti Odstrániť tento uzol.

3

V klientovi vSphere odstráňte VM. (Na ľavom navigačnom paneli kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Odstrániť.)

Ak nevymažete VM, nezabudnite odpojiť konfiguračný súbor ISO. Bez súboru ISO nemôžete použiť VM na prístup k bezpečnostným údajom.

Obnova po havárii pomocou pohotovostného dátového centra

Najdôležitejšou službou, ktorú váš klaster Hybrid Data Security poskytuje, je vytváranie a ukladanie kľúčov používaných na šifrovanie správ a iného obsahu uloženého v cloude Webex. Pre každého používateľa v rámci organizácie, ktorý je priradený k Hybrid Data Security, sú do klastra smerované nové požiadavky na vytvorenie kľúča. Klaster je tiež zodpovedný za vrátenie kľúčov, ktoré vytvoril, všetkým používateľom oprávneným na ich získanie, napríklad členom konverzačného priestoru.

Pretože klaster vykonáva kritickú funkciu poskytovania týchto kľúčov, je nevyhnutné, aby klaster zostal spustený a aby sa udržiavali správne zálohy. Strata databázy Hybrid Data Security alebo konfigurácie ISO použitej pre schému bude mať za následok NENÁVRATNÚ STRATU zákazníckeho obsahu. Aby sa predišlo takejto strate, sú povinné nasledujúce postupy:

Ak havária spôsobí, že nasadenie HDS v primárnom dátovom centre sa stane nedostupným, podľa tohto postupu manuálne prepnite na pohotovostné dátové centrum.

Skôr ako začnete

Zrušte registráciu všetkých uzlov z centra partnerov, ako je uvedené v časti Odstránenie uzla. Na vykonanie procedúry prepnutia pri zlyhaní uvedenej nižšie použite najnovší súbor ISO, ktorý bol nakonfigurovaný voči uzlom klastra, ktorý bol predtým aktívny.
1

Spustite nástroj na nastavenie HDS a postupujte podľa krokov uvedených v časti Vytvorenie konfiguračného ISO pre hostiteľov HDS.

2

Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť.

3

Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii.

4

Na ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Upraviť nastavenia.

5

Kliknite na položku Upraviť nastavenia >Jednotka CD/DVD 1 a vyberte položku Datastore ISO File.

Uistite sa, že sú začiarknuté položky Pripojené a Pripojiť pri zapnutí , aby sa aktualizované zmeny konfigurácie prejavili po spustení uzlov.

6

Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy.

7

Zaregistrujte uzol v partnerskom centre. Pozrite si časť Registrácia prvého uzla v klastri.

8

Opakujte proces pre každý uzol v pohotovostnom dátovom centre.

Čo robiť ďalej

Ak sa po prepnutí pri zlyhaní opäť aktivuje primárne dátové centrum, zrušte registráciu uzlov pohotovostného dátového centra a zopakujte proces konfigurácie ISO a registrácie uzlov primárneho dátového centra, ako je uvedené vyššie.

(Voliteľné) Odpojte ISO po konfigurácii HDS

Štandardná konfigurácia HDS beží s namontovaným ISO. Niektorí zákazníci však uprednostňujú neponechať súbory ISO nepretržite pripojené. Súbor ISO môžete odpojiť potom, čo všetky uzly HDS prevezmú novú konfiguráciu.

Na vykonanie zmien v konfigurácii stále používate súbory ISO. Keď vytvoríte nový ISO alebo aktualizujete ISO pomocou nástroja Setup Tool, musíte aktualizovaný ISO pripojiť na všetky vaše uzly HDS. Keď všetky vaše uzly zachytia zmeny konfigurácie, môžete ISO znova odpojiť pomocou tohto postupu.

Skôr ako začnete

Inovujte všetky svoje uzly HDS na verziu 2021.01.22.4720 alebo novšiu.

1

Vypnite jeden z uzlov HDS.

2

V serverovom zariadení vCenter vyberte uzol HDS.

3

Vyberte položku Upraviť nastavenia > Jednotka CD/DVD a zrušte začiarknutie políčka Súbor ISO úložiska údajov.

4

Zapnite uzol HDS a uistite sa, že aspoň 20 minút nie sú žiadne alarmy.

5

Postup opakujte pre každý uzol HDS.

Riešenie problémov so zabezpečením hybridných údajov

Zobraziť upozornenia a riešenie problémov

Nasadenie Hybrid Data Security sa považuje za nedostupné, ak sú všetky uzly v klastri nedostupné alebo klaster pracuje tak pomaly, že si vyžaduje časový limit. Ak používatelia nemôžu dosiahnuť váš klaster Hybrid Data Security, zaznamenajú nasledujúce príznaky:

  • Nie je možné vytvoriť nové medzery (nemožno vytvoriť nové kľúče)

  • Správy a názvy priestorov sa nepodarilo dešifrovať pre:

    • Noví používatelia pridaní do priestoru (nemožno načítať kľúče)

    • Existujúci používatelia v priestore používajúci nového klienta (nemožno načítať kľúče)

  • Existujúci používatelia v priestore budú naďalej úspešne fungovať, pokiaľ ich klienti majú vyrovnávaciu pamäť šifrovacích kľúčov

Je dôležité, aby ste správne monitorovali svoj klaster Hybrid Data Security a okamžite riešili všetky výstrahy, aby ste predišli prerušeniu služby.

Upozornenia

Ak sa vyskytne problém s nastavením Hybrid Data Security, partnerské centrum zobrazí upozornenia správcovi organizácie a odošle e-maily na nakonfigurovanú e-mailovú adresu. Výstrahy pokrývajú mnoho bežných scenárov.

Tabuľka č. 1 Bežné problémy a kroky na ich vyriešenie

Upozornenie

Akcia

Zlyhanie prístupu k lokálnej databáze.

Skontrolujte chyby databázy alebo problémy s lokálnou sieťou.

Zlyhanie pripojenia k lokálnej databáze.

Skontrolujte, či je databázový server dostupný a či boli v konfigurácii uzla použité správne poverenia servisného účtu.

Zlyhanie prístupu k cloudovej službe.

Skontrolujte, či majú uzly prístup k serverom Webex, ako je uvedené v časti Požiadavky na externé pripojenie.

Obnovuje sa registrácia cloudovej služby.

Registrácia do cloudových služieb bola zrušená. Prebieha obnova registrácie.

Registrácia cloudovej služby bola zrušená.

Registrácia do cloudových služieb bola ukončená. Služba sa vypína.

Služba ešte nie je aktivovaná.

Aktivujte HDS v Partner Hub.

Nakonfigurovaná doména sa nezhoduje s certifikátom servera.

Uistite sa, že váš certifikát servera sa zhoduje s nakonfigurovanou doménou aktivácie služby.

Najpravdepodobnejšou príčinou je, že certifikát CN bol nedávno zmenený a teraz sa líši od CN, ktorý bol použitý počas počiatočného nastavenia.

Nepodarilo sa overiť v cloudových službách.

Skontrolujte presnosť a možné vypršanie platnosti poverení servisného účtu.

Nepodarilo sa otvoriť súbor lokálneho úložiska kľúčov.

Skontrolujte integritu a presnosť hesla v lokálnom súbore skladu kľúčov.

Certifikát lokálneho servera je neplatný.

Skontrolujte dátum vypršania platnosti certifikátu servera a potvrďte, že bol vydaný dôveryhodnou certifikačnou autoritou.

Nie je možné uverejniť metriky.

Skontrolujte prístup k lokálnej sieti k externým cloudovým službám.

Adresár /media/configdrive/hds neexistuje.

Skontrolujte konfiguráciu pripojenia ISO na virtuálnom hostiteľovi. Overte, či súbor ISO existuje, či je nakonfigurovaný na pripojenie pri reštarte a či sa úspešne pripojí.

Nastavenie nájomnej organizácie pre pridané organizácie nie je dokončené

Dokončite nastavenie vytvorením CMK pre novo pridané organizácie nájomníkov pomocou nástroja HDS Setup Tool.

Nastavenie nájomnej organizácie pre odstránené organizácie nie je dokončené

Dokončite nastavenie zrušením CMK organizácií nájomníkov, ktoré boli odstránené pomocou nástroja HDS Setup Tool.

Riešenie problémov so zabezpečením hybridných údajov

Pri riešení problémov s Hybrid Data Security použite nasledujúce všeobecné pokyny.
1

Skontrolujte partnerské centrum pre všetky upozornenia a opravte všetky položky, ktoré tam nájdete. Pozrite si obrázok nižšie ako referenciu.

2

Skontrolujte výstup servera syslog pre aktivitu z nasadenia Hybrid Data Security. Filtrujte slová ako „Upozornenie“ a „Chyba“, ktoré vám pomôžu pri riešení problémov.

3

Kontaktujte podporu Cisco.

Ďalšie poznámky

Známe problémy s hybridnou bezpečnosťou dát

  • Ak vypnete svoj klaster Hybrid Data Security (odstránením v Partner Hub alebo vypnutím všetkých uzlov), stratíte svoj konfiguračný súbor ISO alebo stratíte prístup k databáze úložiska kľúčov, používatelia aplikácie Webex zo zákazníckych organizácií už nebudú môcť používať priestory pod ich zoznamom osôb, ktoré boli vytvorené pomocou kľúčov z vášho KMS. V súčasnosti nemáme riešenie ani opravu tohto problému a žiadame vás, aby ste nevypínali svoje služby HDS, keď budú spracovávať aktívne používateľské účty.

  • Klient, ktorý má existujúce pripojenie ECDH ku KMS, udržiava toto pripojenie určitý čas (pravdepodobne jednu hodinu).

Spustite nástroj HDS Setup pomocou Podman Desktop

Podman je bezplatný nástroj na správu kontajnerov s otvoreným zdrojovým kódom, ktorý poskytuje spôsob, ako spúšťať, spravovať a vytvárať kontajnery. Podman Desktop si môžete stiahnuť z https://podman-desktop.io/downloads.

  • Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete získať prístup, stiahnite si a spustite Podman na tomto počítači. Proces nastavenia vyžaduje poverenia účtu Control Hub s úplnými administrátorskými právami pre vašu organizáciu.

    Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker v kroku 5 zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:

    Opis

    Variabilné

    HTTP Proxy bez autentifikácie

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentifikácie

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP Proxy s autentifikáciou

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS Proxy s autentifikáciou

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:

    • Databázové poverenia

    • Aktualizácie certifikátov

    • Zmeny v politike autorizácie

  • Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.

Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.

1

Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

V bežných prostrediach:

podman rmi ciscocitg/hds-setup:stable  

V prostrediach FedRAMP:

podman rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

2

Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce:

podman login docker.io -u hdscustomersro
3

Pri výzve na zadanie hesla zadajte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stiahnite si najnovší stabilný obraz pre vaše prostredie:

V bežných prostrediach:

podman pull ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

podman pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

  • V bežných prostrediach bez servera proxy:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTP proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTPS proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V prostrediach FedRAMP bez proxy:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • V prostrediach FedRAMP s HTTP proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • V prostrediach FedRAMP s HTTPS proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“.

Čo robiť ďalej

Ak chcete vytvoriť alebo zmeniť konfiguráciu ISO, postupujte podľa zostávajúcich krokov v časti Vytvorenie konfigurácie ISO pre hostiteľov HDS alebo Zmena konfigurácie uzla .

Na vygenerovanie súboru PKCS12 použite OpenSSL

Skôr ako začnete

  • OpenSSL je jeden nástroj, ktorý možno použiť na vytvorenie súboru PKCS12 v správnom formáte na načítanie v nástroji HDS Setup Tool. Existujú aj iné spôsoby, ako to urobiť, a my nepodporujeme ani nepresadzujeme jeden spôsob oproti druhému.

  • Ak sa rozhodnete použiť OpenSSL, poskytujeme tento postup ako návod, ktorý vám pomôže vytvoriť súbor, ktorý spĺňa požiadavky na certifikát X.509 v časti Požiadavky na certifikát X.509. Než budete pokračovať, pochopte tieto požiadavky.

  • Nainštalujte OpenSSL v podporovanom prostredí. Softvér a dokumentáciu nájdete v časti https://www.openssl.org .

  • Vytvorte si súkromný kľúč.

  • Tento postup začnite, keď dostanete certifikát servera od certifikačnej autority (CA).

1

Keď od svojej CA dostanete certifikát servera, uložte ho ako hdsnode.pem.

2

Zobrazte certifikát ako text a overte podrobnosti.

openssl x509 -text -noout -in hdsnode.pem

3

Pomocou textového editora vytvorte súbor balíka certifikátov s názvom hdsnode-bundle.pem. Súbor balíka musí obsahovať certifikát servera, akékoľvek sprostredkujúce certifikáty CA a certifikáty koreňovej CA vo formáte nižšie:

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----

4

Vytvorte súbor .p12 s popisným názvom kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Skontrolujte podrobnosti certifikátu servera.

  1. openssl pkcs12 -in hdsnode.p12

  2. Vo výzve zadajte heslo na zašifrovanie súkromného kľúča, aby bol uvedený vo výstupe. Potom skontrolujte, či súkromný kľúč a prvý certifikát obsahujú riadky friendlyName: kms-private-key.

    Príklad:

    bash$ openssl pkcs12 -in hdsnode.p12
    Enter Import Password:
    MAC verified OK
    Bag Attributes
        friendlyName: kms-private-key
        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
    Key Attributes: 
    Enter PEM pass phrase:
    Verifying - Enter PEM pass phrase:
    -----BEGIN ENCRYPTED PRIVATE KEY-----
    
    -----END ENCRYPTED PRIVATE KEY-----
    Bag Attributes
        friendlyName: kms-private-key
        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
    subject=/CN=hds1.org6.portun.us
    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
    -----BEGIN CERTIFICATE-----
    
    -----END CERTIFICATE-----
    Bag Attributes
        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
    -----BEGIN CERTIFICATE-----
    
    -----END CERTIFICATE-----

Čo robiť ďalej

Vráťte sa na stránku Dokončenie predpokladov pre hybridné zabezpečenie údajov. hdsnode.p12 Súbor a heslo, ktoré ste preň nastavili, použijete v časti Vytvorenie konfiguračného ISO pre hostiteľov HDS.

Tieto súbory môžete znova použiť na vyžiadanie nového certifikátu, keď platnosť pôvodného certifikátu vyprší.

Prevádzka medzi uzlami HDS a cloudom

Odchádzajúca návštevnosť zberu metrík

Uzly Hybrid Data Security odosielajú určité metriky do cloudu Webex. Patria sem systémové metriky pre maximálnu haldu, využitú haldu, zaťaženie procesora a počet vlákien; metriky na synchrónnych a asynchrónnych vláknach; metriky výstrah zahŕňajúce prah šifrovacích pripojení, latenciu alebo dĺžku frontu požiadaviek; metriky v dátovom sklade; a metriky šifrovaného pripojenia. Uzly posielajú zašifrovaný kľúčový materiál cez kanál mimo pásma (oddelený od požiadavky).

Prichádzajúca premávka

Uzly Hybrid Data Security prijímajú nasledujúce typy prichádzajúcej prevádzky z cloudu Webex:

  • Šifrovacie požiadavky od klientov, ktoré sú smerované šifrovacou službou

  • Aktualizácie softvéru uzla

Nakonfigurujte Squid proxy pre hybridné zabezpečenie dát

Websocket sa nemôže pripojiť cez Squid Proxy

Servery proxy typu Squid, ktoré kontrolujú prenos HTTPS, môžu narúšať vytváranie pripojení websocket (wss:), ktoré vyžaduje Hybrid Data Security. Tieto sekcie poskytujú návod, ako nakonfigurovať rôzne verzie Squid tak, aby ignorovali wss: premávku pre správne fungovanie služieb.

Kalmáre 4 a 5

Pridajte on_unsupported_protocol smernicu do squid.conf:

on_unsupported_protocol tunnel all

Kalmáre 3.5.27

Hybridné zabezpečenie údajov sme úspešne otestovali pomocou nasledujúcich pravidiel pridaných do squid.conf. Tieto pravidlá sa môžu meniť, pretože vyvíjame funkcie a aktualizujeme cloud Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Nové a zmenené informácie

Nové a zmenené informácie

Táto tabuľka obsahuje nové funkcie alebo funkcionalitu, zmeny existujúceho obsahu a všetky závažné chyby, ktoré boli opravené v Sprievodcovi nasadením pre hybridné zabezpečenie údajov pre viacerých nájomcov.

Dátum

Vykonané zmeny

8. mája 2025

4. marca 2025

30. januára 2025

Do zoznamu podporovaných serverov SQL bola pridaná verzia servera SQL 2022 v časti Požiadavky na databázový server.

15. januára 2025

Pridané Obmedzenia zabezpečenia hybridných dát pre viacerých nájomníkov.

8. januára 2025

V časti Vykonajte úvodné nastavenie a stiahnite si inštalačné súbory bola pridaná poznámka, že kliknutie na tlačidlo Nastaviť na karte HDS v centre partnerov je dôležitým krokom procesu inštalácie.

7. januára 2025

Aktualizované požiadavky na virtuálneho hostiteľa, postup úlohy nasadenia hybridného zabezpečenia údajova inštalácia OVA hostiteľa HDS s cieľom zobraziť nové požiadavky ESXi 7.0.

13. decembra 2024

Prvýkrát publikované.

Deaktivácia hybridného zabezpečenia údajov pre viacerých nájomníkov

Postup deaktivácie viacnájomníckeho HDS

Ak chcete úplne deaktivovať službu Multi-Tenant HDS, postupujte podľa týchto krokov.

Predtým, ako začnete

Túto úlohu by mal vykonávať iba správca partnera s plnými oprávneniami.
1

Odstráňte všetkých zákazníkov zo všetkých klastrov, ako je uvedené v časti Odstránenie organizácií nájomníkov.

2

Zrušte CMK všetkých zákazníkov, ako je uvedené v časti Zrušte CMK nájomníkov odstránených z HDS..

3

Odstráňte všetky uzly zo všetkých klastrov, ako je uvedené v časti Odstránenie uzla.

4

Odstráňte všetky klastre z Centra partnerov pomocou jednej z nasledujúcich dvoch metód.

  • Kliknite na klaster, ktorý chcete odstrániť, a v pravom hornom rohu stránky s prehľadom vyberte možnosť Odstrániť tento klaster.
  • Na stránke Zdroje kliknite na … na pravej strane klastra a vyberte možnosť Odstrániť klaster.
5

Na stránke s prehľadom hybridného zabezpečenia údajov kliknite na kartu Nastavenia a na karte Stav HDS kliknite na Deaktivovať HDS.

Začnite s hybridným zabezpečením údajov pre viacerých nájomníkov

Prehľad zabezpečenia hybridných dát pre viacerých nájomníkov

Od prvého dňa bola bezpečnosť údajov hlavným zameraním pri navrhovaní aplikácie Webex. Základným kameňom tohto zabezpečenia je šifrovanie obsahu typu end-to-end, ktoré umožňujú klienti aplikácie Webex interagujúci so službou správy kľúčov (KMS). KMS je zodpovedný za vytváranie a správu kryptografických kľúčov, ktoré klienti používajú na dynamické šifrovanie a dešifrovanie správ a súborov.

V predvolenom nastavení majú všetci zákazníci aplikácie Webex k dispozícii šifrovanie typu end-to-end s dynamickými kľúčmi uloženými v cloudovom KMS v bezpečnostnej oblasti spoločnosti Cisco. Hybridná ochrana údajov presúva KMS a ďalšie funkcie súvisiace so zabezpečením do vášho podnikového dátového centra, takže nikto okrem vás nemá kľúče k vášmu šifrovanému obsahu.

Multi-Tenant Hybrid Data Security umožňuje organizáciám využívať HDS prostredníctvom dôveryhodného lokálneho partnera, ktorý môže pôsobiť ako poskytovateľ služieb a spravovať lokálne šifrovanie a ďalšie bezpečnostné služby. Toto nastavenie umožňuje partnerskej organizácii mať úplnú kontrolu nad nasadením a správou šifrovacích kľúčov a zaisťuje, že používateľské údaje zákazníckych organizácií sú v bezpečí pred externým prístupom. Partnerské organizácie nastavujú inštancie HDS a vytvárajú klastre HDS podľa potreby. Každá inštancia môže podporovať viacero zákazníckych organizácií, na rozdiel od bežného nasadenia HDS, ktoré je obmedzené na jednu organizáciu.

Hoci partnerské organizácie majú kontrolu nad nasadením a správou, nemajú prístup k údajom a obsahu generovanému zákazníkmi. Tento prístup je obmedzený na zákaznícke organizácie a ich používateľov.

To tiež umožňuje menším organizáciám využívať HDS, pretože služby správy kľúčov a bezpečnostná infraštruktúra, ako sú dátové centrá, sú vo vlastníctve dôveryhodného lokálneho partnera.

Ako hybridné zabezpečenie údajov pre viacerých nájomcov poskytuje suverenitu údajov a kontrolu nad údajmi

  • Obsah vytvorený používateľmi je chránený pred externým prístupom, napríklad od poskytovateľov cloudových služieb.
  • Lokálni dôveryhodní partneri spravujú šifrovacie kľúče zákazníkov, s ktorými už majú nadviazaný vzťah.
  • Možnosť lokálnej technickej podpory, ak ju poskytuje partner.
  • Podporuje obsah pre stretnutia, správy a volania.

Tento dokument má pomôcť partnerským organizáciám pri nastavení a správe zákazníkov v rámci hybridného systému zabezpečenia údajov pre viacerých nájomcov.

Obmedzenia hybridného zabezpečenia údajov pre viacerých nájomcov

  • Partnerské organizácie nesmú mať v Control Hub žiadne aktívne existujúce nasadenie HDS.
  • Nájomníci alebo zákaznícke organizácie, ktoré chcú byť spravované partnerom, nesmú mať v Control Hub žiadne existujúce nasadenie HDS.
  • Keď partner nasadí Multi-Tenant HDS, všetci používatelia zákazníckych organizácií, ako aj používatelia partnerskej organizácie začnú využívať Multi-Tenant HDS pre svoje šifrovacie služby.

    Partnerská organizácia a zákaznícke organizácie, ktoré spravujú, budú mať rovnaké nasadenie Multi-Tenant HDS.

    Partnerská organizácia už po nasadení Multi-Tenant HDS nebude používať cloudovú službu KMS.

  • Neexistuje mechanizmus na presun kľúčov späť do Cloud KMS po nasadení HDS.
  • V súčasnosti môže mať každé nasadenie Multi-Tenant HDS iba jeden klaster s viacerými uzlami pod ním.
  • Role správcu majú určité obmedzenia; podrobnosti nájdete v časti nižšie.

Úlohy v oblasti hybridnej bezpečnosti údajov pre viacerých nájomníkov

  • Úplný správca partnera – Môže spravovať nastavenia pre všetkých zákazníkov, ktorých partner spravuje. Taktiež môže existujúcim používateľom v organizácii priradiť administrátorské role a priradiť konkrétnych zákazníkov, ktorých budú spravovať partnerskí administrátori.
  • Správca partnera – Môže spravovať nastavenia pre zákazníkov, ktorých správca poskytol alebo ktorí boli priradení k používateľovi.
  • Úplný správca – Správca partnerskej organizácie, ktorý je oprávnený vykonávať úlohy, ako je úprava nastavení organizácie, správa licencií a prideľovanie rolí.
  • Komplexné nastavenie a správa viacnájomníckeho HDS pre všetky zákaznícke organizácie - Vyžaduje sa partner s plnými oprávneniami správcu a plnými oprávneniami správcu.
  • Správa pridelených organizácií nájomníkov - Vyžaduje sa správca partnera a úplné oprávnenia správcu.

Architektúra bezpečnostnej oblasti

Cloudová architektúra Webexu oddeľuje rôzne typy služieb do samostatných oblastí alebo domén dôvery, ako je znázornené nižšie.

Oblasti oddelenia (bez hybridnej bezpečnosti údajov)

Pre lepšie pochopenie hybridnej bezpečnosti dát sa najprv pozrime na tento čisto cloudový prípad, kde spoločnosť Cisco poskytuje všetky funkcie vo svojich cloudových sférach. Služba identity, jediné miesto, kde môžu byť používatelia priamo prepojení so svojimi osobnými údajmi, ako je napríklad e-mailová adresa, je logicky a fyzicky oddelená od bezpečnostnej oblasti v dátovom centre B. Obe sú zase oddelené od oblasti, kde je šifrovaný obsah nakoniec uložený v dátovom centre C.

V tomto diagrame je klientom aplikácia Webex spustená na notebooku používateľa, ktorá sa overila pomocou služby identity. Keď používateľ napíše správu, ktorú chce odoslať do priestoru, vykonajú sa nasledujúce kroky:

  1. Klient vytvorí zabezpečené pripojenie so službou správy kľúčov (KMS) a potom požiada o kľúč na zašifrovanie správy. Zabezpečené pripojenie používa ECDH a KMS šifruje kľúč pomocou hlavného kľúča AES-256.

  2. Správa je pred odoslaním od klienta zašifrovaná. Klient ho odošle indexačnej službe, ktorá vytvorí šifrované vyhľadávacie indexy, ktoré pomôžu pri budúcom vyhľadávaní obsahu.

  3. Zašifrovaná správa sa odošle službe dodržiavania predpisov na kontrolu súladu.

  4. Zašifrovaná správa je uložená v úložnom priestore.

Pri nasadení hybridného zabezpečenia údajov presuniete funkcie bezpečnostnej oblasti (KMS, indexovanie a dodržiavanie súladu) do svojho lokálneho dátového centra. Ostatné cloudové služby, ktoré tvoria Webex (vrátane úložiska identít a obsahu), zostávajú v rukách spoločnosti Cisco.

Spolupráca s inými organizáciami

Používatelia vo vašej organizácii môžu pravidelne používať aplikáciu Webex na spoluprácu s externými účastníkmi v iných organizáciách. Keď jeden z vašich používateľov požiada o kľúč pre priestor, ktorý vlastní vaša organizácia (pretože ho vytvoril jeden z vašich používateľov), váš KMS odošle kľúč klientovi cez zabezpečený kanál ECDH. Keď však kľúč k priestoru vlastní iná organizácia, vaša služba riadenia kľúčov (KMS) smeruje požiadavku do cloudu Webex cez samostatný kanál ECDH, aby získala kľúč z príslušnej služby KMS, a potom ho vráti vášmu používateľovi na pôvodnom kanáli.

Služba KMS spustená v organizácii A overuje pripojenia k KMS v iných organizáciách pomocou certifikátov x.509 PKI. Podrobnosti o generovaní certifikátu x.509, ktorý sa má použiť s nasadením hybridného zabezpečenia údajov pre viacerých klientov, nájdete v časti Príprava prostredia.

Očakávania týkajúce sa nasadenia hybridnej bezpečnosti údajov

Nasadenie hybridnej ochrany údajov si vyžaduje značné odhodlanie a uvedomenie si rizík, ktoré so sebou prináša vlastníctvo šifrovacích kľúčov.

Na nasadenie hybridného zabezpečenia údajov musíte poskytnúť:

  • Bezpečné dátové centrum v krajine, ktorá je podporovaným miestom pre plány Cisco Webex Teams.

  • Zariadenie, softvér a prístup k sieti opísané v časti Príprava prostredia.

Úplná strata buď konfiguračného ISO súboru, ktorý vytvoríte pre Hybrid Data Security, alebo databázy, ktorú poskytnete, bude mať za následok stratu kľúčov. Strata kľúča bráni používateľom v dešifrovaní obsahu priestoru a iných šifrovaných údajov v aplikácii Webex. Ak sa to stane, môžete vytvoriť nové nasadenie, ale viditeľný bude iba nový obsah. Aby ste predišli strate prístupu k údajom, musíte:

  • Spravovať zálohovanie a obnovu databázy a konfiguračného ISO súboru.

  • Buďte pripravení vykonať rýchlu obnovu po havárii, ak dôjde ku katastrofe, ako je napríklad zlyhanie disku databázy alebo havária dátového centra.

Neexistuje mechanizmus na presun kľúčov späť do cloudu po nasadení HDS.

Proces nastavenia na vysokej úrovni

Tento dokument popisuje nastavenie a správu nasadenia hybridného zabezpečenia údajov pre viacerých nájomcov:

  • Nastavenie hybridného zabezpečenia údajov– Zahŕňa to prípravu požadovanej infraštruktúry a inštaláciu softvéru Hybrid Data Security, vytvorenie klastra HDS, pridanie organizácií nájomníkov do klastra a správu ich hlavných kľúčov zákazníkov (CMK). Vďaka tomu budú môcť všetci používatelia vašich zákazníckych organizácií používať váš klaster Hybrid Data Security na bezpečnostné funkcie.

    Fázy nastavenia, aktivácie a správy sú podrobne popísané v nasledujúcich troch kapitolách.

  • Udržiavajte si nasadenie hybridného zabezpečenia údajov– Cloud Webex automaticky poskytuje priebežné aktualizácie. Vaše IT oddelenie môže pre toto nasadenie poskytnúť podporu prvej úrovne a v prípade potreby zapojiť podporu spoločnosti Cisco. V Centre partnerov môžete používať upozornenia na obrazovke a nastaviť si e-mailové upozornenia.

  • Pochopte bežné upozornenia, kroky na riešenie problémov a známe problémy– Ak narazíte na problémy s nasadením alebo používaním Hybrid Data Security, posledná kapitola tejto príručky a dodatok Známe problémy vám môžu pomôcť určiť a opraviť problém.

Hybridný model nasadenia zabezpečenia údajov

V rámci vášho podnikového dátového centra nasadíte hybridné zabezpečenie údajov ako jeden klaster uzlov na samostatných virtuálnych hostiteľoch. Uzly komunikujú s cloudom Webex prostredníctvom zabezpečených webových soketov a zabezpečeného HTTP.

Počas inštalácie vám poskytneme súbor OVA na nastavenie virtuálneho zariadenia na virtuálnych počítačoch, ktoré poskytnete. Nástroj na nastavenie HDS použijete na vytvorenie vlastného súboru ISO s konfiguráciou klastra, ktorý pripojíte ku každému uzlu. Klaster Hybrid Data Security používa váš poskytnutý server Syslogd a databázu PostgreSQL alebo Microsoft SQL Server. (Podrobnosti o pripojení k databáze a Syslogd nakonfigurujete v nástroji HDS Setup Tool.)

Hybridný model nasadenia zabezpečenia údajov

Minimálny počet uzlov, ktoré môžete mať v klastri, je dva. Odporúčame aspoň tri na klaster. Viaceré uzly zabezpečujú, že služba nebude prerušená počas aktualizácie softvéru alebo inej údržbárskej činnosti na uzle. (Cloud Webex aktualizuje iba jeden uzol naraz.)

Všetky uzly v klastri pristupujú k rovnakému úložisku kľúčových údajov a zaznamenávajú aktivitu na rovnaký server syslog. Samotné uzly sú bezstavové a spracovávajú kľúčové požiadavky kruhovým spôsobom podľa pokynov cloudu.

Uzly sa aktivujú po ich registrácii v Centre partnerov. Ak chcete vyradiť jednotlivý uzol z prevádzky, môžete ho zrušiť a neskôr ho v prípade potreby znova zaregistrovať.

Pohotovostné dátové centrum pre obnovu po havárii

Počas nasadenia si nastavíte bezpečné záložné dátové centrum. V prípade havárie dátového centra môžete manuálne prepnúť nasadenie do záložného dátového centra.

Pred záložným prepnutím má dátové centrum A aktívne uzly HDS a primárnu databázu PostgreSQL alebo Microsoft SQL Server, zatiaľ čo dátové centrum B má kópiu súboru ISO s ďalšími konfiguráciami, virtuálne počítače registrované v organizácii a záložnú databázu. Po záložnom prepnutí má dátové centrum B aktívne uzly HDS a primárnu databázu, zatiaľ čo dátové centrum A má neregistrované virtuálne počítače a kópiu súboru ISO a databáza je v pohotovostnom režime.
Manuálne prepnutie do záložného dátového centra

Databázy aktívnych a záložných dátových centier sú navzájom synchronizované, čo minimalizuje čas potrebný na vykonanie záložného prepnutia.

Aktívne uzly Hybrid Data Security musia byť vždy v rovnakom dátovom centre ako aktívny databázový server.

Podpora proxy serverov

Hybridná bezpečnosť údajov podporuje explicitné, transparentné inšpekčné a neinšpekčné proxy. Tieto proxy servery môžete prepojiť s vaším nasadením, aby ste mohli zabezpečiť a monitorovať prevádzku z podniku do cloudu. Na správu certifikátov a kontrolu celkového stavu pripojenia po nastavení proxy servera na uzloch môžete na uzloch použiť administrátorské rozhranie platformy.

Uzly Hybrid Data Security podporujú nasledujúce možnosti proxy:

  • Žiadny proxy– Predvolená hodnota, ak nepoužívate nastavenie úložiska dôveryhodných údajov uzla HDS & Konfigurácia proxy servera na integráciu proxy servera. Nie je potrebná žiadna aktualizácia certifikátu.

  • Transparentný nekontrolujúci proxy— Uzly nie sú nakonfigurované na používanie konkrétnej adresy proxy servera a nemali by vyžadovať žiadne zmeny na fungovanie s nekontrolujúcim proxy. Nie je potrebná žiadna aktualizácia certifikátu.

  • Transparentné tunelovanie alebo kontrola proxy— Uzly nie sú nakonfigurované na používanie konkrétnej adresy proxy servera. Na uzloch nie sú potrebné žiadne zmeny konfigurácie HTTP alebo HTTPS. Uzly však potrebujú koreňový certifikát, aby dôverovali proxy serveru. Kontrola proxy serverov sa zvyčajne používa v IT oddeleniach na presadzovanie politík týkajúcich sa toho, ktoré webové stránky je možné navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy dešifruje všetku vašu prevádzku (aj HTTPS).

  • Explicitná proxy– Pri explicitnej proxy poviete uzlom HDS, ktorý proxy server a schému overovania majú použiť. Ak chcete nakonfigurovať explicitný proxy server, musíte na každom uzle zadať nasledujúce informácie:

    1. Proxy IP/FQDN—Adresa, ktorú je možné použiť na dosiahnutie proxy servera.

    2. Proxy port– Číslo portu, ktoré proxy používa na počúvanie proxy prevádzky.

    3. Proxy protokol– V závislosti od toho, čo váš proxy server podporuje, si vyberte z nasledujúcich protokolov:

      • HTTP – Zobrazuje a riadi všetky požiadavky, ktoré klient odosiela.

      • HTTPS – Poskytuje kanál serveru. Klient prijme a overí certifikát servera.

    4. Typ overenia– Vyberte si z nasledujúcich typov overenia:

      • Žiadne— Nie je potrebné žiadne ďalšie overenie.

        Dostupné, ak ako proxy protokol vyberiete HTTP alebo HTTPS.

      • Základné– Používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri zadávaní požiadavky. Používa kódovanie Base64.

        Dostupné, ak ako proxy protokol vyberiete HTTP alebo HTTPS.

        Vyžaduje sa zadanie používateľského mena a hesla na každom uzle.

      • Súhrn– Používa sa na overenie účtu pred odoslaním citlivých informácií. Pred odoslaním cez sieť použije na používateľské meno a heslo hašovaciu funkciu.

        Dostupné iba v prípade, že ako proxy protokol vyberiete HTTPS.

        Vyžaduje sa zadanie používateľského mena a hesla na každom uzle.

Príklad hybridných uzlov zabezpečenia údajov a proxy

Tento diagram znázorňuje príklad pripojenia medzi hybridným zabezpečením údajov, sieťou a proxy serverom. Pre možnosti transparentnej kontroly a explicitnej kontroly HTTPS proxy musí byť na proxy aj na uzloch Hybrid Data Security nainštalovaný rovnaký koreňový certifikát.

Režim blokovaného externého rozlišovania DNS (explicitné konfigurácie proxy)

Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. V nasadeniach s explicitnými konfiguráciami proxy, ktoré neumožňujú externé prekladanie DNS pre interných klientov, ak uzol nemôže dotazovať servery DNS, automaticky prejde do režimu blokovaného externého prekladania DNS. V tomto režime môže prebiehať registrácia uzlov a ďalšie testy pripojenia proxy.

Príprava prostredia

Požiadavky na zabezpečenie hybridných dát pre viacerých nájomcov

Licenčné požiadavky Cisco Webex

Nasadenie hybridného zabezpečenia údajov pre viacerých nájomcov:

  • Partnerské organizácie: Kontaktujte svojho partnera Cisco alebo správcu účtu a uistite sa, že je povolená funkcia Multi-Tenant.

  • Organizácie nájomcov: Pre Cisco Webex Control Hub musíte mať Pro Pack. (Pozri https://www.cisco.com/go/pro-pack.)

Požiadavky na Docker Desktop

Pred inštaláciou uzlov HDS potrebujete Docker Desktop na spustenie inštalačného programu. Docker nedávno aktualizoval svoj licenčný model. Vaša organizácia môže vyžadovať platené predplatné pre Docker Desktop. Podrobnosti nájdete v blogovom príspevku Docker s názvom „ Docker aktualizuje a predlžuje predplatné našich produktov“.

Zákazníci bez licencie Docker Desktop môžu na spúšťanie, správu a vytváranie kontajnerov použiť nástroj na správu kontajnerov s otvoreným zdrojovým kódom, ako je napríklad Podman Desktop. Podrobnosti nájdete v časti Spustenie nástroja HDS Setup pomocou nástroja Podman Desktop.

Požiadavky na certifikát X.509

Reťazec certifikátov musí spĺňať nasledujúce požiadavky:

Tabuľka č. 1 Požiadavky na certifikát X.509 pre nasadenie hybridného zabezpečenia údajov

Požiadavka

Podrobnosti

  • Podpísané dôveryhodnou certifikačnou autoritou (CA)

Predvolene dôverujeme certifikačným autoritám v zozname Mozilly (s výnimkou WoSign a StartCom) na adrese https://wiki.mozilla.org/CA:IncludedCAs.

  • Nesie názov domény Common Name (CN), ktorý identifikuje vaše nasadenie hybridného zabezpečenia údajov

  • Nie je to zástupný certifikát

CN nemusí byť dosiahnuteľný ani musí byť živým hostiteľom. Odporúčame vám použiť názov, ktorý odráža vašu organizáciu, napríklad hds.company.com.

CN nesmie obsahovať * (zástupný znak).

CN sa používa na overenie uzlov Hybrid Data Security pre klientov aplikácie Webex. Všetky uzly Hybrid Data Security vo vašom klastri používajú rovnaký certifikát. Váš KMS sa identifikuje pomocou domény CN, nie pomocou akejkoľvek domény definovanej v poliach SAN x.509v3.

Po zaregistrovaní uzla s týmto certifikátom už nepodporujeme zmenu názvu domény CN.

  • Podpis iný ako SHA1

Softvér KMS nepodporuje podpisy SHA1 na overovanie pripojení k KMS iných organizácií.

  • Naformátované ako PKCS chránený heslom #12 súbor

  • Na označenie certifikátu, súkromného kľúča a všetkých prechodných certifikátov, ktoré sa majú nahrať, použite priateľský názov kms-private-key.

Na zmenu formátu certifikátu môžete použiť konvertor, ako napríklad OpenSSL.

Pri spustení nástroja HDS Setup Tool budete musieť zadať heslo.

Softvér KMS nevynucuje používanie kľúčov ani rozšírené obmedzenia používania kľúčov. Niektoré certifikačné autority vyžadujú, aby sa na každý certifikát uplatňovali rozšírené obmedzenia používania kľúčov, napríklad overovanie servera. Je v poriadku použiť overenie servera alebo iné nastavenia.

Požiadavky na virtuálneho hostiteľa

Virtuálne hostiteľské systémy, ktoré nastavíte ako uzly Hybrid Data Security vo vašom klastri, majú nasledujúce požiadavky:

  • Aspoň dvaja samostatní hostitelia (odporúčajú sa 3) umiestnení v tom istom zabezpečenom dátovom centre

  • Nainštalovaný a spustený systém VMware ESXi 7.0 alebo 8.0.

    Ak máte staršiu verziu ESXi, musíte ju aktualizovať.

  • Minimálne 4 vCPU, 8 GB hlavnej pamäte, 30 GB miesta na lokálnom pevnom disku na server

Požiadavky na databázový server

Vytvorte novú databázu pre ukladanie kľúčov. Nepoužívajte predvolenú databázu. Aplikácie HDS po nainštalovaní vytvoria schému databázy.

Pre databázový server existujú dve možnosti. Požiadavky pre každý z nich sú nasledovné:

Tabuľka 2. Požiadavky na databázový server podľa typu databázy

PostgreSQL

Microsoft SQL Server

  • PostgreSQL 14, 15 alebo 16, nainštalovaný a spustený.

  • Nainštalovaný SQL Server 2016, 2017, 2019 alebo 2022 (Enterprise alebo Standard).

    SQL Server 2016 vyžaduje Service Pack 2 a kumulatívnu aktualizáciu 2 alebo novšiu verziu.

Minimálne 8 vCPU, 16 GB operačnej pamäte, dostatočný priestor na pevnom disku a monitorovanie, aby sa zabezpečilo, že sa neprekročí táto kapacita (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhší čas bez nutnosti zväčšovania úložiska).

Minimálne 8 vCPU, 16 GB operačnej pamäte, dostatočný priestor na pevnom disku a monitorovanie, aby sa zabezpečilo, že sa neprekročí táto kapacita (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhší čas bez nutnosti zväčšovania úložiska).

Softvér HDS aktuálne inštaluje nasledujúce verzie ovládačov pre komunikáciu s databázovým serverom:

PostgreSQL

Microsoft SQL Server

Ovládač Postgres JDBC 42.2.5

Ovládač JDBC pre SQL Server verzie 4.6

Táto verzia ovládača podporuje SQL Server Always On ( inštancie klastrov s podporou pre záložné zariadenia Always On a skupiny dostupnosti Always On).

Ďalšie požiadavky na overovanie systému Windows v systéme Microsoft SQL Server

Ak chcete, aby uzly HDS používali overovanie systému Windows na získanie prístupu k databáze úložiska kľúčov na serveri Microsoft SQL Server, potrebujete vo svojom prostredí nasledujúcu konfiguráciu:

  • Uzly HDS, infraštruktúra služby Active Directory a MS SQL Server musia byť synchronizované s NTP.

  • Účet Windows, ktorý poskytnete uzlom HDS, musí mať read/write prístup k databáze.

  • Servery DNS, ktoré poskytujete uzlom HDS, musia byť schopné rozlíšiť vaše centrum distribúcie kľúčov (KDC).

  • Inštanciu databázy HDS môžete zaregistrovať na serveri Microsoft SQL Server ako hlavný názov služby (SPN) v službe Active Directory. Pozrite si časť Registrácia názvu hlavného prvku služby pre pripojenia Kerberos.

    Nástroj na nastavenie HDS, spúšťač HDS a lokálna služba KMS musia na prístup k databáze úložiska kľúčov používať overovanie systému Windows. Pri žiadosti o prístup s overením Kerberos používajú podrobnosti z vašej konfigurácie ISO na vytvorenie SPN.

Požiadavky na externé pripojenie

Nakonfigurujte si firewall tak, aby povoľoval nasledujúce pripojenie pre aplikácie HDS:

Aplikácia

Protokol

Prístav

Pokyny z aplikácie

Destinácia

Hybridné uzly zabezpečenia údajov

TCP

443

Odchádzajúce HTTPS a WSS

  • Servery Webex:

    • *.wbx2.com

    • *.ciscospark.com

  • Všetci hostitelia Common Identity

  • Ďalšie adresy URL uvedené pre hybridné zabezpečenie údajov v tabuľke Ďalšie adresy URL pre hybridné služby Webex v časti Sieťové požiadavky pre služby Webex

Nástroj na nastavenie HDS

TCP

443

Odchádzajúce HTTPS

  • *.wbx2.com

  • Všetci hostitelia Common Identity

  • hub.docker.com

Uzly Hybrid Data Security pracujú s prekladom sieťového prístupu (NAT) alebo za firewallom, pokiaľ NAT alebo firewall umožňuje požadované odchádzajúce pripojenia k cieľovým doménam uvedeným v predchádzajúcej tabuľke. Pre pripojenia smerujúce k uzlom Hybrid Data Security by z internetu nemali byť viditeľné žiadne porty. V rámci vášho dátového centra potrebujú klienti prístup k uzlom Hybrid Data Security na TCP portoch 443 a 22 na administratívne účely.

URL adresy pre hostiteľov Common Identity (CI) sú špecifické pre daný región. Toto sú aktuálni hostitelia CI:

Región

URL adresy bežných hostiteľov identity

Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Európska únia

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur
  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Spojené arabské emiráty
  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Požiadavky na proxy server

  • Oficiálne podporujeme nasledujúce proxy riešenia, ktoré sa dajú integrovať s vašimi uzlami Hybrid Data Security.

  • Pre explicitné proxy podporujeme nasledujúce kombinácie typov overovania:

    • Žiadne overenie pomocou HTTP alebo HTTPS

    • Základné overovanie pomocou HTTP alebo HTTPS

    • Autentifikácia Digest iba s HTTPS

  • Pre transparentnú inšpekčnú proxy alebo explicitnú proxy HTTPS musíte mať kópiu koreňového certifikátu proxy. Pokyny na nasadenie v tejto príručke vám povedia, ako nahrať kópiu do úložísk dôveryhodných uzlov hybridného zabezpečenia údajov.

  • Sieť, ktorá hostí uzly HDS, musí byť nakonfigurovaná tak, aby vynútila smerovanie odchádzajúcej TCP prevádzky na porte 443 cez proxy.

  • Proxy servery, ktoré kontrolujú webovú prevádzku, môžu rušiť pripojenia webových soketov. Ak sa tento problém vyskytne, obídenie (nekontrola) prevádzky do wbx2.com a ciscospark.com ho vyrieši.

Splňte predpoklady pre hybridnú bezpečnosť údajov

Pomocou tohto kontrolného zoznamu sa uistite, že ste pripravení nainštalovať a nakonfigurovať svoj klaster Hybrid Data Security.
1

Uistite sa, že vaša partnerská organizácia má povolenú funkciu Multi-Tenant HDS a získajte poverenia účtu s úplnými oprávneniami správcu partnera a úplnými oprávneniami správcu. Uistite sa, že vaša zákaznícka organizácia Webex má povolený balík Pro Pack pre Cisco Webex Control Hub. Ak potrebujete s týmto procesom pomoc, kontaktujte svojho partnera alebo manažéra účtu spoločnosti Cisco.

Zákaznícke organizácie by nemali mať žiadne existujúce nasadenie HDS.

2

Vyberte názov domény pre nasadenie HDS (napríklad hds.company.com) a získajte reťazec certifikátov obsahujúci certifikát X.509, súkromný kľúč a všetky prechodné certifikáty. Reťazec certifikátov musí spĺňať požiadavky uvedené v Požiadavky na certifikát X.509.

3

Pripravte si identické virtuálne hostiteľské systémy, ktoré nastavíte ako uzly Hybrid Data Security vo vašom klastri. Potrebujete aspoň dvoch samostatných hostiteľov (odporúčajú sa 3) umiestnených v tom istom zabezpečenom dátovom centre, ktorí spĺňajú požiadavky uvedené v Požiadavky na virtuálneho hostiteľa.

4

Pripravte databázový server, ktorý bude slúžiť ako úložisko kľúčových údajov pre klaster, podľa požiadaviek na databázový server. Databázový server musí byť umiestnený v zabezpečenom dátovom centre spolu s virtuálnymi hostiteľmi.

  1. Vytvorte databázu na ukladanie kľúčov. (Túto databázu musíte vytvoriť – nepoužívajte predvolenú databázu.) Aplikácie HDS po nainštalovaní vytvoria schému databázy.)

  2. Zhromaždite podrobnosti, ktoré uzly použijú na komunikáciu s databázovým serverom:

    • názov hostiteľa alebo IP adresa (hostiteľ) a port

    • názov databázy (dbname) pre ukladanie kľúčov

    • používateľské meno a heslo používateľa so všetkými oprávneniami v databáze úložiska kľúčov

5

Pre rýchlu obnovu po havárii si nastavte záložné prostredie v inom dátovom centre. Záložné prostredie odzrkadľuje produkčné prostredie virtuálnych počítačov a záložného databázového servera. Napríklad, ak má produkčné prostredie 3 virtuálne počítače s uzlami HDS, zálohovacie prostredie by malo mať 3 virtuálne počítače.

6

Nastavte hostiteľa syslog na zhromažďovanie protokolov z uzlov v klastri. Zhromaždite jeho sieťovú adresu a port syslog (predvolená hodnota je UDP 514).

7

Vytvorte bezpečnú politiku zálohovania pre uzly Hybrid Data Security, databázový server a hostiteľa syslog. Aby ste predišli nenávratnej strate údajov, musíte minimálne zálohovať databázu a konfiguračný súbor ISO vygenerovaný pre uzly Hybrid Data Security.

Keďže uzly Hybrid Data Security ukladajú kľúče používané pri šifrovaní a dešifrovaní obsahu, zlyhanie udržiavania operačného nasadenia bude mať za následok NENAHRADITEĽNÚ STRATU daného obsahu.

Klienti aplikácie Webex ukladajú svoje kľúče do vyrovnávacej pamäte, takže výpadok nemusí byť okamžite viditeľný, ale prejaví sa postupom času. Aj keď dočasným výpadkom nie je možné zabrániť, sú obnoviteľné. Úplná strata (bez dostupnosti záloh) databázy alebo konfiguračného súboru ISO však bude mať za následok neobnoviteľné údaje o zákazníkoch. Od prevádzkovateľov uzlov hybridného zabezpečenia údajov sa očakáva, že budú udržiavať časté zálohy databázy a konfiguračného súboru ISO a budú pripravení obnoviť dátové centrum hybridného zabezpečenia údajov v prípade katastrofického zlyhania.

8

Uistite sa, že konfigurácia vášho firewallu umožňuje pripojenie uzlov hybridného zabezpečenia údajov, ako je uvedené v časti Požiadavky na externé pripojenie.

9

Nainštalujte Docker ( https://www.docker.com) na ľubovoľný lokálny počítač s podporovaným operačným systémom (Microsoft Windows 10 Professional alebo Enterprise 64-bit, alebo Mac OSX Yosemite 10.10.3 alebo novší) s webovým prehliadačom, ktorý k nemu má prístup na adrese http://127.0.0.1:8080.

Inštanciu Dockeru použijete na stiahnutie a spustenie nástroja HDS Setup Tool, ktorý zostaví lokálne konfiguračné informácie pre všetky uzly Hybrid Data Security. Možno budete potrebovať licenciu Docker Desktop. Viac informácií nájdete v časti Požiadavky na Docker Desktop.

Na inštaláciu a spustenie nástroja HDS Setup Tool musí mať lokálny počítač pripojenie uvedené v časti Požiadavky na externé pripojenie.

10

Ak integrujete proxy server s Hybrid Data Security, uistite sa, že spĺňa požiadavky na proxy server.

Nastavenie hybridného klastra zabezpečenia údajov

Postup úlohy nasadenia hybridnej bezpečnosti údajov

Predtým, ako začnete

1

Vykonajte úvodné nastavenie a stiahnite si inštalačné súbory

Stiahnite si súbor OVA do lokálneho počítača pre neskoršie použitie.

2

Vytvorte konfiguračný ISO súbor pre hostiteľov HDS

Na vytvorenie konfiguračného súboru ISO pre uzly Hybrid Data Security použite nástroj HDS Setup Tool.

3

Nainštalujte OVA hostiteľa HDS

Vytvorte virtuálny počítač zo súboru OVA a vykonajte počiatočnú konfiguráciu, ako napríklad nastavenia siete.

Možnosť konfigurácie sieťových nastavení počas nasadenia OVA bola testovaná s ESXi 7.0 a 8.0. Táto možnosť nemusí byť dostupná v starších verziách.

4

Nastavenie hybridného virtuálneho počítača zabezpečenia údajov

Prihláste sa do konzoly virtuálneho počítača a nastavte prihlasovacie údaje. Nakonfigurujte sieťové nastavenia pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.

5

Nahrajte a pripojte ISO súbor s konfiguráciou HDS

Nakonfigurujte virtuálny počítač z konfiguračného súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool.

6

Konfigurácia uzla HDS pre integráciu proxy servera

Ak sieťové prostredie vyžaduje konfiguráciu proxy servera, zadajte typ proxy servera, ktorý budete používať pre uzol, a v prípade potreby pridajte certifikát proxy servera do úložiska dôveryhodných certifikátov.

7

Zaregistrujte prvý uzol v klastri

Zaregistrujte virtuálny počítač v cloude Cisco Webex ako uzol hybridného zabezpečenia údajov.

8

Vytvorte a zaregistrujte ďalšie uzly

Dokončite nastavenie klastra.

9

Aktivujte Multi-Tenant HDS v centre partnerov.

Aktivujte HDS a spravujte organizácie nájomníkov v centre Partner Hub.

Vykonajte úvodné nastavenie a stiahnite si inštalačné súbory

V tejto úlohe si stiahnete súbor OVA do svojho počítača (nie na servery, ktoré ste nastavili ako uzly Hybrid Data Security). Tento súbor použijete neskôr počas procesu inštalácie.

1

Prihláste sa do Centra partnerov a potom kliknite na Služby.

2

V sekcii Cloudové služby vyhľadajte kartu Hybridné zabezpečenie údajov a potom kliknite na tlačidlo Nastaviť.

Kliknutie na Nastaviť v Centre partnerov je kľúčové pre proces nasadenia. Nepokračujte v inštalácii bez dokončenia tohto kroku.

3

Kliknite na Pridať zdroj a potom na Stiahnuť súbor .OVA na karte Inštalovať a konfigurovať softvér.

Staršie verzie softvérového balíka (OVA) nebudú kompatibilné s najnovšími aktualizáciami Hybrid Data Security. To môže viesť k problémom pri aktualizácii aplikácie. Uistite sa, že si stiahnete najnovšiu verziu súboru OVA.

OVA si môžete kedykoľvek stiahnuť aj zo sekcie Pomocník. Kliknite na Nastavenia > Pomocník > Stiahnite si softvér Hybrid Data Security.

Súbor OVA sa automaticky začne sťahovať. Uložte súbor na ľubovoľné miesto v počítači.
4

Voliteľne kliknite na Zobraziť sprievodcu nasadením hybridného zabezpečenia údajov a skontrolujte, či je k dispozícii novšia verzia tohto sprievodcu.

Vytvorte konfiguračný ISO súbor pre hostiteľov HDS

Proces inštalácie hybridného zabezpečenia údajov vytvorí súbor ISO. Potom použijete ISO súbor na konfiguráciu hostiteľa Hybrid Data Security.

Predtým, ako začnete

1

Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

V bežnom prostredí:

docker rmi ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí predchádzajúce obrazy z nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

2

Ak sa chcete prihlásiť do registra obrazov Docker, zadajte nasledujúce:

docker login -u hdscustomersro
3

Pri zadávaní hesla zadajte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stiahnite si najnovší stabilný obraz pre vaše prostredie:

V bežnom prostredí:

docker pull ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

  • V bežnom prostredí bez proxy servera:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V prostrediach FedRAMP bez proxy servera:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • V prostrediach FedRAMP s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • V prostrediach FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Keď je kontajner spustený, zobrazí sa hlásenie „Server Express počúva na porte 8080“.

6

Nástroj na nastavenie nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhostu použite http://127.0.0.1:8080.

Pomocou webového prehliadača prejdite na localhost, http://127.0.0.1:8080a do výzvy zadajte používateľské meno správcu pre Partner Hub.

Nástroj použije toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú prihlasovaciu výzvu.

7

Po zobrazení výzvy zadajte svoje prihlasovacie údaje správcu Centra partnerov a potom kliknite na Prihlásiť sa, čím povolíte prístup k požadovaným službám pre hybridné zabezpečenie údajov.

8

Na stránke s prehľadom nástroja na nastavenie kliknite na Začíname.

9

Na stránke Import ISO máte tieto možnosti:

  • Nie— Ak vytvárate svoj prvý uzol HDS, nemusíte nahrať súbor ISO.
  • Áno– Ak ste už vytvorili uzly HDS, vyberte súbor ISO v prehľadávači a nahrajte ho.
10

Skontrolujte, či váš certifikát X.509 spĺňa požiadavky uvedené v Požiadavky na certifikát X.509.

  • Ak ste ešte nikdy nenahrávali certifikát, nahrajte certifikát X.509, zadajte heslo a kliknite na tlačidlo Pokračovať.
  • Ak je váš certifikát v poriadku, kliknite na Pokračovať.
  • Ak platnosť vášho certifikátu vypršala alebo ho chcete nahradiť, vyberte možnosť Nie pre možnosť Pokračovať v používaní reťazca certifikátov HDS a súkromného kľúča z predchádzajúcej ISO?. Nahrajte nový certifikát X.509, zadajte heslo a kliknite na Pokračovať.
11

Zadajte adresu databázy a účet pre HDS, aby mal prístup k vášmu úložisku kľúčov:

  1. Vyberte typ databázy(PostgreSQL alebo Microsoft SQL Server).

    Ak vyberiete Microsoft SQL Server, zobrazí sa pole Typ overenia.

  2. (iba pre Microsoft SQL Server ) Vyberte svoj typ overenia:

    • Základné overenie: Do poľa Používateľské meno je potrebné zadať názov lokálneho účtu SQL Servera.

    • Overovanie systému Windows: V poli Používateľské meno potrebujete účet Windows vo formáte username@DOMAIN ].

  3. Zadajte adresu databázového servera vo formáte : alebo :.

    Príklad:
    dbhost.example.org:1433 alebo 198.51.100.17:1433

    Ak uzly nedokážu na preklad názvu hostiteľa použiť DNS, môžete na základné overenie použiť IP adresu.

    Ak používate overovanie systému Windows, musíte zadať plne kvalifikovaný názov domény vo formáte dbhost.example.org:1433

  4. Zadajte Názov databázy.

  5. Zadajte používateľské meno a heslo používateľa so všetkými oprávneniami k databáze úložiska kľúčov.

12

Vyberte režim pripojenia k databáze TLS:

Režim

Opis

Uprednostniť TLS (predvolená možnosť)

Uzly HDS nevyžadujú TLS na pripojenie k databázovému serveru. Ak na databázovom serveri povolíte TLS, uzly sa pokúsia o šifrované pripojenie.

Vyžadovať TLS

Uzly HDS sa pripájajú iba v prípade, že databázový server dokáže vyjednávať o TLS.

Vyžadovať TLS a overiť podpisovateľa certifikátu

Tento režim nie je použiteľný pre databázy SQL Servera.

  • Uzly HDS sa pripájajú iba v prípade, že databázový server dokáže vyjednávať o TLS.

  • Po nadviazaní TLS pripojenia uzol porovná podpisovateľa certifikátu z databázového servera s certifikačnou autoritou v koreňovom certifikáte databázy. Ak sa nezhodujú, uzol ukončí spojenie.

Na nahranie koreňového certifikátu pre túto možnosť použite ovládací prvok Koreňový certifikát databázy pod rozbaľovacou ponukou.

Vyžadovať TLS a overiť podpisovateľa certifikátu a názov hostiteľa

  • Uzly HDS sa pripájajú iba v prípade, že databázový server dokáže vyjednávať o TLS.

  • Po nadviazaní TLS pripojenia uzol porovná podpisovateľa certifikátu z databázového servera s certifikačnou autoritou v koreňovom certifikáte databázy. Ak sa nezhodujú, uzol ukončí spojenie.

  • Uzly tiež overia, či sa názov hostiteľa v certifikáte servera zhoduje s názvom hostiteľa v poli Hostiteľ a port databázy. Názvy sa musia presne zhodovať, inak uzol ukončí spojenie.

Na nahranie koreňového certifikátu pre túto možnosť použite ovládací prvok Koreňový certifikát databázy pod rozbaľovacou ponukou.

Keď nahráte koreňový certifikát (ak je to potrebné) a kliknete na tlačidlo Pokračovať, nástroj na nastavenie HDS otestuje pripojenie TLS k databázovému serveru. Nástroj tiež overí podpisovateľa certifikátu a názov hostiteľa, ak je to relevantné. Ak test zlyhá, nástroj zobrazí chybové hlásenie s popisom problému. Môžete si vybrať, či chcete chybu ignorovať a pokračovať v nastavení. (Kvôli rozdielom v konektivite môžu byť uzly HDS schopné nadviazať pripojenie TLS, aj keď ho počítač s nástrojom HDS Setup Tool nedokáže úspešne otestovať.)

13

Na stránke Systémové protokoly nakonfigurujte server Syslogd:

  1. Zadajte URL adresu servera syslog.

    Ak server nie je možné rozlíšiť pomocou DNS z uzlov vášho klastra HDS, použite v URL adrese IP adresu.

    Príklad:
    udp://10.92.43.23:514 označuje logovanie na hostiteľa Syslogd 10.92.43.23 na porte UDP 514.
  2. Ak ste nastavili server na používanie šifrovania TLS, skontrolujte Je váš server syslog nakonfigurovaný na šifrovanie SSL?.

    Ak začiarknete toto políčko, uistite sa, že zadáte adresu URL protokolu TCP, napríklad tcp://10.92.43.23:514.

  3. V rozbaľovacej ponuke Vyberte ukončenie záznamu syslog vyberte príslušné nastavenie pre váš súbor ISO: Pre Graylog a Rsyslog TCP sa používa Choose alebo Newline.

    • Nulový bajt -- \x00

    • Nový riadok -- \n– Vyberte túto možnosť pre Graylog a Rsyslog TCP.

  4. Kliknite na Pokračovať.

14

(Voliteľné) Predvolenú hodnotu pre niektoré parametre pripojenia k databáze môžete zmeniť v časti Rozšírené nastavenia. Vo všeobecnosti je tento parameter jediný, ktorý možno budete chcieť zmeniť:

app_datasource_connection_pool_maxSize: 10
15

Kliknite na tlačidlo Pokračovať na obrazovke Obnoviť heslo servisných účtov.

Heslá k servisným účtom majú deväťmesačnú životnosť. Túto obrazovku použite, keď sa blíži koniec platnosti vašich hesiel alebo ich chcete resetovať, aby sa zneplatnili predchádzajúce súbory ISO.

16

Kliknite na Stiahnuť súbor ISO. Uložte súbor na miesto, ktoré sa dá ľahko nájsť.

17

Vytvorte záložnú kópiu súboru ISO na vašom lokálnom systéme.

Záložnú kópiu uschovajte bezpečne. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov hybridnej ochrany údajov, ktorí by mali vykonávať zmeny konfigurácie.

18

Ak chcete vypnúť nástroj Nastavenie, zadajte CTRL+C.

Čo robiť ďalej

Zálohujte si konfiguračný ISO súbor. Potrebujete ho na vytvorenie ďalších uzlov na obnovu alebo na vykonanie zmien konfigurácie. Ak stratíte všetky kópie súboru ISO, stratili ste aj hlavný kľúč. Obnovenie kľúčov z databázy PostgreSQL alebo Microsoft SQL Server nie je možné.

Nikdy nemáme kópiu tohto kľúča a nemôžeme vám pomôcť, ak ho stratíte.

Nainštalujte OVA hostiteľa HDS

Tento postup použite na vytvorenie virtuálneho počítača zo súboru OVA.
1

Na prihlásenie do virtuálneho hostiteľa ESXi použite klienta VMware vSphere na vašom počítači.

2

Vyberte Súbor > Nasadiť šablónu OVF.

3

V sprievodcovi zadajte umiestnenie súboru OVA, ktorý ste si predtým stiahli, a potom kliknite na tlačidlo Ďalej.

4

Na stránke Vyberte názov a priečinok zadajte názov virtuálneho počítača pre uzol (napríklad „HDS_Node_1“), vyberte umiestnenie, kde sa môže nachádzať nasadenie uzla virtuálneho počítača, a potom kliknite na tlačidlo Ďalej.

5

Na stránke Vyberte výpočtový zdroj vyberte cieľový výpočtový zdroj a potom kliknite na tlačidlo Ďalej.

Spustí sa overovacia kontrola. Po dokončení sa zobrazia podrobnosti šablóny.

6

Overte podrobnosti šablóny a potom kliknite na tlačidlo Ďalej.

7

Ak sa na stránke Konfigurácia zobrazí výzva na výber konfigurácie zdrojov, kliknite na 4 CPU a potom kliknite na Ďalej.

8

Na stránke Vybrať úložisko kliknite na tlačidlo Ďalej a prijmite predvolený formát disku a zásady úložiska virtuálneho počítača.

9

Na stránke Vybrať siete vyberte zo zoznamu položiek možnosť siete, aby ste zabezpečili požadované pripojenie k virtuálnemu počítaču.

10

Na stránke Prispôsobiť šablónu nakonfigurujte nasledujúce sieťové nastavenia:

  • Názov hostiteľa– Zadajte FQDN (názov hostiteľa a doména) alebo jednoslovný názov hostiteľa pre uzol.
    • Nemusíte nastavovať doménu tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509.

    • Pre úspešnú registráciu do cloudu používajte v názve FQDN alebo názve hostiteľa, ktorý ste nastavili pre uzol, iba malé písmená. Veľké písmená momentálne nie sú podporované.

    • Celková dĺžka FQDN nesmie presiahnuť 64 znakov.

  • IP adresa— Zadajte IP adresu interného rozhrania uzla.

    Váš uzol by mal mať internú IP adresu a DNS názov. DHCP nie je podporované.

  • Maska– Zadajte adresu masky podsiete v bodkovo-desatinnom zápise. Napríklad, 255.255.255.0.
  • Brána– Zadajte IP adresu brány. Brána je sieťový uzol, ktorý slúži ako prístupový bod do inej siete.
  • DNS servery– Zadajte zoznam DNS serverov oddelených čiarkami, ktoré prekladajú názvy domén na číselné IP adresy. (Povolené sú maximálne 4 záznamy DNS.)
  • NTP servery– Zadajte NTP server vašej organizácie alebo iný externý NTP server, ktorý je možné použiť vo vašej organizácii. Predvolené NTP servery nemusia fungovať pre všetky podniky. Na zadanie viacerých NTP serverov môžete použiť aj zoznam oddelený čiarkami.
  • Umiestnite všetky uzly v rovnakej podsieti alebo VLAN, aby boli všetky uzly v klastri dostupné z klientov vo vašej sieti na administratívne účely.

Ak chcete, môžete preskočiť konfiguráciu sieťových nastavení a postupovať podľa krokov v časti Nastavenie virtuálneho počítača Hybrid Data Security na konfiguráciu nastavení z konzoly uzla.

Možnosť konfigurácie sieťových nastavení počas nasadenia OVA bola testovaná s ESXi 7.0 a 8.0. Táto možnosť nemusí byť dostupná v starších verziách.

11

Kliknite pravým tlačidlom myši na uzol virtuálneho počítača a potom vyberte Napájanie > Zapnutie.

Softvér Hybrid Data Security je nainštalovaný ako hosť na hostiteľovi virtuálneho počítača. Teraz ste pripravení prihlásiť sa do konzoly a nakonfigurovať uzol.

Tipy na riešenie problémov

Pred spustením kontajnerov uzlov sa môže vyskytnúť niekoľkominútové oneskorenie. Počas prvého spustenia sa na konzole zobrazí správa brány firewall mosta, počas ktorej sa nemôžete prihlásiť.

Nastavenie hybridného virtuálneho počítača zabezpečenia údajov

Tento postup použite na prvé prihlásenie do konzoly virtuálneho počítača uzla Hybrid Data Security a nastavenie prihlasovacích údajov. Konzolu môžete použiť aj na konfiguráciu sieťových nastavení pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.

1

V klientovi VMware vSphere vyberte svoj virtuálny počítač uzla Hybrid Data Security a vyberte kartu Konzola.

Virtuálny počítač sa spustí a zobrazí sa prihlasovacia výzva. Ak sa prihlasovacia výzva nezobrazí, stlačte Enter.
2

Na prihlásenie a zmenu poverení použite nasledujúce predvolené prihlasovacie meno a heslo:

  1. Prihlásenie: admin

  2. Heslo: cisco

Keďže sa do virtuálneho počítača prihlasujete prvýkrát, musíte zmeniť heslo správcu.

3

Ak ste už nakonfigurovali sieťové nastavenia v časti Inštalácia HDS Host OVA, zvyšok tohto postupu preskočte. V opačnom prípade v hlavnej ponuke vyberte možnosť Upraviť konfiguráciu.

4

Nastavte statickú konfiguráciu s informáciami o IP adrese, maske, bráne a DNS. Váš uzol by mal mať internú IP adresu a DNS názov. DHCP nie je podporované.

5

(Voliteľné) V prípade potreby zmeňte názov hostiteľa, doménu alebo server(y) NTP tak, aby zodpovedali vašim sieťovým pravidlám.

Nemusíte nastavovať doménu tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509.

6

Uložte konfiguráciu siete a reštartujte virtuálny počítač, aby sa zmeny prejavili.

Nahrajte a pripojte ISO súbor s konfiguráciou HDS

Tento postup použite na konfiguráciu virtuálneho počítača zo súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool.

Predtým, ako začnete

Keďže súbor ISO obsahuje hlavný kľúč, mal by byť sprístupnený iba na základe „potreby vedieť“, pre prístup virtuálnych počítačov Hybrid Data Security a všetkých správcov, ktorí by mohli potrebovať vykonať zmeny. Uistite sa, že k úložisku údajov majú prístup iba títo administrátori.

1

Nahrajte súbor ISO z počítača:

  1. V ľavom navigačnom paneli klienta VMware vSphere kliknite na server ESXi.

  2. V zozname Hardvér na karte Konfigurácia kliknite na položku Úložisko.

  3. V zozname úložísk údajov kliknite pravým tlačidlom myši na úložisko údajov pre vaše virtuálne počítače a kliknite na položku Prehliadať úložisko údajov.

  4. Kliknite na ikonu Nahrať súbor a potom kliknite na Nahrať súbor.

  5. Prejdite do počítača na miesto, kam ste si stiahli súbor ISO, a kliknite na Otvoriť.

  6. Kliknite na Áno pre potvrdenie upload/download upozornenie na operáciu a zatvorte dialógové okno úložiska údajov.

2

Pripojte súbor ISO:

  1. V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a potom kliknite na položku Upraviť nastavenia.

  2. Kliknite na tlačidlo OK pre potvrdenie upozornenia na obmedzené možnosti úprav.

  3. Kliknite na CD/DVD Drive 1, vyberte možnosť pripojenia zo súboru ISO úložiska údajov a prejdite na miesto, kam ste nahrali súbor ISO s konfiguráciou.

  4. Skontrolujte Pripojené a Pripojiť pri zapnutí.

  5. Uložte zmeny a reštartujte virtuálny počítač.

Čo robiť ďalej

Ak to vyžaduje vaša IT politika, môžete voliteľne odpojiť súbor ISO po tom, čo všetky vaše uzly prevezmú zmeny konfigurácie. Podrobnosti nájdete v časti (Voliteľné) Odpojenie ISO po konfigurácii HDS.

Konfigurácia uzla HDS pre integráciu proxy servera

Ak sieťové prostredie vyžaduje proxy server, použite tento postup na určenie typu proxy servera, ktorý chcete integrovať s Hybrid Data Security. Ak si vyberiete transparentný inšpekčný proxy server alebo explicitný proxy server HTTPS, môžete na nahranie a inštaláciu koreňového certifikátu použiť rozhranie uzla. Pripojenie proxy servera môžete tiež skontrolovať z rozhrania a vyriešiť prípadné problémy.

Predtým, ako začnete

1

Zadajte URL adresu nastavenia uzla HDS https://[HDS Node IP or FQDN]/setup do webového prehliadača, zadajte prihlasovacie údaje správcu, ktoré ste nastavili pre uzol, a potom kliknite na Prihlásiť sa.

2

Prejsť na Úložisko dôveryhodných služieb & Proxya potom vyberte možnosť:

  • Žiadny proxy– Predvolená možnosť pred integráciou proxy. Nie je potrebná žiadna aktualizácia certifikátu.
  • Transparentný nekontrolujúci proxy— Uzly nie sú nakonfigurované na používanie konkrétnej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby mohli pracovať s nekontrolujúcim proxy. Nie je potrebná žiadna aktualizácia certifikátu.
  • Transparentná kontrola proxy— Uzly nie sú nakonfigurované na používanie konkrétnej adresy proxy servera. Pri nasadení hybridnej ochrany údajov nie sú potrebné žiadne zmeny konfigurácie HTTPS, uzly HDS však potrebujú koreňový certifikát, aby dôverovali proxy serveru. Kontrola proxy serverov sa zvyčajne používa v IT oddeleniach na presadzovanie politík týkajúcich sa toho, ktoré webové stránky je možné navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy dešifruje všetku vašu prevádzku (aj HTTPS).
  • Explicitná proxy– Pri explicitnej proxy poviete klientovi (uzlom HDS), ktorý proxy server má použiť, a táto možnosť podporuje niekoľko typov overovania. Po výbere tejto možnosti musíte zadať nasledujúce informácie:
    1. Proxy IP/FQDN—Adresa, ktorú je možné použiť na dosiahnutie proxy servera.

    2. Proxy port– Číslo portu, ktoré proxy používa na počúvanie proxy prevádzky.

    3. Proxy protokol— Vyberte http (zobrazuje a riadi všetky požiadavky prijaté od klienta) alebo https (poskytuje kanál serveru a klient prijíma a overuje certifikát servera). Vyberte možnosť na základe toho, čo váš proxy server podporuje.

    4. Typ overenia– Vyberte si z nasledujúcich typov overenia:

      • Žiadne— Nie je potrebné žiadne ďalšie overenie.

        Dostupné pre HTTP alebo HTTPS proxy.

      • Základné– Používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri zadávaní požiadavky. Používa kódovanie Base64.

        Dostupné pre HTTP alebo HTTPS proxy.

        Ak vyberiete túto možnosť, musíte zadať aj používateľské meno a heslo.

      • Súhrn– Používa sa na overenie účtu pred odoslaním citlivých informácií. Pred odoslaním cez sieť použije na používateľské meno a heslo hašovaciu funkciu.

        Dostupné iba pre HTTPS proxy.

        Ak vyberiete túto možnosť, musíte zadať aj používateľské meno a heslo.

Postupujte podľa nasledujúcich krokov pre transparentnú inšpekčnú proxy, explicitnú proxy HTTP so základným overením alebo explicitnú proxy HTTPS.

3

Kliknite na Nahrať koreňový certifikát alebo certifikát koncovej entitya potom prejdite na výber koreňového certifikátu pre proxy.

Certifikát je nahraný, ale ešte nie je nainštalovaný, pretože na inštaláciu certifikátu je potrebné reštartovať uzol. Kliknite na šípku v tvare šípky vedľa názvu vydavateľa certifikátu a zobrazte si ďalšie podrobnosti alebo kliknite na Odstrániť, ak ste urobili chybu a chcete súbor znova nahrať.

4

Kliknite na Skontrolovať pripojenie proxy a otestujte sieťové pripojenie medzi uzlom a proxy.

Ak test pripojenia zlyhá, zobrazí sa chybové hlásenie s uvedením dôvodu a spôsobu, ako problém vyriešiť.

Ak sa zobrazí správa, že externé rozlíšenie DNS nebolo úspešné, uzol sa nemohol pripojiť k serveru DNS. Táto podmienka sa očakáva v mnohých explicitných konfiguráciách proxy. Môžete pokračovať v nastavení a uzol bude fungovať v režime blokovaného externého rozpoznávania DNS. Ak si myslíte, že ide o chybu, vykonajte tieto kroky a potom si pozrite časť Vypnutie režimu blokovaného externého rozlišovania DNS.

5

Po úspešnom teste pripojenia, ak je explicitný proxy nastavený iba na https, prepnite prepínač do polohy Smerovať všetky porty 443/444 https požiadavky z tohto uzla cez explicitný proxy. Toto nastavenie sa prejaví po 15 sekundách.

6

Kliknite na Inštalovať všetky certifikáty do úložiska dôveryhodných certifikátov (zobrazí sa pre explicitný proxy server HTTPS alebo transparentný inšpekčný proxy server) alebo Reštartovať (zobrazí sa pre explicitný proxy server HTTP), prečítajte si výzvu a potom kliknite na Inštalovať, ak ste pripravení.

Uzol sa reštartuje v priebehu niekoľkých minút.

7

Po reštarte uzla sa v prípade potreby znova prihláste a potom otvorte stránku Prehľad, aby ste skontrolovali kontroly pripojenia a uistili sa, že všetky sú v zelenom stave.

Kontrola proxy pripojenia testuje iba subdoménu webex.com. Ak sa vyskytnú problémy s pripojením, bežným problémom je, že niektoré cloudové domény uvedené v pokynoch na inštaláciu sú blokované na proxy serveri.

Zaregistrujte prvý uzol v klastri

Táto úloha vezme generický uzol, ktorý ste vytvorili v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov, zaregistruje ho v cloude Webex a zmení ho na uzol s hybridným zabezpečením údajov.

Pri registrácii prvého uzla vytvoríte klaster, ku ktorému je uzol priradený. Klaster obsahuje jeden alebo viac uzlov nasadených na zabezpečenie redundancie.

Predtým, ako začnete

  • Keď začnete s registráciou uzla, musíte ju dokončiť do 60 minút, inak budete musieť začať odznova.

  • Uistite sa, že máte vo svojom prehliadači vypnuté všetky blokovače vyskakovacích okien alebo že máte povolenú výnimku pre admin.webex.com.

1

Prihláste sa do https://admin.webex.com.

2

V ponuke na ľavej strane obrazovky vyberte možnosť Služby.

3

V sekcii Cloudové služby vyhľadajte kartu Hybridné zabezpečenie údajov a kliknite na Nastaviť.

4

Na stránke, ktorá sa otvorí, kliknite na Pridať zdroj.

5

Do prvého poľa karty Pridať uzol zadajte názov klastra, ku ktorému chcete priradiť uzol Hybrid Data Security.

Odporúčame pomenovať klaster na základe geografickej polohy uzlov klastra. Príklady: „San Francisco“ alebo „New York“ alebo „Dallas“

6

Do druhého poľa zadajte internú IP adresu alebo plne kvalifikovaný názov domény (FQDN) vášho uzla a kliknite na tlačidlo Pridať v dolnej časti obrazovky.

Táto IP adresa alebo FQDN by sa mala zhodovať s IP adresou alebo názvom hostiteľa a doménou, ktoré ste použili v Nastavenie virtuálneho počítača Hybrid Data Security.

Zobrazí sa správa s informáciou, že môžete zaregistrovať svoj uzol do Webexu.
7

Kliknite na Prejsť na uzol.

Po chvíli budete presmerovaní na testy pripojenia uzlov pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Povoliť prístup k uzlu hybridného zabezpečenia údajov. Tam potvrdíte, že chcete udeliť svojej organizácii Webex povolenia na prístup k vášmu uzlu.

8

Začiarknite políčko Povoliť prístup k vášmu hybridnému uzlu zabezpečenia údajov a potom kliknite na tlačidlo Pokračovať.

Váš účet je overený a správa „Registrácia dokončená“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
9

Kliknite na odkaz alebo zatvorte kartu a vráťte sa na stránku Zabezpečenie hybridných údajov v centre partnerov.

Na stránke Hybridná bezpečnosť údajov sa v časti Zdroje zobrazí nový klaster obsahujúci uzol, ktorý ste zaregistrovali. Uzol automaticky stiahne najnovší softvér z cloudu.

Vytvorte a zaregistrujte ďalšie uzly

Ak chcete do klastra pridať ďalšie uzly, jednoducho vytvoríte ďalšie virtuálne počítače, pripojíte rovnaký konfiguračný súbor ISO a potom zaregistrujete uzol. Odporúčame mať aspoň 3 uzly.

Predtým, ako začnete

  • Keď začnete s registráciou uzla, musíte ju dokončiť do 60 minút, inak budete musieť začať odznova.

  • Uistite sa, že máte vo svojom prehliadači vypnuté všetky blokovače vyskakovacích okien alebo že máte povolenú výnimku pre admin.webex.com.

1

Vytvorte nový virtuálny počítač z OVA opakovaním krokov v časti Inštalácia OVA hostiteľa HDS.

2

Nastavte počiatočnú konfiguráciu na novom virtuálnom počítači opakovaním krokov v časti Nastavenie hybridného virtuálneho počítača so zabezpečením údajov.

3

Na novom virtuálnom počítači zopakujte kroky v časti Nahranie a pripojenie ISO súboru konfigurácie HDS.

4

Ak pre svoje nasadenie nastavujete proxy server, zopakujte kroky v časti Konfigurácia uzla HDS pre integráciu proxy servera podľa potreby pre nový uzol.

5

Zaregistrujte uzol.

  1. V ponuke https://admin.webex.comvyberte na ľavej strane obrazovky možnosť Služby.

  2. V sekcii Cloudové služby vyhľadajte kartu Hybridné zabezpečenie údajov a kliknite na Zobraziť všetko.

    Zobrazí sa stránka Zdroje hybridného zabezpečenia údajov.
  3. Novovytvorený klaster sa zobrazí na stránke Zdroje.

  4. Kliknite na klaster pre zobrazenie uzlov priradených ku klastru.

  5. Kliknite na Pridať uzol na pravej strane obrazovky.

  6. Zadajte internú IP adresu alebo plne kvalifikovaný názov domény (FQDN) vášho uzla a kliknite na Pridať.

    Otvorí sa stránka so správou, že môžete zaregistrovať svoj uzol do cloudu Webex. Po chvíli budete presmerovaní na testy pripojenia uzlov pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Povoliť prístup k uzlu hybridného zabezpečenia údajov. Tam potvrdíte, že chcete svojej organizácii udeliť povolenia na prístup k vášmu uzlu.
  7. Začiarknite políčko Povoliť prístup k vášmu hybridnému uzlu zabezpečenia údajov a potom kliknite na tlačidlo Pokračovať.

    Váš účet je overený a správa „Registrácia dokončená“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
  8. Kliknite na odkaz alebo zatvorte kartu a vráťte sa na stránku Zabezpečenie hybridných údajov v centre partnerov.

    V dolnej časti obrazovky v Centre partnerov sa tiež zobrazí kontextové oknoUzol pridaný.

    Váš uzol je zaregistrovaný.

Správa organizácií nájomníkov v rámci hybridného zabezpečenia údajov pre viacerých nájomníkov

Aktivácia Multi-Tenant HDS v centre partnerov

Táto úloha zabezpečí, aby všetci používatelia zákazníckych organizácií mohli začať využívať HDS pre lokálne šifrovacie kľúče a ďalšie bezpečnostné služby.

Predtým, ako začnete

Uistite sa, že ste dokončili nastavenie klastra Multi-Tenant HDS s požadovaným počtom uzlov.

1

Prihláste sa do https://admin.webex.com.

2

V ponuke na ľavej strane obrazovky vyberte možnosť Služby.

3

V sekcii Cloudové služby vyhľadajte položku Hybridné zabezpečenie údajov a kliknite na položku Upraviť nastavenia.

4

Kliknite na Aktivovať HDS na karte Stav HDS.

Pridanie organizácií nájomníkov do Centra partnerov

V tejto úlohe priradíte organizácie zákazníkov k vášmu hybridnému klastru zabezpečenia údajov.

1

Prihláste sa do https://admin.webex.com.

2

V ponuke na ľavej strane obrazovky vyberte možnosť Služby.

3

V sekcii Cloudové služby vyhľadajte Hybridné zabezpečenie údajov a kliknite na Zobraziť všetko.

4

Kliknite na klaster, do ktorého chcete priradiť zákazníka.

5

Prejdite na kartu Priradení zákazníci.

6

Kliknite na Pridať zákazníkov.

7

Z rozbaľovacej ponuky vyberte zákazníka, ktorého chcete pridať.

8

Kliknite na Pridať, zákazník bude pridaný do klastra.

9

Ak chcete do klastra pridať viacerých zákazníkov, zopakujte kroky 6 až 8.

10

Po pridaní zákazníkov kliknite na tlačidlo Hotovo v dolnej časti obrazovky.

Čo robiť ďalej

Spustite nástroj HDS Setup podľa pokynov v časti Vytvorenie hlavných kľúčov zákazníka (CMK) pomocou nástroja HDS Setup na dokončenie procesu nastavenia.

Vytvorenie hlavných kľúčov zákazníka (CMK) pomocou nástroja HDS Setup

Predtým, ako začnete

Priraďte zákazníkov do príslušného klastra, ako je podrobne popísané v časti Pridanie organizácií nájomníkov v centre partnerov. Spustite nástroj HDS Setup a dokončite proces nastavenia pre novo pridané organizácie zákazníkov.

  • Nástroj na nastavenie HDS beží ako kontajner Docker na lokálnom počítači. Ak k nemu chcete získať prístup, spustite na danom počítači Docker. Proces nastavenia vyžaduje prihlasovacie údaje účtu Partner Hub s úplnými oprávneniami správcu pre vašu organizáciu.

    Ak nástroj HDS Setup beží za proxy serverom vo vašom prostredí, zadajte nastavenia proxy servera (server, port, poverenia) prostredníctvom premenných prostredia Docker pri spustení kontajnera Docker v kroku 5. Táto tabuľka uvádza niektoré možné premenné prostredia:

    Opis

    Premenná

    HTTP proxy bez overenia

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez overenia

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP proxy s autentifikáciou

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proxy s overovaním

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč šifrujúci databázu PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny konfigurácie, ako napríklad:

    • Prihlasovacie údaje k databáze

    • Aktualizácie certifikátov

    • Zmeny v autorizačnej politike

  • Ak plánujete šifrovať pripojenia k databáze, nastavte si nasadenie PostgreSQL alebo SQL Servera pre TLS.

Proces inštalácie hybridného zabezpečenia údajov vytvorí súbor ISO. Potom použijete ISO súbor na konfiguráciu hostiteľa Hybrid Data Security.

1

Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

V bežnom prostredí:

docker rmi ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí predchádzajúce obrazy z nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

2

Ak sa chcete prihlásiť do registra obrazov Docker, zadajte nasledujúce:

docker login -u hdscustomersro
3

Pri zadávaní hesla zadajte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stiahnite si najnovší stabilný obraz pre vaše prostredie:

V bežnom prostredí:

docker pull ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

  • V bežnom prostredí bez proxy servera:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V prostrediach FedRAMP bez proxy servera:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • V prostrediach FedRAMP s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • V prostrediach FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Keď je kontajner spustený, zobrazí sa hlásenie „Server Express počúva na porte 8080“.

6

Nástroj na nastavenie nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhostu použite http://127.0.0.1:8080.

Pomocou webového prehliadača prejdite na localhost, http://127.0.0.1:8080a do výzvy zadajte používateľské meno správcu pre Partner Hub.

Nástroj použije toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú prihlasovaciu výzvu.

7

Po zobrazení výzvy zadajte svoje prihlasovacie údaje správcu Centra partnerov a potom kliknite na Prihlásiť sa, čím povolíte prístup k požadovaným službám pre hybridné zabezpečenie údajov.

8

Na stránke s prehľadom nástroja na nastavenie kliknite na Začíname.

9

Na stránke Import ISO kliknite na Áno.

10

Vyberte súbor ISO v prehliadači a nahrajte ho.

Zabezpečte pripojenie k databáze na vykonávanie správy CMK.
11

Prejdite na kartu Správa CMK nájomníka, kde nájdete nasledujúce tri spôsoby správy CMK nájomníka.

  • Vytvoriť CMK pre všetky ORG alebo Vytvoriť CMK – Kliknite na toto tlačidlo na banneri v hornej časti obrazovky a vytvorte CMK pre všetky novo pridané organizácie.
  • Kliknite na tlačidlo Spravovať kľúče CMK na pravej strane obrazovky a kliknite na Vytvoriť kľúče CMK, čím vytvoríte kľúče CMK pre všetky novo pridané organizácie.
  • Kliknite na … vedľa stavu čakania na správu CMK konkrétnej organizácie v tabuľke a kliknite na Vytvoriť CMK, čím vytvoríte CMK pre danú organizáciu.
12

Po úspešnom vytvorení CMK sa stav v tabuľke zmení z čaká na správu CMK na spravované CMK.

13

Ak je vytvorenie CMK neúspešné, zobrazí sa chyba.

Odstrániť organizácie nájomníkov

Predtým, ako začnete

Po odstránení nebudú môcť používatelia zákazníckych organizácií využívať HDS na svoje šifrovacie potreby a stratia všetky existujúce priestory. Pred odstránením organizácií zákazníkov kontaktujte svojho partnera alebo správcu účtu Cisco.

1

Prihláste sa do https://admin.webex.com.

2

V ponuke na ľavej strane obrazovky vyberte možnosť Služby.

3

V sekcii Cloudové služby vyhľadajte Hybridné zabezpečenie údajov a kliknite na Zobraziť všetko.

4

Na karte Zdroje kliknite na klaster, z ktorého chcete odstrániť organizácie zákazníkov.

5

Na stránke, ktorá sa otvorí, kliknite na Priradení zákazníci.

6

V zobrazenom zozname organizácií zákazníkov kliknite na ... na pravej strane organizácie zákazníka, ktorú chcete odstrániť, a potom kliknite na Odstrániť z klastra.

Čo robiť ďalej

Dokončite proces odstránenia zrušením kľúčov CMK zákazníckych organizácií, ako je podrobne uvedené v časti Zrušenie kľúčov CMK nájomníkov odstránených z HDS.

Zrušiť kľúče nájomníkov odstránených z HDS.

Predtým, ako začnete

Odstráňte zákazníkov z príslušného klastra, ako je podrobne popísané v časti Odstránenie organizácií nájomníkov. Spustite nástroj HDS Setup a dokončite proces odstraňovania odstránených organizácií zákazníkov.

  • Nástroj na nastavenie HDS beží ako kontajner Docker na lokálnom počítači. Ak k nemu chcete získať prístup, spustite na danom počítači Docker. Proces nastavenia vyžaduje prihlasovacie údaje účtu Partner Hub s úplnými oprávneniami správcu pre vašu organizáciu.

    Ak nástroj HDS Setup beží za proxy serverom vo vašom prostredí, zadajte nastavenia proxy servera (server, port, poverenia) prostredníctvom premenných prostredia Docker pri spustení kontajnera Docker v kroku 5. Táto tabuľka uvádza niektoré možné premenné prostredia:

    Opis

    Premenná

    HTTP proxy bez overenia

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez overenia

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP proxy s autentifikáciou

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proxy s overovaním

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč šifrujúci databázu PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny konfigurácie, ako napríklad:

    • Prihlasovacie údaje k databáze

    • Aktualizácie certifikátov

    • Zmeny v autorizačnej politike

  • Ak plánujete šifrovať pripojenia k databáze, nastavte si nasadenie PostgreSQL alebo SQL Servera pre TLS.

Proces inštalácie hybridného zabezpečenia údajov vytvorí súbor ISO. Potom použijete ISO súbor na konfiguráciu hostiteľa Hybrid Data Security.

1

Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

V bežnom prostredí:

docker rmi ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí predchádzajúce obrazy z nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

2

Ak sa chcete prihlásiť do registra obrazov Docker, zadajte nasledujúce:

docker login -u hdscustomersro
3

Pri zadávaní hesla zadajte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stiahnite si najnovší stabilný obraz pre vaše prostredie:

V bežnom prostredí:

docker pull ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

  • V bežnom prostredí bez proxy servera:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V prostrediach FedRAMP bez proxy servera:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • V prostrediach FedRAMP s HTTP proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • V prostrediach FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Keď je kontajner spustený, zobrazí sa hlásenie „Server Express počúva na porte 8080“.

6

Nástroj na nastavenie nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhostu použite http://127.0.0.1:8080.

Pomocou webového prehliadača prejdite na localhost, http://127.0.0.1:8080a do výzvy zadajte používateľské meno správcu pre Partner Hub.

Nástroj použije toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú prihlasovaciu výzvu.

7

Po zobrazení výzvy zadajte svoje prihlasovacie údaje správcu Centra partnerov a potom kliknite na Prihlásiť sa, čím povolíte prístup k požadovaným službám pre hybridné zabezpečenie údajov.

8

Na stránke s prehľadom nástroja na nastavenie kliknite na Začíname.

9

Na stránke Import ISO kliknite na Áno.

10

Vyberte súbor ISO v prehliadači a nahrajte ho.

11

Prejdite na kartu Správa CMK nájomníka, kde nájdete nasledujúce tri spôsoby správy CMK nájomníka.

  • Zrušiť CMK pre všetky organizácie alebo Zrušiť CMK – Kliknite na toto tlačidlo na banneri v hornej časti obrazovky a zrušte CMK všetkých odstránených organizácií.
  • Kliknite na tlačidlo Spravovať kľúče CMK na pravej strane obrazovky a kliknite na Zrušiť kľúče CMK, čím zrušíte kľúče CMK všetkých odstránených organizácií.
  • Kliknite na vedľa stavu CMK na zrušenie konkrétnej organizácie v tabuľke a kliknite na Zrušiť CMK, čím zrušíte CMK pre danú organizáciu.
12

Po úspešnom zrušení CMK sa organizácia zákazníka už v tabuľke nezobrazí.

13

Ak je zrušenie CMK neúspešné, zobrazí sa chyba.

Otestujte si nasadenie hybridného zabezpečenia údajov

Otestujte si nasadenie hybridného zabezpečenia údajov

Tento postup použite na testovanie scenárov šifrovania hybridného zabezpečenia údajov pre viacerých nájomcov.

Predtým, ako začnete

  • Nastavte si nasadenie hybridného zabezpečenia údajov pre viacerých nájomcov.

  • Uistite sa, že máte prístup k systémovému denníku, aby ste overili, či sa požiadavky na kľúče odosielajú do vášho nasadenia hybridného zabezpečenia údajov pre viacerých klientov.

1

Kľúče pre daný priestor nastavuje tvorca priestoru. Prihláste sa do aplikácie Webex ako jeden z používateľov zákazníckej organizácie a potom vytvorte priestor.

Ak deaktivujete nasadenie hybridného zabezpečenia údajov, obsah v priestoroch, ktoré používatelia vytvoria, už nebude prístupný po nahradení kópií šifrovacích kľúčov uložených v klientskej vyrovnávacej pamäti.

2

Posielajte správy do nového priestoru.

3

Skontrolujte výstup syslogu a overte, či sa požiadavky na kľúče odosielajú do vášho nasadenia hybridného zabezpečenia údajov.

Ak používateľ novo pridanej zákazníckej organizácie vykoná akúkoľvek akciu, ID organizácie sa zobrazí v protokoloch a možno ho použiť na overenie, či organizácia využíva Multi-Tenant HDS. Skontrolujte hodnotu kms.data.orgId v systémových protokoloch.

  1. Ak chcete skontrolovať, či používateľ najprv nadväzuje zabezpečený kanál do KMS, filtrujte podľa kms.data.method=create a kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Mali by ste nájsť záznam, ako je tento (identifikátory skrátené pre lepšiu čitateľnosť):
    2025-04-10 04:38:20.208 (+0000) INFO  KMS [pool-19-thread-13] - [KMS:REQUEST] received, deviceId: 
    https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5 ecdheKid: kms://collabdemoorg.cisco.com/statickeys/8[~]3 
    clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]6,
     kms.data.method=create, kms.merc.id=d[~]7, kms.merc.sync=false, kms.data.uriHost=collabdemoorg.cisco.com, 
    kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=1[~]f, kms.data.orgId=2[~]b,
     kms.data.uri=kms://collabdemoorg.cisco.com/ecdhe, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]
    
  2. Ak chcete skontrolovať používateľa, ktorý žiada o existujúci kľúč zo služby KMS, použite filtre kms.data.method=retrieve a kms.data.type=KEY:

    Mali by ste nájsť záznam, ako napríklad:
    2025-04-10 04:38:24.144 (+0000) INFO  KMS [pool-19-thread-26] - [KMS:REQUEST] received, 
    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
     ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558)
     WEBEX_TRACKINGID=webex-web-client_0[~]0, kms.data.method=retrieve, kms.merc.id=5[~]3, kms.merc.sync=false,
     kms.data.uriHost=collabdemoorg.cisco.com, kms.data.type=KEY, kms.data.requestId=4[~]7, kms.data.orgId=2[~]b,
     kms.data.uri=kms://collabdemoorg.cisco.com/keys/2[~]e, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]
    
  3. Ak chcete skontrolovať používateľa, ktorý žiada o vytvorenie nového kľúča KMS, vyfiltrujte podľa kms.data.method=create a kms.data.type=KEY_COLLECTION:

    Mali by ste nájsť záznam, ako napríklad:
    2025-04-10 04:42:22.739 (+0000) INFO  KMS [pool-19-thread-29] - [KMS:REQUEST] received, 
    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
     ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::7 orgId: 2[~]b
     (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]3, kms.data.method=create, 
    kms.merc.id=6[~]4, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, 
    kms.data.orgId=2[~]b, kms.data.uri=/keys, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]
    
  4. Ak chcete skontrolovať, či používateľ požaduje vytvorenie nového objektu zdroja KMS (KRO) pri vytvorení priestoru alebo iného chráneného zdroja, filtrujte podľa kms.data.method=create a kms.data.type=RESOURCE_COLLECTION:

    Mali by ste nájsť záznam, ako napríklad:
    2025-04-10 04:42:23.690 (+0000) INFO  KMS [pool-19-thread-31] - [KMS:REQUEST] received, 
    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/3[~]6 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 
    clusterConnection: prodachm::1 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]2,
     kms.data.method=create, kms.merc.id=3[~]0, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
    kms.data.requestId=5[~]8, kms.data.orgId=2[~]b, kms.data.uri=/resources, kms.data.userId=1[~]f, kms.data.httpUserAgent=conversation  

Monitorovanie stavu hybridnej bezpečnosti údajov

Indikátor stavu v centre partnerov vám ukazuje, či je s nasadením hybridného zabezpečenia údajov pre viacerých nájomcov všetko v poriadku. Pre proaktívnejšie upozornenia sa zaregistrujte na odber e-mailových upozornení. Dostanete upozornenie na alarmy alebo aktualizácie softvéru, ktoré majú vplyv na službu.
1

V Partnerskom centrevyberte v ponuke na ľavej strane obrazovky možnosť Služby.

2

V sekcii Cloudové služby vyhľadajte položku Hybridné zabezpečenie údajov a kliknite na položku Upraviť nastavenia.

Zobrazí sa stránka Nastavenia hybridného zabezpečenia údajov.
3

V sekcii E-mailové upozornenia zadajte jednu alebo viac e-mailových adries oddelených čiarkami a stlačte kláves Enter.

Spravujte nasadenie HDS

Správa nasadenia HDS

Na správu nasadenia hybridného zabezpečenia údajov použite úlohy opísané v tomto dokumente.

Nastaviť plán aktualizácie klastra

Aktualizácie softvéru pre hybridné zabezpečenie údajov sa vykonávajú automaticky na úrovni klastra, čo zabezpečuje, že všetky uzly vždy používajú rovnakú verziu softvéru. Aktualizácie sa vykonávajú podľa harmonogramu aktualizácií pre klaster. Keď je k dispozícii aktualizácia softvéru, máte možnosť manuálne aktualizovať klaster pred plánovaným časom aktualizácie. Môžete nastaviť konkrétny plán aktualizácie alebo použiť predvolený plán 3:00 AM Daily Spojené štáty: America/Los Angeles. V prípade potreby môžete tiež odložiť nadchádzajúcu aktualizáciu.

Nastavenie plánu aktualizácie:

1

Prihláste sa do Centra partnerov.

2

V ponuke na ľavej strane obrazovky vyberte možnosť Služby.

3

V sekcii Cloudové služby vyhľadajte Hybridné zabezpečenie údajov a kliknite na Nastaviť

4

Na stránke Hybrid Data Security Prosources (Zdroje hybridného zabezpečenia údajov) vyberte klaster.

5

Kliknite na kartu Nastavenia klastra.

6

Na stránke Nastavenia klastra v časti Plán aktualizácie vyberte čas a časové pásmo pre plán aktualizácie.

Poznámka: Pod časovým pásmom sa zobrazuje dátum a čas najbližšej dostupnej aktualizácie. V prípade potreby môžete aktualizáciu odložiť na nasledujúci deň kliknutím na Odložiť o 24 hodín.

Zmena konfigurácie uzla

Občas môže byť potrebné zmeniť konfiguráciu uzla Hybrid Data Security z dôvodu, ako napríklad:
  • Zmena certifikátov x.509 z dôvodu expirácie alebo z iných dôvodov.

    Nepodporujeme zmenu názvu domény CN certifikátu. Doména sa musí zhodovať s pôvodnou doménou použitou na registráciu klastra.

  • Aktualizácia nastavení databázy na zmenu na repliku databázy PostgreSQL alebo Microsoft SQL Server.

    Nepodporujeme migráciu údajov z PostgreSQL do Microsoft SQL Servera ani naopak. Ak chcete prepnúť databázové prostredie, spustite nové nasadenie hybridného zabezpečenia údajov.

  • Vytvorenie novej konfigurácie na prípravu nového dátového centra.

Z bezpečnostných dôvodov používa Hybrid Data Security aj heslá servisných účtov s deväťmesačnou životnosťou. Keď nástroj na nastavenie HDS vygeneruje tieto heslá, nasadíte ich na každý z uzlov HDS v konfiguračnom súbore ISO. Keď sa blíži koniec platnosti hesiel vašej organizácie, tím Webex vám pošle oznámenie o obnovení hesla pre váš počítačový účet. (E-mail obsahuje text „Na aktualizáciu hesla použite rozhranie API pre konto počítača.“) Ak platnosť vašich hesiel ešte nevypršala, nástroj vám ponúkne dve možnosti:

  • Mäkký reset— Staré aj nové heslo fungujú až 10 dní. Toto obdobie využite na postupnú výmenu ISO súboru na uzloch.

  • Tvrdý reset— Staré heslá okamžite prestanú fungovať.

Ak platnosť vašich hesiel vyprší bez resetovania, ovplyvní to vašu službu HDS a bude si to vyžadovať okamžitý tvrdý reset a výmenu súboru ISO na všetkých uzloch.

Pomocou tohto postupu vygenerujte nový konfiguračný súbor ISO a použite ho vo svojom klastri.

Predtým, ako začnete

  • Nástroj na nastavenie HDS beží ako kontajner Docker na lokálnom počítači. Ak k nemu chcete získať prístup, spustite na danom počítači Docker. Proces nastavenia vyžaduje prihlasovacie údaje účtu Partner Hub s plnými oprávneniami správcu partnera.

    Ak nemáte licenciu Docker Desktop, môžete na spustenie nástroja HDS Setup pre kroky 1.a až 1.e v postupe nižšie použiť Podman Desktop. Podrobnosti nájdete v časti Spustenie nástroja HDS Setup pomocou nástroja Podman Desktop.

    Ak nástroj HDS Setup beží za proxy serverom vo vašom prostredí, zadajte nastavenia proxy servera (server, port, prihlasovacie údaje) prostredníctvom premenných prostredia Docker pri spúšťaní kontajnera Docker v 1.e. Táto tabuľka uvádza niektoré možné premenné prostredia:

    Opis

    Premenná

    HTTP proxy bez overenia

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez overenia

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP proxy s autentifikáciou

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proxy s overovaním

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Na vygenerovanie novej konfigurácie potrebujete kópiu aktuálneho konfiguračného súboru ISO. ISO súbor obsahuje hlavný kľúč šifrujúci databázu PostgreSQL alebo Microsoft SQL Server. Súbor ISO potrebujete pri vykonávaní zmien konfigurácie vrátane poverení databázy, aktualizácií certifikátov alebo zmien v autorizačnej politike.

1

Pomocou Dockeru na lokálnom počítači spustite nástroj HDS Setup Tool.

  1. Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

    V bežnom prostredí:

    docker rmi ciscocitg/hds-setup:stable

    V prostrediach FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Tento krok vyčistí predchádzajúce obrazy z nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

  2. Ak sa chcete prihlásiť do registra obrazov Docker, zadajte nasledujúce:

    docker login -u hdscustomersro
  3. Pri zadávaní hesla zadajte tento hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
  4. Stiahnite si najnovší stabilný obraz pre vaše prostredie:

    V bežnom prostredí:

    docker pull ciscocitg/hds-setup:stable

    V prostrediach FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Pre tento postup sa uistite, že máte najnovšiu verziu inštalačného nástroja. Verzie nástroja vytvorené pred 22. februárom 2018 nemajú obrazovky na obnovenie hesla.

  5. Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

    • V bežnom prostredí bez proxy servera:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
    • V bežných prostrediach s HTTP proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • V bežných prostrediach s HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • V prostrediach FedRAMP bez proxy servera:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
    • V prostrediach FedRAMP s HTTP proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
    • V prostrediach FedRAMP s HTTPS proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Keď je kontajner spustený, zobrazí sa hlásenie „Server Express počúva na porte 8080“.

  6. Na pripojenie k lokálnemu hostiteľovi použite prehliadač, http://127.0.0.1:8080.

    Nástroj na nastavenie nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhostu použite http://127.0.0.1:8080.

  7. Po zobrazení výzvy zadajte prihlasovacie údaje zákazníka do Centra partnerov a potom kliknite na tlačidlo Prijať pre pokračovanie.

  8. Importujte aktuálny konfiguračný súbor ISO.

  9. Postupujte podľa pokynov na dokončenie nástroja a stiahnutie aktualizovaného súboru.

    Ak chcete nástroj Nastavenie vypnúť, zadajte CTRL+C.

  10. Vytvorte záložnú kópiu aktualizovaného súboru v inom dátovom centre.

2

Ak máte spustený iba jeden uzol HDS, vytvorte nový virtuálny počítač uzla Hybrid Data Security a zaregistrujte ho pomocou nového konfiguračného súboru ISO. Podrobnejšie pokyny nájdete v časti Vytvorenie a registrácia ďalších uzlov.

  1. Nainštalujte OVA hostiteľa HDS.

  2. Nastavte virtuálny počítač HDS.

  3. Pripojte aktualizovaný konfiguračný súbor.

  4. Zaregistrujte nový uzol v Centre partnerov.

3

Pre existujúce uzly HDS, ktoré používajú starší konfiguračný súbor, pripojte súbor ISO. Nasledujúci postup vykonajte postupne na každom uzle a pred vypnutím ďalšieho uzla aktualizujte každý uzol:

  1. Vypnite virtuálny počítač.

  2. V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a potom kliknite na položku Upraviť nastavenia.

  3. Kliknite na CD/DVD Drive 1, vyberte možnosť pripojenia zo súboru ISO a prejdite do umiestnenia, kam ste stiahli nový konfiguračný súbor ISO.

  4. Skontrolujte Pripojenie pri zapnutí.

  5. Uložte zmeny a zapnite virtuálny počítač.

4

Zopakujte krok 3 a nahraďte konfiguráciu na každom zostávajúcom uzle, na ktorom je spustená stará konfigurácia.

Vypnite režim blokovaného externého rozlišovania DNS

Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. Ak DNS server uzla nedokáže rozlíšiť verejné DNS názvy, uzol automaticky prejde do režimu blokovaného externého DNS rozpoznávania.

Ak vaše uzly dokážu prekladať verejné názvy DNS prostredníctvom interných serverov DNS, môžete tento režim vypnúť opätovným spustením testu pripojenia proxy na každom uzle.

Predtým, ako začnete

Uistite sa, že vaše interné DNS servery dokážu rozpoznať verejné DNS názvy a že vaše uzly s nimi dokážu komunikovať.
1

Vo webovom prehliadači otvorte rozhranie uzla Hybrid Data Security (IP address/setup, Napríklad https://192.0.2.0/setup), zadajte prihlasovacie údaje správcu, ktoré ste nastavili pre uzol, a potom kliknite na Prihlásiť sa.

2

Prejdite na Prehľad (predvolená stránka).

Keď je povolené, Blokované rozlíšenie externého DNS je nastavené na Áno.

3

Prejsť do Trust Store & Stránka Proxy.

4

Kliknite na Skontrolovať pripojenie proxy.

Ak sa zobrazí správa, že externé rozlíšenie DNS nebolo úspešné, uzol sa nemohol pripojiť k serveru DNS a zostane v tomto režime. V opačnom prípade by po reštarte uzla a návrate na stránku Prehľad malo byť pre možnosť Blokované externé rozlíšenie DNS nastavené na hodnotu nie.

Čo robiť ďalej

Zopakujte test proxy pripojenia na každom uzle v klastri Hybrid Data Security.

Odstrániť uzol

Tento postup použite na odstránenie uzla Hybrid Data Security z cloudu Webex. Po odstránení uzla z klastra odstráňte virtuálny počítač, aby ste zabránili ďalšiemu prístupu k vašim bezpečnostným údajom.
1

Pomocou klienta VMware vSphere na vašom počítači sa prihláste do virtuálneho hostiteľa ESXi a vypnite virtuálny počítač.

2

Odstráňte uzol:

  1. Prihláste sa do Centra partnerov a potom vyberte Služby.

  2. Na karte Hybridná bezpečnosť údajov kliknite na položku Zobraziť všetko, čím zobrazíte stránku Zdroje hybridnej bezpečnosti údajov.

  3. Vyberte svoj klaster, aby sa zobrazil jeho panel Prehľad.

  4. Kliknite na uzol, ktorý chcete odstrániť.

  5. Kliknite na Zrušiť registráciu tohto uzla na paneli, ktorý sa zobrazí vpravo

  6. Registráciu uzla môžete zrušiť aj kliknutím na … na pravej strane uzla a výberom možnosti Odstrániť tento uzol.

3

V klientovi vSphere odstráňte virtuálny počítač. (V ľavom navigačnom paneli kliknite pravým tlačidlom myši na virtuálny počítač a potom kliknite na položku Odstrániť.)

Ak virtuálny počítač neodstránite, nezabudnite odpojiť konfiguračný súbor ISO. Bez súboru ISO nemôžete použiť virtuálny počítač na prístup k svojim bezpečnostným údajom.

Obnova po havárii pomocou záložného dátového centra

Najdôležitejšou službou, ktorú poskytuje váš klaster hybridnej bezpečnosti údajov, je vytváranie a ukladanie kľúčov používaných na šifrovanie správ a iného obsahu uloženého v cloude Webex. Pre každého používateľa v organizácii, ktorý je priradený k hybridnej bezpečnosti údajov, sa nové požiadavky na vytvorenie kľúča smerujú do klastra. Klaster je tiež zodpovedný za vrátenie kľúčov, ktoré vytvoril, všetkým používateľom oprávneným na ich načítanie, napríklad členom konverzačného priestoru.

Keďže klaster vykonáva kľúčovú funkciu poskytovania týchto kľúčov, je nevyhnutné, aby klaster zostal v prevádzke a aby sa udržiavali správne zálohy. Strata databázy Hybrid Data Security alebo konfiguračného ISO súboru použitého pre schému bude mať za následok NENAHRADITEĽNÚ STRATU obsahu zákazníka. Na zabránenie takejto straty sú povinné nasledujúce postupy:

Ak havária spôsobí, že nasadenie HDS v primárnom dátovom centre nebude k dispozícii, postupujte podľa tohto postupu a manuálne prepnite systém do záložného dátového centra.

Predtým, ako začnete

Zrušte registráciu všetkých uzlov z Centra partnerov, ako je uvedené v časti Odstránenie uzla. Na vykonanie nižšie uvedenej procedúry prepnutia pri zlyhaní použite najnovší súbor ISO, ktorý bol nakonfigurovaný pre uzly klastra, ktorý bol predtým aktívny.
1

Spustite nástroj HDS Setup a postupujte podľa krokov uvedených v časti Vytvorenie konfiguračného ISO súboru pre hostiteľov HDS.

2

Dokončite proces konfigurácie a uložte súbor ISO na ľahko dostupné miesto.

3

Vytvorte záložnú kópiu súboru ISO na vašom lokálnom systéme. Záložnú kópiu uschovajte bezpečne. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov hybridnej ochrany údajov, ktorí by mali vykonávať zmeny konfigurácie.

4

V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a potom kliknite na položku Upraviť nastavenia.

5

Kliknite na Upraviť nastavenia >CD/DVD Jednotka 1 a vyberte Súbor ISO úložiska dát.

Uistite sa, že sú začiarknuté políčka Pripojené a Pripojiť pri zapnutí, aby sa aktualizované zmeny konfigurácie mohli prejaviť po spustení uzlov.

6

Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú spustené žiadne alarmy.

7

Zaregistrujte uzol v centre pre partnerov. Pozrite si Zaregistrujte prvý uzol v klastri.

8

Zopakujte postup pre každý uzol v záložnom dátovom centre.

Čo robiť ďalej

Ak sa po záložnom prepnutí primárne dátové centrum opäť aktivuje, zrušte registráciu uzlov záložného dátového centra a zopakujte proces konfigurácie ISO a registrácie uzlov primárneho dátového centra, ako je uvedené vyššie.

(Voliteľné) Odpojenie ISO po konfigurácii HDS

Štandardná konfigurácia HDS beží s namontovaným ISO. Niektorí zákazníci však radšej nenechávajú súbory ISO pripojené nepretržite. Súbor ISO môžete odpojiť po tom, ako všetky uzly HDS prevezmú novú konfiguráciu.

Súbory ISO stále používate na vykonávanie zmien konfigurácie. Keď vytvoríte nový ISO súbor alebo aktualizujete ISO súbor pomocou nástroja Setup Tool, musíte pripojiť aktualizovaný ISO súbor na všetky uzly HDS. Keď všetky vaše uzly prevezmú zmeny konfigurácie, môžete ISO súbor znova odpojiť pomocou tohto postupu.

Predtým, ako začnete

Aktualizujte všetky svoje uzly HDS na verziu 2021.01.22.4720 alebo novšiu.

1

Vypnite jeden z uzlov HDS.

2

V zariadení vCenter Server Appliance vyberte uzol HDS.

3

Vyberte Upraviť nastavenia > CD/DVD disk a zrušte začiarknutie Súbor ISO úložiska údajov.

4

Zapnite uzol HDS a uistite sa, že aspoň 20 minút nie sú spustené žiadne alarmy.

5

Opakujte postupne pre každý uzol HDS.

Riešenie problémov s hybridnou bezpečnosťou údajov

Zobraziť upozornenia a riešenie problémov

Nasadenie hybridnej ochrany údajov sa považuje za nedostupné, ak sú všetky uzly v klastri nedostupné alebo ak klaster pracuje tak pomaly, že vyžaduje časový limit. Ak sa používatelia nemôžu dostať k vášmu klastru Hybrid Data Security, vyskytnú sa u nich nasledujúce príznaky:

  • Nové priestory nie je možné vytvoriť (nemožno vytvoriť nové kľúče)

  • Správy a názvy priestorov sa nepodarilo dešifrovať pre:

    • Do priestoru boli pridaní noví používatelia (nepodarilo sa načítať kľúče)

    • Existujúci používatelia v priestore používajúci nového klienta (nepodarilo sa im načítať kľúče)

  • Existujúci používatelia v priestore budú naďalej úspešne fungovať, pokiaľ ich klienti majú vyrovnávaciu pamäť šifrovacích kľúčov.

Je dôležité, aby ste riadne monitorovali svoj klaster Hybrid Data Security a promptne riešili všetky upozornenia, aby ste predišli prerušeniu služby.

Upozornenia

Ak sa vyskytne problém s nastavením hybridného zabezpečenia údajov, Centrum partnerov zobrazí upozornenia správcovi organizácie a odošle e-maily na nakonfigurovanú e-mailovú adresu. Upozornenia pokrývajú mnoho bežných scenárov.

Tabuľka č. 1 Bežné problémy a kroky na ich riešenie

Upozornenie

Akcia

Zlyhanie prístupu k lokálnej databáze.

Skontrolujte chyby databázy alebo problémy s lokálnou sieťou.

Zlyhanie pripojenia k lokálnej databáze.

Skontrolujte, či je databázový server dostupný a či boli v konfigurácii uzla použité správne prihlasovacie údaje servisného účtu.

Zlyhanie prístupu ku cloudovej službe.

Skontrolujte, či uzly majú prístup k serverom Webex, ako je uvedené v časti Požiadavky na externé pripojenie.

Obnovenie registrácie cloudovej služby.

Registrácia do cloudových služieb bola zrušená. Prebieha obnovenie registrácie.

Registrácia cloudovej služby bola zrušená.

Registrácia do cloudových služieb bola ukončená. Služba sa vypína.

Služba ešte nie je aktivovaná.

Aktivujte HDS v Centre pre partnerov.

Nakonfigurovaná doména nezodpovedá certifikátu servera.

Uistite sa, že certifikát vášho servera zodpovedá nakonfigurovanej doméne aktivácie služby.

Najpravdepodobnejšou príčinou je, že CN certifikátu bolo nedávno zmenené a teraz sa líši od CN, ktoré bolo použité počas počiatočného nastavenia.

Nepodarilo sa overiť totožnosť v cloudových službách.

Skontrolujte presnosť a prípadné vypršanie platnosti poverení servisného účtu.

Nepodarilo sa otvoriť lokálny súbor úložiska kľúčov.

Skontrolujte integritu a presnosť hesla v lokálnom súbore úložiska kľúčov.

Certifikát lokálneho servera je neplatný.

Skontrolujte dátum exspirácie certifikátu servera a potvrďte, že ho vydala dôveryhodná certifikačná autorita.

Nepodarilo sa uverejniť metriky.

Skontrolujte prístup lokálnej siete k externým cloudovým službám.

/media/configdrive/hds adresár neexistuje.

Skontrolujte konfiguráciu pripojenia ISO na virtuálnom hostiteľovi. Overte, či súbor ISO existuje, či je nakonfigurovaný na pripojenie po reštarte a či sa pripojenie úspešne uskutoční.

Nastavenie organizácie nájomníka nie je dokončené pre pridané organizácie

Dokončite nastavenie vytvorením CMK pre novo pridané organizácie nájomníkov pomocou nástroja HDS Setup Tool.

Nastavenie organizácie nájomníka nie je dokončené pre odstránené organizácie

Dokončite nastavenie zrušením kľúčov CMK pre organizácie nájomníkov, ktoré boli odstránené pomocou nástroja HDS Setup Tool.

Riešenie problémov s hybridnou bezpečnosťou údajov

Pri riešení problémov s hybridným zabezpečením údajov použite nasledujúce všeobecné pokyny.
1

Skontrolujte Centrum partnerov, či v ňom nie sú nejaké upozornenia, a opravte všetky položky, ktoré tam nájdete. Pozrite si obrázok nižšie pre porovnanie.

2

Skontrolujte výstup servera syslog, či neobsahuje aktivitu z nasadenia hybridného zabezpečenia údajov. Filtrujte slová ako „Upozornenie“ a „Chyba“, ktoré vám pomôžu pri riešení problémov.

3

Kontaktujte podporu spoločnosti Cisco.

Ďalšie poznámky

Známe problémy s hybridnou bezpečnosťou údajov

  • Ak vypnete svoj klaster Hybrid Data Security (jeho odstránením v Partner Hub alebo vypnutím všetkých uzlov), stratíte konfiguračný súbor ISO alebo stratíte prístup k databáze úložiska kľúčov, používatelia aplikácie Webex v organizáciách zákazníkov už nebudú môcť používať priestory v zozname ľudí, ktoré boli vytvorené pomocou kľúčov z vášho KMS. Momentálne nemáme riešenie ani opravu tohto problému a naliehavo vás žiadame, aby ste nevypínali služby HDS, keď už spracovávajú aktívne používateľské účty.

  • Klient, ktorý má existujúce pripojenie ECDH k KMS, udržiava toto pripojenie určitý čas (pravdepodobne jednu hodinu).

Spustite nástroj HDS Setup pomocou aplikácie Podman Desktop

Podman je bezplatný nástroj na správu kontajnerov s otvoreným zdrojovým kódom, ktorý poskytuje spôsob, ako spúšťať, spravovať a vytvárať kontajnery. Aplikáciu Podman Desktop si môžete stiahnuť z https://podman-desktop.io/downloads.

  • Nástroj na nastavenie HDS beží ako kontajner Docker na lokálnom počítači. Ak k nemu chcete získať prístup, stiahnite a spustite Podman na danom počítači. Proces nastavenia vyžaduje prihlasovacie údaje účtu Control Hub s úplnými oprávneniami správcu pre vašu organizáciu.

    Ak nástroj HDS Setup beží za proxy serverom vo vašom prostredí, pri spúšťaní kontajnera Docker v kroku 5 zadajte nastavenia proxy servera (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:

    Opis

    Premenná

    HTTP proxy bez overenia

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez overenia

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP proxy s autentifikáciou

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proxy s overovaním

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč šifrujúci databázu PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny konfigurácie, ako napríklad:

    • Prihlasovacie údaje k databáze

    • Aktualizácie certifikátov

    • Zmeny v autorizačnej politike

  • Ak plánujete šifrovať pripojenia k databáze, nastavte si nasadenie PostgreSQL alebo SQL Servera pre TLS.

Proces inštalácie hybridného zabezpečenia údajov vytvorí súbor ISO. Potom použijete ISO súbor na konfiguráciu hostiteľa Hybrid Data Security.

1

Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie:

V bežnom prostredí:

podman rmi ciscocitg/hds-setup:stable  

V prostrediach FedRAMP:

podman rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí predchádzajúce obrazy z nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať.

2

Ak sa chcete prihlásiť do registra obrazov Docker, zadajte nasledujúce:

podman login docker.io -u hdscustomersro
3

Pri zadávaní hesla zadajte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stiahnite si najnovší stabilný obraz pre vaše prostredie:

V bežnom prostredí:

podman pull ciscocitg/hds-setup:stable

V prostrediach FedRAMP:

podman pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:

  • V bežnom prostredí bez proxy servera:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTP proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V bežných prostrediach s HTTPS proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • V prostrediach FedRAMP bez proxy servera:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • V prostrediach FedRAMP s HTTP proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • V prostrediach FedRAMP s HTTPS proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Keď je kontajner spustený, zobrazí sa hlásenie „Server Express počúva na porte 8080“.

Čo robiť ďalej

Postupujte podľa zostávajúcich krokov v časti Vytvorenie konfiguračného súboru ISO pre hostiteľov HDS alebo Zmena konfigurácie uzla na vytvorenie alebo zmenu konfigurácie súboru ISO.

Presunúť existujúce nasadenie HDS pre jedného nájomníka partnerskej organizácie v Control Hub do nastavenia HDS pre viacerých nájomníkov v Partner Hub

Konverzia z existujúceho nasadenia HDS pre jedného nájomníka partnerskej organizácie spravovaného v Control Hub na nasadenie HDS pre viacerých nájomníkov spravované v Partner Hub zahŕňa predovšetkým deaktiváciu služby HDS v Control Hub, zrušenie registrácie uzlov a odstránenie klastra. Potom sa môžete prihlásiť do Partner Hub, zaregistrovať uzly, aktivovať Multi-Tenant HDS a pridať zákazníkov do svojho klastra.

Pojem „single-tenant“ jednoducho označuje existujúce nasadenie HDS v Control Hub.

Deaktivácia HDS, zrušenie registrácie uzlov a odstránenie klastra v Control Hub

1

Prihláste sa do Control Hubu. Na ľavej table kliknite na Hybrid. Na karte Hybridné zabezpečenie údajov kliknite na Upraviť nastavenia.

2

Na stránke nastavení prejdite nadol do sekcie Deaktivovať a kliknite na Deaktivovať.

3

Po deaktivácii kliknite na kartu Zdroje.

4

Stránka Zdroje zobrazuje zoznam klastrov vo vašom nasadení HDS. Kliknutím na klaster sa otvorí stránka so všetkými uzlami v danom klastri.

5

Kliknite na ... vpravo a potom na Zrušiť registráciu uzla. Zopakujte postup pre všetky uzly v klastri.

6

Ak má vaše nasadenie viacero klastrov, opakujte kroky 4 a 5, kým nezrušíte registráciu všetkých uzlov.

7

Kliknite na Nastavenia klastra > Odstrániť.

8

Kliknite na Potvrdiť odstránenie pre zrušenie registrácie klastra.

9

Zopakujte postup pre všetky klastre vo vašom nasadení HDS.

Po deaktivácii HDS, zrušení registrácie uzlov a odstránení klastrov sa na karte Hybrid Data Service v Control Hub v dolnej časti zobrazí správa Nastavenie nebolo dokončené.

Aktivujte Multi-Tenant HDS pre partnerskú organizáciu v Partner Hub a pridajte zákazníkov

Predtým, ako začnete

Všetky predpoklady uvedené v Požiadavky na zabezpečenie hybridných údajov pre viacerých nájomcov platia aj tu. Okrem toho sa uistite, že počas presunu na systém Multi-Tenant HDS sa používa rovnaká databáza a certifikáty.

1

Prihláste sa do Centra partnerov. V ľavom paneli kliknite na položku Služby.

Na konfiguráciu uzlov použite rovnaký ISO súbor z predchádzajúceho nasadenia HDS. Tým sa zabezpečí, že správy a obsah vygenerovaný používateľmi v predchádzajúcom existujúcom nasadení HDS budú stále dostupné aj v novom nastavení pre viacerých nájomcov.

2

V sekcii Cloudové služby vyhľadajte kartu Hybridné zabezpečenie údajov a kliknite na Nastaviť.

3

Na stránke, ktorá sa otvorí, kliknite na Pridať zdroj.

4

Do prvého poľa karty Pridať uzol zadajte názov klastra, ku ktorému chcete priradiť uzol Hybrid Data Security.

Odporúčame pomenovať klaster na základe geografickej polohy uzlov klastra. Príklady: „San Francisco“ alebo „New York“ alebo „Dallas“

5

Do druhého poľa zadajte internú IP adresu alebo plne kvalifikovaný názov domény (FQDN) vášho uzla a kliknite na tlačidlo Pridať v dolnej časti obrazovky.

Táto IP adresa alebo FQDN by sa mala zhodovať s IP adresou alebo názvom hostiteľa a doménou, ktoré ste použili v Nastavenie virtuálneho počítača Hybrid Data Security.

Zobrazí sa správa s informáciou, že môžete zaregistrovať svoj uzol do Webexu.
6

Kliknite na Prejsť na uzol.

Po chvíli budete presmerovaní na testy pripojenia uzlov pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Povoliť prístup k uzlu hybridného zabezpečenia údajov. Tam potvrdíte, že chcete udeliť svojej organizácii Webex povolenia na prístup k vášmu uzlu.

7

Začiarknite políčko Povoliť prístup k vášmu hybridnému uzlu zabezpečenia údajov a potom kliknite na tlačidlo Pokračovať.

Váš účet je overený a správa „Registrácia dokončená“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex. Na stránke Hybridná bezpečnosť údajov sa v časti Zdroje zobrazí nový klaster obsahujúci uzol, ktorý ste zaregistrovali. Uzol automaticky stiahne najnovší softvér z cloudu.
8

Prejdite na kartu Nastavenia a kliknite na položku Aktivovať na karte Stav HDS.

V dolnej časti obrazovky sa zobrazí správaAktivovaný HDS.
9

V časti Zdrojekliknite na novovytvorený klaster.

10

Na otvorenej stránke kliknite na kartu Priradení zákazníci.

11

Kliknite na Pridať zákazníkov.

12

Z rozbaľovacej ponuky vyberte zákazníka, ktorého chcete pridať.

13

Kliknite na Pridať, zákazník bude pridaný do klastra.

14

Ak chcete do klastra pridať viacerých zákazníkov, zopakujte kroky 11 až 13.

15

Po pridaní zákazníkov kliknite na tlačidlo Hotovo v dolnej časti obrazovky.

Čo robiť ďalej

Spustite nástroj HDS Setup podľa pokynov v časti Vytvorenie hlavných kľúčov zákazníka (CMK) pomocou nástroja HDS Setup na dokončenie procesu nastavenia.

Použitie OpenSSL na generovanie súboru PKCS12

Predtým, ako začnete

  • OpenSSL je jeden z nástrojov, ktorý možno použiť na vytvorenie súboru PKCS12 v správnom formáte na načítanie v nástroji HDS Setup Tool. Existujú aj iné spôsoby, ako to dosiahnuť, a my nepodporujeme ani nepresadzujeme jeden spôsob na úkor druhého.

  • Ak sa rozhodnete používať OpenSSL, tento postup poskytujeme ako návod, ktorý vám pomôže vytvoriť súbor, ktorý spĺňa požiadavky na certifikát X.509 v Požiadavky na certifikát X.509. Predtým, ako budete pokračovať, pochopte tieto požiadavky.

  • Nainštalujte OpenSSL v podporovanom prostredí. Softvér a dokumentáciu nájdete v časti https://www.openssl.org.

  • Vytvorte si súkromný kľúč.

  • Spustite tento postup, keď dostanete certifikát servera od certifikačnej autority (CA).

1

Keď dostanete certifikát servera od certifikačnej autority, uložte ho ako hdsnode.pem.

2

Zobraziť certifikát ako text a overiť podrobnosti.

openssl x509 -text -noout -in hdsnode.pem

3

Na vytvorenie súboru balíka certifikátov s názvom hdsnode-bundle.pempoužite textový editor. Súbor balíka musí obsahovať certifikát servera, všetky prechodné certifikáty CA a koreňové certifikáty CA v nasledujúcom formáte:

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----

4

Vytvorte súbor .p12 s priateľským názvom kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Skontrolujte podrobnosti certifikátu servera.

  1. openssl pkcs12 -in hdsnode.p12

  2. Na zašifrovanie súkromného kľúča zadajte heslo na výzvu, aby sa zobrazilo vo výstupe. Potom overte, či súkromný kľúč a prvý certifikát obsahujú riadky friendlyName: kms-private-key.

    Príklad:

    bash$ openssl pkcs12 -in hdsnode.p12
    Enter Import Password:
    MAC verified OK
    Bag Attributes
        friendlyName: kms-private-key
        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
    Key Attributes: 
    Enter PEM pass phrase:
    Verifying - Enter PEM pass phrase:
    -----BEGIN ENCRYPTED PRIVATE KEY-----
    
    -----END ENCRYPTED PRIVATE KEY-----
    Bag Attributes
        friendlyName: kms-private-key
        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
    subject=/CN=hds1.org6.portun.us
    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
    -----BEGIN CERTIFICATE-----
    
    -----END CERTIFICATE-----
    Bag Attributes
        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
    -----BEGIN CERTIFICATE-----
    
    -----END CERTIFICATE-----

Čo robiť ďalej

Späť na Dokončite predpoklady pre hybridnú bezpečnosť údajov. Súbor hdsnode.p12 a heslo, ktoré ste preň nastavili, použijete v časti Vytvorenie konfiguračného ISO súboru pre hostiteľov HDS.

Tieto súbory môžete znova použiť na vyžiadanie nového certifikátu po vypršaní platnosti pôvodného certifikátu.

Prevádzka medzi uzlami HDS a cloudom

Odchádzajúca návštevnosť zhromažďovania metrík

Uzly hybridnej ochrany údajov odosielajú do cloudu Webex určité metriky. Patria sem systémové metriky pre maximálnu kapacitu haldy, využitú kapacitu haldy, zaťaženie CPU a počet vlákien; metriky synchrónnych a asynchrónnych vlákien; metriky upozornení týkajúcich sa prahovej hodnoty šifrovaných pripojení, latencie alebo dĺžky frontu požiadaviek; metriky úložiska údajov; a metriky šifrovaných pripojení. Uzly odosielajú šifrovaný kľúčový materiál cez kanál mimo pásma (oddelený od požiadavky).

Prichádzajúca prevádzka

Uzly Hybrid Data Security prijímajú z cloudu Webex nasledujúce typy prichádzajúcej prevádzky:

  • Žiadosti o šifrovanie od klientov, ktoré sú smerované šifrovacou službou

  • Aktualizácie softvéru uzla

Konfigurácia proxy serverov Squid pre hybridnú bezpečnosť dát

Websocket sa nemôže pripojiť cez proxy Squid

Proxy servery Squid, ktoré kontrolujú HTTPS prevádzku, môžu narúšať nadväzovanie pripojení websocket (wss:), ktoré vyžaduje hybridná bezpečnosť údajov. Tieto časti poskytujú návod, ako nakonfigurovať rôzne verzie Squidu tak, aby ignorovali wss: prevádzku pre správne fungovanie služieb.

Chobotnice 4 a 5

Pridajte direktívu on_unsupported_protocol do squid.conf:

on_unsupported_protocol tunnel all

Chobotnica 3.5.27

Úspešne sme otestovali hybridnú bezpečnosť údajov s nasledujúcimi pravidlami pridanými do squid.conf. Tieto pravidlá sa môžu zmeniť, pretože vyvíjame funkcie a aktualizujeme cloudové služby Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Bol tento článok užitočný?
Bol tento článok užitočný?