- Domov
- /
- Článok
Sprievodca nasadením hybridného zabezpečenia údajov pre viacerých nájomníkov (HDS) (Beta)
Nové a zmenené informácie
Nové a zmenené informácie
Táto tabuľka obsahuje nové funkcie alebo funkcie, zmeny existujúceho obsahu a všetky hlavné chyby, ktoré boli opravené v Príručke nasadenia pre multi-tenantovú hybridnú bezpečnosť údajov.
Dátum |
Vykonané zmeny |
---|---|
13. decembra 2024 |
Prvé vydanie. |
Deaktivujte hybridné zabezpečenie dát pre viacerých nájomníkov
Tok úloh deaktivácie HDS pre viacerých nájomníkov
Ak chcete úplne deaktivovať Multi-Tenant HDS, postupujte podľa týchto krokov.
Skôr ako začnete
1 |
Odstráňte všetkých zákazníkov zo všetkých svojich klastrov, ako je uvedené v časti Odstránenie organizácií nájomníkov. |
2 |
Zrušte CMK všetkých zákazníkov, ako je uvedené v časti Zrušenie CMK nájomníkov odstránených z HDS. |
3 |
Odstráňte všetky uzly zo všetkých klastrov, ako je uvedené v časti Odstránenie uzla. |
4 |
Odstráňte všetky svoje klastre z Partner Hub pomocou jednej z nasledujúcich dvoch metód.
|
5 |
Kliknite na kartu Nastavenia na stránke prehľadu Hybrid Data Security a kliknite na položku Deaktivovať HDS na karte Stav HDS. |
Začnite s Hybridným zabezpečením dát pre viacerých nájomníkov
Prehľad zabezpečenia hybridných dát pre viacerých nájomníkov
Od prvého dňa bola bezpečnosť údajov hlavným zameraním pri navrhovaní aplikácie Webex. Základným kameňom tohto zabezpečenia je komplexné šifrovanie obsahu, ktoré umožňujú klienti Webex App interagujúci so službou Key Management Service (KMS). KMS je zodpovedný za vytváranie a správu kryptografických kľúčov, ktoré klienti používajú na dynamické šifrovanie a dešifrovanie správ a súborov.
V predvolenom nastavení dostávajú všetci zákazníci Webex App end-to-end šifrovanie s dynamickými kľúčmi uloženými v cloudovom KMS v oblasti bezpečnosti Cisco. Hybrid Data Security presúva KMS a ďalšie funkcie súvisiace so zabezpečením do vášho podnikového dátového centra, takže kľúče k vášmu šifrovanému obsahu nemá nikto okrem vás.
Multi-Tenant Hybrid Data Security umožňuje organizáciám využívať HDS prostredníctvom dôveryhodného miestneho partnera, ktorý môže pôsobiť ako poskytovateľ služieb a spravovať lokálne šifrovanie a ďalšie bezpečnostné služby. Toto nastavenie umožňuje partnerskej organizácii mať úplnú kontrolu nad nasadením a správou šifrovacích kľúčov a zaisťuje, že používateľské údaje zákazníckych organizácií sú v bezpečí pred externým prístupom. Partnerské organizácie podľa potreby nastavujú inštancie HDS a vytvárajú klastre HDS. Každá inštancia môže podporovať viacero zákazníckych organizácií na rozdiel od bežného nasadenia HDS, ktoré je obmedzené na jednu organizáciu.
To tiež umožňuje menším organizáciám využívať HDS, pretože službu správy kľúčov a bezpečnostnú infraštruktúru, ako sú dátové centrá, vlastní dôveryhodný miestny partner.
Ako Multi-Tenant Hybrid Data Security poskytuje dátovú suverenitu a kontrolu dát
- Obsah generovaný používateľmi je chránený pred externým prístupom, ako sú poskytovatelia cloudových služieb.
- Miestni dôveryhodní partneri spravujú šifrovacie kľúče zákazníkov, s ktorými už majú vybudovaný vzťah.
- Možnosť miestnej technickej podpory, ak ju poskytuje partner.
- Podporuje obsah stretnutí, správ a hovorov.
Tento dokument je zameraný na pomoc partnerským organizáciám pri nastavovaní a správe zákazníkov v rámci systému Multi-Tenant Hybrid Data Security.
Úlohy v hybridnej bezpečnosti dát pre viacerých nájomníkov
- Úplný správca partnera – môže spravovať nastavenia pre všetkých zákazníkov, ktorých partner spravuje. Môže tiež priradiť roly správcu existujúcim používateľom v organizácii a priradiť konkrétnych zákazníkov, ktorých majú spravovať správcovia partnerov.
- Správca partnera – môže spravovať nastavenia pre zákazníkov, ktorých správca poskytol alebo ktorí boli priradení používateľovi.
- Úplný správca – správca partnerskej organizácie, ktorý je oprávnený vykonávať úlohy, ako je úprava nastavení organizácie, správa licencií a prideľovanie rolí.
- Nastavenie HDS pre viacerých nájomníkov a správa všetkých zákazníckych organizácií od konca do konca – Vyžaduje sa úplný správca partnera a úplné práva správcu.
- Správa priradených organizácií nájomcov – vyžaduje sa správca partnera a úplné práva správcu.
Architektúra bezpečnostnej sféry
Cloudová architektúra Webex oddeľuje rôzne typy služieb do samostatných oblastí alebo dôveryhodných domén, ako je znázornené nižšie.
Aby sme lepšie porozumeli Hybrid Data Security, pozrime sa najprv na tento čistý cloud, kde Cisco poskytuje všetky funkcie vo svojich cloudových sférach. Služba identity, jediné miesto, kde môžu používatelia priamo korelovať so svojimi osobnými údajmi, ako je e-mailová adresa, je logicky a fyzicky oddelená od oblasti zabezpečenia v dátovom centre B. Obe sú zase oddelené od oblasti, kde je v konečnom dôsledku uložený šifrovaný obsah. , v dátovom centre C.
V tomto diagrame je klientom aplikácia Webex, ktorá beží na notebooku používateľa a je overená službou identity. Keď používateľ vytvorí správu na odoslanie do priestoru, vykonajú sa tieto kroky:
-
Klient vytvorí zabezpečené spojenie so službou správy kľúčov (KMS), potom požiada o kľúč na zašifrovanie správy. Zabezpečené pripojenie používa ECDH a KMS šifruje kľúč pomocou hlavného kľúča AES-256.
-
Správa je pred opustením klienta zašifrovaná. Klient ho odošle do indexovacej služby, ktorá vytvorí zašifrované indexy vyhľadávania na pomoc pri budúcom vyhľadávaní obsahu.
-
Zašifrovaná správa sa odošle do služby súladu na kontrolu súladu.
-
Zašifrovaná správa je uložená v úložnej sfére.
Keď nasadíte Hybrid Data Security, presuniete funkcie bezpečnostnej sféry (KMS, indexovanie a súlad) do vášho lokálneho dátového centra. Ostatné cloudové služby, ktoré tvoria Webex (vrátane ukladania identity a obsahu), zostávajú v sférach spoločnosti Cisco.
Spolupráca s inými organizáciami
Používatelia vo vašej organizácii môžu pravidelne používať aplikáciu Webex na spoluprácu s externými účastníkmi v iných organizáciách. Keď jeden z vašich používateľov požaduje kľúč pre priestor, ktorý vlastní vaša organizácia (pretože ho vytvoril jeden z vašich používateľov), váš KMS odošle kľúč klientovi cez zabezpečený kanál ECDH. Keď však kľúč priestoru vlastní iná organizácia, váš KMS nasmeruje požiadavku do cloudu Webex cez samostatný kanál ECDH, aby získal kľúč z príslušného KMS, a potom vráti kľúč vášmu používateľovi na pôvodnom kanáli.
Služba KMS spustená v organizácii A overuje pripojenia ku KMS v iných organizáciách pomocou x.509 PKI certifikátov. Podrobnosti o generovaní certifikátu x.509 na použitie s nasadením Hybrid Data Security pre viacerých nájomníkov nájdete v časti Príprava prostredia .
Očakávania týkajúce sa nasadenia hybridnej bezpečnosti údajov
Nasadenie Hybrid Data Security si vyžaduje značné odhodlanie a uvedomenie si rizík, ktoré prináša vlastníctvo šifrovacích kľúčov.
Ak chcete nasadiť Hybrid Data Security, musíte poskytnúť:
-
Zabezpečené dátové centrum v krajine, ktorá je podporovaným miestom pre plány Cisco Webex Teams.
-
Vybavenie, softvér a sieťový prístup popísané v časti Príprava prostredia.
Úplná strata buď konfiguračného ISO, ktoré ste vytvorili pre Hybrid Data Security, alebo databázy, ktorú poskytnete, bude mať za následok stratu kľúčov. Strata kľúča bráni používateľom dešifrovať obsah priestoru a ďalšie šifrované údaje v aplikácii Webex. Ak sa tak stane, môžete vytvoriť nové nasadenie, ale bude viditeľný iba nový obsah. Aby ste predišli strate prístupu k údajom, musíte:
-
Spravujte zálohovanie a obnovu databázy a konfiguračného ISO.
-
Buďte pripravení vykonať rýchlu obnovu po havárii, ak dôjde ku katastrofe, ako je zlyhanie databázového disku alebo katastrofa dátového centra.
Neexistuje žiadny mechanizmus na presun kľúčov späť do cloudu po nasadení HDS.
Proces nastavenia na vysokej úrovni
Tento dokument pokrýva nastavenie a správu nasadenia Hybrid Data Security pre viacerých nájomníkov:
-
Nastavenie Hybrid Data Security – zahŕňa prípravu požadovanej infraštruktúry a inštaláciu softvéru Hybrid Data Security, vybudovanie klastra HDS, pridanie organizácií nájomníkov do klastra a správu ich hlavných kľúčov zákazníkov (CMK). To umožní všetkým používateľom vašich zákazníckych organizácií používať váš klaster Hybrid Data Security na bezpečnostné funkcie.
Fázy nastavenia, aktivácie a správy sú podrobne opísané v nasledujúcich troch kapitolách.
-
Udržujte svoje nasadenie Hybrid Data Security – cloud Webex automaticky poskytuje priebežné inovácie. Vaše IT oddelenie môže poskytnúť podporu prvej úrovne pre toto nasadenie a podľa potreby zapojiť podporu Cisco. V partnerskom centre môžete používať upozornenia na obrazovke a nastaviť upozornenia prostredníctvom e-mailu.
-
Pochopte bežné upozornenia, kroky na riešenie problémov a známe problémy – Ak narazíte na problémy s nasadením alebo používaním Hybrid Data Security, posledná kapitola tejto príručky a príloha Známe problémy vám môžu pomôcť určiť a vyriešiť problém.
Hybridný model nasadenia zabezpečenia dát
V rámci podnikového dátového centra nasadíte Hybrid Data Security ako jeden klaster uzlov na samostatných virtuálnych hostiteľoch. Uzly komunikujú s cloudom Webex cez zabezpečené websockety a zabezpečené HTTP.
Počas procesu inštalácie vám poskytneme súbor OVA na nastavenie virtuálneho zariadenia na VM, ktoré poskytnete. Nástroj HDS Setup Tool použijete na vytvorenie vlastného konfiguračného súboru ISO klastra, ktorý pripojíte na každý uzol. Klaster Hybrid Data Security využíva váš poskytnutý server Syslogd a databázu PostgreSQL alebo Microsoft SQL Server. (Syslogd a podrobnosti o pripojení k databáze nakonfigurujete v nástroji HDS Setup Tool.)
Minimálny počet uzlov, ktoré môžete mať v klastri, sú dva. Odporúčame aspoň tri na klaster. Viacnásobné uzly zaisťujú, že služba nebude prerušená počas aktualizácie softvéru alebo inej činnosti údržby na uzle. (Cloud Webex aktualizuje naraz iba jeden uzol.)
Všetky uzly v klastri pristupujú k rovnakému úložisku údajov kľúčov a zaznamenávajú aktivitu na rovnaký server syslog. Samotné uzly sú bez stavu a spracovávajú kľúčové požiadavky v režime round-robin podľa pokynov cloudu.
Uzly sa stanú aktívnymi, keď ich zaregistrujete v Partner Hub. Ak chcete vyradiť jednotlivý uzol z prevádzky, môžete ho zrušiť a neskôr v prípade potreby znova zaregistrovať.
Pohotovostné dátové centrum pre obnovu po havárii
Počas nasadenia nastavíte zabezpečené pohotovostné dátové centrum. V prípade havárie dátového centra môžete manuálne zlyhať nasadenie do pohotovostného dátového centra.
Databázy aktívnych a pohotovostných dátových centier sú navzájom synchronizované, čo minimalizuje čas potrebný na vykonanie núdzového prepnutia.
Aktívne uzly Hybrid Data Security musia byť vždy v rovnakom údajovom centre ako aktívny databázový server.
Podpora proxy
Hybrid Data Security podporuje explicitné, transparentné kontrolné a nekontrolujúce proxy. Tieto servery proxy môžete prepojiť s nasadením, aby ste mohli zabezpečiť a monitorovať prevádzku z podniku do cloudu. Rozhranie správcu platformy na uzloch môžete použiť na správu certifikátov a na kontrolu celkového stavu pripojenia po nastavení servera proxy na uzloch.
Uzly Hybrid Data Security podporujú nasledujúce možnosti proxy:
-
Bez servera proxy – predvolená hodnota, ak na integráciu servera proxy nepoužívate konfiguráciu dôveryhodného obchodu a servera proxy na nastavenie uzla HDS. Nevyžaduje sa žiadna aktualizácia certifikátu.
-
Transparentný nekontrolujúci proxy server – uzly nie sú nakonfigurované na používanie konkrétnej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.
-
Transparentné tunelovanie alebo kontrola servera proxy – uzly nie sú nakonfigurované na používanie konkrétnej adresy servera proxy. Na uzloch nie sú potrebné žiadne zmeny konfigurácie HTTP alebo HTTPS. Uzly však potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).
-
Explicitný server proxy – pomocou explicitného servera proxy poviete uzlom HDS, ktorý server proxy a schému overenia majú použiť. Ak chcete nakonfigurovať explicitný server proxy, musíte do každého uzla zadať nasledujúce informácie:
-
Proxy IP/FQDN – adresa, ktorú možno použiť na spojenie so zariadením proxy.
-
Port proxy – číslo portu, ktoré server proxy používa na počúvanie prenosu cez server proxy.
-
Protokol proxy – v závislosti od toho, čo váš server proxy podporuje, si vyberte z nasledujúcich protokolov:
-
HTTP – zobrazuje a riadi všetky požiadavky, ktoré klient odosiela.
-
HTTPS – poskytuje kanál pre server. Klient prijme a overí certifikát servera.
-
-
Typ overenia totožnosti – vyberte si z nasledujúcich typov overenia totožnosti:
-
Žiadne – nevyžaduje sa žiadne ďalšie overenie.
Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.
-
Základné – používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.
Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.
Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.
-
Súhrn – používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.
Dostupné, iba ak vyberiete HTTPS ako protokol proxy.
Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.
-
-
Príklad uzlov na zabezpečenie hybridných dát a proxy
Tento diagram ukazuje príklad spojenia medzi Hybrid Data Security, sieťou a proxy. Pre možnosti transparentnej kontroly a explicitnej kontroly HTTPS proxy musí byť nainštalovaný rovnaký koreňový certifikát na proxy a na uzloch Hybrid Data Security.
Blokovaný režim externého rozlíšenia DNS (explicitné konfigurácie proxy)
Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. V nasadeniach s explicitnými konfiguráciami proxy, ktoré neumožňujú externé rozlíšenie DNS pre interných klientov, ak uzol nemôže dotazovať servery DNS, automaticky prejde do režimu blokovaného externého riešenia DNS. V tomto režime môže pokračovať registrácia uzla a ďalšie testy pripojenia proxy.
Príprava prostredia
Požiadavky na hybridnú bezpečnosť dát pre viacerých nájomníkov
Požiadavky na licenciu Cisco Webex
Ak chcete nasadiť hybridné zabezpečenie dát pre viacerých nájomníkov:
-
Partnerské organizácie: Kontaktujte svojho partnera Cisco alebo správcu účtu a uistite sa, že je povolená funkcia viacerých nájomníkov.
-
Nájomné organizácie: Musíte mať balík Pro Pack pre Cisco Webex Control Hub. (Pozrite si https://www.cisco.com/go/pro-pack.)
Požiadavky na plochu Docker
Pred inštaláciou uzlov HDS potrebujete Docker Desktop na spustenie inštalačného programu. Docker nedávno aktualizoval svoj licenčný model. Vaša organizácia môže vyžadovať platené predplatné pre Docker Desktop. Podrobnosti nájdete v blogovom príspevku Docker „ Docker aktualizuje a rozširuje naše predplatné produktov“.
Požiadavky na certifikát X.509
Certifikačný reťazec musí spĺňať nasledujúce požiadavky:
Požiadavka |
Podrobnosti |
---|---|
|
V predvolenom nastavení dôverujeme CA v zozname Mozilly (s výnimkou WoSign a StartCom) na https://wiki.mozilla.org/CA:IncludedCAs. |
|
CN nemusí byť dosiahnuteľné alebo živého hostiteľa. Odporúčame vám použiť názov, ktorý zodpovedá vašej organizácii, napríklad KN nesmie obsahovať * (zástupný znak). CN sa používa na overenie uzlov Hybrid Data Security pre klientov Webex App. Všetky uzly Hybrid Data Security vo vašom klastri používajú rovnaký certifikát. Váš KMS sa identifikuje pomocou domény CN, nie akejkoľvek domény, ktorá je definovaná v poliach x.509v3 SAN. Po zaregistrovaní uzla s týmto certifikátom nepodporujeme zmenu názvu domény CN. |
|
Softvér KMS nepodporuje podpisy SHA1 na overenie pripojení k KMS iných organizácií. |
|
Na zmenu formátu certifikátu môžete použiť konvertor, ako je OpenSSL. Pri spustení nástroja HDS Setup Tool budete musieť zadať heslo. |
Softvér KMS nevynucuje používanie kľúčov ani rozšírené obmedzenia používania kľúčov. Niektoré certifikačné autority vyžadujú, aby sa na každý certifikát aplikovali rozšírené obmedzenia používania kľúčov, ako je autentifikácia servera. Je v poriadku použiť overenie servera alebo iné nastavenia.
Požiadavky na virtuálny hostiteľ
Virtuálni hostitelia, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri, majú nasledujúce požiadavky:
-
Aspoň dvaja oddelení hostitelia (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre
-
VMware ESXi 6.5 (alebo novší) nainštalovaný a spustený.
Ak máte staršiu verziu ESXi, musíte vykonať inováciu.
-
Minimálne 4 vCPU, 8 GB hlavnej pamäte, 30 GB miesta na lokálnom pevnom disku na server
Požiadavky na databázový server
Vytvorte novú databázu pre uloženie kľúčov. Nepoužívajte predvolenú databázu. Aplikácie HDS, keď sú nainštalované, vytvoria schému databázy.
Pre databázový server sú dve možnosti. Požiadavky na každú z nich sú nasledovné:
PostgreSQL |
Microsoft SQL Server |
---|---|
|
|
Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložisko) |
Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložisko) |
Softvér HDS momentálne inštaluje nasledujúce verzie ovládačov na komunikáciu s databázovým serverom:
PostgreSQL |
Microsoft SQL Server |
---|---|
Postgres JDBC ovládač 42.2.5 |
Ovládač SQL Server JDBC 4.6 Táto verzia ovládača podporuje server SQL Server Always On (Inštancie klastra prepnutia pri zlyhaní a skupiny dostupnosti Vždy zapnuté). |
Dodatočné požiadavky na overenie systému Windows voči Microsoft SQL Server
Ak chcete, aby uzly HDS používali autentifikáciu systému Windows na získanie prístupu k vašej databáze úložiska kľúčov na serveri Microsoft SQL Server, potrebujete vo svojom prostredí nasledujúcu konfiguráciu:
-
HDS uzly, infraštruktúra Active Directory a MS SQL Server musia byť synchronizované s NTP.
-
Účet Windows, ktorý poskytnete uzlom HDS, musí mať prístup k databáze na čítanie/zápis.
-
Servery DNS, ktoré poskytujete uzlom HDS, musia byť schopné vyriešiť vaše Centrum distribúcie kľúčov (KDC).
-
Inštanciu databázy HDS môžete zaregistrovať na svojom serveri Microsoft SQL Server ako hlavný názov služby (SPN) vo vašom adresári Active Directory. Pozrite si časť Registrácia hlavného názvu služby pre pripojenia Kerberos.
Nástroj na nastavenie HDS, spúšťač HDS a miestne KMS musia na prístup k databáze kľúčov používať overenie systému Windows. Používajú podrobnosti z vašej konfigurácie ISO na vytvorenie SPN pri požadovaní prístupu s overením Kerberos.
Požiadavky na externé pripojenie
Nakonfigurujte svoj firewall tak, aby umožňoval nasledujúce pripojenie pre aplikácie HDS:
Aplikácia |
Protokol |
Port |
Smer z App |
Cieľ |
---|---|---|---|---|
Hybridné uzly zabezpečenia údajov |
TCP |
443 |
Odchádzajúce HTTPS a WSS |
|
Nástroj na nastavenie HDS |
TCP |
443 |
Odchádzajúce HTTPS |
|
Uzly Hybrid Data Security pracujú s prekladom sieťového prístupu (NAT) alebo za bránou firewall, pokiaľ NAT alebo brána firewall umožňuje požadované odchádzajúce pripojenia k destináciám domény v predchádzajúcej tabuľke. Pre pripojenia prichádzajúce do uzlov Hybrid Data Security by nemali byť z internetu viditeľné žiadne porty. V rámci vášho dátového centra potrebujú klienti prístup k uzlom Hybrid Data Security na portoch TCP 443 a 22 na administratívne účely.
Adresy URL hostiteľov Common Identity (CI) sú špecifické pre daný región. Toto sú súčasní hostitelia CI:
región |
Spoločné adresy URL hostiteľa identity |
---|---|
Ameriky |
|
Európskej únie |
|
Kanada |
|
Singapur |
|
Spojené arabské emiráty |
|
Požiadavky na proxy server
-
Oficiálne podporujeme nasledujúce proxy riešenia, ktoré sa dajú integrovať s vašimi uzlami Hybrid Data Security.
-
Transparentný proxy – Cisco Web Security Appliance (WSA).
-
Explicitný proxy-Squid.
Squid proxy, ktoré kontrolujú prenos HTTPS, môžu narúšať vytváranie pripojení websocket (wss:). Ak chcete tento problém vyriešiť, prečítajte si časť Konfigurácia serverov proxy Squid pre hybridné zabezpečenie údajov.
-
-
Pre explicitné servery proxy podporujeme nasledujúce kombinácie typov overenia:
-
Žiadna autentifikácia pomocou HTTP alebo HTTPS
-
Základná autentifikácia pomocou HTTP alebo HTTPS
-
Digest overenie iba s HTTPS
-
-
Pre transparentný kontrolný proxy server alebo explicitný proxy server HTTPS musíte mať kópiu koreňového certifikátu servera proxy. Pokyny na nasadenie v tejto príručke vám povedia, ako nahrať kópiu do dôveryhodných obchodov uzlov Hybrid Data Security.
-
Sieť, ktorá hostí uzly HDS, musí byť nakonfigurovaná tak, aby vynútila smerovanie odchádzajúcej prevádzky TCP na porte 443 cez server proxy.
-
Proxy, ktoré kontrolujú webovú prevádzku, môžu narúšať pripojenia webových soketov. Ak sa vyskytne tento problém, problém vyrieši obídenie (nie kontrola) návštevnosti stránok
wbx2.com
aciscospark.com
.
Dokončite Predpoklady pre hybridnú bezpečnosť údajov
1 |
Uistite sa, že vaša partnerská organizácia má povolenú funkciu Multi-Tenant HDS a získajte prihlasovacie údaje účtu s úplným správcom partnera a plnými právami správcu. Uistite sa, že vaša organizácia zákazníkov Webex má povolený balík Pro Pack pre Cisco Webex Control Hub. Ak potrebujete pomoc s týmto procesom, kontaktujte svojho partnera Cisco alebo account manažéra. Zákaznícke organizácie by nemali mať žiadne existujúce nasadenie HDS. |
2 |
Vyberte názov domény pre svoje nasadenie HDS (napríklad |
3 |
Pripravte si identických virtuálnych hostiteľov, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri. Potrebujete aspoň dvoch samostatných hostiteľov (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre, ktorí spĺňajú požiadavky v časti Požiadavky na virtuálneho hostiteľa. |
4 |
Pripravte databázový server, ktorý bude fungovať ako úložisko kľúčových údajov pre klaster, v súlade s požiadavkami na databázový server. Databázový server musí byť umiestnený v zabezpečenom údajovom centre spolu s virtuálnymi hostiteľmi. |
5 |
Pre rýchlu obnovu po havárii nastavte zálohovacie prostredie v inom dátovom centre. Zálohovacie prostredie odzrkadľuje produkčné prostredie VM a záložný databázový server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM. |
6 |
Nastavte hostiteľa syslog na zhromažďovanie protokolov z uzlov v klastri. Získajte jeho sieťovú adresu a port syslog (predvolené je UDP 514). |
7 |
Vytvorte politiku bezpečného zálohovania pre uzly Hybrid Data Security, databázový server a hostiteľa syslog. Aby ste predišli nenapraviteľnej strate údajov, musíte minimálne zálohovať databázu a konfiguračný súbor ISO vygenerovaný pre uzly Hybrid Data Security. Keďže uzly Hybrid Data Security ukladajú kľúče používané na šifrovanie a dešifrovanie obsahu, zlyhanie prevádzkyschopného nasadenia bude mať za následok NEOBNOVITEĽNÚ STRATU tohto obsahu. Klienti Webex App ukladajú svoje kľúče do vyrovnávacej pamäte, takže výpadok nemusí byť okamžite viditeľný, ale časom sa prejaví. Dočasným výpadkom sa síce nedá zabrániť, dajú sa však obnoviť. Úplná strata (nie sú k dispozícii žiadne zálohy) databázy alebo konfiguračného ISO súboru však bude mať za následok neobnoviteľné zákaznícke údaje. Od operátorov uzlov Hybrid Data Security sa očakáva, že budú pravidelne zálohovať databázu a konfiguračný súbor ISO a budú pripravení na prestavbu dátového centra Hybrid Data Security, ak dôjde ku katastrofálnej poruche. |
8 |
Uistite sa, že konfigurácia brány firewall umožňuje pripojenie pre uzly Hybrid Data Security, ako je uvedené v časti Požiadavky na externé pripojenie. |
9 |
Nainštalujte Docker ( https://www.docker.com) na ľubovoľný lokálny počítač s podporovaným operačným systémom (Microsoft Windows 10 Professional alebo Enterprise 64-bitový alebo Mac OSX Yosemite 10.10.3 alebo novší) pomocou webového prehliadača, ktorý k nemu má prístup na adrese http://127.0.0.1:8080. Inštanciu Docker použijete na stiahnutie a spustenie nástroja HDS Setup Tool, ktorý vytvorí informácie o lokálnej konfigurácii pre všetky uzly Hybrid Data Security. Možno budete potrebovať licenciu Docker Desktop. Ďalšie informácie nájdete v časti Požiadavky na pracovnú plochu Docker . Ak chcete nainštalovať a spustiť nástroj HDS Setup Tool, miestny počítač musí mať pripojenie uvedené v časti Požiadavky na externé pripojenie. |
10 |
Ak integrujete server proxy so službou Hybrid Data Security, uistite sa, že spĺňa požiadavky na server proxy. |
Nastavte klaster Hybrid Data Security
Tok úloh nasadenia zabezpečenia hybridných údajov
1 |
Vykonajte počiatočné nastavenie a stiahnite inštalačné súbory Stiahnite si súbor OVA na váš lokálny počítač pre neskoršie použitie. |
2 |
Vytvorte ISO konfigurácie pre hostiteľov HDS Pomocou nástroja HDS Setup Tool vytvorte konfiguračný súbor ISO pre uzly Hybrid Data Security. |
3 |
Vytvorte virtuálny počítač zo súboru OVA a vykonajte počiatočnú konfiguráciu, ako sú nastavenia siete. Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 6.5. Táto možnosť nemusí byť dostupná v starších verziách. |
4 |
Nastavte virtuálny počítač Hybrid Data Security Prihláste sa do konzoly VM a nastavte prihlasovacie poverenia. Nakonfigurujte sieťové nastavenia pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA. |
5 |
Nahrajte a pripojte ISO konfiguráciu HDS Nakonfigurujte VM z konfiguračného súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool. |
6 |
Nakonfigurujte uzol HDS na integráciu proxy Ak sieťové prostredie vyžaduje konfiguráciu servera proxy, zadajte typ servera proxy, ktorý použijete pre uzol, a v prípade potreby pridajte certifikát servera proxy do dôveryhodného úložiska. |
7 |
Zaregistrujte prvý uzol v klastri Zaregistrujte VM v cloude Cisco Webex ako uzol Hybrid Data Security. |
8 |
Vytvorte a zaregistrujte viac uzlov Dokončite nastavenie klastra. |
9 |
Aktivujte si Multi-Tenant HDS na Partner Hub. Aktivujte si HDS a spravujte organizácie nájomníkov na Partner Hub. |
Vykonajte počiatočné nastavenie a stiahnite inštalačné súbory
V tejto úlohe stiahnete súbor OVA do svojho počítača (nie na servery, ktoré ste nastavili ako uzly Hybrid Data Security). Tento súbor použijete neskôr v procese inštalácie.
1 |
Prihláste sa do Partnerského centra a potom kliknite na položku Služby. |
2 |
V časti Cloudové služby nájdite kartu Hybrid Data Security a kliknite na tlačidlo Nastaviť. |
3 |
Kliknite na položku Pridať zdroj a kliknite na položku Prevziať súbor .OVA na karte Inštalovať a konfigurovať softvér . Staršie verzie softvérového balíka (OVA) nebudú kompatibilné s najnovšími aktualizáciami Hybrid Data Security. To môže viesť k problémom pri inovácii aplikácie. Uistite sa, že ste si stiahli najnovšiu verziu súboru OVA. OVA si tiež môžete kedykoľvek stiahnuť zo sekcie Pomocník . Kliknite na položky . Súbor OVA sa začne automaticky sťahovať. Uložte súbor na miesto v počítači.
|
4 |
Voliteľne kliknite na položku Zobraziť príručku nasadenia hybridného zabezpečenia údajov a skontrolujte, či je k dispozícii novšia verzia tejto príručky. |
Vytvorte ISO konfigurácie pre hostiteľov HDS
Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.
Skôr ako začnete
-
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými administrátorskými právami.
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker v kroku 5 nižšie zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:
-
Databázové poverenia
-
Aktualizácie certifikátov
-
Zmeny v politike autorizácie
-
-
Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.
1 |
Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať. | ||||||||||
2 |
Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce: | ||||||||||
3 |
Pri výzve na zadanie hesla zadajte tento hash: | ||||||||||
4 |
Stiahnite si najnovší stabilný obraz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: | ||||||||||
5 |
Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:
Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“. | ||||||||||
6 |
Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 . Pomocou webového prehliadača prejdite na localhost, Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie. | ||||||||||
7 |
Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia správcu Partner Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre Hybrid Data Security. | ||||||||||
8 |
Na stránke prehľadu nástroja Setup kliknite na položku Začíname. | ||||||||||
9 |
Na stránke Import ISO máte tieto možnosti:
| ||||||||||
10 |
Skontrolujte, či váš certifikát X.509 spĺňa požiadavky uvedené v časti Požiadavky na certifikát X.509.
| ||||||||||
11 |
Zadajte databázovú adresu a účet pre HDS, aby ste získali prístup k vášmu úložisku kľúčových údajov: | ||||||||||
12 |
Vyberte Režim pripojenia databázy TLS:
Keď odovzdáte koreňový certifikát (ak je to potrebné) a kliknete na tlačidlo Pokračovať, nástroj HDS Setup Tool otestuje pripojenie TLS k databázovému serveru. Nástroj tiež overuje podpisovateľa certifikátu a názov hostiteľa, ak je to potrebné. Ak test zlyhá, nástroj zobrazí chybové hlásenie s popisom problému. Môžete si vybrať, či chcete chybu ignorovať a pokračovať v nastavovaní. (Vzhľadom na rozdiely v konektivite môžu byť uzly HDS schopné nadviazať pripojenie TLS, aj keď ho zariadenie HDS Setup Tool nedokáže úspešne otestovať.) | ||||||||||
13 |
Na stránke Systémové denníky nakonfigurujte svoj server Syslogd: | ||||||||||
14 |
(Voliteľné) Predvolenú hodnotu niektorých parametrov pripojenia k databáze môžete zmeniť v časti Rozšírené nastavenia. Vo všeobecnosti je tento parameter jediný, ktorý možno budete chcieť zmeniť: | ||||||||||
15 |
Kliknite na tlačidlo Pokračovať na obrazovke Obnoviť heslo servisných účtov . Heslá k servisným účtom majú životnosť deväť mesiacov. Túto obrazovku použite, keď sa blíži koniec platnosti vašich hesiel alebo ich chcete resetovať, aby ste zrušili platnosť predchádzajúcich súborov ISO. | ||||||||||
16 |
Kliknite na položku Prevziať súbor ISO. Uložte súbor na miesto, ktoré sa dá ľahko nájsť. | ||||||||||
17 |
Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. | ||||||||||
18 |
Ak chcete vypnúť inštalačný nástroj, napíšte |
Čo robiť ďalej
Zálohujte konfiguračný súbor ISO. Potrebujete ho na vytvorenie ďalších uzlov na obnovu alebo na vykonanie zmien v konfigurácii. Ak stratíte všetky kópie súboru ISO, stratili ste aj hlavný kľúč. Obnovenie kľúčov z databázy PostgreSQL alebo Microsoft SQL Server nie je možné.
Nikdy nemáme kópiu tohto kľúča a nemôžeme vám pomôcť, ak ho stratíte.
Nainštalujte HDS Host OVA
1 |
Na prihlásenie do virtuálneho hostiteľa ESXi použite klienta VMware vSphere na vašom počítači. |
2 |
Vyberte položku Súbor > Nasadiť šablónu OVF. |
3 |
V sprievodcovi zadajte umiestnenie súboru OVA, ktorý ste prevzali predtým, a potom kliknite na tlačidlo Ďalej. |
4 |
Na stránke Vyberte názov a priečinok zadajte Názov virtuálneho počítača pre uzol (napríklad „HDS_Node_1“) a vyberte umiestnenie, kde nasadenie uzla virtuálneho počítača sa môže nachádzať a potom kliknite na tlačidlo Ďalej. |
5 |
Na stránke Vyberte výpočtový zdroj vyberte cieľový výpočtový zdroj a potom kliknite na tlačidlo Ďalej. Prebehne overovacia kontrola. Po dokončení sa zobrazia podrobnosti šablóny. |
6 |
Overte podrobnosti šablóny a potom kliknite na tlačidlo Ďalej. |
7 |
Ak sa zobrazí výzva na výber konfigurácie prostriedkov na stránke Konfigurácia , kliknite na položku 4 CPU a potom kliknite na tlačidlo Ďalej. |
8 |
Na stránke Vybrať úložisko kliknite na tlačidlo Ďalej , čím prijmete predvolený formát disku a pravidlá úložiska VM. |
9 |
Na stránke Vybrať siete vyberte sieťovú možnosť zo zoznamu položiek, aby ste poskytli požadované pripojenie k virtuálnemu počítaču. |
10 |
Na stránke Prispôsobiť šablónu nakonfigurujte nasledujúce nastavenia siete:
Ak chcete, môžete preskočiť konfiguráciu nastavenia siete a podľa krokov v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov nakonfigurujte nastavenia z konzoly uzla. Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 6.5. Táto možnosť nemusí byť dostupná v starších verziách. |
11 |
Kliknite pravým tlačidlom myši na uzol VM a potom vyberte položky .Softvér Hybrid Data Security je nainštalovaný ako hosť na hostiteľovi VM. Teraz ste pripravení prihlásiť sa do konzoly a nakonfigurovať uzol. Tipy na riešenie problémov Môžete zaznamenať oneskorenie niekoľkých minút, kým sa kontajnery uzlov objavia. Počas prvého spustenia, počas ktorého sa nemôžete prihlásiť, sa na konzole zobrazí správa brány firewall mosta. |
Nastavte virtuálny počítač Hybrid Data Security
Tento postup použite na prvé prihlásenie do konzoly VM uzla Hybrid Data Security a nastavenie prihlasovacích poverení. Konzolu môžete použiť aj na konfiguráciu sieťových nastavení pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.
1 |
V klientovi VMware vSphere vyberte svoj uzol Hybrid Data Security VM a vyberte kartu Konzola . VM sa spustí a zobrazí sa výzva na prihlásenie. Ak sa výzva na prihlásenie nezobrazí, stlačte kláves Enter.
|
2 |
Na prihlásenie a zmenu poverení použite nasledujúce predvolené prihlasovacie meno a heslo: Keďže sa do svojho VM prihlasujete prvýkrát, musíte zmeniť heslo správcu. |
3 |
Ak ste už nakonfigurovali nastavenia siete v časti Inštalácia hostiteľa HDS OVA, preskočte zvyšok tohto postupu. V opačnom prípade vyberte v hlavnej ponuke možnosť Upraviť konfiguráciu . |
4 |
Nastavte statickú konfiguráciu s IP adresou, maskou, bránou a informáciami DNS. Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované. |
5 |
(Voliteľné) Zmeňte názov hostiteľa, doménu alebo server(y) NTP, ak je to potrebné, aby zodpovedali zásadám vašej siete. Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509. |
6 |
Uložte konfiguráciu siete a reštartujte VM, aby sa zmeny prejavili. |
Nahrajte a pripojte ISO konfiguráciu HDS
Skôr ako začnete
Pretože súbor ISO obsahuje hlavný kľúč, mal by byť zverejnený iba na základe „potreby vedieť“, aby k nemu mali prístup virtuálne počítače s hybridným zabezpečením údajov a všetci správcovia, ktorí môžu potrebovať vykonať zmeny. Uistite sa, že k úložisku údajov majú prístup iba títo správcovia.
1 |
Nahrajte súbor ISO z počítača: |
2 |
Pripojte súbor ISO: |
Čo robiť ďalej
Ak to vyžaduje vaša politika IT, môžete voliteľne odpojiť súbor ISO po tom, čo všetky vaše uzly prevezmú zmeny konfigurácie. Podrobnosti nájdete v časti (Voliteľné) Odpojenie ISO po konfigurácii HDS .
Nakonfigurujte uzol HDS na integráciu proxy
Ak sieťové prostredie vyžaduje server proxy, použite tento postup na určenie typu servera proxy, ktorý chcete integrovať s Hybrid Data Security. Ak si vyberiete transparentný kontrolný proxy server alebo explicitný proxy server HTTPS, môžete použiť rozhranie uzla na nahranie a inštaláciu koreňového certifikátu. Môžete tiež skontrolovať pripojenie proxy z rozhrania a vyriešiť prípadné problémy.
Skôr ako začnete
-
Prehľad podporovaných možností servera proxy nájdete v časti Podpora servera proxy .
1 |
Do webového prehliadača zadajte adresu URL nastavenia uzla HDS |
2 |
Prejdite na stránku Trust Store & Proxy a potom vyberte jednu z možností:
Postupujte podľa nasledujúcich krokov pre transparentný kontrolný proxy server, explicitný proxy server HTTP so základným overením alebo explicitný proxy HTTPS. |
3 |
Kliknite na položku Odovzdať koreňový certifikát alebo certifikát ukončenia entity a potom prejdite na výber koreňového certifikátu pre server proxy. Certifikát je nahraný, ale ešte nie je nainštalovaný, pretože na inštaláciu certifikátu musíte reštartovať uzol. Ak chcete získať ďalšie podrobnosti, kliknite na šípku so šípkou vedľa názvu vydavateľa certifikátu. Ak ste urobili chybu a chcete súbor nahrať znova, kliknite na tlačidlo Odstrániť . |
4 |
Kliknutím na položku Skontrolovať pripojenie proxy otestujete sieťové pripojenie medzi uzlom a serverom proxy. Ak test pripojenia zlyhá, zobrazí sa chybové hlásenie, ktoré uvádza dôvod a spôsob, ako môžete problém vyriešiť. Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS. Tento stav sa očakáva v mnohých explicitných konfiguráciách proxy. Môžete pokračovať v nastavovaní a uzol bude fungovať v režime zablokovaného externého rozlíšenia DNS. Ak si myslíte, že ide o chybu, vykonajte tieto kroky a potom si pozrite časť Vypnutie režimu zablokovaného externého rozlíšenia DNS. |
5 |
Po úspešnom teste pripojenia pre explicitný server proxy nastavený iba na https zapnite prepínač na možnosť Smerovať všetky požiadavky protokolu https z tohto uzla na port 443/444 cez explicitný server proxy. Toto nastavenie sa prejaví po 15 sekundách. |
6 |
Kliknite na položku Inštalovať všetky certifikáty do dôveryhodného úložiska (zobrazí sa pri explicitnom serveri proxy HTTPS alebo transparentnom kontrolnom serveri proxy) alebo Reštartovať (zobrazí sa pri explicitnom serveri proxy HTTP), prečítajte si výzvu a potom kliknite na tlačidlo Inštalovať , ak ste pripravení. Uzol sa reštartuje v priebehu niekoľkých minút. |
7 |
Keď sa uzol reštartuje, v prípade potreby sa znova prihláste a potom otvorte stránku Prehľad a skontrolujte kontroly pripojenia, aby ste sa uistili, že sú všetky v zelenom stave. Kontrola pripojenia proxy testuje iba subdoménu webex.com. Ak sa vyskytnú problémy s pripojením, bežným problémom je, že niektoré z cloudových domén uvedených v pokynoch na inštaláciu sú na serveri proxy blokované. |
Zaregistrujte prvý uzol v klastri
Keď zaregistrujete svoj prvý uzol, vytvoríte klaster, ku ktorému je uzol priradený. Klaster obsahuje jeden alebo viac uzlov nasadených na zabezpečenie redundancie.
Skôr ako začnete
-
Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.
-
Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.
1 |
Prihláste sa do https://admin.webex.com. |
2 |
V ponuke na ľavej strane obrazovky vyberte položku Služby. |
3 |
V časti Cloudové služby nájdite kartu Hybrid Data Security a kliknite na tlačidlo Nastaviť. |
4 |
Na stránke, ktorá sa otvorí, kliknite na položku Pridať zdroj. |
5 |
Do prvého poľa na karte Pridať uzol zadajte názov klastra, ktorému chcete priradiť uzol Hybrid Data Security. Odporúčame pomenovať klaster podľa toho, kde sa geograficky nachádzajú uzly klastra. Príklady: „San Francisco“ alebo „New York“ alebo „Dallas“ |
6 |
Do druhého poľa zadajte internú adresu IP alebo úplný názov domény (FQDN) svojho uzla a kliknite na tlačidlo Pridať v dolnej časti obrazovky. Táto adresa IP alebo FQDN by sa mala zhodovať s adresou IP alebo názvom hostiteľa a doménou, ktoré ste použili v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov. Zobrazí sa správa, že môžete zaregistrovať svoj uzol do Webexu.
|
7 |
Kliknite na položku Prejsť do uzla. Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že svojej organizácii Webex chcete udeliť povolenia na prístup k vášmu uzlu. |
8 |
Začiarknite políčko Povoliť prístup k vášmu uzlu zabezpečenia hybridných údajov a potom kliknite na tlačidlo Pokračovať. Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
|
9 |
Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Hybrid Data Security partnerského centra. Na stránke Hybrid Data Security sa nový klaster obsahujúci uzol, ktorý ste zaregistrovali, zobrazí na karte Prostriedky . Uzol si automaticky stiahne najnovší softvér z cloudu.
|
Vytvorte a zaregistrujte viac uzlov
Skôr ako začnete
-
Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.
-
Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.
1 |
Vytvorte nový virtuálny počítač z OVA zopakovaním krokov v časti Inštalácia hostiteľského OVA HDS. |
2 |
Nastavte úvodnú konfiguráciu na novom virtuálnom počítači zopakovaním krokov v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov. |
3 |
Na novom virtuálnom počítači zopakujte kroky v časti Odovzdanie a pripojenie ISO konfigurácie HDS. |
4 |
Ak nastavujete server proxy pre svoje nasadenie, zopakujte kroky v časti Konfigurácia uzla HDS na integráciu servera proxy podľa potreby pre nový uzol. |
5 |
Zaregistrujte uzol. |
Spravujte organizácie nájomníkov na hybridnom zabezpečení dát pre viacerých nájomníkov
Aktivujte si Multi-Tenant HDS na Partner Hub
Táto úloha zaisťuje, že všetci používatelia zákazníckych organizácií môžu začať využívať HDS pre lokálne šifrovacie kľúče a ďalšie bezpečnostné služby.
Skôr ako začnete
Uistite sa, že ste dokončili nastavenie klastra Multi-Tenant HDS s požadovaným počtom uzlov.
1 |
Prihláste sa do https://admin.webex.com. |
2 |
V ponuke na ľavej strane obrazovky vyberte položku Služby. |
3 |
V časti Cloudové služby vyhľadajte Hybrid Data Security a kliknite na položku Upraviť nastavenia. |
4 |
Kliknite na položku Aktivovať HDS na karte Stav HDS . |
Pridajte organizácie nájomníkov v partnerskom centre
V tejto úlohe priradíte zákaznícke organizácie k vášmu Hybrid Data Security Cluster.
1 |
Prihláste sa do https://admin.webex.com. |
2 |
V ponuke na ľavej strane obrazovky vyberte položku Služby. |
3 |
V sekcii Cloudové služby nájdite Hybrid Data Security a kliknite na položku Zobraziť všetko. |
4 |
Kliknite na klaster, ku ktorému chcete priradiť zákazníka. |
5 |
Prejdite na kartu Priradení zákazníci . |
6 |
Kliknite na položku Pridať zákazníkov. |
7 |
Z rozbaľovacej ponuky vyberte zákazníka, ktorého chcete pridať. |
8 |
Kliknite na tlačidlo Pridať, zákazník bude pridaný do klastra. |
9 |
Ak chcete do svojho klastra pridať viacerých zákazníkov, zopakujte kroky 6 až 8. |
10 |
Po pridaní zákazníkov kliknite na tlačidlo Hotovo v dolnej časti obrazovky. |
Čo robiť ďalej
Vytvorte hlavné kľúče zákazníka (CMK) pomocou nástroja HDS Setup
Skôr ako začnete
Priraďte zákazníkov do príslušného klastra, ako je podrobne uvedené v časti Pridanie organizácií nájomníkov do centra partnerov. Spustite nástroj HDS Setup a dokončite proces nastavenia pre novo pridané zákaznícke organizácie.
-
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými administrátorskými právami pre vašu organizáciu.
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker v kroku 5 zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:
-
Databázové poverenia
-
Aktualizácie certifikátov
-
Zmeny v politike autorizácie
-
-
Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.
Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.
1 |
Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať. |
2 |
Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce: |
3 |
Pri výzve na zadanie hesla zadajte tento hash: |
4 |
Stiahnite si najnovší stabilný obraz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: |
5 |
Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:
Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“. |
6 |
Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 . Pomocou webového prehliadača prejdite na localhost, Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie. |
7 |
Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia správcu Partner Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre Hybrid Data Security. |
8 |
Na stránke prehľadu nástroja Setup kliknite na položku Začíname. |
9 |
Na stránke Import ISO kliknite na tlačidlo Áno. |
10 |
Vyberte súbor ISO v prehliadači a nahrajte ho. Ak chcete vykonávať správu CMK, zaistite pripojenie k databáze. |
11 |
Prejdite na kartu Správa CMK nájomcov , kde nájdete nasledujúce tri spôsoby správy CMK nájomcov.
|
12 |
Po úspešnom vytvorení CMK sa stav v tabuľke zmení z Čaká sa na správu CMK na Spravuje CMK. |
13 |
Ak je vytvorenie CMK neúspešné, zobrazí sa chyba. |
Odstráňte organizácie nájomníkov
Skôr ako začnete
Po odstránení nebudú používatelia zákazníckych organizácií môcť využívať HDS pre svoje potreby šifrovania a stratia všetky existujúce miesta. Pred odstránením zákazníckych organizácií kontaktujte svojho partnera Cisco alebo správcu účtu.
1 |
Prihláste sa do https://admin.webex.com. |
2 |
V ponuke na ľavej strane obrazovky vyberte položku Služby. |
3 |
V sekcii Cloudové služby nájdite Hybrid Data Security a kliknite na položku Zobraziť všetko. |
4 |
Na karte Zdroje kliknite na klaster, z ktorého chcete odstrániť organizácie zákazníkov. |
5 |
Na stránke, ktorá sa otvorí, kliknite na položku Priradení zákazníci. |
6 |
V zobrazenom zozname organizácií zákazníkov kliknite na položku ... na pravej strane organizácie zákazníka, ktorú chcete odstrániť, a kliknite na položku Odstrániť z klastra. |
Čo robiť ďalej
Dokončite proces odstránenia zrušením CMK zákazníckych organizácií, ako je podrobne uvedené v časti Odvolanie CMK nájomníkov odstránených z HDS.
Zrušiť CMK nájomníkov odstránených z HDS.
Skôr ako začnete
Odstráňte zákazníkov z príslušného klastra, ako je podrobne uvedené v časti Odstránenie organizácií nájomníkov. Spustite nástroj HDS Setup a dokončite proces odstránenia pre zákaznícke organizácie, ktoré boli odstránené.
-
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými administrátorskými právami pre vašu organizáciu.
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker v kroku 5 zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:
-
Databázové poverenia
-
Aktualizácie certifikátov
-
Zmeny v politike autorizácie
-
-
Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.
Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.
1 |
Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať. |
2 |
Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce: |
3 |
Pri výzve na zadanie hesla zadajte tento hash: |
4 |
Stiahnite si najnovší stabilný obraz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: |
5 |
Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:
Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“. |
6 |
Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 . Pomocou webového prehliadača prejdite na localhost, Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie. |
7 |
Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia správcu Partner Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre Hybrid Data Security. |
8 |
Na stránke prehľadu nástroja Setup kliknite na položku Začíname. |
9 |
Na stránke Import ISO kliknite na tlačidlo Áno. |
10 |
Vyberte súbor ISO v prehliadači a nahrajte ho. |
11 |
Prejdite na kartu Správa CMK nájomcov , kde nájdete nasledujúce tri spôsoby správy CMK nájomcov.
|
12 |
Po úspešnom odvolaní CMK sa zákaznícka organizácia už nebude zobrazovať v tabuľke. |
13 |
Ak je zrušenie CMK neúspešné, zobrazí sa chyba. |
Otestujte svoje nasadenie Hybrid Data Security
Otestujte svoje nasadenie hybridného zabezpečenia dát
Skôr ako začnete
-
Nastavte svoje nasadenie Hybridného zabezpečenia dát pre viacerých nájomníkov.
-
Uistite sa, že máte prístup k syslog, aby ste si overili, že kľúčové požiadavky prechádzajú do vášho nasadenia Multi-Tenant Hybrid Data Security.
1 |
Kľúče pre daný priestor nastavuje tvorca priestoru. Prihláste sa do aplikácie Webex ako jeden z používateľov zákazníckej organizácie a potom vytvorte priestor. Ak deaktivujete nasadenie Hybrid Data Security, obsah v priestoroch, ktoré používatelia vytvoria, už nebude prístupný po výmene kópií šifrovacích kľúčov uložených vo vyrovnávacej pamäti klienta. |
2 |
Posielajte správy do nového priestoru. |
3 |
Skontrolujte výstup syslog, aby ste si overili, že požiadavky na kľúče prechádzajú do vášho nasadenia Hybrid Data Security. |
Monitorujte zdravie Hybrid Data Security Health
1 |
V Centre pre partnerov vyberte z ponuky na ľavej strane obrazovky položku Služby . |
2 |
V časti Cloudové služby vyhľadajte Hybrid Data Security a kliknite na položku Upraviť nastavenia. Zobrazí sa stránka Hybrid Data Security Settings.
|
3 |
V časti E-mailové upozornenia zadajte jednu alebo viac e-mailových adries oddelených čiarkami a stlačte kláves Enter. |
Spravujte svoje nasadenie HDS
Spravujte nasadenie HDS
Pomocou tu popísaných úloh spravujte svoje nasadenie Hybrid Data Security.
Nastavte plán aktualizácie klastra
Ak chcete nastaviť plán aktualizácie:
1 |
Prihláste sa do Partnerského centra. |
2 |
V ponuke na ľavej strane obrazovky vyberte položku Služby. |
3 |
V časti Cloudové služby vyhľadajte Hybrid Data Security a kliknite na tlačidlo Nastaviť |
4 |
Na stránke Hybrid Data Security Resources vyberte klaster. |
5 |
Kliknite na kartu Nastavenia klastra . |
6 |
Na stránke Nastavenia klastra v časti Plán aktualizácie vyberte čas a časové pásmo pre plán inovácie. Poznámka: Pod časovým pásmom sa zobrazí dátum a čas ďalšej dostupnej aktualizácie. V prípade potreby môžete inováciu odložiť na nasledujúci deň kliknutím na položku Odložiť o 24 hodín. |
Zmeňte konfiguráciu uzla
-
Zmena x.509 certifikátov z dôvodu uplynutia platnosti alebo iných dôvodov.
Nepodporujeme zmenu názvu domény CN certifikátu. Doména sa musí zhodovať s pôvodnou doménou použitou na registráciu klastra.
-
Aktualizácia nastavení databázy pre zmenu na repliku databázy PostgreSQL alebo Microsoft SQL Server.
Nepodporujeme migráciu údajov z PostgreSQL na Microsoft SQL Server ani opačným spôsobom. Ak chcete zmeniť prostredie databázy, spustite nové nasadenie Hybrid Data Security.
-
Vytvorenie novej konfigurácie na prípravu nového dátového centra.
Z bezpečnostných dôvodov používa Hybrid Data Security heslá servisných účtov, ktoré majú životnosť deväť mesiacov. Keď nástroj HDS Setup vygeneruje tieto heslá, nasadíte ich do každého z vašich uzlov HDS v konfiguračnom súbore ISO. Keď sa blíži koniec platnosti hesiel vašej organizácie, dostanete od tímu Webex upozornenie na resetovanie hesla pre váš počítačový účet. (E-mail obsahuje text „Na aktualizáciu hesla použite rozhranie API strojového účtu.“) Ak platnosť vašich hesiel ešte nevypršala, nástroj vám ponúka dve možnosti:
-
Mäkké obnovenie – staré aj nové heslo fungujú až 10 dní. Toto obdobie použite na postupnú výmenu súboru ISO na uzloch.
-
Tvrdý reset – staré heslá okamžite prestanú fungovať.
Ak platnosť vašich hesiel vyprší bez resetovania, ovplyvní to vašu službu HDS, čo si vyžaduje okamžitý tvrdý reset a nahradenie súboru ISO na všetkých uzloch.
Tento postup použite na vygenerovanie nového konfiguračného súboru ISO a jeho použitie vo vašom klastri.
Skôr ako začnete
-
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými právami správcu partnera.
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri vytváraní kontajnera Docker v 1.e zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Na vygenerovanie novej konfigurácie potrebujete kópiu aktuálneho konfiguračného súboru ISO. ISO obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. ISO potrebujete, keď robíte zmeny v konfigurácii vrátane poverení databázy, aktualizácií certifikátov alebo zmien v politike autorizácie.
1 |
Pomocou Docker na lokálnom počítači spustite nástroj HDS Setup Tool. |
2 |
Ak máte spustený iba jeden uzol HDS, vytvorte nový virtuálny počítač s uzlom Hybrid Data Security a zaregistrujte ho pomocou nového konfiguračného súboru ISO. Podrobnejšie pokyny nájdete v časti Vytvorenie a registrácia ďalších uzlov. |
3 |
Pre existujúce uzly HDS, na ktorých je spustený starší konfiguračný súbor, pripojte súbor ISO. Postupne vykonajte nasledujúci postup na každom uzle, pričom aktualizujte každý uzol pred vypnutím ďalšieho uzla: |
4 |
Opakujte krok 3, aby ste nahradili konfiguráciu na každom zostávajúcom uzle, na ktorom je spustená stará konfigurácia. |
Vypnite režim zablokovaného externého rozlíšenia DNS
Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. Ak server DNS uzla nedokáže rozlíšiť verejné názvy DNS, uzol automaticky prejde do režimu zablokovaného externého rozlíšenia DNS.
Ak vaše uzly dokážu rozlíšiť verejné názvy DNS prostredníctvom interných serverov DNS, môžete tento režim vypnúť opätovným spustením testu pripojenia proxy na každom uzle.
Skôr ako začnete
1 |
Vo webovom prehliadači otvorte rozhranie uzla Hybrid Data Security (napríklad adresa IP alebo nastavenie, https://192.0.2.0/setup), zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite na tlačidlo Prihlásiť sa). |
2 |
Prejdite na Prehľad (predvolená stránka). Keď je táto možnosť povolená, možnosť Blokované externé rozlíšenie DNS je nastavená na možnosť Áno. |
3 |
Prejdite na stránku Trust Store & Proxy . |
4 |
Kliknite na položku Skontrolovať pripojenie proxy. Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS a zostane v tomto režime. V opačnom prípade po reštartovaní uzla a návrate na stránku Prehľad by mala byť položka Blocked External DNS Resolution nastavená na hodnotu No. |
Čo robiť ďalej
Odstráňte uzol
1 |
Pomocou klienta VMware vSphere vo svojom počítači sa prihláste do virtuálneho hostiteľa ESXi a vypnite virtuálny počítač. |
2 |
Odstráňte uzol: |
3 |
V klientovi vSphere odstráňte VM. (Na ľavom navigačnom paneli kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Odstrániť.) Ak nevymažete VM, nezabudnite odpojiť konfiguračný súbor ISO. Bez súboru ISO nemôžete použiť VM na prístup k bezpečnostným údajom. |
Obnova po havárii pomocou pohotovostného dátového centra
Najdôležitejšou službou, ktorú váš klaster Hybrid Data Security poskytuje, je vytváranie a ukladanie kľúčov používaných na šifrovanie správ a iného obsahu uloženého v cloude Webex. Pre každého používateľa v rámci organizácie, ktorý je priradený k Hybrid Data Security, sú do klastra smerované nové požiadavky na vytvorenie kľúča. Klaster je tiež zodpovedný za vrátenie kľúčov, ktoré vytvoril, všetkým používateľom oprávneným na ich získanie, napríklad členom konverzačného priestoru.
Pretože klaster vykonáva kritickú funkciu poskytovania týchto kľúčov, je nevyhnutné, aby klaster zostal spustený a aby sa udržiavali správne zálohy. Strata databázy Hybrid Data Security alebo konfigurácie ISO použitej pre schému bude mať za následok NENÁVRATNÚ STRATU zákazníckeho obsahu. Aby sa predišlo takejto strate, sú povinné nasledujúce postupy:
Ak havária spôsobí, že nasadenie HDS v primárnom dátovom centre sa stane nedostupným, podľa tohto postupu manuálne prepnite na pohotovostné dátové centrum.
Skôr ako začnete
1 |
Spustite nástroj na nastavenie HDS a postupujte podľa krokov uvedených v časti Vytvorenie konfiguračného ISO pre hostiteľov HDS. |
2 |
Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť. |
3 |
Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. |
4 |
V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Upraviť nastavenia. |
5 |
Kliknite na položku Upraviť nastavenia >Jednotka CD/DVD 1 a vyberte položku Datastore ISO File. Uistite sa, že sú začiarknuté položky Pripojené a Pripojiť pri zapnutí , aby sa aktualizované zmeny konfigurácie prejavili po spustení uzlov. |
6 |
Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy. |
7 |
Zaregistrujte uzol v partnerskom centre. Pozrite si časť Registrácia prvého uzla v klastri. |
8 |
Opakujte proces pre každý uzol v pohotovostnom dátovom centre. |
Čo robiť ďalej
(Voliteľné) Odpojte ISO po konfigurácii HDS
Štandardná konfigurácia HDS beží s namontovaným ISO. Niektorí zákazníci však uprednostňujú neponechať súbory ISO nepretržite pripojené. Súbor ISO môžete odpojiť potom, čo všetky uzly HDS prevezmú novú konfiguráciu.
Na vykonanie zmien v konfigurácii stále používate súbory ISO. Keď vytvoríte nový ISO alebo aktualizujete ISO pomocou nástroja Setup Tool, musíte aktualizovaný ISO pripojiť na všetky vaše uzly HDS. Keď všetky vaše uzly zachytia zmeny konfigurácie, môžete ISO znova odpojiť pomocou tohto postupu.
Skôr ako začnete
Inovujte všetky svoje uzly HDS na verziu 2021.01.22.4720 alebo novšiu.
1 |
Vypnite jeden z uzlov HDS. |
2 |
V serverovom zariadení vCenter vyberte uzol HDS. |
3 |
Vyberte položku Súbor ISO úložiska údajov. a zrušte začiarknutie políčka |
4 |
Zapnite uzol HDS a uistite sa, že aspoň 20 minút nie sú žiadne alarmy. |
5 |
Postup opakujte pre každý uzol HDS. |
Riešenie problémov so zabezpečením hybridných údajov
Zobraziť upozornenia a riešenie problémov
Nasadenie Hybrid Data Security sa považuje za nedostupné, ak sú všetky uzly v klastri nedostupné alebo klaster pracuje tak pomaly, že si vyžaduje časový limit. Ak používatelia nemôžu dosiahnuť váš klaster Hybrid Data Security, zaznamenajú nasledujúce príznaky:
-
Nie je možné vytvoriť nové medzery (nemožno vytvoriť nové kľúče)
-
Správy a názvy priestorov sa nedajú dešifrovať pre:
-
Noví používatelia pridaní do priestoru (nemožno načítať kľúče)
-
Existujúci používatelia v priestore používajúci nového klienta (nemožno načítať kľúče)
-
-
Existujúci používatelia v priestore budú naďalej úspešne fungovať, pokiaľ ich klienti majú vyrovnávaciu pamäť šifrovacích kľúčov
Je dôležité, aby ste správne monitorovali svoj klaster Hybrid Data Security a okamžite riešili všetky výstrahy, aby ste predišli prerušeniu služby.
Upozornenia
Ak sa vyskytne problém s nastavením Hybrid Data Security, partnerské centrum zobrazí upozornenia správcovi organizácie a odošle e-maily na nakonfigurovanú e-mailovú adresu. Výstrahy pokrývajú mnoho bežných scenárov.
Upozornenie |
Akcia |
---|---|
Zlyhanie prístupu k lokálnej databáze. |
Skontrolujte chyby databázy alebo problémy s lokálnou sieťou. |
Zlyhanie pripojenia k lokálnej databáze. |
Skontrolujte, či je databázový server dostupný a či boli v konfigurácii uzla použité správne poverenia servisného účtu. |
Zlyhanie prístupu k cloudovej službe. |
Skontrolujte, či majú uzly prístup k serverom Webex, ako je uvedené v časti Požiadavky na externé pripojenie. |
Obnovuje sa registrácia cloudovej služby. |
Registrácia do cloudových služieb bola zrušená. Prebieha obnova registrácie. |
Registrácia cloudovej služby bola zrušená. |
Registrácia do cloudových služieb bola ukončená. Služba sa vypína. |
Služba ešte nie je aktivovaná. |
Aktivujte HDS v Partner Hub. |
Nakonfigurovaná doména sa nezhoduje s certifikátom servera. |
Uistite sa, že váš certifikát servera sa zhoduje s nakonfigurovanou doménou aktivácie služby. Najpravdepodobnejšou príčinou je, že certifikát CN bol nedávno zmenený a teraz sa líši od CN, ktorý bol použitý počas počiatočného nastavenia. |
Nepodarilo sa overiť v cloudových službách. |
Skontrolujte presnosť a možné vypršanie platnosti poverení servisného účtu. |
Nepodarilo sa otvoriť súbor lokálneho úložiska kľúčov. |
Skontrolujte integritu a presnosť hesla v lokálnom súbore skladu kľúčov. |
Certifikát lokálneho servera je neplatný. |
Skontrolujte dátum vypršania platnosti certifikátu servera a potvrďte, že bol vydaný dôveryhodnou certifikačnou autoritou. |
Nie je možné uverejniť metriky. |
Skontrolujte prístup k lokálnej sieti k externým cloudovým službám. |
Adresár /media/configdrive/hds neexistuje. |
Skontrolujte konfiguráciu pripojenia ISO na virtuálnom hostiteľovi. Overte, či súbor ISO existuje, či je nakonfigurovaný na pripojenie pri reštarte a či sa úspešne pripojí. |
Nastavenie nájomnej organizácie pre pridané organizácie nie je dokončené |
Dokončite nastavenie vytvorením CMK pre novo pridané organizácie nájomníkov pomocou nástroja HDS Setup Tool. |
Nastavenie nájomnej organizácie pre odstránené organizácie nie je dokončené |
Dokončite nastavenie zrušením CMK organizácií nájomníkov, ktoré boli odstránené pomocou nástroja HDS Setup Tool. |
Riešenie problémov so zabezpečením hybridných údajov
1 |
Skontrolujte partnerské centrum pre všetky upozornenia a opravte všetky položky, ktoré tam nájdete. Pozrite si obrázok nižšie ako referenciu. |
2 |
Skontrolujte výstup servera syslog pre aktivitu z nasadenia Hybrid Data Security. Filtrujte slová ako „Upozornenie“ a „Chyba“, ktoré vám pomôžu pri riešení problémov. |
3 |
Kontaktujte podporu Cisco. |
Ďalšie poznámky
Známe problémy s hybridnou bezpečnosťou údajov
-
Ak vypnete svoj klaster Hybrid Data Security (odstránením v Partner Hub alebo vypnutím všetkých uzlov), stratíte svoj konfiguračný súbor ISO alebo stratíte prístup k databáze úložiska kľúčov, používatelia aplikácií Webex zo zákazníckych organizácií už nebudú môcť používať priestory pod ich zoznam ľudí, ktorý bol vytvorený pomocou kľúčov z vášho KMS. V súčasnosti nemáme riešenie ani opravu tohto problému a žiadame vás, aby ste nevypínali svoje služby HDS, keď budú spracovávať aktívne používateľské účty.
-
Klient, ktorý má existujúce pripojenie ECDH ku KMS, udržiava toto pripojenie určitý čas (pravdepodobne jednu hodinu).
Na vygenerovanie súboru PKCS12 použite OpenSSL
Skôr ako začnete
-
OpenSSL je jeden nástroj, ktorý možno použiť na vytvorenie súboru PKCS12 v správnom formáte na načítanie v nástroji HDS Setup Tool. Existujú aj iné spôsoby, ako to urobiť, a my nepodporujeme ani nepresadzujeme jeden spôsob oproti druhému.
-
Ak sa rozhodnete použiť OpenSSL, poskytujeme tento postup ako návod, ktorý vám pomôže vytvoriť súbor, ktorý spĺňa požiadavky na certifikát X.509 v časti Požiadavky na certifikát X.509. Než budete pokračovať, pochopte tieto požiadavky.
-
Nainštalujte OpenSSL v podporovanom prostredí. Softvér a dokumentáciu nájdete v časti https://www.openssl.org .
-
Vytvorte súkromný kľúč.
-
Tento postup začnite, keď dostanete certifikát servera od certifikačnej autority (CA).
1 |
Keď od svojej CA dostanete certifikát servera, uložte ho ako |
2 |
Zobrazte certifikát ako text a overte podrobnosti.
|
3 |
Pomocou textového editora vytvorte súbor balíka certifikátov s názvom
|
4 |
Vytvorte súbor .p12 s priateľským názvom
|
5 |
Skontrolujte podrobnosti certifikátu servera. |
Čo robiť ďalej
Vráťte sa na stránku Dokončenie predpokladov pre hybridné zabezpečenie údajov. V časti Vytvorenie konfiguračného ISO pre hostiteľov HDS použijete súbor hdsnode.p12
a heslo, ktoré ste preň nastavili.
Tieto súbory môžete znova použiť na vyžiadanie nového certifikátu, keď platnosť pôvodného certifikátu vyprší.
Prevádzka medzi uzlami HDS a cloudom
Odchádzajúca návštevnosť zberu metrík
Uzly Hybrid Data Security odosielajú určité metriky do cloudu Webex. Patria sem systémové metriky pre maximálnu haldu, využitú haldu, zaťaženie procesora a počet vlákien; metriky na synchrónnych a asynchrónnych vláknach; metriky výstrah zahŕňajúce prah šifrovacích pripojení, latenciu alebo dĺžku frontu požiadaviek; metriky v dátovom sklade; a metriky šifrovaného pripojenia. Uzly posielajú zašifrovaný kľúčový materiál cez kanál mimo pásma (oddelený od požiadavky).
Prichádzajúca premávka
Uzly Hybrid Data Security prijímajú nasledujúce typy prichádzajúcej prevádzky z cloudu Webex:
-
Šifrovacie požiadavky od klientov, ktoré sú smerované šifrovacou službou
-
Aktualizácie softvéru uzla
Nakonfigurujte Squid proxy pre hybridné zabezpečenie dát
Websocket sa nemôže pripojiť cez Squid Proxy
Servery proxy typu Squid, ktoré kontrolujú prenos HTTPS, môžu narúšať vytváranie pripojení websocket (wss:
), ktoré vyžaduje Hybrid Data Security. Tieto časti poskytujú návod, ako nakonfigurovať rôzne verzie Squid tak, aby ignorovali wss:
prevádzky pre správne fungovanie služieb.
Kalmáre 4 a 5
Pridajte on_unsupported_protocol
smernicu na stránku squid.conf
:
on_unsupported_protocol tunel všetko
Kalmáre 3.5.27
Úspešne sme testovali Hybrid Data Security pomocou nasledujúcich pravidiel pridaných na stránku squid.conf
. Tieto pravidlá sa môžu meniť, pretože vyvíjame funkcie a aktualizujeme cloud Webex.
acl wssMercuryConnection ssl::server_name_regex ortuťové pripojenie ssl_bump splice wssMercuryConnection acl krok1 at_step SslBump1 acl krok2 at_step SslBump2 acl krok3 at_step SslBump3 ssl_bump pohľad krok1 všetko ssl_bump pozerať krok2 všetko ssl_bump vyskočiť krok3 všetko
Nové a zmenené informácie
Nové a zmenené informácie
Táto tabuľka obsahuje nové funkcie alebo funkcie, zmeny existujúceho obsahu a všetky hlavné chyby, ktoré boli opravené v Príručke nasadenia pre multi-tenantovú hybridnú bezpečnosť údajov.
Dátum |
Vykonané zmeny |
---|---|
8. januára 2025 |
Do časti Vykonať úvodné nastavenie a prevziať inštalačné súbory bola pridaná poznámka, že kliknutie na položku Nastaviť na karte HDS v partnerskom centre je dôležitým krokom procesu inštalácie. |
7. januára 2025 |
Aktualizované Požiadavky na virtuálneho hostiteľa, Tok úloh nasadenia hybridného zabezpečenia údajov a Inštalácia hostiteľského OVA HDS , aby zobrazovali novú požiadavku ESXi 7.0. |
13. decembra 2024 |
Prvýkrát zverejnené. |
Deaktivujte hybridné zabezpečenie dát pre viacerých nájomníkov
Tok úloh deaktivácie HDS pre viacerých nájomníkov
Ak chcete úplne deaktivovať Multi-Tenant HDS, postupujte podľa týchto krokov.
Skôr ako začnete
1 |
Odstráňte všetkých zákazníkov zo všetkých svojich klastrov, ako je uvedené v časti Odstránenie organizácií nájomníkov. |
2 |
Zrušte CMK všetkých zákazníkov, ako je uvedené v časti Zrušenie CMK nájomníkov odstránených z HDS. |
3 |
Odstráňte všetky uzly zo všetkých klastrov, ako je uvedené v časti Odstránenie uzla. |
4 |
Odstráňte všetky svoje klastre z Partner Hub pomocou jednej z nasledujúcich dvoch metód.
|
5 |
Kliknite na kartu Nastavenia na stránke prehľadu Hybrid Data Security a kliknite na položku Deaktivovať HDS na karte Stav HDS. |
Začnite s Hybridným zabezpečením dát pre viacerých nájomníkov
Prehľad zabezpečenia hybridných dát pre viacerých nájomníkov
Od prvého dňa bola bezpečnosť údajov hlavným zameraním pri navrhovaní aplikácie Webex. Základným kameňom tohto zabezpečenia je komplexné šifrovanie obsahu, ktoré umožňujú klienti Webex App interagujúci so službou správy kľúčov (KMS). KMS je zodpovedný za vytváranie a správu kryptografických kľúčov, ktoré klienti používajú na dynamické šifrovanie a dešifrovanie správ a súborov.
V predvolenom nastavení dostávajú všetci zákazníci Webex App end-to-end šifrovanie s dynamickými kľúčmi uloženými v cloudovom KMS v oblasti bezpečnosti Cisco. Hybrid Data Security presúva KMS a ďalšie funkcie súvisiace so zabezpečením do vášho podnikového dátového centra, takže kľúče k vášmu šifrovanému obsahu nemá nikto okrem vás.
Multi-Tenant Hybrid Data Security umožňuje organizáciám využívať HDS prostredníctvom dôveryhodného miestneho partnera, ktorý môže pôsobiť ako poskytovateľ služieb a spravovať lokálne šifrovanie a ďalšie bezpečnostné služby. Toto nastavenie umožňuje partnerskej organizácii mať úplnú kontrolu nad nasadením a správou šifrovacích kľúčov a zaisťuje, že používateľské údaje zákazníckych organizácií sú v bezpečí pred externým prístupom. Partnerské organizácie podľa potreby nastavujú inštancie HDS a vytvárajú klastre HDS. Každá inštancia môže podporovať viacero zákazníckych organizácií na rozdiel od bežného nasadenia HDS, ktoré je obmedzené na jednu organizáciu.
To tiež umožňuje menším organizáciám využívať HDS, pretože službu správy kľúčov a bezpečnostnú infraštruktúru, ako sú dátové centrá, vlastní dôveryhodný miestny partner.
Ako Multi-Tenant Hybrid Data Security poskytuje dátovú suverenitu a kontrolu dát
- Obsah generovaný používateľmi je chránený pred externým prístupom, ako sú poskytovatelia cloudových služieb.
- Miestni dôveryhodní partneri spravujú šifrovacie kľúče zákazníkov, s ktorými už majú vybudovaný vzťah.
- Možnosť miestnej technickej podpory, ak ju poskytuje partner.
- Podporuje obsah stretnutí, správ a hovorov.
Tento dokument je zameraný na pomoc partnerským organizáciám pri nastavovaní a správe zákazníkov v rámci systému Multi-Tenant Hybrid Data Security.
Úlohy v hybridnej bezpečnosti dát pre viacerých nájomníkov
- Úplný správca partnera – môže spravovať nastavenia pre všetkých zákazníkov, ktorých partner spravuje. Môže tiež priradiť roly správcu existujúcim používateľom v organizácii a priradiť konkrétnych zákazníkov, ktorých majú spravovať správcovia partnerov.
- Správca partnera – môže spravovať nastavenia pre zákazníkov, ktorých správca poskytol alebo ktorí boli priradení používateľovi.
- Úplný správca – správca partnerskej organizácie, ktorý je oprávnený vykonávať úlohy, ako je úprava nastavení organizácie, správa licencií a prideľovanie rolí.
- Nastavenie HDS pre viacerých nájomníkov a správa všetkých zákazníckych organizácií od konca do konca – Vyžaduje sa úplný správca partnera a úplné práva správcu.
- Správa priradených organizácií nájomcov – vyžaduje sa správca partnera a úplné práva správcu.
Architektúra bezpečnostnej sféry
Cloudová architektúra Webex oddeľuje rôzne typy služieb do samostatných oblastí alebo dôveryhodných domén, ako je znázornené nižšie.
Aby sme lepšie porozumeli Hybrid Data Security, pozrime sa najprv na tento čistý cloud, kde Cisco poskytuje všetky funkcie vo svojich cloudových sférach. Služba identity, jediné miesto, kde môžu používatelia priamo korelovať so svojimi osobnými údajmi, ako je e-mailová adresa, je logicky a fyzicky oddelená od oblasti zabezpečenia v dátovom centre B. Obe sú zase oddelené od oblasti, kde je v konečnom dôsledku uložený šifrovaný obsah. , v dátovom centre C.
V tomto diagrame je klientom aplikácia Webex, ktorá beží na notebooku používateľa a je overená službou identity. Keď používateľ vytvorí správu na odoslanie do priestoru, vykonajú sa tieto kroky:
-
Klient vytvorí zabezpečené spojenie so službou správy kľúčov (KMS), potom požiada o kľúč na zašifrovanie správy. Zabezpečené pripojenie používa ECDH a KMS šifruje kľúč pomocou hlavného kľúča AES-256.
-
Správa je pred opustením klienta zašifrovaná. Klient ho odošle do indexovacej služby, ktorá vytvorí šifrované indexy vyhľadávania na pomoc pri budúcom vyhľadávaní obsahu.
-
Zašifrovaná správa sa odošle do služby súladu na kontrolu súladu.
-
Zašifrovaná správa je uložená v úložnej sfére.
Keď nasadíte Hybrid Data Security, presuniete funkcie bezpečnostnej sféry (KMS, indexovanie a súlad) do vášho lokálneho dátového centra. Ostatné cloudové služby, ktoré tvoria Webex (vrátane ukladania identity a obsahu), zostávajú v sférach spoločnosti Cisco.
Spolupráca s inými organizáciami
Používatelia vo vašej organizácii môžu pravidelne používať aplikáciu Webex na spoluprácu s externými účastníkmi v iných organizáciách. Keď jeden z vašich používateľov požaduje kľúč pre priestor, ktorý vlastní vaša organizácia (pretože ho vytvoril jeden z vašich používateľov), váš KMS odošle kľúč klientovi cez zabezpečený kanál ECDH. Keď však kľúč priestoru vlastní iná organizácia, váš KMS nasmeruje požiadavku do cloudu Webex cez samostatný kanál ECDH, aby získal kľúč z príslušného KMS, a potom vráti kľúč vášmu používateľovi na pôvodnom kanáli.
Služba KMS spustená v organizácii A overuje pripojenia ku KMS v iných organizáciách pomocou x.509 PKI certifikátov. Podrobnosti o generovaní certifikátu x.509 na použitie s nasadením Hybrid Data Security pre viacerých nájomníkov nájdete v časti Príprava prostredia .
Očakávania týkajúce sa nasadenia hybridnej bezpečnosti údajov
Nasadenie Hybrid Data Security si vyžaduje značné odhodlanie a uvedomenie si rizík, ktoré prináša vlastníctvo šifrovacích kľúčov.
Ak chcete nasadiť Hybrid Data Security, musíte poskytnúť:
-
Zabezpečené dátové centrum v krajine, ktorá je podporovaným miestom pre plány Cisco Webex Teams.
-
Vybavenie, softvér a sieťový prístup popísané v časti Príprava prostredia.
Úplná strata buď konfiguračného ISO, ktoré ste vytvorili pre Hybrid Data Security, alebo databázy, ktorú poskytnete, bude mať za následok stratu kľúčov. Strata kľúča bráni používateľom dešifrovať obsah priestoru a ďalšie šifrované údaje v aplikácii Webex. Ak sa tak stane, môžete vytvoriť nové nasadenie, ale bude viditeľný iba nový obsah. Aby ste predišli strate prístupu k údajom, musíte:
-
Spravujte zálohovanie a obnovu databázy a konfiguračného ISO.
-
Buďte pripravení vykonať rýchlu obnovu po havárii, ak dôjde ku katastrofe, ako je zlyhanie databázového disku alebo katastrofa dátového centra.
Neexistuje žiadny mechanizmus na presun kľúčov späť do cloudu po nasadení HDS.
Proces nastavenia na vysokej úrovni
Tento dokument pokrýva nastavenie a správu nasadenia Hybrid Data Security pre viacerých nájomníkov:
-
Nastavenie Hybrid Data Security – zahŕňa prípravu požadovanej infraštruktúry a inštaláciu softvéru Hybrid Data Security, vybudovanie klastra HDS, pridanie organizácií nájomníkov do klastra a správu ich hlavných kľúčov zákazníkov (CMK). To umožní všetkým používateľom vašich zákazníckych organizácií používať váš klaster Hybrid Data Security na bezpečnostné funkcie.
Fázy nastavenia, aktivácie a správy sú podrobne opísané v nasledujúcich troch kapitolách.
-
Udržujte svoje nasadenie Hybrid Data Security – cloud Webex automaticky poskytuje priebežné inovácie. Vaše IT oddelenie môže poskytnúť podporu prvej úrovne pre toto nasadenie a podľa potreby zapojiť podporu Cisco. V partnerskom centre môžete používať upozornenia na obrazovke a nastaviť upozornenia prostredníctvom e-mailu.
-
Pochopte bežné upozornenia, kroky na riešenie problémov a známe problémy – Ak narazíte na problémy s nasadením alebo používaním Hybrid Data Security, posledná kapitola tejto príručky a príloha Známe problémy vám môžu pomôcť určiť a vyriešiť problém.
Hybridný model nasadenia zabezpečenia dát
V rámci podnikového dátového centra nasadíte Hybrid Data Security ako jeden klaster uzlov na samostatných virtuálnych hostiteľoch. Uzly komunikujú s cloudom Webex cez zabezpečené websockety a zabezpečené HTTP.
Počas procesu inštalácie vám poskytneme súbor OVA na nastavenie virtuálneho zariadenia na VM, ktoré poskytnete. Nástroj HDS Setup Tool použijete na vytvorenie vlastného konfiguračného súboru ISO klastra, ktorý pripojíte na každý uzol. Klaster Hybrid Data Security využíva váš poskytnutý server Syslogd a databázu PostgreSQL alebo Microsoft SQL Server. (Syslogd a podrobnosti o pripojení k databáze nakonfigurujete v nástroji HDS Setup Tool.)
Minimálny počet uzlov, ktoré môžete mať v klastri, sú dva. Odporúčame aspoň tri na klaster. Viacnásobné uzly zaisťujú, že služba nebude prerušená počas aktualizácie softvéru alebo inej činnosti údržby na uzle. (Cloud Webex aktualizuje naraz iba jeden uzol.)
Všetky uzly v klastri pristupujú k rovnakému úložisku údajov kľúčov a zaznamenávajú aktivitu na rovnaký server syslog. Samotné uzly sú bez stavu a spracovávajú kľúčové požiadavky v režime round-robin podľa pokynov cloudu.
Uzly sa stanú aktívnymi, keď ich zaregistrujete v Partner Hub. Ak chcete vyradiť jednotlivý uzol z prevádzky, môžete ho zrušiť a neskôr v prípade potreby znova zaregistrovať.
Pohotovostné dátové centrum pre obnovu po havárii
Počas nasadenia nastavíte zabezpečené pohotovostné dátové centrum. V prípade havárie dátového centra môžete manuálne zlyhať nasadenie do pohotovostného dátového centra.
Databázy aktívnych a pohotovostných dátových centier sú navzájom synchronizované, čo minimalizuje čas potrebný na vykonanie núdzového prepnutia.
Aktívne uzly Hybrid Data Security musia byť vždy v rovnakom údajovom centre ako aktívny databázový server.
Podpora proxy
Hybrid Data Security podporuje explicitné, transparentné kontrolné a nekontrolujúce proxy. Tieto servery proxy môžete prepojiť s nasadením, aby ste mohli zabezpečiť a monitorovať prevádzku z podniku do cloudu. Rozhranie správcu platformy na uzloch môžete použiť na správu certifikátov a na kontrolu celkového stavu pripojenia po nastavení servera proxy na uzloch.
Uzly Hybrid Data Security podporujú nasledujúce možnosti proxy:
-
Bez servera proxy – predvolená hodnota, ak na integráciu servera proxy nepoužívate konfiguráciu dôveryhodného obchodu a servera proxy na nastavenie uzla HDS. Nevyžaduje sa žiadna aktualizácia certifikátu.
-
Transparentný nekontrolujúci proxy server – uzly nie sú nakonfigurované na používanie konkrétnej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.
-
Transparentné tunelovanie alebo kontrola servera proxy – uzly nie sú nakonfigurované na používanie konkrétnej adresy servera proxy. Na uzloch nie sú potrebné žiadne zmeny konfigurácie HTTP alebo HTTPS. Uzly však potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).
-
Explicitný server proxy – pomocou explicitného servera proxy poviete uzlom HDS, ktorý server proxy a schému overenia majú použiť. Ak chcete nakonfigurovať explicitný server proxy, musíte do každého uzla zadať nasledujúce informácie:
-
Proxy IP/FQDN – adresa, ktorú možno použiť na spojenie so zariadením proxy.
-
Port proxy – číslo portu, ktoré server proxy používa na počúvanie prenosu cez server proxy.
-
Protokol proxy – v závislosti od toho, čo váš server proxy podporuje, si vyberte z nasledujúcich protokolov:
-
HTTP – zobrazuje a riadi všetky požiadavky, ktoré klient odosiela.
-
HTTPS – poskytuje kanál pre server. Klient prijme a overí certifikát servera.
-
-
Typ overenia totožnosti – vyberte si z nasledujúcich typov overenia totožnosti:
-
Žiadne – nevyžaduje sa žiadne ďalšie overenie.
Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.
-
Základné – používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.
Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.
Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.
-
Súhrn – používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.
Dostupné, iba ak vyberiete HTTPS ako protokol proxy.
Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.
-
-
Príklad uzlov na zabezpečenie hybridných dát a proxy
Tento diagram ukazuje príklad spojenia medzi Hybrid Data Security, sieťou a proxy. Pre možnosti transparentnej kontroly a explicitnej kontroly HTTPS musí byť na serveri proxy a na uzloch Hybrid Data Security nainštalovaný rovnaký koreňový certifikát.
Blokovaný režim externého rozlíšenia DNS (explicitné konfigurácie proxy)
Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. V nasadeniach s explicitnými konfiguráciami proxy, ktoré neumožňujú externé rozlíšenie DNS pre interných klientov, ak uzol nemôže dotazovať servery DNS, automaticky prejde do režimu blokovaného externého riešenia DNS. V tomto režime môže pokračovať registrácia uzla a ďalšie testy pripojenia proxy.
Príprava prostredia
Požiadavky na hybridnú bezpečnosť dát pre viacerých nájomníkov
Požiadavky na licenciu Cisco Webex
Ak chcete nasadiť hybridné zabezpečenie dát pre viacerých nájomníkov:
-
Partnerské organizácie: Kontaktujte svojho partnera Cisco alebo správcu účtu a uistite sa, že je povolená funkcia viacerých nájomníkov.
-
Nájomné organizácie: Musíte mať balík Pro Pack pre Cisco Webex Control Hub. (Pozrite si https://www.cisco.com/go/pro-pack.)
Požiadavky na plochu Docker
Pred inštaláciou uzlov HDS potrebujete Docker Desktop na spustenie inštalačného programu. Docker nedávno aktualizoval svoj licenčný model. Vaša organizácia môže vyžadovať platené predplatné pre Docker Desktop. Podrobnosti nájdete v blogovom príspevku Docker „ Docker aktualizuje a rozširuje naše predplatné produktov“.
Požiadavky na certifikát X.509
Certifikačný reťazec musí spĺňať nasledujúce požiadavky:
Požiadavka |
Podrobnosti |
---|---|
|
V predvolenom nastavení dôverujeme CA v zozname Mozilly (s výnimkou WoSign a StartCom) na https://wiki.mozilla.org/CA:IncludedCAs. |
|
CN nemusí byť dosiahnuteľné alebo živého hostiteľa. Odporúčame vám použiť názov, ktorý zodpovedá vašej organizácii, napríklad KN nesmie obsahovať * (zástupný znak). CN sa používa na overenie uzlov Hybrid Data Security pre klientov Webex App. Všetky uzly Hybrid Data Security vo vašom klastri používajú rovnaký certifikát. Váš KMS sa identifikuje pomocou domény CN, nie akejkoľvek domény, ktorá je definovaná v poliach x.509v3 SAN. Po zaregistrovaní uzla s týmto certifikátom nepodporujeme zmenu názvu domény CN. |
|
Softvér KMS nepodporuje podpisy SHA1 na overenie pripojení k KMS iných organizácií. |
|
Na zmenu formátu certifikátu môžete použiť konvertor, ako je OpenSSL. Pri spustení nástroja HDS Setup Tool budete musieť zadať heslo. |
Softvér KMS nevynucuje používanie kľúčov ani rozšírené obmedzenia používania kľúčov. Niektoré certifikačné autority vyžadujú, aby sa na každý certifikát aplikovali rozšírené obmedzenia používania kľúčov, ako je autentifikácia servera. Je v poriadku použiť overenie servera alebo iné nastavenia.
Požiadavky na virtuálny hostiteľ
Virtuálni hostitelia, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri, majú nasledujúce požiadavky:
-
Aspoň dvaja oddelení hostitelia (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre
-
VMware ESXi 7.0 (alebo novší) nainštalovaný a spustený.
Ak máte staršiu verziu ESXi, musíte vykonať inováciu.
-
Minimálne 4 vCPU, 8 GB hlavnej pamäte, 30 GB miesta na lokálnom pevnom disku na server
Požiadavky na databázový server
Vytvorte novú databázu pre uloženie kľúčov. Nepoužívajte predvolenú databázu. Aplikácie HDS, keď sú nainštalované, vytvoria schému databázy.
Pre databázový server sú dve možnosti. Požiadavky na každú z nich sú nasledovné:
PostgreSQL |
Microsoft SQL Server |
---|---|
|
|
Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložisko) |
Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložisko) |
Softvér HDS momentálne inštaluje nasledujúce verzie ovládačov na komunikáciu s databázovým serverom:
PostgreSQL |
Microsoft SQL Server |
---|---|
Postgres JDBC ovládač 42.2.5 |
Ovládač SQL Server JDBC 4.6 Táto verzia ovládača podporuje server SQL Server Always On (Inštancie klastra prepnutia pri zlyhaní a skupiny dostupnosti Vždy zapnuté). |
Dodatočné požiadavky na overenie systému Windows voči Microsoft SQL Server
Ak chcete, aby uzly HDS používali autentifikáciu systému Windows na získanie prístupu k vašej databáze úložiska kľúčov na serveri Microsoft SQL Server, potrebujete vo svojom prostredí nasledujúcu konfiguráciu:
-
HDS uzly, infraštruktúra Active Directory a MS SQL Server musia byť synchronizované s NTP.
-
Účet Windows, ktorý poskytnete uzlom HDS, musí mať prístup k databáze na čítanie/zápis.
-
Servery DNS, ktoré poskytujete uzlom HDS, musia byť schopné vyriešiť vaše Centrum distribúcie kľúčov (KDC).
-
Inštanciu databázy HDS môžete zaregistrovať na svojom serveri Microsoft SQL Server ako hlavný názov služby (SPN) vo vašom adresári Active Directory. Pozrite si časť Registrácia hlavného názvu služby pre pripojenia Kerberos.
Nástroj na nastavenie HDS, spúšťač HDS a miestne KMS musia na prístup k databáze kľúčov používať overenie systému Windows. Používajú podrobnosti z vašej konfigurácie ISO na vytvorenie SPN pri požadovaní prístupu s overením Kerberos.
Požiadavky na externé pripojenie
Nakonfigurujte svoj firewall tak, aby umožňoval nasledujúce pripojenie pre aplikácie HDS:
Aplikácia |
Protokol |
Port |
Smer z App |
Cieľ |
---|---|---|---|---|
Hybridné uzly zabezpečenia údajov |
TCP |
443 |
Odchádzajúce HTTPS a WSS |
|
Nástroj na nastavenie HDS |
TCP |
443 |
Odchádzajúce HTTPS |
|
Uzly Hybrid Data Security pracujú s prekladom sieťového prístupu (NAT) alebo za bránou firewall, pokiaľ NAT alebo brána firewall umožňuje požadované odchádzajúce pripojenia k destináciám domény v predchádzajúcej tabuľke. Pre pripojenia prichádzajúce do uzlov Hybrid Data Security by nemali byť z internetu viditeľné žiadne porty. V rámci vášho dátového centra potrebujú klienti prístup k uzlom Hybrid Data Security na portoch TCP 443 a 22 na administratívne účely.
Adresy URL hostiteľov Common Identity (CI) sú špecifické pre daný región. Toto sú súčasní hostitelia CI:
región |
Spoločné adresy URL hostiteľa identity |
---|---|
Ameriky |
|
Európskej únie |
|
Kanada |
|
Singapur |
|
Spojené arabské emiráty |
|
Požiadavky na proxy server
-
Oficiálne podporujeme nasledujúce proxy riešenia, ktoré sa dajú integrovať s vašimi uzlami Hybrid Data Security.
-
Transparentný proxy – Cisco Web Security Appliance (WSA).
-
Explicitný proxy-Squid.
Squid proxy, ktoré kontrolujú prenos HTTPS, môžu narúšať vytváranie pripojení websocket (wss:). Ak chcete tento problém vyriešiť, prečítajte si časť Konfigurácia serverov proxy Squid pre hybridné zabezpečenie údajov.
-
-
Pre explicitné servery proxy podporujeme nasledujúce kombinácie typov overenia:
-
Žiadna autentifikácia pomocou HTTP alebo HTTPS
-
Základná autentifikácia pomocou HTTP alebo HTTPS
-
Digest overenie iba s HTTPS
-
-
Pre transparentný kontrolný proxy server alebo explicitný proxy server HTTPS musíte mať kópiu koreňového certifikátu servera proxy. Pokyny na nasadenie v tejto príručke vám povedia, ako nahrať kópiu do dôveryhodných obchodov uzlov Hybrid Data Security.
-
Sieť, ktorá hostí uzly HDS, musí byť nakonfigurovaná tak, aby vynútila smerovanie odchádzajúcej prevádzky TCP na porte 443 cez server proxy.
-
Proxy, ktoré kontrolujú webovú prevádzku, môžu narúšať pripojenia webových soketov. Ak sa vyskytne tento problém, problém vyrieši obídenie (nie kontrola) návštevnosti stránok
wbx2.com
aciscospark.com
.
Vyplňte Predpoklady pre hybridnú bezpečnosť údajov
1 |
Uistite sa, že vaša partnerská organizácia má povolenú funkciu Multi-Tenant HDS a získajte prihlasovacie údaje účtu s úplným správcom partnera a plnými právami správcu. Uistite sa, že vaša organizácia zákazníkov Webex má povolený balík Pro Pack pre Cisco Webex Control Hub. Ak potrebujete pomoc s týmto procesom, kontaktujte svojho partnera Cisco alebo account manažéra. Zákaznícke organizácie by nemali mať žiadne existujúce nasadenie HDS. |
2 |
Vyberte názov domény pre svoje nasadenie HDS (napríklad |
3 |
Pripravte si identických virtuálnych hostiteľov, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri. Potrebujete aspoň dvoch samostatných hostiteľov (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre, ktorí spĺňajú požiadavky v časti Požiadavky na virtuálneho hostiteľa. |
4 |
Pripravte databázový server, ktorý bude fungovať ako úložisko kľúčových údajov pre klaster, v súlade s požiadavkami na databázový server. Databázový server musí byť umiestnený v zabezpečenom údajovom centre spolu s virtuálnymi hostiteľmi. |
5 |
Pre rýchlu obnovu po havárii nastavte zálohovacie prostredie v inom dátovom centre. Zálohovacie prostredie odzrkadľuje produkčné prostredie VM a záložný databázový server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM. |
6 |
Nastavte hostiteľa syslog na zhromažďovanie protokolov z uzlov v klastri. Získajte jeho sieťovú adresu a port syslog (predvolené je UDP 514). |
7 |
Vytvorte politiku bezpečného zálohovania pre uzly Hybrid Data Security, databázový server a hostiteľa syslog. Aby ste predišli nenapraviteľnej strate údajov, musíte minimálne zálohovať databázu a konfiguračný súbor ISO vygenerovaný pre uzly Hybrid Data Security. Keďže uzly Hybrid Data Security ukladajú kľúče používané na šifrovanie a dešifrovanie obsahu, zlyhanie prevádzkyschopného nasadenia bude mať za následok NEOBNOVITEĽNÚ STRATU tohto obsahu. Klienti Webex App ukladajú svoje kľúče do vyrovnávacej pamäte, takže výpadok nemusí byť okamžite viditeľný, ale časom sa prejaví. Zatiaľ čo dočasným výpadkom nie je možné zabrániť, sú obnoviteľné. Úplná strata (nie sú k dispozícii žiadne zálohy) databázy alebo konfiguračného ISO súboru však bude mať za následok neobnoviteľné zákaznícke údaje. Od operátorov uzlov Hybrid Data Security sa očakáva, že budú pravidelne zálohovať databázu a konfiguračný súbor ISO a budú pripravení na prestavbu dátového centra Hybrid Data Security, ak dôjde ku katastrofálnej poruche. |
8 |
Uistite sa, že konfigurácia brány firewall umožňuje pripojenie pre uzly Hybrid Data Security, ako je uvedené v časti Požiadavky na externé pripojenie. |
9 |
Nainštalujte Docker ( https://www.docker.com) na ľubovoľný lokálny počítač s podporovaným operačným systémom (Microsoft Windows 10 Professional alebo Enterprise 64-bitový alebo Mac OSX Yosemite 10.10.3 alebo novší) pomocou webového prehliadača, ktorý k nemu má prístup na adrese http://127.0.0.1:8080. Inštanciu Docker použijete na stiahnutie a spustenie nástroja HDS Setup Tool, ktorý vytvorí informácie o lokálnej konfigurácii pre všetky uzly Hybrid Data Security. Možno budete potrebovať licenciu Docker Desktop. Ďalšie informácie nájdete v časti Požiadavky na pracovnú plochu Docker . Ak chcete nainštalovať a spustiť nástroj HDS Setup Tool, miestny počítač musí mať pripojenie uvedené v časti Požiadavky na externé pripojenie. |
10 |
Ak integrujete server proxy so službou Hybrid Data Security, uistite sa, že spĺňa požiadavky na server proxy. |
Nastavte klaster Hybrid Data Security
Tok úloh nasadenia zabezpečenia hybridných údajov
1 |
Vykonajte počiatočné nastavenie a stiahnite inštalačné súbory Stiahnite si súbor OVA na váš lokálny počítač pre neskoršie použitie. |
2 |
Vytvorte ISO konfigurácie pre hostiteľov HDS Pomocou nástroja HDS Setup Tool vytvorte konfiguračný súbor ISO pre uzly Hybrid Data Security. |
3 |
Vytvorte virtuálny počítač zo súboru OVA a vykonajte počiatočnú konfiguráciu, ako sú nastavenia siete. Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 7.0. Táto možnosť nemusí byť dostupná v starších verziách. |
4 |
Nastavte virtuálny počítač Hybrid Data Security Prihláste sa do konzoly VM a nastavte prihlasovacie poverenia. Nakonfigurujte sieťové nastavenia pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA. |
5 |
Nahrajte a pripojte ISO konfiguráciu HDS Nakonfigurujte VM z konfiguračného súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool. |
6 |
Nakonfigurujte uzol HDS na integráciu proxy Ak sieťové prostredie vyžaduje konfiguráciu servera proxy, zadajte typ servera proxy, ktorý použijete pre uzol, a v prípade potreby pridajte certifikát servera proxy do dôveryhodného úložiska. |
7 |
Zaregistrujte prvý uzol v klastri Zaregistrujte VM v cloude Cisco Webex ako uzol Hybrid Data Security. |
8 |
Vytvorte a zaregistrujte viac uzlov Dokončite nastavenie klastra. |
9 |
Aktivujte si Multi-Tenant HDS na Partner Hub. Aktivujte si HDS a spravujte organizácie nájomníkov na Partner Hub. |
Vykonajte počiatočné nastavenie a stiahnite inštalačné súbory
V tejto úlohe stiahnete súbor OVA do svojho počítača (nie na servery, ktoré ste nastavili ako uzly Hybrid Data Security). Tento súbor použijete neskôr v procese inštalácie.
1 |
Prihláste sa do Partnerského centra a potom kliknite na položku Služby. |
2 |
V časti Cloudové služby nájdite kartu Hybrid Data Security a kliknite na tlačidlo Nastaviť. Pre proces nasadenia je rozhodujúce kliknutie na položku Nastaviť v partnerskom centre. Nepokračujte v inštalácii bez dokončenia tohto kroku. |
3 |
Kliknite na položku Pridať zdroj a kliknite na položku Prevziať súbor .OVA na karte Inštalovať a konfigurovať softvér . Staršie verzie softvérového balíka (OVA) nebudú kompatibilné s najnovšími aktualizáciami Hybrid Data Security. To môže viesť k problémom pri inovácii aplikácie. Uistite sa, že ste si stiahli najnovšiu verziu súboru OVA. OVA si tiež môžete kedykoľvek stiahnuť zo sekcie Pomocník . Kliknite na položky . Súbor OVA sa začne automaticky sťahovať. Uložte súbor na miesto v počítači.
|
4 |
Voliteľne kliknite na položku Zobraziť príručku nasadenia hybridného zabezpečenia údajov a skontrolujte, či je k dispozícii novšia verzia tejto príručky. |
Vytvorte ISO konfigurácie pre hostiteľov HDS
Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.
Skôr ako začnete
-
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými administrátorskými právami.
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker v kroku 5 nižšie zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:
-
Databázové poverenia
-
Aktualizácie certifikátov
-
Zmeny v politike autorizácie
-
-
Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.
1 |
Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať. | ||||||||||
2 |
Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce: | ||||||||||
3 |
Pri výzve na zadanie hesla zadajte tento hash: | ||||||||||
4 |
Stiahnite si najnovší stabilný obraz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: | ||||||||||
5 |
Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:
Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“. | ||||||||||
6 |
Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 . Pomocou webového prehliadača prejdite na localhost, Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie. | ||||||||||
7 |
Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia správcu Partner Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre Hybrid Data Security. | ||||||||||
8 |
Na stránke prehľadu nástroja Setup kliknite na položku Začíname. | ||||||||||
9 |
Na stránke Import ISO máte tieto možnosti:
| ||||||||||
10 |
Skontrolujte, či váš certifikát X.509 spĺňa požiadavky uvedené v časti Požiadavky na certifikát X.509.
| ||||||||||
11 |
Zadajte databázovú adresu a účet pre HDS, aby ste získali prístup k vášmu úložisku kľúčových údajov: | ||||||||||
12 |
Vyberte Režim pripojenia databázy TLS:
Keď odovzdáte koreňový certifikát (ak je to potrebné) a kliknete na tlačidlo Pokračovať, nástroj HDS Setup Tool otestuje pripojenie TLS k databázovému serveru. Nástroj tiež overuje podpisovateľa certifikátu a názov hostiteľa, ak je to potrebné. Ak test zlyhá, nástroj zobrazí chybové hlásenie s popisom problému. Môžete si vybrať, či chcete chybu ignorovať a pokračovať v nastavovaní. (Vzhľadom na rozdiely v konektivite môžu byť uzly HDS schopné vytvoriť pripojenie TLS, aj keď ho zariadenie HDS Setup Tool nedokáže úspešne otestovať.) | ||||||||||
13 |
Na stránke Systémové denníky nakonfigurujte svoj server Syslogd: | ||||||||||
14 |
(Voliteľné) Predvolenú hodnotu niektorých parametrov pripojenia k databáze môžete zmeniť v časti Rozšírené nastavenia. Vo všeobecnosti je tento parameter jediný, ktorý možno budete chcieť zmeniť: | ||||||||||
15 |
Kliknite na tlačidlo Pokračovať na obrazovke Obnoviť heslo servisných účtov . Heslá k servisným účtom majú životnosť deväť mesiacov. Túto obrazovku použite, keď sa blíži koniec platnosti vašich hesiel alebo ich chcete resetovať, aby ste zrušili platnosť predchádzajúcich súborov ISO. | ||||||||||
16 |
Kliknite na položku Prevziať súbor ISO. Uložte súbor na miesto, ktoré sa dá ľahko nájsť. | ||||||||||
17 |
Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. | ||||||||||
18 |
Ak chcete vypnúť inštalačný nástroj, napíšte |
Čo robiť ďalej
Zálohujte konfiguračný súbor ISO. Potrebujete ho na vytvorenie ďalších uzlov na obnovu alebo na vykonanie zmien v konfigurácii. Ak stratíte všetky kópie súboru ISO, stratili ste aj hlavný kľúč. Obnovenie kľúčov z databázy PostgreSQL alebo Microsoft SQL Server nie je možné.
Nikdy nemáme kópiu tohto kľúča a nemôžeme vám pomôcť, ak ho stratíte.
Nainštalujte HDS Host OVA
1 |
Na prihlásenie do virtuálneho hostiteľa ESXi použite klienta VMware vSphere na vašom počítači. |
2 |
Vyberte položku Súbor > Nasadiť šablónu OVF. |
3 |
V sprievodcovi zadajte umiestnenie súboru OVA, ktorý ste prevzali predtým, a potom kliknite na tlačidlo Ďalej. |
4 |
Na stránke Vyberte názov a priečinok zadajte Názov virtuálneho počítača pre uzol (napríklad „HDS_Node_1“) a vyberte umiestnenie, kde nasadenie uzla virtuálneho počítača sa môže nachádzať a potom kliknite na tlačidlo Ďalej. |
5 |
Na stránke Vyberte výpočtový zdroj vyberte cieľový výpočtový zdroj a potom kliknite na tlačidlo Ďalej. Prebehne overovacia kontrola. Po dokončení sa zobrazia podrobnosti šablóny. |
6 |
Overte podrobnosti šablóny a potom kliknite na tlačidlo Ďalej. |
7 |
Ak sa zobrazí výzva na výber konfigurácie prostriedkov na stránke Konfigurácia , kliknite na položku 4 CPU a potom kliknite na tlačidlo Ďalej. |
8 |
Na stránke Vybrať úložisko kliknite na tlačidlo Ďalej , čím prijmete predvolený formát disku a pravidlá úložiska VM. |
9 |
Na stránke Vybrať siete vyberte sieťovú možnosť zo zoznamu položiek, aby ste poskytli požadované pripojenie k virtuálnemu počítaču. |
10 |
Na stránke Prispôsobiť šablónu nakonfigurujte nasledujúce nastavenia siete:
Ak chcete, môžete preskočiť konfiguráciu nastavenia siete a podľa krokov v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov nakonfigurujte nastavenia z konzoly uzla. Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 7.0. Táto možnosť nemusí byť dostupná v starších verziách. |
11 |
Kliknite pravým tlačidlom myši na uzol VM a potom vyberte položky .Softvér Hybrid Data Security je nainštalovaný ako hosť na hostiteľovi VM. Teraz ste pripravení prihlásiť sa do konzoly a nakonfigurovať uzol. Tipy na riešenie problémov Môžete zaznamenať oneskorenie niekoľkých minút, kým sa kontajnery uzlov objavia. Počas prvého spustenia, počas ktorého sa nemôžete prihlásiť, sa na konzole zobrazí správa brány firewall mosta. |
Nastavte virtuálny počítač Hybrid Data Security
Tento postup použite na prvé prihlásenie do konzoly VM uzla Hybrid Data Security a nastavenie prihlasovacích poverení. Konzolu môžete použiť aj na konfiguráciu sieťových nastavení pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.
1 |
V klientovi VMware vSphere vyberte svoj uzol Hybrid Data Security VM a vyberte kartu Konzola . VM sa spustí a zobrazí sa výzva na prihlásenie. Ak sa výzva na prihlásenie nezobrazí, stlačte kláves Enter.
|
2 |
Na prihlásenie a zmenu poverení použite nasledujúce predvolené prihlasovacie meno a heslo: Keďže sa do svojho VM prihlasujete prvýkrát, musíte zmeniť heslo správcu. |
3 |
Ak ste už nakonfigurovali nastavenia siete v časti Inštalácia hostiteľa HDS OVA, preskočte zvyšok tohto postupu. V opačnom prípade vyberte v hlavnej ponuke možnosť Upraviť konfiguráciu . |
4 |
Nastavte statickú konfiguráciu s IP adresou, maskou, bránou a informáciami DNS. Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované. |
5 |
(Voliteľné) Zmeňte názov hostiteľa, doménu alebo server(y) NTP, ak je to potrebné, aby zodpovedali zásadám vašej siete. Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509. |
6 |
Uložte konfiguráciu siete a reštartujte VM, aby sa zmeny prejavili. |
Nahrajte a pripojte ISO konfiguráciu HDS
Skôr ako začnete
Pretože súbor ISO obsahuje hlavný kľúč, mal by byť zverejnený iba na základe „potreby vedieť“, aby k nemu mali prístup virtuálne počítače s hybridným zabezpečením údajov a všetci správcovia, ktorí môžu potrebovať vykonať zmeny. Uistite sa, že k úložisku údajov majú prístup iba títo správcovia.
1 |
Nahrajte súbor ISO z počítača: |
2 |
Pripojte súbor ISO: |
Čo robiť ďalej
Ak to vyžaduje vaša politika IT, môžete voliteľne odpojiť súbor ISO po tom, čo všetky vaše uzly prevezmú zmeny konfigurácie. Podrobnosti nájdete v časti (Voliteľné) Odpojenie ISO po konfigurácii HDS .
Nakonfigurujte uzol HDS na integráciu proxy
Ak sieťové prostredie vyžaduje server proxy, použite tento postup na určenie typu servera proxy, ktorý chcete integrovať s Hybrid Data Security. Ak si vyberiete transparentný kontrolný proxy server alebo explicitný proxy server HTTPS, môžete použiť rozhranie uzla na nahranie a inštaláciu koreňového certifikátu. Môžete tiež skontrolovať pripojenie proxy z rozhrania a vyriešiť prípadné problémy.
Skôr ako začnete
-
Prehľad podporovaných možností servera proxy nájdete v časti Podpora servera proxy .
1 |
Do webového prehliadača zadajte adresu URL nastavenia uzla HDS |
2 |
Prejdite na stránku Trust Store & Proxy a potom vyberte jednu z možností:
Postupujte podľa nasledujúcich krokov pre transparentný kontrolný proxy server, explicitný proxy server HTTP so základným overením alebo explicitný proxy HTTPS. |
3 |
Kliknite na položku Odovzdať koreňový certifikát alebo certifikát ukončenia entity a potom prejdite na výber koreňového certifikátu pre server proxy. Certifikát je nahraný, ale ešte nie je nainštalovaný, pretože na inštaláciu certifikátu musíte reštartovať uzol. Ak chcete získať ďalšie podrobnosti, kliknite na šípku so šípkou vedľa názvu vydavateľa certifikátu. Ak ste urobili chybu a chcete súbor nahrať znova, kliknite na tlačidlo Odstrániť . |
4 |
Kliknutím na položku Skontrolovať pripojenie proxy otestujete sieťové pripojenie medzi uzlom a serverom proxy. Ak test pripojenia zlyhá, zobrazí sa chybové hlásenie, ktoré uvádza dôvod a spôsob, ako môžete problém vyriešiť. Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS. Tento stav sa očakáva v mnohých explicitných konfiguráciách proxy. Môžete pokračovať v nastavovaní a uzol bude fungovať v režime zablokovaného externého rozlíšenia DNS. Ak si myslíte, že ide o chybu, vykonajte tieto kroky a potom si pozrite časť Vypnutie režimu zablokovaného externého rozlíšenia DNS. |
5 |
Po úspešnom teste pripojenia pre explicitný server proxy nastavený iba na https zapnite prepínač na možnosť Smerovať všetky požiadavky protokolu https z tohto uzla na port 443/444 cez explicitný server proxy. Toto nastavenie sa prejaví po 15 sekundách. |
6 |
Kliknite na položku Inštalovať všetky certifikáty do dôveryhodného úložiska (zobrazí sa pri explicitnom serveri proxy HTTPS alebo transparentnom kontrolnom serveri proxy) alebo Reštartovať (zobrazí sa pri explicitnom serveri proxy HTTP), prečítajte si výzvu a potom kliknite na tlačidlo Inštalovať , ak ste pripravení. Uzol sa reštartuje v priebehu niekoľkých minút. |
7 |
Keď sa uzol reštartuje, v prípade potreby sa znova prihláste a potom otvorte stránku Prehľad a skontrolujte kontroly pripojenia, aby ste sa uistili, že sú všetky v zelenom stave. Kontrola pripojenia proxy testuje iba subdoménu webex.com. Ak sa vyskytnú problémy s pripojením, bežným problémom je, že niektoré z cloudových domén uvedených v pokynoch na inštaláciu sú na serveri proxy blokované. |
Zaregistrujte prvý uzol v klastri
Keď zaregistrujete svoj prvý uzol, vytvoríte klaster, ku ktorému je uzol priradený. Klaster obsahuje jeden alebo viac uzlov nasadených na zabezpečenie redundancie.
Skôr ako začnete
-
Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.
-
Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.
1 |
Prihláste sa do https://admin.webex.com. |
2 |
V ponuke na ľavej strane obrazovky vyberte položku Služby. |
3 |
V časti Cloudové služby nájdite kartu Hybrid Data Security a kliknite na tlačidlo Nastaviť. |
4 |
Na stránke, ktorá sa otvorí, kliknite na položku Pridať zdroj. |
5 |
Do prvého poľa na karte Pridať uzol zadajte názov klastra, ktorému chcete priradiť uzol Hybrid Data Security. Odporúčame pomenovať klaster podľa toho, kde sa geograficky nachádzajú uzly klastra. Príklady: „San Francisco“ alebo „New York“ alebo „Dallas“ |
6 |
Do druhého poľa zadajte internú adresu IP alebo úplný názov domény (FQDN) svojho uzla a kliknite na tlačidlo Pridať v dolnej časti obrazovky. Táto adresa IP alebo FQDN by sa mala zhodovať s adresou IP alebo názvom hostiteľa a doménou, ktoré ste použili v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov. Zobrazí sa správa, že môžete zaregistrovať svoj uzol do Webexu.
|
7 |
Kliknite na položku Prejsť do uzla. Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že svojej organizácii Webex chcete udeliť povolenia na prístup k vášmu uzlu. |
8 |
Začiarknite políčko Povoliť prístup k vášmu uzlu zabezpečenia hybridných údajov a potom kliknite na tlačidlo Pokračovať. Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
|
9 |
Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Hybrid Data Security partnerského centra. Na stránke Hybrid Data Security sa nový klaster obsahujúci uzol, ktorý ste zaregistrovali, zobrazí na karte Prostriedky . Uzol si automaticky stiahne najnovší softvér z cloudu.
|
Vytvorte a zaregistrujte viac uzlov
Skôr ako začnete
-
Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.
-
Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.
1 |
Vytvorte nový virtuálny počítač z OVA zopakovaním krokov v časti Inštalácia hostiteľského OVA HDS. |
2 |
Nastavte úvodnú konfiguráciu na novom virtuálnom počítači zopakovaním krokov v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov. |
3 |
Na novom virtuálnom počítači zopakujte kroky v časti Odovzdanie a pripojenie ISO konfigurácie HDS. |
4 |
Ak nastavujete server proxy pre svoje nasadenie, zopakujte kroky v časti Konfigurácia uzla HDS na integráciu servera proxy podľa potreby pre nový uzol. |
5 |
Zaregistrujte uzol. |
Spravujte organizácie nájomníkov na hybridnom zabezpečení dát pre viacerých nájomníkov
Aktivujte si Multi-Tenant HDS na Partner Hub
Táto úloha zaisťuje, že všetci používatelia zákazníckych organizácií môžu začať využívať HDS pre lokálne šifrovacie kľúče a ďalšie bezpečnostné služby.
Skôr ako začnete
Uistite sa, že ste dokončili nastavenie klastra Multi-Tenant HDS s požadovaným počtom uzlov.
1 |
Prihláste sa do https://admin.webex.com. |
2 |
V ponuke na ľavej strane obrazovky vyberte položku Služby. |
3 |
V časti Cloudové služby vyhľadajte Hybrid Data Security a kliknite na položku Upraviť nastavenia. |
4 |
Kliknite na položku Aktivovať HDS na karte Stav HDS . |
Pridajte organizácie nájomníkov v partnerskom centre
V tejto úlohe priradíte zákaznícke organizácie k vášmu Hybrid Data Security Cluster.
1 |
Prihláste sa do https://admin.webex.com. |
2 |
V ponuke na ľavej strane obrazovky vyberte položku Služby. |
3 |
V sekcii Cloudové služby nájdite Hybrid Data Security a kliknite na položku Zobraziť všetko. |
4 |
Kliknite na klaster, ku ktorému chcete priradiť zákazníka. |
5 |
Prejdite na kartu Priradení zákazníci . |
6 |
Kliknite na položku Pridať zákazníkov. |
7 |
Z rozbaľovacej ponuky vyberte zákazníka, ktorého chcete pridať. |
8 |
Kliknite na tlačidlo Pridať, zákazník bude pridaný do klastra. |
9 |
Ak chcete do svojho klastra pridať viacerých zákazníkov, zopakujte kroky 6 až 8. |
10 |
Po pridaní zákazníkov kliknite na tlačidlo Hotovo v dolnej časti obrazovky. |
Čo robiť ďalej
Vytvorte hlavné kľúče zákazníka (CMK) pomocou nástroja HDS Setup
Skôr ako začnete
Priraďte zákazníkov do príslušného klastra, ako je podrobne uvedené v časti Pridanie organizácií nájomníkov do centra partnerov. Spustite nástroj HDS Setup a dokončite proces nastavenia pre novo pridané zákaznícke organizácie.
-
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými administrátorskými právami pre vašu organizáciu.
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker v kroku 5 zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:
-
Databázové poverenia
-
Aktualizácie certifikátov
-
Zmeny v politike autorizácie
-
-
Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.
Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.
1 |
Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať. |
2 |
Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce: |
3 |
Pri výzve na zadanie hesla zadajte tento hash: |
4 |
Stiahnite si najnovší stabilný obraz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: |
5 |
Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:
Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“. |
6 |
Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 . Pomocou webového prehliadača prejdite na localhost, Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie. |
7 |
Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia správcu Partner Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre Hybrid Data Security. |
8 |
Na stránke prehľadu nástroja Setup kliknite na položku Začíname. |
9 |
Na stránke Import ISO kliknite na tlačidlo Áno. |
10 |
Vyberte súbor ISO v prehliadači a nahrajte ho. Ak chcete vykonávať správu CMK, zaistite pripojenie k databáze. |
11 |
Prejdite na kartu Správa CMK nájomcov , kde nájdete nasledujúce tri spôsoby správy CMK nájomcov.
|
12 |
Po úspešnom vytvorení CMK sa stav v tabuľke zmení z Čaká sa na správu CMK na Spravuje CMK. |
13 |
Ak je vytvorenie CMK neúspešné, zobrazí sa chyba. |
Odstráňte organizácie nájomníkov
Skôr ako začnete
Po odstránení nebudú používatelia zákazníckych organizácií môcť využívať HDS pre svoje potreby šifrovania a stratia všetky existujúce miesta. Pred odstránením zákazníckych organizácií kontaktujte svojho partnera Cisco alebo správcu účtu.
1 |
Prihláste sa do https://admin.webex.com. |
2 |
V ponuke na ľavej strane obrazovky vyberte položku Služby. |
3 |
V sekcii Cloudové služby nájdite Hybrid Data Security a kliknite na položku Zobraziť všetko. |
4 |
Na karte Zdroje kliknite na klaster, z ktorého chcete odstrániť organizácie zákazníkov. |
5 |
Na stránke, ktorá sa otvorí, kliknite na položku Priradení zákazníci. |
6 |
V zobrazenom zozname organizácií zákazníkov kliknite na položku ... na pravej strane organizácie zákazníka, ktorú chcete odstrániť, a kliknite na položku Odstrániť z klastra. |
Čo robiť ďalej
Dokončite proces odstránenia zrušením CMK zákazníckych organizácií, ako je podrobne uvedené v časti Odvolanie CMK nájomníkov odstránených z HDS.
Zrušiť CMK nájomníkov odstránených z HDS.
Skôr ako začnete
Odstráňte zákazníkov z príslušného klastra, ako je podrobne uvedené v časti Odstránenie organizácií nájomníkov. Spustite nástroj HDS Setup a dokončite proces odstránenia pre zákaznícke organizácie, ktoré boli odstránené.
-
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými administrátorskými právami pre vašu organizáciu.
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker v kroku 5 zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:
-
Databázové poverenia
-
Aktualizácie certifikátov
-
Zmeny v politike autorizácie
-
-
Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.
Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.
1 |
Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať. |
2 |
Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce: |
3 |
Pri výzve na zadanie hesla zadajte tento hash: |
4 |
Stiahnite si najnovší stabilný obraz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: |
5 |
Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:
Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“. |
6 |
Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 . Pomocou webového prehliadača prejdite na localhost, Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie. |
7 |
Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia správcu Partner Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre Hybrid Data Security. |
8 |
Na stránke prehľadu nástroja Setup kliknite na položku Začíname. |
9 |
Na stránke Import ISO kliknite na tlačidlo Áno. |
10 |
Vyberte súbor ISO v prehliadači a nahrajte ho. |
11 |
Prejdite na kartu Správa CMK nájomcov , kde nájdete nasledujúce tri spôsoby správy CMK nájomcov.
|
12 |
Po úspešnom odvolaní CMK sa zákaznícka organizácia už nebude zobrazovať v tabuľke. |
13 |
Ak je zrušenie CMK neúspešné, zobrazí sa chyba. |
Otestujte svoje nasadenie Hybrid Data Security
Otestujte svoje nasadenie hybridného zabezpečenia dát
Skôr ako začnete
-
Nastavte svoje nasadenie Hybridného zabezpečenia dát pre viacerých nájomníkov.
-
Uistite sa, že máte prístup k syslog, aby ste si overili, že kľúčové požiadavky prechádzajú do vášho nasadenia Multi-Tenant Hybrid Data Security.
1 |
Kľúče pre daný priestor nastavuje tvorca priestoru. Prihláste sa do aplikácie Webex ako jeden z používateľov zákazníckej organizácie a potom vytvorte priestor. Ak deaktivujete nasadenie Hybrid Data Security, obsah v priestoroch, ktoré používatelia vytvoria, už nebude prístupný po výmene kópií šifrovacích kľúčov uložených vo vyrovnávacej pamäti klienta. |
2 |
Posielajte správy do nového priestoru. |
3 |
Skontrolujte výstup syslog, aby ste si overili, že požiadavky na kľúče prechádzajú do vášho nasadenia Hybrid Data Security. |
Monitorujte zdravie Hybrid Data Security Health
1 |
V Centre pre partnerov vyberte z ponuky na ľavej strane obrazovky položku Služby . |
2 |
V časti Cloudové služby vyhľadajte Hybrid Data Security a kliknite na položku Upraviť nastavenia. Zobrazí sa stránka Hybrid Data Security Settings.
|
3 |
V časti E-mailové upozornenia zadajte jednu alebo viac e-mailových adries oddelených čiarkami a stlačte kláves Enter. |
Spravujte svoje nasadenie HDS
Spravujte nasadenie HDS
Pomocou tu popísaných úloh spravujte svoje nasadenie Hybrid Data Security.
Nastavte plán aktualizácie klastra
Ak chcete nastaviť plán aktualizácie:
1 |
Prihláste sa do Partnerského centra. |
2 |
V ponuke na ľavej strane obrazovky vyberte položku Služby. |
3 |
V časti Cloudové služby vyhľadajte Hybrid Data Security a kliknite na tlačidlo Nastaviť |
4 |
Na stránke Hybrid Data Security Resources vyberte klaster. |
5 |
Kliknite na kartu Nastavenia klastra . |
6 |
Na stránke Nastavenia klastra v časti Plán aktualizácie vyberte čas a časové pásmo pre plán inovácie. Poznámka: Pod časovým pásmom sa zobrazí dátum a čas ďalšej dostupnej aktualizácie. V prípade potreby môžete inováciu odložiť na nasledujúci deň kliknutím na položku Odložiť o 24 hodín. |
Zmeňte konfiguráciu uzla
-
Zmena x.509 certifikátov z dôvodu uplynutia platnosti alebo iných dôvodov.
Nepodporujeme zmenu názvu domény CN certifikátu. Doména sa musí zhodovať s pôvodnou doménou použitou na registráciu klastra.
-
Aktualizácia nastavení databázy pre zmenu na repliku databázy PostgreSQL alebo Microsoft SQL Server.
Nepodporujeme migráciu údajov z PostgreSQL na Microsoft SQL Server ani opačným spôsobom. Ak chcete zmeniť prostredie databázy, spustite nové nasadenie Hybrid Data Security.
-
Vytvorenie novej konfigurácie na prípravu nového dátového centra.
Z bezpečnostných dôvodov používa Hybrid Data Security heslá servisných účtov, ktoré majú životnosť deväť mesiacov. Keď nástroj HDS Setup vygeneruje tieto heslá, nasadíte ich do každého z vašich uzlov HDS v konfiguračnom súbore ISO. Keď sa blíži koniec platnosti hesiel vašej organizácie, dostanete od tímu Webex upozornenie na resetovanie hesla pre váš počítačový účet. (E-mail obsahuje text „Na aktualizáciu hesla použite rozhranie API strojového účtu.“) Ak platnosť vašich hesiel ešte nevypršala, nástroj vám ponúka dve možnosti:
-
Mäkké obnovenie – staré aj nové heslo fungujú až 10 dní. Toto obdobie použite na postupnú výmenu súboru ISO na uzloch.
-
Tvrdý reset – staré heslá okamžite prestanú fungovať.
Ak platnosť vašich hesiel vyprší bez resetovania, ovplyvní to vašu službu HDS, čo si vyžaduje okamžitý tvrdý reset a nahradenie súboru ISO na všetkých uzloch.
Tento postup použite na vygenerovanie nového konfiguračného súboru ISO a jeho použitie vo vašom klastri.
Skôr ako začnete
-
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými právami správcu partnera.
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri vytváraní kontajnera Docker v 1.e zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Na vygenerovanie novej konfigurácie potrebujete kópiu aktuálneho konfiguračného súboru ISO. ISO obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. ISO potrebujete, keď robíte zmeny v konfigurácii vrátane poverení databázy, aktualizácií certifikátov alebo zmien v politike autorizácie.
1 |
Pomocou Docker na lokálnom počítači spustite nástroj HDS Setup Tool. |
2 |
Ak máte spustený iba jeden uzol HDS, vytvorte nový virtuálny počítač s uzlom Hybrid Data Security a zaregistrujte ho pomocou nového konfiguračného súboru ISO. Podrobnejšie pokyny nájdete v časti Vytvorenie a registrácia ďalších uzlov. |
3 |
Pre existujúce uzly HDS, na ktorých je spustený starší konfiguračný súbor, pripojte súbor ISO. Postupne vykonajte nasledujúci postup na každom uzle a pred vypnutím ďalšieho uzla aktualizujte každý uzol: |
4 |
Opakujte krok 3, aby ste nahradili konfiguráciu na každom zostávajúcom uzle, na ktorom je spustená stará konfigurácia. |
Vypnite režim zablokovaného externého rozlíšenia DNS
Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. Ak server DNS uzla nedokáže rozlíšiť verejné názvy DNS, uzol automaticky prejde do režimu zablokovaného externého rozlíšenia DNS.
Ak vaše uzly dokážu rozlíšiť verejné názvy DNS prostredníctvom interných serverov DNS, môžete tento režim vypnúť opätovným spustením testu pripojenia proxy na každom uzle.
Skôr ako začnete
1 |
Vo webovom prehliadači otvorte rozhranie uzla Hybrid Data Security (adresa IP/ nastavenie, napríklad https://192.0.2.0/setup), zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite na tlačidlo Prihlásiť sa). |
2 |
Prejdite na Prehľad (predvolená stránka). Keď je táto možnosť povolená, možnosť Blokované externé rozlíšenie DNS je nastavená na možnosť Áno. |
3 |
Prejdite na stránku Trust Store & Proxy . |
4 |
Kliknite na položku Skontrolovať pripojenie proxy. Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS a zostane v tomto režime. V opačnom prípade po reštartovaní uzla a návrate na stránku Prehľad by mala byť možnosť Blokované externé rozlíšenie DNS nastavené na možnosť Nie. |
Čo robiť ďalej
Odstráňte uzol
1 |
Pomocou klienta VMware vSphere vo svojom počítači sa prihláste do virtuálneho hostiteľa ESXi a vypnite virtuálny počítač. |
2 |
Odstráňte uzol: |
3 |
V klientovi vSphere odstráňte VM. (Na ľavom navigačnom paneli kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Odstrániť.) Ak nevymažete VM, nezabudnite odpojiť konfiguračný súbor ISO. Bez súboru ISO nemôžete použiť VM na prístup k bezpečnostným údajom. |
Obnova po havárii pomocou pohotovostného dátového centra
Najdôležitejšou službou, ktorú váš klaster Hybrid Data Security poskytuje, je vytváranie a ukladanie kľúčov používaných na šifrovanie správ a iného obsahu uloženého v cloude Webex. Pre každého používateľa v rámci organizácie, ktorý je priradený k Hybrid Data Security, sú do klastra smerované nové požiadavky na vytvorenie kľúča. Klaster je tiež zodpovedný za vrátenie kľúčov, ktoré vytvoril, všetkým používateľom oprávneným na ich získanie, napríklad členom konverzačného priestoru.
Pretože klaster vykonáva kritickú funkciu poskytovania týchto kľúčov, je nevyhnutné, aby klaster zostal spustený a aby boli udržiavané správne zálohy. Strata databázy Hybrid Data Security alebo konfigurácie ISO použitej pre schému bude mať za následok NENÁVRATNÚ STRATU zákazníckeho obsahu. Na zabránenie takejto strate sú povinné nasledujúce postupy:
Ak havária spôsobí, že nasadenie HDS v primárnom dátovom centre sa stane nedostupným, podľa tohto postupu manuálne prepnite na pohotovostné dátové centrum.
Skôr ako začnete
1 |
Spustite nástroj na nastavenie HDS a postupujte podľa krokov uvedených v časti Vytvorenie konfiguračného ISO pre hostiteľov HDS. |
2 |
Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť. |
3 |
Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. |
4 |
V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Upraviť nastavenia. |
5 |
Kliknite na položku Upraviť nastavenia >Jednotka CD/DVD 1 a vyberte položku Datastore ISO File. Uistite sa, že sú začiarknuté položky Pripojené a Pripojiť pri zapnutí , aby sa aktualizované zmeny konfigurácie prejavili po spustení uzlov. |
6 |
Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy. |
7 |
Zaregistrujte uzol v partnerskom centre. Pozrite si časť Registrácia prvého uzla v klastri. |
8 |
Opakujte proces pre každý uzol v pohotovostnom dátovom centre. |
Čo robiť ďalej
(Voliteľné) Odpojte ISO po konfigurácii HDS
Štandardná konfigurácia HDS beží s namontovaným ISO. Niektorí zákazníci však uprednostňujú neponechať súbory ISO nepretržite pripojené. Súbor ISO môžete odpojiť potom, čo všetky uzly HDS prevezmú novú konfiguráciu.
Na vykonanie zmien v konfigurácii stále používate súbory ISO. Keď vytvoríte nový ISO alebo aktualizujete ISO pomocou nástroja Setup Tool, musíte aktualizovaný ISO pripojiť na všetky vaše uzly HDS. Keď všetky vaše uzly zachytia zmeny konfigurácie, môžete ISO znova odpojiť pomocou tohto postupu.
Skôr ako začnete
Inovujte všetky svoje uzly HDS na verziu 2021.01.22.4720 alebo novšiu.
1 |
Vypnite jeden z uzlov HDS. |
2 |
V serverovom zariadení vCenter vyberte uzol HDS. |
3 |
Vyberte položku Súbor ISO úložiska údajov. a zrušte začiarknutie políčka |
4 |
Zapnite uzol HDS a uistite sa, že aspoň 20 minút nie sú žiadne alarmy. |
5 |
Postup opakujte pre každý uzol HDS. |
Riešenie problémov so zabezpečením hybridných údajov
Zobraziť upozornenia a riešenie problémov
Nasadenie Hybrid Data Security sa považuje za nedostupné, ak sú všetky uzly v klastri nedostupné alebo klaster pracuje tak pomaly, že si vyžaduje časový limit. Ak používatelia nemôžu dosiahnuť váš klaster Hybrid Data Security, zaznamenajú nasledujúce príznaky:
-
Nie je možné vytvoriť nové medzery (nemožno vytvoriť nové kľúče)
-
Správy a názvy priestorov sa nedajú dešifrovať pre:
-
Noví používatelia pridaní do priestoru (nemožno načítať kľúče)
-
Existujúci používatelia v priestore používajúci nového klienta (nemožno načítať kľúče)
-
-
Existujúci používatelia v priestore budú naďalej úspešne fungovať, pokiaľ ich klienti majú vyrovnávaciu pamäť šifrovacích kľúčov
Je dôležité, aby ste správne monitorovali svoj klaster Hybrid Data Security a okamžite riešili všetky výstrahy, aby ste predišli prerušeniu služby.
Upozornenia
Ak sa vyskytne problém s nastavením Hybrid Data Security, partnerské centrum zobrazí upozornenia správcovi organizácie a odošle e-maily na nakonfigurovanú e-mailovú adresu. Výstrahy pokrývajú mnoho bežných scenárov.
Upozornenie |
Akcia |
---|---|
Zlyhanie prístupu k lokálnej databáze. |
Skontrolujte chyby databázy alebo problémy s lokálnou sieťou. |
Zlyhanie pripojenia k lokálnej databáze. |
Skontrolujte, či je databázový server dostupný a či boli v konfigurácii uzla použité správne poverenia servisného účtu. |
Zlyhanie prístupu k cloudovej službe. |
Skontrolujte, či majú uzly prístup k serverom Webex, ako je uvedené v časti Požiadavky na externé pripojenie. |
Obnovuje sa registrácia cloudovej služby. |
Registrácia do cloudových služieb bola zrušená. Prebieha obnova registrácie. |
Registrácia cloudovej služby bola zrušená. |
Registrácia do cloudových služieb bola ukončená. Služba sa vypína. |
Služba ešte nie je aktivovaná. |
Aktivujte HDS v Partner Hub. |
Nakonfigurovaná doména sa nezhoduje s certifikátom servera. |
Uistite sa, že váš certifikát servera sa zhoduje s nakonfigurovanou doménou aktivácie služby. Najpravdepodobnejšou príčinou je, že certifikát CN bol nedávno zmenený a teraz sa líši od CN, ktorý bol použitý počas počiatočného nastavenia. |
Nepodarilo sa overiť v cloudových službách. |
Skontrolujte presnosť a možné vypršanie platnosti poverení servisného účtu. |
Nepodarilo sa otvoriť súbor lokálneho úložiska kľúčov. |
Skontrolujte integritu a presnosť hesla v lokálnom súbore skladu kľúčov. |
Certifikát lokálneho servera je neplatný. |
Skontrolujte dátum vypršania platnosti certifikátu servera a potvrďte, že bol vydaný dôveryhodnou certifikačnou autoritou. |
Nie je možné uverejniť metriky. |
Skontrolujte prístup k lokálnej sieti k externým cloudovým službám. |
Adresár /media/configdrive/hds neexistuje. |
Skontrolujte konfiguráciu pripojenia ISO na virtuálnom hostiteľovi. Overte, či súbor ISO existuje, či je nakonfigurovaný na pripojenie pri reštarte a či sa úspešne pripojí. |
Nastavenie nájomnej organizácie pre pridané organizácie nie je dokončené |
Dokončite nastavenie vytvorením CMK pre novo pridané organizácie nájomníkov pomocou nástroja HDS Setup Tool. |
Nastavenie nájomnej organizácie pre odstránené organizácie nie je dokončené |
Dokončite nastavenie zrušením CMK organizácií nájomníkov, ktoré boli odstránené pomocou nástroja HDS Setup Tool. |
Riešenie problémov so zabezpečením hybridných údajov
1 |
Skontrolujte partnerské centrum pre všetky upozornenia a opravte všetky položky, ktoré tam nájdete. Pozrite si obrázok nižšie ako referenciu. |
2 |
Skontrolujte výstup servera syslog pre aktivitu z nasadenia Hybrid Data Security. Filtrujte slová ako „Upozornenie“ a „Chyba“, ktoré vám pomôžu pri riešení problémov. |
3 |
Kontaktujte podporu Cisco. |
Ďalšie poznámky
Známe problémy s hybridnou bezpečnosťou dát
-
Ak vypnete svoj klaster Hybrid Data Security (odstránením v Partner Hub alebo vypnutím všetkých uzlov), stratíte svoj konfiguračný súbor ISO alebo stratíte prístup k databáze úložiska kľúčov, používatelia aplikácií Webex zo zákazníckych organizácií už nebudú môcť používať priestory pod ich zoznam ľudí, ktorý bol vytvorený pomocou kľúčov z vášho KMS. V súčasnosti nemáme riešenie ani opravu tohto problému a žiadame vás, aby ste nevypínali svoje služby HDS, keď budú spracovávať aktívne používateľské účty.
-
Klient, ktorý má existujúce pripojenie ECDH ku KMS, udržiava toto pripojenie určitý čas (pravdepodobne jednu hodinu).
Na vygenerovanie súboru PKCS12 použite OpenSSL
Skôr ako začnete
-
OpenSSL je jeden nástroj, ktorý možno použiť na vytvorenie súboru PKCS12 v správnom formáte na načítanie v nástroji HDS Setup Tool. Existujú aj iné spôsoby, ako to urobiť, a my nepodporujeme ani nepresadzujeme jeden spôsob oproti druhému.
-
Ak sa rozhodnete použiť OpenSSL, poskytujeme tento postup ako návod, ktorý vám pomôže vytvoriť súbor, ktorý spĺňa požiadavky na certifikát X.509 v časti Požiadavky na certifikát X.509. Než budete pokračovať, pochopte tieto požiadavky.
-
Nainštalujte OpenSSL v podporovanom prostredí. Softvér a dokumentáciu nájdete v časti https://www.openssl.org .
-
Vytvorte si súkromný kľúč.
-
Tento postup začnite, keď dostanete certifikát servera od certifikačnej autority (CA).
1 |
Keď od svojej CA dostanete certifikát servera, uložte ho ako |
2 |
Zobrazte certifikát ako text a overte podrobnosti.
|
3 |
Pomocou textového editora vytvorte súbor balíka certifikátov s názvom
|
4 |
Vytvorte súbor .p12 s priateľským názvom
|
5 |
Skontrolujte podrobnosti certifikátu servera. |
Čo robiť ďalej
Vráťte sa na stránku Dokončenie predpokladov pre hybridné zabezpečenie údajov. V časti Vytvorenie konfiguračného ISO pre hostiteľov HDS použijete súbor hdsnode.p12
a heslo, ktoré ste preň nastavili.
Tieto súbory môžete znova použiť na vyžiadanie nového certifikátu, keď platnosť pôvodného certifikátu vyprší.
Prevádzka medzi uzlami HDS a cloudom
Odchádzajúca návštevnosť zberu metrík
Uzly Hybrid Data Security odosielajú určité metriky do cloudu Webex. Patria sem systémové metriky pre maximálnu haldu, využitú haldu, zaťaženie procesora a počet vlákien; metriky na synchrónnych a asynchrónnych vláknach; metriky výstrah zahŕňajúce prah šifrovacích pripojení, latenciu alebo dĺžku frontu požiadaviek; metriky na dátovom úložisku; a metriky šifrovaného pripojenia. Uzly posielajú zašifrovaný kľúčový materiál cez kanál mimo pásma (oddelený od požiadavky).
Prichádzajúca premávka
Uzly Hybrid Data Security prijímajú nasledujúce typy prichádzajúcej prevádzky z cloudu Webex:
-
Šifrovacie požiadavky od klientov, ktoré sú smerované šifrovacou službou
-
Aktualizácie softvéru uzla
Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát
Websocket sa nemôže pripojiť cez Squid Proxy
Servery proxy typu Squid, ktoré kontrolujú prenos HTTPS, môžu narúšať vytváranie pripojení websocket (wss:
), ktoré vyžaduje Hybrid Data Security. Tieto časti poskytujú návod, ako nakonfigurovať rôzne verzie Squid tak, aby ignorovali wss:
prevádzky pre správne fungovanie služieb.
Kalmáre 4 a 5
Pridajte on_unsupported_protocol
smernicu na stránku squid.conf
:
on_unsupported_protocol tunel všetko
Kalmáre 3.5.27
Úspešne sme testovali Hybrid Data Security pomocou nasledujúcich pravidiel pridaných na stránku squid.conf
. Tieto pravidlá sa môžu meniť, pretože vyvíjame funkcie a aktualizujeme cloud Webex.
acl wssMercuryConnection ssl::server_name_regex ortuťové pripojenie ssl_bump splice wssMercuryConnection acl krok1 at_step SslBump1 acl krok2 at_step SslBump2 acl krok3 at_step SslBump3 ssl_bump pohľad krok1 všetko ssl_bump pozerať krok2 všetko ssl_bump vyskočiť krok3 všetko
Nové a zmenené informácie
Nové a zmenené informácie
Táto tabuľka obsahuje nové funkcie alebo funkcie, zmeny existujúceho obsahu a všetky hlavné chyby, ktoré boli opravené v Príručke nasadenia pre multi-tenantovú hybridnú bezpečnosť údajov.
Dátum |
Vykonané zmeny |
---|---|
8. januára 2025 |
Do časti Vykonať úvodné nastavenie a prevziať inštalačné súbory bola pridaná poznámka, že kliknutie na položku Nastaviť na karte HDS v partnerskom centre je dôležitým krokom procesu inštalácie. |
7. januára 2025 |
Aktualizované Požiadavky na virtuálneho hostiteľa, Tok úloh nasadenia hybridného zabezpečenia údajov a Inštalácia hostiteľského OVA HDS , aby zobrazovali novú požiadavku ESXi 7.0. |
13. decembra 2024 |
Prvýkrát zverejnené. |
Deaktivujte hybridné zabezpečenie dát pre viacerých nájomníkov
Tok úloh deaktivácie HDS pre viacerých nájomníkov
Ak chcete úplne deaktivovať Multi-Tenant HDS, postupujte podľa týchto krokov.
Skôr ako začnete
1 |
Odstráňte všetkých zákazníkov zo všetkých svojich klastrov, ako je uvedené v časti Odstránenie organizácií nájomníkov. |
2 |
Zrušte CMK všetkých zákazníkov, ako je uvedené v časti Zrušenie CMK nájomníkov odstránených z HDS. |
3 |
Odstráňte všetky uzly zo všetkých klastrov, ako je uvedené v časti Odstránenie uzla. |
4 |
Odstráňte všetky svoje klastre z Partner Hub pomocou jednej z nasledujúcich dvoch metód.
|
5 |
Kliknite na kartu Nastavenia na stránke prehľadu Hybrid Data Security a kliknite na položku Deaktivovať HDS na karte Stav HDS. |
Začnite s Hybridným zabezpečením dát pre viacerých nájomníkov
Prehľad zabezpečenia hybridných dát pre viacerých nájomníkov
Od prvého dňa bola bezpečnosť údajov hlavným zameraním pri navrhovaní aplikácie Webex. Základným kameňom tohto zabezpečenia je komplexné šifrovanie obsahu, ktoré umožňujú klienti Webex App interagujúci so službou správy kľúčov (KMS). KMS je zodpovedný za vytváranie a správu kryptografických kľúčov, ktoré klienti používajú na dynamické šifrovanie a dešifrovanie správ a súborov.
V predvolenom nastavení dostávajú všetci zákazníci Webex App end-to-end šifrovanie s dynamickými kľúčmi uloženými v cloudovom KMS v oblasti bezpečnosti Cisco. Hybrid Data Security presúva KMS a ďalšie funkcie súvisiace so zabezpečením do vášho podnikového dátového centra, takže kľúče k vášmu šifrovanému obsahu nemá nikto okrem vás.
Multi-Tenant Hybrid Data Security umožňuje organizáciám využívať HDS prostredníctvom dôveryhodného miestneho partnera, ktorý môže pôsobiť ako poskytovateľ služieb a spravovať lokálne šifrovanie a ďalšie bezpečnostné služby. Toto nastavenie umožňuje partnerskej organizácii mať úplnú kontrolu nad nasadením a správou šifrovacích kľúčov a zaisťuje, že používateľské údaje zákazníckych organizácií sú v bezpečí pred externým prístupom. Partnerské organizácie podľa potreby nastavujú inštancie HDS a vytvárajú klastre HDS. Každá inštancia môže podporovať viacero zákazníckych organizácií na rozdiel od bežného nasadenia HDS, ktoré je obmedzené na jednu organizáciu.
To tiež umožňuje menším organizáciám využívať HDS, pretože službu správy kľúčov a bezpečnostnú infraštruktúru, ako sú dátové centrá, vlastní dôveryhodný miestny partner.
Ako Multi-Tenant Hybrid Data Security poskytuje dátovú suverenitu a kontrolu dát
- Obsah generovaný používateľmi je chránený pred externým prístupom, ako sú poskytovatelia cloudových služieb.
- Miestni dôveryhodní partneri spravujú šifrovacie kľúče zákazníkov, s ktorými už majú vybudovaný vzťah.
- Možnosť miestnej technickej podpory, ak ju poskytuje partner.
- Podporuje obsah stretnutí, správ a hovorov.
Tento dokument je zameraný na pomoc partnerským organizáciám pri nastavovaní a správe zákazníkov v rámci systému Multi-Tenant Hybrid Data Security.
Úlohy v hybridnej bezpečnosti dát pre viacerých nájomníkov
- Úplný správca partnera – môže spravovať nastavenia pre všetkých zákazníkov, ktorých partner spravuje. Môže tiež priradiť roly správcu existujúcim používateľom v organizácii a priradiť konkrétnych zákazníkov, ktorých majú spravovať správcovia partnerov.
- Správca partnera – môže spravovať nastavenia pre zákazníkov, ktorých správca poskytol alebo ktorí boli priradení používateľovi.
- Úplný správca – správca partnerskej organizácie, ktorý je oprávnený vykonávať úlohy, ako je úprava nastavení organizácie, správa licencií a prideľovanie rolí.
- Nastavenie HDS pre viacerých nájomníkov a správa všetkých zákazníckych organizácií od konca do konca – Vyžaduje sa úplný správca partnera a úplné práva správcu.
- Správa priradených organizácií nájomcov – vyžaduje sa správca partnera a úplné práva správcu.
Architektúra bezpečnostnej sféry
Cloudová architektúra Webex oddeľuje rôzne typy služieb do samostatných oblastí alebo dôveryhodných domén, ako je znázornené nižšie.
Aby sme lepšie porozumeli Hybrid Data Security, pozrime sa najprv na tento čistý cloud, kde Cisco poskytuje všetky funkcie vo svojich cloudových sférach. Služba identity, jediné miesto, kde môžu používatelia priamo korelovať so svojimi osobnými údajmi, ako je e-mailová adresa, je logicky a fyzicky oddelená od oblasti zabezpečenia v dátovom centre B. Obe sú zase oddelené od oblasti, kde je v konečnom dôsledku uložený šifrovaný obsah. , v dátovom centre C.
V tomto diagrame je klientom aplikácia Webex, ktorá beží na notebooku používateľa a je overená službou identity. Keď používateľ vytvorí správu na odoslanie do priestoru, vykonajú sa tieto kroky:
-
Klient vytvorí zabezpečené spojenie so službou správy kľúčov (KMS), potom požiada o kľúč na zašifrovanie správy. Zabezpečené pripojenie používa ECDH a KMS šifruje kľúč pomocou hlavného kľúča AES-256.
-
Správa je pred opustením klienta zašifrovaná. Klient ho odošle do indexovacej služby, ktorá vytvorí šifrované indexy vyhľadávania na pomoc pri budúcom vyhľadávaní obsahu.
-
Zašifrovaná správa sa odošle do služby súladu na kontrolu súladu.
-
Zašifrovaná správa je uložená v úložnej sfére.
Keď nasadíte Hybrid Data Security, presuniete funkcie bezpečnostnej sféry (KMS, indexovanie a súlad) do vášho lokálneho dátového centra. Ostatné cloudové služby, ktoré tvoria Webex (vrátane ukladania identity a obsahu), zostávajú v sférach spoločnosti Cisco.
Spolupráca s inými organizáciami
Používatelia vo vašej organizácii môžu pravidelne používať aplikáciu Webex na spoluprácu s externými účastníkmi v iných organizáciách. Keď jeden z vašich používateľov požaduje kľúč pre priestor, ktorý vlastní vaša organizácia (pretože ho vytvoril jeden z vašich používateľov), váš KMS odošle kľúč klientovi cez zabezpečený kanál ECDH. Keď však kľúč priestoru vlastní iná organizácia, váš KMS nasmeruje požiadavku do cloudu Webex cez samostatný kanál ECDH, aby získal kľúč z príslušného KMS, a potom vráti kľúč vášmu používateľovi na pôvodnom kanáli.
Služba KMS spustená v organizácii A overuje pripojenia ku KMS v iných organizáciách pomocou x.509 PKI certifikátov. Podrobnosti o generovaní certifikátu x.509 na použitie s nasadením Hybrid Data Security pre viacerých nájomníkov nájdete v časti Príprava prostredia .
Očakávania týkajúce sa nasadenia hybridnej bezpečnosti údajov
Nasadenie Hybrid Data Security si vyžaduje značné odhodlanie a uvedomenie si rizík, ktoré prináša vlastníctvo šifrovacích kľúčov.
Ak chcete nasadiť Hybrid Data Security, musíte poskytnúť:
-
Zabezpečené dátové centrum v krajine, ktorá je podporovaným miestom pre plány Cisco Webex Teams.
-
Vybavenie, softvér a sieťový prístup popísané v časti Príprava prostredia.
Úplná strata buď konfiguračného ISO, ktoré ste vytvorili pre Hybrid Data Security, alebo databázy, ktorú poskytnete, bude mať za následok stratu kľúčov. Strata kľúča bráni používateľom dešifrovať obsah priestoru a ďalšie šifrované údaje v aplikácii Webex. Ak sa tak stane, môžete vytvoriť nové nasadenie, ale bude viditeľný iba nový obsah. Aby ste predišli strate prístupu k údajom, musíte:
-
Spravujte zálohovanie a obnovu databázy a konfiguračného ISO.
-
Buďte pripravení vykonať rýchlu obnovu po havárii, ak dôjde ku katastrofe, ako je zlyhanie databázového disku alebo katastrofa dátového centra.
Neexistuje žiadny mechanizmus na presun kľúčov späť do cloudu po nasadení HDS.
Proces nastavenia na vysokej úrovni
Tento dokument pokrýva nastavenie a správu nasadenia Hybrid Data Security pre viacerých nájomníkov:
-
Nastavenie Hybrid Data Security – zahŕňa prípravu požadovanej infraštruktúry a inštaláciu softvéru Hybrid Data Security, vybudovanie klastra HDS, pridanie organizácií nájomníkov do klastra a správu ich hlavných kľúčov zákazníkov (CMK). To umožní všetkým používateľom vašich zákazníckych organizácií používať váš klaster Hybrid Data Security na bezpečnostné funkcie.
Fázy nastavenia, aktivácie a správy sú podrobne opísané v nasledujúcich troch kapitolách.
-
Udržujte svoje nasadenie Hybrid Data Security – cloud Webex automaticky poskytuje priebežné inovácie. Vaše IT oddelenie môže poskytnúť podporu prvej úrovne pre toto nasadenie a podľa potreby zapojiť podporu Cisco. V partnerskom centre môžete používať upozornenia na obrazovke a nastaviť upozornenia prostredníctvom e-mailu.
-
Pochopte bežné upozornenia, kroky na riešenie problémov a známe problémy – Ak narazíte na problémy s nasadením alebo používaním Hybrid Data Security, posledná kapitola tejto príručky a príloha Známe problémy vám môžu pomôcť určiť a vyriešiť problém.
Hybridný model nasadenia zabezpečenia dát
V rámci podnikového dátového centra nasadíte Hybrid Data Security ako jeden klaster uzlov na samostatných virtuálnych hostiteľoch. Uzly komunikujú s cloudom Webex cez zabezpečené websockety a zabezpečené HTTP.
Počas procesu inštalácie vám poskytneme súbor OVA na nastavenie virtuálneho zariadenia na VM, ktoré poskytnete. Nástroj HDS Setup Tool použijete na vytvorenie vlastného konfiguračného súboru ISO klastra, ktorý pripojíte na každý uzol. Klaster Hybrid Data Security využíva váš poskytnutý server Syslogd a databázu PostgreSQL alebo Microsoft SQL Server. (Syslogd a podrobnosti o pripojení k databáze nakonfigurujete v nástroji HDS Setup Tool.)
Minimálny počet uzlov, ktoré môžete mať v klastri, sú dva. Odporúčame aspoň tri na klaster. Viacnásobné uzly zaisťujú, že služba nebude prerušená počas aktualizácie softvéru alebo inej činnosti údržby na uzle. (Cloud Webex aktualizuje naraz iba jeden uzol.)
Všetky uzly v klastri pristupujú k rovnakému úložisku údajov kľúčov a zaznamenávajú aktivitu na rovnaký server syslog. Samotné uzly sú bez stavu a spracovávajú kľúčové požiadavky v režime round-robin podľa pokynov cloudu.
Uzly sa stanú aktívnymi, keď ich zaregistrujete v Partner Hub. Ak chcete vyradiť jednotlivý uzol z prevádzky, môžete ho zrušiť a neskôr v prípade potreby znova zaregistrovať.
Pohotovostné dátové centrum pre obnovu po havárii
Počas nasadenia nastavíte zabezpečené pohotovostné dátové centrum. V prípade havárie dátového centra môžete manuálne zlyhať nasadenie do pohotovostného dátového centra.
Databázy aktívnych a pohotovostných dátových centier sú navzájom synchronizované, čo minimalizuje čas potrebný na vykonanie núdzového prepnutia.
Aktívne uzly Hybrid Data Security musia byť vždy v rovnakom údajovom centre ako aktívny databázový server.
Podpora proxy
Hybrid Data Security podporuje explicitné, transparentné kontrolné a nekontrolujúce proxy. Tieto servery proxy môžete prepojiť s nasadením, aby ste mohli zabezpečiť a monitorovať prevádzku z podniku do cloudu. Rozhranie správcu platformy na uzloch môžete použiť na správu certifikátov a na kontrolu celkového stavu pripojenia po nastavení servera proxy na uzloch.
Uzly Hybrid Data Security podporujú nasledujúce možnosti proxy:
-
Bez servera proxy – predvolená hodnota, ak na integráciu servera proxy nepoužívate konfiguráciu dôveryhodného obchodu a servera proxy na nastavenie uzla HDS. Nevyžaduje sa žiadna aktualizácia certifikátu.
-
Transparentný nekontrolujúci proxy server – uzly nie sú nakonfigurované na používanie konkrétnej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.
-
Transparentné tunelovanie alebo kontrola servera proxy – uzly nie sú nakonfigurované na používanie konkrétnej adresy servera proxy. Na uzloch nie sú potrebné žiadne zmeny konfigurácie HTTP alebo HTTPS. Uzly však potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).
-
Explicitný server proxy – pomocou explicitného servera proxy poviete uzlom HDS, ktorý server proxy a schému overenia majú použiť. Ak chcete nakonfigurovať explicitný server proxy, musíte do každého uzla zadať nasledujúce informácie:
-
Proxy IP/FQDN – adresa, ktorú možno použiť na spojenie so zariadením proxy.
-
Port proxy – číslo portu, ktoré server proxy používa na počúvanie prenosu cez server proxy.
-
Protokol proxy – v závislosti od toho, čo váš server proxy podporuje, si vyberte z nasledujúcich protokolov:
-
HTTP – zobrazuje a riadi všetky požiadavky, ktoré klient odosiela.
-
HTTPS – poskytuje kanál pre server. Klient prijme a overí certifikát servera.
-
-
Typ overenia totožnosti – vyberte si z nasledujúcich typov overenia totožnosti:
-
Žiadne – nevyžaduje sa žiadne ďalšie overenie.
Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.
-
Základné – používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.
Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.
Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.
-
Súhrn – používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.
Dostupné, iba ak vyberiete HTTPS ako protokol proxy.
Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.
-
-
Príklad uzlov na zabezpečenie hybridných dát a proxy
Tento diagram ukazuje príklad spojenia medzi Hybrid Data Security, sieťou a proxy. Pre možnosti transparentnej kontroly a explicitnej kontroly HTTPS musí byť na serveri proxy a na uzloch Hybrid Data Security nainštalovaný rovnaký koreňový certifikát.
Blokovaný režim externého rozlíšenia DNS (explicitné konfigurácie proxy)
Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. V nasadeniach s explicitnými konfiguráciami proxy, ktoré neumožňujú externé rozlíšenie DNS pre interných klientov, ak uzol nemôže dotazovať servery DNS, automaticky prejde do režimu blokovaného externého riešenia DNS. V tomto režime môže pokračovať registrácia uzla a ďalšie testy pripojenia proxy.
Príprava prostredia
Požiadavky na hybridnú bezpečnosť dát pre viacerých nájomníkov
Požiadavky na licenciu Cisco Webex
Ak chcete nasadiť hybridné zabezpečenie dát pre viacerých nájomníkov:
-
Partnerské organizácie: Kontaktujte svojho partnera Cisco alebo správcu účtu a uistite sa, že je povolená funkcia viacerých nájomníkov.
-
Nájomné organizácie: Musíte mať balík Pro Pack pre Cisco Webex Control Hub. (Pozrite si https://www.cisco.com/go/pro-pack.)
Požiadavky na plochu Docker
Pred inštaláciou uzlov HDS potrebujete Docker Desktop na spustenie inštalačného programu. Docker nedávno aktualizoval svoj licenčný model. Vaša organizácia môže vyžadovať platené predplatné pre Docker Desktop. Podrobnosti nájdete v blogovom príspevku Docker „ Docker aktualizuje a rozširuje naše predplatné produktov“.
Požiadavky na certifikát X.509
Certifikačný reťazec musí spĺňať nasledujúce požiadavky:
Požiadavka |
Podrobnosti |
---|---|
|
V predvolenom nastavení dôverujeme CA v zozname Mozilly (s výnimkou WoSign a StartCom) na https://wiki.mozilla.org/CA:IncludedCAs. |
|
CN nemusí byť dosiahnuteľné alebo živého hostiteľa. Odporúčame vám použiť názov, ktorý zodpovedá vašej organizácii, napríklad KN nesmie obsahovať * (zástupný znak). CN sa používa na overenie uzlov Hybrid Data Security pre klientov Webex App. Všetky uzly Hybrid Data Security vo vašom klastri používajú rovnaký certifikát. Váš KMS sa identifikuje pomocou domény CN, nie akejkoľvek domény, ktorá je definovaná v poliach x.509v3 SAN. Po zaregistrovaní uzla s týmto certifikátom nepodporujeme zmenu názvu domény CN. |
|
Softvér KMS nepodporuje podpisy SHA1 na overenie pripojení k KMS iných organizácií. |
|
Na zmenu formátu certifikátu môžete použiť konvertor, ako je OpenSSL. Pri spustení nástroja HDS Setup Tool budete musieť zadať heslo. |
Softvér KMS nevynucuje používanie kľúčov ani rozšírené obmedzenia používania kľúčov. Niektoré certifikačné autority vyžadujú, aby sa na každý certifikát aplikovali rozšírené obmedzenia používania kľúčov, ako je autentifikácia servera. Je v poriadku použiť overenie servera alebo iné nastavenia.
Požiadavky na virtuálny hostiteľ
Virtuálni hostitelia, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri, majú nasledujúce požiadavky:
-
Aspoň dvaja oddelení hostitelia (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre
-
VMware ESXi 7.0 (alebo novší) nainštalovaný a spustený.
Ak máte staršiu verziu ESXi, musíte vykonať inováciu.
-
Minimálne 4 vCPU, 8 GB hlavnej pamäte, 30 GB miesta na lokálnom pevnom disku na server
Požiadavky na databázový server
Vytvorte novú databázu pre uloženie kľúčov. Nepoužívajte predvolenú databázu. Aplikácie HDS, keď sú nainštalované, vytvoria schému databázy.
Pre databázový server sú dve možnosti. Požiadavky na každú z nich sú nasledovné:
PostgreSQL |
Microsoft SQL Server |
---|---|
|
|
Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložisko) |
Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložisko) |
Softvér HDS momentálne inštaluje nasledujúce verzie ovládačov na komunikáciu s databázovým serverom:
PostgreSQL |
Microsoft SQL Server |
---|---|
Postgres JDBC ovládač 42.2.5 |
Ovládač SQL Server JDBC 4.6 Táto verzia ovládača podporuje server SQL Server Always On (Inštancie klastra prepnutia pri zlyhaní a skupiny dostupnosti Vždy zapnuté). |
Dodatočné požiadavky na overenie systému Windows voči Microsoft SQL Server
Ak chcete, aby uzly HDS používali autentifikáciu systému Windows na získanie prístupu k vašej databáze úložiska kľúčov na serveri Microsoft SQL Server, potrebujete vo svojom prostredí nasledujúcu konfiguráciu:
-
HDS uzly, infraštruktúra Active Directory a MS SQL Server musia byť synchronizované s NTP.
-
Účet Windows, ktorý poskytnete uzlom HDS, musí mať prístup k databáze na čítanie/zápis.
-
Servery DNS, ktoré poskytujete uzlom HDS, musia byť schopné vyriešiť vaše Centrum distribúcie kľúčov (KDC).
-
Inštanciu databázy HDS môžete zaregistrovať na svojom serveri Microsoft SQL Server ako hlavný názov služby (SPN) vo vašom adresári Active Directory. Pozrite si časť Registrácia hlavného názvu služby pre pripojenia Kerberos.
Nástroj na nastavenie HDS, spúšťač HDS a miestne KMS musia na prístup k databáze kľúčov používať overenie systému Windows. Používajú podrobnosti z vašej konfigurácie ISO na vytvorenie SPN pri požadovaní prístupu s overením Kerberos.
Požiadavky na externé pripojenie
Nakonfigurujte svoj firewall tak, aby umožňoval nasledujúce pripojenie pre aplikácie HDS:
Aplikácia |
Protokol |
Port |
Smer z App |
Cieľ |
---|---|---|---|---|
Hybridné uzly zabezpečenia údajov |
TCP |
443 |
Odchádzajúce HTTPS a WSS |
|
Nástroj na nastavenie HDS |
TCP |
443 |
Odchádzajúce HTTPS |
|
Uzly Hybrid Data Security pracujú s prekladom sieťového prístupu (NAT) alebo za bránou firewall, pokiaľ NAT alebo brána firewall umožňuje požadované odchádzajúce pripojenia k destináciám domény v predchádzajúcej tabuľke. Pre pripojenia prichádzajúce do uzlov Hybrid Data Security by nemali byť z internetu viditeľné žiadne porty. V rámci vášho dátového centra potrebujú klienti prístup k uzlom Hybrid Data Security na portoch TCP 443 a 22 na administratívne účely.
Adresy URL hostiteľov Common Identity (CI) sú špecifické pre daný región. Toto sú súčasní hostitelia CI:
región |
Spoločné adresy URL hostiteľa identity |
---|---|
Ameriky |
|
Európskej únie |
|
Kanada |
|
Singapur |
|
Spojené arabské emiráty |
|
Požiadavky na proxy server
-
Oficiálne podporujeme nasledujúce proxy riešenia, ktoré sa dajú integrovať s vašimi uzlami Hybrid Data Security.
-
Transparentný proxy – Cisco Web Security Appliance (WSA).
-
Explicitný proxy-Squid.
Squid proxy, ktoré kontrolujú prenos HTTPS, môžu narúšať vytváranie pripojení websocket (wss:). Ak chcete tento problém vyriešiť, prečítajte si časť Konfigurácia serverov proxy Squid pre hybridné zabezpečenie údajov.
-
-
Pre explicitné servery proxy podporujeme nasledujúce kombinácie typov overenia:
-
Žiadna autentifikácia pomocou HTTP alebo HTTPS
-
Základná autentifikácia pomocou HTTP alebo HTTPS
-
Digest overenie iba s HTTPS
-
-
Pre transparentný kontrolný proxy server alebo explicitný proxy server HTTPS musíte mať kópiu koreňového certifikátu servera proxy. Pokyny na nasadenie v tejto príručke vám povedia, ako nahrať kópiu do dôveryhodných obchodov uzlov Hybrid Data Security.
-
Sieť, ktorá hostí uzly HDS, musí byť nakonfigurovaná tak, aby vynútila smerovanie odchádzajúcej prevádzky TCP na porte 443 cez server proxy.
-
Proxy, ktoré kontrolujú webovú prevádzku, môžu narúšať pripojenia webových soketov. Ak sa vyskytne tento problém, problém vyrieši obídenie (nie kontrola) návštevnosti stránok
wbx2.com
aciscospark.com
.
Vyplňte Predpoklady pre hybridnú bezpečnosť údajov
1 |
Uistite sa, že vaša partnerská organizácia má povolenú funkciu Multi-Tenant HDS a získajte prihlasovacie údaje účtu s úplným správcom partnera a plnými právami správcu. Uistite sa, že vaša organizácia zákazníkov Webex má povolený balík Pro Pack pre Cisco Webex Control Hub. Ak potrebujete pomoc s týmto procesom, kontaktujte svojho partnera Cisco alebo account manažéra. Zákaznícke organizácie by nemali mať žiadne existujúce nasadenie HDS. |
2 |
Vyberte názov domény pre svoje nasadenie HDS (napríklad |
3 |
Pripravte si identických virtuálnych hostiteľov, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri. Potrebujete aspoň dvoch samostatných hostiteľov (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre, ktorí spĺňajú požiadavky v časti Požiadavky na virtuálneho hostiteľa. |
4 |
Pripravte databázový server, ktorý bude fungovať ako úložisko kľúčových údajov pre klaster, v súlade s požiadavkami na databázový server. Databázový server musí byť umiestnený v zabezpečenom údajovom centre spolu s virtuálnymi hostiteľmi. |
5 |
Pre rýchlu obnovu po havárii nastavte zálohovacie prostredie v inom dátovom centre. Zálohovacie prostredie odzrkadľuje produkčné prostredie VM a záložný databázový server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM. |
6 |
Nastavte hostiteľa syslog na zhromažďovanie protokolov z uzlov v klastri. Získajte jeho sieťovú adresu a port syslog (predvolené je UDP 514). |
7 |
Vytvorte politiku bezpečného zálohovania pre uzly Hybrid Data Security, databázový server a hostiteľa syslog. Aby ste predišli nenapraviteľnej strate údajov, musíte minimálne zálohovať databázu a konfiguračný súbor ISO vygenerovaný pre uzly Hybrid Data Security. Keďže uzly Hybrid Data Security ukladajú kľúče používané na šifrovanie a dešifrovanie obsahu, zlyhanie prevádzkyschopného nasadenia bude mať za následok NEOBNOVITEĽNÚ STRATU tohto obsahu. Klienti Webex App ukladajú svoje kľúče do vyrovnávacej pamäte, takže výpadok nemusí byť okamžite viditeľný, ale časom sa prejaví. Zatiaľ čo dočasným výpadkom nie je možné zabrániť, sú obnoviteľné. Úplná strata (nie sú k dispozícii žiadne zálohy) databázy alebo konfiguračného ISO súboru však bude mať za následok neobnoviteľné zákaznícke údaje. Od operátorov uzlov Hybrid Data Security sa očakáva, že budú pravidelne zálohovať databázu a konfiguračný súbor ISO a budú pripravení na prestavbu dátového centra Hybrid Data Security, ak dôjde ku katastrofálnej poruche. |
8 |
Uistite sa, že konfigurácia brány firewall umožňuje pripojenie pre uzly Hybrid Data Security, ako je uvedené v časti Požiadavky na externé pripojenie. |
9 |
Nainštalujte Docker ( https://www.docker.com) na ľubovoľný lokálny počítač s podporovaným operačným systémom (Microsoft Windows 10 Professional alebo Enterprise 64-bitový alebo Mac OSX Yosemite 10.10.3 alebo novší) pomocou webového prehliadača, ktorý k nemu má prístup na adrese http://127.0.0.1:8080. Inštanciu Docker použijete na stiahnutie a spustenie nástroja HDS Setup Tool, ktorý vytvorí informácie o lokálnej konfigurácii pre všetky uzly Hybrid Data Security. Možno budete potrebovať licenciu Docker Desktop. Ďalšie informácie nájdete v časti Požiadavky na pracovnú plochu Docker . Ak chcete nainštalovať a spustiť nástroj HDS Setup Tool, miestny počítač musí mať pripojenie uvedené v časti Požiadavky na externé pripojenie. |
10 |
Ak integrujete server proxy so službou Hybrid Data Security, uistite sa, že spĺňa požiadavky na server proxy. |
Nastavte klaster Hybrid Data Security
Tok úloh nasadenia zabezpečenia hybridných údajov
1 |
Vykonajte počiatočné nastavenie a stiahnite inštalačné súbory Stiahnite si súbor OVA na váš lokálny počítač pre neskoršie použitie. |
2 |
Vytvorte ISO konfigurácie pre hostiteľov HDS Pomocou nástroja HDS Setup Tool vytvorte konfiguračný súbor ISO pre uzly Hybrid Data Security. |
3 |
Vytvorte virtuálny počítač zo súboru OVA a vykonajte počiatočnú konfiguráciu, ako sú nastavenia siete. Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 7.0. Táto možnosť nemusí byť dostupná v starších verziách. |
4 |
Nastavte virtuálny počítač Hybrid Data Security Prihláste sa do konzoly VM a nastavte prihlasovacie poverenia. Nakonfigurujte sieťové nastavenia pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA. |
5 |
Nahrajte a pripojte ISO konfiguráciu HDS Nakonfigurujte VM z konfiguračného súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool. |
6 |
Nakonfigurujte uzol HDS na integráciu proxy Ak sieťové prostredie vyžaduje konfiguráciu servera proxy, zadajte typ servera proxy, ktorý použijete pre uzol, a v prípade potreby pridajte certifikát servera proxy do dôveryhodného úložiska. |
7 |
Zaregistrujte prvý uzol v klastri Zaregistrujte VM v cloude Cisco Webex ako uzol Hybrid Data Security. |
8 |
Vytvorte a zaregistrujte viac uzlov Dokončite nastavenie klastra. |
9 |
Aktivujte si Multi-Tenant HDS na Partner Hub. Aktivujte si HDS a spravujte organizácie nájomníkov na Partner Hub. |
Vykonajte počiatočné nastavenie a stiahnite inštalačné súbory
V tejto úlohe stiahnete súbor OVA do svojho počítača (nie na servery, ktoré ste nastavili ako uzly Hybrid Data Security). Tento súbor použijete neskôr v procese inštalácie.
1 |
Prihláste sa do Partnerského centra a potom kliknite na položku Služby. |
2 |
V časti Cloudové služby nájdite kartu Hybrid Data Security a kliknite na tlačidlo Nastaviť. Pre proces nasadenia je rozhodujúce kliknutie na položku Nastaviť v partnerskom centre. Nepokračujte v inštalácii bez dokončenia tohto kroku. |
3 |
Kliknite na položku Pridať zdroj a kliknite na položku Prevziať súbor .OVA na karte Inštalovať a konfigurovať softvér . Staršie verzie softvérového balíka (OVA) nebudú kompatibilné s najnovšími aktualizáciami Hybrid Data Security. To môže viesť k problémom pri inovácii aplikácie. Uistite sa, že ste si stiahli najnovšiu verziu súboru OVA. OVA si tiež môžete kedykoľvek stiahnuť zo sekcie Pomocník . Kliknite na položky . Súbor OVA sa začne automaticky sťahovať. Uložte súbor na miesto v počítači.
|
4 |
Voliteľne kliknite na položku Zobraziť príručku nasadenia hybridného zabezpečenia údajov a skontrolujte, či je k dispozícii novšia verzia tejto príručky. |
Vytvorte ISO konfigurácie pre hostiteľov HDS
Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.
Skôr ako začnete
-
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými administrátorskými právami.
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker v kroku 5 nižšie zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:
-
Databázové poverenia
-
Aktualizácie certifikátov
-
Zmeny v politike autorizácie
-
-
Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.
1 |
Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať. | ||||||||||
2 |
Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce: | ||||||||||
3 |
Pri výzve na zadanie hesla zadajte tento hash: | ||||||||||
4 |
Stiahnite si najnovší stabilný obraz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: | ||||||||||
5 |
Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:
Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“. | ||||||||||
6 |
Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 . Pomocou webového prehliadača prejdite na localhost, Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie. | ||||||||||
7 |
Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia správcu Partner Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre Hybrid Data Security. | ||||||||||
8 |
Na stránke prehľadu nástroja Setup kliknite na položku Začíname. | ||||||||||
9 |
Na stránke Import ISO máte tieto možnosti:
| ||||||||||
10 |
Skontrolujte, či váš certifikát X.509 spĺňa požiadavky uvedené v časti Požiadavky na certifikát X.509.
| ||||||||||
11 |
Zadajte databázovú adresu a účet pre HDS, aby ste získali prístup k vášmu úložisku kľúčových údajov: | ||||||||||
12 |
Vyberte Režim pripojenia databázy TLS:
Keď odovzdáte koreňový certifikát (ak je to potrebné) a kliknete na tlačidlo Pokračovať, nástroj HDS Setup Tool otestuje pripojenie TLS k databázovému serveru. Nástroj tiež overuje podpisovateľa certifikátu a názov hostiteľa, ak je to potrebné. Ak test zlyhá, nástroj zobrazí chybové hlásenie s popisom problému. Môžete si vybrať, či chcete chybu ignorovať a pokračovať v nastavovaní. (Vzhľadom na rozdiely v konektivite môžu byť uzly HDS schopné vytvoriť pripojenie TLS, aj keď ho zariadenie HDS Setup Tool nedokáže úspešne otestovať.) | ||||||||||
13 |
Na stránke Systémové denníky nakonfigurujte svoj server Syslogd: | ||||||||||
14 |
(Voliteľné) Predvolenú hodnotu niektorých parametrov pripojenia k databáze môžete zmeniť v časti Rozšírené nastavenia. Vo všeobecnosti je tento parameter jediný, ktorý možno budete chcieť zmeniť: | ||||||||||
15 |
Kliknite na tlačidlo Pokračovať na obrazovke Obnoviť heslo servisných účtov . Heslá k servisným účtom majú životnosť deväť mesiacov. Túto obrazovku použite, keď sa blíži koniec platnosti vašich hesiel alebo ich chcete resetovať, aby ste zrušili platnosť predchádzajúcich súborov ISO. | ||||||||||
16 |
Kliknite na položku Prevziať súbor ISO. Uložte súbor na miesto, ktoré sa dá ľahko nájsť. | ||||||||||
17 |
Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. | ||||||||||
18 |
Ak chcete vypnúť inštalačný nástroj, napíšte |
Čo robiť ďalej
Zálohujte konfiguračný súbor ISO. Potrebujete ho na vytvorenie ďalších uzlov na obnovu alebo na vykonanie zmien v konfigurácii. Ak stratíte všetky kópie súboru ISO, stratili ste aj hlavný kľúč. Obnovenie kľúčov z databázy PostgreSQL alebo Microsoft SQL Server nie je možné.
Nikdy nemáme kópiu tohto kľúča a nemôžeme vám pomôcť, ak ho stratíte.
Nainštalujte HDS Host OVA
1 |
Na prihlásenie do virtuálneho hostiteľa ESXi použite klienta VMware vSphere na vašom počítači. |
2 |
Vyberte položku Súbor > Nasadiť šablónu OVF. |
3 |
V sprievodcovi zadajte umiestnenie súboru OVA, ktorý ste prevzali predtým, a potom kliknite na tlačidlo Ďalej. |
4 |
Na stránke Vyberte názov a priečinok zadajte Názov virtuálneho počítača pre uzol (napríklad „HDS_Node_1“) a vyberte umiestnenie, kde nasadenie uzla virtuálneho počítača sa môže nachádzať a potom kliknite na tlačidlo Ďalej. |
5 |
Na stránke Vyberte výpočtový zdroj vyberte cieľový výpočtový zdroj a potom kliknite na tlačidlo Ďalej. Prebehne overovacia kontrola. Po dokončení sa zobrazia podrobnosti šablóny. |
6 |
Overte podrobnosti šablóny a potom kliknite na tlačidlo Ďalej. |
7 |
Ak sa zobrazí výzva na výber konfigurácie prostriedkov na stránke Konfigurácia , kliknite na položku 4 CPU a potom kliknite na tlačidlo Ďalej. |
8 |
Na stránke Vybrať úložisko kliknite na tlačidlo Ďalej , čím prijmete predvolený formát disku a pravidlá úložiska VM. |
9 |
Na stránke Vybrať siete vyberte sieťovú možnosť zo zoznamu položiek, aby ste poskytli požadované pripojenie k virtuálnemu počítaču. |
10 |
Na stránke Prispôsobiť šablónu nakonfigurujte nasledujúce nastavenia siete:
Ak chcete, môžete preskočiť konfiguráciu nastavenia siete a podľa krokov v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov nakonfigurujte nastavenia z konzoly uzla. Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 7.0. Táto možnosť nemusí byť dostupná v starších verziách. |
11 |
Kliknite pravým tlačidlom myši na uzol VM a potom vyberte položky .Softvér Hybrid Data Security je nainštalovaný ako hosť na hostiteľovi VM. Teraz ste pripravení prihlásiť sa do konzoly a nakonfigurovať uzol. Tipy na riešenie problémov Môžete zaznamenať oneskorenie niekoľkých minút, kým sa kontajnery uzlov objavia. Počas prvého spustenia, počas ktorého sa nemôžete prihlásiť, sa na konzole zobrazí správa brány firewall mosta. |
Nastavte virtuálny počítač Hybrid Data Security
Tento postup použite na prvé prihlásenie do konzoly VM uzla Hybrid Data Security a nastavenie prihlasovacích poverení. Konzolu môžete použiť aj na konfiguráciu sieťových nastavení pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.
1 |
V klientovi VMware vSphere vyberte svoj uzol Hybrid Data Security VM a vyberte kartu Konzola . VM sa spustí a zobrazí sa výzva na prihlásenie. Ak sa výzva na prihlásenie nezobrazí, stlačte kláves Enter.
|
2 |
Na prihlásenie a zmenu poverení použite nasledujúce predvolené prihlasovacie meno a heslo: Keďže sa do svojho VM prihlasujete prvýkrát, musíte zmeniť heslo správcu. |
3 |
Ak ste už nakonfigurovali nastavenia siete v časti Inštalácia hostiteľa HDS OVA, preskočte zvyšok tohto postupu. V opačnom prípade vyberte v hlavnej ponuke možnosť Upraviť konfiguráciu . |
4 |
Nastavte statickú konfiguráciu s IP adresou, maskou, bránou a informáciami DNS. Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované. |
5 |
(Voliteľné) Zmeňte názov hostiteľa, doménu alebo server(y) NTP, ak je to potrebné, aby zodpovedali zásadám vašej siete. Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509. |
6 |
Uložte konfiguráciu siete a reštartujte VM, aby sa zmeny prejavili. |
Nahrajte a pripojte ISO konfiguráciu HDS
Skôr ako začnete
Pretože súbor ISO obsahuje hlavný kľúč, mal by byť zverejnený iba na základe „potreby vedieť“, aby k nemu mali prístup virtuálne počítače s hybridným zabezpečením údajov a všetci správcovia, ktorí môžu potrebovať vykonať zmeny. Uistite sa, že k úložisku údajov majú prístup iba títo správcovia.
1 |
Nahrajte súbor ISO z počítača: |
2 |
Pripojte súbor ISO: |
Čo robiť ďalej
Ak to vyžaduje vaša politika IT, môžete voliteľne odpojiť súbor ISO po tom, čo všetky vaše uzly prevezmú zmeny konfigurácie. Podrobnosti nájdete v časti (Voliteľné) Odpojenie ISO po konfigurácii HDS .
Nakonfigurujte uzol HDS na integráciu proxy
Ak sieťové prostredie vyžaduje server proxy, použite tento postup na určenie typu servera proxy, ktorý chcete integrovať s Hybrid Data Security. Ak si vyberiete transparentný kontrolný proxy server alebo explicitný proxy server HTTPS, môžete použiť rozhranie uzla na nahranie a inštaláciu koreňového certifikátu. Môžete tiež skontrolovať pripojenie proxy z rozhrania a vyriešiť prípadné problémy.
Skôr ako začnete
-
Prehľad podporovaných možností servera proxy nájdete v časti Podpora servera proxy .
1 |
Do webového prehliadača zadajte adresu URL nastavenia uzla HDS |
2 |
Prejdite na stránku Trust Store & Proxy a potom vyberte jednu z možností:
Postupujte podľa nasledujúcich krokov pre transparentný kontrolný proxy server, explicitný proxy server HTTP so základným overením alebo explicitný proxy HTTPS. |
3 |
Kliknite na položku Odovzdať koreňový certifikát alebo certifikát ukončenia entity a potom prejdite na výber koreňového certifikátu pre server proxy. Certifikát je nahraný, ale ešte nie je nainštalovaný, pretože na inštaláciu certifikátu musíte reštartovať uzol. Ak chcete získať ďalšie podrobnosti, kliknite na šípku so šípkou vedľa názvu vydavateľa certifikátu. Ak ste urobili chybu a chcete súbor nahrať znova, kliknite na tlačidlo Odstrániť . |
4 |
Kliknutím na položku Skontrolovať pripojenie proxy otestujete sieťové pripojenie medzi uzlom a serverom proxy. Ak test pripojenia zlyhá, zobrazí sa chybové hlásenie, ktoré uvádza dôvod a spôsob, ako môžete problém vyriešiť. Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS. Tento stav sa očakáva v mnohých explicitných konfiguráciách proxy. Môžete pokračovať v nastavovaní a uzol bude fungovať v režime zablokovaného externého rozlíšenia DNS. Ak si myslíte, že ide o chybu, vykonajte tieto kroky a potom si pozrite časť Vypnutie režimu zablokovaného externého rozlíšenia DNS. |
5 |
Po úspešnom teste pripojenia pre explicitný server proxy nastavený iba na https zapnite prepínač na možnosť Smerovať všetky požiadavky protokolu https z tohto uzla na port 443/444 cez explicitný server proxy. Toto nastavenie sa prejaví po 15 sekundách. |
6 |
Kliknite na položku Inštalovať všetky certifikáty do dôveryhodného úložiska (zobrazí sa pri explicitnom serveri proxy HTTPS alebo transparentnom kontrolnom serveri proxy) alebo Reštartovať (zobrazí sa pri explicitnom serveri proxy HTTP), prečítajte si výzvu a potom kliknite na tlačidlo Inštalovať , ak ste pripravení. Uzol sa reštartuje v priebehu niekoľkých minút. |
7 |
Keď sa uzol reštartuje, v prípade potreby sa znova prihláste a potom otvorte stránku Prehľad a skontrolujte kontroly pripojenia, aby ste sa uistili, že sú všetky v zelenom stave. Kontrola pripojenia proxy testuje iba subdoménu webex.com. Ak sa vyskytnú problémy s pripojením, bežným problémom je, že niektoré z cloudových domén uvedených v pokynoch na inštaláciu sú na serveri proxy blokované. |
Zaregistrujte prvý uzol v klastri
Keď zaregistrujete svoj prvý uzol, vytvoríte klaster, ku ktorému je uzol priradený. Klaster obsahuje jeden alebo viac uzlov nasadených na zabezpečenie redundancie.
Skôr ako začnete
-
Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.
-
Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.
1 |
Prihláste sa do https://admin.webex.com. |
2 |
V ponuke na ľavej strane obrazovky vyberte položku Služby. |
3 |
V časti Cloudové služby nájdite kartu Hybrid Data Security a kliknite na tlačidlo Nastaviť. |
4 |
Na stránke, ktorá sa otvorí, kliknite na položku Pridať zdroj. |
5 |
Do prvého poľa na karte Pridať uzol zadajte názov klastra, ktorému chcete priradiť uzol Hybrid Data Security. Odporúčame pomenovať klaster podľa toho, kde sa geograficky nachádzajú uzly klastra. Príklady: „San Francisco“ alebo „New York“ alebo „Dallas“ |
6 |
Do druhého poľa zadajte internú adresu IP alebo úplný názov domény (FQDN) svojho uzla a kliknite na tlačidlo Pridať v dolnej časti obrazovky. Táto adresa IP alebo FQDN by sa mala zhodovať s adresou IP alebo názvom hostiteľa a doménou, ktoré ste použili v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov. Zobrazí sa správa, že môžete zaregistrovať svoj uzol do Webexu.
|
7 |
Kliknite na položku Prejsť do uzla. Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že svojej organizácii Webex chcete udeliť povolenia na prístup k vášmu uzlu. |
8 |
Začiarknite políčko Povoliť prístup k vášmu uzlu zabezpečenia hybridných údajov a potom kliknite na tlačidlo Pokračovať. Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
|
9 |
Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Hybrid Data Security partnerského centra. Na stránke Hybrid Data Security sa nový klaster obsahujúci uzol, ktorý ste zaregistrovali, zobrazí na karte Prostriedky . Uzol si automaticky stiahne najnovší softvér z cloudu.
|
Vytvorte a zaregistrujte viac uzlov
Skôr ako začnete
-
Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.
-
Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.
1 |
Vytvorte nový virtuálny počítač z OVA zopakovaním krokov v časti Inštalácia hostiteľského OVA HDS. |
2 |
Nastavte úvodnú konfiguráciu na novom virtuálnom počítači zopakovaním krokov v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov. |
3 |
Na novom virtuálnom počítači zopakujte kroky v časti Odovzdanie a pripojenie ISO konfigurácie HDS. |
4 |
Ak nastavujete server proxy pre svoje nasadenie, zopakujte kroky v časti Konfigurácia uzla HDS na integráciu servera proxy podľa potreby pre nový uzol. |
5 |
Zaregistrujte uzol. |
Spravujte organizácie nájomníkov na hybridnom zabezpečení dát pre viacerých nájomníkov
Aktivujte si Multi-Tenant HDS na Partner Hub
Táto úloha zaisťuje, že všetci používatelia zákazníckych organizácií môžu začať využívať HDS pre lokálne šifrovacie kľúče a ďalšie bezpečnostné služby.
Skôr ako začnete
Uistite sa, že ste dokončili nastavenie klastra Multi-Tenant HDS s požadovaným počtom uzlov.
1 |
Prihláste sa do https://admin.webex.com. |
2 |
V ponuke na ľavej strane obrazovky vyberte položku Služby. |
3 |
V časti Cloudové služby vyhľadajte Hybrid Data Security a kliknite na položku Upraviť nastavenia. |
4 |
Kliknite na položku Aktivovať HDS na karte Stav HDS . |
Pridajte organizácie nájomníkov v partnerskom centre
V tejto úlohe priradíte zákaznícke organizácie k vášmu Hybrid Data Security Cluster.
1 |
Prihláste sa do https://admin.webex.com. |
2 |
V ponuke na ľavej strane obrazovky vyberte položku Služby. |
3 |
V sekcii Cloudové služby nájdite Hybrid Data Security a kliknite na položku Zobraziť všetko. |
4 |
Kliknite na klaster, ku ktorému chcete priradiť zákazníka. |
5 |
Prejdite na kartu Priradení zákazníci . |
6 |
Kliknite na položku Pridať zákazníkov. |
7 |
Z rozbaľovacej ponuky vyberte zákazníka, ktorého chcete pridať. |
8 |
Kliknite na tlačidlo Pridať, zákazník bude pridaný do klastra. |
9 |
Ak chcete do svojho klastra pridať viacerých zákazníkov, zopakujte kroky 6 až 8. |
10 |
Po pridaní zákazníkov kliknite na tlačidlo Hotovo v dolnej časti obrazovky. |
Čo robiť ďalej
Vytvorte hlavné kľúče zákazníka (CMK) pomocou nástroja HDS Setup
Skôr ako začnete
Priraďte zákazníkov do príslušného klastra, ako je podrobne uvedené v časti Pridanie organizácií nájomníkov do centra partnerov. Spustite nástroj HDS Setup a dokončite proces nastavenia pre novo pridané zákaznícke organizácie.
-
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými administrátorskými právami pre vašu organizáciu.
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker v kroku 5 zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:
-
Databázové poverenia
-
Aktualizácie certifikátov
-
Zmeny v politike autorizácie
-
-
Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.
Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.
1 |
Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať. |
2 |
Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce: |
3 |
Pri výzve na zadanie hesla zadajte tento hash: |
4 |
Stiahnite si najnovší stabilný obraz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: |
5 |
Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:
Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“. |
6 |
Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 . Pomocou webového prehliadača prejdite na localhost, Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie. |
7 |
Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia správcu Partner Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre Hybrid Data Security. |
8 |
Na stránke prehľadu nástroja Setup kliknite na položku Začíname. |
9 |
Na stránke Import ISO kliknite na tlačidlo Áno. |
10 |
Vyberte súbor ISO v prehliadači a nahrajte ho. Ak chcete vykonávať správu CMK, zaistite pripojenie k databáze. |
11 |
Prejdite na kartu Správa CMK nájomcov , kde nájdete nasledujúce tri spôsoby správy CMK nájomcov.
|
12 |
Po úspešnom vytvorení CMK sa stav v tabuľke zmení z Čaká sa na správu CMK na Spravuje CMK. |
13 |
Ak je vytvorenie CMK neúspešné, zobrazí sa chyba. |
Odstráňte organizácie nájomníkov
Skôr ako začnete
Po odstránení nebudú používatelia zákazníckych organizácií môcť využívať HDS pre svoje potreby šifrovania a stratia všetky existujúce miesta. Pred odstránením zákazníckych organizácií kontaktujte svojho partnera Cisco alebo správcu účtu.
1 |
Prihláste sa do https://admin.webex.com. |
2 |
V ponuke na ľavej strane obrazovky vyberte položku Služby. |
3 |
V sekcii Cloudové služby nájdite Hybrid Data Security a kliknite na položku Zobraziť všetko. |
4 |
Na karte Zdroje kliknite na klaster, z ktorého chcete odstrániť organizácie zákazníkov. |
5 |
Na stránke, ktorá sa otvorí, kliknite na položku Priradení zákazníci. |
6 |
V zobrazenom zozname organizácií zákazníkov kliknite na položku ... na pravej strane organizácie zákazníka, ktorú chcete odstrániť, a kliknite na položku Odstrániť z klastra. |
Čo robiť ďalej
Dokončite proces odstránenia zrušením CMK zákazníckych organizácií, ako je podrobne uvedené v časti Odvolanie CMK nájomníkov odstránených z HDS.
Zrušiť CMK nájomníkov odstránených z HDS.
Skôr ako začnete
Odstráňte zákazníkov z príslušného klastra, ako je podrobne uvedené v časti Odstránenie organizácií nájomníkov. Spustite nástroj HDS Setup a dokončite proces odstránenia pre zákaznícke organizácie, ktoré boli odstránené.
-
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými administrátorskými právami pre vašu organizáciu.
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker v kroku 5 zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:
-
Databázové poverenia
-
Aktualizácie certifikátov
-
Zmeny v politike autorizácie
-
-
Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.
Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.
1 |
Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať. |
2 |
Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce: |
3 |
Pri výzve na zadanie hesla zadajte tento hash: |
4 |
Stiahnite si najnovší stabilný obraz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: |
5 |
Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:
Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“. |
6 |
Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 . Pomocou webového prehliadača prejdite na localhost, Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie. |
7 |
Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia správcu Partner Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre Hybrid Data Security. |
8 |
Na stránke prehľadu nástroja Setup kliknite na položku Začíname. |
9 |
Na stránke Import ISO kliknite na tlačidlo Áno. |
10 |
Vyberte súbor ISO v prehliadači a nahrajte ho. |
11 |
Prejdite na kartu Správa CMK nájomcov , kde nájdete nasledujúce tri spôsoby správy CMK nájomcov.
|
12 |
Po úspešnom odvolaní CMK sa zákaznícka organizácia už nebude zobrazovať v tabuľke. |
13 |
Ak je zrušenie CMK neúspešné, zobrazí sa chyba. |
Otestujte svoje nasadenie Hybrid Data Security
Otestujte svoje nasadenie hybridného zabezpečenia dát
Skôr ako začnete
-
Nastavte svoje nasadenie Hybridného zabezpečenia dát pre viacerých nájomníkov.
-
Uistite sa, že máte prístup k syslog, aby ste si overili, že kľúčové požiadavky prechádzajú do vášho nasadenia Multi-Tenant Hybrid Data Security.
1 |
Kľúče pre daný priestor nastavuje tvorca priestoru. Prihláste sa do aplikácie Webex ako jeden z používateľov zákazníckej organizácie a potom vytvorte priestor. Ak deaktivujete nasadenie Hybrid Data Security, obsah v priestoroch, ktoré používatelia vytvoria, už nebude prístupný po výmene kópií šifrovacích kľúčov uložených vo vyrovnávacej pamäti klienta. |
2 |
Posielajte správy do nového priestoru. |
3 |
Skontrolujte výstup syslog, aby ste si overili, že požiadavky na kľúče prechádzajú do vášho nasadenia Hybrid Data Security. |
Monitorujte zdravie Hybrid Data Security Health
1 |
V Centre pre partnerov vyberte z ponuky na ľavej strane obrazovky položku Služby . |
2 |
V časti Cloudové služby vyhľadajte Hybrid Data Security a kliknite na položku Upraviť nastavenia. Zobrazí sa stránka Hybrid Data Security Settings.
|
3 |
V časti E-mailové upozornenia zadajte jednu alebo viac e-mailových adries oddelených čiarkami a stlačte kláves Enter. |
Spravujte svoje nasadenie HDS
Spravujte nasadenie HDS
Pomocou tu popísaných úloh spravujte svoje nasadenie Hybrid Data Security.
Nastavte plán aktualizácie klastra
Ak chcete nastaviť plán aktualizácie:
1 |
Prihláste sa do Partnerského centra. |
2 |
V ponuke na ľavej strane obrazovky vyberte položku Služby. |
3 |
V časti Cloudové služby vyhľadajte Hybrid Data Security a kliknite na tlačidlo Nastaviť |
4 |
Na stránke Hybrid Data Security Resources vyberte klaster. |
5 |
Kliknite na kartu Nastavenia klastra . |
6 |
Na stránke Nastavenia klastra v časti Plán aktualizácie vyberte čas a časové pásmo pre plán inovácie. Poznámka: Pod časovým pásmom sa zobrazí dátum a čas ďalšej dostupnej aktualizácie. V prípade potreby môžete inováciu odložiť na nasledujúci deň kliknutím na položku Odložiť o 24 hodín. |
Zmeňte konfiguráciu uzla
-
Zmena x.509 certifikátov z dôvodu uplynutia platnosti alebo iných dôvodov.
Nepodporujeme zmenu názvu domény CN certifikátu. Doména sa musí zhodovať s pôvodnou doménou použitou na registráciu klastra.
-
Aktualizácia nastavení databázy pre zmenu na repliku databázy PostgreSQL alebo Microsoft SQL Server.
Nepodporujeme migráciu údajov z PostgreSQL na Microsoft SQL Server ani opačným spôsobom. Ak chcete zmeniť prostredie databázy, spustite nové nasadenie Hybrid Data Security.
-
Vytvorenie novej konfigurácie na prípravu nového dátového centra.
Z bezpečnostných dôvodov používa Hybrid Data Security heslá servisných účtov, ktoré majú životnosť deväť mesiacov. Keď nástroj HDS Setup vygeneruje tieto heslá, nasadíte ich do každého z vašich uzlov HDS v konfiguračnom súbore ISO. Keď sa blíži koniec platnosti hesiel vašej organizácie, dostanete od tímu Webex upozornenie na resetovanie hesla pre váš počítačový účet. (E-mail obsahuje text „Na aktualizáciu hesla použite rozhranie API strojového účtu.“) Ak platnosť vašich hesiel ešte nevypršala, nástroj vám ponúka dve možnosti:
-
Mäkké obnovenie – staré aj nové heslo fungujú až 10 dní. Toto obdobie použite na postupnú výmenu súboru ISO na uzloch.
-
Tvrdý reset – staré heslá okamžite prestanú fungovať.
Ak platnosť vašich hesiel vyprší bez resetovania, ovplyvní to vašu službu HDS, čo si vyžaduje okamžitý tvrdý reset a nahradenie súboru ISO na všetkých uzloch.
Tento postup použite na vygenerovanie nového konfiguračného súboru ISO a jeho použitie vo vašom klastri.
Skôr ako začnete
-
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými právami správcu partnera.
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri vytváraní kontajnera Docker v 1.e zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Na vygenerovanie novej konfigurácie potrebujete kópiu aktuálneho konfiguračného súboru ISO. ISO obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. ISO potrebujete, keď robíte zmeny v konfigurácii vrátane poverení databázy, aktualizácií certifikátov alebo zmien v politike autorizácie.
1 |
Pomocou Docker na lokálnom počítači spustite nástroj HDS Setup Tool. |
2 |
Ak máte spustený iba jeden uzol HDS, vytvorte nový virtuálny počítač s uzlom Hybrid Data Security a zaregistrujte ho pomocou nového konfiguračného súboru ISO. Podrobnejšie pokyny nájdete v časti Vytvorenie a registrácia ďalších uzlov. |
3 |
Pre existujúce uzly HDS, na ktorých je spustený starší konfiguračný súbor, pripojte súbor ISO. Postupne vykonajte nasledujúci postup na každom uzle a pred vypnutím ďalšieho uzla aktualizujte každý uzol: |
4 |
Opakujte krok 3, aby ste nahradili konfiguráciu na každom zostávajúcom uzle, na ktorom je spustená stará konfigurácia. |
Vypnite režim zablokovaného externého rozlíšenia DNS
Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. Ak server DNS uzla nedokáže rozlíšiť verejné názvy DNS, uzol automaticky prejde do režimu zablokovaného externého rozlíšenia DNS.
Ak vaše uzly dokážu rozlíšiť verejné názvy DNS prostredníctvom interných serverov DNS, môžete tento režim vypnúť opätovným spustením testu pripojenia proxy na každom uzle.
Skôr ako začnete
1 |
Vo webovom prehliadači otvorte rozhranie uzla Hybrid Data Security (adresa IP/ nastavenie, napríklad https://192.0.2.0/setup), zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite na tlačidlo Prihlásiť sa). |
2 |
Prejdite na Prehľad (predvolená stránka). Keď je táto možnosť povolená, možnosť Blokované externé rozlíšenie DNS je nastavená na možnosť Áno. |
3 |
Prejdite na stránku Trust Store & Proxy . |
4 |
Kliknite na položku Skontrolovať pripojenie proxy. Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS a zostane v tomto režime. V opačnom prípade po reštartovaní uzla a návrate na stránku Prehľad by mala byť možnosť Blokované externé rozlíšenie DNS nastavené na možnosť Nie. |
Čo robiť ďalej
Odstráňte uzol
1 |
Pomocou klienta VMware vSphere vo svojom počítači sa prihláste do virtuálneho hostiteľa ESXi a vypnite virtuálny počítač. |
2 |
Odstráňte uzol: |
3 |
V klientovi vSphere odstráňte VM. (Na ľavom navigačnom paneli kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Odstrániť.) Ak nevymažete VM, nezabudnite odpojiť konfiguračný súbor ISO. Bez súboru ISO nemôžete použiť VM na prístup k bezpečnostným údajom. |
Obnova po havárii pomocou pohotovostného dátového centra
Najdôležitejšou službou, ktorú váš klaster Hybrid Data Security poskytuje, je vytváranie a ukladanie kľúčov používaných na šifrovanie správ a iného obsahu uloženého v cloude Webex. Pre každého používateľa v rámci organizácie, ktorý je priradený k Hybrid Data Security, sú do klastra smerované nové požiadavky na vytvorenie kľúča. Klaster je tiež zodpovedný za vrátenie kľúčov, ktoré vytvoril, všetkým používateľom oprávneným na ich získanie, napríklad členom konverzačného priestoru.
Pretože klaster vykonáva kritickú funkciu poskytovania týchto kľúčov, je nevyhnutné, aby klaster zostal spustený a aby boli udržiavané správne zálohy. Strata databázy Hybrid Data Security alebo konfigurácie ISO použitej pre schému bude mať za následok NENÁVRATNÚ STRATU zákazníckeho obsahu. Na zabránenie takejto strate sú povinné nasledujúce postupy:
Ak havária spôsobí, že nasadenie HDS v primárnom dátovom centre sa stane nedostupným, podľa tohto postupu manuálne prepnite na pohotovostné dátové centrum.
Skôr ako začnete
1 |
Spustite nástroj na nastavenie HDS a postupujte podľa krokov uvedených v časti Vytvorenie konfiguračného ISO pre hostiteľov HDS. |
2 |
Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť. |
3 |
Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. |
4 |
V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Upraviť nastavenia. |
5 |
Kliknite na položku Upraviť nastavenia >Jednotka CD/DVD 1 a vyberte položku Datastore ISO File. Uistite sa, že sú začiarknuté položky Pripojené a Pripojiť pri zapnutí , aby sa aktualizované zmeny konfigurácie prejavili po spustení uzlov. |
6 |
Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy. |
7 |
Zaregistrujte uzol v partnerskom centre. Pozrite si časť Registrácia prvého uzla v klastri. |
8 |
Opakujte proces pre každý uzol v pohotovostnom dátovom centre. |
Čo robiť ďalej
(Voliteľné) Odpojte ISO po konfigurácii HDS
Štandardná konfigurácia HDS beží s namontovaným ISO. Niektorí zákazníci však uprednostňujú neponechať súbory ISO nepretržite pripojené. Súbor ISO môžete odpojiť potom, čo všetky uzly HDS prevezmú novú konfiguráciu.
Na vykonanie zmien v konfigurácii stále používate súbory ISO. Keď vytvoríte nový ISO alebo aktualizujete ISO pomocou nástroja Setup Tool, musíte aktualizovaný ISO pripojiť na všetky vaše uzly HDS. Keď všetky vaše uzly zachytia zmeny konfigurácie, môžete ISO znova odpojiť pomocou tohto postupu.
Skôr ako začnete
Inovujte všetky svoje uzly HDS na verziu 2021.01.22.4720 alebo novšiu.
1 |
Vypnite jeden z uzlov HDS. |
2 |
V serverovom zariadení vCenter vyberte uzol HDS. |
3 |
Vyberte položku Súbor ISO úložiska údajov. a zrušte začiarknutie políčka |
4 |
Zapnite uzol HDS a uistite sa, že aspoň 20 minút nie sú žiadne alarmy. |
5 |
Postup opakujte pre každý uzol HDS. |
Riešenie problémov so zabezpečením hybridných údajov
Zobraziť upozornenia a riešenie problémov
Nasadenie Hybrid Data Security sa považuje za nedostupné, ak sú všetky uzly v klastri nedostupné alebo klaster pracuje tak pomaly, že si vyžaduje časový limit. Ak používatelia nemôžu dosiahnuť váš klaster Hybrid Data Security, zaznamenajú nasledujúce príznaky:
-
Nie je možné vytvoriť nové medzery (nemožno vytvoriť nové kľúče)
-
Správy a názvy priestorov sa nedajú dešifrovať pre:
-
Noví používatelia pridaní do priestoru (nemožno načítať kľúče)
-
Existujúci používatelia v priestore používajúci nového klienta (nemožno načítať kľúče)
-
-
Existujúci používatelia v priestore budú naďalej úspešne fungovať, pokiaľ ich klienti majú vyrovnávaciu pamäť šifrovacích kľúčov
Je dôležité, aby ste správne monitorovali svoj klaster Hybrid Data Security a okamžite riešili všetky výstrahy, aby ste predišli prerušeniu služby.
Upozornenia
Ak sa vyskytne problém s nastavením Hybrid Data Security, partnerské centrum zobrazí upozornenia správcovi organizácie a odošle e-maily na nakonfigurovanú e-mailovú adresu. Výstrahy pokrývajú mnoho bežných scenárov.
Upozornenie |
Akcia |
---|---|
Zlyhanie prístupu k lokálnej databáze. |
Skontrolujte chyby databázy alebo problémy s lokálnou sieťou. |
Zlyhanie pripojenia k lokálnej databáze. |
Skontrolujte, či je databázový server dostupný a či boli v konfigurácii uzla použité správne poverenia servisného účtu. |
Zlyhanie prístupu k cloudovej službe. |
Skontrolujte, či majú uzly prístup k serverom Webex, ako je uvedené v časti Požiadavky na externé pripojenie. |
Obnovuje sa registrácia cloudovej služby. |
Registrácia do cloudových služieb bola zrušená. Prebieha obnova registrácie. |
Registrácia cloudovej služby bola zrušená. |
Registrácia do cloudových služieb bola ukončená. Služba sa vypína. |
Služba ešte nie je aktivovaná. |
Aktivujte HDS v Partner Hub. |
Nakonfigurovaná doména sa nezhoduje s certifikátom servera. |
Uistite sa, že váš certifikát servera sa zhoduje s nakonfigurovanou doménou aktivácie služby. Najpravdepodobnejšou príčinou je, že certifikát CN bol nedávno zmenený a teraz sa líši od CN, ktorý bol použitý počas počiatočného nastavenia. |
Nepodarilo sa overiť v cloudových službách. |
Skontrolujte presnosť a možné vypršanie platnosti poverení servisného účtu. |
Nepodarilo sa otvoriť súbor lokálneho úložiska kľúčov. |
Skontrolujte integritu a presnosť hesla v lokálnom súbore skladu kľúčov. |
Certifikát lokálneho servera je neplatný. |
Skontrolujte dátum vypršania platnosti certifikátu servera a potvrďte, že bol vydaný dôveryhodnou certifikačnou autoritou. |
Nie je možné uverejniť metriky. |
Skontrolujte prístup k lokálnej sieti k externým cloudovým službám. |
Adresár /media/configdrive/hds neexistuje. |
Skontrolujte konfiguráciu pripojenia ISO na virtuálnom hostiteľovi. Overte, či súbor ISO existuje, či je nakonfigurovaný na pripojenie pri reštarte a či sa úspešne pripojí. |
Nastavenie nájomnej organizácie pre pridané organizácie nie je dokončené |
Dokončite nastavenie vytvorením CMK pre novo pridané organizácie nájomníkov pomocou nástroja HDS Setup Tool. |
Nastavenie nájomnej organizácie pre odstránené organizácie nie je dokončené |
Dokončite nastavenie zrušením CMK organizácií nájomníkov, ktoré boli odstránené pomocou nástroja HDS Setup Tool. |
Riešenie problémov so zabezpečením hybridných údajov
1 |
Skontrolujte partnerské centrum pre všetky upozornenia a opravte všetky položky, ktoré tam nájdete. Pozrite si obrázok nižšie ako referenciu. |
2 |
Skontrolujte výstup servera syslog pre aktivitu z nasadenia Hybrid Data Security. Filtrujte slová ako „Upozornenie“ a „Chyba“, ktoré vám pomôžu pri riešení problémov. |
3 |
Kontaktujte podporu Cisco. |
Ďalšie poznámky
Známe problémy s hybridnou bezpečnosťou dát
-
Ak vypnete svoj klaster Hybrid Data Security (odstránením v Partner Hub alebo vypnutím všetkých uzlov), stratíte svoj konfiguračný súbor ISO alebo stratíte prístup k databáze úložiska kľúčov, používatelia aplikácií Webex zo zákazníckych organizácií už nebudú môcť používať priestory pod ich zoznam ľudí, ktorý bol vytvorený pomocou kľúčov z vášho KMS. V súčasnosti nemáme riešenie ani opravu tohto problému a žiadame vás, aby ste nevypínali svoje služby HDS, keď budú spracovávať aktívne používateľské účty.
-
Klient, ktorý má existujúce pripojenie ECDH ku KMS, udržiava toto pripojenie určitý čas (pravdepodobne jednu hodinu).
Na vygenerovanie súboru PKCS12 použite OpenSSL
Skôr ako začnete
-
OpenSSL je jeden nástroj, ktorý možno použiť na vytvorenie súboru PKCS12 v správnom formáte na načítanie v nástroji HDS Setup Tool. Existujú aj iné spôsoby, ako to urobiť, a my nepodporujeme ani nepresadzujeme jeden spôsob oproti druhému.
-
Ak sa rozhodnete použiť OpenSSL, poskytujeme tento postup ako návod, ktorý vám pomôže vytvoriť súbor, ktorý spĺňa požiadavky na certifikát X.509 v časti Požiadavky na certifikát X.509. Než budete pokračovať, pochopte tieto požiadavky.
-
Nainštalujte OpenSSL v podporovanom prostredí. Softvér a dokumentáciu nájdete v časti https://www.openssl.org .
-
Vytvorte si súkromný kľúč.
-
Tento postup začnite, keď dostanete certifikát servera od certifikačnej autority (CA).
1 |
Keď od svojej CA dostanete certifikát servera, uložte ho ako |
2 |
Zobrazte certifikát ako text a overte podrobnosti.
|
3 |
Pomocou textového editora vytvorte súbor balíka certifikátov s názvom
|
4 |
Vytvorte súbor .p12 s priateľským názvom
|
5 |
Skontrolujte podrobnosti certifikátu servera. |
Čo robiť ďalej
Vráťte sa na stránku Dokončenie predpokladov pre hybridné zabezpečenie údajov. V časti Vytvorenie konfiguračného ISO pre hostiteľov HDS použijete súbor hdsnode.p12
a heslo, ktoré ste preň nastavili.
Tieto súbory môžete znova použiť na vyžiadanie nového certifikátu, keď platnosť pôvodného certifikátu vyprší.
Prevádzka medzi uzlami HDS a cloudom
Odchádzajúca návštevnosť zberu metrík
Uzly Hybrid Data Security odosielajú určité metriky do cloudu Webex. Patria sem systémové metriky pre maximálnu haldu, využitú haldu, zaťaženie procesora a počet vlákien; metriky na synchrónnych a asynchrónnych vláknach; metriky výstrah zahŕňajúce prah šifrovacích pripojení, latenciu alebo dĺžku frontu požiadaviek; metriky na dátovom úložisku; a metriky šifrovaného pripojenia. Uzly posielajú zašifrovaný kľúčový materiál cez kanál mimo pásma (oddelený od požiadavky).
Prichádzajúca premávka
Uzly Hybrid Data Security prijímajú nasledujúce typy prichádzajúcej prevádzky z cloudu Webex:
-
Šifrovacie požiadavky od klientov, ktoré sú smerované šifrovacou službou
-
Aktualizácie softvéru uzla
Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát
Websocket sa nemôže pripojiť cez Squid Proxy
Servery proxy typu Squid, ktoré kontrolujú prenos HTTPS, môžu narúšať vytváranie pripojení websocket (wss:
), ktoré vyžaduje Hybrid Data Security. Tieto časti poskytujú návod, ako nakonfigurovať rôzne verzie Squid tak, aby ignorovali wss:
prevádzky pre správne fungovanie služieb.
Kalmáre 4 a 5
Pridajte on_unsupported_protocol
smernicu na stránku squid.conf
:
on_unsupported_protocol tunel všetko
Kalmáre 3.5.27
Úspešne sme testovali Hybrid Data Security pomocou nasledujúcich pravidiel pridaných na stránku squid.conf
. Tieto pravidlá sa môžu meniť, pretože vyvíjame funkcie a aktualizujeme cloud Webex.
acl wssMercuryConnection ssl::server_name_regex ortuťové pripojenie ssl_bump splice wssMercuryConnection acl krok1 at_step SslBump1 acl krok2 at_step SslBump2 acl krok3 at_step SslBump3 ssl_bump pohľad krok1 všetko ssl_bump pozerať krok2 všetko ssl_bump vyskočiť krok3 všetko
Nové a zmenené informácie
Nové a zmenené informácie
Táto tabuľka obsahuje nové funkcie alebo funkcie, zmeny existujúceho obsahu a všetky hlavné chyby, ktoré boli opravené v Príručke nasadenia pre multi-tenantovú hybridnú bezpečnosť údajov.
Dátum |
Vykonané zmeny |
---|---|
8. januára 2025 |
Do časti Vykonať úvodné nastavenie a prevziať inštalačné súbory bola pridaná poznámka, že kliknutie na položku Nastaviť na karte HDS v partnerskom centre je dôležitým krokom procesu inštalácie. |
7. januára 2025 |
Aktualizované Požiadavky na virtuálneho hostiteľa, Tok úloh nasadenia hybridného zabezpečenia údajov a Inštalácia hostiteľského OVA HDS , aby zobrazovali novú požiadavku ESXi 7.0. |
13. decembra 2024 |
Prvýkrát zverejnené. |
Deaktivujte hybridné zabezpečenie dát pre viacerých nájomníkov
Tok úloh deaktivácie HDS pre viacerých nájomníkov
Ak chcete úplne deaktivovať Multi-Tenant HDS, postupujte podľa týchto krokov.
Skôr ako začnete
1 |
Odstráňte všetkých zákazníkov zo všetkých svojich klastrov, ako je uvedené v časti Odstránenie organizácií nájomníkov. |
2 |
Zrušte CMK všetkých zákazníkov, ako je uvedené v časti Zrušenie CMK nájomníkov odstránených z HDS. |
3 |
Odstráňte všetky uzly zo všetkých klastrov, ako je uvedené v časti Odstránenie uzla. |
4 |
Odstráňte všetky svoje klastre z Partner Hub pomocou jednej z nasledujúcich dvoch metód.
|
5 |
Kliknite na kartu Nastavenia na stránke prehľadu Hybrid Data Security a kliknite na položku Deaktivovať HDS na karte Stav HDS. |
Začnite s Hybridným zabezpečením dát pre viacerých nájomníkov
Prehľad zabezpečenia hybridných dát pre viacerých nájomníkov
Od prvého dňa bola bezpečnosť údajov hlavným zameraním pri navrhovaní aplikácie Webex. Základným kameňom tohto zabezpečenia je komplexné šifrovanie obsahu, ktoré umožňujú klienti Webex App interagujúci so službou správy kľúčov (KMS). KMS je zodpovedný za vytváranie a správu kryptografických kľúčov, ktoré klienti používajú na dynamické šifrovanie a dešifrovanie správ a súborov.
V predvolenom nastavení dostávajú všetci zákazníci Webex App end-to-end šifrovanie s dynamickými kľúčmi uloženými v cloudovom KMS v oblasti bezpečnosti Cisco. Hybrid Data Security presúva KMS a ďalšie funkcie súvisiace so zabezpečením do vášho podnikového dátového centra, takže kľúče k vášmu šifrovanému obsahu nemá nikto okrem vás.
Multi-Tenant Hybrid Data Security umožňuje organizáciám využívať HDS prostredníctvom dôveryhodného miestneho partnera, ktorý môže pôsobiť ako poskytovateľ služieb a spravovať lokálne šifrovanie a ďalšie bezpečnostné služby. Toto nastavenie umožňuje partnerskej organizácii mať úplnú kontrolu nad nasadením a správou šifrovacích kľúčov a zaisťuje, že používateľské údaje zákazníckych organizácií sú v bezpečí pred externým prístupom. Partnerské organizácie podľa potreby nastavujú inštancie HDS a vytvárajú klastre HDS. Každá inštancia môže podporovať viacero zákazníckych organizácií na rozdiel od bežného nasadenia HDS, ktoré je obmedzené na jednu organizáciu.
To tiež umožňuje menším organizáciám využívať HDS, pretože službu správy kľúčov a bezpečnostnú infraštruktúru, ako sú dátové centrá, vlastní dôveryhodný miestny partner.
Ako Multi-Tenant Hybrid Data Security poskytuje dátovú suverenitu a kontrolu dát
- Obsah generovaný používateľmi je chránený pred externým prístupom, ako sú poskytovatelia cloudových služieb.
- Miestni dôveryhodní partneri spravujú šifrovacie kľúče zákazníkov, s ktorými už majú vybudovaný vzťah.
- Možnosť miestnej technickej podpory, ak ju poskytuje partner.
- Podporuje obsah stretnutí, správ a hovorov.
Tento dokument je zameraný na pomoc partnerským organizáciám pri nastavovaní a správe zákazníkov v rámci systému Multi-Tenant Hybrid Data Security.
Úlohy v hybridnej bezpečnosti dát pre viacerých nájomníkov
- Úplný správca partnera – môže spravovať nastavenia pre všetkých zákazníkov, ktorých partner spravuje. Môže tiež priradiť roly správcu existujúcim používateľom v organizácii a priradiť konkrétnych zákazníkov, ktorých majú spravovať správcovia partnerov.
- Správca partnera – môže spravovať nastavenia pre zákazníkov, ktorých správca poskytol alebo ktorí boli priradení používateľovi.
- Úplný správca – správca partnerskej organizácie, ktorý je oprávnený vykonávať úlohy, ako je úprava nastavení organizácie, správa licencií a prideľovanie rolí.
- Nastavenie HDS pre viacerých nájomníkov a správa všetkých zákazníckych organizácií od konca do konca – Vyžaduje sa úplný správca partnera a úplné práva správcu.
- Správa priradených organizácií nájomcov – vyžaduje sa správca partnera a úplné práva správcu.
Architektúra bezpečnostnej sféry
Cloudová architektúra Webex oddeľuje rôzne typy služieb do samostatných oblastí alebo dôveryhodných domén, ako je znázornené nižšie.
Aby sme lepšie porozumeli Hybrid Data Security, pozrime sa najprv na tento čistý cloud, kde Cisco poskytuje všetky funkcie vo svojich cloudových sférach. Služba identity, jediné miesto, kde môžu používatelia priamo korelovať so svojimi osobnými údajmi, ako je e-mailová adresa, je logicky a fyzicky oddelená od oblasti zabezpečenia v dátovom centre B. Obe sú zase oddelené od oblasti, kde je v konečnom dôsledku uložený šifrovaný obsah. , v dátovom centre C.
V tomto diagrame je klientom aplikácia Webex, ktorá beží na notebooku používateľa a je overená službou identity. Keď používateľ vytvorí správu na odoslanie do priestoru, vykonajú sa tieto kroky:
-
Klient vytvorí zabezpečené spojenie so službou správy kľúčov (KMS), potom požiada o kľúč na zašifrovanie správy. Zabezpečené pripojenie používa ECDH a KMS šifruje kľúč pomocou hlavného kľúča AES-256.
-
Správa je pred opustením klienta zašifrovaná. Klient ho odošle do indexovacej služby, ktorá vytvorí šifrované indexy vyhľadávania na pomoc pri budúcom vyhľadávaní obsahu.
-
Zašifrovaná správa sa odošle do služby súladu na kontrolu súladu.
-
Zašifrovaná správa je uložená v úložnej sfére.
Keď nasadíte Hybrid Data Security, presuniete funkcie bezpečnostnej sféry (KMS, indexovanie a súlad) do vášho lokálneho dátového centra. Ostatné cloudové služby, ktoré tvoria Webex (vrátane ukladania identity a obsahu), zostávajú v sférach spoločnosti Cisco.
Spolupráca s inými organizáciami
Používatelia vo vašej organizácii môžu pravidelne používať aplikáciu Webex na spoluprácu s externými účastníkmi v iných organizáciách. Keď jeden z vašich používateľov požaduje kľúč pre priestor, ktorý vlastní vaša organizácia (pretože ho vytvoril jeden z vašich používateľov), váš KMS odošle kľúč klientovi cez zabezpečený kanál ECDH. Keď však kľúč priestoru vlastní iná organizácia, váš KMS nasmeruje požiadavku do cloudu Webex cez samostatný kanál ECDH, aby získal kľúč z príslušného KMS, a potom vráti kľúč vášmu používateľovi na pôvodnom kanáli.
Služba KMS spustená v organizácii A overuje pripojenia ku KMS v iných organizáciách pomocou x.509 PKI certifikátov. Podrobnosti o generovaní certifikátu x.509 na použitie s nasadením Hybrid Data Security pre viacerých nájomníkov nájdete v časti Príprava prostredia .
Očakávania týkajúce sa nasadenia hybridnej bezpečnosti údajov
Nasadenie Hybrid Data Security si vyžaduje značné odhodlanie a uvedomenie si rizík, ktoré prináša vlastníctvo šifrovacích kľúčov.
Ak chcete nasadiť Hybrid Data Security, musíte poskytnúť:
-
Zabezpečené dátové centrum v krajine, ktorá je podporovaným miestom pre plány Cisco Webex Teams.
-
Vybavenie, softvér a sieťový prístup popísané v časti Príprava prostredia.
Úplná strata buď konfiguračného ISO, ktoré ste vytvorili pre Hybrid Data Security, alebo databázy, ktorú poskytnete, bude mať za následok stratu kľúčov. Strata kľúča bráni používateľom dešifrovať obsah priestoru a ďalšie šifrované údaje v aplikácii Webex. Ak sa tak stane, môžete vytvoriť nové nasadenie, ale bude viditeľný iba nový obsah. Aby ste predišli strate prístupu k údajom, musíte:
-
Spravujte zálohovanie a obnovu databázy a konfiguračného ISO.
-
Buďte pripravení vykonať rýchlu obnovu po havárii, ak dôjde ku katastrofe, ako je zlyhanie databázového disku alebo katastrofa dátového centra.
Neexistuje žiadny mechanizmus na presun kľúčov späť do cloudu po nasadení HDS.
Proces nastavenia na vysokej úrovni
Tento dokument pokrýva nastavenie a správu nasadenia Hybrid Data Security pre viacerých nájomníkov:
-
Nastavenie Hybrid Data Security – zahŕňa prípravu požadovanej infraštruktúry a inštaláciu softvéru Hybrid Data Security, vybudovanie klastra HDS, pridanie organizácií nájomníkov do klastra a správu ich hlavných kľúčov zákazníkov (CMK). To umožní všetkým používateľom vašich zákazníckych organizácií používať váš klaster Hybrid Data Security na bezpečnostné funkcie.
Fázy nastavenia, aktivácie a správy sú podrobne opísané v nasledujúcich troch kapitolách.
-
Udržujte svoje nasadenie Hybrid Data Security – cloud Webex automaticky poskytuje priebežné inovácie. Vaše IT oddelenie môže poskytnúť podporu prvej úrovne pre toto nasadenie a podľa potreby zapojiť podporu Cisco. V partnerskom centre môžete používať upozornenia na obrazovke a nastaviť upozornenia prostredníctvom e-mailu.
-
Pochopte bežné upozornenia, kroky na riešenie problémov a známe problémy – Ak narazíte na problémy s nasadením alebo používaním Hybrid Data Security, posledná kapitola tejto príručky a príloha Známe problémy vám môžu pomôcť určiť a vyriešiť problém.
Hybridný model nasadenia zabezpečenia dát
V rámci podnikového dátového centra nasadíte Hybrid Data Security ako jeden klaster uzlov na samostatných virtuálnych hostiteľoch. Uzly komunikujú s cloudom Webex cez zabezpečené websockety a zabezpečené HTTP.
Počas procesu inštalácie vám poskytneme súbor OVA na nastavenie virtuálneho zariadenia na VM, ktoré poskytnete. Nástroj HDS Setup Tool použijete na vytvorenie vlastného konfiguračného súboru ISO klastra, ktorý pripojíte na každý uzol. Klaster Hybrid Data Security využíva váš poskytnutý server Syslogd a databázu PostgreSQL alebo Microsoft SQL Server. (Syslogd a podrobnosti o pripojení k databáze nakonfigurujete v nástroji HDS Setup Tool.)
Minimálny počet uzlov, ktoré môžete mať v klastri, sú dva. Odporúčame aspoň tri na klaster. Viacnásobné uzly zaisťujú, že služba nebude prerušená počas aktualizácie softvéru alebo inej činnosti údržby na uzle. (Cloud Webex aktualizuje naraz iba jeden uzol.)
Všetky uzly v klastri pristupujú k rovnakému úložisku údajov kľúčov a zaznamenávajú aktivitu na rovnaký server syslog. Samotné uzly sú bez stavu a spracovávajú kľúčové požiadavky v režime round-robin podľa pokynov cloudu.
Uzly sa stanú aktívnymi, keď ich zaregistrujete v Partner Hub. Ak chcete vyradiť jednotlivý uzol z prevádzky, môžete ho zrušiť a neskôr v prípade potreby znova zaregistrovať.
Pohotovostné dátové centrum pre obnovu po havárii
Počas nasadenia nastavíte zabezpečené pohotovostné dátové centrum. V prípade havárie dátového centra môžete manuálne zlyhať nasadenie do pohotovostného dátového centra.
Databázy aktívnych a pohotovostných dátových centier sú navzájom synchronizované, čo minimalizuje čas potrebný na vykonanie núdzového prepnutia.
Aktívne uzly Hybrid Data Security musia byť vždy v rovnakom údajovom centre ako aktívny databázový server.
Podpora proxy
Hybrid Data Security podporuje explicitné, transparentné kontrolné a nekontrolujúce proxy. Tieto servery proxy môžete prepojiť s nasadením, aby ste mohli zabezpečiť a monitorovať prevádzku z podniku do cloudu. Rozhranie správcu platformy na uzloch môžete použiť na správu certifikátov a na kontrolu celkového stavu pripojenia po nastavení servera proxy na uzloch.
Uzly Hybrid Data Security podporujú nasledujúce možnosti proxy:
-
Bez servera proxy – predvolená hodnota, ak na integráciu servera proxy nepoužívate konfiguráciu dôveryhodného obchodu a servera proxy na nastavenie uzla HDS. Nevyžaduje sa žiadna aktualizácia certifikátu.
-
Transparentný nekontrolujúci proxy server – uzly nie sú nakonfigurované na používanie konkrétnej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.
-
Transparentné tunelovanie alebo kontrola servera proxy – uzly nie sú nakonfigurované na používanie konkrétnej adresy servera proxy. Na uzloch nie sú potrebné žiadne zmeny konfigurácie HTTP alebo HTTPS. Uzly však potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).
-
Explicitný server proxy – pomocou explicitného servera proxy poviete uzlom HDS, ktorý server proxy a schému overenia majú použiť. Ak chcete nakonfigurovať explicitný server proxy, musíte do každého uzla zadať nasledujúce informácie:
-
Proxy IP/FQDN – adresa, ktorú možno použiť na spojenie so zariadením proxy.
-
Port proxy – číslo portu, ktoré server proxy používa na počúvanie prenosu cez server proxy.
-
Protokol proxy – v závislosti od toho, čo váš server proxy podporuje, si vyberte z nasledujúcich protokolov:
-
HTTP – zobrazuje a riadi všetky požiadavky, ktoré klient odosiela.
-
HTTPS – poskytuje kanál pre server. Klient prijme a overí certifikát servera.
-
-
Typ overenia totožnosti – vyberte si z nasledujúcich typov overenia totožnosti:
-
Žiadne – nevyžaduje sa žiadne ďalšie overenie.
Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.
-
Základné – používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.
Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.
Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.
-
Súhrn – používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.
Dostupné, iba ak vyberiete HTTPS ako protokol proxy.
Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.
-
-
Príklad uzlov na zabezpečenie hybridných dát a proxy
Tento diagram ukazuje príklad spojenia medzi Hybrid Data Security, sieťou a proxy. Pre možnosti transparentnej kontroly a explicitnej kontroly HTTPS musí byť na serveri proxy a na uzloch Hybrid Data Security nainštalovaný rovnaký koreňový certifikát.
Blokovaný režim externého rozlíšenia DNS (explicitné konfigurácie proxy)
Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. V nasadeniach s explicitnými konfiguráciami proxy, ktoré neumožňujú externé rozlíšenie DNS pre interných klientov, ak uzol nemôže dotazovať servery DNS, automaticky prejde do režimu blokovaného externého riešenia DNS. V tomto režime môže pokračovať registrácia uzla a ďalšie testy pripojenia proxy.
Príprava prostredia
Požiadavky na hybridnú bezpečnosť dát pre viacerých nájomníkov
Požiadavky na licenciu Cisco Webex
Ak chcete nasadiť hybridné zabezpečenie dát pre viacerých nájomníkov:
-
Partnerské organizácie: Kontaktujte svojho partnera Cisco alebo správcu účtu a uistite sa, že je povolená funkcia viacerých nájomníkov.
-
Nájomné organizácie: Musíte mať balík Pro Pack pre Cisco Webex Control Hub. (Pozrite si https://www.cisco.com/go/pro-pack.)
Požiadavky na plochu Docker
Pred inštaláciou uzlov HDS potrebujete Docker Desktop na spustenie inštalačného programu. Docker nedávno aktualizoval svoj licenčný model. Vaša organizácia môže vyžadovať platené predplatné pre Docker Desktop. Podrobnosti nájdete v blogovom príspevku Docker „ Docker aktualizuje a rozširuje naše predplatné produktov“.
Požiadavky na certifikát X.509
Certifikačný reťazec musí spĺňať nasledujúce požiadavky:
Požiadavka |
Podrobnosti |
---|---|
|
V predvolenom nastavení dôverujeme CA v zozname Mozilly (s výnimkou WoSign a StartCom) na https://wiki.mozilla.org/CA:IncludedCAs. |
|
CN nemusí byť dosiahnuteľné alebo živého hostiteľa. Odporúčame vám použiť názov, ktorý zodpovedá vašej organizácii, napríklad KN nesmie obsahovať * (zástupný znak). CN sa používa na overenie uzlov Hybrid Data Security pre klientov Webex App. Všetky uzly Hybrid Data Security vo vašom klastri používajú rovnaký certifikát. Váš KMS sa identifikuje pomocou domény CN, nie akejkoľvek domény, ktorá je definovaná v poliach x.509v3 SAN. Po zaregistrovaní uzla s týmto certifikátom nepodporujeme zmenu názvu domény CN. |
|
Softvér KMS nepodporuje podpisy SHA1 na overenie pripojení k KMS iných organizácií. |
|
Na zmenu formátu certifikátu môžete použiť konvertor, ako je OpenSSL. Pri spustení nástroja HDS Setup Tool budete musieť zadať heslo. |
Softvér KMS nevynucuje používanie kľúčov ani rozšírené obmedzenia používania kľúčov. Niektoré certifikačné autority vyžadujú, aby sa na každý certifikát aplikovali rozšírené obmedzenia používania kľúčov, ako je autentifikácia servera. Je v poriadku použiť overenie servera alebo iné nastavenia.
Požiadavky na virtuálny hostiteľ
Virtuálni hostitelia, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri, majú nasledujúce požiadavky:
-
Aspoň dvaja oddelení hostitelia (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre
-
VMware ESXi 7.0 (alebo novší) nainštalovaný a spustený.
Ak máte staršiu verziu ESXi, musíte vykonať inováciu.
-
Minimálne 4 vCPU, 8 GB hlavnej pamäte, 30 GB miesta na lokálnom pevnom disku na server
Požiadavky na databázový server
Vytvorte novú databázu pre uloženie kľúčov. Nepoužívajte predvolenú databázu. Aplikácie HDS, keď sú nainštalované, vytvoria schému databázy.
Pre databázový server sú dve možnosti. Požiadavky na každú z nich sú nasledovné:
PostgreSQL |
Microsoft SQL Server |
---|---|
|
|
Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložisko) |
Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložisko) |
Softvér HDS momentálne inštaluje nasledujúce verzie ovládačov na komunikáciu s databázovým serverom:
PostgreSQL |
Microsoft SQL Server |
---|---|
Postgres JDBC ovládač 42.2.5 |
Ovládač SQL Server JDBC 4.6 Táto verzia ovládača podporuje server SQL Server Always On (Inštancie klastra prepnutia pri zlyhaní a skupiny dostupnosti Vždy zapnuté). |
Dodatočné požiadavky na overenie systému Windows voči Microsoft SQL Server
Ak chcete, aby uzly HDS používali autentifikáciu systému Windows na získanie prístupu k vašej databáze úložiska kľúčov na serveri Microsoft SQL Server, potrebujete vo svojom prostredí nasledujúcu konfiguráciu:
-
HDS uzly, infraštruktúra Active Directory a MS SQL Server musia byť synchronizované s NTP.
-
Účet Windows, ktorý poskytnete uzlom HDS, musí mať prístup k databáze na čítanie/zápis.
-
Servery DNS, ktoré poskytujete uzlom HDS, musia byť schopné vyriešiť vaše Centrum distribúcie kľúčov (KDC).
-
Inštanciu databázy HDS môžete zaregistrovať na svojom serveri Microsoft SQL Server ako hlavný názov služby (SPN) vo vašom adresári Active Directory. Pozrite si časť Registrácia hlavného názvu služby pre pripojenia Kerberos.
Nástroj na nastavenie HDS, spúšťač HDS a miestne KMS musia na prístup k databáze kľúčov používať overenie systému Windows. Používajú podrobnosti z vašej konfigurácie ISO na vytvorenie SPN pri požadovaní prístupu s overením Kerberos.
Požiadavky na externé pripojenie
Nakonfigurujte svoj firewall tak, aby umožňoval nasledujúce pripojenie pre aplikácie HDS:
Aplikácia |
Protokol |
Port |
Smer z App |
Cieľ |
---|---|---|---|---|
Hybridné uzly zabezpečenia údajov |
TCP |
443 |
Odchádzajúce HTTPS a WSS |
|
Nástroj na nastavenie HDS |
TCP |
443 |
Odchádzajúce HTTPS |
|
Uzly Hybrid Data Security pracujú s prekladom sieťového prístupu (NAT) alebo za bránou firewall, pokiaľ NAT alebo brána firewall umožňuje požadované odchádzajúce pripojenia k destináciám domény v predchádzajúcej tabuľke. Pre pripojenia prichádzajúce do uzlov Hybrid Data Security by nemali byť z internetu viditeľné žiadne porty. V rámci vášho dátového centra potrebujú klienti prístup k uzlom Hybrid Data Security na portoch TCP 443 a 22 na administratívne účely.
Adresy URL hostiteľov Common Identity (CI) sú špecifické pre daný región. Toto sú súčasní hostitelia CI:
región |
Spoločné adresy URL hostiteľa identity |
---|---|
Ameriky |
|
Európskej únie |
|
Kanada |
|
Singapur |
|
Spojené arabské emiráty |
|
Požiadavky na proxy server
-
Oficiálne podporujeme nasledujúce proxy riešenia, ktoré sa dajú integrovať s vašimi uzlami Hybrid Data Security.
-
Transparentný proxy – Cisco Web Security Appliance (WSA).
-
Explicitný proxy-Squid.
Squid proxy, ktoré kontrolujú prenos HTTPS, môžu narúšať vytváranie pripojení websocket (wss:). Ak chcete tento problém vyriešiť, prečítajte si časť Konfigurácia serverov proxy Squid pre hybridné zabezpečenie údajov.
-
-
Pre explicitné servery proxy podporujeme nasledujúce kombinácie typov overenia:
-
Žiadna autentifikácia pomocou HTTP alebo HTTPS
-
Základná autentifikácia pomocou HTTP alebo HTTPS
-
Digest overenie iba s HTTPS
-
-
Pre transparentný kontrolný proxy server alebo explicitný proxy server HTTPS musíte mať kópiu koreňového certifikátu servera proxy. Pokyny na nasadenie v tejto príručke vám povedia, ako nahrať kópiu do dôveryhodných obchodov uzlov Hybrid Data Security.
-
Sieť, ktorá hostí uzly HDS, musí byť nakonfigurovaná tak, aby vynútila smerovanie odchádzajúcej prevádzky TCP na porte 443 cez server proxy.
-
Proxy, ktoré kontrolujú webovú prevádzku, môžu narúšať pripojenia webových soketov. Ak sa vyskytne tento problém, problém vyrieši obídenie (nie kontrola) návštevnosti stránok
wbx2.com
aciscospark.com
.
Vyplňte Predpoklady pre hybridnú bezpečnosť údajov
1 |
Uistite sa, že vaša partnerská organizácia má povolenú funkciu Multi-Tenant HDS a získajte prihlasovacie údaje účtu s úplným správcom partnera a plnými právami správcu. Uistite sa, že vaša organizácia zákazníkov Webex má povolený balík Pro Pack pre Cisco Webex Control Hub. Ak potrebujete pomoc s týmto procesom, kontaktujte svojho partnera Cisco alebo account manažéra. Zákaznícke organizácie by nemali mať žiadne existujúce nasadenie HDS. |
2 |
Vyberte názov domény pre svoje nasadenie HDS (napríklad |
3 |
Pripravte si identických virtuálnych hostiteľov, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri. Potrebujete aspoň dvoch samostatných hostiteľov (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre, ktorí spĺňajú požiadavky v časti Požiadavky na virtuálneho hostiteľa. |
4 |
Pripravte databázový server, ktorý bude fungovať ako úložisko kľúčových údajov pre klaster, v súlade s požiadavkami na databázový server. Databázový server musí byť umiestnený v zabezpečenom údajovom centre spolu s virtuálnymi hostiteľmi. |
5 |
Pre rýchlu obnovu po havárii nastavte zálohovacie prostredie v inom dátovom centre. Zálohovacie prostredie odzrkadľuje produkčné prostredie VM a záložný databázový server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM. |
6 |
Nastavte hostiteľa syslog na zhromažďovanie protokolov z uzlov v klastri. Získajte jeho sieťovú adresu a port syslog (predvolené je UDP 514). |
7 |
Vytvorte politiku bezpečného zálohovania pre uzly Hybrid Data Security, databázový server a hostiteľa syslog. Aby ste predišli nenapraviteľnej strate údajov, musíte minimálne zálohovať databázu a konfiguračný súbor ISO vygenerovaný pre uzly Hybrid Data Security. Keďže uzly Hybrid Data Security ukladajú kľúče používané na šifrovanie a dešifrovanie obsahu, zlyhanie prevádzkyschopného nasadenia bude mať za následok NEOBNOVITEĽNÚ STRATU tohto obsahu. Klienti Webex App ukladajú svoje kľúče do vyrovnávacej pamäte, takže výpadok nemusí byť okamžite viditeľný, ale časom sa prejaví. Zatiaľ čo dočasným výpadkom nie je možné zabrániť, sú obnoviteľné. Úplná strata (nie sú k dispozícii žiadne zálohy) databázy alebo konfiguračného ISO súboru však bude mať za následok neobnoviteľné zákaznícke údaje. Od operátorov uzlov Hybrid Data Security sa očakáva, že budú pravidelne zálohovať databázu a konfiguračný súbor ISO a budú pripravení na prestavbu dátového centra Hybrid Data Security, ak dôjde ku katastrofálnej poruche. |
8 |
Uistite sa, že konfigurácia brány firewall umožňuje pripojenie pre uzly Hybrid Data Security, ako je uvedené v časti Požiadavky na externé pripojenie. |
9 |
Nainštalujte Docker ( https://www.docker.com) na ľubovoľný lokálny počítač s podporovaným operačným systémom (Microsoft Windows 10 Professional alebo Enterprise 64-bitový alebo Mac OSX Yosemite 10.10.3 alebo novší) pomocou webového prehliadača, ktorý k nemu má prístup na adrese http://127.0.0.1:8080. Inštanciu Docker použijete na stiahnutie a spustenie nástroja HDS Setup Tool, ktorý vytvorí informácie o lokálnej konfigurácii pre všetky uzly Hybrid Data Security. Možno budete potrebovať licenciu Docker Desktop. Ďalšie informácie nájdete v časti Požiadavky na pracovnú plochu Docker . Ak chcete nainštalovať a spustiť nástroj HDS Setup Tool, miestny počítač musí mať pripojenie uvedené v časti Požiadavky na externé pripojenie. |
10 |
Ak integrujete server proxy so službou Hybrid Data Security, uistite sa, že spĺňa požiadavky na server proxy. |
Nastavte klaster Hybrid Data Security
Tok úloh nasadenia zabezpečenia hybridných údajov
1 |
Vykonajte počiatočné nastavenie a stiahnite inštalačné súbory Stiahnite si súbor OVA na váš lokálny počítač pre neskoršie použitie. |
2 |
Vytvorte ISO konfigurácie pre hostiteľov HDS Pomocou nástroja HDS Setup Tool vytvorte konfiguračný súbor ISO pre uzly Hybrid Data Security. |
3 |
Vytvorte virtuálny počítač zo súboru OVA a vykonajte počiatočnú konfiguráciu, ako sú nastavenia siete. Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 7.0. Táto možnosť nemusí byť dostupná v starších verziách. |
4 |
Nastavte virtuálny počítač Hybrid Data Security Prihláste sa do konzoly VM a nastavte prihlasovacie poverenia. Nakonfigurujte sieťové nastavenia pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA. |
5 |
Nahrajte a pripojte ISO konfiguráciu HDS Nakonfigurujte VM z konfiguračného súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool. |
6 |
Nakonfigurujte uzol HDS na integráciu proxy Ak sieťové prostredie vyžaduje konfiguráciu servera proxy, zadajte typ servera proxy, ktorý použijete pre uzol, a v prípade potreby pridajte certifikát servera proxy do dôveryhodného úložiska. |
7 |
Zaregistrujte prvý uzol v klastri Zaregistrujte VM v cloude Cisco Webex ako uzol Hybrid Data Security. |
8 |
Vytvorte a zaregistrujte viac uzlov Dokončite nastavenie klastra. |
9 |
Aktivujte si Multi-Tenant HDS na Partner Hub. Aktivujte si HDS a spravujte organizácie nájomníkov na Partner Hub. |
Vykonajte počiatočné nastavenie a stiahnite inštalačné súbory
V tejto úlohe stiahnete súbor OVA do svojho počítača (nie na servery, ktoré ste nastavili ako uzly Hybrid Data Security). Tento súbor použijete neskôr v procese inštalácie.
1 |
Prihláste sa do Partnerského centra a potom kliknite na položku Služby. |
2 |
V časti Cloudové služby nájdite kartu Hybrid Data Security a kliknite na tlačidlo Nastaviť. Pre proces nasadenia je rozhodujúce kliknutie na položku Nastaviť v partnerskom centre. Nepokračujte v inštalácii bez dokončenia tohto kroku. |
3 |
Kliknite na položku Pridať zdroj a kliknite na položku Prevziať súbor .OVA na karte Inštalovať a konfigurovať softvér . Staršie verzie softvérového balíka (OVA) nebudú kompatibilné s najnovšími aktualizáciami Hybrid Data Security. To môže viesť k problémom pri inovácii aplikácie. Uistite sa, že ste si stiahli najnovšiu verziu súboru OVA. OVA si tiež môžete kedykoľvek stiahnuť zo sekcie Pomocník . Kliknite na položky . Súbor OVA sa začne automaticky sťahovať. Uložte súbor na miesto v počítači.
|
4 |
Voliteľne kliknite na položku Zobraziť príručku nasadenia hybridného zabezpečenia údajov a skontrolujte, či je k dispozícii novšia verzia tejto príručky. |
Vytvorte ISO konfigurácie pre hostiteľov HDS
Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.
Skôr ako začnete
-
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými administrátorskými právami.
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker v kroku 5 nižšie zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:
-
Databázové poverenia
-
Aktualizácie certifikátov
-
Zmeny v politike autorizácie
-
-
Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.
1 |
Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať. | ||||||||||
2 |
Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce: | ||||||||||
3 |
Pri výzve na zadanie hesla zadajte tento hash: | ||||||||||
4 |
Stiahnite si najnovší stabilný obraz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: | ||||||||||
5 |
Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:
Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“. | ||||||||||
6 |
Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 . Pomocou webového prehliadača prejdite na localhost, Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie. | ||||||||||
7 |
Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia správcu Partner Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre Hybrid Data Security. | ||||||||||
8 |
Na stránke prehľadu nástroja Setup kliknite na položku Začíname. | ||||||||||
9 |
Na stránke Import ISO máte tieto možnosti:
| ||||||||||
10 |
Skontrolujte, či váš certifikát X.509 spĺňa požiadavky uvedené v časti Požiadavky na certifikát X.509.
| ||||||||||
11 |
Zadajte databázovú adresu a účet pre HDS, aby ste získali prístup k vášmu úložisku kľúčových údajov: | ||||||||||
12 |
Vyberte Režim pripojenia databázy TLS:
Keď odovzdáte koreňový certifikát (ak je to potrebné) a kliknete na tlačidlo Pokračovať, nástroj HDS Setup Tool otestuje pripojenie TLS k databázovému serveru. Nástroj tiež overuje podpisovateľa certifikátu a názov hostiteľa, ak je to potrebné. Ak test zlyhá, nástroj zobrazí chybové hlásenie s popisom problému. Môžete si vybrať, či chcete chybu ignorovať a pokračovať v nastavovaní. (Vzhľadom na rozdiely v konektivite môžu byť uzly HDS schopné vytvoriť pripojenie TLS, aj keď ho zariadenie HDS Setup Tool nedokáže úspešne otestovať.) | ||||||||||
13 |
Na stránke Systémové denníky nakonfigurujte svoj server Syslogd: | ||||||||||
14 |
(Voliteľné) Predvolenú hodnotu niektorých parametrov pripojenia k databáze môžete zmeniť v časti Rozšírené nastavenia. Vo všeobecnosti je tento parameter jediný, ktorý možno budete chcieť zmeniť: | ||||||||||
15 |
Kliknite na tlačidlo Pokračovať na obrazovke Obnoviť heslo servisných účtov . Heslá k servisným účtom majú životnosť deväť mesiacov. Túto obrazovku použite, keď sa blíži koniec platnosti vašich hesiel alebo ich chcete resetovať, aby ste zrušili platnosť predchádzajúcich súborov ISO. | ||||||||||
16 |
Kliknite na položku Prevziať súbor ISO. Uložte súbor na miesto, ktoré sa dá ľahko nájsť. | ||||||||||
17 |
Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. | ||||||||||
18 |
Ak chcete vypnúť inštalačný nástroj, napíšte |
Čo robiť ďalej
Zálohujte konfiguračný súbor ISO. Potrebujete ho na vytvorenie ďalších uzlov na obnovu alebo na vykonanie zmien v konfigurácii. Ak stratíte všetky kópie súboru ISO, stratili ste aj hlavný kľúč. Obnovenie kľúčov z databázy PostgreSQL alebo Microsoft SQL Server nie je možné.
Nikdy nemáme kópiu tohto kľúča a nemôžeme vám pomôcť, ak ho stratíte.
Nainštalujte HDS Host OVA
1 |
Na prihlásenie do virtuálneho hostiteľa ESXi použite klienta VMware vSphere na vašom počítači. |
2 |
Vyberte položku Súbor > Nasadiť šablónu OVF. |
3 |
V sprievodcovi zadajte umiestnenie súboru OVA, ktorý ste prevzali predtým, a potom kliknite na tlačidlo Ďalej. |
4 |
Na stránke Vyberte názov a priečinok zadajte Názov virtuálneho počítača pre uzol (napríklad „HDS_Node_1“) a vyberte umiestnenie, kde nasadenie uzla virtuálneho počítača sa môže nachádzať a potom kliknite na tlačidlo Ďalej. |
5 |
Na stránke Vyberte výpočtový zdroj vyberte cieľový výpočtový zdroj a potom kliknite na tlačidlo Ďalej. Prebehne overovacia kontrola. Po dokončení sa zobrazia podrobnosti šablóny. |
6 |
Overte podrobnosti šablóny a potom kliknite na tlačidlo Ďalej. |
7 |
Ak sa zobrazí výzva na výber konfigurácie prostriedkov na stránke Konfigurácia , kliknite na položku 4 CPU a potom kliknite na tlačidlo Ďalej. |
8 |
Na stránke Vybrať úložisko kliknite na tlačidlo Ďalej , čím prijmete predvolený formát disku a pravidlá úložiska VM. |
9 |
Na stránke Vybrať siete vyberte sieťovú možnosť zo zoznamu položiek, aby ste poskytli požadované pripojenie k virtuálnemu počítaču. |
10 |
Na stránke Prispôsobiť šablónu nakonfigurujte nasledujúce nastavenia siete:
Ak chcete, môžete preskočiť konfiguráciu nastavenia siete a podľa krokov v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov nakonfigurujte nastavenia z konzoly uzla. Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 7.0. Táto možnosť nemusí byť dostupná v starších verziách. |
11 |
Kliknite pravým tlačidlom myši na uzol VM a potom vyberte položky .Softvér Hybrid Data Security je nainštalovaný ako hosť na hostiteľovi VM. Teraz ste pripravení prihlásiť sa do konzoly a nakonfigurovať uzol. Tipy na riešenie problémov Môžete zaznamenať oneskorenie niekoľkých minút, kým sa kontajnery uzlov objavia. Počas prvého spustenia, počas ktorého sa nemôžete prihlásiť, sa na konzole zobrazí správa brány firewall mosta. |
Nastavte virtuálny počítač Hybrid Data Security
Tento postup použite na prvé prihlásenie do konzoly VM uzla Hybrid Data Security a nastavenie prihlasovacích poverení. Konzolu môžete použiť aj na konfiguráciu sieťových nastavení pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.
1 |
V klientovi VMware vSphere vyberte svoj uzol Hybrid Data Security VM a vyberte kartu Konzola . VM sa spustí a zobrazí sa výzva na prihlásenie. Ak sa výzva na prihlásenie nezobrazí, stlačte kláves Enter.
|
2 |
Na prihlásenie a zmenu poverení použite nasledujúce predvolené prihlasovacie meno a heslo: Keďže sa do svojho VM prihlasujete prvýkrát, musíte zmeniť heslo správcu. |
3 |
Ak ste už nakonfigurovali nastavenia siete v časti Inštalácia hostiteľa HDS OVA, preskočte zvyšok tohto postupu. V opačnom prípade vyberte v hlavnej ponuke možnosť Upraviť konfiguráciu . |
4 |
Nastavte statickú konfiguráciu s IP adresou, maskou, bránou a informáciami DNS. Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované. |
5 |
(Voliteľné) Zmeňte názov hostiteľa, doménu alebo server(y) NTP, ak je to potrebné, aby zodpovedali zásadám vašej siete. Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509. |
6 |
Uložte konfiguráciu siete a reštartujte VM, aby sa zmeny prejavili. |
Nahrajte a pripojte ISO konfiguráciu HDS
Skôr ako začnete
Pretože súbor ISO obsahuje hlavný kľúč, mal by byť zverejnený iba na základe „potreby vedieť“, aby k nemu mali prístup virtuálne počítače s hybridným zabezpečením údajov a všetci správcovia, ktorí môžu potrebovať vykonať zmeny. Uistite sa, že k úložisku údajov majú prístup iba títo správcovia.
1 |
Nahrajte súbor ISO z počítača: |
2 |
Pripojte súbor ISO: |
Čo robiť ďalej
Ak to vyžaduje vaša politika IT, môžete voliteľne odpojiť súbor ISO po tom, čo všetky vaše uzly prevezmú zmeny konfigurácie. Podrobnosti nájdete v časti (Voliteľné) Odpojenie ISO po konfigurácii HDS .
Nakonfigurujte uzol HDS na integráciu proxy
Ak sieťové prostredie vyžaduje server proxy, použite tento postup na určenie typu servera proxy, ktorý chcete integrovať s Hybrid Data Security. Ak si vyberiete transparentný kontrolný proxy server alebo explicitný proxy server HTTPS, môžete použiť rozhranie uzla na nahranie a inštaláciu koreňového certifikátu. Môžete tiež skontrolovať pripojenie proxy z rozhrania a vyriešiť prípadné problémy.
Skôr ako začnete
-
Prehľad podporovaných možností servera proxy nájdete v časti Podpora servera proxy .
1 |
Do webového prehliadača zadajte adresu URL nastavenia uzla HDS |
2 |
Prejdite na stránku Trust Store & Proxy a potom vyberte jednu z možností:
Postupujte podľa nasledujúcich krokov pre transparentný kontrolný proxy server, explicitný proxy server HTTP so základným overením alebo explicitný proxy HTTPS. |
3 |
Kliknite na položku Odovzdať koreňový certifikát alebo certifikát ukončenia entity a potom prejdite na výber koreňového certifikátu pre server proxy. Certifikát je nahraný, ale ešte nie je nainštalovaný, pretože na inštaláciu certifikátu musíte reštartovať uzol. Ak chcete získať ďalšie podrobnosti, kliknite na šípku so šípkou vedľa názvu vydavateľa certifikátu. Ak ste urobili chybu a chcete súbor nahrať znova, kliknite na tlačidlo Odstrániť . |
4 |
Kliknutím na položku Skontrolovať pripojenie proxy otestujete sieťové pripojenie medzi uzlom a serverom proxy. Ak test pripojenia zlyhá, zobrazí sa chybové hlásenie, ktoré uvádza dôvod a spôsob, ako môžete problém vyriešiť. Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS. Tento stav sa očakáva v mnohých explicitných konfiguráciách proxy. Môžete pokračovať v nastavovaní a uzol bude fungovať v režime zablokovaného externého rozlíšenia DNS. Ak si myslíte, že ide o chybu, vykonajte tieto kroky a potom si pozrite časť Vypnutie režimu zablokovaného externého rozlíšenia DNS. |
5 |
Po úspešnom teste pripojenia pre explicitný server proxy nastavený iba na https zapnite prepínač na možnosť Smerovať všetky požiadavky protokolu https z tohto uzla na port 443/444 cez explicitný server proxy. Toto nastavenie sa prejaví po 15 sekundách. |
6 |
Kliknite na položku Inštalovať všetky certifikáty do dôveryhodného úložiska (zobrazí sa pri explicitnom serveri proxy HTTPS alebo transparentnom kontrolnom serveri proxy) alebo Reštartovať (zobrazí sa pri explicitnom serveri proxy HTTP), prečítajte si výzvu a potom kliknite na tlačidlo Inštalovať , ak ste pripravení. Uzol sa reštartuje v priebehu niekoľkých minút. |
7 |
Keď sa uzol reštartuje, v prípade potreby sa znova prihláste a potom otvorte stránku Prehľad a skontrolujte kontroly pripojenia, aby ste sa uistili, že sú všetky v zelenom stave. Kontrola pripojenia proxy testuje iba subdoménu webex.com. Ak sa vyskytnú problémy s pripojením, bežným problémom je, že niektoré z cloudových domén uvedených v pokynoch na inštaláciu sú na serveri proxy blokované. |
Zaregistrujte prvý uzol v klastri
Keď zaregistrujete svoj prvý uzol, vytvoríte klaster, ku ktorému je uzol priradený. Klaster obsahuje jeden alebo viac uzlov nasadených na zabezpečenie redundancie.
Skôr ako začnete
-
Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.
-
Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.
1 |
Prihláste sa do https://admin.webex.com. |
2 |
V ponuke na ľavej strane obrazovky vyberte položku Služby. |
3 |
V časti Cloudové služby nájdite kartu Hybrid Data Security a kliknite na tlačidlo Nastaviť. |
4 |
Na stránke, ktorá sa otvorí, kliknite na položku Pridať zdroj. |
5 |
Do prvého poľa na karte Pridať uzol zadajte názov klastra, ktorému chcete priradiť uzol Hybrid Data Security. Odporúčame pomenovať klaster podľa toho, kde sa geograficky nachádzajú uzly klastra. Príklady: „San Francisco“ alebo „New York“ alebo „Dallas“ |
6 |
Do druhého poľa zadajte internú adresu IP alebo úplný názov domény (FQDN) svojho uzla a kliknite na tlačidlo Pridať v dolnej časti obrazovky. Táto adresa IP alebo FQDN by sa mala zhodovať s adresou IP alebo názvom hostiteľa a doménou, ktoré ste použili v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov. Zobrazí sa správa, že môžete zaregistrovať svoj uzol do Webexu.
|
7 |
Kliknite na položku Prejsť do uzla. Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že svojej organizácii Webex chcete udeliť povolenia na prístup k vášmu uzlu. |
8 |
Začiarknite políčko Povoliť prístup k vášmu uzlu zabezpečenia hybridných údajov a potom kliknite na tlačidlo Pokračovať. Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
|
9 |
Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Hybrid Data Security partnerského centra. Na stránke Hybrid Data Security sa nový klaster obsahujúci uzol, ktorý ste zaregistrovali, zobrazí na karte Prostriedky . Uzol si automaticky stiahne najnovší softvér z cloudu.
|
Vytvorte a zaregistrujte viac uzlov
Skôr ako začnete
-
Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.
-
Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.
1 |
Vytvorte nový virtuálny počítač z OVA zopakovaním krokov v časti Inštalácia hostiteľského OVA HDS. |
2 |
Nastavte úvodnú konfiguráciu na novom virtuálnom počítači zopakovaním krokov v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov. |
3 |
Na novom virtuálnom počítači zopakujte kroky v časti Odovzdanie a pripojenie ISO konfigurácie HDS. |
4 |
Ak nastavujete server proxy pre svoje nasadenie, zopakujte kroky v časti Konfigurácia uzla HDS na integráciu servera proxy podľa potreby pre nový uzol. |
5 |
Zaregistrujte uzol. |
Spravujte organizácie nájomníkov na hybridnom zabezpečení dát pre viacerých nájomníkov
Aktivujte si Multi-Tenant HDS na Partner Hub
Táto úloha zaisťuje, že všetci používatelia zákazníckych organizácií môžu začať využívať HDS pre lokálne šifrovacie kľúče a ďalšie bezpečnostné služby.
Skôr ako začnete
Uistite sa, že ste dokončili nastavenie klastra Multi-Tenant HDS s požadovaným počtom uzlov.
1 |
Prihláste sa do https://admin.webex.com. |
2 |
V ponuke na ľavej strane obrazovky vyberte položku Služby. |
3 |
V časti Cloudové služby vyhľadajte Hybrid Data Security a kliknite na položku Upraviť nastavenia. |
4 |
Kliknite na položku Aktivovať HDS na karte Stav HDS . |
Pridajte organizácie nájomníkov v partnerskom centre
V tejto úlohe priradíte zákaznícke organizácie k vášmu Hybrid Data Security Cluster.
1 |
Prihláste sa do https://admin.webex.com. |
2 |
V ponuke na ľavej strane obrazovky vyberte položku Služby. |
3 |
V sekcii Cloudové služby nájdite Hybrid Data Security a kliknite na položku Zobraziť všetko. |
4 |
Kliknite na klaster, ku ktorému chcete priradiť zákazníka. |
5 |
Prejdite na kartu Priradení zákazníci . |
6 |
Kliknite na položku Pridať zákazníkov. |
7 |
Z rozbaľovacej ponuky vyberte zákazníka, ktorého chcete pridať. |
8 |
Kliknite na tlačidlo Pridať, zákazník bude pridaný do klastra. |
9 |
Ak chcete do svojho klastra pridať viacerých zákazníkov, zopakujte kroky 6 až 8. |
10 |
Po pridaní zákazníkov kliknite na tlačidlo Hotovo v dolnej časti obrazovky. |
Čo robiť ďalej
Vytvorte hlavné kľúče zákazníka (CMK) pomocou nástroja HDS Setup
Skôr ako začnete
Priraďte zákazníkov do príslušného klastra, ako je podrobne uvedené v časti Pridanie organizácií nájomníkov do centra partnerov. Spustite nástroj HDS Setup a dokončite proces nastavenia pre novo pridané zákaznícke organizácie.
-
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými administrátorskými právami pre vašu organizáciu.
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker v kroku 5 zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:
-
Databázové poverenia
-
Aktualizácie certifikátov
-
Zmeny v politike autorizácie
-
-
Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.
Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.
1 |
Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať. |
2 |
Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce: |
3 |
Pri výzve na zadanie hesla zadajte tento hash: |
4 |
Stiahnite si najnovší stabilný obraz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: |
5 |
Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:
Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“. |
6 |
Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 . Pomocou webového prehliadača prejdite na localhost, Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie. |
7 |
Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia správcu Partner Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre Hybrid Data Security. |
8 |
Na stránke prehľadu nástroja Setup kliknite na položku Začíname. |
9 |
Na stránke Import ISO kliknite na tlačidlo Áno. |
10 |
Vyberte súbor ISO v prehliadači a nahrajte ho. Ak chcete vykonávať správu CMK, zaistite pripojenie k databáze. |
11 |
Prejdite na kartu Správa CMK nájomcov , kde nájdete nasledujúce tri spôsoby správy CMK nájomcov.
|
12 |
Po úspešnom vytvorení CMK sa stav v tabuľke zmení z Čaká sa na správu CMK na Spravuje CMK. |
13 |
Ak je vytvorenie CMK neúspešné, zobrazí sa chyba. |
Odstráňte organizácie nájomníkov
Skôr ako začnete
Po odstránení nebudú používatelia zákazníckych organizácií môcť využívať HDS pre svoje potreby šifrovania a stratia všetky existujúce miesta. Pred odstránením zákazníckych organizácií kontaktujte svojho partnera Cisco alebo správcu účtu.
1 |
Prihláste sa do https://admin.webex.com. |
2 |
V ponuke na ľavej strane obrazovky vyberte položku Služby. |
3 |
V sekcii Cloudové služby nájdite Hybrid Data Security a kliknite na položku Zobraziť všetko. |
4 |
Na karte Zdroje kliknite na klaster, z ktorého chcete odstrániť organizácie zákazníkov. |
5 |
Na stránke, ktorá sa otvorí, kliknite na položku Priradení zákazníci. |
6 |
V zobrazenom zozname organizácií zákazníkov kliknite na položku ... na pravej strane organizácie zákazníka, ktorú chcete odstrániť, a kliknite na položku Odstrániť z klastra. |
Čo robiť ďalej
Dokončite proces odstránenia zrušením CMK zákazníckych organizácií, ako je podrobne uvedené v časti Odvolanie CMK nájomníkov odstránených z HDS.
Zrušiť CMK nájomníkov odstránených z HDS.
Skôr ako začnete
Odstráňte zákazníkov z príslušného klastra, ako je podrobne uvedené v časti Odstránenie organizácií nájomníkov. Spustite nástroj HDS Setup a dokončite proces odstránenia pre zákaznícke organizácie, ktoré boli odstránené.
-
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými administrátorskými právami pre vašu organizáciu.
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker v kroku 5 zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:
-
Databázové poverenia
-
Aktualizácie certifikátov
-
Zmeny v politike autorizácie
-
-
Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.
Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.
1 |
Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať. |
2 |
Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce: |
3 |
Pri výzve na zadanie hesla zadajte tento hash: |
4 |
Stiahnite si najnovší stabilný obraz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: |
5 |
Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:
Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“. |
6 |
Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 . Pomocou webového prehliadača prejdite na localhost, Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie. |
7 |
Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia správcu Partner Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre Hybrid Data Security. |
8 |
Na stránke prehľadu nástroja Setup kliknite na položku Začíname. |
9 |
Na stránke Import ISO kliknite na tlačidlo Áno. |
10 |
Vyberte súbor ISO v prehliadači a nahrajte ho. |
11 |
Prejdite na kartu Správa CMK nájomcov , kde nájdete nasledujúce tri spôsoby správy CMK nájomcov.
|
12 |
Po úspešnom odvolaní CMK sa zákaznícka organizácia už nebude zobrazovať v tabuľke. |
13 |
Ak je zrušenie CMK neúspešné, zobrazí sa chyba. |
Otestujte svoje nasadenie Hybrid Data Security
Otestujte svoje nasadenie hybridného zabezpečenia dát
Skôr ako začnete
-
Nastavte svoje nasadenie Hybridného zabezpečenia dát pre viacerých nájomníkov.
-
Uistite sa, že máte prístup k syslog, aby ste si overili, že kľúčové požiadavky prechádzajú do vášho nasadenia Multi-Tenant Hybrid Data Security.
1 |
Kľúče pre daný priestor nastavuje tvorca priestoru. Prihláste sa do aplikácie Webex ako jeden z používateľov zákazníckej organizácie a potom vytvorte priestor. Ak deaktivujete nasadenie Hybrid Data Security, obsah v priestoroch, ktoré používatelia vytvoria, už nebude prístupný po výmene kópií šifrovacích kľúčov uložených vo vyrovnávacej pamäti klienta. |
2 |
Posielajte správy do nového priestoru. |
3 |
Skontrolujte výstup syslog, aby ste si overili, že požiadavky na kľúče prechádzajú do vášho nasadenia Hybrid Data Security. |
Monitorujte zdravie Hybrid Data Security Health
1 |
V Centre pre partnerov vyberte z ponuky na ľavej strane obrazovky položku Služby . |
2 |
V časti Cloudové služby vyhľadajte Hybrid Data Security a kliknite na položku Upraviť nastavenia. Zobrazí sa stránka Hybrid Data Security Settings.
|
3 |
V časti E-mailové upozornenia zadajte jednu alebo viac e-mailových adries oddelených čiarkami a stlačte kláves Enter. |
Spravujte svoje nasadenie HDS
Spravujte nasadenie HDS
Pomocou tu popísaných úloh spravujte svoje nasadenie Hybrid Data Security.
Nastavte plán aktualizácie klastra
Ak chcete nastaviť plán aktualizácie:
1 |
Prihláste sa do Partnerského centra. |
2 |
V ponuke na ľavej strane obrazovky vyberte položku Služby. |
3 |
V časti Cloudové služby vyhľadajte Hybrid Data Security a kliknite na tlačidlo Nastaviť |
4 |
Na stránke Hybrid Data Security Resources vyberte klaster. |
5 |
Kliknite na kartu Nastavenia klastra . |
6 |
Na stránke Nastavenia klastra v časti Plán aktualizácie vyberte čas a časové pásmo pre plán inovácie. Poznámka: Pod časovým pásmom sa zobrazí dátum a čas ďalšej dostupnej aktualizácie. V prípade potreby môžete inováciu odložiť na nasledujúci deň kliknutím na položku Odložiť o 24 hodín. |
Zmeňte konfiguráciu uzla
-
Zmena x.509 certifikátov z dôvodu uplynutia platnosti alebo iných dôvodov.
Nepodporujeme zmenu názvu domény CN certifikátu. Doména sa musí zhodovať s pôvodnou doménou použitou na registráciu klastra.
-
Aktualizácia nastavení databázy pre zmenu na repliku databázy PostgreSQL alebo Microsoft SQL Server.
Nepodporujeme migráciu údajov z PostgreSQL na Microsoft SQL Server ani opačným spôsobom. Ak chcete zmeniť prostredie databázy, spustite nové nasadenie Hybrid Data Security.
-
Vytvorenie novej konfigurácie na prípravu nového dátového centra.
Z bezpečnostných dôvodov používa Hybrid Data Security heslá servisných účtov, ktoré majú životnosť deväť mesiacov. Keď nástroj HDS Setup vygeneruje tieto heslá, nasadíte ich do každého z vašich uzlov HDS v konfiguračnom súbore ISO. Keď sa blíži koniec platnosti hesiel vašej organizácie, dostanete od tímu Webex upozornenie na resetovanie hesla pre váš počítačový účet. (E-mail obsahuje text „Na aktualizáciu hesla použite rozhranie API strojového účtu.“) Ak platnosť vašich hesiel ešte nevypršala, nástroj vám ponúka dve možnosti:
-
Mäkké obnovenie – staré aj nové heslo fungujú až 10 dní. Toto obdobie použite na postupnú výmenu súboru ISO na uzloch.
-
Tvrdý reset – staré heslá okamžite prestanú fungovať.
Ak platnosť vašich hesiel vyprší bez resetovania, ovplyvní to vašu službu HDS, čo si vyžaduje okamžitý tvrdý reset a nahradenie súboru ISO na všetkých uzloch.
Tento postup použite na vygenerovanie nového konfiguračného súboru ISO a jeho použitie vo vašom klastri.
Skôr ako začnete
-
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými právami správcu partnera.
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri vytváraní kontajnera Docker v 1.e zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Na vygenerovanie novej konfigurácie potrebujete kópiu aktuálneho konfiguračného súboru ISO. ISO obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. ISO potrebujete, keď robíte zmeny v konfigurácii vrátane poverení databázy, aktualizácií certifikátov alebo zmien v politike autorizácie.
1 |
Pomocou Docker na lokálnom počítači spustite nástroj HDS Setup Tool. |
2 |
Ak máte spustený iba jeden uzol HDS, vytvorte nový virtuálny počítač s uzlom Hybrid Data Security a zaregistrujte ho pomocou nového konfiguračného súboru ISO. Podrobnejšie pokyny nájdete v časti Vytvorenie a registrácia ďalších uzlov. |
3 |
Pre existujúce uzly HDS, na ktorých je spustený starší konfiguračný súbor, pripojte súbor ISO. Postupne vykonajte nasledujúci postup na každom uzle a pred vypnutím ďalšieho uzla aktualizujte každý uzol: |
4 |
Opakujte krok 3, aby ste nahradili konfiguráciu na každom zostávajúcom uzle, na ktorom je spustená stará konfigurácia. |
Vypnite režim zablokovaného externého rozlíšenia DNS
Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. Ak server DNS uzla nedokáže rozlíšiť verejné názvy DNS, uzol automaticky prejde do režimu zablokovaného externého rozlíšenia DNS.
Ak vaše uzly dokážu rozlíšiť verejné názvy DNS prostredníctvom interných serverov DNS, môžete tento režim vypnúť opätovným spustením testu pripojenia proxy na každom uzle.
Skôr ako začnete
1 |
Vo webovom prehliadači otvorte rozhranie uzla Hybrid Data Security (adresa IP/ nastavenie, napríklad https://192.0.2.0/setup), zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite na tlačidlo Prihlásiť sa). |
2 |
Prejdite na Prehľad (predvolená stránka). Keď je táto možnosť povolená, možnosť Blokované externé rozlíšenie DNS je nastavená na možnosť Áno. |
3 |
Prejdite na stránku Trust Store & Proxy . |
4 |
Kliknite na položku Skontrolovať pripojenie proxy. Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS a zostane v tomto režime. V opačnom prípade po reštartovaní uzla a návrate na stránku Prehľad by mala byť možnosť Blokované externé rozlíšenie DNS nastavené na možnosť Nie. |
Čo robiť ďalej
Odstráňte uzol
1 |
Pomocou klienta VMware vSphere vo svojom počítači sa prihláste do virtuálneho hostiteľa ESXi a vypnite virtuálny počítač. |
2 |
Odstráňte uzol: |
3 |
V klientovi vSphere odstráňte VM. (Na ľavom navigačnom paneli kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Odstrániť.) Ak nevymažete VM, nezabudnite odpojiť konfiguračný súbor ISO. Bez súboru ISO nemôžete použiť VM na prístup k bezpečnostným údajom. |
Obnova po havárii pomocou pohotovostného dátového centra
Najdôležitejšou službou, ktorú váš klaster Hybrid Data Security poskytuje, je vytváranie a ukladanie kľúčov používaných na šifrovanie správ a iného obsahu uloženého v cloude Webex. Pre každého používateľa v rámci organizácie, ktorý je priradený k Hybrid Data Security, sú do klastra smerované nové požiadavky na vytvorenie kľúča. Klaster je tiež zodpovedný za vrátenie kľúčov, ktoré vytvoril, všetkým používateľom oprávneným na ich získanie, napríklad členom konverzačného priestoru.
Pretože klaster vykonáva kritickú funkciu poskytovania týchto kľúčov, je nevyhnutné, aby klaster zostal spustený a aby boli udržiavané správne zálohy. Strata databázy Hybrid Data Security alebo konfigurácie ISO použitej pre schému bude mať za následok NENÁVRATNÚ STRATU zákazníckeho obsahu. Na zabránenie takejto strate sú povinné nasledujúce postupy:
Ak havária spôsobí, že nasadenie HDS v primárnom dátovom centre sa stane nedostupným, podľa tohto postupu manuálne prepnite na pohotovostné dátové centrum.
Skôr ako začnete
1 |
Spustite nástroj na nastavenie HDS a postupujte podľa krokov uvedených v časti Vytvorenie konfiguračného ISO pre hostiteľov HDS. |
2 |
Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť. |
3 |
Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. |
4 |
V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Upraviť nastavenia. |
5 |
Kliknite na položku Upraviť nastavenia >Jednotka CD/DVD 1 a vyberte položku Datastore ISO File. Uistite sa, že sú začiarknuté položky Pripojené a Pripojiť pri zapnutí , aby sa aktualizované zmeny konfigurácie prejavili po spustení uzlov. |
6 |
Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy. |
7 |
Zaregistrujte uzol v partnerskom centre. Pozrite si časť Registrácia prvého uzla v klastri. |
8 |
Opakujte proces pre každý uzol v pohotovostnom dátovom centre. |
Čo robiť ďalej
(Voliteľné) Odpojte ISO po konfigurácii HDS
Štandardná konfigurácia HDS beží s namontovaným ISO. Niektorí zákazníci však uprednostňujú neponechať súbory ISO nepretržite pripojené. Súbor ISO môžete odpojiť potom, čo všetky uzly HDS prevezmú novú konfiguráciu.
Na vykonanie zmien v konfigurácii stále používate súbory ISO. Keď vytvoríte nový ISO alebo aktualizujete ISO pomocou nástroja Setup Tool, musíte aktualizovaný ISO pripojiť na všetky vaše uzly HDS. Keď všetky vaše uzly zachytia zmeny konfigurácie, môžete ISO znova odpojiť pomocou tohto postupu.
Skôr ako začnete
Inovujte všetky svoje uzly HDS na verziu 2021.01.22.4720 alebo novšiu.
1 |
Vypnite jeden z uzlov HDS. |
2 |
V serverovom zariadení vCenter vyberte uzol HDS. |
3 |
Vyberte položku Súbor ISO úložiska údajov. a zrušte začiarknutie políčka |
4 |
Zapnite uzol HDS a uistite sa, že aspoň 20 minút nie sú žiadne alarmy. |
5 |
Postup opakujte pre každý uzol HDS. |
Riešenie problémov so zabezpečením hybridných údajov
Zobraziť upozornenia a riešenie problémov
Nasadenie Hybrid Data Security sa považuje za nedostupné, ak sú všetky uzly v klastri nedostupné alebo klaster pracuje tak pomaly, že si vyžaduje časový limit. Ak používatelia nemôžu dosiahnuť váš klaster Hybrid Data Security, zaznamenajú nasledujúce príznaky:
-
Nie je možné vytvoriť nové medzery (nemožno vytvoriť nové kľúče)
-
Správy a názvy priestorov sa nedajú dešifrovať pre:
-
Noví používatelia pridaní do priestoru (nemožno načítať kľúče)
-
Existujúci používatelia v priestore používajúci nového klienta (nemožno načítať kľúče)
-
-
Existujúci používatelia v priestore budú naďalej úspešne fungovať, pokiaľ ich klienti majú vyrovnávaciu pamäť šifrovacích kľúčov
Je dôležité, aby ste správne monitorovali svoj klaster Hybrid Data Security a okamžite riešili všetky výstrahy, aby ste predišli prerušeniu služby.
Upozornenia
Ak sa vyskytne problém s nastavením Hybrid Data Security, partnerské centrum zobrazí upozornenia správcovi organizácie a odošle e-maily na nakonfigurovanú e-mailovú adresu. Výstrahy pokrývajú mnoho bežných scenárov.
Upozornenie |
Akcia |
---|---|
Zlyhanie prístupu k lokálnej databáze. |
Skontrolujte chyby databázy alebo problémy s lokálnou sieťou. |
Zlyhanie pripojenia k lokálnej databáze. |
Skontrolujte, či je databázový server dostupný a či boli v konfigurácii uzla použité správne poverenia servisného účtu. |
Zlyhanie prístupu k cloudovej službe. |
Skontrolujte, či majú uzly prístup k serverom Webex, ako je uvedené v časti Požiadavky na externé pripojenie. |
Obnovuje sa registrácia cloudovej služby. |
Registrácia do cloudových služieb bola zrušená. Prebieha obnova registrácie. |
Registrácia cloudovej služby bola zrušená. |
Registrácia do cloudových služieb bola ukončená. Služba sa vypína. |
Služba ešte nie je aktivovaná. |
Aktivujte HDS v Partner Hub. |
Nakonfigurovaná doména sa nezhoduje s certifikátom servera. |
Uistite sa, že váš certifikát servera sa zhoduje s nakonfigurovanou doménou aktivácie služby. Najpravdepodobnejšou príčinou je, že certifikát CN bol nedávno zmenený a teraz sa líši od CN, ktorý bol použitý počas počiatočného nastavenia. |
Nepodarilo sa overiť v cloudových službách. |
Skontrolujte presnosť a možné vypršanie platnosti poverení servisného účtu. |
Nepodarilo sa otvoriť súbor lokálneho úložiska kľúčov. |
Skontrolujte integritu a presnosť hesla v lokálnom súbore skladu kľúčov. |
Certifikát lokálneho servera je neplatný. |
Skontrolujte dátum vypršania platnosti certifikátu servera a potvrďte, že bol vydaný dôveryhodnou certifikačnou autoritou. |
Nie je možné uverejniť metriky. |
Skontrolujte prístup k lokálnej sieti k externým cloudovým službám. |
Adresár /media/configdrive/hds neexistuje. |
Skontrolujte konfiguráciu pripojenia ISO na virtuálnom hostiteľovi. Overte, či súbor ISO existuje, či je nakonfigurovaný na pripojenie pri reštarte a či sa úspešne pripojí. |
Nastavenie nájomnej organizácie pre pridané organizácie nie je dokončené |
Dokončite nastavenie vytvorením CMK pre novo pridané organizácie nájomníkov pomocou nástroja HDS Setup Tool. |
Nastavenie nájomnej organizácie pre odstránené organizácie nie je dokončené |
Dokončite nastavenie zrušením CMK organizácií nájomníkov, ktoré boli odstránené pomocou nástroja HDS Setup Tool. |
Riešenie problémov so zabezpečením hybridných údajov
1 |
Skontrolujte partnerské centrum pre všetky upozornenia a opravte všetky položky, ktoré tam nájdete. Pozrite si obrázok nižšie ako referenciu. |
2 |
Skontrolujte výstup servera syslog pre aktivitu z nasadenia Hybrid Data Security. Filtrujte slová ako „Upozornenie“ a „Chyba“, ktoré vám pomôžu pri riešení problémov. |
3 |
Kontaktujte podporu Cisco. |
Ďalšie poznámky
Známe problémy s hybridnou bezpečnosťou dát
-
Ak vypnete svoj klaster Hybrid Data Security (odstránením v Partner Hub alebo vypnutím všetkých uzlov), stratíte svoj konfiguračný súbor ISO alebo stratíte prístup k databáze úložiska kľúčov, používatelia aplikácií Webex zo zákazníckych organizácií už nebudú môcť používať priestory pod ich zoznam ľudí, ktorý bol vytvorený pomocou kľúčov z vášho KMS. V súčasnosti nemáme riešenie ani opravu tohto problému a žiadame vás, aby ste nevypínali svoje služby HDS, keď budú spracovávať aktívne používateľské účty.
-
Klient, ktorý má existujúce pripojenie ECDH ku KMS, udržiava toto pripojenie určitý čas (pravdepodobne jednu hodinu).
Na vygenerovanie súboru PKCS12 použite OpenSSL
Skôr ako začnete
-
OpenSSL je jeden nástroj, ktorý možno použiť na vytvorenie súboru PKCS12 v správnom formáte na načítanie v nástroji HDS Setup Tool. Existujú aj iné spôsoby, ako to urobiť, a my nepodporujeme ani nepresadzujeme jeden spôsob oproti druhému.
-
Ak sa rozhodnete použiť OpenSSL, poskytujeme tento postup ako návod, ktorý vám pomôže vytvoriť súbor, ktorý spĺňa požiadavky na certifikát X.509 v časti Požiadavky na certifikát X.509. Než budete pokračovať, pochopte tieto požiadavky.
-
Nainštalujte OpenSSL v podporovanom prostredí. Softvér a dokumentáciu nájdete v časti https://www.openssl.org .
-
Vytvorte si súkromný kľúč.
-
Tento postup začnite, keď dostanete certifikát servera od certifikačnej autority (CA).
1 |
Keď od svojej CA dostanete certifikát servera, uložte ho ako |
2 |
Zobrazte certifikát ako text a overte podrobnosti.
|
3 |
Pomocou textového editora vytvorte súbor balíka certifikátov s názvom
|
4 |
Vytvorte súbor .p12 s priateľským názvom
|
5 |
Skontrolujte podrobnosti certifikátu servera. |
Čo robiť ďalej
Vráťte sa na stránku Dokončenie predpokladov pre hybridné zabezpečenie údajov. V časti Vytvorenie konfiguračného ISO pre hostiteľov HDS použijete súbor hdsnode.p12
a heslo, ktoré ste preň nastavili.
Tieto súbory môžete znova použiť na vyžiadanie nového certifikátu, keď platnosť pôvodného certifikátu vyprší.
Prevádzka medzi uzlami HDS a cloudom
Odchádzajúca návštevnosť zberu metrík
Uzly Hybrid Data Security odosielajú určité metriky do cloudu Webex. Patria sem systémové metriky pre maximálnu haldu, využitú haldu, zaťaženie procesora a počet vlákien; metriky na synchrónnych a asynchrónnych vláknach; metriky výstrah zahŕňajúce prah šifrovacích pripojení, latenciu alebo dĺžku frontu požiadaviek; metriky na dátovom úložisku; a metriky šifrovaného pripojenia. Uzly posielajú zašifrovaný kľúčový materiál cez kanál mimo pásma (oddelený od požiadavky).
Prichádzajúca premávka
Uzly Hybrid Data Security prijímajú nasledujúce typy prichádzajúcej prevádzky z cloudu Webex:
-
Šifrovacie požiadavky od klientov, ktoré sú smerované šifrovacou službou
-
Aktualizácie softvéru uzla
Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát
Websocket sa nemôže pripojiť cez Squid Proxy
Servery proxy typu Squid, ktoré kontrolujú prenos HTTPS, môžu narúšať vytváranie pripojení websocket (wss:
), ktoré vyžaduje Hybrid Data Security. Tieto časti poskytujú návod, ako nakonfigurovať rôzne verzie Squid tak, aby ignorovali wss:
prevádzky pre správne fungovanie služieb.
Kalmáre 4 a 5
Pridajte on_unsupported_protocol
smernicu na stránku squid.conf
:
on_unsupported_protocol tunel všetko
Kalmáre 3.5.27
Úspešne sme testovali Hybrid Data Security pomocou nasledujúcich pravidiel pridaných na stránku squid.conf
. Tieto pravidlá sa môžu meniť, pretože vyvíjame funkcie a aktualizujeme cloud Webex.
acl wssMercuryConnection ssl::server_name_regex ortuťové pripojenie ssl_bump splice wssMercuryConnection acl krok1 at_step SslBump1 acl krok2 at_step SslBump2 acl krok3 at_step SslBump3 ssl_bump pohľad krok1 všetko ssl_bump pozerať krok2 všetko ssl_bump vyskočiť krok3 všetko
Nové a zmenené informácie
Nové a zmenené informácie
Táto tabuľka obsahuje nové funkcie alebo funkcie, zmeny existujúceho obsahu a všetky hlavné chyby, ktoré boli opravené v Príručke nasadenia pre multi-tenantovú hybridnú bezpečnosť údajov.
Dátum |
Vykonané zmeny |
---|---|
15. januára 2025 |
Pridané obmedzenia Hybridného zabezpečenia dát pre viacerých nájomníkov. |
8. januára 2025 |
Do časti Vykonať úvodné nastavenie a prevziať inštalačné súbory bola pridaná poznámka, že kliknutie na položku Nastaviť na karte HDS v partnerskom centre je dôležitým krokom procesu inštalácie. |
7. januára 2025 |
Aktualizované Požiadavky na virtuálneho hostiteľa, Tok úloh nasadenia hybridného zabezpečenia údajov a Inštalácia hostiteľského OVA HDS , aby zobrazovali novú požiadavku ESXi 7.0. |
13. decembra 2024 |
Prvýkrát zverejnené. |
Deaktivujte hybridné zabezpečenie dát pre viacerých nájomníkov
Tok úloh deaktivácie HDS pre viacerých nájomníkov
Ak chcete úplne deaktivovať Multi-Tenant HDS, postupujte podľa týchto krokov.
Skôr ako začnete
1 |
Odstráňte všetkých zákazníkov zo všetkých svojich klastrov, ako je uvedené v časti Odstránenie organizácií nájomníkov. |
2 |
Zrušte CMK všetkých zákazníkov, ako je uvedené v časti Zrušenie CMK nájomníkov odstránených z HDS. |
3 |
Odstráňte všetky uzly zo všetkých klastrov, ako je uvedené v časti Odstránenie uzla. |
4 |
Odstráňte všetky svoje klastre z Partner Hub pomocou jednej z nasledujúcich dvoch metód.
|
5 |
Kliknite na kartu Nastavenia na stránke prehľadu Hybrid Data Security a kliknite na položku Deaktivovať HDS na karte Stav HDS. |
Začnite s Hybridným zabezpečením dát pre viacerých nájomníkov
Prehľad zabezpečenia hybridných dát pre viacerých nájomníkov
Od prvého dňa bola bezpečnosť údajov hlavným zameraním pri navrhovaní aplikácie Webex. Základným kameňom tohto zabezpečenia je komplexné šifrovanie obsahu, ktoré umožňujú klienti Webex App interagujúci so službou správy kľúčov (KMS). KMS je zodpovedný za vytváranie a správu kryptografických kľúčov, ktoré klienti používajú na dynamické šifrovanie a dešifrovanie správ a súborov.
V predvolenom nastavení dostávajú všetci zákazníci Webex App end-to-end šifrovanie s dynamickými kľúčmi uloženými v cloudovom KMS v oblasti bezpečnosti Cisco. Hybrid Data Security presúva KMS a ďalšie funkcie súvisiace so zabezpečením do vášho podnikového dátového centra, takže kľúče k vášmu šifrovanému obsahu nemá nikto okrem vás.
Multi-Tenant Hybrid Data Security umožňuje organizáciám využívať HDS prostredníctvom dôveryhodného miestneho partnera, ktorý môže pôsobiť ako poskytovateľ služieb a spravovať lokálne šifrovanie a ďalšie bezpečnostné služby. Toto nastavenie umožňuje partnerskej organizácii mať úplnú kontrolu nad nasadením a správou šifrovacích kľúčov a zaisťuje, že používateľské údaje zákazníckych organizácií sú v bezpečí pred externým prístupom. Partnerské organizácie podľa potreby nastavujú inštancie HDS a vytvárajú klastre HDS. Každá inštancia môže podporovať viacero zákazníckych organizácií na rozdiel od bežného nasadenia HDS, ktoré je obmedzené na jednu organizáciu.
To tiež umožňuje menším organizáciám využívať HDS, pretože službu správy kľúčov a bezpečnostnú infraštruktúru, ako sú dátové centrá, vlastní dôveryhodný miestny partner.
Ako Multi-Tenant Hybrid Data Security poskytuje dátovú suverenitu a kontrolu dát
- Obsah generovaný používateľmi je chránený pred externým prístupom, ako sú poskytovatelia cloudových služieb.
- Miestni dôveryhodní partneri spravujú šifrovacie kľúče zákazníkov, s ktorými už majú vybudovaný vzťah.
- Možnosť miestnej technickej podpory, ak ju poskytuje partner.
- Podporuje obsah stretnutí, správ a hovorov.
Tento dokument je zameraný na pomoc partnerským organizáciám pri nastavovaní a správe zákazníkov v rámci systému Multi-Tenant Hybrid Data Security.
Obmedzenia Hybridného zabezpečenia dát pre viacerých nájomníkov
- Partnerské organizácie nesmú mať v Control Hub aktívne žiadne existujúce nasadenie HDS.
- Nájomnícke alebo zákaznícke organizácie, ktoré chcú byť spravované partnerom, nesmú mať žiadne existujúce nasadenie HDS v Control Hub.
- Akonáhle partner nasadí Multi-Tenant HDS, všetci používatelia zákazníckych organizácií, ako aj používatelia partnerskej organizácie začnú využívať Multi-Tenant HDS pre svoje šifrovacie služby.
Partnerská organizácia a zákaznícke organizácie, ktoré riadia, budú využívať rovnaké nasadenie HDS pre viacerých nájomníkov.
Po nasadení Multi-Tenant HDS už partnerská organizácia nebude používať cloudové KMS.
- Neexistuje žiadny mechanizmus na presun kľúčov späť do Cloud KMS po nasadení HDS.
- V súčasnosti môže mať každé nasadenie Multi-Tenant HDS iba jeden klaster s viacerými uzlami pod ním.
- Úlohy správcu majú určité obmedzenia; podrobnosti nájdete v časti nižšie.
Úlohy v hybridnej bezpečnosti dát pre viacerých nájomníkov
- Úplný správca partnera – môže spravovať nastavenia pre všetkých zákazníkov, ktorých partner spravuje. Môže tiež priradiť roly správcu existujúcim používateľom v organizácii a priradiť konkrétnych zákazníkov, ktorých majú spravovať správcovia partnerov.
- Správca partnera – môže spravovať nastavenia pre zákazníkov, ktorých správca poskytol alebo ktorí boli priradení používateľovi.
- Úplný správca – správca partnerskej organizácie, ktorý je oprávnený vykonávať úlohy, ako je úprava nastavení organizácie, správa licencií a prideľovanie rolí.
- Nastavenie HDS pre viacerých nájomníkov a správa všetkých zákazníckych organizácií od konca do konca – Vyžaduje sa úplný správca partnera a úplné práva správcu.
- Správa priradených organizácií nájomníkov – vyžaduje sa správca partnera a úplné práva správcu.
Architektúra bezpečnostnej sféry
Cloudová architektúra Webex oddeľuje rôzne typy služieb do samostatných oblastí alebo dôveryhodných domén, ako je znázornené nižšie.
Aby sme lepšie porozumeli Hybrid Data Security, pozrime sa najprv na tento čistý cloud, kde Cisco poskytuje všetky funkcie vo svojich cloudových sférach. Služba identity, jediné miesto, kde môžu používatelia priamo korelovať so svojimi osobnými údajmi, ako je e-mailová adresa, je logicky a fyzicky oddelená od oblasti zabezpečenia v dátovom centre B. Obe sú zase oddelené od oblasti, kde je v konečnom dôsledku uložený šifrovaný obsah. , v dátovom centre C.
V tomto diagrame je klientom aplikácia Webex, ktorá beží na notebooku používateľa a je overená službou identity. Keď používateľ vytvorí správu na odoslanie do priestoru, vykonajú sa tieto kroky:
-
Klient vytvorí zabezpečené spojenie so službou správy kľúčov (KMS), potom požiada o kľúč na zašifrovanie správy. Zabezpečené pripojenie používa ECDH a KMS šifruje kľúč pomocou hlavného kľúča AES-256.
-
Správa je pred opustením klienta zašifrovaná. Klient ho odošle do indexovacej služby, ktorá vytvorí šifrované indexy vyhľadávania na pomoc pri budúcom vyhľadávaní obsahu.
-
Zašifrovaná správa sa odošle do služby súladu na kontrolu súladu.
-
Zašifrovaná správa je uložená v úložnej sfére.
Keď nasadíte Hybrid Data Security, presuniete funkcie bezpečnostnej sféry (KMS, indexovanie a súlad) do vášho lokálneho dátového centra. Ostatné cloudové služby, ktoré tvoria Webex (vrátane ukladania identity a obsahu), zostávajú v sférach spoločnosti Cisco.
Spolupráca s inými organizáciami
Používatelia vo vašej organizácii môžu pravidelne používať aplikáciu Webex na spoluprácu s externými účastníkmi v iných organizáciách. Keď jeden z vašich používateľov požaduje kľúč pre priestor, ktorý vlastní vaša organizácia (pretože ho vytvoril jeden z vašich používateľov), váš KMS odošle kľúč klientovi cez zabezpečený kanál ECDH. Keď však kľúč priestoru vlastní iná organizácia, váš KMS nasmeruje požiadavku do cloudu Webex cez samostatný kanál ECDH, aby získal kľúč z príslušného KMS, a potom vráti kľúč vášmu používateľovi na pôvodnom kanáli.
Služba KMS spustená v organizácii A overuje pripojenia ku KMS v iných organizáciách pomocou x.509 PKI certifikátov. Podrobnosti o generovaní certifikátu x.509 na použitie s nasadením Hybrid Data Security pre viacerých nájomníkov nájdete v časti Príprava prostredia .
Očakávania týkajúce sa nasadenia hybridnej bezpečnosti údajov
Nasadenie Hybrid Data Security si vyžaduje značné odhodlanie a uvedomenie si rizík, ktoré so sebou prináša vlastníctvo šifrovacích kľúčov.
Ak chcete nasadiť Hybrid Data Security, musíte poskytnúť:
-
Zabezpečené dátové centrum v krajine, ktorá je podporovaným miestom pre plány Cisco Webex Teams.
-
Vybavenie, softvér a sieťový prístup popísané v časti Príprava prostredia.
Úplná strata buď konfiguračného ISO, ktoré ste vytvorili pre Hybrid Data Security, alebo databázy, ktorú poskytnete, bude mať za následok stratu kľúčov. Strata kľúča bráni používateľom dešifrovať obsah priestoru a ďalšie šifrované údaje v aplikácii Webex. Ak sa tak stane, môžete vytvoriť nové nasadenie, ale bude viditeľný iba nový obsah. Aby ste predišli strate prístupu k údajom, musíte:
-
Spravujte zálohovanie a obnovu databázy a konfiguračného ISO.
-
Buďte pripravení vykonať rýchlu obnovu po havárii, ak dôjde ku katastrofe, ako je zlyhanie databázového disku alebo katastrofa dátového centra.
Neexistuje žiadny mechanizmus na presun kľúčov späť do cloudu po nasadení HDS.
Proces nastavenia na vysokej úrovni
Tento dokument pokrýva nastavenie a správu nasadenia Hybrid Data Security pre viacerých nájomníkov:
-
Nastavenie Hybrid Data Security – zahŕňa prípravu požadovanej infraštruktúry a inštaláciu softvéru Hybrid Data Security, vybudovanie klastra HDS, pridanie organizácií nájomníkov do klastra a správu ich hlavných kľúčov zákazníkov (CMK). To umožní všetkým používateľom vašich zákazníckych organizácií používať váš klaster Hybrid Data Security na bezpečnostné funkcie.
Fázy nastavenia, aktivácie a správy sú podrobne opísané v nasledujúcich troch kapitolách.
-
Udržujte svoje nasadenie Hybrid Data Security – cloud Webex automaticky poskytuje priebežné inovácie. Vaše IT oddelenie môže poskytnúť podporu prvej úrovne pre toto nasadenie a podľa potreby zapojiť podporu Cisco. V partnerskom centre môžete používať upozornenia na obrazovke a nastaviť upozornenia prostredníctvom e-mailu.
-
Pochopte bežné upozornenia, kroky na riešenie problémov a známe problémy – Ak narazíte na problémy s nasadením alebo používaním Hybrid Data Security, posledná kapitola tejto príručky a príloha Známe problémy vám môžu pomôcť určiť a vyriešiť problém.
Hybridný model nasadenia zabezpečenia dát
V rámci podnikového dátového centra nasadíte Hybrid Data Security ako jeden klaster uzlov na samostatných virtuálnych hostiteľoch. Uzly komunikujú s cloudom Webex cez zabezpečené websockety a zabezpečené HTTP.
Počas procesu inštalácie vám poskytneme súbor OVA na nastavenie virtuálneho zariadenia na VM, ktoré poskytnete. Nástroj HDS Setup Tool použijete na vytvorenie vlastného konfiguračného súboru ISO klastra, ktorý pripojíte na každý uzol. Klaster Hybrid Data Security využíva váš poskytnutý server Syslogd a databázu PostgreSQL alebo Microsoft SQL Server. (Syslogd a podrobnosti o pripojení k databáze nakonfigurujete v nástroji HDS Setup Tool.)
Minimálny počet uzlov, ktoré môžete mať v klastri, sú dva. Odporúčame aspoň tri na klaster. Viacnásobné uzly zaisťujú, že služba nebude prerušená počas aktualizácie softvéru alebo inej činnosti údržby na uzle. (Cloud Webex aktualizuje naraz iba jeden uzol.)
Všetky uzly v klastri pristupujú k rovnakému úložisku údajov kľúčov a zaznamenávajú aktivitu na rovnaký server syslog. Samotné uzly sú bez stavu a spracovávajú kľúčové požiadavky v režime round-robin podľa pokynov cloudu.
Uzly sa stanú aktívnymi, keď ich zaregistrujete v Partner Hub. Ak chcete vyradiť jednotlivý uzol z prevádzky, môžete ho zrušiť a neskôr v prípade potreby znova zaregistrovať.
Pohotovostné dátové centrum pre obnovu po havárii
Počas nasadenia nastavíte zabezpečené pohotovostné dátové centrum. V prípade havárie dátového centra môžete manuálne zlyhať nasadenie do pohotovostného dátového centra.
Databázy aktívnych a pohotovostných dátových centier sú navzájom synchronizované, čo minimalizuje čas potrebný na vykonanie núdzového prepnutia.
Aktívne uzly Hybrid Data Security musia byť vždy v rovnakom údajovom centre ako aktívny databázový server.
Podpora proxy
Hybrid Data Security podporuje explicitné, transparentné kontrolné a nekontrolujúce proxy. Tieto servery proxy môžete prepojiť s nasadením, aby ste mohli zabezpečiť a monitorovať prevádzku z podniku do cloudu. Rozhranie správcu platformy na uzloch môžete použiť na správu certifikátov a na kontrolu celkového stavu pripojenia po nastavení servera proxy na uzloch.
Uzly Hybrid Data Security podporujú nasledujúce možnosti proxy:
-
Bez servera proxy – predvolená hodnota, ak na integráciu servera proxy nepoužívate konfiguráciu dôveryhodného obchodu a servera proxy na nastavenie uzla HDS. Nevyžaduje sa žiadna aktualizácia certifikátu.
-
Transparentný nekontrolujúci proxy server – uzly nie sú nakonfigurované na používanie konkrétnej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.
-
Transparentné tunelovanie alebo kontrola servera proxy – uzly nie sú nakonfigurované na používanie konkrétnej adresy servera proxy. Na uzloch nie sú potrebné žiadne zmeny konfigurácie HTTP alebo HTTPS. Uzly však potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).
-
Explicitný server proxy – pomocou explicitného servera proxy poviete uzlom HDS, ktorý server proxy a schému overenia majú použiť. Ak chcete nakonfigurovať explicitný server proxy, musíte do každého uzla zadať nasledujúce informácie:
-
Proxy IP/FQDN – adresa, ktorú možno použiť na spojenie so zariadením proxy.
-
Port proxy – číslo portu, ktoré server proxy používa na počúvanie prenosu cez server proxy.
-
Protokol proxy – v závislosti od toho, čo váš server proxy podporuje, si vyberte z nasledujúcich protokolov:
-
HTTP – zobrazuje a riadi všetky požiadavky, ktoré klient odosiela.
-
HTTPS – poskytuje kanál pre server. Klient prijme a overí certifikát servera.
-
-
Typ overenia totožnosti – vyberte si z nasledujúcich typov overenia totožnosti:
-
Žiadne – nevyžaduje sa žiadne ďalšie overenie.
Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.
-
Základné – používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.
Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.
Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.
-
Súhrn – používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.
Dostupné, iba ak vyberiete HTTPS ako protokol proxy.
Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.
-
-
Príklad uzlov na zabezpečenie hybridných dát a proxy
Tento diagram ukazuje príklad spojenia medzi Hybrid Data Security, sieťou a proxy. Pre možnosti transparentnej kontroly a explicitnej kontroly HTTPS musí byť na serveri proxy a na uzloch Hybrid Data Security nainštalovaný rovnaký koreňový certifikát.
Blokovaný režim externého rozlíšenia DNS (explicitné konfigurácie proxy)
Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. V nasadeniach s explicitnými konfiguráciami proxy, ktoré neumožňujú externé rozlíšenie DNS pre interných klientov, ak uzol nemôže dotazovať servery DNS, automaticky prejde do režimu blokovaného externého riešenia DNS. V tomto režime môže pokračovať registrácia uzla a ďalšie testy pripojenia proxy.
Príprava prostredia
Požiadavky na hybridné zabezpečenie dát pre viacerých nájomníkov
Požiadavky na licenciu Cisco Webex
Ak chcete nasadiť hybridné zabezpečenie dát pre viacerých nájomníkov:
-
Partnerské organizácie: Kontaktujte svojho partnera Cisco alebo správcu účtu a uistite sa, že je povolená funkcia viacerých nájomníkov.
-
Nájomné organizácie: Musíte mať balík Pro Pack pre Cisco Webex Control Hub. (Pozrite si https://www.cisco.com/go/pro-pack.)
Požiadavky na plochu Docker
Pred inštaláciou uzlov HDS potrebujete Docker Desktop na spustenie inštalačného programu. Docker nedávno aktualizoval svoj licenčný model. Vaša organizácia môže vyžadovať platené predplatné pre Docker Desktop. Podrobnosti nájdete v blogovom príspevku Docker „ Docker aktualizuje a rozširuje naše predplatné produktov“.
Požiadavky na certifikát X.509
Certifikačný reťazec musí spĺňať nasledujúce požiadavky:
Požiadavka |
Podrobnosti |
---|---|
|
V predvolenom nastavení dôverujeme CA v zozname Mozilly (s výnimkou WoSign a StartCom) na https://wiki.mozilla.org/CA:IncludedCAs. |
|
CN nemusí byť dosiahnuteľné alebo živého hostiteľa. Odporúčame vám použiť názov, ktorý zodpovedá vašej organizácii, napríklad KN nesmie obsahovať * (zástupný znak). CN sa používa na overenie uzlov Hybrid Data Security pre klientov Webex App. Všetky uzly Hybrid Data Security vo vašom klastri používajú rovnaký certifikát. Váš KMS sa identifikuje pomocou domény CN, nie akejkoľvek domény, ktorá je definovaná v poliach x.509v3 SAN. Po zaregistrovaní uzla s týmto certifikátom nepodporujeme zmenu názvu domény CN. |
|
Softvér KMS nepodporuje podpisy SHA1 na overenie pripojení k KMS iných organizácií. |
|
Na zmenu formátu certifikátu môžete použiť konvertor, ako je OpenSSL. Pri spustení nástroja HDS Setup Tool budete musieť zadať heslo. |
Softvér KMS nevynucuje používanie kľúčov ani rozšírené obmedzenia používania kľúčov. Niektoré certifikačné autority vyžadujú, aby sa na každý certifikát aplikovali rozšírené obmedzenia používania kľúčov, ako je autentifikácia servera. Je v poriadku použiť overenie servera alebo iné nastavenia.
Požiadavky na virtuálny hostiteľ
Virtuálni hostitelia, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri, majú nasledujúce požiadavky:
-
Aspoň dvaja oddelení hostitelia (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre
-
VMware ESXi 7.0 (alebo novší) nainštalovaný a spustený.
Ak máte staršiu verziu ESXi, musíte vykonať inováciu.
-
Minimálne 4 vCPU, 8 GB hlavnej pamäte, 30 GB miesta na lokálnom pevnom disku na server
Požiadavky na databázový server
Vytvorte novú databázu pre uloženie kľúčov. Nepoužívajte predvolenú databázu. Aplikácie HDS, keď sú nainštalované, vytvoria schému databázy.
Pre databázový server sú dve možnosti. Požiadavky na každú z nich sú nasledovné:
PostgreSQL |
Microsoft SQL Server |
---|---|
|
|
Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložisko) |
Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložisko) |
Softvér HDS momentálne inštaluje nasledujúce verzie ovládačov na komunikáciu s databázovým serverom:
PostgreSQL |
Microsoft SQL Server |
---|---|
Postgres JDBC ovládač 42.2.5 |
Ovládač SQL Server JDBC 4.6 Táto verzia ovládača podporuje server SQL Server Always On (Inštancie klastra prepnutia pri zlyhaní a skupiny dostupnosti Vždy zapnuté). |
Dodatočné požiadavky na overenie systému Windows voči Microsoft SQL Server
Ak chcete, aby uzly HDS používali autentifikáciu systému Windows na získanie prístupu k vašej databáze úložiska kľúčov na serveri Microsoft SQL Server, potrebujete vo svojom prostredí nasledujúcu konfiguráciu:
-
HDS uzly, infraštruktúra Active Directory a MS SQL Server musia byť synchronizované s NTP.
-
Účet Windows, ktorý poskytnete uzlom HDS, musí mať prístup k databáze na čítanie/zápis.
-
Servery DNS, ktoré poskytujete uzlom HDS, musia byť schopné vyriešiť vaše Centrum distribúcie kľúčov (KDC).
-
Inštanciu databázy HDS môžete zaregistrovať na svojom serveri Microsoft SQL Server ako hlavný názov služby (SPN) vo vašom adresári Active Directory. Pozrite si časť Registrácia hlavného názvu služby pre pripojenia Kerberos.
Nástroj na nastavenie HDS, spúšťač HDS a miestne KMS musia na prístup k databáze kľúčov používať overenie systému Windows. Používajú podrobnosti z vašej konfigurácie ISO na vytvorenie SPN pri požadovaní prístupu s overením Kerberos.
Požiadavky na externé pripojenie
Nakonfigurujte svoj firewall tak, aby umožňoval nasledujúce pripojenie pre aplikácie HDS:
Aplikácia |
Protokol |
Port |
Smer z App |
Cieľ |
---|---|---|---|---|
Hybridné uzly zabezpečenia údajov |
TCP |
443 |
Odchádzajúce HTTPS a WSS |
|
Nástroj na nastavenie HDS |
TCP |
443 |
Odchádzajúce HTTPS |
|
Uzly Hybrid Data Security pracujú s prekladom sieťového prístupu (NAT) alebo za bránou firewall, pokiaľ NAT alebo brána firewall umožňuje požadované odchádzajúce pripojenia k destináciám domény v predchádzajúcej tabuľke. Pre pripojenia prichádzajúce do uzlov Hybrid Data Security by nemali byť z internetu viditeľné žiadne porty. V rámci vášho dátového centra potrebujú klienti prístup k uzlom Hybrid Data Security na portoch TCP 443 a 22 na administratívne účely.
Adresy URL hostiteľov Common Identity (CI) sú špecifické pre daný región. Toto sú súčasní hostitelia CI:
región |
Spoločné adresy URL hostiteľa identity |
---|---|
Ameriky |
|
Európskej únie |
|
Kanada |
|
Singapur |
|
Spojené arabské emiráty |
|
Požiadavky na proxy server
-
Oficiálne podporujeme nasledujúce proxy riešenia, ktoré sa dajú integrovať s vašimi uzlami Hybrid Data Security.
-
Transparentný proxy – Cisco Web Security Appliance (WSA).
-
Explicitný proxy-Squid.
Squid proxy, ktoré kontrolujú prenos HTTPS, môžu narúšať vytváranie pripojení websocket (wss:). Ak chcete tento problém vyriešiť, prečítajte si časť Konfigurácia serverov proxy Squid pre hybridné zabezpečenie údajov.
-
-
Pre explicitné servery proxy podporujeme nasledujúce kombinácie typov overenia:
-
Žiadna autentifikácia pomocou HTTP alebo HTTPS
-
Základná autentifikácia pomocou HTTP alebo HTTPS
-
Digest overenie iba s HTTPS
-
-
Pre transparentný kontrolný proxy server alebo explicitný proxy server HTTPS musíte mať kópiu koreňového certifikátu servera proxy. Pokyny na nasadenie v tejto príručke vám povedia, ako nahrať kópiu do dôveryhodných obchodov uzlov Hybrid Data Security.
-
Sieť, ktorá hostí uzly HDS, musí byť nakonfigurovaná tak, aby vynútila smerovanie odchádzajúcej prevádzky TCP na porte 443 cez server proxy.
-
Proxy, ktoré kontrolujú webovú prevádzku, môžu narúšať pripojenia webových soketov. Ak sa vyskytne tento problém, problém vyrieši obídenie (nie kontrola) návštevnosti stránok
wbx2.com
aciscospark.com
.
Vyplňte Predpoklady pre hybridnú bezpečnosť údajov
1 |
Uistite sa, že vaša partnerská organizácia má povolenú funkciu Multi-Tenant HDS a získajte prihlasovacie údaje účtu s úplným správcom partnera a plnými právami správcu. Uistite sa, že vaša organizácia zákazníkov Webex má povolený balík Pro Pack pre Cisco Webex Control Hub. Ak potrebujete pomoc s týmto procesom, kontaktujte svojho partnera Cisco alebo account manažéra. Zákaznícke organizácie by nemali mať žiadne existujúce nasadenie HDS. |
2 |
Vyberte názov domény pre svoje nasadenie HDS (napríklad |
3 |
Pripravte si identických virtuálnych hostiteľov, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri. Potrebujete aspoň dvoch samostatných hostiteľov (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre, ktorí spĺňajú požiadavky v časti Požiadavky na virtuálneho hostiteľa. |
4 |
Pripravte databázový server, ktorý bude fungovať ako úložisko kľúčových údajov pre klaster, v súlade s požiadavkami na databázový server. Databázový server musí byť umiestnený v zabezpečenom údajovom centre spolu s virtuálnymi hostiteľmi. |
5 |
Pre rýchlu obnovu po havárii nastavte zálohovacie prostredie v inom dátovom centre. Zálohovacie prostredie odzrkadľuje produkčné prostredie VM a záložný databázový server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM. |
6 |
Nastavte hostiteľa syslog na zhromažďovanie protokolov z uzlov v klastri. Získajte jeho sieťovú adresu a port syslog (predvolené je UDP 514). |
7 |
Vytvorte politiku bezpečného zálohovania pre uzly Hybrid Data Security, databázový server a hostiteľa syslog. Aby ste predišli nenapraviteľnej strate údajov, musíte minimálne zálohovať databázu a konfiguračný súbor ISO vygenerovaný pre uzly Hybrid Data Security. Keďže uzly Hybrid Data Security ukladajú kľúče používané na šifrovanie a dešifrovanie obsahu, zlyhanie prevádzkyschopného nasadenia bude mať za následok NEOBNOVITEĽNÚ STRATU tohto obsahu. Klienti Webex App ukladajú svoje kľúče do vyrovnávacej pamäte, takže výpadok nemusí byť okamžite viditeľný, ale časom sa prejaví. Zatiaľ čo dočasným výpadkom nie je možné zabrániť, sú obnoviteľné. Úplná strata (nie sú k dispozícii žiadne zálohy) databázy alebo konfiguračného ISO súboru však bude mať za následok neobnoviteľné zákaznícke údaje. Od operátorov uzlov Hybrid Data Security sa očakáva, že budú pravidelne zálohovať databázu a konfiguračný súbor ISO a budú pripravení na prestavbu dátového centra Hybrid Data Security, ak dôjde ku katastrofálnej poruche. |
8 |
Uistite sa, že konfigurácia brány firewall umožňuje pripojenie pre uzly Hybrid Data Security, ako je uvedené v časti Požiadavky na externé pripojenie. |
9 |
Nainštalujte Docker ( https://www.docker.com) na ľubovoľný lokálny počítač s podporovaným operačným systémom (Microsoft Windows 10 Professional alebo Enterprise 64-bitový alebo Mac OSX Yosemite 10.10.3 alebo novší) pomocou webového prehliadača, ktorý k nemu má prístup na adrese http://127.0.0.1:8080. Inštanciu Docker použijete na stiahnutie a spustenie nástroja HDS Setup Tool, ktorý vytvorí informácie o lokálnej konfigurácii pre všetky uzly Hybrid Data Security. Možno budete potrebovať licenciu Docker Desktop. Ďalšie informácie nájdete v časti Požiadavky na pracovnú plochu Docker . Ak chcete nainštalovať a spustiť nástroj HDS Setup Tool, miestny počítač musí mať pripojenie uvedené v časti Požiadavky na externé pripojenie. |
10 |
Ak integrujete server proxy so službou Hybrid Data Security, uistite sa, že spĺňa požiadavky na server proxy. |
Nastavte klaster Hybrid Data Security
Tok úloh nasadenia zabezpečenia hybridných údajov
1 |
Vykonajte počiatočné nastavenie a stiahnite inštalačné súbory Stiahnite si súbor OVA na váš lokálny počítač pre neskoršie použitie. |
2 |
Vytvorte ISO konfigurácie pre hostiteľov HDS Pomocou nástroja HDS Setup Tool vytvorte konfiguračný súbor ISO pre uzly Hybrid Data Security. |
3 |
Vytvorte virtuálny počítač zo súboru OVA a vykonajte počiatočnú konfiguráciu, ako sú nastavenia siete. Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 7.0. Táto možnosť nemusí byť dostupná v starších verziách. |
4 |
Nastavte virtuálny počítač Hybrid Data Security Prihláste sa do konzoly VM a nastavte prihlasovacie poverenia. Nakonfigurujte sieťové nastavenia pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA. |
5 |
Nahrajte a pripojte ISO konfiguráciu HDS Nakonfigurujte VM z konfiguračného súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool. |
6 |
Nakonfigurujte uzol HDS na integráciu proxy Ak sieťové prostredie vyžaduje konfiguráciu servera proxy, zadajte typ servera proxy, ktorý použijete pre uzol, a v prípade potreby pridajte certifikát servera proxy do dôveryhodného úložiska. |
7 |
Zaregistrujte prvý uzol v klastri Zaregistrujte VM v cloude Cisco Webex ako uzol Hybrid Data Security. |
8 |
Vytvorte a zaregistrujte viac uzlov Dokončite nastavenie klastra. |
9 |
Aktivujte si Multi-Tenant HDS na Partner Hub. Aktivujte si HDS a spravujte organizácie nájomníkov na Partner Hub. |
Vykonajte počiatočné nastavenie a stiahnite inštalačné súbory
V tejto úlohe stiahnete súbor OVA do svojho počítača (nie na servery, ktoré ste nastavili ako uzly Hybrid Data Security). Tento súbor použijete neskôr v procese inštalácie.
1 |
Prihláste sa do Partnerského centra a potom kliknite na položku Služby. |
2 |
V časti Cloudové služby nájdite kartu Hybrid Data Security a kliknite na tlačidlo Nastaviť. Pre proces nasadenia je rozhodujúce kliknutie na položku Nastaviť v partnerskom centre. Nepokračujte v inštalácii bez dokončenia tohto kroku. |
3 |
Kliknite na položku Pridať zdroj a kliknite na položku Prevziať súbor .OVA na karte Inštalovať a konfigurovať softvér . Staršie verzie softvérového balíka (OVA) nebudú kompatibilné s najnovšími aktualizáciami Hybrid Data Security. To môže viesť k problémom pri inovácii aplikácie. Uistite sa, že ste si stiahli najnovšiu verziu súboru OVA. OVA si tiež môžete kedykoľvek stiahnuť zo sekcie Pomocník . Kliknite na položky . Súbor OVA sa začne automaticky sťahovať. Uložte súbor na miesto v počítači.
|
4 |
Voliteľne kliknite na položku Zobraziť príručku nasadenia hybridného zabezpečenia údajov a skontrolujte, či je k dispozícii novšia verzia tejto príručky. |
Vytvorte ISO konfigurácie pre hostiteľov HDS
Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.
Skôr ako začnete
-
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými administrátorskými právami.
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker v kroku 5 nižšie zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:
-
Databázové poverenia
-
Aktualizácie certifikátov
-
Zmeny v politike autorizácie
-
-
Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.
1 |
Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať. | ||||||||||
2 |
Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce: | ||||||||||
3 |
Pri výzve na zadanie hesla zadajte tento hash: | ||||||||||
4 |
Stiahnite si najnovší stabilný obraz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: | ||||||||||
5 |
Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:
Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“. | ||||||||||
6 |
Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 . Pomocou webového prehliadača prejdite na localhost, Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie. | ||||||||||
7 |
Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia správcu Partner Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre Hybrid Data Security. | ||||||||||
8 |
Na stránke prehľadu nástroja Setup kliknite na položku Začíname. | ||||||||||
9 |
Na stránke Import ISO máte tieto možnosti:
| ||||||||||
10 |
Skontrolujte, či váš certifikát X.509 spĺňa požiadavky uvedené v časti Požiadavky na certifikát X.509.
| ||||||||||
11 |
Zadajte databázovú adresu a účet pre HDS, aby ste získali prístup k vášmu úložisku kľúčových údajov: | ||||||||||
12 |
Vyberte Režim pripojenia databázy TLS:
Keď odovzdáte koreňový certifikát (ak je to potrebné) a kliknete na tlačidlo Pokračovať, nástroj HDS Setup Tool otestuje pripojenie TLS k databázovému serveru. Nástroj tiež overuje podpisovateľa certifikátu a názov hostiteľa, ak je to potrebné. Ak test zlyhá, nástroj zobrazí chybové hlásenie s popisom problému. Môžete si vybrať, či chcete chybu ignorovať a pokračovať v nastavovaní. (Vzhľadom na rozdiely v konektivite môžu byť uzly HDS schopné vytvoriť pripojenie TLS, aj keď ho zariadenie HDS Setup Tool nedokáže úspešne otestovať.) | ||||||||||
13 |
Na stránke Systémové denníky nakonfigurujte svoj server Syslogd: | ||||||||||
14 |
(Voliteľné) Predvolenú hodnotu niektorých parametrov pripojenia k databáze môžete zmeniť v časti Rozšírené nastavenia. Vo všeobecnosti je tento parameter jediný, ktorý možno budete chcieť zmeniť: | ||||||||||
15 |
Kliknite na tlačidlo Pokračovať na obrazovke Obnoviť heslo servisných účtov . Heslá k servisným účtom majú životnosť deväť mesiacov. Túto obrazovku použite, keď sa blíži koniec platnosti vašich hesiel alebo ich chcete resetovať, aby ste zrušili platnosť predchádzajúcich súborov ISO. | ||||||||||
16 |
Kliknite na položku Prevziať súbor ISO. Uložte súbor na miesto, ktoré sa dá ľahko nájsť. | ||||||||||
17 |
Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. | ||||||||||
18 |
Ak chcete vypnúť inštalačný nástroj, napíšte |
Čo robiť ďalej
Zálohujte konfiguračný súbor ISO. Potrebujete ho na vytvorenie ďalších uzlov na obnovu alebo na vykonanie zmien v konfigurácii. Ak stratíte všetky kópie súboru ISO, stratili ste aj hlavný kľúč. Obnovenie kľúčov z databázy PostgreSQL alebo Microsoft SQL Server nie je možné.
Nikdy nemáme kópiu tohto kľúča a nemôžeme vám pomôcť, ak ho stratíte.
Nainštalujte HDS Host OVA
1 |
Na prihlásenie do virtuálneho hostiteľa ESXi použite klienta VMware vSphere na vašom počítači. |
2 |
Vyberte položku Súbor > Nasadiť šablónu OVF. |
3 |
V sprievodcovi zadajte umiestnenie súboru OVA, ktorý ste prevzali predtým, a potom kliknite na tlačidlo Ďalej. |
4 |
Na stránke Vyberte názov a priečinok zadajte Názov virtuálneho počítača pre uzol (napríklad „HDS_Node_1“) a vyberte umiestnenie, kde nasadenie uzla virtuálneho počítača sa môže nachádzať a potom kliknite na tlačidlo Ďalej. |
5 |
Na stránke Vyberte výpočtový zdroj vyberte cieľový výpočtový zdroj a potom kliknite na tlačidlo Ďalej. Prebehne overovacia kontrola. Po dokončení sa zobrazia podrobnosti šablóny. |
6 |
Overte podrobnosti šablóny a potom kliknite na tlačidlo Ďalej. |
7 |
Ak sa zobrazí výzva na výber konfigurácie prostriedkov na stránke Konfigurácia , kliknite na položku 4 CPU a potom kliknite na tlačidlo Ďalej. |
8 |
Na stránke Vybrať úložisko kliknite na tlačidlo Ďalej , čím prijmete predvolený formát disku a pravidlá úložiska VM. |
9 |
Na stránke Vybrať siete vyberte sieťovú možnosť zo zoznamu položiek, aby ste poskytli požadované pripojenie k virtuálnemu počítaču. |
10 |
Na stránke Prispôsobiť šablónu nakonfigurujte nasledujúce nastavenia siete:
Ak chcete, môžete preskočiť konfiguráciu nastavenia siete a podľa krokov v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov nakonfigurujte nastavenia z konzoly uzla. Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 7.0. Táto možnosť nemusí byť dostupná v starších verziách. |
11 |
Kliknite pravým tlačidlom myši na uzol VM a potom vyberte položky .Softvér Hybrid Data Security je nainštalovaný ako hosť na hostiteľovi VM. Teraz ste pripravení prihlásiť sa do konzoly a nakonfigurovať uzol. Tipy na riešenie problémov Môžete zaznamenať oneskorenie niekoľkých minút, kým sa kontajnery uzlov objavia. Počas prvého spustenia, počas ktorého sa nemôžete prihlásiť, sa na konzole zobrazí správa brány firewall mosta. |
Nastavte virtuálny počítač Hybrid Data Security
Tento postup použite na prvé prihlásenie do konzoly VM uzla Hybrid Data Security a nastavenie prihlasovacích poverení. Konzolu môžete použiť aj na konfiguráciu sieťových nastavení pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.
1 |
V klientovi VMware vSphere vyberte svoj uzol Hybrid Data Security VM a vyberte kartu Konzola . VM sa spustí a zobrazí sa výzva na prihlásenie. Ak sa výzva na prihlásenie nezobrazí, stlačte kláves Enter.
|
2 |
Na prihlásenie a zmenu poverení použite nasledujúce predvolené prihlasovacie meno a heslo: Keďže sa do svojho VM prihlasujete prvýkrát, musíte zmeniť heslo správcu. |
3 |
Ak ste už nakonfigurovali nastavenia siete v časti Inštalácia hostiteľa HDS OVA, preskočte zvyšok tohto postupu. V opačnom prípade vyberte v hlavnej ponuke možnosť Upraviť konfiguráciu . |
4 |
Nastavte statickú konfiguráciu s IP adresou, maskou, bránou a informáciami DNS. Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované. |
5 |
(Voliteľné) Zmeňte názov hostiteľa, doménu alebo server(y) NTP, ak je to potrebné, aby zodpovedali zásadám vašej siete. Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509. |
6 |
Uložte konfiguráciu siete a reštartujte VM, aby sa zmeny prejavili. |
Nahrajte a pripojte ISO konfiguráciu HDS
Skôr ako začnete
Pretože súbor ISO obsahuje hlavný kľúč, mal by byť zverejnený iba na základe „potreby vedieť“, aby k nemu mali prístup virtuálne počítače s hybridným zabezpečením údajov a všetci správcovia, ktorí môžu potrebovať vykonať zmeny. Uistite sa, že k úložisku údajov majú prístup iba títo správcovia.
1 |
Nahrajte súbor ISO z počítača: |
2 |
Pripojte súbor ISO: |
Čo robiť ďalej
Ak to vyžaduje vaša politika IT, môžete voliteľne odpojiť súbor ISO po tom, čo všetky vaše uzly prevezmú zmeny konfigurácie. Podrobnosti nájdete v časti (Voliteľné) Odpojenie ISO po konfigurácii HDS .
Nakonfigurujte uzol HDS na integráciu proxy
Ak sieťové prostredie vyžaduje server proxy, použite tento postup na určenie typu servera proxy, ktorý chcete integrovať s Hybrid Data Security. Ak si vyberiete transparentný kontrolný proxy server alebo explicitný proxy server HTTPS, môžete použiť rozhranie uzla na nahranie a inštaláciu koreňového certifikátu. Môžete tiež skontrolovať pripojenie proxy z rozhrania a vyriešiť prípadné problémy.
Skôr ako začnete
-
Prehľad podporovaných možností servera proxy nájdete v časti Podpora servera proxy .
1 |
Do webového prehliadača zadajte adresu URL nastavenia uzla HDS |
2 |
Prejdite na stránku Trust Store & Proxy a potom vyberte jednu z možností:
Postupujte podľa nasledujúcich krokov pre transparentný kontrolný proxy server, explicitný proxy server HTTP so základným overením alebo explicitný proxy HTTPS. |
3 |
Kliknite na položku Odovzdať koreňový certifikát alebo certifikát ukončenia entity a potom prejdite na výber koreňového certifikátu pre server proxy. Certifikát je nahraný, ale ešte nie je nainštalovaný, pretože na inštaláciu certifikátu musíte reštartovať uzol. Ak chcete získať ďalšie podrobnosti, kliknite na šípku so šípkou vedľa názvu vydavateľa certifikátu. Ak ste urobili chybu a chcete súbor nahrať znova, kliknite na tlačidlo Odstrániť . |
4 |
Kliknutím na položku Skontrolovať pripojenie proxy otestujete sieťové pripojenie medzi uzlom a serverom proxy. Ak test pripojenia zlyhá, zobrazí sa chybové hlásenie, ktoré uvádza dôvod a spôsob, ako môžete problém vyriešiť. Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS. Tento stav sa očakáva v mnohých explicitných konfiguráciách proxy. Môžete pokračovať v nastavovaní a uzol bude fungovať v režime zablokovaného externého rozlíšenia DNS. Ak si myslíte, že ide o chybu, vykonajte tieto kroky a potom si pozrite časť Vypnutie režimu zablokovaného externého rozlíšenia DNS. |
5 |
Po úspešnom teste pripojenia pre explicitný server proxy nastavený iba na https zapnite prepínač na možnosť Smerovať všetky požiadavky protokolu https z tohto uzla na port 443/444 cez explicitný server proxy. Toto nastavenie sa prejaví po 15 sekundách. |
6 |
Kliknite na položku Inštalovať všetky certifikáty do dôveryhodného úložiska (zobrazí sa pri explicitnom serveri proxy HTTPS alebo transparentnom kontrolnom serveri proxy) alebo Reštartovať (zobrazí sa pri explicitnom serveri proxy HTTP), prečítajte si výzvu a potom kliknite na tlačidlo Inštalovať , ak ste pripravení. Uzol sa reštartuje v priebehu niekoľkých minút. |
7 |
Keď sa uzol reštartuje, v prípade potreby sa znova prihláste a potom otvorte stránku Prehľad a skontrolujte kontroly pripojenia, aby ste sa uistili, že sú všetky v zelenom stave. Kontrola pripojenia proxy testuje iba subdoménu webex.com. Ak sa vyskytnú problémy s pripojením, bežným problémom je, že niektoré z cloudových domén uvedených v pokynoch na inštaláciu sú na serveri proxy blokované. |
Zaregistrujte prvý uzol v klastri
Keď zaregistrujete svoj prvý uzol, vytvoríte klaster, ku ktorému je uzol priradený. Klaster obsahuje jeden alebo viac uzlov nasadených na zabezpečenie redundancie.
Skôr ako začnete
-
Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.
-
Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.
1 |
Prihláste sa do https://admin.webex.com. |
2 |
V ponuke na ľavej strane obrazovky vyberte položku Služby. |
3 |
V časti Cloudové služby nájdite kartu Hybrid Data Security a kliknite na tlačidlo Nastaviť. |
4 |
Na stránke, ktorá sa otvorí, kliknite na položku Pridať zdroj. |
5 |
Do prvého poľa na karte Pridať uzol zadajte názov klastra, ktorému chcete priradiť uzol Hybrid Data Security. Odporúčame pomenovať klaster podľa toho, kde sa geograficky nachádzajú uzly klastra. Príklady: „San Francisco“ alebo „New York“ alebo „Dallas“ |
6 |
Do druhého poľa zadajte internú adresu IP alebo úplný názov domény (FQDN) svojho uzla a kliknite na tlačidlo Pridať v dolnej časti obrazovky. Táto adresa IP alebo FQDN by sa mala zhodovať s adresou IP alebo názvom hostiteľa a doménou, ktoré ste použili v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov. Zobrazí sa správa, že môžete zaregistrovať svoj uzol do Webexu.
|
7 |
Kliknite na položku Prejsť do uzla. Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že svojej organizácii Webex chcete udeliť povolenia na prístup k vášmu uzlu. |
8 |
Začiarknite políčko Povoliť prístup k vášmu uzlu zabezpečenia hybridných údajov a potom kliknite na tlačidlo Pokračovať. Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
|
9 |
Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Hybrid Data Security partnerského centra. Na stránke Hybrid Data Security sa nový klaster obsahujúci uzol, ktorý ste zaregistrovali, zobrazí na karte Prostriedky . Uzol si automaticky stiahne najnovší softvér z cloudu.
|
Vytvorte a zaregistrujte viac uzlov
Skôr ako začnete
-
Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.
-
Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.
1 |
Vytvorte nový virtuálny počítač z OVA zopakovaním krokov v časti Inštalácia hostiteľského OVA HDS. |
2 |
Nastavte úvodnú konfiguráciu na novom virtuálnom počítači zopakovaním krokov v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov. |
3 |
Na novom virtuálnom počítači zopakujte kroky v časti Odovzdanie a pripojenie ISO konfigurácie HDS. |
4 |
Ak nastavujete server proxy pre svoje nasadenie, zopakujte kroky v časti Konfigurácia uzla HDS na integráciu servera proxy podľa potreby pre nový uzol. |
5 |
Zaregistrujte uzol. |
Spravujte organizácie nájomníkov na hybridnom zabezpečení dát pre viacerých nájomníkov
Aktivujte si Multi-Tenant HDS na Partner Hub
Táto úloha zaisťuje, že všetci používatelia zákazníckych organizácií môžu začať využívať HDS pre lokálne šifrovacie kľúče a ďalšie bezpečnostné služby.
Skôr ako začnete
Uistite sa, že ste dokončili nastavenie klastra Multi-Tenant HDS s požadovaným počtom uzlov.
1 |
Prihláste sa do https://admin.webex.com. |
2 |
V ponuke na ľavej strane obrazovky vyberte položku Služby. |
3 |
V časti Cloudové služby vyhľadajte Hybrid Data Security a kliknite na položku Upraviť nastavenia. |
4 |
Kliknite na položku Aktivovať HDS na karte Stav HDS . |
Pridajte organizácie nájomníkov v partnerskom centre
V tejto úlohe priradíte zákaznícke organizácie k vášmu Hybrid Data Security Cluster.
1 |
Prihláste sa do https://admin.webex.com. |
2 |
V ponuke na ľavej strane obrazovky vyberte položku Služby. |
3 |
V sekcii Cloudové služby nájdite Hybrid Data Security a kliknite na položku Zobraziť všetko. |
4 |
Kliknite na klaster, ku ktorému chcete priradiť zákazníka. |
5 |
Prejdite na kartu Priradení zákazníci . |
6 |
Kliknite na položku Pridať zákazníkov. |
7 |
Z rozbaľovacej ponuky vyberte zákazníka, ktorého chcete pridať. |
8 |
Kliknite na tlačidlo Pridať, zákazník bude pridaný do klastra. |
9 |
Ak chcete do svojho klastra pridať viacerých zákazníkov, zopakujte kroky 6 až 8. |
10 |
Po pridaní zákazníkov kliknite na tlačidlo Hotovo v dolnej časti obrazovky. |
Čo robiť ďalej
Vytvorte hlavné kľúče zákazníka (CMK) pomocou nástroja HDS Setup
Skôr ako začnete
Priraďte zákazníkov do príslušného klastra, ako je podrobne uvedené v časti Pridanie organizácií nájomníkov do centra partnerov. Spustite nástroj HDS Setup a dokončite proces nastavenia pre novo pridané zákaznícke organizácie.
-
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými administrátorskými právami pre vašu organizáciu.
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker v kroku 5 zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:
-
Databázové poverenia
-
Aktualizácie certifikátov
-
Zmeny v politike autorizácie
-
-
Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.
Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.
1 |
Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať. |
2 |
Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce: |
3 |
Pri výzve na zadanie hesla zadajte tento hash: |
4 |
Stiahnite si najnovší stabilný obraz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: |
5 |
Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:
Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“. |
6 |
Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 . Pomocou webového prehliadača prejdite na localhost, Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie. |
7 |
Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia správcu Partner Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre Hybrid Data Security. |
8 |
Na stránke prehľadu nástroja Setup kliknite na položku Začíname. |
9 |
Na stránke Import ISO kliknite na tlačidlo Áno. |
10 |
Vyberte súbor ISO v prehliadači a nahrajte ho. Ak chcete vykonávať správu CMK, zaistite pripojenie k databáze. |
11 |
Prejdite na kartu Správa CMK nájomcov , kde nájdete nasledujúce tri spôsoby správy CMK nájomcov.
|
12 |
Po úspešnom vytvorení CMK sa stav v tabuľke zmení z Čaká sa na správu CMK na Spravuje CMK. |
13 |
Ak je vytvorenie CMK neúspešné, zobrazí sa chyba. |
Odstráňte organizácie nájomníkov
Skôr ako začnete
Po odstránení nebudú používatelia zákazníckych organizácií môcť využívať HDS pre svoje potreby šifrovania a stratia všetky existujúce miesta. Pred odstránením zákazníckych organizácií kontaktujte svojho partnera Cisco alebo správcu účtu.
1 |
Prihláste sa do https://admin.webex.com. |
2 |
V ponuke na ľavej strane obrazovky vyberte položku Služby. |
3 |
V sekcii Cloudové služby nájdite Hybrid Data Security a kliknite na položku Zobraziť všetko. |
4 |
Na karte Zdroje kliknite na klaster, z ktorého chcete odstrániť organizácie zákazníkov. |
5 |
Na stránke, ktorá sa otvorí, kliknite na položku Priradení zákazníci. |
6 |
V zobrazenom zozname organizácií zákazníkov kliknite na položku ... na pravej strane organizácie zákazníka, ktorú chcete odstrániť, a kliknite na položku Odstrániť z klastra. |
Čo robiť ďalej
Dokončite proces odstránenia zrušením CMK zákazníckych organizácií, ako je podrobne uvedené v časti Odvolanie CMK nájomníkov odstránených z HDS.
Zrušiť CMK nájomníkov odstránených z HDS.
Skôr ako začnete
Odstráňte zákazníkov z príslušného klastra, ako je podrobne uvedené v časti Odstránenie organizácií nájomníkov. Spustite nástroj HDS Setup a dokončite proces odstránenia pre zákaznícke organizácie, ktoré boli odstránené.
-
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými administrátorskými právami pre vašu organizáciu.
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker v kroku 5 zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:
-
Databázové poverenia
-
Aktualizácie certifikátov
-
Zmeny v politike autorizácie
-
-
Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.
Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.
1 |
Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať. |
2 |
Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce: |
3 |
Pri výzve na zadanie hesla zadajte tento hash: |
4 |
Stiahnite si najnovší stabilný obraz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: |
5 |
Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:
Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“. |
6 |
Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 . Pomocou webového prehliadača prejdite na localhost, Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie. |
7 |
Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia správcu Partner Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre Hybrid Data Security. |
8 |
Na stránke prehľadu nástroja Setup kliknite na položku Začíname. |
9 |
Na stránke Import ISO kliknite na tlačidlo Áno. |
10 |
Vyberte súbor ISO v prehliadači a nahrajte ho. |
11 |
Prejdite na kartu Správa CMK nájomcov , kde nájdete nasledujúce tri spôsoby správy CMK nájomcov.
|
12 |
Po úspešnom odvolaní CMK sa zákaznícka organizácia už nebude zobrazovať v tabuľke. |
13 |
Ak je zrušenie CMK neúspešné, zobrazí sa chyba. |
Otestujte svoje nasadenie Hybrid Data Security
Otestujte svoje nasadenie hybridného zabezpečenia dát
Skôr ako začnete
-
Nastavte svoje nasadenie Hybridného zabezpečenia dát pre viacerých nájomníkov.
-
Uistite sa, že máte prístup k syslog, aby ste si overili, že kľúčové požiadavky prechádzajú do vášho nasadenia Multi-Tenant Hybrid Data Security.
1 |
Kľúče pre daný priestor nastavuje tvorca priestoru. Prihláste sa do aplikácie Webex ako jeden z používateľov zákazníckej organizácie a potom vytvorte priestor. Ak deaktivujete nasadenie Hybrid Data Security, obsah v priestoroch, ktoré vytvoria používatelia, už nebude prístupný po výmene kópií šifrovacích kľúčov uložených vo vyrovnávacej pamäti klienta. |
2 |
Posielajte správy do nového priestoru. |
3 |
Skontrolujte výstup syslog, aby ste si overili, že požiadavky na kľúče prechádzajú do vášho nasadenia Hybrid Data Security. |
Monitorujte zdravie Hybrid Data Security Health
1 |
V Centre pre partnerov vyberte z ponuky na ľavej strane obrazovky položku Služby . |
2 |
V časti Cloudové služby vyhľadajte Hybrid Data Security a kliknite na položku Upraviť nastavenia. Zobrazí sa stránka Hybrid Data Security Settings.
|
3 |
V časti E-mailové upozornenia zadajte jednu alebo viac e-mailových adries oddelených čiarkami a stlačte kláves Enter. |
Spravujte svoje nasadenie HDS
Spravujte nasadenie HDS
Pomocou tu popísaných úloh spravujte svoje nasadenie Hybrid Data Security.
Nastavte plán aktualizácie klastra
Ak chcete nastaviť plán aktualizácie:
1 |
Prihláste sa do Partnerského centra. |
2 |
V ponuke na ľavej strane obrazovky vyberte položku Služby. |
3 |
V časti Cloudové služby vyhľadajte Hybrid Data Security a kliknite na tlačidlo Nastaviť |
4 |
Na stránke Hybrid Data Security Resources vyberte klaster. |
5 |
Kliknite na kartu Nastavenia klastra . |
6 |
Na stránke Nastavenia klastra v časti Plán aktualizácie vyberte čas a časové pásmo pre plán inovácie. Poznámka: Pod časovým pásmom sa zobrazí dátum a čas ďalšej dostupnej aktualizácie. V prípade potreby môžete inováciu odložiť na nasledujúci deň kliknutím na položku Odložiť o 24 hodín. |
Zmeňte konfiguráciu uzla
-
Zmena x.509 certifikátov z dôvodu uplynutia platnosti alebo iných dôvodov.
Nepodporujeme zmenu názvu domény CN certifikátu. Doména sa musí zhodovať s pôvodnou doménou použitou na registráciu klastra.
-
Aktualizácia nastavení databázy pre zmenu na repliku databázy PostgreSQL alebo Microsoft SQL Server.
Nepodporujeme migráciu údajov z PostgreSQL na Microsoft SQL Server ani opačným spôsobom. Ak chcete zmeniť prostredie databázy, spustite nové nasadenie Hybrid Data Security.
-
Vytvorenie novej konfigurácie na prípravu nového dátového centra.
Z bezpečnostných dôvodov používa Hybrid Data Security heslá servisných účtov, ktoré majú životnosť deväť mesiacov. Keď nástroj HDS Setup vygeneruje tieto heslá, nasadíte ich do každého z vašich uzlov HDS v konfiguračnom súbore ISO. Keď sa blíži koniec platnosti hesiel vašej organizácie, dostanete od tímu Webex upozornenie na resetovanie hesla pre váš počítačový účet. (E-mail obsahuje text „Na aktualizáciu hesla použite rozhranie API strojového účtu.“) Ak platnosť vašich hesiel ešte nevypršala, nástroj vám ponúka dve možnosti:
-
Mäkké obnovenie – staré aj nové heslo fungujú až 10 dní. Toto obdobie použite na postupnú výmenu súboru ISO na uzloch.
-
Tvrdý reset – staré heslá okamžite prestanú fungovať.
Ak platnosť vašich hesiel vyprší bez resetovania, ovplyvní to vašu službu HDS, čo si vyžaduje okamžitý tvrdý reset a nahradenie súboru ISO na všetkých uzloch.
Tento postup použite na vygenerovanie nového konfiguračného súboru ISO a jeho použitie vo vašom klastri.
Skôr ako začnete
-
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými administrátorskými právami partnera.
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri vytváraní kontajnera Docker v 1.e zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Na vygenerovanie novej konfigurácie potrebujete kópiu aktuálneho konfiguračného súboru ISO. ISO obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. ISO potrebujete, keď robíte zmeny v konfigurácii vrátane poverení databázy, aktualizácií certifikátov alebo zmien v politike autorizácie.
1 |
Pomocou Docker na lokálnom počítači spustite nástroj HDS Setup Tool. |
2 |
Ak máte spustený iba jeden uzol HDS, vytvorte nový virtuálny počítač s uzlom Hybrid Data Security a zaregistrujte ho pomocou nového konfiguračného súboru ISO. Podrobnejšie pokyny nájdete v časti Vytvorenie a registrácia ďalších uzlov. |
3 |
Pre existujúce uzly HDS, na ktorých je spustený starší konfiguračný súbor, pripojte súbor ISO. Postupne vykonajte nasledujúci postup na každom uzle a pred vypnutím ďalšieho uzla aktualizujte každý uzol: |
4 |
Opakujte krok 3, aby ste nahradili konfiguráciu na každom zostávajúcom uzle, na ktorom je spustená stará konfigurácia. |
Vypnite režim zablokovaného externého rozlíšenia DNS
Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. Ak server DNS uzla nedokáže rozlíšiť verejné názvy DNS, uzol automaticky prejde do režimu zablokovaného externého rozlíšenia DNS.
Ak vaše uzly dokážu rozlíšiť verejné názvy DNS prostredníctvom interných serverov DNS, môžete tento režim vypnúť opätovným spustením testu pripojenia proxy na každom uzle.
Skôr ako začnete
1 |
Vo webovom prehliadači otvorte rozhranie uzla Hybrid Data Security (adresa IP/ nastavenie, napríklad https://192.0.2.0/setup), zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite na tlačidlo Prihlásiť sa). |
2 |
Prejdite na Prehľad (predvolená stránka). Keď je táto možnosť povolená, možnosť Blokované externé rozlíšenie DNS je nastavená na možnosť Áno. |
3 |
Prejdite na stránku Trust Store & Proxy . |
4 |
Kliknite na položku Skontrolovať pripojenie proxy. Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS a zostane v tomto režime. V opačnom prípade po reštartovaní uzla a návrate na stránku Prehľad by mala byť možnosť Blokované externé rozlíšenie DNS nastavené na možnosť Nie. |
Čo robiť ďalej
Odstráňte uzol
1 |
Pomocou klienta VMware vSphere vo svojom počítači sa prihláste do virtuálneho hostiteľa ESXi a vypnite virtuálny počítač. |
2 |
Odstráňte uzol: |
3 |
V klientovi vSphere odstráňte VM. (Na ľavom navigačnom paneli kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Odstrániť.) Ak nevymažete VM, nezabudnite odpojiť konfiguračný súbor ISO. Bez súboru ISO nemôžete použiť VM na prístup k bezpečnostným údajom. |
Obnova po havárii pomocou pohotovostného dátového centra
Najdôležitejšou službou, ktorú váš klaster Hybrid Data Security poskytuje, je vytváranie a ukladanie kľúčov používaných na šifrovanie správ a iného obsahu uloženého v cloude Webex. Pre každého používateľa v rámci organizácie, ktorý je priradený k Hybrid Data Security, sú do klastra smerované nové požiadavky na vytvorenie kľúča. Klaster je tiež zodpovedný za vrátenie kľúčov, ktoré vytvoril, všetkým používateľom oprávneným na ich získanie, napríklad členom konverzačného priestoru.
Pretože klaster vykonáva kritickú funkciu poskytovania týchto kľúčov, je nevyhnutné, aby klaster zostal spustený a aby boli udržiavané správne zálohy. Strata databázy Hybrid Data Security alebo konfigurácie ISO použitej pre schému bude mať za následok NENÁVRATNÚ STRATU zákazníckeho obsahu. Na zabránenie takejto strate sú povinné nasledujúce postupy:
Ak havária spôsobí, že nasadenie HDS v primárnom dátovom centre sa stane nedostupným, podľa tohto postupu manuálne prepnite na pohotovostné dátové centrum.
Skôr ako začnete
1 |
Spustite nástroj na nastavenie HDS a postupujte podľa krokov uvedených v časti Vytvorenie konfiguračného ISO pre hostiteľov HDS. |
2 |
Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť. |
3 |
Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. |
4 |
V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Upraviť nastavenia. |
5 |
Kliknite na položku Upraviť nastavenia >Jednotka CD/DVD 1 a vyberte položku Datastore ISO File. Uistite sa, že sú začiarknuté položky Pripojené a Pripojiť pri zapnutí , aby sa aktualizované zmeny konfigurácie prejavili po spustení uzlov. |
6 |
Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy. |
7 |
Zaregistrujte uzol v partnerskom centre. Pozrite si časť Registrácia prvého uzla v klastri. |
8 |
Opakujte proces pre každý uzol v pohotovostnom dátovom centre. |
Čo robiť ďalej
(Voliteľné) Odpojte ISO po konfigurácii HDS
Štandardná konfigurácia HDS beží s namontovaným ISO. Niektorí zákazníci však uprednostňujú neponechať súbory ISO nepretržite pripojené. Súbor ISO môžete odpojiť potom, čo všetky uzly HDS prevezmú novú konfiguráciu.
Na vykonanie zmien v konfigurácii stále používate súbory ISO. Keď vytvoríte nový ISO alebo aktualizujete ISO pomocou nástroja Setup Tool, musíte aktualizovaný ISO pripojiť na všetky vaše uzly HDS. Keď všetky vaše uzly zachytia zmeny konfigurácie, môžete ISO znova odpojiť pomocou tohto postupu.
Skôr ako začnete
Inovujte všetky svoje uzly HDS na verziu 2021.01.22.4720 alebo novšiu.
1 |
Vypnite jeden z uzlov HDS. |
2 |
V serverovom zariadení vCenter vyberte uzol HDS. |
3 |
Vyberte položku Súbor ISO úložiska údajov. a zrušte začiarknutie políčka |
4 |
Zapnite uzol HDS a uistite sa, že aspoň 20 minút nie sú žiadne alarmy. |
5 |
Postup opakujte pre každý uzol HDS. |
Riešenie problémov so zabezpečením hybridných údajov
Zobraziť upozornenia a riešenie problémov
Nasadenie Hybrid Data Security sa považuje za nedostupné, ak sú všetky uzly v klastri nedostupné alebo klaster pracuje tak pomaly, že si vyžaduje časový limit. Ak používatelia nemôžu dosiahnuť váš klaster Hybrid Data Security, zaznamenajú nasledujúce príznaky:
-
Nie je možné vytvoriť nové medzery (nemožno vytvoriť nové kľúče)
-
Správy a názvy priestorov sa nedajú dešifrovať pre:
-
Noví používatelia pridaní do priestoru (nemožno načítať kľúče)
-
Existujúci používatelia v priestore používajúci nového klienta (nemožno načítať kľúče)
-
-
Existujúci používatelia v priestore budú naďalej úspešne fungovať, pokiaľ ich klienti majú vyrovnávaciu pamäť šifrovacích kľúčov
Je dôležité, aby ste správne monitorovali svoj klaster Hybrid Data Security a okamžite riešili všetky výstrahy, aby ste predišli prerušeniu služby.
Upozornenia
Ak sa vyskytne problém s nastavením Hybrid Data Security, partnerské centrum zobrazí upozornenia správcovi organizácie a odošle e-maily na nakonfigurovanú e-mailovú adresu. Výstrahy pokrývajú mnoho bežných scenárov.
Upozornenie |
Akcia |
---|---|
Zlyhanie prístupu k lokálnej databáze. |
Skontrolujte chyby databázy alebo problémy s lokálnou sieťou. |
Zlyhanie pripojenia k lokálnej databáze. |
Skontrolujte, či je databázový server dostupný a či boli v konfigurácii uzla použité správne poverenia servisného účtu. |
Zlyhanie prístupu k cloudovej službe. |
Skontrolujte, či majú uzly prístup k serverom Webex, ako je uvedené v časti Požiadavky na externé pripojenie. |
Obnovuje sa registrácia cloudovej služby. |
Registrácia do cloudových služieb bola zrušená. Prebieha obnova registrácie. |
Registrácia cloudovej služby bola zrušená. |
Registrácia do cloudových služieb bola ukončená. Služba sa vypína. |
Služba ešte nie je aktivovaná. |
Aktivujte HDS v Partner Hub. |
Nakonfigurovaná doména sa nezhoduje s certifikátom servera. |
Uistite sa, že váš certifikát servera sa zhoduje s nakonfigurovanou doménou aktivácie služby. Najpravdepodobnejšou príčinou je, že certifikát CN bol nedávno zmenený a teraz sa líši od CN, ktorý bol použitý počas počiatočného nastavenia. |
Nepodarilo sa overiť v cloudových službách. |
Skontrolujte presnosť a možné vypršanie platnosti poverení servisného účtu. |
Nepodarilo sa otvoriť súbor lokálneho úložiska kľúčov. |
Skontrolujte integritu a presnosť hesla v lokálnom súbore skladu kľúčov. |
Certifikát lokálneho servera je neplatný. |
Skontrolujte dátum vypršania platnosti certifikátu servera a potvrďte, že bol vydaný dôveryhodnou certifikačnou autoritou. |
Nie je možné uverejniť metriky. |
Skontrolujte prístup k lokálnej sieti k externým cloudovým službám. |
Adresár /media/configdrive/hds neexistuje. |
Skontrolujte konfiguráciu pripojenia ISO na virtuálnom hostiteľovi. Overte, či súbor ISO existuje, či je nakonfigurovaný na pripojenie pri reštarte a či sa úspešne pripojí. |
Nastavenie nájomnej organizácie pre pridané organizácie nie je dokončené |
Dokončite nastavenie vytvorením CMK pre novo pridané organizácie nájomníkov pomocou nástroja HDS Setup Tool. |
Nastavenie nájomnej organizácie pre odstránené organizácie nie je dokončené |
Dokončite nastavenie zrušením CMK organizácií nájomníkov, ktoré boli odstránené pomocou nástroja HDS Setup Tool. |
Riešenie problémov so zabezpečením hybridných údajov
1 |
Skontrolujte partnerské centrum pre všetky upozornenia a opravte všetky položky, ktoré tam nájdete. Pozrite si obrázok nižšie ako referenciu. |
2 |
Skontrolujte výstup servera syslog pre aktivitu z nasadenia Hybrid Data Security. Filtrujte slová ako „Upozornenie“ a „Chyba“, ktoré vám pomôžu pri riešení problémov. |
3 |
Kontaktujte podporu Cisco. |
Ďalšie poznámky
Známe problémy s hybridnou bezpečnosťou dát
-
Ak vypnete svoj klaster Hybrid Data Security (odstránením v Partner Hub alebo vypnutím všetkých uzlov), stratíte svoj konfiguračný súbor ISO alebo stratíte prístup k databáze úložiska kľúčov, používatelia aplikácií Webex zo zákazníckych organizácií už nebudú môcť používať priestory pod ich zoznam ľudí, ktorý bol vytvorený pomocou kľúčov z vášho KMS. V súčasnosti nemáme riešenie ani opravu tohto problému a žiadame vás, aby ste nevypínali svoje služby HDS, keď budú spracovávať aktívne používateľské účty.
-
Klient, ktorý má existujúce pripojenie ECDH ku KMS, udržiava toto pripojenie určitý čas (pravdepodobne jednu hodinu).
Na vygenerovanie súboru PKCS12 použite OpenSSL
Skôr ako začnete
-
OpenSSL je jeden nástroj, ktorý možno použiť na vytvorenie súboru PKCS12 v správnom formáte na načítanie v nástroji HDS Setup Tool. Existujú aj iné spôsoby, ako to urobiť, a my nepodporujeme ani nepresadzujeme jeden spôsob oproti druhému.
-
Ak sa rozhodnete použiť OpenSSL, poskytujeme tento postup ako návod, ktorý vám pomôže vytvoriť súbor, ktorý spĺňa požiadavky na certifikát X.509 v časti Požiadavky na certifikát X.509. Než budete pokračovať, pochopte tieto požiadavky.
-
Nainštalujte OpenSSL v podporovanom prostredí. Softvér a dokumentáciu nájdete v časti https://www.openssl.org .
-
Vytvorte si súkromný kľúč.
-
Tento postup začnite, keď dostanete certifikát servera od certifikačnej autority (CA).
1 |
Keď od svojej CA dostanete certifikát servera, uložte ho ako |
2 |
Zobrazte certifikát ako text a overte podrobnosti.
|
3 |
Pomocou textového editora vytvorte súbor balíka certifikátov s názvom
|
4 |
Vytvorte súbor .p12 s priateľským názvom
|
5 |
Skontrolujte podrobnosti certifikátu servera. |
Čo robiť ďalej
Vráťte sa na stránku Dokončenie predpokladov pre hybridné zabezpečenie údajov. V časti Vytvorenie konfiguračného ISO pre hostiteľov HDS použijete súbor hdsnode.p12
a heslo, ktoré ste preň nastavili.
Tieto súbory môžete znova použiť na vyžiadanie nového certifikátu, keď platnosť pôvodného certifikátu vyprší.
Prevádzka medzi uzlami HDS a cloudom
Odchádzajúca návštevnosť zberu metrík
Uzly Hybrid Data Security odosielajú určité metriky do cloudu Webex. Patria sem systémové metriky pre maximálnu haldu, využitú haldu, zaťaženie procesora a počet vlákien; metriky na synchrónnych a asynchrónnych vláknach; metriky výstrah zahŕňajúce prah šifrovacích pripojení, latenciu alebo dĺžku frontu požiadaviek; metriky na dátovom úložisku; a metriky šifrovaného pripojenia. Uzly posielajú zašifrovaný kľúčový materiál cez kanál mimo pásma (oddelený od požiadavky).
Prichádzajúca premávka
Uzly Hybrid Data Security prijímajú nasledujúce typy prichádzajúcej prevádzky z cloudu Webex:
-
Šifrovacie požiadavky od klientov, ktoré sú smerované šifrovacou službou
-
Aktualizácie softvéru uzla
Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát
Websocket sa nemôže pripojiť cez Squid Proxy
Servery proxy typu Squid, ktoré kontrolujú prenos HTTPS, môžu narúšať vytváranie pripojení websocket (wss:
), ktoré vyžaduje Hybrid Data Security. Tieto časti poskytujú návod, ako nakonfigurovať rôzne verzie Squid tak, aby ignorovali wss:
prevádzky pre správne fungovanie služieb.
Kalmáre 4 a 5
Pridajte on_unsupported_protocol
smernicu na stránku squid.conf
:
on_unsupported_protocol tunel všetko
Kalmáre 3.5.27
Úspešne sme testovali Hybrid Data Security pomocou nasledujúcich pravidiel pridaných na stránku squid.conf
. Tieto pravidlá sa môžu meniť, pretože vyvíjame funkcie a aktualizujeme cloud Webex.
acl wssMercuryConnection ssl::server_name_regex ortuťové pripojenie ssl_bump splice wssMercuryConnection acl krok1 at_step SslBump1 acl krok2 at_step SslBump2 acl krok3 at_step SslBump3 ssl_bump pohľad krok1 všetko ssl_bump pozerať krok2 všetko ssl_bump vyskočiť krok3 všetko
Nové a zmenené informácie
Nové a zmenené informácie
Táto tabuľka obsahuje nové funkcie alebo funkcie, zmeny existujúceho obsahu a všetky hlavné chyby, ktoré boli opravené v Príručke nasadenia pre multi-tenantovú hybridnú bezpečnosť údajov.
Dátum |
Vykonané zmeny |
---|---|
30. januára 2025 |
Pridaný server SQL verzie 2022 do zoznamu podporovaných serverov SQL v časti Požiadavky na databázový server. |
15. januára 2025 |
Pridané obmedzenia Hybridného zabezpečenia dát pre viacerých nájomníkov. |
8. januára 2025 |
Do časti Vykonať úvodné nastavenie a prevziať inštalačné súbory bola pridaná poznámka, že kliknutie na položku Nastaviť na karte HDS v partnerskom centre je dôležitým krokom procesu inštalácie. |
7. januára 2025 |
Aktualizované Požiadavky na virtuálneho hostiteľa, Tok úloh nasadenia hybridného zabezpečenia údajov a Inštalácia hostiteľského OVA HDS , aby zobrazovali novú požiadavku ESXi 7.0. |
13. decembra 2024 |
Prvýkrát zverejnené. |
Deaktivujte hybridné zabezpečenie dát pre viacerých nájomníkov
Tok úloh deaktivácie HDS pre viacerých nájomníkov
Ak chcete úplne deaktivovať Multi-Tenant HDS, postupujte podľa týchto krokov.
Skôr ako začnete
1 |
Odstráňte všetkých zákazníkov zo všetkých svojich klastrov, ako je uvedené v časti Odstránenie organizácií nájomníkov. |
2 |
Zrušte CMK všetkých zákazníkov, ako je uvedené v časti Zrušenie CMK nájomníkov odstránených z HDS. |
3 |
Odstráňte všetky uzly zo všetkých klastrov, ako je uvedené v časti Odstránenie uzla. |
4 |
Odstráňte všetky svoje klastre z Partner Hub pomocou jednej z nasledujúcich dvoch metód.
|
5 |
Kliknite na kartu Nastavenia na stránke prehľadu Hybrid Data Security a kliknite na položku Deaktivovať HDS na karte Stav HDS. |
Začnite s Hybridným zabezpečením dát pre viacerých nájomníkov
Prehľad zabezpečenia hybridných dát pre viacerých nájomníkov
Od prvého dňa bola bezpečnosť údajov hlavným zameraním pri navrhovaní aplikácie Webex. Základným kameňom tohto zabezpečenia je komplexné šifrovanie obsahu, ktoré umožňujú klienti Webex App interagujúci so službou správy kľúčov (KMS). KMS je zodpovedný za vytváranie a správu kryptografických kľúčov, ktoré klienti používajú na dynamické šifrovanie a dešifrovanie správ a súborov.
V predvolenom nastavení dostávajú všetci zákazníci Webex App end-to-end šifrovanie s dynamickými kľúčmi uloženými v cloudovom KMS v oblasti bezpečnosti Cisco. Hybrid Data Security presúva KMS a ďalšie funkcie súvisiace so zabezpečením do vášho podnikového dátového centra, takže kľúče k vášmu šifrovanému obsahu nemá nikto okrem vás.
Multi-Tenant Hybrid Data Security umožňuje organizáciám využívať HDS prostredníctvom dôveryhodného miestneho partnera, ktorý môže pôsobiť ako poskytovateľ služieb a spravovať lokálne šifrovanie a ďalšie bezpečnostné služby. Toto nastavenie umožňuje partnerskej organizácii mať úplnú kontrolu nad nasadením a správou šifrovacích kľúčov a zaisťuje, že používateľské údaje zákazníckych organizácií sú v bezpečí pred externým prístupom. Partnerské organizácie podľa potreby nastavujú inštancie HDS a vytvárajú klastre HDS. Každá inštancia môže podporovať viacero zákazníckych organizácií na rozdiel od bežného nasadenia HDS, ktoré je obmedzené na jednu organizáciu.
To tiež umožňuje menším organizáciám využívať HDS, pretože službu správy kľúčov a bezpečnostnú infraštruktúru, ako sú dátové centrá, vlastní dôveryhodný miestny partner.
Ako Multi-Tenant Hybrid Data Security poskytuje dátovú suverenitu a kontrolu dát
- Obsah generovaný používateľmi je chránený pred externým prístupom, ako sú poskytovatelia cloudových služieb.
- Miestni dôveryhodní partneri spravujú šifrovacie kľúče zákazníkov, s ktorými už majú vybudovaný vzťah.
- Možnosť miestnej technickej podpory, ak ju poskytuje partner.
- Podporuje obsah stretnutí, správ a hovorov.
Tento dokument je zameraný na pomoc partnerským organizáciám pri nastavovaní a správe zákazníkov v rámci systému Multi-Tenant Hybrid Data Security.
Obmedzenia Hybridného zabezpečenia dát pre viacerých nájomníkov
- Partnerské organizácie nesmú mať v Control Hub aktívne žiadne existujúce nasadenie HDS.
- Nájomnícke alebo zákaznícke organizácie, ktoré chcú byť spravované partnerom, nesmú mať žiadne existujúce nasadenie HDS v Control Hub.
- Akonáhle partner nasadí Multi-Tenant HDS, všetci používatelia zákazníckych organizácií, ako aj používatelia partnerskej organizácie začnú využívať Multi-Tenant HDS pre svoje šifrovacie služby.
Partnerská organizácia a zákaznícke organizácie, ktoré riadia, budú využívať rovnaké nasadenie HDS pre viacerých nájomníkov.
Po nasadení Multi-Tenant HDS už partnerská organizácia nebude používať cloudové KMS.
- Neexistuje žiadny mechanizmus na presun kľúčov späť do Cloud KMS po nasadení HDS.
- V súčasnosti môže mať každé nasadenie Multi-Tenant HDS iba jeden klaster s viacerými uzlami pod ním.
- Úlohy správcu majú určité obmedzenia; podrobnosti nájdete v časti nižšie.
Úlohy v hybridnej bezpečnosti dát pre viacerých nájomníkov
- Úplný správca partnera – môže spravovať nastavenia pre všetkých zákazníkov, ktorých partner spravuje. Môže tiež priradiť roly správcu existujúcim používateľom v organizácii a priradiť konkrétnych zákazníkov, ktorých majú spravovať správcovia partnerov.
- Správca partnera – môže spravovať nastavenia pre zákazníkov, ktorých správca poskytol alebo ktorí boli priradení používateľovi.
- Úplný správca – správca partnerskej organizácie, ktorý je oprávnený vykonávať úlohy, ako je úprava nastavení organizácie, správa licencií a prideľovanie rolí.
- Nastavenie HDS pre viacerých nájomníkov a správa všetkých zákazníckych organizácií od konca do konca – Vyžaduje sa úplný správca partnera a úplné práva správcu.
- Správa priradených organizácií nájomníkov – vyžaduje sa správca partnera a úplné práva správcu.
Architektúra bezpečnostnej sféry
Cloudová architektúra Webex oddeľuje rôzne typy služieb do samostatných oblastí alebo dôveryhodných domén, ako je znázornené nižšie.
Aby sme lepšie porozumeli Hybrid Data Security, pozrime sa najprv na tento čistý cloud, kde Cisco poskytuje všetky funkcie vo svojich cloudových sférach. Služba identity, jediné miesto, kde môžu používatelia priamo korelovať so svojimi osobnými údajmi, ako je e-mailová adresa, je logicky a fyzicky oddelená od oblasti zabezpečenia v dátovom centre B. Obe sú zase oddelené od oblasti, kde je v konečnom dôsledku uložený šifrovaný obsah. , v dátovom centre C.
V tomto diagrame je klientom aplikácia Webex, ktorá beží na notebooku používateľa a je overená službou identity. Keď používateľ vytvorí správu na odoslanie do priestoru, vykonajú sa tieto kroky:
-
Klient vytvorí zabezpečené spojenie so službou správy kľúčov (KMS), potom požiada o kľúč na zašifrovanie správy. Zabezpečené pripojenie používa ECDH a KMS šifruje kľúč pomocou hlavného kľúča AES-256.
-
Správa je pred opustením klienta zašifrovaná. Klient ho odošle do indexovacej služby, ktorá vytvorí šifrované indexy vyhľadávania na pomoc pri budúcom vyhľadávaní obsahu.
-
Zašifrovaná správa sa odošle do služby súladu na kontrolu súladu.
-
Zašifrovaná správa je uložená v úložnej sfére.
Keď nasadíte Hybrid Data Security, presuniete funkcie bezpečnostnej sféry (KMS, indexovanie a súlad) do vášho lokálneho dátového centra. Ostatné cloudové služby, ktoré tvoria Webex (vrátane ukladania identity a obsahu), zostávajú v sférach spoločnosti Cisco.
Spolupráca s inými organizáciami
Používatelia vo vašej organizácii môžu pravidelne používať aplikáciu Webex na spoluprácu s externými účastníkmi v iných organizáciách. Keď jeden z vašich používateľov požaduje kľúč pre priestor, ktorý vlastní vaša organizácia (pretože ho vytvoril jeden z vašich používateľov), váš KMS odošle kľúč klientovi cez zabezpečený kanál ECDH. Keď však kľúč priestoru vlastní iná organizácia, váš KMS nasmeruje požiadavku do cloudu Webex cez samostatný kanál ECDH, aby získal kľúč z príslušného KMS, a potom vráti kľúč vášmu používateľovi na pôvodnom kanáli.
Služba KMS spustená v organizácii A overuje pripojenia ku KMS v iných organizáciách pomocou x.509 PKI certifikátov. Podrobnosti o generovaní certifikátu x.509 na použitie s nasadením Hybrid Data Security pre viacerých nájomníkov nájdete v časti Príprava prostredia .
Očakávania týkajúce sa nasadenia hybridnej bezpečnosti údajov
Nasadenie Hybrid Data Security si vyžaduje značné odhodlanie a uvedomenie si rizík, ktoré so sebou prináša vlastníctvo šifrovacích kľúčov.
Ak chcete nasadiť Hybrid Data Security, musíte poskytnúť:
-
Zabezpečené dátové centrum v krajine, ktorá je podporovaným miestom pre plány Cisco Webex Teams.
-
Vybavenie, softvér a sieťový prístup popísané v časti Príprava prostredia.
Úplná strata buď konfiguračného ISO, ktoré ste vytvorili pre Hybrid Data Security, alebo databázy, ktorú poskytnete, bude mať za následok stratu kľúčov. Strata kľúča bráni používateľom dešifrovať obsah priestoru a ďalšie šifrované údaje v aplikácii Webex. Ak sa tak stane, môžete vytvoriť nové nasadenie, ale bude viditeľný iba nový obsah. Aby ste predišli strate prístupu k údajom, musíte:
-
Spravujte zálohovanie a obnovu databázy a konfiguračného ISO.
-
Buďte pripravení vykonať rýchlu obnovu po havárii, ak dôjde ku katastrofe, ako je zlyhanie databázového disku alebo katastrofa dátového centra.
Neexistuje žiadny mechanizmus na presun kľúčov späť do cloudu po nasadení HDS.
Proces nastavenia na vysokej úrovni
Tento dokument pokrýva nastavenie a správu nasadenia Hybrid Data Security pre viacerých nájomníkov:
-
Nastavenie Hybrid Data Security – zahŕňa prípravu požadovanej infraštruktúry a inštaláciu softvéru Hybrid Data Security, vybudovanie klastra HDS, pridanie organizácií nájomníkov do klastra a správu ich hlavných kľúčov zákazníkov (CMK). To umožní všetkým používateľom vašich zákazníckych organizácií používať váš klaster Hybrid Data Security na bezpečnostné funkcie.
Fázy nastavenia, aktivácie a správy sú podrobne opísané v nasledujúcich troch kapitolách.
-
Udržujte svoje nasadenie Hybrid Data Security – cloud Webex automaticky poskytuje priebežné inovácie. Vaše IT oddelenie môže poskytnúť podporu prvej úrovne pre toto nasadenie a podľa potreby zapojiť podporu Cisco. V partnerskom centre môžete používať upozornenia na obrazovke a nastaviť upozornenia prostredníctvom e-mailu.
-
Pochopte bežné upozornenia, kroky na riešenie problémov a známe problémy – Ak narazíte na problémy s nasadením alebo používaním Hybrid Data Security, posledná kapitola tejto príručky a príloha Známe problémy vám môžu pomôcť určiť a vyriešiť problém.
Hybridný model nasadenia zabezpečenia dát
V rámci podnikového dátového centra nasadíte Hybrid Data Security ako jeden klaster uzlov na samostatných virtuálnych hostiteľoch. Uzly komunikujú s cloudom Webex cez zabezpečené websockety a zabezpečené HTTP.
Počas procesu inštalácie vám poskytneme súbor OVA na nastavenie virtuálneho zariadenia na VM, ktoré poskytnete. Nástroj HDS Setup Tool použijete na vytvorenie vlastného konfiguračného súboru ISO klastra, ktorý pripojíte na každý uzol. Klaster Hybrid Data Security využíva váš poskytnutý server Syslogd a databázu PostgreSQL alebo Microsoft SQL Server. (Syslogd a podrobnosti o pripojení k databáze nakonfigurujete v nástroji HDS Setup Tool.)
Minimálny počet uzlov, ktoré môžete mať v klastri, sú dva. Odporúčame aspoň tri na klaster. Viacnásobné uzly zaisťujú, že služba nebude prerušená počas aktualizácie softvéru alebo inej činnosti údržby na uzle. (Cloud Webex aktualizuje naraz iba jeden uzol.)
Všetky uzly v klastri pristupujú k rovnakému úložisku údajov kľúčov a zaznamenávajú aktivitu na rovnaký server syslog. Samotné uzly sú bez stavu a spracovávajú kľúčové požiadavky v režime round-robin podľa pokynov cloudu.
Uzly sa stanú aktívnymi, keď ich zaregistrujete v Partner Hub. Ak chcete vyradiť jednotlivý uzol z prevádzky, môžete ho zrušiť a neskôr v prípade potreby znova zaregistrovať.
Pohotovostné dátové centrum pre obnovu po havárii
Počas nasadenia nastavíte zabezpečené pohotovostné dátové centrum. V prípade havárie dátového centra môžete manuálne zlyhať nasadenie do pohotovostného dátového centra.
Databázy aktívnych a pohotovostných dátových centier sú navzájom synchronizované, čo minimalizuje čas potrebný na vykonanie núdzového prepnutia.
Aktívne uzly Hybrid Data Security musia byť vždy v rovnakom údajovom centre ako aktívny databázový server.
Podpora proxy
Hybrid Data Security podporuje explicitné, transparentné kontrolné a nekontrolujúce proxy. Tieto servery proxy môžete prepojiť s nasadením, aby ste mohli zabezpečiť a monitorovať prevádzku z podniku do cloudu. Rozhranie správcu platformy na uzloch môžete použiť na správu certifikátov a na kontrolu celkového stavu pripojenia po nastavení servera proxy na uzloch.
Uzly Hybrid Data Security podporujú nasledujúce možnosti proxy:
-
Bez servera proxy – predvolená hodnota, ak na integráciu servera proxy nepoužívate konfiguráciu dôveryhodného obchodu a servera proxy na nastavenie uzla HDS. Nevyžaduje sa žiadna aktualizácia certifikátu.
-
Transparentný nekontrolujúci proxy server – uzly nie sú nakonfigurované na používanie konkrétnej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.
-
Transparentné tunelovanie alebo kontrola servera proxy – uzly nie sú nakonfigurované na používanie konkrétnej adresy servera proxy. Na uzloch nie sú potrebné žiadne zmeny konfigurácie HTTP alebo HTTPS. Uzly však potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).
-
Explicitný server proxy – pomocou explicitného servera proxy poviete uzlom HDS, ktorý server proxy a schému overenia majú použiť. Ak chcete nakonfigurovať explicitný server proxy, musíte do každého uzla zadať nasledujúce informácie:
-
Proxy IP/FQDN – adresa, ktorú možno použiť na spojenie so zariadením proxy.
-
Port proxy – číslo portu, ktoré server proxy používa na počúvanie prenosu cez server proxy.
-
Protokol proxy – v závislosti od toho, čo váš server proxy podporuje, si vyberte z nasledujúcich protokolov:
-
HTTP – zobrazuje a riadi všetky požiadavky, ktoré klient odosiela.
-
HTTPS – poskytuje kanál pre server. Klient prijme a overí certifikát servera.
-
-
Typ overenia totožnosti – vyberte si z nasledujúcich typov overenia totožnosti:
-
Žiadne – nevyžaduje sa žiadne ďalšie overenie.
Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.
-
Základné – používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.
Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.
Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.
-
Súhrn – používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.
Dostupné, iba ak vyberiete HTTPS ako protokol proxy.
Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.
-
-
Príklad uzlov na zabezpečenie hybridných dát a proxy
Tento diagram ukazuje príklad spojenia medzi Hybrid Data Security, sieťou a proxy. Pre možnosti transparentnej kontroly a explicitnej kontroly HTTPS musí byť na serveri proxy a na uzloch Hybrid Data Security nainštalovaný rovnaký koreňový certifikát.
Blokovaný režim externého rozlíšenia DNS (explicitné konfigurácie proxy)
Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. V nasadeniach s explicitnými konfiguráciami proxy, ktoré neumožňujú externé rozlíšenie DNS pre interných klientov, ak uzol nemôže dotazovať servery DNS, automaticky prejde do režimu blokovaného externého riešenia DNS. V tomto režime môže pokračovať registrácia uzla a ďalšie testy pripojenia proxy.
Príprava prostredia
Požiadavky na hybridné zabezpečenie dát pre viacerých nájomníkov
Požiadavky na licenciu Cisco Webex
Ak chcete nasadiť hybridné zabezpečenie dát pre viacerých nájomníkov:
-
Partnerské organizácie: Kontaktujte svojho partnera Cisco alebo správcu účtu a uistite sa, že je povolená funkcia viacerých nájomníkov.
-
Nájomné organizácie: Musíte mať balík Pro Pack pre Cisco Webex Control Hub. (Pozrite si https://www.cisco.com/go/pro-pack.)
Požiadavky na plochu Docker
Pred inštaláciou uzlov HDS potrebujete Docker Desktop na spustenie inštalačného programu. Docker nedávno aktualizoval svoj licenčný model. Vaša organizácia môže vyžadovať platené predplatné pre Docker Desktop. Podrobnosti nájdete v blogovom príspevku Docker „ Docker aktualizuje a rozširuje naše predplatné produktov“.
Požiadavky na certifikát X.509
Certifikačný reťazec musí spĺňať nasledujúce požiadavky:
Požiadavka |
Podrobnosti |
---|---|
|
V predvolenom nastavení dôverujeme CA v zozname Mozilly (s výnimkou WoSign a StartCom) na https://wiki.mozilla.org/CA:IncludedCAs. |
|
CN nemusí byť dosiahnuteľné alebo živého hostiteľa. Odporúčame vám použiť názov, ktorý zodpovedá vašej organizácii, napríklad KN nesmie obsahovať * (zástupný znak). CN sa používa na overenie uzlov Hybrid Data Security pre klientov Webex App. Všetky uzly Hybrid Data Security vo vašom klastri používajú rovnaký certifikát. Váš KMS sa identifikuje pomocou domény CN, nie akejkoľvek domény, ktorá je definovaná v poliach x.509v3 SAN. Po zaregistrovaní uzla s týmto certifikátom nepodporujeme zmenu názvu domény CN. |
|
Softvér KMS nepodporuje podpisy SHA1 na overenie pripojení k KMS iných organizácií. |
|
Na zmenu formátu certifikátu môžete použiť konvertor, ako je OpenSSL. Pri spustení nástroja HDS Setup Tool budete musieť zadať heslo. |
Softvér KMS nevynucuje používanie kľúčov ani rozšírené obmedzenia používania kľúčov. Niektoré certifikačné autority vyžadujú, aby sa na každý certifikát aplikovali rozšírené obmedzenia používania kľúčov, ako je autentifikácia servera. Je v poriadku použiť overenie servera alebo iné nastavenia.
Požiadavky na virtuálny hostiteľ
Virtuálni hostitelia, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri, majú nasledujúce požiadavky:
-
Aspoň dvaja oddelení hostitelia (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre
-
VMware ESXi 7.0 (alebo novší) nainštalovaný a spustený.
Ak máte staršiu verziu ESXi, musíte vykonať inováciu.
-
Minimálne 4 vCPU, 8 GB hlavnej pamäte, 30 GB miesta na lokálnom pevnom disku na server
Požiadavky na databázový server
Vytvorte novú databázu pre uloženie kľúčov. Nepoužívajte predvolenú databázu. Aplikácie HDS, keď sú nainštalované, vytvoria schému databázy.
Pre databázový server sú dve možnosti. Požiadavky na každú z nich sú nasledovné:
PostgreSQL |
Microsoft SQL Server |
---|---|
|
|
Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložisko) |
Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložisko) |
Softvér HDS momentálne inštaluje nasledujúce verzie ovládačov na komunikáciu s databázovým serverom:
PostgreSQL |
Microsoft SQL Server |
---|---|
Postgres JDBC ovládač 42.2.5 |
Ovládač SQL Server JDBC 4.6 Táto verzia ovládača podporuje server SQL Server Always On (Inštancie klastra prepnutia pri zlyhaní a skupiny dostupnosti Vždy zapnuté). |
Dodatočné požiadavky na overenie systému Windows voči Microsoft SQL Server
Ak chcete, aby uzly HDS používali autentifikáciu systému Windows na získanie prístupu k vašej databáze úložiska kľúčov na serveri Microsoft SQL Server, potrebujete vo svojom prostredí nasledujúcu konfiguráciu:
-
HDS uzly, infraštruktúra Active Directory a MS SQL Server musia byť synchronizované s NTP.
-
Účet Windows, ktorý poskytnete uzlom HDS, musí mať prístup k databáze na čítanie/zápis.
-
Servery DNS, ktoré poskytujete uzlom HDS, musia byť schopné vyriešiť vaše Centrum distribúcie kľúčov (KDC).
-
Inštanciu databázy HDS môžete zaregistrovať na svojom serveri Microsoft SQL Server ako hlavný názov služby (SPN) vo vašom adresári Active Directory. Pozrite si časť Registrácia hlavného názvu služby pre pripojenia Kerberos.
Nástroj na nastavenie HDS, spúšťač HDS a miestne KMS musia na prístup k databáze kľúčov používať overenie systému Windows. Používajú podrobnosti z vašej konfigurácie ISO na vytvorenie SPN pri požadovaní prístupu s overením Kerberos.
Požiadavky na externé pripojenie
Nakonfigurujte svoj firewall tak, aby umožňoval nasledujúce pripojenie pre aplikácie HDS:
Aplikácia |
Protokol |
Port |
Smer z App |
Cieľ |
---|---|---|---|---|
Hybridné uzly zabezpečenia údajov |
TCP |
443 |
Odchádzajúce HTTPS a WSS |
|
Nástroj na nastavenie HDS |
TCP |
443 |
Odchádzajúce HTTPS |
|
Uzly Hybrid Data Security pracujú s prekladom sieťového prístupu (NAT) alebo za bránou firewall, pokiaľ NAT alebo brána firewall umožňuje požadované odchádzajúce pripojenia k destináciám domény v predchádzajúcej tabuľke. Pre pripojenia prichádzajúce do uzlov Hybrid Data Security by nemali byť z internetu viditeľné žiadne porty. V rámci vášho dátového centra potrebujú klienti prístup k uzlom Hybrid Data Security na portoch TCP 443 a 22 na administratívne účely.
Adresy URL hostiteľov Common Identity (CI) sú špecifické pre daný región. Toto sú súčasní hostitelia CI:
región |
Spoločné adresy URL hostiteľa identity |
---|---|
Ameriky |
|
Európskej únie |
|
Kanada |
|
Singapur |
|
Spojené arabské emiráty |
|
Požiadavky na proxy server
-
Oficiálne podporujeme nasledujúce proxy riešenia, ktoré sa dajú integrovať s vašimi uzlami Hybrid Data Security.
-
Transparentný proxy – Cisco Web Security Appliance (WSA).
-
Explicitný proxy-Squid.
Squid proxy, ktoré kontrolujú prenos HTTPS, môžu narúšať vytváranie pripojení websocket (wss:). Ak chcete tento problém vyriešiť, prečítajte si časť Konfigurácia serverov proxy Squid pre hybridné zabezpečenie údajov.
-
-
Pre explicitné servery proxy podporujeme nasledujúce kombinácie typov overenia:
-
Žiadna autentifikácia pomocou HTTP alebo HTTPS
-
Základná autentifikácia pomocou HTTP alebo HTTPS
-
Digest overenie iba s HTTPS
-
-
Pre transparentný kontrolný proxy server alebo explicitný proxy server HTTPS musíte mať kópiu koreňového certifikátu servera proxy. Pokyny na nasadenie v tejto príručke vám povedia, ako nahrať kópiu do dôveryhodných obchodov uzlov Hybrid Data Security.
-
Sieť, ktorá hostí uzly HDS, musí byť nakonfigurovaná tak, aby vynútila smerovanie odchádzajúcej prevádzky TCP na porte 443 cez server proxy.
-
Proxy, ktoré kontrolujú webovú prevádzku, môžu narúšať pripojenia webových soketov. Ak sa vyskytne tento problém, problém vyrieši obídenie (nie kontrola) návštevnosti stránok
wbx2.com
aciscospark.com
.
Vyplňte Predpoklady pre hybridnú bezpečnosť údajov
1 |
Uistite sa, že vaša partnerská organizácia má povolenú funkciu Multi-Tenant HDS a získajte prihlasovacie údaje účtu s úplným správcom partnera a plnými právami správcu. Uistite sa, že vaša organizácia zákazníkov Webex má povolený balík Pro Pack pre Cisco Webex Control Hub. Ak potrebujete pomoc s týmto procesom, kontaktujte svojho partnera Cisco alebo account manažéra. Zákaznícke organizácie by nemali mať žiadne existujúce nasadenie HDS. |
2 |
Vyberte názov domény pre svoje nasadenie HDS (napríklad |
3 |
Pripravte si identických virtuálnych hostiteľov, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri. Potrebujete aspoň dvoch samostatných hostiteľov (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre, ktorí spĺňajú požiadavky v časti Požiadavky na virtuálneho hostiteľa. |
4 |
Pripravte databázový server, ktorý bude fungovať ako úložisko kľúčových údajov pre klaster, v súlade s požiadavkami na databázový server. Databázový server musí byť umiestnený v zabezpečenom údajovom centre spolu s virtuálnymi hostiteľmi. |
5 |
Pre rýchlu obnovu po havárii nastavte zálohovacie prostredie v inom dátovom centre. Zálohovacie prostredie odzrkadľuje produkčné prostredie VM a záložný databázový server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM. |
6 |
Nastavte hostiteľa syslog na zhromažďovanie protokolov z uzlov v klastri. Získajte jeho sieťovú adresu a port syslog (predvolené je UDP 514). |
7 |
Vytvorte politiku bezpečného zálohovania pre uzly Hybrid Data Security, databázový server a hostiteľa syslog. Aby ste predišli nenapraviteľnej strate údajov, musíte minimálne zálohovať databázu a konfiguračný súbor ISO vygenerovaný pre uzly Hybrid Data Security. Keďže uzly Hybrid Data Security ukladajú kľúče používané na šifrovanie a dešifrovanie obsahu, zlyhanie prevádzkyschopného nasadenia bude mať za následok NEOBNOVITEĽNÚ STRATU tohto obsahu. Klienti Webex App ukladajú svoje kľúče do vyrovnávacej pamäte, takže výpadok nemusí byť okamžite viditeľný, ale časom sa prejaví. Zatiaľ čo dočasným výpadkom nie je možné zabrániť, sú obnoviteľné. Úplná strata (nie sú k dispozícii žiadne zálohy) databázy alebo konfiguračného ISO súboru však bude mať za následok neobnoviteľné zákaznícke údaje. Od operátorov uzlov Hybrid Data Security sa očakáva, že budú pravidelne zálohovať databázu a konfiguračný súbor ISO a budú pripravení na prestavbu dátového centra Hybrid Data Security, ak dôjde ku katastrofálnej poruche. |
8 |
Uistite sa, že konfigurácia brány firewall umožňuje pripojenie pre uzly Hybrid Data Security, ako je uvedené v časti Požiadavky na externé pripojenie. |
9 |
Nainštalujte Docker ( https://www.docker.com) na ľubovoľný lokálny počítač s podporovaným operačným systémom (Microsoft Windows 10 Professional alebo Enterprise 64-bitový alebo Mac OSX Yosemite 10.10.3 alebo novší) pomocou webového prehliadača, ktorý k nemu má prístup na adrese http://127.0.0.1:8080. Inštanciu Docker použijete na stiahnutie a spustenie nástroja HDS Setup Tool, ktorý vytvorí informácie o lokálnej konfigurácii pre všetky uzly Hybrid Data Security. Možno budete potrebovať licenciu Docker Desktop. Ďalšie informácie nájdete v časti Požiadavky na pracovnú plochu Docker . Ak chcete nainštalovať a spustiť nástroj HDS Setup Tool, miestny počítač musí mať pripojenie uvedené v časti Požiadavky na externé pripojenie. |
10 |
Ak integrujete server proxy so službou Hybrid Data Security, uistite sa, že spĺňa požiadavky na server proxy. |
Nastavte klaster Hybrid Data Security
Tok úloh nasadenia zabezpečenia hybridných údajov
1 |
Vykonajte počiatočné nastavenie a stiahnite inštalačné súbory Stiahnite si súbor OVA na váš lokálny počítač pre neskoršie použitie. |
2 |
Vytvorte ISO konfigurácie pre hostiteľov HDS Pomocou nástroja HDS Setup Tool vytvorte konfiguračný súbor ISO pre uzly Hybrid Data Security. |
3 |
Vytvorte virtuálny počítač zo súboru OVA a vykonajte počiatočnú konfiguráciu, ako sú nastavenia siete. Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 7.0. Táto možnosť nemusí byť dostupná v starších verziách. |
4 |
Nastavte virtuálny počítač Hybrid Data Security Prihláste sa do konzoly VM a nastavte prihlasovacie poverenia. Nakonfigurujte sieťové nastavenia pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA. |
5 |
Nahrajte a pripojte ISO konfiguráciu HDS Nakonfigurujte VM z konfiguračného súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool. |
6 |
Nakonfigurujte uzol HDS na integráciu proxy Ak sieťové prostredie vyžaduje konfiguráciu servera proxy, zadajte typ servera proxy, ktorý použijete pre uzol, a v prípade potreby pridajte certifikát servera proxy do dôveryhodného úložiska. |
7 |
Zaregistrujte prvý uzol v klastri Zaregistrujte VM v cloude Cisco Webex ako uzol Hybrid Data Security. |
8 |
Vytvorte a zaregistrujte viac uzlov Dokončite nastavenie klastra. |
9 |
Aktivujte si Multi-Tenant HDS na Partner Hub. Aktivujte si HDS a spravujte organizácie nájomníkov na Partner Hub. |
Vykonajte počiatočné nastavenie a stiahnite inštalačné súbory
V tejto úlohe stiahnete súbor OVA do svojho počítača (nie na servery, ktoré ste nastavili ako uzly Hybrid Data Security). Tento súbor použijete neskôr v procese inštalácie.
1 |
Prihláste sa do Partnerského centra a potom kliknite na položku Služby. |
2 |
V časti Cloudové služby nájdite kartu Hybrid Data Security a kliknite na tlačidlo Nastaviť. Pre proces nasadenia je rozhodujúce kliknutie na položku Nastaviť v partnerskom centre. Nepokračujte v inštalácii bez dokončenia tohto kroku. |
3 |
Kliknite na položku Pridať zdroj a kliknite na položku Prevziať súbor .OVA na karte Inštalovať a konfigurovať softvér . Staršie verzie softvérového balíka (OVA) nebudú kompatibilné s najnovšími aktualizáciami Hybrid Data Security. To môže viesť k problémom pri inovácii aplikácie. Uistite sa, že ste si stiahli najnovšiu verziu súboru OVA. OVA si tiež môžete kedykoľvek stiahnuť zo sekcie Pomocník . Kliknite na položky . Súbor OVA sa začne automaticky sťahovať. Uložte súbor na miesto v počítači.
|
4 |
Voliteľne kliknite na položku Zobraziť príručku nasadenia hybridného zabezpečenia údajov a skontrolujte, či je k dispozícii novšia verzia tejto príručky. |
Vytvorte ISO konfigurácie pre hostiteľov HDS
Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.
Skôr ako začnete
-
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými administrátorskými právami.
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker v kroku 5 nižšie zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:
-
Databázové poverenia
-
Aktualizácie certifikátov
-
Zmeny v politike autorizácie
-
-
Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.
1 |
Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať. | ||||||||||
2 |
Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce: | ||||||||||
3 |
Pri výzve na zadanie hesla zadajte tento hash: | ||||||||||
4 |
Stiahnite si najnovší stabilný obraz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: | ||||||||||
5 |
Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:
Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“. | ||||||||||
6 |
Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 . Pomocou webového prehliadača prejdite na localhost, Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie. | ||||||||||
7 |
Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia správcu Partner Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre Hybrid Data Security. | ||||||||||
8 |
Na stránke prehľadu nástroja Setup kliknite na položku Začíname. | ||||||||||
9 |
Na stránke Import ISO máte tieto možnosti:
| ||||||||||
10 |
Skontrolujte, či váš certifikát X.509 spĺňa požiadavky uvedené v časti Požiadavky na certifikát X.509.
| ||||||||||
11 |
Zadajte databázovú adresu a účet pre HDS, aby ste získali prístup k vášmu úložisku kľúčových údajov: | ||||||||||
12 |
Vyberte Režim pripojenia databázy TLS:
Keď odovzdáte koreňový certifikát (ak je to potrebné) a kliknete na tlačidlo Pokračovať, nástroj HDS Setup Tool otestuje pripojenie TLS k databázovému serveru. Nástroj tiež overuje podpisovateľa certifikátu a názov hostiteľa, ak je to potrebné. Ak test zlyhá, nástroj zobrazí chybové hlásenie s popisom problému. Môžete si vybrať, či chcete chybu ignorovať a pokračovať v nastavovaní. (Vzhľadom na rozdiely v konektivite môžu byť uzly HDS schopné vytvoriť pripojenie TLS, aj keď ho zariadenie HDS Setup Tool nedokáže úspešne otestovať.) | ||||||||||
13 |
Na stránke Systémové denníky nakonfigurujte svoj server Syslogd: | ||||||||||
14 |
(Voliteľné) Predvolenú hodnotu niektorých parametrov pripojenia k databáze môžete zmeniť v časti Rozšírené nastavenia. Vo všeobecnosti je tento parameter jediný, ktorý možno budete chcieť zmeniť: | ||||||||||
15 |
Kliknite na tlačidlo Pokračovať na obrazovke Obnoviť heslo servisných účtov . Heslá k servisným účtom majú životnosť deväť mesiacov. Túto obrazovku použite, keď sa blíži koniec platnosti vašich hesiel alebo ich chcete resetovať, aby ste zrušili platnosť predchádzajúcich súborov ISO. | ||||||||||
16 |
Kliknite na položku Prevziať súbor ISO. Uložte súbor na miesto, ktoré sa dá ľahko nájsť. | ||||||||||
17 |
Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. | ||||||||||
18 |
Ak chcete vypnúť inštalačný nástroj, napíšte |
Čo robiť ďalej
Zálohujte konfiguračný súbor ISO. Potrebujete ho na vytvorenie ďalších uzlov na obnovu alebo na vykonanie zmien v konfigurácii. Ak stratíte všetky kópie súboru ISO, stratili ste aj hlavný kľúč. Obnovenie kľúčov z databázy PostgreSQL alebo Microsoft SQL Server nie je možné.
Nikdy nemáme kópiu tohto kľúča a nemôžeme vám pomôcť, ak ho stratíte.
Nainštalujte HDS Host OVA
1 |
Na prihlásenie do virtuálneho hostiteľa ESXi použite klienta VMware vSphere na vašom počítači. |
2 |
Vyberte položku Súbor > Nasadiť šablónu OVF. |
3 |
V sprievodcovi zadajte umiestnenie súboru OVA, ktorý ste prevzali predtým, a potom kliknite na tlačidlo Ďalej. |
4 |
Na stránke Vyberte názov a priečinok zadajte Názov virtuálneho počítača pre uzol (napríklad „HDS_Node_1“) a vyberte umiestnenie, kde nasadenie uzla virtuálneho počítača sa môže nachádzať a potom kliknite na tlačidlo Ďalej. |
5 |
Na stránke Vyberte výpočtový zdroj vyberte cieľový výpočtový zdroj a potom kliknite na tlačidlo Ďalej. Prebehne overovacia kontrola. Po dokončení sa zobrazia podrobnosti šablóny. |
6 |
Overte podrobnosti šablóny a potom kliknite na tlačidlo Ďalej. |
7 |
Ak sa zobrazí výzva na výber konfigurácie prostriedkov na stránke Konfigurácia , kliknite na položku 4 CPU a potom kliknite na tlačidlo Ďalej. |
8 |
Na stránke Vybrať úložisko kliknite na tlačidlo Ďalej , čím prijmete predvolený formát disku a pravidlá úložiska VM. |
9 |
Na stránke Vybrať siete vyberte sieťovú možnosť zo zoznamu položiek, aby ste poskytli požadované pripojenie k virtuálnemu počítaču. |
10 |
Na stránke Prispôsobiť šablónu nakonfigurujte nasledujúce nastavenia siete:
Ak chcete, môžete preskočiť konfiguráciu nastavenia siete a podľa krokov v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov nakonfigurujte nastavenia z konzoly uzla. Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 7.0. Táto možnosť nemusí byť dostupná v starších verziách. |
11 |
Kliknite pravým tlačidlom myši na uzol VM a potom vyberte položky .Softvér Hybrid Data Security je nainštalovaný ako hosť na hostiteľovi VM. Teraz ste pripravení prihlásiť sa do konzoly a nakonfigurovať uzol. Tipy na riešenie problémov Môžete zaznamenať oneskorenie niekoľkých minút, kým sa kontajnery uzlov objavia. Počas prvého spustenia, počas ktorého sa nemôžete prihlásiť, sa na konzole zobrazí správa brány firewall mosta. |
Nastavte virtuálny počítač Hybrid Data Security
Tento postup použite na prvé prihlásenie do konzoly VM uzla Hybrid Data Security a nastavenie prihlasovacích poverení. Konzolu môžete použiť aj na konfiguráciu sieťových nastavení pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.
1 |
V klientovi VMware vSphere vyberte svoj uzol Hybrid Data Security VM a vyberte kartu Konzola . VM sa spustí a zobrazí sa výzva na prihlásenie. Ak sa výzva na prihlásenie nezobrazí, stlačte kláves Enter.
|
2 |
Na prihlásenie a zmenu poverení použite nasledujúce predvolené prihlasovacie meno a heslo: Keďže sa do svojho VM prihlasujete prvýkrát, musíte zmeniť heslo správcu. |
3 |
Ak ste už nakonfigurovali nastavenia siete v časti Inštalácia hostiteľa HDS OVA, preskočte zvyšok tohto postupu. V opačnom prípade vyberte v hlavnej ponuke možnosť Upraviť konfiguráciu . |
4 |
Nastavte statickú konfiguráciu s IP adresou, maskou, bránou a informáciami DNS. Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované. |
5 |
(Voliteľné) Zmeňte názov hostiteľa, doménu alebo server(y) NTP, ak je to potrebné, aby zodpovedali zásadám vašej siete. Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509. |
6 |
Uložte konfiguráciu siete a reštartujte VM, aby sa zmeny prejavili. |
Nahrajte a pripojte ISO konfiguráciu HDS
Skôr ako začnete
Pretože súbor ISO obsahuje hlavný kľúč, mal by byť zverejnený iba na základe „potreby vedieť“, aby k nemu mali prístup virtuálne počítače s hybridným zabezpečením údajov a všetci správcovia, ktorí môžu potrebovať vykonať zmeny. Uistite sa, že k úložisku údajov majú prístup iba títo správcovia.
1 |
Nahrajte súbor ISO z počítača: |
2 |
Pripojte súbor ISO: |
Čo robiť ďalej
Ak to vyžaduje vaša politika IT, môžete voliteľne odpojiť súbor ISO po tom, čo všetky vaše uzly prevezmú zmeny konfigurácie. Podrobnosti nájdete v časti (Voliteľné) Odpojenie ISO po konfigurácii HDS .
Nakonfigurujte uzol HDS na integráciu proxy
Ak sieťové prostredie vyžaduje server proxy, použite tento postup na určenie typu servera proxy, ktorý chcete integrovať s Hybrid Data Security. Ak si vyberiete transparentný kontrolný proxy server alebo explicitný proxy server HTTPS, môžete použiť rozhranie uzla na nahranie a inštaláciu koreňového certifikátu. Môžete tiež skontrolovať pripojenie proxy z rozhrania a vyriešiť prípadné problémy.
Skôr ako začnete
-
Prehľad podporovaných možností servera proxy nájdete v časti Podpora servera proxy .
1 |
Do webového prehliadača zadajte adresu URL nastavenia uzla HDS |
2 |
Prejdite na stránku Trust Store & Proxy a potom vyberte jednu z možností:
Postupujte podľa nasledujúcich krokov pre transparentný kontrolný proxy server, explicitný proxy server HTTP so základným overením alebo explicitný proxy HTTPS. |
3 |
Kliknite na položku Odovzdať koreňový certifikát alebo certifikát ukončenia entity a potom prejdite na výber koreňového certifikátu pre server proxy. Certifikát je nahraný, ale ešte nie je nainštalovaný, pretože na inštaláciu certifikátu musíte reštartovať uzol. Ak chcete získať ďalšie podrobnosti, kliknite na šípku so šípkou vedľa názvu vydavateľa certifikátu. Ak ste urobili chybu a chcete súbor nahrať znova, kliknite na tlačidlo Odstrániť . |
4 |
Kliknutím na položku Skontrolovať pripojenie proxy otestujete sieťové pripojenie medzi uzlom a serverom proxy. Ak test pripojenia zlyhá, zobrazí sa chybové hlásenie, ktoré uvádza dôvod a spôsob, ako môžete problém vyriešiť. Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS. Tento stav sa očakáva v mnohých explicitných konfiguráciách proxy. Môžete pokračovať v nastavovaní a uzol bude fungovať v režime zablokovaného externého rozlíšenia DNS. Ak si myslíte, že ide o chybu, vykonajte tieto kroky a potom si pozrite časť Vypnutie režimu zablokovaného externého rozlíšenia DNS. |
5 |
Po úspešnom teste pripojenia pre explicitný server proxy nastavený iba na https zapnite prepínač na možnosť Smerovať všetky požiadavky protokolu https z tohto uzla na port 443/444 cez explicitný server proxy. Toto nastavenie sa prejaví po 15 sekundách. |
6 |
Kliknite na položku Inštalovať všetky certifikáty do dôveryhodného úložiska (zobrazí sa pri explicitnom serveri proxy HTTPS alebo transparentnom kontrolnom serveri proxy) alebo Reštartovať (zobrazí sa pri explicitnom serveri proxy HTTP), prečítajte si výzvu a potom kliknite na tlačidlo Inštalovať , ak ste pripravení. Uzol sa reštartuje v priebehu niekoľkých minút. |
7 |
Keď sa uzol reštartuje, v prípade potreby sa znova prihláste a potom otvorte stránku Prehľad a skontrolujte kontroly pripojenia, aby ste sa uistili, že sú všetky v zelenom stave. Kontrola pripojenia proxy testuje iba subdoménu webex.com. Ak sa vyskytnú problémy s pripojením, bežným problémom je, že niektoré z cloudových domén uvedených v pokynoch na inštaláciu sú na serveri proxy blokované. |
Zaregistrujte prvý uzol v klastri
Keď zaregistrujete svoj prvý uzol, vytvoríte klaster, ku ktorému je uzol priradený. Klaster obsahuje jeden alebo viac uzlov nasadených na zabezpečenie redundancie.
Skôr ako začnete
-
Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.
-
Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.
1 |
Prihláste sa do https://admin.webex.com. |
2 |
V ponuke na ľavej strane obrazovky vyberte položku Služby. |
3 |
V časti Cloudové služby nájdite kartu Hybrid Data Security a kliknite na tlačidlo Nastaviť. |
4 |
Na stránke, ktorá sa otvorí, kliknite na položku Pridať zdroj. |
5 |
Do prvého poľa na karte Pridať uzol zadajte názov klastra, ktorému chcete priradiť uzol Hybrid Data Security. Odporúčame pomenovať klaster podľa toho, kde sa geograficky nachádzajú uzly klastra. Príklady: „San Francisco“ alebo „New York“ alebo „Dallas“ |
6 |
Do druhého poľa zadajte internú adresu IP alebo úplný názov domény (FQDN) svojho uzla a kliknite na tlačidlo Pridať v dolnej časti obrazovky. Táto adresa IP alebo FQDN by sa mala zhodovať s adresou IP alebo názvom hostiteľa a doménou, ktoré ste použili v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov. Zobrazí sa správa, že môžete zaregistrovať svoj uzol do Webexu.
|
7 |
Kliknite na položku Prejsť do uzla. Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že svojej organizácii Webex chcete udeliť povolenia na prístup k vášmu uzlu. |
8 |
Začiarknite políčko Povoliť prístup k vášmu uzlu zabezpečenia hybridných údajov a potom kliknite na tlačidlo Pokračovať. Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
|
9 |
Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Hybrid Data Security partnerského centra. Na stránke Hybrid Data Security sa nový klaster obsahujúci uzol, ktorý ste zaregistrovali, zobrazí na karte Prostriedky . Uzol si automaticky stiahne najnovší softvér z cloudu.
|
Vytvorte a zaregistrujte viac uzlov
Skôr ako začnete
-
Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.
-
Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.
1 |
Vytvorte nový virtuálny počítač z OVA zopakovaním krokov v časti Inštalácia hostiteľského OVA HDS. |
2 |
Nastavte úvodnú konfiguráciu na novom virtuálnom počítači zopakovaním krokov v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov. |
3 |
Na novom virtuálnom počítači zopakujte kroky v časti Odovzdanie a pripojenie ISO konfigurácie HDS. |
4 |
Ak nastavujete server proxy pre svoje nasadenie, zopakujte kroky v časti Konfigurácia uzla HDS na integráciu servera proxy podľa potreby pre nový uzol. |
5 |
Zaregistrujte uzol. |
Spravujte organizácie nájomníkov na hybridnom zabezpečení dát pre viacerých nájomníkov
Aktivujte si Multi-Tenant HDS na Partner Hub
Táto úloha zaisťuje, že všetci používatelia zákazníckych organizácií môžu začať využívať HDS pre lokálne šifrovacie kľúče a ďalšie bezpečnostné služby.
Skôr ako začnete
Uistite sa, že ste dokončili nastavenie klastra Multi-Tenant HDS s požadovaným počtom uzlov.
1 |
Prihláste sa do https://admin.webex.com. |
2 |
V ponuke na ľavej strane obrazovky vyberte položku Služby. |
3 |
V časti Cloudové služby vyhľadajte Hybrid Data Security a kliknite na položku Upraviť nastavenia. |
4 |
Kliknite na položku Aktivovať HDS na karte Stav HDS . |
Pridajte organizácie nájomníkov v partnerskom centre
V tejto úlohe priradíte zákaznícke organizácie k vášmu Hybrid Data Security Cluster.
1 |
Prihláste sa do https://admin.webex.com. |
2 |
V ponuke na ľavej strane obrazovky vyberte položku Služby. |
3 |
V sekcii Cloudové služby vyhľadajte Hybrid Data Security a kliknite na položku Zobraziť všetko. |
4 |
Kliknite na klaster, ku ktorému chcete priradiť zákazníka. |
5 |
Prejdite na kartu Priradení zákazníci . |
6 |
Kliknite na položku Pridať zákazníkov. |
7 |
Z rozbaľovacej ponuky vyberte zákazníka, ktorého chcete pridať. |
8 |
Kliknite na tlačidlo Pridať, zákazník bude pridaný do klastra. |
9 |
Ak chcete do svojho klastra pridať viacerých zákazníkov, zopakujte kroky 6 až 8. |
10 |
Po pridaní zákazníkov kliknite na tlačidlo Hotovo v dolnej časti obrazovky. |
Čo robiť ďalej
Vytvorte hlavné kľúče zákazníka (CMK) pomocou nástroja HDS Setup
Skôr ako začnete
Priraďte zákazníkov do príslušného klastra, ako je podrobne uvedené v časti Pridanie organizácií nájomníkov do centra partnerov. Spustite nástroj HDS Setup a dokončite proces nastavenia pre novo pridané zákaznícke organizácie.
-
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými administrátorskými právami pre vašu organizáciu.
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker v kroku 5 zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:
-
Databázové poverenia
-
Aktualizácie certifikátov
-
Zmeny v politike autorizácie
-
-
Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.
Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.
1 |
Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať. |
2 |
Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce: |
3 |
Pri výzve na zadanie hesla zadajte tento hash: |
4 |
Stiahnite si najnovší stabilný obraz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: |
5 |
Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:
Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“. |
6 |
Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 . Pomocou webového prehliadača prejdite na localhost, Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie. |
7 |
Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia správcu Partner Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre Hybrid Data Security. |
8 |
Na stránke prehľadu nástroja Setup kliknite na položku Začíname. |
9 |
Na stránke Import ISO kliknite na tlačidlo Áno. |
10 |
Vyberte súbor ISO v prehliadači a nahrajte ho. Ak chcete vykonávať správu CMK, zaistite pripojenie k databáze. |
11 |
Prejdite na kartu Správa CMK nájomcov , kde nájdete nasledujúce tri spôsoby správy CMK nájomcov.
|
12 |
Po úspešnom vytvorení CMK sa stav v tabuľke zmení z Čaká sa na správu CMK na Spravuje CMK. |
13 |
Ak je vytvorenie CMK neúspešné, zobrazí sa chyba. |
Odstráňte organizácie nájomníkov
Skôr ako začnete
Po odstránení nebudú používatelia zákazníckych organizácií môcť využívať HDS pre svoje potreby šifrovania a stratia všetky existujúce miesta. Pred odstránením zákazníckych organizácií kontaktujte svojho partnera Cisco alebo správcu účtu.
1 |
Prihláste sa do https://admin.webex.com. |
2 |
V ponuke na ľavej strane obrazovky vyberte položku Služby. |
3 |
V sekcii Cloudové služby vyhľadajte Hybrid Data Security a kliknite na položku Zobraziť všetko. |
4 |
Na karte Zdroje kliknite na klaster, z ktorého chcete odstrániť organizácie zákazníkov. |
5 |
Na stránke, ktorá sa otvorí, kliknite na položku Priradení zákazníci. |
6 |
V zobrazenom zozname organizácií zákazníkov kliknite na položku ... na pravej strane organizácie zákazníka, ktorú chcete odstrániť, a kliknite na položku Odstrániť z klastra. |
Čo robiť ďalej
Dokončite proces odstránenia zrušením CMK zákazníckych organizácií, ako je podrobne uvedené v časti Odvolanie CMK nájomníkov odstránených z HDS.
Zrušiť CMK nájomníkov odstránených z HDS.
Skôr ako začnete
Odstráňte zákazníkov z príslušného klastra, ako je podrobne uvedené v časti Odstránenie organizácií nájomníkov. Spustite nástroj HDS Setup a dokončite proces odstránenia pre zákaznícke organizácie, ktoré boli odstránené.
-
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými administrátorskými právami pre vašu organizáciu.
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker v kroku 5 zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:
-
Databázové poverenia
-
Aktualizácie certifikátov
-
Zmeny v politike autorizácie
-
-
Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.
Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.
1 |
Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať. |
2 |
Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce: |
3 |
Pri výzve na zadanie hesla zadajte tento hash: |
4 |
Stiahnite si najnovší stabilný obraz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: |
5 |
Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:
Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“. |
6 |
Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 . Pomocou webového prehliadača prejdite na localhost, Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie. |
7 |
Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia správcu Partner Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre Hybrid Data Security. |
8 |
Na stránke prehľadu nástroja Setup kliknite na položku Začíname. |
9 |
Na stránke Import ISO kliknite na tlačidlo Áno. |
10 |
Vyberte súbor ISO v prehliadači a nahrajte ho. |
11 |
Prejdite na kartu Správa CMK nájomcov , kde nájdete nasledujúce tri spôsoby správy CMK nájomcov.
|
12 |
Po úspešnom odvolaní CMK sa zákaznícka organizácia už nebude zobrazovať v tabuľke. |
13 |
Ak je zrušenie CMK neúspešné, zobrazí sa chyba. |
Otestujte svoje nasadenie Hybrid Data Security
Otestujte svoje nasadenie hybridného zabezpečenia dát
Skôr ako začnete
-
Nastavte svoje nasadenie Hybridného zabezpečenia dát pre viacerých nájomníkov.
-
Uistite sa, že máte prístup k syslog, aby ste si overili, že kľúčové požiadavky prechádzajú do vášho nasadenia Multi-Tenant Hybrid Data Security.
1 |
Kľúče pre daný priestor nastavuje tvorca priestoru. Prihláste sa do aplikácie Webex ako jeden z používateľov zákazníckej organizácie a potom vytvorte priestor. Ak deaktivujete nasadenie Hybrid Data Security, obsah v priestoroch, ktoré vytvoria používatelia, už nebude prístupný po výmene kópií šifrovacích kľúčov uložených vo vyrovnávacej pamäti klienta. |
2 |
Posielajte správy do nového priestoru. |
3 |
Skontrolujte výstup syslog, aby ste si overili, že požiadavky na kľúče prechádzajú do vášho nasadenia Hybrid Data Security. |
Monitorujte zdravie Hybrid Data Security Health
1 |
V Centre pre partnerov vyberte z ponuky na ľavej strane obrazovky položku Služby . |
2 |
V časti Cloudové služby vyhľadajte Hybrid Data Security a kliknite na položku Upraviť nastavenia. Zobrazí sa stránka Hybrid Data Security Settings.
|
3 |
V časti E-mailové upozornenia zadajte jednu alebo viac e-mailových adries oddelených čiarkami a stlačte kláves Enter. |
Spravujte svoje nasadenie HDS
Spravujte nasadenie HDS
Pomocou tu popísaných úloh spravujte svoje nasadenie Hybrid Data Security.
Nastavte plán aktualizácie klastra
Ak chcete nastaviť plán aktualizácie:
1 |
Prihláste sa do Partnerského centra. |
2 |
V ponuke na ľavej strane obrazovky vyberte položku Služby. |
3 |
V časti Cloudové služby vyhľadajte Hybrid Data Security a kliknite na tlačidlo Nastaviť |
4 |
Na stránke Hybrid Data Security Resources vyberte klaster. |
5 |
Kliknite na kartu Nastavenia klastra . |
6 |
Na stránke Nastavenia klastra v časti Plán aktualizácie vyberte čas a časové pásmo pre plán inovácie. Poznámka: Pod časovým pásmom sa zobrazí dátum a čas ďalšej dostupnej aktualizácie. V prípade potreby môžete inováciu odložiť na nasledujúci deň kliknutím na položku Odložiť o 24 hodín. |
Zmeňte konfiguráciu uzla
-
Zmena x.509 certifikátov z dôvodu uplynutia platnosti alebo iných dôvodov.
Nepodporujeme zmenu názvu domény CN certifikátu. Doména sa musí zhodovať s pôvodnou doménou použitou na registráciu klastra.
-
Aktualizácia nastavení databázy pre zmenu na repliku databázy PostgreSQL alebo Microsoft SQL Server.
Nepodporujeme migráciu údajov z PostgreSQL na Microsoft SQL Server ani opačným spôsobom. Ak chcete zmeniť prostredie databázy, spustite nové nasadenie Hybrid Data Security.
-
Vytvorenie novej konfigurácie na prípravu nového dátového centra.
Z bezpečnostných dôvodov používa Hybrid Data Security heslá servisných účtov, ktoré majú životnosť deväť mesiacov. Keď nástroj HDS Setup vygeneruje tieto heslá, nasadíte ich do každého z vašich uzlov HDS v konfiguračnom súbore ISO. Keď sa blíži koniec platnosti hesiel vašej organizácie, dostanete od tímu Webex upozornenie na resetovanie hesla pre váš počítačový účet. (E-mail obsahuje text „Na aktualizáciu hesla použite rozhranie API strojového účtu.“) Ak platnosť vašich hesiel ešte nevypršala, nástroj vám ponúka dve možnosti:
-
Mäkké obnovenie – staré aj nové heslo fungujú až 10 dní. Toto obdobie použite na postupnú výmenu súboru ISO na uzloch.
-
Tvrdý reset – staré heslá okamžite prestanú fungovať.
Ak platnosť vašich hesiel vyprší bez resetovania, ovplyvní to vašu službu HDS, čo si vyžaduje okamžitý tvrdý reset a nahradenie súboru ISO na všetkých uzloch.
Tento postup použite na vygenerovanie nového konfiguračného súboru ISO a jeho použitie vo vašom klastri.
Skôr ako začnete
-
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými administrátorskými právami partnera.
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri vytváraní kontajnera Docker v 1.e zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Na vygenerovanie novej konfigurácie potrebujete kópiu aktuálneho konfiguračného súboru ISO. ISO obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. ISO potrebujete, keď robíte zmeny v konfigurácii vrátane poverení databázy, aktualizácií certifikátov alebo zmien v politike autorizácie.
1 |
Pomocou Docker na lokálnom počítači spustite nástroj HDS Setup Tool. |
2 |
Ak máte spustený iba jeden uzol HDS, vytvorte nový virtuálny počítač s uzlom Hybrid Data Security a zaregistrujte ho pomocou nového konfiguračného súboru ISO. Podrobnejšie pokyny nájdete v časti Vytvorenie a registrácia ďalších uzlov. |
3 |
Pre existujúce uzly HDS, na ktorých je spustený starší konfiguračný súbor, pripojte súbor ISO. Postupne vykonajte nasledujúci postup na každom uzle a pred vypnutím ďalšieho uzla aktualizujte každý uzol: |
4 |
Opakujte krok 3, aby ste nahradili konfiguráciu na každom zostávajúcom uzle, na ktorom je spustená stará konfigurácia. |
Vypnite režim zablokovaného externého rozlíšenia DNS
Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. Ak server DNS uzla nedokáže rozlíšiť verejné názvy DNS, uzol automaticky prejde do režimu zablokovaného externého rozlíšenia DNS.
Ak vaše uzly dokážu rozlíšiť verejné názvy DNS prostredníctvom interných serverov DNS, môžete tento režim vypnúť opätovným spustením testu pripojenia proxy na každom uzle.
Skôr ako začnete
1 |
Vo webovom prehliadači otvorte rozhranie uzla Hybrid Data Security (adresa IP/ nastavenie, napríklad https://192.0.2.0/setup), zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite na tlačidlo Prihlásiť sa). |
2 |
Prejdite na Prehľad (predvolená stránka). Keď je táto možnosť povolená, možnosť Blokované externé rozlíšenie DNS je nastavená na možnosť Áno. |
3 |
Prejdite na stránku Trust Store & Proxy . |
4 |
Kliknite na položku Skontrolovať pripojenie proxy. Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS a zostane v tomto režime. V opačnom prípade po reštartovaní uzla a návrate na stránku Prehľad by mala byť možnosť Blokované externé rozlíšenie DNS nastavené na možnosť Nie. |
Čo robiť ďalej
Odstráňte uzol
1 |
Pomocou klienta VMware vSphere vo svojom počítači sa prihláste do virtuálneho hostiteľa ESXi a vypnite virtuálny počítač. |
2 |
Odstráňte uzol: |
3 |
V klientovi vSphere odstráňte VM. (Na ľavom navigačnom paneli kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Odstrániť.) Ak nevymažete VM, nezabudnite odpojiť konfiguračný súbor ISO. Bez súboru ISO nemôžete použiť VM na prístup k bezpečnostným údajom. |
Obnova po havárii pomocou pohotovostného dátového centra
Najdôležitejšou službou, ktorú váš klaster Hybrid Data Security poskytuje, je vytváranie a ukladanie kľúčov používaných na šifrovanie správ a iného obsahu uloženého v cloude Webex. Pre každého používateľa v rámci organizácie, ktorý je priradený k Hybrid Data Security, sú do klastra smerované nové požiadavky na vytvorenie kľúča. Klaster je tiež zodpovedný za vrátenie kľúčov, ktoré vytvoril, všetkým používateľom oprávneným na ich získanie, napríklad členom konverzačného priestoru.
Pretože klaster vykonáva kritickú funkciu poskytovania týchto kľúčov, je nevyhnutné, aby klaster zostal spustený a aby boli udržiavané správne zálohy. Strata databázy Hybrid Data Security alebo konfigurácie ISO použitej pre schému bude mať za následok NENÁVRATNÚ STRATU zákazníckeho obsahu. Na zabránenie takejto strate sú povinné nasledujúce postupy:
Ak havária spôsobí, že nasadenie HDS v primárnom dátovom centre sa stane nedostupným, podľa tohto postupu manuálne prepnite na pohotovostné dátové centrum.
Skôr ako začnete
1 |
Spustite nástroj na nastavenie HDS a postupujte podľa krokov uvedených v časti Vytvorenie konfiguračného ISO pre hostiteľov HDS. |
2 |
Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť. |
3 |
Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. |
4 |
V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Upraviť nastavenia. |
5 |
Kliknite na položku Upraviť nastavenia >Jednotka CD/DVD 1 a vyberte položku Datastore ISO File. Uistite sa, že sú začiarknuté položky Pripojené a Pripojiť pri zapnutí , aby sa aktualizované zmeny konfigurácie prejavili po spustení uzlov. |
6 |
Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy. |
7 |
Zaregistrujte uzol v partnerskom centre. Pozrite si časť Registrácia prvého uzla v klastri. |
8 |
Opakujte proces pre každý uzol v pohotovostnom dátovom centre. |
Čo robiť ďalej
(Voliteľné) Odpojte ISO po konfigurácii HDS
Štandardná konfigurácia HDS beží s namontovaným ISO. Niektorí zákazníci však uprednostňujú neponechať súbory ISO nepretržite pripojené. Súbor ISO môžete odpojiť potom, čo všetky uzly HDS prevezmú novú konfiguráciu.
Na vykonanie zmien v konfigurácii stále používate súbory ISO. Keď vytvoríte nový ISO alebo aktualizujete ISO pomocou nástroja Setup Tool, musíte aktualizovaný ISO pripojiť na všetky vaše uzly HDS. Keď všetky vaše uzly zachytia zmeny konfigurácie, môžete ISO znova odpojiť pomocou tohto postupu.
Skôr ako začnete
Inovujte všetky svoje uzly HDS na verziu 2021.01.22.4720 alebo novšiu.
1 |
Vypnite jeden z uzlov HDS. |
2 |
V serverovom zariadení vCenter vyberte uzol HDS. |
3 |
Vyberte položku Súbor ISO úložiska údajov. a zrušte začiarknutie políčka |
4 |
Zapnite uzol HDS a uistite sa, že aspoň 20 minút nie sú žiadne alarmy. |
5 |
Postup opakujte pre každý uzol HDS. |
Riešenie problémov so zabezpečením hybridných údajov
Zobraziť upozornenia a riešenie problémov
Nasadenie Hybrid Data Security sa považuje za nedostupné, ak sú všetky uzly v klastri nedostupné alebo klaster pracuje tak pomaly, že si vyžaduje časový limit. Ak používatelia nemôžu dosiahnuť váš klaster Hybrid Data Security, zaznamenajú nasledujúce príznaky:
-
Nie je možné vytvoriť nové medzery (nemožno vytvoriť nové kľúče)
-
Správy a názvy priestorov sa nedajú dešifrovať pre:
-
Noví používatelia pridaní do priestoru (nemožno načítať kľúče)
-
Existujúci používatelia v priestore používajúci nového klienta (nemožno načítať kľúče)
-
-
Existujúci používatelia v priestore budú naďalej úspešne fungovať, pokiaľ ich klienti majú vyrovnávaciu pamäť šifrovacích kľúčov
Je dôležité, aby ste správne monitorovali svoj klaster Hybrid Data Security a okamžite riešili všetky výstrahy, aby ste predišli prerušeniu služby.
Upozornenia
Ak sa vyskytne problém s nastavením Hybrid Data Security, partnerské centrum zobrazí upozornenia správcovi organizácie a odošle e-maily na nakonfigurovanú e-mailovú adresu. Výstrahy pokrývajú mnoho bežných scenárov.
Upozornenie |
Akcia |
---|---|
Zlyhanie prístupu k lokálnej databáze. |
Skontrolujte chyby databázy alebo problémy s lokálnou sieťou. |
Zlyhanie pripojenia k lokálnej databáze. |
Skontrolujte, či je databázový server dostupný a či boli v konfigurácii uzla použité správne poverenia servisného účtu. |
Zlyhanie prístupu k cloudovej službe. |
Skontrolujte, či majú uzly prístup k serverom Webex, ako je uvedené v časti Požiadavky na externé pripojenie. |
Obnovuje sa registrácia cloudovej služby. |
Registrácia do cloudových služieb bola zrušená. Prebieha obnova registrácie. |
Registrácia cloudovej služby bola zrušená. |
Registrácia do cloudových služieb bola ukončená. Služba sa vypína. |
Služba ešte nie je aktivovaná. |
Aktivujte HDS v Partner Hub. |
Nakonfigurovaná doména sa nezhoduje s certifikátom servera. |
Uistite sa, že váš certifikát servera sa zhoduje s nakonfigurovanou doménou aktivácie služby. Najpravdepodobnejšou príčinou je, že certifikát CN bol nedávno zmenený a teraz sa líši od CN, ktorý bol použitý počas počiatočného nastavenia. |
Nepodarilo sa overiť v cloudových službách. |
Skontrolujte presnosť a možné vypršanie platnosti poverení servisného účtu. |
Nepodarilo sa otvoriť súbor lokálneho úložiska kľúčov. |
Skontrolujte integritu a presnosť hesla v lokálnom súbore skladu kľúčov. |
Certifikát lokálneho servera je neplatný. |
Skontrolujte dátum vypršania platnosti certifikátu servera a potvrďte, že bol vydaný dôveryhodnou certifikačnou autoritou. |
Nie je možné uverejniť metriky. |
Skontrolujte prístup k lokálnej sieti k externým cloudovým službám. |
Adresár /media/configdrive/hds neexistuje. |
Skontrolujte konfiguráciu pripojenia ISO na virtuálnom hostiteľovi. Overte, či súbor ISO existuje, či je nakonfigurovaný na pripojenie pri reštarte a či sa úspešne pripojí. |
Nastavenie nájomnej organizácie pre pridané organizácie nie je dokončené |
Dokončite nastavenie vytvorením CMK pre novo pridané organizácie nájomníkov pomocou nástroja HDS Setup Tool. |
Nastavenie nájomnej organizácie pre odstránené organizácie nie je dokončené |
Dokončite nastavenie zrušením CMK organizácií nájomníkov, ktoré boli odstránené pomocou nástroja HDS Setup Tool. |
Riešenie problémov so zabezpečením hybridných údajov
1 |
Skontrolujte partnerské centrum pre všetky upozornenia a opravte všetky položky, ktoré tam nájdete. Pozrite si obrázok nižšie ako referenciu. |
2 |
Skontrolujte výstup servera syslog pre aktivitu z nasadenia Hybrid Data Security. Filtrujte slová ako „Upozornenie“ a „Chyba“, ktoré vám pomôžu pri riešení problémov. |
3 |
Kontaktujte podporu Cisco. |
Ďalšie poznámky
Známe problémy s hybridnou bezpečnosťou dát
-
Ak vypnete svoj klaster Hybrid Data Security (odstránením v Partner Hub alebo vypnutím všetkých uzlov), stratíte svoj konfiguračný súbor ISO alebo stratíte prístup k databáze úložiska kľúčov, používatelia aplikácií Webex zo zákazníckych organizácií už nebudú môcť používať priestory pod ich zoznam ľudí, ktorý bol vytvorený pomocou kľúčov z vášho KMS. V súčasnosti nemáme riešenie ani opravu tohto problému a žiadame vás, aby ste nevypínali svoje služby HDS, keď budú spracovávať aktívne používateľské účty.
-
Klient, ktorý má existujúce pripojenie ECDH ku KMS, udržiava toto pripojenie určitý čas (pravdepodobne jednu hodinu).
Na vygenerovanie súboru PKCS12 použite OpenSSL
Skôr ako začnete
-
OpenSSL je jeden nástroj, ktorý možno použiť na vytvorenie súboru PKCS12 v správnom formáte na načítanie v nástroji HDS Setup Tool. Existujú aj iné spôsoby, ako to urobiť, a my nepodporujeme ani nepresadzujeme jeden spôsob oproti druhému.
-
Ak sa rozhodnete použiť OpenSSL, poskytujeme tento postup ako návod, ktorý vám pomôže vytvoriť súbor, ktorý spĺňa požiadavky na certifikát X.509 v časti Požiadavky na certifikát X.509. Než budete pokračovať, pochopte tieto požiadavky.
-
Nainštalujte OpenSSL v podporovanom prostredí. Softvér a dokumentáciu nájdete v časti https://www.openssl.org .
-
Vytvorte si súkromný kľúč.
-
Tento postup začnite, keď dostanete certifikát servera od certifikačnej autority (CA).
1 |
Keď od svojej CA dostanete certifikát servera, uložte ho ako |
2 |
Zobrazte certifikát ako text a overte podrobnosti.
|
3 |
Pomocou textového editora vytvorte súbor balíka certifikátov s názvom
|
4 |
Vytvorte súbor .p12 s priateľským názvom
|
5 |
Skontrolujte podrobnosti certifikátu servera. |
Čo robiť ďalej
Vráťte sa na stránku Dokončenie predpokladov pre hybridné zabezpečenie údajov. V časti Vytvorenie konfiguračného ISO pre hostiteľov HDS použijete súbor hdsnode.p12
a heslo, ktoré ste preň nastavili.
Tieto súbory môžete znova použiť na vyžiadanie nového certifikátu, keď platnosť pôvodného certifikátu vyprší.
Prevádzka medzi uzlami HDS a cloudom
Odchádzajúca návštevnosť zberu metrík
Uzly Hybrid Data Security odosielajú určité metriky do cloudu Webex. Patria sem systémové metriky pre maximálnu haldu, využitú haldu, zaťaženie procesora a počet vlákien; metriky na synchrónnych a asynchrónnych vláknach; metriky výstrah zahŕňajúce prah šifrovacích pripojení, latenciu alebo dĺžku frontu požiadaviek; metriky na dátovom úložisku; a metriky šifrovaného pripojenia. Uzly posielajú zašifrovaný kľúčový materiál cez kanál mimo pásma (oddelený od požiadavky).
Prichádzajúca premávka
Uzly Hybrid Data Security prijímajú nasledujúce typy prichádzajúcej prevádzky z cloudu Webex:
-
Šifrovacie požiadavky od klientov, ktoré sú smerované šifrovacou službou
-
Aktualizácie softvéru uzla
Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát
Websocket sa nemôže pripojiť cez Squid Proxy
Servery proxy typu Squid, ktoré kontrolujú prenos HTTPS, môžu narúšať vytváranie pripojení websocket (wss:
), ktoré vyžaduje Hybrid Data Security. Tieto časti poskytujú návod, ako nakonfigurovať rôzne verzie Squid tak, aby ignorovali wss:
prevádzky pre správne fungovanie služieb.
Kalmáre 4 a 5
Pridajte on_unsupported_protocol
smernicu na stránku squid.conf
:
on_unsupported_protocol tunel všetko
Kalmáre 3.5.27
Úspešne sme testovali Hybrid Data Security pomocou nasledujúcich pravidiel pridaných na stránku squid.conf
. Tieto pravidlá sa môžu meniť, pretože vyvíjame funkcie a aktualizujeme cloud Webex.
acl wssMercuryConnection ssl::server_name_regex ortuťové pripojenie ssl_bump splice wssMercuryConnection acl krok1 at_step SslBump1 acl krok2 at_step SslBump2 acl krok3 at_step SslBump3 ssl_bump pohľad krok1 všetko ssl_bump pozerať krok2 všetko ssl_bump vyskočiť krok3 všetko
Nové a zmenené informácie
Nové a zmenené informácie
Táto tabuľka obsahuje nové funkcie alebo funkcie, zmeny existujúceho obsahu a všetky hlavné chyby, ktoré boli opravené v Príručke nasadenia pre multi-tenantovú hybridnú bezpečnosť údajov.
Dátum |
Vykonané zmeny |
---|---|
30. januára 2025 |
Pridaný server SQL verzie 2022 do zoznamu podporovaných serverov SQL v časti Požiadavky na databázový server. |
15. januára 2025 |
Pridané obmedzenia Hybridného zabezpečenia dát pre viacerých nájomníkov. |
8. januára 2025 |
Do časti Vykonať úvodné nastavenie a prevziať inštalačné súbory bola pridaná poznámka, že kliknutie na položku Nastaviť na karte HDS v partnerskom centre je dôležitým krokom procesu inštalácie. |
7. januára 2025 |
Aktualizované Požiadavky na virtuálneho hostiteľa, Tok úloh nasadenia hybridného zabezpečenia údajov a Inštalácia hostiteľského OVA HDS , aby zobrazovali novú požiadavku ESXi 7.0. |
13. decembra 2024 |
Prvýkrát zverejnené. |
Deaktivujte hybridné zabezpečenie dát pre viacerých nájomníkov
Tok úloh deaktivácie HDS pre viacerých nájomníkov
Ak chcete úplne deaktivovať Multi-Tenant HDS, postupujte podľa týchto krokov.
Skôr ako začnete
1 |
Odstráňte všetkých zákazníkov zo všetkých svojich klastrov, ako je uvedené v časti Odstránenie organizácií nájomníkov. |
2 |
Zrušte CMK všetkých zákazníkov, ako je uvedené v časti Zrušenie CMK nájomníkov odstránených z HDS. |
3 |
Odstráňte všetky uzly zo všetkých klastrov, ako je uvedené v časti Odstránenie uzla. |
4 |
Odstráňte všetky svoje klastre z Partner Hub pomocou jednej z nasledujúcich dvoch metód.
|
5 |
Kliknite na kartu Nastavenia na stránke prehľadu Hybrid Data Security a kliknite na položku Deaktivovať HDS na karte Stav HDS. |
Začnite s Hybridným zabezpečením dát pre viacerých nájomníkov
Prehľad zabezpečenia hybridných dát pre viacerých nájomníkov
Od prvého dňa bola bezpečnosť údajov hlavným zameraním pri navrhovaní aplikácie Webex. Základným kameňom tohto zabezpečenia je komplexné šifrovanie obsahu, ktoré umožňujú klienti Webex App interagujúci so službou správy kľúčov (KMS). KMS je zodpovedný za vytváranie a správu kryptografických kľúčov, ktoré klienti používajú na dynamické šifrovanie a dešifrovanie správ a súborov.
V predvolenom nastavení dostávajú všetci zákazníci Webex App end-to-end šifrovanie s dynamickými kľúčmi uloženými v cloudovom KMS v oblasti bezpečnosti Cisco. Hybrid Data Security presúva KMS a ďalšie funkcie súvisiace so zabezpečením do vášho podnikového dátového centra, takže kľúče k vášmu šifrovanému obsahu nemá nikto okrem vás.
Multi-Tenant Hybrid Data Security umožňuje organizáciám využívať HDS prostredníctvom dôveryhodného miestneho partnera, ktorý môže pôsobiť ako poskytovateľ služieb a spravovať lokálne šifrovanie a ďalšie bezpečnostné služby. Toto nastavenie umožňuje partnerskej organizácii mať úplnú kontrolu nad nasadením a správou šifrovacích kľúčov a zaisťuje, že používateľské údaje zákazníckych organizácií sú v bezpečí pred externým prístupom. Partnerské organizácie podľa potreby nastavujú inštancie HDS a vytvárajú klastre HDS. Každá inštancia môže podporovať viacero zákazníckych organizácií na rozdiel od bežného nasadenia HDS, ktoré je obmedzené na jednu organizáciu.
To tiež umožňuje menším organizáciám využívať HDS, pretože službu správy kľúčov a bezpečnostnú infraštruktúru, ako sú dátové centrá, vlastní dôveryhodný miestny partner.
Ako Multi-Tenant Hybrid Data Security poskytuje dátovú suverenitu a kontrolu dát
- Obsah generovaný používateľmi je chránený pred externým prístupom, ako sú poskytovatelia cloudových služieb.
- Miestni dôveryhodní partneri spravujú šifrovacie kľúče zákazníkov, s ktorými už majú vybudovaný vzťah.
- Možnosť miestnej technickej podpory, ak ju poskytuje partner.
- Podporuje obsah stretnutí, správ a hovorov.
Tento dokument je zameraný na pomoc partnerským organizáciám pri nastavovaní a správe zákazníkov v rámci systému Multi-Tenant Hybrid Data Security.
Obmedzenia Hybridného zabezpečenia dát pre viacerých nájomníkov
- Partnerské organizácie nesmú mať v Control Hub aktívne žiadne existujúce nasadenie HDS.
- Nájomnícke alebo zákaznícke organizácie, ktoré chcú byť spravované partnerom, nesmú mať žiadne existujúce nasadenie HDS v Control Hub.
- Akonáhle partner nasadí Multi-Tenant HDS, všetci používatelia zákazníckych organizácií, ako aj používatelia partnerskej organizácie začnú využívať Multi-Tenant HDS pre svoje šifrovacie služby.
Partnerská organizácia a zákaznícke organizácie, ktoré riadia, budú využívať rovnaké nasadenie HDS pre viacerých nájomníkov.
Po nasadení Multi-Tenant HDS už partnerská organizácia nebude používať cloudové KMS.
- Neexistuje žiadny mechanizmus na presun kľúčov späť do Cloud KMS po nasadení HDS.
- V súčasnosti môže mať každé nasadenie Multi-Tenant HDS iba jeden klaster s viacerými uzlami pod ním.
- Úlohy správcu majú určité obmedzenia; podrobnosti nájdete v časti nižšie.
Úlohy v hybridnej bezpečnosti dát pre viacerých nájomníkov
- Úplný správca partnera – môže spravovať nastavenia pre všetkých zákazníkov, ktorých partner spravuje. Môže tiež priradiť roly správcu existujúcim používateľom v organizácii a priradiť konkrétnych zákazníkov, ktorých majú spravovať správcovia partnerov.
- Správca partnera – môže spravovať nastavenia pre zákazníkov, ktorých správca poskytol alebo ktorí boli priradení používateľovi.
- Úplný správca – správca partnerskej organizácie, ktorý je oprávnený vykonávať úlohy, ako je úprava nastavení organizácie, správa licencií a prideľovanie rolí.
- Nastavenie HDS pre viacerých nájomníkov a správa všetkých zákazníckych organizácií od konca do konca – Vyžaduje sa úplný správca partnera a úplné práva správcu.
- Správa priradených organizácií nájomníkov – vyžaduje sa správca partnera a úplné práva správcu.
Architektúra bezpečnostnej sféry
Cloudová architektúra Webex oddeľuje rôzne typy služieb do samostatných oblastí alebo dôveryhodných domén, ako je znázornené nižšie.
Aby sme lepšie porozumeli Hybrid Data Security, pozrime sa najprv na tento čistý cloud, kde Cisco poskytuje všetky funkcie vo svojich cloudových sférach. Služba identity, jediné miesto, kde môžu používatelia priamo korelovať so svojimi osobnými údajmi, ako je e-mailová adresa, je logicky a fyzicky oddelená od oblasti zabezpečenia v dátovom centre B. Obe sú zase oddelené od oblasti, kde je v konečnom dôsledku uložený šifrovaný obsah. , v dátovom centre C.
V tomto diagrame je klientom aplikácia Webex, ktorá beží na notebooku používateľa a je overená službou identity. Keď používateľ vytvorí správu na odoslanie do priestoru, vykonajú sa tieto kroky:
-
Klient vytvorí zabezpečené spojenie so službou správy kľúčov (KMS), potom požiada o kľúč na zašifrovanie správy. Zabezpečené pripojenie používa ECDH a KMS šifruje kľúč pomocou hlavného kľúča AES-256.
-
Správa je pred opustením klienta zašifrovaná. Klient ho odošle do indexovacej služby, ktorá vytvorí šifrované indexy vyhľadávania na pomoc pri budúcom vyhľadávaní obsahu.
-
Zašifrovaná správa sa odošle do služby súladu na kontrolu súladu.
-
Zašifrovaná správa je uložená v úložnej sfére.
Keď nasadíte Hybrid Data Security, presuniete funkcie bezpečnostnej sféry (KMS, indexovanie a súlad) do vášho lokálneho dátového centra. Ostatné cloudové služby, ktoré tvoria Webex (vrátane ukladania identity a obsahu), zostávajú v sférach spoločnosti Cisco.
Spolupráca s inými organizáciami
Používatelia vo vašej organizácii môžu pravidelne používať aplikáciu Webex na spoluprácu s externými účastníkmi v iných organizáciách. Keď jeden z vašich používateľov požaduje kľúč pre priestor, ktorý vlastní vaša organizácia (pretože ho vytvoril jeden z vašich používateľov), váš KMS odošle kľúč klientovi cez zabezpečený kanál ECDH. Keď však kľúč priestoru vlastní iná organizácia, váš KMS nasmeruje požiadavku do cloudu Webex cez samostatný kanál ECDH, aby získal kľúč z príslušného KMS, a potom vráti kľúč vášmu používateľovi na pôvodnom kanáli.
Služba KMS spustená v organizácii A overuje pripojenia ku KMS v iných organizáciách pomocou x.509 PKI certifikátov. Podrobnosti o generovaní certifikátu x.509 na použitie s nasadením Hybrid Data Security pre viacerých nájomníkov nájdete v časti Príprava prostredia .
Očakávania týkajúce sa nasadenia hybridnej bezpečnosti údajov
Nasadenie Hybrid Data Security si vyžaduje značné odhodlanie a uvedomenie si rizík, ktoré so sebou prináša vlastníctvo šifrovacích kľúčov.
Ak chcete nasadiť Hybrid Data Security, musíte poskytnúť:
-
Zabezpečené dátové centrum v krajine, ktorá je podporovaným miestom pre plány Cisco Webex Teams.
-
Vybavenie, softvér a sieťový prístup popísané v časti Príprava prostredia.
Úplná strata buď konfiguračného ISO, ktoré ste vytvorili pre Hybrid Data Security, alebo databázy, ktorú poskytnete, bude mať za následok stratu kľúčov. Strata kľúča bráni používateľom dešifrovať obsah priestoru a ďalšie šifrované údaje v aplikácii Webex. Ak sa tak stane, môžete vytvoriť nové nasadenie, ale bude viditeľný iba nový obsah. Aby ste predišli strate prístupu k údajom, musíte:
-
Spravujte zálohovanie a obnovu databázy a konfiguračného ISO.
-
Buďte pripravení vykonať rýchlu obnovu po havárii, ak dôjde ku katastrofe, ako je zlyhanie databázového disku alebo katastrofa dátového centra.
Neexistuje žiadny mechanizmus na presun kľúčov späť do cloudu po nasadení HDS.
Proces nastavenia na vysokej úrovni
Tento dokument pokrýva nastavenie a správu nasadenia Hybrid Data Security pre viacerých nájomníkov:
-
Nastavenie Hybrid Data Security – zahŕňa prípravu požadovanej infraštruktúry a inštaláciu softvéru Hybrid Data Security, vybudovanie klastra HDS, pridanie organizácií nájomníkov do klastra a správu ich hlavných kľúčov zákazníkov (CMK). To umožní všetkým používateľom vašich zákazníckych organizácií používať váš klaster Hybrid Data Security na bezpečnostné funkcie.
Fázy nastavenia, aktivácie a správy sú podrobne opísané v nasledujúcich troch kapitolách.
-
Udržujte svoje nasadenie Hybrid Data Security – cloud Webex automaticky poskytuje priebežné inovácie. Vaše IT oddelenie môže poskytnúť podporu prvej úrovne pre toto nasadenie a podľa potreby zapojiť podporu Cisco. V partnerskom centre môžete používať upozornenia na obrazovke a nastaviť upozornenia prostredníctvom e-mailu.
-
Pochopte bežné upozornenia, kroky na riešenie problémov a známe problémy – Ak narazíte na problémy s nasadením alebo používaním Hybrid Data Security, posledná kapitola tejto príručky a príloha Známe problémy vám môžu pomôcť určiť a vyriešiť problém.
Hybridný model nasadenia zabezpečenia dát
V rámci podnikového dátového centra nasadíte Hybrid Data Security ako jeden klaster uzlov na samostatných virtuálnych hostiteľoch. Uzly komunikujú s cloudom Webex cez zabezpečené websockety a zabezpečené HTTP.
Počas procesu inštalácie vám poskytneme súbor OVA na nastavenie virtuálneho zariadenia na VM, ktoré poskytnete. Nástroj HDS Setup Tool použijete na vytvorenie vlastného konfiguračného súboru ISO klastra, ktorý pripojíte na každý uzol. Klaster Hybrid Data Security využíva váš poskytnutý server Syslogd a databázu PostgreSQL alebo Microsoft SQL Server. (Syslogd a podrobnosti o pripojení k databáze nakonfigurujete v nástroji HDS Setup Tool.)
Minimálny počet uzlov, ktoré môžete mať v klastri, sú dva. Odporúčame aspoň tri na klaster. Viacnásobné uzly zaisťujú, že služba nebude prerušená počas aktualizácie softvéru alebo inej činnosti údržby na uzle. (Cloud Webex aktualizuje naraz iba jeden uzol.)
Všetky uzly v klastri pristupujú k rovnakému úložisku údajov kľúčov a zaznamenávajú aktivitu na rovnaký server syslog. Samotné uzly sú bez stavu a spracovávajú kľúčové požiadavky v režime round-robin podľa pokynov cloudu.
Uzly sa stanú aktívnymi, keď ich zaregistrujete v Partner Hub. Ak chcete vyradiť jednotlivý uzol z prevádzky, môžete ho zrušiť a neskôr v prípade potreby znova zaregistrovať.
Pohotovostné dátové centrum pre obnovu po havárii
Počas nasadenia nastavíte zabezpečené pohotovostné dátové centrum. V prípade havárie dátového centra môžete manuálne zlyhať nasadenie do pohotovostného dátového centra.
Databázy aktívnych a pohotovostných dátových centier sú navzájom synchronizované, čo minimalizuje čas potrebný na vykonanie núdzového prepnutia.
Aktívne uzly Hybrid Data Security musia byť vždy v rovnakom údajovom centre ako aktívny databázový server.
Podpora proxy
Hybrid Data Security podporuje explicitné, transparentné kontrolné a nekontrolujúce proxy. Tieto servery proxy môžete prepojiť s nasadením, aby ste mohli zabezpečiť a monitorovať prevádzku z podniku do cloudu. Rozhranie správcu platformy na uzloch môžete použiť na správu certifikátov a na kontrolu celkového stavu pripojenia po nastavení servera proxy na uzloch.
Uzly Hybrid Data Security podporujú nasledujúce možnosti proxy:
-
Bez servera proxy – predvolená hodnota, ak na integráciu servera proxy nepoužívate konfiguráciu dôveryhodného obchodu a servera proxy na nastavenie uzla HDS. Nevyžaduje sa žiadna aktualizácia certifikátu.
-
Transparentný nekontrolujúci proxy server – uzly nie sú nakonfigurované na používanie konkrétnej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.
-
Transparentné tunelovanie alebo kontrola servera proxy – uzly nie sú nakonfigurované na používanie konkrétnej adresy servera proxy. Na uzloch nie sú potrebné žiadne zmeny konfigurácie HTTP alebo HTTPS. Uzly však potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).
-
Explicitný server proxy – pomocou explicitného servera proxy poviete uzlom HDS, ktorý server proxy a schému overenia majú použiť. Ak chcete nakonfigurovať explicitný server proxy, musíte do každého uzla zadať nasledujúce informácie:
-
Proxy IP/FQDN – adresa, ktorú možno použiť na spojenie so zariadením proxy.
-
Port proxy – číslo portu, ktoré server proxy používa na počúvanie prenosu cez server proxy.
-
Protokol proxy – v závislosti od toho, čo váš server proxy podporuje, si vyberte z nasledujúcich protokolov:
-
HTTP – zobrazuje a riadi všetky požiadavky, ktoré klient odosiela.
-
HTTPS – poskytuje kanál pre server. Klient prijme a overí certifikát servera.
-
-
Typ overenia totožnosti – vyberte si z nasledujúcich typov overenia totožnosti:
-
Žiadne – nevyžaduje sa žiadne ďalšie overenie.
Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.
-
Základné – používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.
Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.
Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.
-
Súhrn – používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.
Dostupné, iba ak vyberiete HTTPS ako protokol proxy.
Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.
-
-
Príklad uzlov na zabezpečenie hybridných dát a proxy
Tento diagram ukazuje príklad spojenia medzi Hybrid Data Security, sieťou a proxy. Pre možnosti transparentnej kontroly a explicitnej kontroly HTTPS musí byť na serveri proxy a na uzloch Hybrid Data Security nainštalovaný rovnaký koreňový certifikát.
Blokovaný režim externého rozlíšenia DNS (explicitné konfigurácie proxy)
Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. V nasadeniach s explicitnými konfiguráciami proxy, ktoré neumožňujú externé rozlíšenie DNS pre interných klientov, ak uzol nemôže dotazovať servery DNS, automaticky prejde do režimu blokovaného externého riešenia DNS. V tomto režime môže pokračovať registrácia uzla a ďalšie testy pripojenia proxy.
Príprava prostredia
Požiadavky na hybridné zabezpečenie dát pre viacerých nájomníkov
Požiadavky na licenciu Cisco Webex
Ak chcete nasadiť hybridné zabezpečenie dát pre viacerých nájomníkov:
-
Partnerské organizácie: Kontaktujte svojho partnera Cisco alebo správcu účtu a uistite sa, že je povolená funkcia viacerých nájomníkov.
-
Nájomné organizácie: Musíte mať balík Pro Pack pre Cisco Webex Control Hub. (Pozrite si https://www.cisco.com/go/pro-pack.)
Požiadavky na plochu Docker
Pred inštaláciou uzlov HDS potrebujete Docker Desktop na spustenie inštalačného programu. Docker nedávno aktualizoval svoj licenčný model. Vaša organizácia môže vyžadovať platené predplatné pre Docker Desktop. Podrobnosti nájdete v blogovom príspevku Docker „ Docker aktualizuje a rozširuje naše predplatné produktov“.
Požiadavky na certifikát X.509
Certifikačný reťazec musí spĺňať nasledujúce požiadavky:
Požiadavka |
Podrobnosti |
---|---|
|
V predvolenom nastavení dôverujeme CA v zozname Mozilly (s výnimkou WoSign a StartCom) na https://wiki.mozilla.org/CA:IncludedCAs. |
|
CN nemusí byť dosiahnuteľné alebo živého hostiteľa. Odporúčame vám použiť názov, ktorý zodpovedá vašej organizácii, napríklad KN nesmie obsahovať * (zástupný znak). CN sa používa na overenie uzlov Hybrid Data Security pre klientov Webex App. Všetky uzly Hybrid Data Security vo vašom klastri používajú rovnaký certifikát. Váš KMS sa identifikuje pomocou domény CN, nie akejkoľvek domény, ktorá je definovaná v poliach x.509v3 SAN. Po zaregistrovaní uzla s týmto certifikátom nepodporujeme zmenu názvu domény CN. |
|
Softvér KMS nepodporuje podpisy SHA1 na overenie pripojení k KMS iných organizácií. |
|
Na zmenu formátu certifikátu môžete použiť konvertor, ako je OpenSSL. Pri spustení nástroja HDS Setup Tool budete musieť zadať heslo. |
Softvér KMS nevynucuje používanie kľúčov ani rozšírené obmedzenia používania kľúčov. Niektoré certifikačné autority vyžadujú, aby sa na každý certifikát aplikovali rozšírené obmedzenia používania kľúčov, ako je autentifikácia servera. Je v poriadku použiť overenie servera alebo iné nastavenia.
Požiadavky na virtuálny hostiteľ
Virtuálni hostitelia, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri, majú nasledujúce požiadavky:
-
Aspoň dvaja oddelení hostitelia (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre
-
VMware ESXi 7.0 (alebo novší) nainštalovaný a spustený.
Ak máte staršiu verziu ESXi, musíte vykonať inováciu.
-
Minimálne 4 vCPU, 8 GB hlavnej pamäte, 30 GB miesta na lokálnom pevnom disku na server
Požiadavky na databázový server
Vytvorte novú databázu pre uloženie kľúčov. Nepoužívajte predvolenú databázu. Aplikácie HDS, keď sú nainštalované, vytvoria schému databázy.
Pre databázový server sú dve možnosti. Požiadavky na každú z nich sú nasledovné:
PostgreSQL |
Microsoft SQL Server |
---|---|
|
|
Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložisko) |
Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložisko) |
Softvér HDS momentálne inštaluje nasledujúce verzie ovládačov na komunikáciu s databázovým serverom:
PostgreSQL |
Microsoft SQL Server |
---|---|
Postgres JDBC ovládač 42.2.5 |
Ovládač SQL Server JDBC 4.6 Táto verzia ovládača podporuje server SQL Server Always On (Inštancie klastra prepnutia pri zlyhaní a skupiny dostupnosti Vždy zapnuté). |
Dodatočné požiadavky na overenie systému Windows voči Microsoft SQL Server
Ak chcete, aby uzly HDS používali autentifikáciu systému Windows na získanie prístupu k vašej databáze úložiska kľúčov na serveri Microsoft SQL Server, potrebujete vo svojom prostredí nasledujúcu konfiguráciu:
-
HDS uzly, infraštruktúra Active Directory a MS SQL Server musia byť synchronizované s NTP.
-
Účet Windows, ktorý poskytnete uzlom HDS, musí mať prístup k databáze na čítanie/zápis.
-
Servery DNS, ktoré poskytujete uzlom HDS, musia byť schopné vyriešiť vaše Centrum distribúcie kľúčov (KDC).
-
Inštanciu databázy HDS môžete zaregistrovať na svojom serveri Microsoft SQL Server ako hlavný názov služby (SPN) vo vašom adresári Active Directory. Pozrite si časť Registrácia hlavného názvu služby pre pripojenia Kerberos.
Nástroj na nastavenie HDS, spúšťač HDS a miestne KMS musia na prístup k databáze kľúčov používať overenie systému Windows. Používajú podrobnosti z vašej konfigurácie ISO na vytvorenie SPN pri požadovaní prístupu s overením Kerberos.
Požiadavky na externé pripojenie
Nakonfigurujte svoj firewall tak, aby umožňoval nasledujúce pripojenie pre aplikácie HDS:
Aplikácia |
Protokol |
Port |
Smer z App |
Cieľ |
---|---|---|---|---|
Hybridné uzly zabezpečenia údajov |
TCP |
443 |
Odchádzajúce HTTPS a WSS |
|
Nástroj na nastavenie HDS |
TCP |
443 |
Odchádzajúce HTTPS |
|
Uzly Hybrid Data Security pracujú s prekladom sieťového prístupu (NAT) alebo za bránou firewall, pokiaľ NAT alebo brána firewall umožňuje požadované odchádzajúce pripojenia k destináciám domény v predchádzajúcej tabuľke. Pre pripojenia prichádzajúce do uzlov Hybrid Data Security by nemali byť z internetu viditeľné žiadne porty. V rámci vášho dátového centra potrebujú klienti prístup k uzlom Hybrid Data Security na portoch TCP 443 a 22 na administratívne účely.
Adresy URL hostiteľov Common Identity (CI) sú špecifické pre daný región. Toto sú súčasní hostitelia CI:
región |
Spoločné adresy URL hostiteľa identity |
---|---|
Ameriky |
|
Európskej únie |
|
Kanada |
|
Singapur |
|
Spojené arabské emiráty |
|
Požiadavky na proxy server
-
Oficiálne podporujeme nasledujúce proxy riešenia, ktoré sa dajú integrovať s vašimi uzlami Hybrid Data Security.
-
Transparentný proxy – Cisco Web Security Appliance (WSA).
-
Explicitný proxy-Squid.
Squid proxy, ktoré kontrolujú prenos HTTPS, môžu narúšať vytváranie pripojení websocket (wss:). Ak chcete tento problém vyriešiť, prečítajte si časť Konfigurácia serverov proxy Squid pre hybridné zabezpečenie údajov.
-
-
Pre explicitné servery proxy podporujeme nasledujúce kombinácie typov overenia:
-
Žiadna autentifikácia pomocou HTTP alebo HTTPS
-
Základná autentifikácia pomocou HTTP alebo HTTPS
-
Digest overenie iba s HTTPS
-
-
Pre transparentný kontrolný proxy server alebo explicitný proxy server HTTPS musíte mať kópiu koreňového certifikátu servera proxy. Pokyny na nasadenie v tejto príručke vám povedia, ako nahrať kópiu do dôveryhodných obchodov uzlov Hybrid Data Security.
-
Sieť, ktorá hostí uzly HDS, musí byť nakonfigurovaná tak, aby vynútila smerovanie odchádzajúcej prevádzky TCP na porte 443 cez server proxy.
-
Proxy, ktoré kontrolujú webovú prevádzku, môžu narúšať pripojenia webových soketov. Ak sa vyskytne tento problém, problém vyrieši obídenie (nie kontrola) návštevnosti stránok
wbx2.com
aciscospark.com
.
Vyplňte Predpoklady pre hybridnú bezpečnosť údajov
1 |
Uistite sa, že vaša partnerská organizácia má povolenú funkciu Multi-Tenant HDS a získajte prihlasovacie údaje účtu s úplným správcom partnera a plnými právami správcu. Uistite sa, že vaša organizácia zákazníkov Webex má povolený balík Pro Pack pre Cisco Webex Control Hub. Ak potrebujete pomoc s týmto procesom, kontaktujte svojho partnera Cisco alebo account manažéra. Zákaznícke organizácie by nemali mať žiadne existujúce nasadenie HDS. |
2 |
Vyberte názov domény pre svoje nasadenie HDS (napríklad |
3 |
Pripravte si identických virtuálnych hostiteľov, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri. Potrebujete aspoň dvoch samostatných hostiteľov (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre, ktorí spĺňajú požiadavky v časti Požiadavky na virtuálneho hostiteľa. |
4 |
Pripravte databázový server, ktorý bude fungovať ako úložisko kľúčových údajov pre klaster, v súlade s požiadavkami na databázový server. Databázový server musí byť umiestnený v zabezpečenom údajovom centre spolu s virtuálnymi hostiteľmi. |
5 |
Pre rýchlu obnovu po havárii nastavte zálohovacie prostredie v inom dátovom centre. Zálohovacie prostredie odzrkadľuje produkčné prostredie VM a záložný databázový server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM. |
6 |
Nastavte hostiteľa syslog na zhromažďovanie protokolov z uzlov v klastri. Získajte jeho sieťovú adresu a port syslog (predvolené je UDP 514). |
7 |
Vytvorte politiku bezpečného zálohovania pre uzly Hybrid Data Security, databázový server a hostiteľa syslog. Aby ste predišli nenapraviteľnej strate údajov, musíte minimálne zálohovať databázu a konfiguračný súbor ISO vygenerovaný pre uzly Hybrid Data Security. Keďže uzly Hybrid Data Security ukladajú kľúče používané na šifrovanie a dešifrovanie obsahu, zlyhanie prevádzkyschopného nasadenia bude mať za následok NEOBNOVITEĽNÚ STRATU tohto obsahu. Klienti Webex App ukladajú svoje kľúče do vyrovnávacej pamäte, takže výpadok nemusí byť okamžite viditeľný, ale časom sa prejaví. Zatiaľ čo dočasným výpadkom nie je možné zabrániť, sú obnoviteľné. Úplná strata (nie sú k dispozícii žiadne zálohy) databázy alebo konfiguračného ISO súboru však bude mať za následok neobnoviteľné zákaznícke údaje. Od operátorov uzlov Hybrid Data Security sa očakáva, že budú pravidelne zálohovať databázu a konfiguračný súbor ISO a budú pripravení na prestavbu dátového centra Hybrid Data Security, ak dôjde ku katastrofálnej poruche. |
8 |
Uistite sa, že konfigurácia brány firewall umožňuje pripojenie pre uzly Hybrid Data Security, ako je uvedené v časti Požiadavky na externé pripojenie. |
9 |
Nainštalujte Docker ( https://www.docker.com) na ľubovoľný lokálny počítač s podporovaným operačným systémom (Microsoft Windows 10 Professional alebo Enterprise 64-bitový alebo Mac OSX Yosemite 10.10.3 alebo novší) pomocou webového prehliadača, ktorý k nemu má prístup na adrese http://127.0.0.1:8080. Inštanciu Docker použijete na stiahnutie a spustenie nástroja HDS Setup Tool, ktorý vytvorí informácie o lokálnej konfigurácii pre všetky uzly Hybrid Data Security. Možno budete potrebovať licenciu Docker Desktop. Ďalšie informácie nájdete v časti Požiadavky na pracovnú plochu Docker . Ak chcete nainštalovať a spustiť nástroj HDS Setup Tool, miestny počítač musí mať pripojenie uvedené v časti Požiadavky na externé pripojenie. |
10 |
Ak integrujete server proxy so službou Hybrid Data Security, uistite sa, že spĺňa požiadavky na server proxy. |
Nastavte klaster Hybrid Data Security
Tok úloh nasadenia zabezpečenia hybridných údajov
1 |
Vykonajte počiatočné nastavenie a stiahnite inštalačné súbory Stiahnite si súbor OVA na váš lokálny počítač pre neskoršie použitie. |
2 |
Vytvorte ISO konfigurácie pre hostiteľov HDS Pomocou nástroja HDS Setup Tool vytvorte konfiguračný súbor ISO pre uzly Hybrid Data Security. |
3 |
Vytvorte virtuálny počítač zo súboru OVA a vykonajte počiatočnú konfiguráciu, ako sú nastavenia siete. Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 7.0. Táto možnosť nemusí byť dostupná v starších verziách. |
4 |
Nastavte virtuálny počítač Hybrid Data Security Prihláste sa do konzoly VM a nastavte prihlasovacie poverenia. Nakonfigurujte sieťové nastavenia pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA. |
5 |
Nahrajte a pripojte ISO konfiguráciu HDS Nakonfigurujte VM z konfiguračného súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool. |
6 |
Nakonfigurujte uzol HDS na integráciu proxy Ak sieťové prostredie vyžaduje konfiguráciu servera proxy, zadajte typ servera proxy, ktorý použijete pre uzol, a v prípade potreby pridajte certifikát servera proxy do dôveryhodného úložiska. |
7 |
Zaregistrujte prvý uzol v klastri Zaregistrujte VM v cloude Cisco Webex ako uzol Hybrid Data Security. |
8 |
Vytvorte a zaregistrujte viac uzlov Dokončite nastavenie klastra. |
9 |
Aktivujte si Multi-Tenant HDS na Partner Hub. Aktivujte si HDS a spravujte organizácie nájomníkov na Partner Hub. |
Vykonajte počiatočné nastavenie a stiahnite inštalačné súbory
V tejto úlohe stiahnete súbor OVA do svojho počítača (nie na servery, ktoré ste nastavili ako uzly Hybrid Data Security). Tento súbor použijete neskôr v procese inštalácie.
1 |
Prihláste sa do Partnerského centra a potom kliknite na položku Služby. |
2 |
V časti Cloudové služby nájdite kartu Hybrid Data Security a kliknite na tlačidlo Nastaviť. Pre proces nasadenia je rozhodujúce kliknutie na položku Nastaviť v partnerskom centre. Nepokračujte v inštalácii bez dokončenia tohto kroku. |
3 |
Kliknite na položku Pridať zdroj a kliknite na položku Prevziať súbor .OVA na karte Inštalovať a konfigurovať softvér . Staršie verzie softvérového balíka (OVA) nebudú kompatibilné s najnovšími aktualizáciami Hybrid Data Security. To môže viesť k problémom pri inovácii aplikácie. Uistite sa, že ste si stiahli najnovšiu verziu súboru OVA. OVA si tiež môžete kedykoľvek stiahnuť zo sekcie Pomocník . Kliknite na položky . Súbor OVA sa začne automaticky sťahovať. Uložte súbor na miesto v počítači.
|
4 |
Voliteľne kliknite na položku Zobraziť príručku nasadenia hybridného zabezpečenia údajov a skontrolujte, či je k dispozícii novšia verzia tejto príručky. |
Vytvorte ISO konfigurácie pre hostiteľov HDS
Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.
Skôr ako začnete
-
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými administrátorskými právami.
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker v kroku 5 nižšie zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:
-
Databázové poverenia
-
Aktualizácie certifikátov
-
Zmeny v politike autorizácie
-
-
Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.
1 |
Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať. | ||||||||||
2 |
Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce: | ||||||||||
3 |
Pri výzve na zadanie hesla zadajte tento hash: | ||||||||||
4 |
Stiahnite si najnovší stabilný obraz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: | ||||||||||
5 |
Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:
Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“. | ||||||||||
6 |
Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 . Pomocou webového prehliadača prejdite na localhost, Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie. | ||||||||||
7 |
Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia správcu Partner Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre Hybrid Data Security. | ||||||||||
8 |
Na stránke prehľadu nástroja Setup kliknite na položku Začíname. | ||||||||||
9 |
Na stránke Import ISO máte tieto možnosti:
| ||||||||||
10 |
Skontrolujte, či váš certifikát X.509 spĺňa požiadavky uvedené v časti Požiadavky na certifikát X.509.
| ||||||||||
11 |
Zadajte databázovú adresu a účet pre HDS, aby ste získali prístup k vášmu úložisku kľúčových údajov: | ||||||||||
12 |
Vyberte Režim pripojenia databázy TLS:
Keď odovzdáte koreňový certifikát (ak je to potrebné) a kliknete na tlačidlo Pokračovať, nástroj HDS Setup Tool otestuje pripojenie TLS k databázovému serveru. Nástroj tiež overuje podpisovateľa certifikátu a názov hostiteľa, ak je to potrebné. Ak test zlyhá, nástroj zobrazí chybové hlásenie s popisom problému. Môžete si vybrať, či chcete chybu ignorovať a pokračovať v nastavovaní. (Vzhľadom na rozdiely v konektivite môžu byť uzly HDS schopné vytvoriť pripojenie TLS, aj keď ho zariadenie HDS Setup Tool nedokáže úspešne otestovať.) | ||||||||||
13 |
Na stránke Systémové denníky nakonfigurujte svoj server Syslogd: | ||||||||||
14 |
(Voliteľné) Predvolenú hodnotu niektorých parametrov pripojenia k databáze môžete zmeniť v časti Rozšírené nastavenia. Vo všeobecnosti je tento parameter jediný, ktorý možno budete chcieť zmeniť: | ||||||||||
15 |
Kliknite na tlačidlo Pokračovať na obrazovke Obnoviť heslo servisných účtov . Heslá k servisným účtom majú životnosť deväť mesiacov. Túto obrazovku použite, keď sa blíži koniec platnosti vašich hesiel alebo ich chcete resetovať, aby ste zrušili platnosť predchádzajúcich súborov ISO. | ||||||||||
16 |
Kliknite na položku Prevziať súbor ISO. Uložte súbor na miesto, ktoré sa dá ľahko nájsť. | ||||||||||
17 |
Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. | ||||||||||
18 |
Ak chcete vypnúť inštalačný nástroj, napíšte |
Čo robiť ďalej
Zálohujte konfiguračný súbor ISO. Potrebujete ho na vytvorenie ďalších uzlov na obnovu alebo na vykonanie zmien v konfigurácii. Ak stratíte všetky kópie súboru ISO, stratili ste aj hlavný kľúč. Obnovenie kľúčov z databázy PostgreSQL alebo Microsoft SQL Server nie je možné.
Nikdy nemáme kópiu tohto kľúča a nemôžeme vám pomôcť, ak ho stratíte.
Nainštalujte HDS Host OVA
1 |
Na prihlásenie do virtuálneho hostiteľa ESXi použite klienta VMware vSphere na vašom počítači. |
2 |
Vyberte položku Súbor > Nasadiť šablónu OVF. |
3 |
V sprievodcovi zadajte umiestnenie súboru OVA, ktorý ste prevzali predtým, a potom kliknite na tlačidlo Ďalej. |
4 |
Na stránke Vyberte názov a priečinok zadajte Názov virtuálneho počítača pre uzol (napríklad „HDS_Node_1“) a vyberte umiestnenie, kde nasadenie uzla virtuálneho počítača sa môže nachádzať a potom kliknite na tlačidlo Ďalej. |
5 |
Na stránke Vyberte výpočtový zdroj vyberte cieľový výpočtový zdroj a potom kliknite na tlačidlo Ďalej. Prebehne overovacia kontrola. Po dokončení sa zobrazia podrobnosti šablóny. |
6 |
Overte podrobnosti šablóny a potom kliknite na tlačidlo Ďalej. |
7 |
Ak sa zobrazí výzva na výber konfigurácie prostriedkov na stránke Konfigurácia , kliknite na položku 4 CPU a potom kliknite na tlačidlo Ďalej. |
8 |
Na stránke Vybrať úložisko kliknite na tlačidlo Ďalej , čím prijmete predvolený formát disku a pravidlá úložiska VM. |
9 |
Na stránke Vybrať siete vyberte sieťovú možnosť zo zoznamu položiek, aby ste poskytli požadované pripojenie k virtuálnemu počítaču. |
10 |
Na stránke Prispôsobiť šablónu nakonfigurujte nasledujúce nastavenia siete:
Ak chcete, môžete preskočiť konfiguráciu nastavenia siete a podľa krokov v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov nakonfigurujte nastavenia z konzoly uzla. Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 7.0. Táto možnosť nemusí byť dostupná v starších verziách. |
11 |
Kliknite pravým tlačidlom myši na uzol VM a potom vyberte položky .Softvér Hybrid Data Security je nainštalovaný ako hosť na hostiteľovi VM. Teraz ste pripravení prihlásiť sa do konzoly a nakonfigurovať uzol. Tipy na riešenie problémov Môžete zaznamenať oneskorenie niekoľkých minút, kým sa kontajnery uzlov objavia. Počas prvého spustenia, počas ktorého sa nemôžete prihlásiť, sa na konzole zobrazí správa brány firewall mosta. |
Nastavte virtuálny počítač Hybrid Data Security
Tento postup použite na prvé prihlásenie do konzoly VM uzla Hybrid Data Security a nastavenie prihlasovacích poverení. Konzolu môžete použiť aj na konfiguráciu sieťových nastavení pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.
1 |
V klientovi VMware vSphere vyberte svoj uzol Hybrid Data Security VM a vyberte kartu Konzola . VM sa spustí a zobrazí sa výzva na prihlásenie. Ak sa výzva na prihlásenie nezobrazí, stlačte kláves Enter.
|
2 |
Na prihlásenie a zmenu poverení použite nasledujúce predvolené prihlasovacie meno a heslo: Keďže sa do svojho VM prihlasujete prvýkrát, musíte zmeniť heslo správcu. |
3 |
Ak ste už nakonfigurovali nastavenia siete v časti Inštalácia hostiteľa HDS OVA, preskočte zvyšok tohto postupu. V opačnom prípade vyberte v hlavnej ponuke možnosť Upraviť konfiguráciu . |
4 |
Nastavte statickú konfiguráciu s IP adresou, maskou, bránou a informáciami DNS. Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované. |
5 |
(Voliteľné) Zmeňte názov hostiteľa, doménu alebo server(y) NTP, ak je to potrebné, aby zodpovedali zásadám vašej siete. Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509. |
6 |
Uložte konfiguráciu siete a reštartujte VM, aby sa zmeny prejavili. |
Nahrajte a pripojte ISO konfiguráciu HDS
Skôr ako začnete
Pretože súbor ISO obsahuje hlavný kľúč, mal by byť zverejnený iba na základe „potreby vedieť“, aby k nemu mali prístup virtuálne počítače s hybridným zabezpečením údajov a všetci správcovia, ktorí môžu potrebovať vykonať zmeny. Uistite sa, že k úložisku údajov majú prístup iba títo správcovia.
1 |
Nahrajte súbor ISO z počítača: |
2 |
Pripojte súbor ISO: |
Čo robiť ďalej
Ak to vyžaduje vaša politika IT, môžete voliteľne odpojiť súbor ISO po tom, čo všetky vaše uzly prevezmú zmeny konfigurácie. Podrobnosti nájdete v časti (Voliteľné) Odpojenie ISO po konfigurácii HDS .
Nakonfigurujte uzol HDS na integráciu proxy
Ak sieťové prostredie vyžaduje server proxy, použite tento postup na určenie typu servera proxy, ktorý chcete integrovať s Hybrid Data Security. Ak si vyberiete transparentný kontrolný proxy server alebo explicitný proxy server HTTPS, môžete použiť rozhranie uzla na nahranie a inštaláciu koreňového certifikátu. Môžete tiež skontrolovať pripojenie proxy z rozhrania a vyriešiť prípadné problémy.
Skôr ako začnete
-
Prehľad podporovaných možností servera proxy nájdete v časti Podpora servera proxy .
1 |
Do webového prehliadača zadajte adresu URL nastavenia uzla HDS |
2 |
Prejdite na stránku Trust Store & Proxy a potom vyberte jednu z možností:
Postupujte podľa nasledujúcich krokov pre transparentný kontrolný proxy server, explicitný proxy server HTTP so základným overením alebo explicitný proxy HTTPS. |
3 |
Kliknite na položku Odovzdať koreňový certifikát alebo certifikát ukončenia entity a potom prejdite na výber koreňového certifikátu pre server proxy. Certifikát je nahraný, ale ešte nie je nainštalovaný, pretože na inštaláciu certifikátu musíte reštartovať uzol. Ak chcete získať ďalšie podrobnosti, kliknite na šípku so šípkou vedľa názvu vydavateľa certifikátu. Ak ste urobili chybu a chcete súbor nahrať znova, kliknite na tlačidlo Odstrániť . |
4 |
Kliknutím na položku Skontrolovať pripojenie proxy otestujete sieťové pripojenie medzi uzlom a serverom proxy. Ak test pripojenia zlyhá, zobrazí sa chybové hlásenie, ktoré uvádza dôvod a spôsob, ako môžete problém vyriešiť. Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS. Tento stav sa očakáva v mnohých explicitných konfiguráciách proxy. Môžete pokračovať v nastavovaní a uzol bude fungovať v režime zablokovaného externého rozlíšenia DNS. Ak si myslíte, že ide o chybu, vykonajte tieto kroky a potom si pozrite časť Vypnutie režimu zablokovaného externého rozlíšenia DNS. |
5 |
Po úspešnom teste pripojenia pre explicitný server proxy nastavený iba na https zapnite prepínač na možnosť Smerovať všetky požiadavky protokolu https z tohto uzla na port 443/444 cez explicitný server proxy. Toto nastavenie sa prejaví po 15 sekundách. |
6 |
Kliknite na položku Inštalovať všetky certifikáty do dôveryhodného úložiska (zobrazí sa pri explicitnom serveri proxy HTTPS alebo transparentnom kontrolnom serveri proxy) alebo Reštartovať (zobrazí sa pri explicitnom serveri proxy HTTP), prečítajte si výzvu a potom kliknite na tlačidlo Inštalovať , ak ste pripravení. Uzol sa reštartuje v priebehu niekoľkých minút. |
7 |
Keď sa uzol reštartuje, v prípade potreby sa znova prihláste a potom otvorte stránku Prehľad a skontrolujte kontroly pripojenia, aby ste sa uistili, že sú všetky v zelenom stave. Kontrola pripojenia proxy testuje iba subdoménu webex.com. Ak sa vyskytnú problémy s pripojením, bežným problémom je, že niektoré z cloudových domén uvedených v pokynoch na inštaláciu sú na serveri proxy blokované. |
Zaregistrujte prvý uzol v klastri
Keď zaregistrujete svoj prvý uzol, vytvoríte klaster, ku ktorému je uzol priradený. Klaster obsahuje jeden alebo viac uzlov nasadených na zabezpečenie redundancie.
Skôr ako začnete
-
Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.
-
Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.
1 |
Prihláste sa do https://admin.webex.com. |
2 |
V ponuke na ľavej strane obrazovky vyberte položku Služby. |
3 |
V časti Cloudové služby nájdite kartu Hybrid Data Security a kliknite na tlačidlo Nastaviť. |
4 |
Na stránke, ktorá sa otvorí, kliknite na položku Pridať zdroj. |
5 |
Do prvého poľa na karte Pridať uzol zadajte názov klastra, ktorému chcete priradiť uzol Hybrid Data Security. Odporúčame pomenovať klaster podľa toho, kde sa geograficky nachádzajú uzly klastra. Príklady: „San Francisco“ alebo „New York“ alebo „Dallas“ |
6 |
Do druhého poľa zadajte internú adresu IP alebo úplný názov domény (FQDN) svojho uzla a kliknite na tlačidlo Pridať v dolnej časti obrazovky. Táto adresa IP alebo FQDN by sa mala zhodovať s adresou IP alebo názvom hostiteľa a doménou, ktoré ste použili v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov. Zobrazí sa správa, že môžete zaregistrovať svoj uzol do Webexu.
|
7 |
Kliknite na položku Prejsť do uzla. Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že svojej organizácii Webex chcete udeliť povolenia na prístup k vášmu uzlu. |
8 |
Začiarknite políčko Povoliť prístup k vášmu uzlu zabezpečenia hybridných údajov a potom kliknite na tlačidlo Pokračovať. Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
|
9 |
Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Hybrid Data Security partnerského centra. Na stránke Hybrid Data Security sa nový klaster obsahujúci uzol, ktorý ste zaregistrovali, zobrazí na karte Prostriedky . Uzol si automaticky stiahne najnovší softvér z cloudu.
|
Vytvorte a zaregistrujte viac uzlov
Skôr ako začnete
-
Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.
-
Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.
1 |
Vytvorte nový virtuálny počítač z OVA zopakovaním krokov v časti Inštalácia hostiteľského OVA HDS. |
2 |
Nastavte úvodnú konfiguráciu na novom virtuálnom počítači zopakovaním krokov v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov. |
3 |
Na novom virtuálnom počítači zopakujte kroky v časti Odovzdanie a pripojenie ISO konfigurácie HDS. |
4 |
Ak nastavujete server proxy pre svoje nasadenie, zopakujte kroky v časti Konfigurácia uzla HDS na integráciu servera proxy podľa potreby pre nový uzol. |
5 |
Zaregistrujte uzol. |
Spravujte organizácie nájomníkov na hybridnom zabezpečení dát pre viacerých nájomníkov
Aktivujte si Multi-Tenant HDS na Partner Hub
Táto úloha zaisťuje, že všetci používatelia zákazníckych organizácií môžu začať využívať HDS pre lokálne šifrovacie kľúče a ďalšie bezpečnostné služby.
Skôr ako začnete
Uistite sa, že ste dokončili nastavenie klastra Multi-Tenant HDS s požadovaným počtom uzlov.
1 |
Prihláste sa do https://admin.webex.com. |
2 |
V ponuke na ľavej strane obrazovky vyberte položku Služby. |
3 |
V časti Cloudové služby vyhľadajte Hybrid Data Security a kliknite na položku Upraviť nastavenia. |
4 |
Kliknite na položku Aktivovať HDS na karte Stav HDS . |
Pridajte organizácie nájomníkov v partnerskom centre
V tejto úlohe priradíte zákaznícke organizácie k vášmu Hybrid Data Security Cluster.
1 |
Prihláste sa do https://admin.webex.com. |
2 |
V ponuke na ľavej strane obrazovky vyberte položku Služby. |
3 |
V sekcii Cloudové služby vyhľadajte Hybrid Data Security a kliknite na položku Zobraziť všetko. |
4 |
Kliknite na klaster, ku ktorému chcete priradiť zákazníka. |
5 |
Prejdite na kartu Priradení zákazníci . |
6 |
Kliknite na položku Pridať zákazníkov. |
7 |
Z rozbaľovacej ponuky vyberte zákazníka, ktorého chcete pridať. |
8 |
Kliknite na tlačidlo Pridať, zákazník bude pridaný do klastra. |
9 |
Ak chcete do svojho klastra pridať viacerých zákazníkov, zopakujte kroky 6 až 8. |
10 |
Po pridaní zákazníkov kliknite na tlačidlo Hotovo v dolnej časti obrazovky. |
Čo robiť ďalej
Vytvorte hlavné kľúče zákazníka (CMK) pomocou nástroja HDS Setup
Skôr ako začnete
Priraďte zákazníkov do príslušného klastra, ako je podrobne uvedené v časti Pridanie organizácií nájomníkov do centra partnerov. Spustite nástroj HDS Setup a dokončite proces nastavenia pre novo pridané zákaznícke organizácie.
-
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými administrátorskými právami pre vašu organizáciu.
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker v kroku 5 zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:
-
Databázové poverenia
-
Aktualizácie certifikátov
-
Zmeny v politike autorizácie
-
-
Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.
Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.
1 |
Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať. |
2 |
Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce: |
3 |
Pri výzve na zadanie hesla zadajte tento hash: |
4 |
Stiahnite si najnovší stabilný obraz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: |
5 |
Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:
Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“. |
6 |
Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 . Pomocou webového prehliadača prejdite na localhost, Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie. |
7 |
Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia správcu Partner Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre Hybrid Data Security. |
8 |
Na stránke prehľadu nástroja Setup kliknite na položku Začíname. |
9 |
Na stránke Import ISO kliknite na tlačidlo Áno. |
10 |
Vyberte súbor ISO v prehliadači a nahrajte ho. Ak chcete vykonávať správu CMK, zaistite pripojenie k databáze. |
11 |
Prejdite na kartu Správa CMK nájomcov , kde nájdete nasledujúce tri spôsoby správy CMK nájomcov.
|
12 |
Po úspešnom vytvorení CMK sa stav v tabuľke zmení z Čaká sa na správu CMK na Spravuje CMK. |
13 |
Ak je vytvorenie CMK neúspešné, zobrazí sa chyba. |
Odstráňte organizácie nájomníkov
Skôr ako začnete
Po odstránení nebudú používatelia zákazníckych organizácií môcť využívať HDS pre svoje potreby šifrovania a stratia všetky existujúce miesta. Pred odstránením zákazníckych organizácií kontaktujte svojho partnera Cisco alebo správcu účtu.
1 |
Prihláste sa do https://admin.webex.com. |
2 |
V ponuke na ľavej strane obrazovky vyberte položku Služby. |
3 |
V sekcii Cloudové služby vyhľadajte Hybrid Data Security a kliknite na položku Zobraziť všetko. |
4 |
Na karte Zdroje kliknite na klaster, z ktorého chcete odstrániť organizácie zákazníkov. |
5 |
Na stránke, ktorá sa otvorí, kliknite na položku Priradení zákazníci. |
6 |
V zobrazenom zozname organizácií zákazníkov kliknite na položku ... na pravej strane organizácie zákazníka, ktorú chcete odstrániť, a kliknite na položku Odstrániť z klastra. |
Čo robiť ďalej
Dokončite proces odstránenia zrušením CMK zákazníckych organizácií, ako je podrobne uvedené v časti Odvolanie CMK nájomníkov odstránených z HDS.
Zrušiť CMK nájomníkov odstránených z HDS.
Skôr ako začnete
Odstráňte zákazníkov z príslušného klastra, ako je podrobne uvedené v časti Odstránenie organizácií nájomníkov. Spustite nástroj HDS Setup a dokončite proces odstránenia pre zákaznícke organizácie, ktoré boli odstránené.
-
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými administrátorskými právami pre vašu organizáciu.
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker v kroku 5 zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:
-
Databázové poverenia
-
Aktualizácie certifikátov
-
Zmeny v politike autorizácie
-
-
Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.
Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.
1 |
Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať. |
2 |
Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce: |
3 |
Pri výzve na zadanie hesla zadajte tento hash: |
4 |
Stiahnite si najnovší stabilný obraz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: |
5 |
Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:
Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“. |
6 |
Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 . Pomocou webového prehliadača prejdite na localhost, Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie. |
7 |
Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia správcu Partner Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre Hybrid Data Security. |
8 |
Na stránke prehľadu nástroja Setup kliknite na položku Začíname. |
9 |
Na stránke Import ISO kliknite na tlačidlo Áno. |
10 |
Vyberte súbor ISO v prehliadači a nahrajte ho. |
11 |
Prejdite na kartu Správa CMK nájomcov , kde nájdete nasledujúce tri spôsoby správy CMK nájomcov.
|
12 |
Po úspešnom odvolaní CMK sa zákaznícka organizácia už nebude zobrazovať v tabuľke. |
13 |
Ak je zrušenie CMK neúspešné, zobrazí sa chyba. |
Otestujte svoje nasadenie Hybrid Data Security
Otestujte svoje nasadenie hybridného zabezpečenia dát
Skôr ako začnete
-
Nastavte svoje nasadenie Hybridného zabezpečenia dát pre viacerých nájomníkov.
-
Uistite sa, že máte prístup k syslog, aby ste si overili, že kľúčové požiadavky prechádzajú do vášho nasadenia Multi-Tenant Hybrid Data Security.
1 |
Kľúče pre daný priestor nastavuje tvorca priestoru. Prihláste sa do aplikácie Webex ako jeden z používateľov zákazníckej organizácie a potom vytvorte priestor. Ak deaktivujete nasadenie Hybrid Data Security, obsah v priestoroch, ktoré vytvoria používatelia, už nebude prístupný po výmene kópií šifrovacích kľúčov uložených vo vyrovnávacej pamäti klienta. |
2 |
Posielajte správy do nového priestoru. |
3 |
Skontrolujte výstup syslog, aby ste si overili, že požiadavky na kľúče prechádzajú do vášho nasadenia Hybrid Data Security. |
Monitorujte zdravie Hybrid Data Security Health
1 |
V Centre pre partnerov vyberte z ponuky na ľavej strane obrazovky položku Služby . |
2 |
V časti Cloudové služby vyhľadajte Hybrid Data Security a kliknite na položku Upraviť nastavenia. Zobrazí sa stránka Hybrid Data Security Settings.
|
3 |
V časti E-mailové upozornenia zadajte jednu alebo viac e-mailových adries oddelených čiarkami a stlačte kláves Enter. |
Spravujte svoje nasadenie HDS
Spravujte nasadenie HDS
Pomocou tu popísaných úloh spravujte svoje nasadenie Hybrid Data Security.
Nastavte plán aktualizácie klastra
Ak chcete nastaviť plán aktualizácie:
1 |
Prihláste sa do Partnerského centra. |
2 |
V ponuke na ľavej strane obrazovky vyberte položku Služby. |
3 |
V časti Cloudové služby vyhľadajte Hybrid Data Security a kliknite na tlačidlo Nastaviť |
4 |
Na stránke Hybrid Data Security Resources vyberte klaster. |
5 |
Kliknite na kartu Nastavenia klastra . |
6 |
Na stránke Nastavenia klastra v časti Plán aktualizácie vyberte čas a časové pásmo pre plán inovácie. Poznámka: Pod časovým pásmom sa zobrazí dátum a čas ďalšej dostupnej aktualizácie. V prípade potreby môžete inováciu odložiť na nasledujúci deň kliknutím na položku Odložiť o 24 hodín. |
Zmeňte konfiguráciu uzla
-
Zmena x.509 certifikátov z dôvodu uplynutia platnosti alebo iných dôvodov.
Nepodporujeme zmenu názvu domény CN certifikátu. Doména sa musí zhodovať s pôvodnou doménou použitou na registráciu klastra.
-
Aktualizácia nastavení databázy pre zmenu na repliku databázy PostgreSQL alebo Microsoft SQL Server.
Nepodporujeme migráciu údajov z PostgreSQL na Microsoft SQL Server ani opačným spôsobom. Ak chcete zmeniť prostredie databázy, spustite nové nasadenie Hybrid Data Security.
-
Vytvorenie novej konfigurácie na prípravu nového dátového centra.
Z bezpečnostných dôvodov používa Hybrid Data Security heslá servisných účtov, ktoré majú životnosť deväť mesiacov. Keď nástroj HDS Setup vygeneruje tieto heslá, nasadíte ich do každého z vašich uzlov HDS v konfiguračnom súbore ISO. Keď sa blíži koniec platnosti hesiel vašej organizácie, dostanete od tímu Webex upozornenie na resetovanie hesla pre váš počítačový účet. (E-mail obsahuje text „Na aktualizáciu hesla použite rozhranie API strojového účtu.“) Ak platnosť vašich hesiel ešte nevypršala, nástroj vám ponúka dve možnosti:
-
Mäkké obnovenie – staré aj nové heslo fungujú až 10 dní. Toto obdobie použite na postupnú výmenu súboru ISO na uzloch.
-
Tvrdý reset – staré heslá okamžite prestanú fungovať.
Ak platnosť vašich hesiel vyprší bez resetovania, ovplyvní to vašu službu HDS, čo si vyžaduje okamžitý tvrdý reset a nahradenie súboru ISO na všetkých uzloch.
Tento postup použite na vygenerovanie nového konfiguračného súboru ISO a jeho použitie vo vašom klastri.
Skôr ako začnete
-
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými administrátorskými právami partnera.
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri vytváraní kontajnera Docker v 1.e zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Na vygenerovanie novej konfigurácie potrebujete kópiu aktuálneho konfiguračného súboru ISO. ISO obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. ISO potrebujete, keď robíte zmeny v konfigurácii vrátane poverení databázy, aktualizácií certifikátov alebo zmien v politike autorizácie.
1 |
Pomocou Docker na lokálnom počítači spustite nástroj HDS Setup Tool. |
2 |
Ak máte spustený iba jeden uzol HDS, vytvorte nový virtuálny počítač s uzlom Hybrid Data Security a zaregistrujte ho pomocou nového konfiguračného súboru ISO. Podrobnejšie pokyny nájdete v časti Vytvorenie a registrácia ďalších uzlov. |
3 |
Pre existujúce uzly HDS, na ktorých je spustený starší konfiguračný súbor, pripojte súbor ISO. Postupne vykonajte nasledujúci postup na každom uzle a pred vypnutím ďalšieho uzla aktualizujte každý uzol: |
4 |
Opakujte krok 3, aby ste nahradili konfiguráciu na každom zostávajúcom uzle, na ktorom je spustená stará konfigurácia. |
Vypnite režim zablokovaného externého rozlíšenia DNS
Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. Ak server DNS uzla nedokáže rozlíšiť verejné názvy DNS, uzol automaticky prejde do režimu zablokovaného externého rozlíšenia DNS.
Ak vaše uzly dokážu rozlíšiť verejné názvy DNS prostredníctvom interných serverov DNS, môžete tento režim vypnúť opätovným spustením testu pripojenia proxy na každom uzle.
Skôr ako začnete
1 |
Vo webovom prehliadači otvorte rozhranie uzla Hybrid Data Security (adresa IP/ nastavenie, napríklad https://192.0.2.0/setup), zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite na tlačidlo Prihlásiť sa). |
2 |
Prejdite na Prehľad (predvolená stránka). Keď je táto možnosť povolená, možnosť Blokované externé rozlíšenie DNS je nastavená na možnosť Áno. |
3 |
Prejdite na stránku Trust Store & Proxy . |
4 |
Kliknite na položku Skontrolovať pripojenie proxy. Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS a zostane v tomto režime. V opačnom prípade po reštartovaní uzla a návrate na stránku Prehľad by mala byť možnosť Blokované externé rozlíšenie DNS nastavené na možnosť Nie. |
Čo robiť ďalej
Odstráňte uzol
1 |
Pomocou klienta VMware vSphere vo svojom počítači sa prihláste do virtuálneho hostiteľa ESXi a vypnite virtuálny počítač. |
2 |
Odstráňte uzol: |
3 |
V klientovi vSphere odstráňte VM. (Na ľavom navigačnom paneli kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Odstrániť.) Ak nevymažete VM, nezabudnite odpojiť konfiguračný súbor ISO. Bez súboru ISO nemôžete použiť VM na prístup k bezpečnostným údajom. |
Obnova po havárii pomocou pohotovostného dátového centra
Najdôležitejšou službou, ktorú váš klaster Hybrid Data Security poskytuje, je vytváranie a ukladanie kľúčov používaných na šifrovanie správ a iného obsahu uloženého v cloude Webex. Pre každého používateľa v rámci organizácie, ktorý je priradený k Hybrid Data Security, sú do klastra smerované nové požiadavky na vytvorenie kľúča. Klaster je tiež zodpovedný za vrátenie kľúčov, ktoré vytvoril, všetkým používateľom oprávneným na ich získanie, napríklad členom konverzačného priestoru.
Pretože klaster vykonáva kritickú funkciu poskytovania týchto kľúčov, je nevyhnutné, aby klaster zostal spustený a aby boli udržiavané správne zálohy. Strata databázy Hybrid Data Security alebo konfigurácie ISO použitej pre schému bude mať za následok NENÁVRATNÚ STRATU zákazníckeho obsahu. Na zabránenie takejto strate sú povinné nasledujúce postupy:
Ak havária spôsobí, že nasadenie HDS v primárnom dátovom centre sa stane nedostupným, podľa tohto postupu manuálne prepnite na pohotovostné dátové centrum.
Skôr ako začnete
1 |
Spustite nástroj na nastavenie HDS a postupujte podľa krokov uvedených v časti Vytvorenie konfiguračného ISO pre hostiteľov HDS. |
2 |
Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť. |
3 |
Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. |
4 |
V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Upraviť nastavenia. |
5 |
Kliknite na položku Upraviť nastavenia >Jednotka CD/DVD 1 a vyberte položku Datastore ISO File. Uistite sa, že sú začiarknuté položky Pripojené a Pripojiť pri zapnutí , aby sa aktualizované zmeny konfigurácie prejavili po spustení uzlov. |
6 |
Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy. |
7 |
Zaregistrujte uzol v partnerskom centre. Pozrite si časť Registrácia prvého uzla v klastri. |
8 |
Opakujte proces pre každý uzol v pohotovostnom dátovom centre. |
Čo robiť ďalej
(Voliteľné) Odpojte ISO po konfigurácii HDS
Štandardná konfigurácia HDS beží s namontovaným ISO. Niektorí zákazníci však uprednostňujú neponechať súbory ISO nepretržite pripojené. Súbor ISO môžete odpojiť potom, čo všetky uzly HDS prevezmú novú konfiguráciu.
Na vykonanie zmien v konfigurácii stále používate súbory ISO. Keď vytvoríte nový ISO alebo aktualizujete ISO pomocou nástroja Setup Tool, musíte aktualizovaný ISO pripojiť na všetky vaše uzly HDS. Keď všetky vaše uzly zachytia zmeny konfigurácie, môžete ISO znova odpojiť pomocou tohto postupu.
Skôr ako začnete
Inovujte všetky svoje uzly HDS na verziu 2021.01.22.4720 alebo novšiu.
1 |
Vypnite jeden z uzlov HDS. |
2 |
V serverovom zariadení vCenter vyberte uzol HDS. |
3 |
Vyberte položku Súbor ISO úložiska údajov. a zrušte začiarknutie políčka |
4 |
Zapnite uzol HDS a uistite sa, že aspoň 20 minút nie sú žiadne alarmy. |
5 |
Postup opakujte pre každý uzol HDS. |
Riešenie problémov so zabezpečením hybridných údajov
Zobraziť upozornenia a riešenie problémov
Nasadenie Hybrid Data Security sa považuje za nedostupné, ak sú všetky uzly v klastri nedostupné alebo klaster pracuje tak pomaly, že si vyžaduje časový limit. Ak používatelia nemôžu dosiahnuť váš klaster Hybrid Data Security, zaznamenajú nasledujúce príznaky:
-
Nie je možné vytvoriť nové medzery (nemožno vytvoriť nové kľúče)
-
Správy a názvy priestorov sa nedajú dešifrovať pre:
-
Noví používatelia pridaní do priestoru (nemožno načítať kľúče)
-
Existujúci používatelia v priestore používajúci nového klienta (nemožno načítať kľúče)
-
-
Existujúci používatelia v priestore budú naďalej úspešne fungovať, pokiaľ ich klienti majú vyrovnávaciu pamäť šifrovacích kľúčov
Je dôležité, aby ste správne monitorovali svoj klaster Hybrid Data Security a okamžite riešili všetky výstrahy, aby ste predišli prerušeniu služby.
Upozornenia
Ak sa vyskytne problém s nastavením Hybrid Data Security, partnerské centrum zobrazí upozornenia správcovi organizácie a odošle e-maily na nakonfigurovanú e-mailovú adresu. Výstrahy pokrývajú mnoho bežných scenárov.
Upozornenie |
Akcia |
---|---|
Zlyhanie prístupu k lokálnej databáze. |
Skontrolujte chyby databázy alebo problémy s lokálnou sieťou. |
Zlyhanie pripojenia k lokálnej databáze. |
Skontrolujte, či je databázový server dostupný a či boli v konfigurácii uzla použité správne poverenia servisného účtu. |
Zlyhanie prístupu k cloudovej službe. |
Skontrolujte, či majú uzly prístup k serverom Webex, ako je uvedené v časti Požiadavky na externé pripojenie. |
Obnovuje sa registrácia cloudovej služby. |
Registrácia do cloudových služieb bola zrušená. Prebieha obnova registrácie. |
Registrácia cloudovej služby bola zrušená. |
Registrácia do cloudových služieb bola ukončená. Služba sa vypína. |
Služba ešte nie je aktivovaná. |
Aktivujte HDS v Partner Hub. |
Nakonfigurovaná doména sa nezhoduje s certifikátom servera. |
Uistite sa, že váš certifikát servera sa zhoduje s nakonfigurovanou doménou aktivácie služby. Najpravdepodobnejšou príčinou je, že certifikát CN bol nedávno zmenený a teraz sa líši od CN, ktorý bol použitý počas počiatočného nastavenia. |
Nepodarilo sa overiť v cloudových službách. |
Skontrolujte presnosť a možné vypršanie platnosti poverení servisného účtu. |
Nepodarilo sa otvoriť súbor lokálneho úložiska kľúčov. |
Skontrolujte integritu a presnosť hesla v lokálnom súbore skladu kľúčov. |
Certifikát lokálneho servera je neplatný. |
Skontrolujte dátum vypršania platnosti certifikátu servera a potvrďte, že bol vydaný dôveryhodnou certifikačnou autoritou. |
Nie je možné uverejniť metriky. |
Skontrolujte prístup k lokálnej sieti k externým cloudovým službám. |
Adresár /media/configdrive/hds neexistuje. |
Skontrolujte konfiguráciu pripojenia ISO na virtuálnom hostiteľovi. Overte, či súbor ISO existuje, či je nakonfigurovaný na pripojenie pri reštarte a či sa úspešne pripojí. |
Nastavenie nájomnej organizácie pre pridané organizácie nie je dokončené |
Dokončite nastavenie vytvorením CMK pre novo pridané organizácie nájomníkov pomocou nástroja HDS Setup Tool. |
Nastavenie nájomnej organizácie pre odstránené organizácie nie je dokončené |
Dokončite nastavenie zrušením CMK organizácií nájomníkov, ktoré boli odstránené pomocou nástroja HDS Setup Tool. |
Riešenie problémov so zabezpečením hybridných údajov
1 |
Skontrolujte partnerské centrum pre všetky upozornenia a opravte všetky položky, ktoré tam nájdete. Pozrite si obrázok nižšie ako referenciu. |
2 |
Skontrolujte výstup servera syslog pre aktivitu z nasadenia Hybrid Data Security. Filtrujte slová ako „Upozornenie“ a „Chyba“, ktoré vám pomôžu pri riešení problémov. |
3 |
Kontaktujte podporu Cisco. |
Ďalšie poznámky
Známe problémy s hybridnou bezpečnosťou dát
-
Ak vypnete svoj klaster Hybrid Data Security (odstránením v Partner Hub alebo vypnutím všetkých uzlov), stratíte svoj konfiguračný súbor ISO alebo stratíte prístup k databáze úložiska kľúčov, používatelia aplikácií Webex zo zákazníckych organizácií už nebudú môcť používať priestory pod ich zoznam ľudí, ktorý bol vytvorený pomocou kľúčov z vášho KMS. V súčasnosti nemáme riešenie ani opravu tohto problému a žiadame vás, aby ste nevypínali svoje služby HDS, keď budú spracovávať aktívne používateľské účty.
-
Klient, ktorý má existujúce pripojenie ECDH ku KMS, udržiava toto pripojenie určitý čas (pravdepodobne jednu hodinu).
Na vygenerovanie súboru PKCS12 použite OpenSSL
Skôr ako začnete
-
OpenSSL je jeden nástroj, ktorý možno použiť na vytvorenie súboru PKCS12 v správnom formáte na načítanie v nástroji HDS Setup Tool. Existujú aj iné spôsoby, ako to urobiť, a my nepodporujeme ani nepresadzujeme jeden spôsob oproti druhému.
-
Ak sa rozhodnete použiť OpenSSL, poskytujeme tento postup ako návod, ktorý vám pomôže vytvoriť súbor, ktorý spĺňa požiadavky na certifikát X.509 v časti Požiadavky na certifikát X.509. Než budete pokračovať, pochopte tieto požiadavky.
-
Nainštalujte OpenSSL v podporovanom prostredí. Softvér a dokumentáciu nájdete v časti https://www.openssl.org .
-
Vytvorte si súkromný kľúč.
-
Tento postup začnite, keď dostanete certifikát servera od certifikačnej autority (CA).
1 |
Keď od svojej CA dostanete certifikát servera, uložte ho ako |
2 |
Zobrazte certifikát ako text a overte podrobnosti.
|
3 |
Pomocou textového editora vytvorte súbor balíka certifikátov s názvom
|
4 |
Vytvorte súbor .p12 s priateľským názvom
|
5 |
Skontrolujte podrobnosti certifikátu servera. |
Čo robiť ďalej
Vráťte sa na stránku Dokončenie predpokladov pre hybridné zabezpečenie údajov. V časti Vytvorenie konfiguračného ISO pre hostiteľov HDS použijete súbor hdsnode.p12
a heslo, ktoré ste preň nastavili.
Tieto súbory môžete znova použiť na vyžiadanie nového certifikátu, keď platnosť pôvodného certifikátu vyprší.
Prevádzka medzi uzlami HDS a cloudom
Odchádzajúca návštevnosť zberu metrík
Uzly Hybrid Data Security odosielajú určité metriky do cloudu Webex. Patria sem systémové metriky pre maximálnu haldu, využitú haldu, zaťaženie procesora a počet vlákien; metriky na synchrónnych a asynchrónnych vláknach; metriky výstrah zahŕňajúce prah šifrovacích pripojení, latenciu alebo dĺžku frontu požiadaviek; metriky na dátovom úložisku; a metriky šifrovaného pripojenia. Uzly posielajú zašifrovaný kľúčový materiál cez kanál mimo pásma (oddelený od požiadavky).
Prichádzajúca premávka
Uzly Hybrid Data Security prijímajú nasledujúce typy prichádzajúcej prevádzky z cloudu Webex:
-
Šifrovacie požiadavky od klientov, ktoré sú smerované šifrovacou službou
-
Aktualizácie softvéru uzla
Nakonfigurujte Squid Proxy pre hybridné zabezpečenie dát
Websocket sa nemôže pripojiť cez Squid Proxy
Servery proxy typu Squid, ktoré kontrolujú prenos HTTPS, môžu narúšať vytváranie pripojení websocket (wss:
), ktoré vyžaduje Hybrid Data Security. Tieto časti poskytujú návod, ako nakonfigurovať rôzne verzie Squid tak, aby ignorovali wss:
prevádzky pre správne fungovanie služieb.
Kalmáre 4 a 5
Pridajte on_unsupported_protocol
smernicu na stránku squid.conf
:
on_unsupported_protocol tunel všetko
Kalmáre 3.5.27
Úspešne sme testovali Hybrid Data Security pomocou nasledujúcich pravidiel pridaných na stránku squid.conf
. Tieto pravidlá sa môžu meniť, pretože vyvíjame funkcie a aktualizujeme cloud Webex.
acl wssMercuryConnection ssl::server_name_regex ortuťové pripojenie ssl_bump splice wssMercuryConnection acl krok1 at_step SslBump1 acl krok2 at_step SslBump2 acl krok3 at_step SslBump3 ssl_bump pohľad krok1 všetko ssl_bump pozerať krok2 všetko ssl_bump vyskočiť krok3 všetko
Nové a zmenené informácie
Nové a zmenené informácie
Táto tabuľka obsahuje nové funkcie alebo funkcie, zmeny existujúceho obsahu a všetky hlavné chyby, ktoré boli opravené v Príručke nasadenia pre multi-tenantovú hybridnú bezpečnosť údajov.
Dátum |
Vykonané zmeny |
---|---|
4. marca 2025 |
|
30. januára 2025 |
Pridaný server SQL verzie 2022 do zoznamu podporovaných serverov SQL v časti Požiadavky na databázový server. |
15. januára 2025 |
Pridané Obmedzenia hybridného zabezpečenia údajov pre viacerých nájomcov. |
8. januára 2025 |
Do časti Vykonať úvodné nastavenie a prevziať inštalačné súbory bola pridaná poznámka, že kliknutie na položku Nastaviť na karte HDS v partnerskom centre je dôležitým krokom procesu inštalácie. |
7. januára 2025 |
Aktualizované Požiadavky na virtuálneho hostiteľa, Tok úloh nasadenia hybridného zabezpečenia údajov a Inštalácia hostiteľského OVA HDS , aby zobrazovali novú požiadavku ESXi 7.0. |
13. decembra 2024 |
Prvýkrát zverejnené. |
Deaktivujte hybridné zabezpečenie dát pre viacerých nájomníkov
Tok úloh deaktivácie HDS pre viacerých nájomníkov
Ak chcete úplne deaktivovať Multi-Tenant HDS, postupujte podľa týchto krokov.
Skôr ako začnete
1 |
Odstráňte všetkých zákazníkov zo všetkých svojich klastrov, ako je uvedené v časti Odstránenie organizácií nájomníkov. |
2 |
Zrušte CMK všetkých zákazníkov, ako je uvedené v časti Zrušenie CMK nájomníkov odstránených z HDS. |
3 |
Odstráňte všetky uzly zo všetkých klastrov, ako je uvedené v časti Odstránenie uzla. |
4 |
Odstráňte všetky svoje klastre z Partner Hub pomocou jednej z nasledujúcich dvoch metód.
|
5 |
Kliknite na kartu Nastavenia na stránke prehľadu Hybrid Data Security a kliknite na položku Deaktivovať HDS na karte Stav HDS. |
Začnite s Hybridným zabezpečením dát pre viacerých nájomníkov
Prehľad zabezpečenia hybridných dát pre viacerých nájomníkov
Od prvého dňa bola bezpečnosť údajov hlavným zameraním pri navrhovaní Webex App. Základným kameňom tohto zabezpečenia je komplexné šifrovanie obsahu, ktoré umožňujú klienti Webex App interagujúci so službou správy kľúčov (KMS). KMS je zodpovedný za vytváranie a správu kryptografických kľúčov, ktoré klienti používajú na dynamické šifrovanie a dešifrovanie správ a súborov.
V predvolenom nastavení dostávajú všetci zákazníci Webex App end-to-end šifrovanie s dynamickými kľúčmi uloženými v cloudovom KMS v oblasti bezpečnosti Cisco. Hybrid Data Security presúva KMS a ďalšie funkcie súvisiace so zabezpečením do vášho podnikového dátového centra, takže kľúče k vášmu šifrovanému obsahu nemá nikto okrem vás.
Multi-Tenant Hybrid Data Security umožňuje organizáciám využívať HDS prostredníctvom dôveryhodného miestneho partnera, ktorý môže pôsobiť ako poskytovateľ služieb a spravovať lokálne šifrovanie a ďalšie bezpečnostné služby. Toto nastavenie umožňuje partnerskej organizácii mať úplnú kontrolu nad nasadením a správou šifrovacích kľúčov a zaisťuje, že používateľské údaje zákazníckych organizácií sú v bezpečí pred externým prístupom. Partnerské organizácie podľa potreby nastavujú inštancie HDS a vytvárajú klastre HDS. Každá inštancia môže podporovať viacero zákazníckych organizácií na rozdiel od bežného nasadenia HDS, ktoré je obmedzené na jednu organizáciu.
To tiež umožňuje menším organizáciám využívať HDS, pretože službu správy kľúčov a bezpečnostnú infraštruktúru, ako sú dátové centrá, vlastní dôveryhodný miestny partner.
Ako Multi-Tenant Hybrid Data Security poskytuje dátovú suverenitu a kontrolu dát
- Obsah generovaný používateľmi je chránený pred externým prístupom, ako sú poskytovatelia cloudových služieb.
- Miestni dôveryhodní partneri spravujú šifrovacie kľúče zákazníkov, s ktorými už majú vybudovaný vzťah.
- Možnosť miestnej technickej podpory, ak ju poskytuje partner.
- Podporuje obsah stretnutí, správ a hovorov.
Tento dokument je zameraný na pomoc partnerským organizáciám pri nastavovaní a správe zákazníkov v rámci systému Multi-Tenant Hybrid Data Security.
Obmedzenia Hybridného zabezpečenia dát pre viacerých nájomníkov
- Partnerské organizácie nesmú mať v Control Hub aktívne žiadne existujúce nasadenie HDS.
- Nájomnícke alebo zákaznícke organizácie, ktoré chcú byť spravované partnerom, nesmú mať žiadne existujúce nasadenie HDS v Control Hub.
- Akonáhle partner nasadí Multi-Tenant HDS, všetci používatelia zákazníckych organizácií, ako aj používatelia partnerskej organizácie začnú využívať Multi-Tenant HDS pre svoje šifrovacie služby.
Partnerská organizácia a zákaznícke organizácie, ktoré riadia, budú využívať rovnaké nasadenie HDS pre viacerých nájomníkov.
Po nasadení Multi-Tenant HDS už partnerská organizácia nebude používať cloudové KMS.
- Neexistuje žiadny mechanizmus na presun kľúčov späť do Cloud KMS po nasadení HDS.
- V súčasnosti môže mať každé nasadenie Multi-Tenant HDS iba jeden klaster s viacerými uzlami pod ním.
- Úlohy správcu majú určité obmedzenia; podrobnosti nájdete v časti nižšie.
Úlohy v hybridnej bezpečnosti dát pre viacerých nájomníkov
- Úplný správca partnera – môže spravovať nastavenia pre všetkých zákazníkov, ktorých partner spravuje. Môže tiež priradiť roly správcu existujúcim používateľom v organizácii a priradiť konkrétnych zákazníkov, ktorých majú spravovať správcovia partnerov.
- Správca partnera – môže spravovať nastavenia pre zákazníkov, ktorých správca poskytol alebo ktorí boli priradení používateľovi.
- Úplný správca – správca partnerskej organizácie, ktorý je oprávnený vykonávať úlohy, ako je úprava nastavení organizácie, správa licencií a prideľovanie rolí.
- Nastavenie HDS pre viacerých nájomníkov a správa všetkých zákazníckych organizácií od konca do konca – Vyžaduje sa úplný správca partnera a úplné práva správcu.
- Správa priradených organizácií nájomcov – vyžaduje sa správca partnera a úplné práva správcu.
Architektúra bezpečnostnej sféry
Cloudová architektúra Webex oddeľuje rôzne typy služieb do samostatných oblastí alebo dôveryhodných domén, ako je znázornené nižšie.
Aby sme lepšie porozumeli Hybrid Data Security, pozrime sa najprv na tento čistý cloud, kde Cisco poskytuje všetky funkcie vo svojich cloudových sférach. Služba identity, jediné miesto, kde môžu byť používatelia priamo korelovaní s ich osobnými informáciami, ako je e-mailová adresa, je logicky a fyzicky oddelená od sféry zabezpečenia v dátovom centre B. Obe sú zase oddelené od sféry, kde je v konečnom dôsledku uložený šifrovaný obsah, v dátovom centre C.
V tomto diagrame je klientom aplikácia Webex, ktorá beží na notebooku používateľa a je overená službou identity. Keď používateľ vytvorí správu na odoslanie do priestoru, vykonajú sa tieto kroky:
-
Klient vytvorí zabezpečené spojenie so službou správy kľúčov (KMS), potom požiada o kľúč na zašifrovanie správy. Zabezpečené pripojenie používa ECDH a KMS šifruje kľúč pomocou hlavného kľúča AES-256.
-
Správa je pred opustením klienta zašifrovaná. Klient ho odošle do indexovacej služby, ktorá vytvorí šifrované indexy vyhľadávania na pomoc pri budúcom vyhľadávaní obsahu.
-
Zašifrovaná správa sa odošle do služby súladu na kontrolu súladu.
-
Zašifrovaná správa je uložená v úložnej sfére.
Keď nasadíte Hybrid Data Security, presuniete funkcie bezpečnostnej sféry (KMS, indexovanie a súlad) do vášho lokálneho dátového centra. Ostatné cloudové služby, ktoré tvoria Webex (vrátane ukladania identity a obsahu), zostávajú v sférach spoločnosti Cisco.
Spolupráca s inými organizáciami
Používatelia vo vašej organizácii môžu pravidelne používať aplikáciu Webex na spoluprácu s externými účastníkmi v iných organizáciách. Keď jeden z vašich používateľov požaduje kľúč pre priestor, ktorý vlastní vaša organizácia (pretože ho vytvoril jeden z vašich používateľov), váš KMS odošle kľúč klientovi cez zabezpečený kanál ECDH. Keď však kľúč priestoru vlastní iná organizácia, váš KMS nasmeruje požiadavku do cloudu Webex cez samostatný kanál ECDH, aby získal kľúč z príslušného KMS, a potom vráti kľúč vášmu používateľovi na pôvodnom kanáli.
Služba KMS spustená v organizácii A overuje pripojenia ku KMS v iných organizáciách pomocou x.509 PKI certifikátov. Podrobnosti o generovaní certifikátu x.509 na použitie s nasadením Hybrid Data Security pre viacerých nájomníkov nájdete v časti Príprava prostredia .
Očakávania týkajúce sa nasadenia hybridnej bezpečnosti údajov
Nasadenie Hybrid Data Security si vyžaduje značné odhodlanie a uvedomenie si rizík, ktoré so sebou prináša vlastníctvo šifrovacích kľúčov.
Ak chcete nasadiť Hybrid Data Security, musíte poskytnúť:
-
Zabezpečené dátové centrum v krajine, ktorá je podporovaným miestom pre plány Cisco Webex Teams.
-
Vybavenie, softvér a sieťový prístup popísané v časti Príprava prostredia.
Úplná strata buď konfiguračného ISO, ktoré ste vytvorili pre Hybrid Data Security, alebo databázy, ktorú poskytnete, bude mať za následok stratu kľúčov. Strata kľúča bráni používateľom dešifrovať obsah priestoru a ďalšie šifrované údaje v aplikácii Webex. Ak sa tak stane, môžete vytvoriť nové nasadenie, ale bude viditeľný iba nový obsah. Aby ste predišli strate prístupu k údajom, musíte:
-
Spravujte zálohovanie a obnovu databázy a konfiguračného ISO.
-
Buďte pripravení vykonať rýchlu obnovu po havárii, ak dôjde ku katastrofe, ako je zlyhanie databázového disku alebo katastrofa dátového centra.
Neexistuje žiadny mechanizmus na presun kľúčov späť do cloudu po nasadení HDS.
Proces nastavenia na vysokej úrovni
Tento dokument pokrýva nastavenie a správu nasadenia Hybrid Data Security pre viacerých nájomníkov:
-
Nastavenie Hybrid Data Security – zahŕňa prípravu požadovanej infraštruktúry a inštaláciu softvéru Hybrid Data Security, vybudovanie klastra HDS, pridanie organizácií nájomníkov do klastra a správu ich hlavných kľúčov zákazníkov (CMK). To umožní všetkým používateľom vašich zákazníckych organizácií používať váš klaster Hybrid Data Security na bezpečnostné funkcie.
Fázy nastavenia, aktivácie a správy sú podrobne opísané v nasledujúcich troch kapitolách.
-
Udržujte svoje nasadenie Hybrid Data Security – cloud Webex automaticky poskytuje priebežné inovácie. Vaše IT oddelenie môže poskytnúť podporu prvej úrovne pre toto nasadenie a podľa potreby zapojiť podporu Cisco. V partnerskom centre môžete používať upozornenia na obrazovke a nastaviť upozornenia prostredníctvom e-mailu.
-
Pochopte bežné upozornenia, kroky na riešenie problémov a známe problémy – Ak narazíte na problémy s nasadením alebo používaním Hybrid Data Security, posledná kapitola tejto príručky a príloha Známe problémy vám môžu pomôcť určiť a vyriešiť problém.
Hybridný model nasadenia zabezpečenia dát
V rámci podnikového dátového centra nasadíte Hybrid Data Security ako jeden klaster uzlov na samostatných virtuálnych hostiteľoch. Uzly komunikujú s cloudom Webex prostredníctvom zabezpečených webových zásuviek a zabezpečeného HTTP.
Počas procesu inštalácie vám poskytneme súbor OVA na nastavenie virtuálneho zariadenia na VM, ktoré poskytnete. Nástroj HDS Setup Tool použijete na vytvorenie vlastného konfiguračného súboru ISO klastra, ktorý pripojíte na každý uzol. Klaster Hybrid Data Security využíva váš poskytnutý server Syslogd a databázu PostgreSQL alebo Microsoft SQL Server. (Syslogd a podrobnosti o pripojení k databáze nakonfigurujete v nástroji HDS Setup Tool.)
Minimálny počet uzlov, ktoré môžete mať v klastri, sú dva. Odporúčame aspoň tri na klaster. Viacnásobné uzly zaisťujú, že služba nebude prerušená počas aktualizácie softvéru alebo inej činnosti údržby na uzle. (Cloud Webex aktualizuje naraz iba jeden uzol.)
Všetky uzly v klastri pristupujú k rovnakému úložisku údajov kľúčov a zaznamenávajú aktivitu na rovnaký server syslog. Samotné uzly sú bez stavu a spracovávajú kľúčové požiadavky v režime round-robin podľa pokynov cloudu.
Uzly sa stanú aktívnymi, keď ich zaregistrujete v Partner Hub. Ak chcete vyradiť jednotlivý uzol z prevádzky, môžete ho zrušiť a neskôr v prípade potreby znova zaregistrovať.
Pohotovostné dátové centrum pre obnovu po havárii
Počas nasadenia nastavíte zabezpečené pohotovostné dátové centrum. V prípade havárie dátového centra môžete manuálne zlyhať nasadenie do pohotovostného dátového centra.
Databázy aktívnych a pohotovostných dátových centier sú navzájom synchronizované, čo minimalizuje čas potrebný na vykonanie núdzového prepnutia.
Aktívne uzly Hybrid Data Security musia byť vždy v rovnakom údajovom centre ako aktívny databázový server.
Podpora proxy
Hybrid Data Security podporuje explicitné, transparentné kontrolné a nekontrolujúce proxy. Tieto servery proxy môžete prepojiť s nasadením, aby ste mohli zabezpečiť a monitorovať prevádzku z podniku do cloudu. Rozhranie správcu platformy na uzloch môžete použiť na správu certifikátov a na kontrolu celkového stavu pripojenia po nastavení servera proxy na uzloch.
Uzly Hybrid Data Security podporujú nasledujúce možnosti proxy:
-
Bez servera proxy – predvolená hodnota, ak na integráciu servera proxy nepoužívate konfiguráciu dôveryhodného obchodu a servera proxy na nastavenie uzla HDS. Nevyžaduje sa žiadna aktualizácia certifikátu.
-
Transparentný nekontrolujúci proxy server – uzly nie sú nakonfigurované na používanie konkrétnej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.
-
Transparentné tunelovanie alebo kontrola servera proxy – uzly nie sú nakonfigurované na používanie konkrétnej adresy servera proxy. Na uzloch nie sú potrebné žiadne zmeny konfigurácie HTTP alebo HTTPS. Uzly však potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).
-
Explicitný server proxy – pomocou explicitného servera proxy poviete uzlom HDS, ktorý server proxy a schému overenia majú použiť. Ak chcete nakonfigurovať explicitný server proxy, musíte do každého uzla zadať nasledujúce informácie:
-
Proxy IP/FQDN – adresa, ktorú možno použiť na spojenie so zariadením proxy.
-
Port servera proxy – číslo portu, ktoré server proxy používa na počúvanie prevádzky cez server proxy.
-
Protokol proxy – v závislosti od toho, čo váš server proxy podporuje, si vyberte z nasledujúcich protokolov:
-
HTTP – zobrazuje a riadi všetky požiadavky, ktoré klient odosiela.
-
HTTPS – poskytuje kanál pre server. Klient prijme a overí certifikát servera.
-
-
Typ overenia totožnosti – vyberte si z nasledujúcich typov overenia totožnosti:
-
Žiadne – nevyžaduje sa žiadne ďalšie overenie.
Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.
-
Základné – používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.
Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.
Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.
-
Súhrn – používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.
Dostupné, iba ak vyberiete HTTPS ako protokol proxy.
Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.
-
-
Príklad uzlov na zabezpečenie hybridných dát a proxy
Tento diagram ukazuje príklad spojenia medzi Hybrid Data Security, sieťou a proxy. Pre možnosti transparentnej kontroly a explicitnej kontroly HTTPS musí byť na serveri proxy a na uzloch Hybrid Data Security nainštalovaný rovnaký koreňový certifikát.
Blokovaný režim externého rozlíšenia DNS (explicitné konfigurácie proxy)
Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. V nasadeniach s explicitnými konfiguráciami proxy, ktoré neumožňujú externé rozlíšenie DNS pre interných klientov, ak uzol nemôže dotazovať servery DNS, automaticky prejde do režimu blokovaného externého riešenia DNS. V tomto režime môže pokračovať registrácia uzla a ďalšie testy pripojenia proxy.
Príprava prostredia
Požiadavky na hybridné zabezpečenie dát pre viacerých nájomníkov
Požiadavky na licenciu Cisco Webex
Ak chcete nasadiť hybridné zabezpečenie dát pre viacerých nájomníkov:
-
Partnerské organizácie: Kontaktujte svojho partnera Cisco alebo správcu účtu a uistite sa, že je povolená funkcia viacerých nájomníkov.
-
Nájomné organizácie: Musíte mať balík Pro Pack pre Cisco Webex Control Hub. (Pozrite si https://www.cisco.com/go/pro-pack.)
Požiadavky na plochu Docker
Pred inštaláciou uzlov HDS potrebujete Docker Desktop na spustenie inštalačného programu. Docker nedávno aktualizoval svoj licenčný model. Vaša organizácia môže vyžadovať platené predplatné pre Docker Desktop. Podrobnosti nájdete v blogovom príspevku Docker „ Docker aktualizuje a rozširuje naše predplatné produktov“.
Zákazníci bez licencie Docker Desktop môžu na spúšťanie, správu a vytváranie kontajnerov použiť nástroj na správu kontajnerov s otvoreným zdrojovým kódom, ako je napríklad Podman Desktop. Podrobnosti nájdete v časti Spustenie nástroja HDS Setup pomocou aplikácie Podman Desktop .
Požiadavky na certifikát X.509
Certifikačný reťazec musí spĺňať nasledujúce požiadavky:
Požiadavka |
Podrobnosti |
---|---|
|
V predvolenom nastavení dôverujeme CA v zozname Mozilly (s výnimkou WoSign a StartCom) na https://wiki.mozilla.org/CA:IncludedCAs. |
|
CN nemusí byť dosiahnuteľné alebo živého hostiteľa. Odporúčame vám použiť názov, ktorý zodpovedá vašej organizácii, napríklad KN nesmie obsahovať * (zástupný znak). CN sa používa na overenie uzlov Hybrid Data Security pre klientov Webex App. Všetky uzly Hybrid Data Security vo vašom klastri používajú rovnaký certifikát. Váš KMS sa identifikuje pomocou domény CN, nie akejkoľvek domény, ktorá je definovaná v poliach x.509v3 SAN. Po zaregistrovaní uzla s týmto certifikátom nepodporujeme zmenu názvu domény CN. |
|
Softvér KMS nepodporuje podpisy SHA1 na overenie pripojení k KMS iných organizácií. |
|
Na zmenu formátu certifikátu môžete použiť konvertor, ako je OpenSSL. Pri spustení nástroja HDS Setup Tool budete musieť zadať heslo. |
Softvér KMS nevynucuje používanie kľúčov ani rozšírené obmedzenia používania kľúčov. Niektoré certifikačné autority vyžadujú, aby sa na každý certifikát aplikovali rozšírené obmedzenia používania kľúčov, ako je autentifikácia servera. Je v poriadku použiť overenie servera alebo iné nastavenia.
Požiadavky na virtuálny hostiteľ
Virtuálni hostitelia, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri, majú nasledujúce požiadavky:
-
Aspoň dvaja oddelení hostitelia (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre
-
VMware ESXi 7.0 (alebo novší) nainštalovaný a spustený.
Ak máte staršiu verziu ESXi, musíte vykonať inováciu.
-
Minimálne 4 vCPU, 8 GB hlavnej pamäte, 30 GB miesta na lokálnom pevnom disku na server
Požiadavky na databázový server
Vytvorte novú databázu pre uloženie kľúčov. Nepoužívajte predvolenú databázu. Aplikácie HDS, keď sú nainštalované, vytvoria schému databázy.
Pre databázový server sú dve možnosti. Požiadavky na každú z nich sú nasledovné:
PostgreSQL |
Microsoft SQL Server |
---|---|
|
|
Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložisko) |
Minimálne 8 vCPU, 16 GB hlavnej pamäte, dostatok miesta na pevnom disku a monitorovanie, aby sa neprekročilo (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhú dobu bez toho, aby ste museli zväčšiť úložisko) |
Softvér HDS momentálne inštaluje nasledujúce verzie ovládačov na komunikáciu s databázovým serverom:
PostgreSQL |
Microsoft SQL Server |
---|---|
Postgres JDBC ovládač 42.2.5 |
Ovládač SQL Server JDBC 4.6 Táto verzia ovládača podporuje server SQL Server Always On (Inštancie klastra prepnutia pri zlyhaní a skupiny dostupnosti Vždy zapnuté). |
Dodatočné požiadavky na overenie systému Windows voči Microsoft SQL Server
Ak chcete, aby uzly HDS používali autentifikáciu systému Windows na získanie prístupu k vašej databáze úložiska kľúčov na serveri Microsoft SQL Server, potrebujete vo svojom prostredí nasledujúcu konfiguráciu:
-
HDS uzly, infraštruktúra Active Directory a MS SQL Server musia byť synchronizované s NTP.
-
Účet Windows, ktorý poskytnete uzlom HDS, musí mať prístup k databáze na čítanie/zápis.
-
Servery DNS, ktoré poskytujete uzlom HDS, musia byť schopné vyriešiť vaše Centrum distribúcie kľúčov (KDC).
-
Inštanciu databázy HDS môžete zaregistrovať na svojom serveri Microsoft SQL Server ako hlavný názov služby (SPN) vo vašom adresári Active Directory. Pozrite si časť Registrácia hlavného názvu služby pre pripojenia Kerberos.
Nástroj na nastavenie HDS, spúšťač HDS a miestne KMS musia na prístup k databáze kľúčov používať overenie systému Windows. Používajú podrobnosti z vašej konfigurácie ISO na vytvorenie SPN pri požadovaní prístupu s overením Kerberos.
Požiadavky na externé pripojenie
Nakonfigurujte svoj firewall tak, aby umožňoval nasledujúce pripojenie pre aplikácie HDS:
Aplikácia |
Protokol |
Port |
Smer z App |
Cieľ |
---|---|---|---|---|
Hybridné uzly zabezpečenia údajov |
TCP |
443 |
Odchádzajúce HTTPS a WSS |
|
Nástroj na nastavenie HDS |
TCP |
443 |
Odchádzajúce HTTPS |
|
Uzly Hybrid Data Security pracujú s prekladom sieťového prístupu (NAT) alebo za bránou firewall, pokiaľ NAT alebo brána firewall umožňuje požadované odchádzajúce pripojenia k destináciám domény v predchádzajúcej tabuľke. Pre pripojenia prichádzajúce do uzlov Hybrid Data Security by nemali byť z internetu viditeľné žiadne porty. V rámci vášho dátového centra potrebujú klienti prístup k uzlom Hybrid Data Security na portoch TCP 443 a 22 na administratívne účely.
Adresy URL hostiteľov Common Identity (CI) sú špecifické pre daný región. Toto sú súčasní hostitelia CI:
región |
Spoločné adresy URL hostiteľa identity |
---|---|
Ameriky |
|
Európskej únie |
|
Kanada |
|
Singapur |
|
Spojené arabské emiráty |
|
Požiadavky na proxy server
-
Oficiálne podporujeme nasledujúce proxy riešenia, ktoré sa dajú integrovať s vašimi uzlami Hybrid Data Security.
-
Transparentný proxy – Cisco Web Security Appliance (WSA).
-
Explicitný proxy-Squid.
Squid proxy, ktoré kontrolujú prenos HTTPS, môžu narúšať vytváranie pripojení websocket (wss:). Ak chcete tento problém vyriešiť, prečítajte si časť Konfigurácia serverov proxy Squid pre hybridné zabezpečenie údajov.
-
-
Pre explicitné servery proxy podporujeme nasledujúce kombinácie typov overenia:
-
Žiadna autentifikácia pomocou HTTP alebo HTTPS
-
Základná autentifikácia pomocou HTTP alebo HTTPS
-
Digest overenie iba s HTTPS
-
-
Pre transparentný kontrolný proxy server alebo explicitný proxy server HTTPS musíte mať kópiu koreňového certifikátu servera proxy. Pokyny na nasadenie v tejto príručke vám povedia, ako nahrať kópiu do dôveryhodných obchodov uzlov Hybrid Data Security.
-
Sieť, ktorá hostí uzly HDS, musí byť nakonfigurovaná tak, aby vynútila smerovanie odchádzajúcej prevádzky TCP na porte 443 cez server proxy.
-
Proxy, ktoré kontrolujú webovú prevádzku, môžu narúšať pripojenia webových soketov. Ak sa vyskytne tento problém, problém sa vyrieši obídením (nie kontrolou) návštevnosti
wbx2.com
aciscospark.com
.
Vyplňte Predpoklady pre hybridnú bezpečnosť údajov
1 |
Uistite sa, že vaša partnerská organizácia má povolenú funkciu Multi-Tenant HDS a získajte prihlasovacie údaje účtu s úplným správcom partnera a plnými právami správcu. Uistite sa, že vaša organizácia zákazníkov Webex má povolený balík Pro Pack pre Cisco Webex Control Hub. Ak potrebujete pomoc s týmto procesom, kontaktujte svojho partnera Cisco alebo account manažéra. Zákaznícke organizácie by nemali mať žiadne existujúce nasadenie HDS. |
2 |
Vyberte názov domény pre svoje nasadenie HDS (napríklad |
3 |
Pripravte si identických virtuálnych hostiteľov, ktorých nastavíte ako uzly Hybrid Data Security vo vašom klastri. Potrebujete aspoň dvoch samostatných hostiteľov (odporúčajú sa 3) umiestnení v rovnakom zabezpečenom dátovom centre, ktorí spĺňajú požiadavky v časti Požiadavky na virtuálneho hostiteľa. |
4 |
Pripravte databázový server, ktorý bude fungovať ako úložisko kľúčových údajov pre klaster, v súlade s požiadavkami na databázový server. Databázový server musí byť umiestnený v zabezpečenom údajovom centre spolu s virtuálnymi hostiteľmi. |
5 |
Pre rýchlu obnovu po havárii nastavte zálohovacie prostredie v inom dátovom centre. Zálohovacie prostredie odzrkadľuje produkčné prostredie VM a záložný databázový server. Napríklad, ak má produkcia 3 VM s uzlami HDS, zálohovacie prostredie by malo mať 3 VM. |
6 |
Nastavte hostiteľa syslog na zhromažďovanie protokolov z uzlov v klastri. Získajte jeho sieťovú adresu a port syslog (predvolené je UDP 514). |
7 |
Vytvorte politiku bezpečného zálohovania pre uzly Hybrid Data Security, databázový server a hostiteľa syslog. Aby ste predišli nenapraviteľnej strate údajov, musíte minimálne zálohovať databázu a konfiguračný súbor ISO vygenerovaný pre uzly Hybrid Data Security. Keďže uzly Hybrid Data Security ukladajú kľúče používané na šifrovanie a dešifrovanie obsahu, zlyhanie prevádzkyschopného nasadenia bude mať za následok NEOBNOVITEĽNÚ STRATU tohto obsahu. Klienti Webex App ukladajú svoje kľúče do vyrovnávacej pamäte, takže výpadok nemusí byť okamžite viditeľný, ale časom sa prejaví. Dočasným výpadkom sa síce nedá zabrániť, dajú sa však obnoviť. Úplná strata (nie sú k dispozícii žiadne zálohy) databázy alebo konfiguračného ISO súboru však bude mať za následok neobnoviteľné zákaznícke údaje. Od prevádzkovateľov uzlov Hybrid Data Security sa očakáva, že budú pravidelne zálohovať databázu a konfiguračný súbor ISO a budú pripravení na prestavbu dátového centra Hybrid Data Security, ak dôjde ku katastrofálnej poruche. |
8 |
Uistite sa, že konfigurácia brány firewall umožňuje pripojenie pre uzly Hybrid Data Security, ako je uvedené v časti Požiadavky na externé pripojenie. |
9 |
Nainštalujte Docker ( https://www.docker.com) na ľubovoľný lokálny počítač s podporovaným operačným systémom (Microsoft Windows 10 Professional alebo Enterprise 64-bitový alebo Mac OSX Yosemite 10.10.3 alebo novší) pomocou webového prehliadača, ktorý k nemu má prístup na adrese http://127.0.0.1:8080. Inštanciu Docker použijete na stiahnutie a spustenie nástroja HDS Setup Tool, ktorý vytvorí informácie o lokálnej konfigurácii pre všetky uzly Hybrid Data Security. Možno budete potrebovať licenciu Docker Desktop. Ďalšie informácie nájdete v časti Požiadavky na pracovnú plochu Docker . Ak chcete nainštalovať a spustiť nástroj HDS Setup Tool, miestny počítač musí mať pripojenie uvedené v časti Požiadavky na externé pripojenie. |
10 |
Ak integrujete server proxy so službou Hybrid Data Security, uistite sa, že spĺňa požiadavky na server proxy. |
Nastavte klaster Hybrid Data Security
Tok úloh nasadenia zabezpečenia hybridných údajov
1 |
Vykonajte počiatočné nastavenie a stiahnite inštalačné súbory Stiahnite si súbor OVA na váš lokálny počítač pre neskoršie použitie. |
2 |
Vytvorte ISO konfigurácie pre hostiteľov HDS Pomocou nástroja HDS Setup Tool vytvorte konfiguračný súbor ISO pre uzly Hybrid Data Security. |
3 |
Vytvorte virtuálny počítač zo súboru OVA a vykonajte počiatočnú konfiguráciu, ako sú nastavenia siete. Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 7.0. Táto možnosť nemusí byť dostupná v starších verziách. |
4 |
Nastavte virtuálny počítač Hybrid Data Security Prihláste sa do konzoly VM a nastavte prihlasovacie poverenia. Nakonfigurujte sieťové nastavenia pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA. |
5 |
Nahrajte a pripojte ISO konfiguráciu HDS Nakonfigurujte VM z konfiguračného súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool. |
6 |
Nakonfigurujte uzol HDS na integráciu proxy Ak sieťové prostredie vyžaduje konfiguráciu servera proxy, zadajte typ servera proxy, ktorý použijete pre uzol, a v prípade potreby pridajte certifikát servera proxy do dôveryhodného úložiska. |
7 |
Zaregistrujte prvý uzol v klastri Zaregistrujte VM v cloude Cisco Webex ako uzol Hybrid Data Security. |
8 |
Vytvorte a zaregistrujte viac uzlov Dokončite nastavenie klastra. |
9 |
Aktivujte si Multi-Tenant HDS na Partner Hub. Aktivujte si HDS a spravujte organizácie nájomníkov na Partner Hub. |
Vykonajte počiatočné nastavenie a stiahnite inštalačné súbory
V tejto úlohe stiahnete súbor OVA do svojho počítača (nie na servery, ktoré ste nastavili ako uzly Hybrid Data Security). Tento súbor použijete neskôr v procese inštalácie.
1 |
Prihláste sa do Partnerského centra a potom kliknite na položku Služby. |
2 |
V časti Cloudové služby nájdite kartu Hybrid Data Security a kliknite na tlačidlo Nastaviť. Pre proces nasadenia je rozhodujúce kliknutie na položku Nastaviť v partnerskom centre. Nepokračujte v inštalácii bez dokončenia tohto kroku. |
3 |
Kliknite na položku Pridať zdroj a kliknite na položku Prevziať súbor .OVA na karte Inštalovať a konfigurovať softvér . Staršie verzie softvérového balíka (OVA) nebudú kompatibilné s najnovšími aktualizáciami Hybrid Data Security. To môže viesť k problémom pri inovácii aplikácie. Uistite sa, že ste si stiahli najnovšiu verziu súboru OVA. OVA si tiež môžete kedykoľvek stiahnuť zo sekcie Pomocník . Kliknite na položky . Automaticky sa začne sťahovať súbor OVA. Uložte súbor na miesto v počítači.
|
4 |
Voliteľne kliknite na položku Zobraziť príručku nasadenia hybridného zabezpečenia údajov a skontrolujte, či je k dispozícii novšia verzia tejto príručky. |
Vytvorte ISO konfigurácie pre hostiteľov HDS
Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.
Skôr ako začnete
-
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými administrátorskými právami.
Ak nemáte licenciu Docker Desktop, môžete použiť Podman Desktop na spustenie nástroja HDS Setup pre kroky 1 až 5 v postupe nižšie. Podrobnosti nájdete v časti Spustenie nástroja HDS Setup pomocou aplikácie Podman Desktop .
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker v kroku 5 nižšie zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:
-
Databázové poverenia
-
Aktualizácie certifikátov
-
Zmeny v politike autorizácie
-
-
Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.
1 |
Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať. | ||||||||||
2 |
Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce: | ||||||||||
3 |
Pri výzve na zadanie hesla zadajte tento hash: | ||||||||||
4 |
Stiahnite si najnovší stabilný obraz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: | ||||||||||
5 |
Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:
Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“. | ||||||||||
6 |
Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 . Pomocou webového prehliadača prejdite na localhost, Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie. | ||||||||||
7 |
Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia správcu Partner Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre Hybrid Data Security. | ||||||||||
8 |
Na stránke prehľadu nástroja Setup kliknite na položku Začíname. | ||||||||||
9 |
Na stránke Import ISO máte tieto možnosti:
| ||||||||||
10 |
Skontrolujte, či váš certifikát X.509 spĺňa požiadavky uvedené v časti Požiadavky na certifikát X.509.
| ||||||||||
11 |
Zadajte databázovú adresu a účet pre HDS, aby ste získali prístup k vášmu úložisku kľúčových údajov: | ||||||||||
12 |
Vyberte Režim pripojenia databázy TLS:
Keď odovzdáte koreňový certifikát (ak je to potrebné) a kliknete na tlačidlo Pokračovať, nástroj HDS Setup Tool otestuje pripojenie TLS k databázovému serveru. Nástroj tiež overuje podpisovateľa certifikátu a názov hostiteľa, ak je to potrebné. Ak test zlyhá, nástroj zobrazí chybové hlásenie s popisom problému. Môžete si vybrať, či chcete chybu ignorovať a pokračovať v nastavovaní. (Vzhľadom na rozdiely v konektivite môžu byť uzly HDS schopné vytvoriť pripojenie TLS, aj keď ho zariadenie HDS Setup Tool nedokáže úspešne otestovať.) | ||||||||||
13 |
Na stránke Systémové denníky nakonfigurujte svoj server Syslogd: | ||||||||||
14 |
(Voliteľné) Predvolenú hodnotu niektorých parametrov pripojenia k databáze môžete zmeniť v časti Rozšírené nastavenia. Vo všeobecnosti je tento parameter jediný, ktorý možno budete chcieť zmeniť: | ||||||||||
15 |
Kliknite na tlačidlo Pokračovať na obrazovke Obnoviť heslo servisných účtov . Heslá k servisným účtom majú životnosť deväť mesiacov. Túto obrazovku použite, keď sa blíži koniec platnosti vašich hesiel alebo ich chcete resetovať, aby ste zrušili platnosť predchádzajúcich súborov ISO. | ||||||||||
16 |
Kliknite na položku Prevziať súbor ISO. Uložte súbor na miesto, ktoré sa dá ľahko nájsť. | ||||||||||
17 |
Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. | ||||||||||
18 |
Ak chcete vypnúť nástroj Setup, zadajte |
Čo robiť ďalej
Zálohujte konfiguračný súbor ISO. Potrebujete ho na vytvorenie ďalších uzlov na obnovu alebo na vykonanie zmien v konfigurácii. Ak stratíte všetky kópie súboru ISO, stratili ste aj hlavný kľúč. Obnovenie kľúčov z databázy PostgreSQL alebo Microsoft SQL Server nie je možné.
Nikdy nemáme kópiu tohto kľúča a nemôžeme vám pomôcť, ak ho stratíte.
Nainštalujte HDS Host OVA
1 |
Na prihlásenie do virtuálneho hostiteľa ESXi použite klienta VMware vSphere na vašom počítači. |
2 |
Vyberte položku Súbor > Nasadiť šablónu OVF. |
3 |
V sprievodcovi zadajte umiestnenie súboru OVA, ktorý ste prevzali predtým, a potom kliknite na tlačidlo Ďalej. |
4 |
Na stránke Vyberte názov a priečinok zadajte Názov virtuálneho počítača pre uzol (napríklad „HDS_Node_1“), vyberte umiestnenie, kde sa môže nachádzať nasadenie uzla virtuálneho počítača, a potom kliknite na tlačidlo Ďalej. |
5 |
Na stránke Vyberte výpočtový zdroj vyberte cieľový výpočtový zdroj a potom kliknite na tlačidlo Ďalej. Prebehne overovacia kontrola. Po dokončení sa zobrazia podrobnosti šablóny. |
6 |
Overte podrobnosti šablóny a potom kliknite na tlačidlo Ďalej. |
7 |
Ak sa zobrazí výzva na výber konfigurácie prostriedkov na stránke Konfigurácia , kliknite na položku 4 CPU a potom kliknite na tlačidlo Ďalej. |
8 |
Na stránke Vybrať úložisko kliknite na tlačidlo Ďalej , čím prijmete predvolený formát disku a pravidlá úložiska VM. |
9 |
Na stránke Vybrať siete vyberte sieťovú možnosť zo zoznamu položiek, aby ste poskytli požadované pripojenie k virtuálnemu počítaču. |
10 |
Na stránke Prispôsobiť šablónu nakonfigurujte nasledujúce nastavenia siete:
Ak chcete, môžete preskočiť konfiguráciu nastavenia siete a podľa krokov v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov nakonfigurujte nastavenia z konzoly uzla. Možnosť konfigurovať nastavenia siete počas nasadenia OVA bola testovaná s ESXi 7.0. Táto možnosť nemusí byť dostupná v starších verziách. |
11 |
Kliknite pravým tlačidlom myši na uzol VM a potom vyberte položky .Softvér Hybrid Data Security je nainštalovaný ako hosť na hostiteľovi VM. Teraz ste pripravení prihlásiť sa do konzoly a nakonfigurovať uzol. Tipy na riešenie problémov Môžete zaznamenať oneskorenie niekoľkých minút, kým sa kontajnery uzlov objavia. Počas prvého spustenia, počas ktorého sa nemôžete prihlásiť, sa na konzole zobrazí správa brány firewall mosta. |
Nastavte virtuálny počítač Hybrid Data Security
Tento postup použite na prvé prihlásenie do konzoly VM uzla Hybrid Data Security a nastavenie prihlasovacích poverení. Konzolu môžete použiť aj na konfiguráciu sieťových nastavení pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.
1 |
V klientovi VMware vSphere vyberte svoj uzol Hybrid Data Security VM a vyberte kartu Konzola . VM sa spustí a zobrazí sa výzva na prihlásenie. Ak sa výzva na prihlásenie nezobrazí, stlačte kláves Enter.
|
2 |
Na prihlásenie a zmenu poverení použite nasledujúce predvolené prihlasovacie meno a heslo: Keďže sa do svojho VM prihlasujete prvýkrát, musíte zmeniť heslo správcu. |
3 |
Ak ste už nakonfigurovali nastavenia siete v časti Inštalácia hostiteľa HDS OVA, preskočte zvyšok tohto postupu. V opačnom prípade vyberte v hlavnej ponuke možnosť Upraviť konfiguráciu . |
4 |
Nastavte statickú konfiguráciu s IP adresou, maskou, bránou a informáciami DNS. Váš uzol by mal mať internú IP adresu a názov DNS. DHCP nie je podporované. |
5 |
(Voliteľné) Zmeňte názov hostiteľa, doménu alebo server(y) NTP, ak je to potrebné, aby zodpovedali zásadám vašej siete. Doménu nemusíte nastaviť tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509. |
6 |
Uložte konfiguráciu siete a reštartujte VM, aby sa zmeny prejavili. |
Nahrajte a pripojte ISO konfiguráciu HDS
Skôr ako začnete
Pretože súbor ISO obsahuje hlavný kľúč, mal by byť zverejnený iba na základe „potreby vedieť“, aby k nemu mali prístup virtuálne počítače s hybridným zabezpečením údajov a všetci správcovia, ktorí môžu potrebovať vykonať zmeny. Uistite sa, že k úložisku údajov majú prístup iba títo správcovia.
1 |
Nahrajte súbor ISO z počítača: |
2 |
Pripojte súbor ISO: |
Čo robiť ďalej
Ak to vyžaduje vaša politika IT, môžete voliteľne odpojiť súbor ISO po tom, čo všetky vaše uzly prevezmú zmeny konfigurácie. Podrobnosti nájdete v časti (Voliteľné) Odpojenie ISO po konfigurácii HDS .
Nakonfigurujte uzol HDS na integráciu proxy
Ak sieťové prostredie vyžaduje server proxy, použite tento postup na určenie typu servera proxy, ktorý chcete integrovať s Hybrid Data Security. Ak si vyberiete transparentný kontrolný proxy server alebo explicitný proxy server HTTPS, môžete použiť rozhranie uzla na nahranie a inštaláciu koreňového certifikátu. Môžete tiež skontrolovať pripojenie proxy z rozhrania a vyriešiť prípadné problémy.
Skôr ako začnete
-
Prehľad podporovaných možností servera proxy nájdete v časti Podpora servera proxy .
1 |
Vo webovom prehliadači zadajte adresu URL nastavenia uzla HDS |
2 |
Prejdite na stránku Trust Store & Proxy a potom vyberte jednu z možností:
Postupujte podľa nasledujúcich krokov pre transparentný kontrolný proxy server, explicitný proxy server HTTP so základným overením alebo explicitný server HTTPS. |
3 |
Kliknite na položku Odovzdať koreňový certifikát alebo certifikát ukončenia entity a potom prejdite na výber koreňového certifikátu pre server proxy. Certifikát je nahraný, ale ešte nie je nainštalovaný, pretože na inštaláciu certifikátu musíte reštartovať uzol. Ak chcete získať ďalšie podrobnosti, kliknite na šípku so šípkou vedľa názvu vydavateľa certifikátu. Ak ste urobili chybu a chcete súbor nahrať znova, kliknite na tlačidlo Odstrániť . |
4 |
Kliknutím na položku Skontrolovať pripojenie proxy otestujete sieťové pripojenie medzi uzlom a serverom proxy. Ak test pripojenia zlyhá, zobrazí sa chybové hlásenie, v ktorom je uvedený dôvod a ako môžete problém vyriešiť. Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS. Tento stav sa očakáva v mnohých explicitných konfiguráciách proxy. Môžete pokračovať v nastavovaní a uzol bude fungovať v režime zablokovaného externého rozlíšenia DNS. Ak si myslíte, že ide o chybu, vykonajte tieto kroky a potom si pozrite časť Vypnutie režimu zablokovaného externého rozlíšenia DNS. |
5 |
Po úspešnom teste pripojenia pre explicitný server proxy nastavený iba na https zapnite prepínač na možnosť Smerovať všetky požiadavky protokolu https z tohto uzla na port 443/444 cez explicitný server proxy. Toto nastavenie sa prejaví po 15 sekundách. |
6 |
Kliknite na položku Inštalovať všetky certifikáty do dôveryhodného úložiska (zobrazí sa pri explicitnom serveri HTTPS alebo transparentnom kontrolnom serveri proxy) alebo Reštartovať (zobrazí sa pri explicitnom serveri proxy HTTP), prečítajte si výzvu a ak ste pripravení, kliknite na tlačidlo Inštalovať . Uzol sa reštartuje v priebehu niekoľkých minút. |
7 |
Keď sa uzol reštartuje, v prípade potreby sa znova prihláste a potom otvorte stránku Prehľad a skontrolujte kontroly pripojenia, aby ste sa uistili, že sú všetky v zelenom stave. Kontrola pripojenia proxy testuje iba subdoménu webex.com. Ak sa vyskytnú problémy s pripojením, bežným problémom je, že niektoré z cloudových domén uvedených v pokynoch na inštaláciu sú na serveri proxy blokované. |
Zaregistrujte prvý uzol v klastri
Keď zaregistrujete svoj prvý uzol, vytvoríte klaster, ku ktorému je uzol priradený. Klaster obsahuje jeden alebo viac uzlov nasadených na zabezpečenie redundancie.
Skôr ako začnete
-
Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.
-
Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.
1 |
Prihláste sa do https://admin.webex.com. |
2 |
V ponuke na ľavej strane obrazovky vyberte položku Služby. |
3 |
V časti Cloudové služby nájdite kartu Hybrid Data Security a kliknite na tlačidlo Nastaviť. |
4 |
Na stránke, ktorá sa otvorí, kliknite na položku Pridať zdroj. |
5 |
Do prvého poľa karty Pridať uzol zadajte názov klastra, ktorému chcete priradiť uzol Hybrid Data Security. Odporúčame pomenovať klaster podľa toho, kde sa geograficky nachádzajú uzly klastra. Príklady: „San Francisco“ alebo „New York“ alebo „Dallas“ |
6 |
Do druhého poľa zadajte internú adresu IP alebo úplný názov domény (FQDN) svojho uzla a kliknite na tlačidlo Pridať v dolnej časti obrazovky. Táto adresa IP alebo FQDN by sa mala zhodovať s adresou IP alebo názvom hostiteľa a doménou, ktoré ste použili v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov. Zobrazí sa správa, že môžete zaregistrovať svoj uzol do Webexu.
|
7 |
Kliknite na položku Prejsť do uzla. Po chvíli budete presmerovaní na testy pripojenia uzla pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Allow Access to Hybrid Data Security Node. Tam potvrdíte, že svojej organizácii Webex chcete udeliť povolenia na prístup k vášmu uzlu. |
8 |
Začiarknite políčko Povoliť prístup k vášmu uzlu zabezpečenia hybridných údajov a potom kliknite na tlačidlo Pokračovať. Váš účet je overený a správa „Registration Complete“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
|
9 |
Kliknutím na odkaz alebo zatvorením karty sa vrátite na stránku Partner Hub Hybrid Data Security. Na stránke Hybrid Data Security sa nový klaster obsahujúci uzol, ktorý ste zaregistrovali, zobrazí na karte Prostriedky . Uzol si automaticky stiahne najnovší softvér z cloudu.
|
Vytvorte a zaregistrujte viac uzlov
Skôr ako začnete
-
Akonáhle začnete registráciu uzla, musíte ju dokončiť do 60 minút alebo musíte začať odznova.
-
Uistite sa, že sú vo vašom prehliadači zakázané všetky blokovanie automaticky otváraných okien alebo že ste povolili výnimku pre admin.webex.com.
1 |
Vytvorte nový virtuálny počítač z OVA zopakovaním krokov v časti Inštalácia hostiteľského OVA HDS. |
2 |
Nastavte úvodnú konfiguráciu na novom virtuálnom počítači zopakovaním krokov v časti Nastavenie virtuálneho počítača s hybridným zabezpečením údajov. |
3 |
Na novom virtuálnom počítači zopakujte kroky v časti Odovzdanie a pripojenie ISO konfigurácie HDS. |
4 |
Ak nastavujete server proxy pre svoje nasadenie, zopakujte kroky v časti Konfigurácia uzla HDS na integráciu servera proxy podľa potreby pre nový uzol. |
5 |
Zaregistrujte uzol. |
Spravujte organizácie nájomníkov na hybridnom zabezpečení dát pre viacerých nájomníkov
Aktivujte si Multi-Tenant HDS na Partner Hub
Táto úloha zaisťuje, že všetci používatelia zákazníckych organizácií môžu začať využívať HDS pre lokálne šifrovacie kľúče a ďalšie bezpečnostné služby.
Skôr ako začnete
Uistite sa, že ste dokončili nastavenie klastra Multi-Tenant HDS s požadovaným počtom uzlov.
1 |
Prihláste sa do https://admin.webex.com. |
2 |
V ponuke na ľavej strane obrazovky vyberte položku Služby. |
3 |
V časti Cloudové služby vyhľadajte Hybrid Data Security a kliknite na položku Upraviť nastavenia. |
4 |
Kliknite na položku Aktivovať HDS na karte Stav HDS . |
Pridajte organizácie nájomníkov v partnerskom centre
V tejto úlohe priradíte zákaznícke organizácie k vášmu Hybrid Data Security Cluster.
1 |
Prihláste sa do https://admin.webex.com. |
2 |
V ponuke na ľavej strane obrazovky vyberte položku Služby. |
3 |
V sekcii Cloudové služby nájdite Hybrid Data Security a kliknite na položku Zobraziť všetko. |
4 |
Kliknite na klaster, ku ktorému chcete priradiť zákazníka. |
5 |
Prejdite na kartu Priradení zákazníci . |
6 |
Kliknite na položku Pridať zákazníkov. |
7 |
Z rozbaľovacej ponuky vyberte zákazníka, ktorého chcete pridať. |
8 |
Kliknite na tlačidlo Pridať, zákazník bude pridaný do klastra. |
9 |
Ak chcete do svojho klastra pridať viacerých zákazníkov, zopakujte kroky 6 až 8. |
10 |
Po pridaní zákazníkov kliknite na tlačidlo Hotovo v dolnej časti obrazovky. |
Čo robiť ďalej
Vytvorte hlavné kľúče zákazníka (CMK) pomocou nástroja HDS Setup
Skôr ako začnete
Priraďte zákazníkov do príslušného klastra, ako je podrobne uvedené v časti Pridanie organizácií nájomníkov do centra partnerov. Spustite nástroj HDS Setup a dokončite proces nastavenia pre novo pridané zákaznícke organizácie.
-
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými administrátorskými právami pre vašu organizáciu.
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker v kroku 5 zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:
-
Databázové poverenia
-
Aktualizácie certifikátov
-
Zmeny v politike autorizácie
-
-
Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.
Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.
1 |
Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať. |
2 |
Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce: |
3 |
Pri výzve na zadanie hesla zadajte tento hash: |
4 |
Stiahnite si najnovší stabilný obraz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: |
5 |
Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:
Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“. |
6 |
Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 . Pomocou webového prehliadača prejdite na localhost, Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie. |
7 |
Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia správcu Partner Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre Hybrid Data Security. |
8 |
Na stránke prehľadu nástroja Setup kliknite na položku Začíname. |
9 |
Na stránke Import ISO kliknite na tlačidlo Áno. |
10 |
Vyberte súbor ISO v prehliadači a nahrajte ho. Ak chcete vykonávať správu CMK, zaistite pripojenie k databáze. |
11 |
Prejdite na kartu Správa CMK nájomcov , kde nájdete nasledujúce tri spôsoby správy CMK nájomcov.
|
12 |
Po úspešnom vytvorení CMK sa stav v tabuľke zmení z Čaká sa na správu CMK na Spravuje CMK. |
13 |
Ak je vytvorenie CMK neúspešné, zobrazí sa chyba. |
Odstráňte organizácie nájomníkov
Skôr ako začnete
Po odstránení nebudú používatelia zákazníckych organizácií môcť využívať HDS pre svoje potreby šifrovania a stratia všetky existujúce miesta. Pred odstránením zákazníckych organizácií kontaktujte svojho partnera Cisco alebo správcu účtu.
1 |
Prihláste sa do https://admin.webex.com. |
2 |
V ponuke na ľavej strane obrazovky vyberte položku Služby. |
3 |
V sekcii Cloudové služby nájdite Hybrid Data Security a kliknite na položku Zobraziť všetko. |
4 |
Na karte Zdroje kliknite na klaster, z ktorého chcete odstrániť organizácie zákazníkov. |
5 |
Na stránke, ktorá sa otvorí, kliknite na položku Priradení zákazníci. |
6 |
V zobrazenom zozname organizácií zákazníkov kliknite na položku ... na pravej strane organizácie zákazníka, ktorú chcete odstrániť, a kliknite na položku Odstrániť z klastra. |
Čo robiť ďalej
Dokončite proces odstránenia zrušením CMK zákazníckych organizácií, ako je podrobne uvedené v časti Odvolanie CMK nájomníkov odstránených z HDS.
Zrušiť CMK nájomníkov odstránených z HDS.
Skôr ako začnete
Odstráňte zákazníkov z príslušného klastra, ako je podrobne uvedené v časti Odstránenie organizácií nájomníkov. Spustite nástroj HDS Setup a dokončite proces odstránenia pre zákaznícke organizácie, ktoré boli odstránené.
-
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými administrátorskými právami pre vašu organizáciu.
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker v kroku 5 zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:
-
Databázové poverenia
-
Aktualizácie certifikátov
-
Zmeny v politike autorizácie
-
-
Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.
Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.
1 |
Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať. |
2 |
Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce: |
3 |
Pri výzve na zadanie hesla zadajte tento hash: |
4 |
Stiahnite si najnovší stabilný obraz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: |
5 |
Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:
Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“. |
6 |
Inštalačný nástroj nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhost použite http://127.0.0.1:8080 . Pomocou webového prehliadača prejdite na localhost, Nástroj používa toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú výzvu na prihlásenie. |
7 |
Keď sa zobrazí výzva, zadajte svoje prihlasovacie poverenia správcu Partner Hub a potom kliknite na tlačidlo Prihlásiť sa , čím povolíte prístup k požadovaným službám pre Hybrid Data Security. |
8 |
Na stránke prehľadu nástroja Setup kliknite na položku Začíname. |
9 |
Na stránke Import ISO kliknite na tlačidlo Áno. |
10 |
Vyberte súbor ISO v prehliadači a nahrajte ho. |
11 |
Prejdite na kartu Správa CMK nájomcov , kde nájdete nasledujúce tri spôsoby správy CMK nájomcov.
|
12 |
Po úspešnom odvolaní CMK sa zákaznícka organizácia už nebude zobrazovať v tabuľke. |
13 |
Ak je zrušenie CMK neúspešné, zobrazí sa chyba. |
Otestujte svoje nasadenie Hybrid Data Security
Otestujte svoje nasadenie hybridného zabezpečenia dát
Skôr ako začnete
-
Nastavte svoje nasadenie Hybridného zabezpečenia dát pre viacerých nájomníkov.
-
Uistite sa, že máte prístup k syslog, aby ste si overili, že kľúčové požiadavky prechádzajú do vášho nasadenia Multi-Tenant Hybrid Data Security.
1 |
Kľúče pre daný priestor nastavuje tvorca priestoru. Prihláste sa do aplikácie Webex ako jeden z používateľov zákazníckej organizácie a potom vytvorte priestor. Ak deaktivujete nasadenie Hybrid Data Security, obsah v priestoroch, ktoré vytvoria používatelia, už nebude prístupný po výmene kópií šifrovacích kľúčov uložených vo vyrovnávacej pamäti klienta. |
2 |
Posielajte správy do nového priestoru. |
3 |
Skontrolujte výstup syslog, aby ste si overili, že požiadavky na kľúče prechádzajú do vášho nasadenia Hybrid Data Security. |
Monitorujte zdravie Hybrid Data Security Health
1 |
V Centre pre partnerov vyberte z ponuky na ľavej strane obrazovky položku Služby . |
2 |
V časti Cloudové služby vyhľadajte Hybrid Data Security a kliknite na položku Upraviť nastavenia. Zobrazí sa stránka Hybrid Data Security Settings.
|
3 |
V časti E-mailové upozornenia zadajte jednu alebo viac e-mailových adries oddelených čiarkami a stlačte kláves Enter. |
Spravujte svoje nasadenie HDS
Spravujte nasadenie HDS
Pomocou tu popísaných úloh spravujte svoje nasadenie Hybrid Data Security.
Nastavte plán aktualizácie klastra
Ak chcete nastaviť plán aktualizácie:
1 |
Prihláste sa do Partnerského centra. |
2 |
V ponuke na ľavej strane obrazovky vyberte položku Služby. |
3 |
V časti Cloudové služby vyhľadajte Hybrid Data Security a kliknite na tlačidlo Nastaviť |
4 |
Na stránke Hybrid Data Security Resources vyberte klaster. |
5 |
Kliknite na kartu Nastavenia klastra . |
6 |
Na stránke Nastavenia klastra v časti Plán aktualizácie vyberte čas a časové pásmo pre plán inovácie. Poznámka: Pod časovým pásmom sa zobrazí dátum a čas ďalšej dostupnej aktualizácie. V prípade potreby môžete inováciu odložiť na nasledujúci deň kliknutím na položku Odložiť o 24 hodín. |
Zmeňte konfiguráciu uzla
-
Zmena x.509 certifikátov z dôvodu uplynutia platnosti alebo iných dôvodov.
Nepodporujeme zmenu názvu domény CN certifikátu. Doména sa musí zhodovať s pôvodnou doménou použitou na registráciu klastra.
-
Aktualizácia nastavení databázy pre zmenu na repliku databázy PostgreSQL alebo Microsoft SQL Server.
Nepodporujeme migráciu údajov z PostgreSQL na Microsoft SQL Server ani opačným spôsobom. Ak chcete zmeniť prostredie databázy, spustite nové nasadenie Hybrid Data Security.
-
Vytvorenie novej konfigurácie na prípravu nového dátového centra.
Z bezpečnostných dôvodov používa Hybrid Data Security heslá servisných účtov, ktoré majú životnosť deväť mesiacov. Keď nástroj HDS Setup vygeneruje tieto heslá, nasadíte ich do každého z vašich uzlov HDS v konfiguračnom súbore ISO. Keď sa blíži koniec platnosti hesiel vašej organizácie, dostanete od tímu Webex upozornenie na resetovanie hesla pre váš počítačový účet. (E-mail obsahuje text „Na aktualizáciu hesla použite rozhranie API strojového účtu.“) Ak platnosť vašich hesiel ešte nevypršala, nástroj vám ponúka dve možnosti:
-
Mäkké obnovenie – staré aj nové heslo fungujú až 10 dní. Toto obdobie použite na postupnú výmenu súboru ISO na uzloch.
-
Tvrdý reset – staré heslá okamžite prestanú fungovať.
Ak platnosť vašich hesiel vyprší bez resetovania, ovplyvní to vašu službu HDS, čo si vyžaduje okamžitý tvrdý reset a nahradenie súboru ISO na všetkých uzloch.
Tento postup použite na vygenerovanie nového konfiguračného súboru ISO a jeho použitie vo vašom klastri.
Skôr ako začnete
-
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete k nemu pristupovať, spustite na tomto počítači Docker. Proces nastavenia vyžaduje poverenia účtu Partner Hub s úplnými právami správcu partnera.
Ak nemáte licenciu Docker Desktop, môžete použiť Podman Desktop na spustenie nástroja HDS Setup pre kroky 1.a až 1.e v postupe nižšie. Podrobnosti nájdete v časti Spustenie nástroja HDS Setup pomocou aplikácie Podman Desktop .
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri vytváraní kontajnera Docker v 1.e zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Na vygenerovanie novej konfigurácie potrebujete kópiu aktuálneho konfiguračného súboru ISO. ISO obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. ISO potrebujete, keď robíte zmeny v konfigurácii vrátane poverení databázy, aktualizácií certifikátov alebo zmien v politike autorizácie.
1 |
Pomocou Docker na lokálnom počítači spustite nástroj HDS Setup Tool. |
2 |
Ak máte spustený iba jeden uzol HDS, vytvorte nový virtuálny počítač s uzlom Hybrid Data Security a zaregistrujte ho pomocou nového konfiguračného súboru ISO. Podrobnejšie pokyny nájdete v časti Vytvorenie a registrácia ďalších uzlov. |
3 |
Pre existujúce uzly HDS, na ktorých je spustený starší konfiguračný súbor, pripojte súbor ISO. Postupne vykonajte nasledujúci postup na každom uzle, pričom aktualizujte každý uzol pred vypnutím ďalšieho uzla: |
4 |
Opakujte krok 3, aby ste nahradili konfiguráciu na každom zostávajúcom uzle, na ktorom je spustená stará konfigurácia. |
Vypnite režim zablokovaného externého rozlíšenia DNS
Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. Ak server DNS uzla nedokáže rozlíšiť verejné názvy DNS, uzol automaticky prejde do režimu zablokovaného externého rozlíšenia DNS.
Ak vaše uzly dokážu rozlíšiť verejné názvy DNS prostredníctvom interných serverov DNS, môžete tento režim vypnúť opätovným spustením testu pripojenia proxy na každom uzle.
Skôr ako začnete
1 |
Vo webovom prehliadači otvorte rozhranie uzla Hybrid Data Security (napríklad adresa IP alebo nastavenie, https://192.0.2.0/setup), zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite na tlačidlo Prihlásiť sa). |
2 |
Prejdite na Prehľad (predvolená stránka). Keď je táto možnosť povolená, možnosť Blokované externé rozlíšenie DNS je nastavená na možnosť Áno. |
3 |
Prejdite na stránku Trust Store & Proxy . |
4 |
Kliknite na položku Skontrolovať pripojenie proxy. Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS a zostane v tomto režime. V opačnom prípade po reštartovaní uzla a návrate na stránku Prehľad by mala byť možnosť Blokované externé rozlíšenie DNS nastavené na možnosť Nie. |
Čo robiť ďalej
Odstráňte uzol
1 |
Pomocou klienta VMware vSphere vo svojom počítači sa prihláste do virtuálneho hostiteľa ESXi a vypnite virtuálny počítač. |
2 |
Odstráňte uzol: |
3 |
V klientovi vSphere odstráňte VM. (Na ľavom navigačnom paneli kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Odstrániť.) Ak nevymažete VM, nezabudnite odpojiť konfiguračný súbor ISO. Bez súboru ISO nemôžete použiť VM na prístup k bezpečnostným údajom. |
Obnova po havárii pomocou pohotovostného dátového centra
Najdôležitejšou službou, ktorú váš klaster Hybrid Data Security poskytuje, je vytváranie a ukladanie kľúčov používaných na šifrovanie správ a iného obsahu uloženého v cloude Webex. Pre každého používateľa v rámci organizácie, ktorý je priradený k Hybrid Data Security, sú do klastra smerované nové požiadavky na vytvorenie kľúča. Klaster je tiež zodpovedný za vrátenie kľúčov, ktoré vytvoril, všetkým používateľom oprávneným na ich získanie, napríklad členom konverzačného priestoru.
Pretože klaster vykonáva kritickú funkciu poskytovania týchto kľúčov, je nevyhnutné, aby klaster zostal spustený a aby sa udržiavali správne zálohy. Strata databázy Hybrid Data Security alebo konfigurácie ISO použitej pre schému bude mať za následok NENÁVRATNÚ STRATU zákazníckeho obsahu. Aby sa predišlo takejto strate, sú povinné nasledujúce postupy:
Ak havária spôsobí, že nasadenie HDS v primárnom dátovom centre sa stane nedostupným, podľa tohto postupu manuálne prepnite na pohotovostné dátové centrum.
Skôr ako začnete
1 |
Spustite nástroj na nastavenie HDS a postupujte podľa krokov uvedených v časti Vytvorenie konfiguračného ISO pre hostiteľov HDS. |
2 |
Dokončite proces konfigurácie a uložte súbor ISO na miesto, ktoré sa dá ľahko nájsť. |
3 |
Vytvorte záložnú kópiu súboru ISO vo vašom lokálnom systéme. Uchovajte záložnú kópiu v bezpečí. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov Hybrid Data Security, ktorí by mali vykonávať zmeny v konfigurácii. |
4 |
Na ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a kliknite na položku Upraviť nastavenia. |
5 |
Kliknite na položku Upraviť nastavenia >Jednotka CD/DVD 1 a vyberte položku Datastore ISO File. Uistite sa, že sú začiarknuté položky Pripojené a Pripojiť pri zapnutí , aby sa aktualizované zmeny konfigurácie prejavili po spustení uzlov. |
6 |
Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú žiadne alarmy. |
7 |
Zaregistrujte uzol v partnerskom centre. Pozrite si časť Registrácia prvého uzla v klastri. |
8 |
Opakujte proces pre každý uzol v pohotovostnom dátovom centre. |
Čo robiť ďalej
(Voliteľné) Odpojte ISO po konfigurácii HDS
Štandardná konfigurácia HDS beží s namontovaným ISO. Niektorí zákazníci však uprednostňujú neponechať súbory ISO nepretržite pripojené. Súbor ISO môžete odpojiť potom, čo všetky uzly HDS prevezmú novú konfiguráciu.
Na vykonanie zmien v konfigurácii stále používate súbory ISO. Keď vytvoríte nový ISO alebo aktualizujete ISO pomocou nástroja Setup Tool, musíte aktualizovaný ISO pripojiť na všetky vaše uzly HDS. Keď všetky vaše uzly zachytia zmeny konfigurácie, môžete ISO znova odpojiť pomocou tohto postupu.
Skôr ako začnete
Inovujte všetky svoje uzly HDS na verziu 2021.01.22.4720 alebo novšiu.
1 |
Vypnite jeden z uzlov HDS. |
2 |
V serverovom zariadení vCenter vyberte uzol HDS. |
3 |
Vyberte položku Súbor ISO úložiska údajov. a zrušte začiarknutie políčka |
4 |
Zapnite uzol HDS a uistite sa, že aspoň 20 minút nie sú žiadne alarmy. |
5 |
Postup opakujte pre každý uzol HDS. |
Riešenie problémov so zabezpečením hybridných údajov
Zobraziť upozornenia a riešenie problémov
Nasadenie Hybrid Data Security sa považuje za nedostupné, ak sú všetky uzly v klastri nedostupné alebo klaster pracuje tak pomaly, že si vyžaduje časový limit. Ak používatelia nemôžu dosiahnuť váš klaster Hybrid Data Security, zaznamenajú nasledujúce príznaky:
-
Nie je možné vytvoriť nové medzery (nemožno vytvoriť nové kľúče)
-
Správy a názvy priestorov sa nepodarilo dešifrovať pre:
-
Noví používatelia pridaní do priestoru (nemožno načítať kľúče)
-
Existujúci používatelia v priestore používajúci nového klienta (nemožno načítať kľúče)
-
-
Existujúci používatelia v priestore budú naďalej úspešne fungovať, pokiaľ ich klienti majú vyrovnávaciu pamäť šifrovacích kľúčov
Je dôležité, aby ste správne monitorovali svoj klaster Hybrid Data Security a okamžite riešili všetky výstrahy, aby ste predišli prerušeniu služby.
Upozornenia
Ak sa vyskytne problém s nastavením Hybrid Data Security, partnerské centrum zobrazí upozornenia správcovi organizácie a odošle e-maily na nakonfigurovanú e-mailovú adresu. Výstrahy pokrývajú mnoho bežných scenárov.
Upozornenie |
Akcia |
---|---|
Zlyhanie prístupu k lokálnej databáze. |
Skontrolujte chyby databázy alebo problémy s lokálnou sieťou. |
Zlyhanie pripojenia k lokálnej databáze. |
Skontrolujte, či je databázový server dostupný a či boli v konfigurácii uzla použité správne poverenia servisného účtu. |
Zlyhanie prístupu k cloudovej službe. |
Skontrolujte, či majú uzly prístup k serverom Webex, ako je uvedené v časti Požiadavky na externé pripojenie. |
Obnovuje sa registrácia cloudovej služby. |
Registrácia do cloudových služieb bola zrušená. Prebieha obnova registrácie. |
Registrácia cloudovej služby bola zrušená. |
Registrácia do cloudových služieb bola ukončená. Služba sa vypína. |
Služba ešte nie je aktivovaná. |
Aktivujte HDS v Partner Hub. |
Nakonfigurovaná doména sa nezhoduje s certifikátom servera. |
Uistite sa, že váš certifikát servera sa zhoduje s nakonfigurovanou doménou aktivácie služby. Najpravdepodobnejšou príčinou je, že certifikát CN bol nedávno zmenený a teraz sa líši od CN, ktorý bol použitý počas počiatočného nastavenia. |
Nepodarilo sa overiť v cloudových službách. |
Skontrolujte presnosť a možné vypršanie platnosti poverení servisného účtu. |
Nepodarilo sa otvoriť súbor lokálneho úložiska kľúčov. |
Skontrolujte integritu a presnosť hesla v lokálnom súbore skladu kľúčov. |
Certifikát lokálneho servera je neplatný. |
Skontrolujte dátum vypršania platnosti certifikátu servera a potvrďte, že bol vydaný dôveryhodnou certifikačnou autoritou. |
Nie je možné uverejniť metriky. |
Skontrolujte prístup k lokálnej sieti k externým cloudovým službám. |
Adresár /media/configdrive/hds neexistuje. |
Skontrolujte konfiguráciu pripojenia ISO na virtuálnom hostiteľovi. Overte, či súbor ISO existuje, či je nakonfigurovaný na pripojenie pri reštarte a či sa úspešne pripojí. |
Nastavenie nájomnej organizácie pre pridané organizácie nie je dokončené |
Dokončite nastavenie vytvorením CMK pre novo pridané organizácie nájomníkov pomocou nástroja HDS Setup Tool. |
Nastavenie nájomnej organizácie pre odstránené organizácie nie je dokončené |
Dokončite nastavenie zrušením CMK organizácií nájomníkov, ktoré boli odstránené pomocou nástroja HDS Setup Tool. |
Riešenie problémov so zabezpečením hybridných údajov
1 |
Skontrolujte partnerské centrum pre všetky upozornenia a opravte všetky položky, ktoré tam nájdete. Pozrite si obrázok nižšie ako referenciu. |
2 |
Skontrolujte výstup servera syslog pre aktivitu z nasadenia Hybrid Data Security. Filtrujte slová ako „Upozornenie“ a „Chyba“, ktoré vám pomôžu pri riešení problémov. |
3 |
Kontaktujte podporu Cisco. |
Ďalšie poznámky
Známe problémy s hybridnou bezpečnosťou dát
-
Ak vypnete svoj klaster Hybrid Data Security (odstránením v Partner Hub alebo vypnutím všetkých uzlov), stratíte svoj konfiguračný súbor ISO alebo stratíte prístup k databáze úložiska kľúčov, používatelia aplikácie Webex zo zákazníckych organizácií už nebudú môcť používať priestory pod ich zoznamom osôb, ktoré boli vytvorené pomocou kľúčov z vášho KMS. V súčasnosti nemáme riešenie ani opravu tohto problému a žiadame vás, aby ste nevypínali svoje služby HDS, keď budú spracovávať aktívne používateľské účty.
-
Klient, ktorý má existujúce pripojenie ECDH ku KMS, udržiava toto pripojenie určitý čas (pravdepodobne jednu hodinu).
Spustite nástroj HDS Setup pomocou Podman Desktop
Podman je bezplatný nástroj na správu kontajnerov s otvoreným zdrojovým kódom, ktorý poskytuje spôsob, ako spúšťať, spravovať a vytvárať kontajnery. Podman Desktop si môžete stiahnuť z https://podman-desktop.io/downloads.
-
Nástroj HDS Setup beží ako kontajner Docker na lokálnom počítači. Ak chcete získať prístup, stiahnite si a spustite Podman na tomto počítači. Proces nastavenia vyžaduje poverenia účtu Control Hub s úplnými administrátorskými právami pre vašu organizáciu.
Ak je nástroj HDS Setup vo vašom prostredí spustený za serverom proxy, pri spúšťaní kontajnera Docker v kroku 5 zadajte nastavenia servera proxy (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Variabilné
HTTP Proxy bez autentifikácie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez autentifikácie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy s autentifikáciou
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč na šifrovanie databázy PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny v konfigurácii, ako napríklad:
-
Databázové poverenia
-
Aktualizácie certifikátov
-
Zmeny v politike autorizácie
-
-
Ak plánujete šifrovať pripojenia k databáze, nastavte svoje nasadenie PostgreSQL alebo SQL Server pre TLS.
Proces nastavenia Hybrid Data Security vytvorí súbor ISO. Potom použijete ISO na konfiguráciu hostiteľa Hybrid Data Security.
1 |
Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: Tento krok vyčistí predchádzajúce obrázky nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať. |
2 |
Ak sa chcete prihlásiť do registra obrázkov Docker, zadajte nasledujúce: |
3 |
Pri výzve na zadanie hesla zadajte tento hash: |
4 |
Stiahnite si najnovší stabilný obraz pre vaše prostredie: V bežných prostrediach: V prostrediach FedRAMP: |
5 |
Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:
Keď je kontajner spustený, uvidíte „Expresný server počúva na porte 8080“. |
Čo robiť ďalej
Na vygenerovanie súboru PKCS12 použite OpenSSL
Skôr ako začnete
-
OpenSSL je jeden nástroj, ktorý možno použiť na vytvorenie súboru PKCS12 v správnom formáte na načítanie v nástroji HDS Setup Tool. Existujú aj iné spôsoby, ako to urobiť, a my nepodporujeme ani nepresadzujeme jeden spôsob oproti druhému.
-
Ak sa rozhodnete použiť OpenSSL, poskytujeme tento postup ako návod, ktorý vám pomôže vytvoriť súbor, ktorý spĺňa požiadavky na certifikát X.509 v časti Požiadavky na certifikát X.509. Než budete pokračovať, pochopte tieto požiadavky.
-
Nainštalujte OpenSSL v podporovanom prostredí. Softvér a dokumentáciu nájdete v časti https://www.openssl.org .
-
Vytvorte si súkromný kľúč.
-
Tento postup začnite, keď dostanete certifikát servera od certifikačnej autority (CA).
1 |
Keď od svojej CA dostanete certifikát servera, uložte ho ako |
2 |
Zobrazte certifikát ako text a overte podrobnosti.
|
3 |
Pomocou textového editora vytvorte súbor balíka certifikátov s názvom
|
4 |
Vytvorte súbor .p12 s popisným názvom
|
5 |
Skontrolujte podrobnosti certifikátu servera. |
Čo robiť ďalej
Vráťte sa na stránku Dokončenie predpokladov pre hybridné zabezpečenie údajov. hdsnode.p12
Súbor a heslo, ktoré ste preň nastavili, použijete v časti Vytvorenie konfiguračného ISO pre hostiteľov HDS.
Tieto súbory môžete znova použiť na vyžiadanie nového certifikátu, keď platnosť pôvodného certifikátu vyprší.
Prevádzka medzi uzlami HDS a cloudom
Odchádzajúca návštevnosť zberu metrík
Uzly Hybrid Data Security odosielajú určité metriky do cloudu Webex. Patria sem systémové metriky pre maximálnu haldu, využitú haldu, zaťaženie procesora a počet vlákien; metriky na synchrónnych a asynchrónnych vláknach; metriky výstrah zahŕňajúce prah šifrovacích pripojení, latenciu alebo dĺžku frontu požiadaviek; metriky v dátovom sklade; a metriky šifrovaného pripojenia. Uzly posielajú zašifrovaný kľúčový materiál cez kanál mimo pásma (oddelený od požiadavky).
Prichádzajúca premávka
Uzly Hybrid Data Security prijímajú nasledujúce typy prichádzajúcej prevádzky z cloudu Webex:
-
Šifrovacie požiadavky od klientov, ktoré sú smerované šifrovacou službou
-
Aktualizácie softvéru uzla
Nakonfigurujte Squid proxy pre hybridné zabezpečenie dát
Websocket sa nemôže pripojiť cez Squid Proxy
Servery proxy typu Squid, ktoré kontrolujú prenos HTTPS, môžu narúšať vytváranie pripojení websocket (wss:
), ktoré vyžaduje Hybrid Data Security. Tieto sekcie poskytujú návod, ako nakonfigurovať rôzne verzie Squid tak, aby ignorovali wss:
premávku pre správne fungovanie služieb.
Kalmáre 4 a 5
Pridajte on_unsupported_protocol
smernicu do squid.conf
:
on_unsupported_protocol tunnel all
Kalmáre 3.5.27
Hybridné zabezpečenie údajov sme úspešne otestovali pomocou nasledujúcich pravidiel pridaných do squid.conf
. Tieto pravidlá sa môžu meniť, pretože vyvíjame funkcie a aktualizujeme cloud Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Nové a zmenené informácie
Nové a zmenené informácie
Táto tabuľka obsahuje nové funkcie alebo funkcionalitu, zmeny existujúceho obsahu a všetky závažné chyby, ktoré boli opravené v Sprievodcovi nasadením pre hybridné zabezpečenie údajov pre viacerých nájomcov.
Dátum |
Vykonané zmeny |
---|---|
8. mája 2025 |
|
4. marca 2025 |
|
30. januára 2025 |
Do zoznamu podporovaných serverov SQL bola pridaná verzia servera SQL 2022 v časti Požiadavky na databázový server. |
15. januára 2025 |
Pridané Obmedzenia zabezpečenia hybridných dát pre viacerých nájomníkov. |
8. januára 2025 |
V časti Vykonajte úvodné nastavenie a stiahnite si inštalačné súbory bola pridaná poznámka, že kliknutie na tlačidlo Nastaviť na karte HDS v centre partnerov je dôležitým krokom procesu inštalácie. |
7. januára 2025 |
Aktualizované požiadavky na virtuálneho hostiteľa, postup úlohy nasadenia hybridného zabezpečenia údajova inštalácia OVA hostiteľa HDS s cieľom zobraziť nové požiadavky ESXi 7.0. |
13. decembra 2024 |
Prvýkrát publikované. |
Deaktivácia hybridného zabezpečenia údajov pre viacerých nájomníkov
Postup deaktivácie viacnájomníckeho HDS
Ak chcete úplne deaktivovať službu Multi-Tenant HDS, postupujte podľa týchto krokov.
Predtým, ako začnete
1 |
Odstráňte všetkých zákazníkov zo všetkých klastrov, ako je uvedené v časti Odstránenie organizácií nájomníkov. |
2 |
Zrušte CMK všetkých zákazníkov, ako je uvedené v časti Zrušte CMK nájomníkov odstránených z HDS.. |
3 |
Odstráňte všetky uzly zo všetkých klastrov, ako je uvedené v časti Odstránenie uzla. |
4 |
Odstráňte všetky klastre z Centra partnerov pomocou jednej z nasledujúcich dvoch metód.
|
5 |
Na stránke s prehľadom hybridného zabezpečenia údajov kliknite na kartu Nastavenia a na karte Stav HDS kliknite na Deaktivovať HDS. |
Začnite s hybridným zabezpečením údajov pre viacerých nájomníkov
Prehľad zabezpečenia hybridných dát pre viacerých nájomníkov
Od prvého dňa bola bezpečnosť údajov hlavným zameraním pri navrhovaní aplikácie Webex. Základným kameňom tohto zabezpečenia je šifrovanie obsahu typu end-to-end, ktoré umožňujú klienti aplikácie Webex interagujúci so službou správy kľúčov (KMS). KMS je zodpovedný za vytváranie a správu kryptografických kľúčov, ktoré klienti používajú na dynamické šifrovanie a dešifrovanie správ a súborov.
V predvolenom nastavení majú všetci zákazníci aplikácie Webex k dispozícii šifrovanie typu end-to-end s dynamickými kľúčmi uloženými v cloudovom KMS v bezpečnostnej oblasti spoločnosti Cisco. Hybridná ochrana údajov presúva KMS a ďalšie funkcie súvisiace so zabezpečením do vášho podnikového dátového centra, takže nikto okrem vás nemá kľúče k vášmu šifrovanému obsahu.
Multi-Tenant Hybrid Data Security umožňuje organizáciám využívať HDS prostredníctvom dôveryhodného lokálneho partnera, ktorý môže pôsobiť ako poskytovateľ služieb a spravovať lokálne šifrovanie a ďalšie bezpečnostné služby. Toto nastavenie umožňuje partnerskej organizácii mať úplnú kontrolu nad nasadením a správou šifrovacích kľúčov a zaisťuje, že používateľské údaje zákazníckych organizácií sú v bezpečí pred externým prístupom. Partnerské organizácie nastavujú inštancie HDS a vytvárajú klastre HDS podľa potreby. Každá inštancia môže podporovať viacero zákazníckych organizácií, na rozdiel od bežného nasadenia HDS, ktoré je obmedzené na jednu organizáciu.
To tiež umožňuje menším organizáciám využívať HDS, pretože služby správy kľúčov a bezpečnostná infraštruktúra, ako sú dátové centrá, sú vo vlastníctve dôveryhodného lokálneho partnera.
Ako hybridné zabezpečenie údajov pre viacerých nájomcov poskytuje suverenitu údajov a kontrolu nad údajmi
- Obsah vytvorený používateľmi je chránený pred externým prístupom, napríklad od poskytovateľov cloudových služieb.
- Lokálni dôveryhodní partneri spravujú šifrovacie kľúče zákazníkov, s ktorými už majú nadviazaný vzťah.
- Možnosť lokálnej technickej podpory, ak ju poskytuje partner.
- Podporuje obsah pre stretnutia, správy a volania.
Tento dokument má pomôcť partnerským organizáciám pri nastavení a správe zákazníkov v rámci hybridného systému zabezpečenia údajov pre viacerých nájomcov.
Obmedzenia hybridného zabezpečenia údajov pre viacerých nájomcov
- Partnerské organizácie nesmú mať v Control Hub žiadne aktívne existujúce nasadenie HDS.
- Nájomníci alebo zákaznícke organizácie, ktoré chcú byť spravované partnerom, nesmú mať v Control Hub žiadne existujúce nasadenie HDS.
- Keď partner nasadí Multi-Tenant HDS, všetci používatelia zákazníckych organizácií, ako aj používatelia partnerskej organizácie začnú využívať Multi-Tenant HDS pre svoje šifrovacie služby.
Partnerská organizácia a zákaznícke organizácie, ktoré spravujú, budú mať rovnaké nasadenie Multi-Tenant HDS.
Partnerská organizácia už po nasadení Multi-Tenant HDS nebude používať cloudovú službu KMS.
- Neexistuje mechanizmus na presun kľúčov späť do Cloud KMS po nasadení HDS.
- V súčasnosti môže mať každé nasadenie Multi-Tenant HDS iba jeden klaster s viacerými uzlami pod ním.
- Role správcu majú určité obmedzenia; podrobnosti nájdete v časti nižšie.
Úlohy v oblasti hybridnej bezpečnosti údajov pre viacerých nájomníkov
- Úplný správca partnera – Môže spravovať nastavenia pre všetkých zákazníkov, ktorých partner spravuje. Taktiež môže existujúcim používateľom v organizácii priradiť administrátorské role a priradiť konkrétnych zákazníkov, ktorých budú spravovať partnerskí administrátori.
- Správca partnera – Môže spravovať nastavenia pre zákazníkov, ktorých správca poskytol alebo ktorí boli priradení k používateľovi.
- Úplný správca – Správca partnerskej organizácie, ktorý je oprávnený vykonávať úlohy, ako je úprava nastavení organizácie, správa licencií a prideľovanie rolí.
- Komplexné nastavenie a správa viacnájomníckeho HDS pre všetky zákaznícke organizácie - Vyžaduje sa partner s plnými oprávneniami správcu a plnými oprávneniami správcu.
- Správa pridelených organizácií nájomníkov - Vyžaduje sa správca partnera a úplné oprávnenia správcu.
Architektúra bezpečnostnej oblasti
Cloudová architektúra Webexu oddeľuje rôzne typy služieb do samostatných oblastí alebo domén dôvery, ako je znázornené nižšie.
Pre lepšie pochopenie hybridnej bezpečnosti dát sa najprv pozrime na tento čisto cloudový prípad, kde spoločnosť Cisco poskytuje všetky funkcie vo svojich cloudových sférach. Služba identity, jediné miesto, kde môžu byť používatelia priamo prepojení so svojimi osobnými údajmi, ako je napríklad e-mailová adresa, je logicky a fyzicky oddelená od bezpečnostnej oblasti v dátovom centre B. Obe sú zase oddelené od oblasti, kde je šifrovaný obsah nakoniec uložený v dátovom centre C.
V tomto diagrame je klientom aplikácia Webex spustená na notebooku používateľa, ktorá sa overila pomocou služby identity. Keď používateľ napíše správu, ktorú chce odoslať do priestoru, vykonajú sa nasledujúce kroky:
-
Klient vytvorí zabezpečené pripojenie so službou správy kľúčov (KMS) a potom požiada o kľúč na zašifrovanie správy. Zabezpečené pripojenie používa ECDH a KMS šifruje kľúč pomocou hlavného kľúča AES-256.
-
Správa je pred odoslaním od klienta zašifrovaná. Klient ho odošle indexačnej službe, ktorá vytvorí šifrované vyhľadávacie indexy, ktoré pomôžu pri budúcom vyhľadávaní obsahu.
-
Zašifrovaná správa sa odošle službe dodržiavania predpisov na kontrolu súladu.
-
Zašifrovaná správa je uložená v úložnom priestore.
Pri nasadení hybridného zabezpečenia údajov presuniete funkcie bezpečnostnej oblasti (KMS, indexovanie a dodržiavanie súladu) do svojho lokálneho dátového centra. Ostatné cloudové služby, ktoré tvoria Webex (vrátane úložiska identít a obsahu), zostávajú v rukách spoločnosti Cisco.
Spolupráca s inými organizáciami
Používatelia vo vašej organizácii môžu pravidelne používať aplikáciu Webex na spoluprácu s externými účastníkmi v iných organizáciách. Keď jeden z vašich používateľov požiada o kľúč pre priestor, ktorý vlastní vaša organizácia (pretože ho vytvoril jeden z vašich používateľov), váš KMS odošle kľúč klientovi cez zabezpečený kanál ECDH. Keď však kľúč k priestoru vlastní iná organizácia, vaša služba riadenia kľúčov (KMS) smeruje požiadavku do cloudu Webex cez samostatný kanál ECDH, aby získala kľúč z príslušnej služby KMS, a potom ho vráti vášmu používateľovi na pôvodnom kanáli.
Služba KMS spustená v organizácii A overuje pripojenia k KMS v iných organizáciách pomocou certifikátov x.509 PKI. Podrobnosti o generovaní certifikátu x.509, ktorý sa má použiť s nasadením hybridného zabezpečenia údajov pre viacerých klientov, nájdete v časti Príprava prostredia.
Očakávania týkajúce sa nasadenia hybridnej bezpečnosti údajov
Nasadenie hybridnej ochrany údajov si vyžaduje značné odhodlanie a uvedomenie si rizík, ktoré so sebou prináša vlastníctvo šifrovacích kľúčov.
Na nasadenie hybridného zabezpečenia údajov musíte poskytnúť:
-
Bezpečné dátové centrum v krajine, ktorá je podporovaným miestom pre plány Cisco Webex Teams.
-
Zariadenie, softvér a prístup k sieti opísané v časti Príprava prostredia.
Úplná strata buď konfiguračného ISO súboru, ktorý vytvoríte pre Hybrid Data Security, alebo databázy, ktorú poskytnete, bude mať za následok stratu kľúčov. Strata kľúča bráni používateľom v dešifrovaní obsahu priestoru a iných šifrovaných údajov v aplikácii Webex. Ak sa to stane, môžete vytvoriť nové nasadenie, ale viditeľný bude iba nový obsah. Aby ste predišli strate prístupu k údajom, musíte:
-
Spravovať zálohovanie a obnovu databázy a konfiguračného ISO súboru.
-
Buďte pripravení vykonať rýchlu obnovu po havárii, ak dôjde ku katastrofe, ako je napríklad zlyhanie disku databázy alebo havária dátového centra.
Neexistuje mechanizmus na presun kľúčov späť do cloudu po nasadení HDS.
Proces nastavenia na vysokej úrovni
Tento dokument popisuje nastavenie a správu nasadenia hybridného zabezpečenia údajov pre viacerých nájomcov:
-
Nastavenie hybridného zabezpečenia údajov– Zahŕňa to prípravu požadovanej infraštruktúry a inštaláciu softvéru Hybrid Data Security, vytvorenie klastra HDS, pridanie organizácií nájomníkov do klastra a správu ich hlavných kľúčov zákazníkov (CMK). Vďaka tomu budú môcť všetci používatelia vašich zákazníckych organizácií používať váš klaster Hybrid Data Security na bezpečnostné funkcie.
Fázy nastavenia, aktivácie a správy sú podrobne popísané v nasledujúcich troch kapitolách.
-
Udržiavajte si nasadenie hybridného zabezpečenia údajov– Cloud Webex automaticky poskytuje priebežné aktualizácie. Vaše IT oddelenie môže pre toto nasadenie poskytnúť podporu prvej úrovne a v prípade potreby zapojiť podporu spoločnosti Cisco. V Centre partnerov môžete používať upozornenia na obrazovke a nastaviť si e-mailové upozornenia.
-
Pochopte bežné upozornenia, kroky na riešenie problémov a známe problémy– Ak narazíte na problémy s nasadením alebo používaním Hybrid Data Security, posledná kapitola tejto príručky a dodatok Známe problémy vám môžu pomôcť určiť a opraviť problém.
Hybridný model nasadenia zabezpečenia údajov
V rámci vášho podnikového dátového centra nasadíte hybridné zabezpečenie údajov ako jeden klaster uzlov na samostatných virtuálnych hostiteľoch. Uzly komunikujú s cloudom Webex prostredníctvom zabezpečených webových soketov a zabezpečeného HTTP.
Počas inštalácie vám poskytneme súbor OVA na nastavenie virtuálneho zariadenia na virtuálnych počítačoch, ktoré poskytnete. Nástroj na nastavenie HDS použijete na vytvorenie vlastného súboru ISO s konfiguráciou klastra, ktorý pripojíte ku každému uzlu. Klaster Hybrid Data Security používa váš poskytnutý server Syslogd a databázu PostgreSQL alebo Microsoft SQL Server. (Podrobnosti o pripojení k databáze a Syslogd nakonfigurujete v nástroji HDS Setup Tool.)
Minimálny počet uzlov, ktoré môžete mať v klastri, je dva. Odporúčame aspoň tri na klaster. Viaceré uzly zabezpečujú, že služba nebude prerušená počas aktualizácie softvéru alebo inej údržbárskej činnosti na uzle. (Cloud Webex aktualizuje iba jeden uzol naraz.)
Všetky uzly v klastri pristupujú k rovnakému úložisku kľúčových údajov a zaznamenávajú aktivitu na rovnaký server syslog. Samotné uzly sú bezstavové a spracovávajú kľúčové požiadavky kruhovým spôsobom podľa pokynov cloudu.
Uzly sa aktivujú po ich registrácii v Centre partnerov. Ak chcete vyradiť jednotlivý uzol z prevádzky, môžete ho zrušiť a neskôr ho v prípade potreby znova zaregistrovať.
Pohotovostné dátové centrum pre obnovu po havárii
Počas nasadenia si nastavíte bezpečné záložné dátové centrum. V prípade havárie dátového centra môžete manuálne prepnúť nasadenie do záložného dátového centra.
Databázy aktívnych a záložných dátových centier sú navzájom synchronizované, čo minimalizuje čas potrebný na vykonanie záložného prepnutia.
Aktívne uzly Hybrid Data Security musia byť vždy v rovnakom dátovom centre ako aktívny databázový server.
Podpora proxy serverov
Hybridná bezpečnosť údajov podporuje explicitné, transparentné inšpekčné a neinšpekčné proxy. Tieto proxy servery môžete prepojiť s vaším nasadením, aby ste mohli zabezpečiť a monitorovať prevádzku z podniku do cloudu. Na správu certifikátov a kontrolu celkového stavu pripojenia po nastavení proxy servera na uzloch môžete na uzloch použiť administrátorské rozhranie platformy.
Uzly Hybrid Data Security podporujú nasledujúce možnosti proxy:
-
Žiadny proxy– Predvolená hodnota, ak nepoužívate nastavenie úložiska dôveryhodných údajov uzla HDS & Konfigurácia proxy servera na integráciu proxy servera. Nie je potrebná žiadna aktualizácia certifikátu.
-
Transparentný nekontrolujúci proxy— Uzly nie sú nakonfigurované na používanie konkrétnej adresy proxy servera a nemali by vyžadovať žiadne zmeny na fungovanie s nekontrolujúcim proxy. Nie je potrebná žiadna aktualizácia certifikátu.
-
Transparentné tunelovanie alebo kontrola proxy— Uzly nie sú nakonfigurované na používanie konkrétnej adresy proxy servera. Na uzloch nie sú potrebné žiadne zmeny konfigurácie HTTP alebo HTTPS. Uzly však potrebujú koreňový certifikát, aby dôverovali proxy serveru. Kontrola proxy serverov sa zvyčajne používa v IT oddeleniach na presadzovanie politík týkajúcich sa toho, ktoré webové stránky je možné navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy dešifruje všetku vašu prevádzku (aj HTTPS).
-
Explicitná proxy– Pri explicitnej proxy poviete uzlom HDS, ktorý proxy server a schému overovania majú použiť. Ak chcete nakonfigurovať explicitný proxy server, musíte na každom uzle zadať nasledujúce informácie:
-
Proxy IP/FQDN—Adresa, ktorú je možné použiť na dosiahnutie proxy servera.
-
Proxy port– Číslo portu, ktoré proxy používa na počúvanie proxy prevádzky.
-
Proxy protokol– V závislosti od toho, čo váš proxy server podporuje, si vyberte z nasledujúcich protokolov:
-
HTTP – Zobrazuje a riadi všetky požiadavky, ktoré klient odosiela.
-
HTTPS – Poskytuje kanál serveru. Klient prijme a overí certifikát servera.
-
-
Typ overenia– Vyberte si z nasledujúcich typov overenia:
-
Žiadne— Nie je potrebné žiadne ďalšie overenie.
Dostupné, ak ako proxy protokol vyberiete HTTP alebo HTTPS.
-
Základné– Používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri zadávaní požiadavky. Používa kódovanie Base64.
Dostupné, ak ako proxy protokol vyberiete HTTP alebo HTTPS.
Vyžaduje sa zadanie používateľského mena a hesla na každom uzle.
-
Súhrn– Používa sa na overenie účtu pred odoslaním citlivých informácií. Pred odoslaním cez sieť použije na používateľské meno a heslo hašovaciu funkciu.
Dostupné iba v prípade, že ako proxy protokol vyberiete HTTPS.
Vyžaduje sa zadanie používateľského mena a hesla na každom uzle.
-
-
Príklad hybridných uzlov zabezpečenia údajov a proxy
Tento diagram znázorňuje príklad pripojenia medzi hybridným zabezpečením údajov, sieťou a proxy serverom. Pre možnosti transparentnej kontroly a explicitnej kontroly HTTPS proxy musí byť na proxy aj na uzloch Hybrid Data Security nainštalovaný rovnaký koreňový certifikát.
Režim blokovaného externého rozlišovania DNS (explicitné konfigurácie proxy)
Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. V nasadeniach s explicitnými konfiguráciami proxy, ktoré neumožňujú externé prekladanie DNS pre interných klientov, ak uzol nemôže dotazovať servery DNS, automaticky prejde do režimu blokovaného externého prekladania DNS. V tomto režime môže prebiehať registrácia uzlov a ďalšie testy pripojenia proxy.
Príprava prostredia
Požiadavky na zabezpečenie hybridných dát pre viacerých nájomcov
Licenčné požiadavky Cisco Webex
Nasadenie hybridného zabezpečenia údajov pre viacerých nájomcov:
-
Partnerské organizácie: Kontaktujte svojho partnera Cisco alebo správcu účtu a uistite sa, že je povolená funkcia Multi-Tenant.
-
Organizácie nájomcov: Pre Cisco Webex Control Hub musíte mať Pro Pack. (Pozri https://www.cisco.com/go/pro-pack.)
Požiadavky na Docker Desktop
Pred inštaláciou uzlov HDS potrebujete Docker Desktop na spustenie inštalačného programu. Docker nedávno aktualizoval svoj licenčný model. Vaša organizácia môže vyžadovať platené predplatné pre Docker Desktop. Podrobnosti nájdete v blogovom príspevku Docker s názvom „ Docker aktualizuje a predlžuje predplatné našich produktov“.
Zákazníci bez licencie Docker Desktop môžu na spúšťanie, správu a vytváranie kontajnerov použiť nástroj na správu kontajnerov s otvoreným zdrojovým kódom, ako je napríklad Podman Desktop. Podrobnosti nájdete v časti Spustenie nástroja HDS Setup pomocou nástroja Podman Desktop.
Požiadavky na certifikát X.509
Reťazec certifikátov musí spĺňať nasledujúce požiadavky:
Požiadavka |
Podrobnosti |
---|---|
|
Predvolene dôverujeme certifikačným autoritám v zozname Mozilly (s výnimkou WoSign a StartCom) na adrese https://wiki.mozilla.org/CA:IncludedCAs. |
|
CN nemusí byť dosiahnuteľný ani musí byť živým hostiteľom. Odporúčame vám použiť názov, ktorý odráža vašu organizáciu, napríklad CN nesmie obsahovať * (zástupný znak). CN sa používa na overenie uzlov Hybrid Data Security pre klientov aplikácie Webex. Všetky uzly Hybrid Data Security vo vašom klastri používajú rovnaký certifikát. Váš KMS sa identifikuje pomocou domény CN, nie pomocou akejkoľvek domény definovanej v poliach SAN x.509v3. Po zaregistrovaní uzla s týmto certifikátom už nepodporujeme zmenu názvu domény CN. |
|
Softvér KMS nepodporuje podpisy SHA1 na overovanie pripojení k KMS iných organizácií. |
|
Na zmenu formátu certifikátu môžete použiť konvertor, ako napríklad OpenSSL. Pri spustení nástroja HDS Setup Tool budete musieť zadať heslo. |
Softvér KMS nevynucuje používanie kľúčov ani rozšírené obmedzenia používania kľúčov. Niektoré certifikačné autority vyžadujú, aby sa na každý certifikát uplatňovali rozšírené obmedzenia používania kľúčov, napríklad overovanie servera. Je v poriadku použiť overenie servera alebo iné nastavenia.
Požiadavky na virtuálneho hostiteľa
Virtuálne hostiteľské systémy, ktoré nastavíte ako uzly Hybrid Data Security vo vašom klastri, majú nasledujúce požiadavky:
-
Aspoň dvaja samostatní hostitelia (odporúčajú sa 3) umiestnení v tom istom zabezpečenom dátovom centre
-
Nainštalovaný a spustený systém VMware ESXi 7.0 alebo 8.0.
Ak máte staršiu verziu ESXi, musíte ju aktualizovať.
-
Minimálne 4 vCPU, 8 GB hlavnej pamäte, 30 GB miesta na lokálnom pevnom disku na server
Požiadavky na databázový server
Vytvorte novú databázu pre ukladanie kľúčov. Nepoužívajte predvolenú databázu. Aplikácie HDS po nainštalovaní vytvoria schému databázy.
Pre databázový server existujú dve možnosti. Požiadavky pre každý z nich sú nasledovné:
PostgreSQL |
Microsoft SQL Server |
---|---|
|
|
Minimálne 8 vCPU, 16 GB operačnej pamäte, dostatočný priestor na pevnom disku a monitorovanie, aby sa zabezpečilo, že sa neprekročí táto kapacita (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhší čas bez nutnosti zväčšovania úložiska). |
Minimálne 8 vCPU, 16 GB operačnej pamäte, dostatočný priestor na pevnom disku a monitorovanie, aby sa zabezpečilo, že sa neprekročí táto kapacita (odporúča sa 2 TB, ak chcete databázu prevádzkovať dlhší čas bez nutnosti zväčšovania úložiska). |
Softvér HDS aktuálne inštaluje nasledujúce verzie ovládačov pre komunikáciu s databázovým serverom:
PostgreSQL |
Microsoft SQL Server |
---|---|
Ovládač Postgres JDBC 42.2.5 |
Ovládač JDBC pre SQL Server verzie 4.6 Táto verzia ovládača podporuje SQL Server Always On ( inštancie klastrov s podporou pre záložné zariadenia Always On a skupiny dostupnosti Always On). |
Ďalšie požiadavky na overovanie systému Windows v systéme Microsoft SQL Server
Ak chcete, aby uzly HDS používali overovanie systému Windows na získanie prístupu k databáze úložiska kľúčov na serveri Microsoft SQL Server, potrebujete vo svojom prostredí nasledujúcu konfiguráciu:
-
Uzly HDS, infraštruktúra služby Active Directory a MS SQL Server musia byť synchronizované s NTP.
-
Účet Windows, ktorý poskytnete uzlom HDS, musí mať read/write prístup k databáze.
-
Servery DNS, ktoré poskytujete uzlom HDS, musia byť schopné rozlíšiť vaše centrum distribúcie kľúčov (KDC).
-
Inštanciu databázy HDS môžete zaregistrovať na serveri Microsoft SQL Server ako hlavný názov služby (SPN) v službe Active Directory. Pozrite si časť Registrácia názvu hlavného prvku služby pre pripojenia Kerberos.
Nástroj na nastavenie HDS, spúšťač HDS a lokálna služba KMS musia na prístup k databáze úložiska kľúčov používať overovanie systému Windows. Pri žiadosti o prístup s overením Kerberos používajú podrobnosti z vašej konfigurácie ISO na vytvorenie SPN.
Požiadavky na externé pripojenie
Nakonfigurujte si firewall tak, aby povoľoval nasledujúce pripojenie pre aplikácie HDS:
Aplikácia |
Protokol |
Prístav |
Pokyny z aplikácie |
Destinácia |
---|---|---|---|---|
Hybridné uzly zabezpečenia údajov |
TCP |
443 |
Odchádzajúce HTTPS a WSS |
|
Nástroj na nastavenie HDS |
TCP |
443 |
Odchádzajúce HTTPS |
|
Uzly Hybrid Data Security pracujú s prekladom sieťového prístupu (NAT) alebo za firewallom, pokiaľ NAT alebo firewall umožňuje požadované odchádzajúce pripojenia k cieľovým doménam uvedeným v predchádzajúcej tabuľke. Pre pripojenia smerujúce k uzlom Hybrid Data Security by z internetu nemali byť viditeľné žiadne porty. V rámci vášho dátového centra potrebujú klienti prístup k uzlom Hybrid Data Security na TCP portoch 443 a 22 na administratívne účely.
URL adresy pre hostiteľov Common Identity (CI) sú špecifické pre daný región. Toto sú aktuálni hostitelia CI:
Región |
URL adresy bežných hostiteľov identity |
---|---|
Amerika |
|
Európska únia |
|
Kanada |
|
Singapur |
|
Spojené arabské emiráty |
|
Požiadavky na proxy server
-
Oficiálne podporujeme nasledujúce proxy riešenia, ktoré sa dajú integrovať s vašimi uzlami Hybrid Data Security.
-
Transparentný proxy server – Cisco Web Security Appliance (WSA).
-
Explicitný proxy – Squid.
Proxy servery Squid, ktoré kontrolujú HTTPS prevádzku, môžu narúšať vytváranie websocketov. (wss:) pripojenia. Ak chcete tento problém obísť, pozrite si časť Konfigurácia proxy serverov Squid pre hybridné zabezpečenie údajov.
-
-
Pre explicitné proxy podporujeme nasledujúce kombinácie typov overovania:
-
Žiadne overenie pomocou HTTP alebo HTTPS
-
Základné overovanie pomocou HTTP alebo HTTPS
-
Autentifikácia Digest iba s HTTPS
-
-
Pre transparentnú inšpekčnú proxy alebo explicitnú proxy HTTPS musíte mať kópiu koreňového certifikátu proxy. Pokyny na nasadenie v tejto príručke vám povedia, ako nahrať kópiu do úložísk dôveryhodných uzlov hybridného zabezpečenia údajov.
-
Sieť, ktorá hostí uzly HDS, musí byť nakonfigurovaná tak, aby vynútila smerovanie odchádzajúcej TCP prevádzky na porte 443 cez proxy.
-
Proxy servery, ktoré kontrolujú webovú prevádzku, môžu rušiť pripojenia webových soketov. Ak sa tento problém vyskytne, obídenie (nekontrola) prevádzky do
wbx2.com
aciscospark.com
ho vyrieši.
Splňte predpoklady pre hybridnú bezpečnosť údajov
1 |
Uistite sa, že vaša partnerská organizácia má povolenú funkciu Multi-Tenant HDS a získajte poverenia účtu s úplnými oprávneniami správcu partnera a úplnými oprávneniami správcu. Uistite sa, že vaša zákaznícka organizácia Webex má povolený balík Pro Pack pre Cisco Webex Control Hub. Ak potrebujete s týmto procesom pomoc, kontaktujte svojho partnera alebo manažéra účtu spoločnosti Cisco. Zákaznícke organizácie by nemali mať žiadne existujúce nasadenie HDS. |
2 |
Vyberte názov domény pre nasadenie HDS (napríklad |
3 |
Pripravte si identické virtuálne hostiteľské systémy, ktoré nastavíte ako uzly Hybrid Data Security vo vašom klastri. Potrebujete aspoň dvoch samostatných hostiteľov (odporúčajú sa 3) umiestnených v tom istom zabezpečenom dátovom centre, ktorí spĺňajú požiadavky uvedené v Požiadavky na virtuálneho hostiteľa. |
4 |
Pripravte databázový server, ktorý bude slúžiť ako úložisko kľúčových údajov pre klaster, podľa požiadaviek na databázový server. Databázový server musí byť umiestnený v zabezpečenom dátovom centre spolu s virtuálnymi hostiteľmi. |
5 |
Pre rýchlu obnovu po havárii si nastavte záložné prostredie v inom dátovom centre. Záložné prostredie odzrkadľuje produkčné prostredie virtuálnych počítačov a záložného databázového servera. Napríklad, ak má produkčné prostredie 3 virtuálne počítače s uzlami HDS, zálohovacie prostredie by malo mať 3 virtuálne počítače. |
6 |
Nastavte hostiteľa syslog na zhromažďovanie protokolov z uzlov v klastri. Zhromaždite jeho sieťovú adresu a port syslog (predvolená hodnota je UDP 514). |
7 |
Vytvorte bezpečnú politiku zálohovania pre uzly Hybrid Data Security, databázový server a hostiteľa syslog. Aby ste predišli nenávratnej strate údajov, musíte minimálne zálohovať databázu a konfiguračný súbor ISO vygenerovaný pre uzly Hybrid Data Security. Keďže uzly Hybrid Data Security ukladajú kľúče používané pri šifrovaní a dešifrovaní obsahu, zlyhanie udržiavania operačného nasadenia bude mať za následok NENAHRADITEĽNÚ STRATU daného obsahu. Klienti aplikácie Webex ukladajú svoje kľúče do vyrovnávacej pamäte, takže výpadok nemusí byť okamžite viditeľný, ale prejaví sa postupom času. Aj keď dočasným výpadkom nie je možné zabrániť, sú obnoviteľné. Úplná strata (bez dostupnosti záloh) databázy alebo konfiguračného súboru ISO však bude mať za následok neobnoviteľné údaje o zákazníkoch. Od prevádzkovateľov uzlov hybridného zabezpečenia údajov sa očakáva, že budú udržiavať časté zálohy databázy a konfiguračného súboru ISO a budú pripravení obnoviť dátové centrum hybridného zabezpečenia údajov v prípade katastrofického zlyhania. |
8 |
Uistite sa, že konfigurácia vášho firewallu umožňuje pripojenie uzlov hybridného zabezpečenia údajov, ako je uvedené v časti Požiadavky na externé pripojenie. |
9 |
Nainštalujte Docker ( https://www.docker.com) na ľubovoľný lokálny počítač s podporovaným operačným systémom (Microsoft Windows 10 Professional alebo Enterprise 64-bit, alebo Mac OSX Yosemite 10.10.3 alebo novší) s webovým prehliadačom, ktorý k nemu má prístup na adrese http://127.0.0.1:8080. Inštanciu Dockeru použijete na stiahnutie a spustenie nástroja HDS Setup Tool, ktorý zostaví lokálne konfiguračné informácie pre všetky uzly Hybrid Data Security. Možno budete potrebovať licenciu Docker Desktop. Viac informácií nájdete v časti Požiadavky na Docker Desktop. Na inštaláciu a spustenie nástroja HDS Setup Tool musí mať lokálny počítač pripojenie uvedené v časti Požiadavky na externé pripojenie. |
10 |
Ak integrujete proxy server s Hybrid Data Security, uistite sa, že spĺňa požiadavky na proxy server. |
Nastavenie hybridného klastra zabezpečenia údajov
Postup úlohy nasadenia hybridnej bezpečnosti údajov
1 |
Vykonajte úvodné nastavenie a stiahnite si inštalačné súbory Stiahnite si súbor OVA do lokálneho počítača pre neskoršie použitie. |
2 |
Vytvorte konfiguračný ISO súbor pre hostiteľov HDS Na vytvorenie konfiguračného súboru ISO pre uzly Hybrid Data Security použite nástroj HDS Setup Tool. |
3 |
Nainštalujte OVA hostiteľa HDS Vytvorte virtuálny počítač zo súboru OVA a vykonajte počiatočnú konfiguráciu, ako napríklad nastavenia siete. Možnosť konfigurácie sieťových nastavení počas nasadenia OVA bola testovaná s ESXi 7.0 a 8.0. Táto možnosť nemusí byť dostupná v starších verziách. |
4 |
Nastavenie hybridného virtuálneho počítača zabezpečenia údajov Prihláste sa do konzoly virtuálneho počítača a nastavte prihlasovacie údaje. Nakonfigurujte sieťové nastavenia pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA. |
5 |
Nahrajte a pripojte ISO súbor s konfiguráciou HDS Nakonfigurujte virtuálny počítač z konfiguračného súboru ISO, ktorý ste vytvorili pomocou nástroja HDS Setup Tool. |
6 |
Konfigurácia uzla HDS pre integráciu proxy servera Ak sieťové prostredie vyžaduje konfiguráciu proxy servera, zadajte typ proxy servera, ktorý budete používať pre uzol, a v prípade potreby pridajte certifikát proxy servera do úložiska dôveryhodných certifikátov. |
7 |
Zaregistrujte prvý uzol v klastri Zaregistrujte virtuálny počítač v cloude Cisco Webex ako uzol hybridného zabezpečenia údajov. |
8 |
Vytvorte a zaregistrujte ďalšie uzly Dokončite nastavenie klastra. |
9 |
Aktivujte Multi-Tenant HDS v centre partnerov. Aktivujte HDS a spravujte organizácie nájomníkov v centre Partner Hub. |
Vykonajte úvodné nastavenie a stiahnite si inštalačné súbory
V tejto úlohe si stiahnete súbor OVA do svojho počítača (nie na servery, ktoré ste nastavili ako uzly Hybrid Data Security). Tento súbor použijete neskôr počas procesu inštalácie.
1 |
Prihláste sa do Centra partnerov a potom kliknite na Služby. |
2 |
V sekcii Cloudové služby vyhľadajte kartu Hybridné zabezpečenie údajov a potom kliknite na tlačidlo Nastaviť. Kliknutie na Nastaviť v Centre partnerov je kľúčové pre proces nasadenia. Nepokračujte v inštalácii bez dokončenia tohto kroku. |
3 |
Kliknite na Pridať zdroj a potom na Stiahnuť súbor .OVA na karte Inštalovať a konfigurovať softvér. Staršie verzie softvérového balíka (OVA) nebudú kompatibilné s najnovšími aktualizáciami Hybrid Data Security. To môže viesť k problémom pri aktualizácii aplikácie. Uistite sa, že si stiahnete najnovšiu verziu súboru OVA. OVA si môžete kedykoľvek stiahnuť aj zo sekcie Pomocník. Kliknite na . Súbor OVA sa automaticky začne sťahovať. Uložte súbor na ľubovoľné miesto v počítači.
|
4 |
Voliteľne kliknite na Zobraziť sprievodcu nasadením hybridného zabezpečenia údajov a skontrolujte, či je k dispozícii novšia verzia tohto sprievodcu. |
Vytvorte konfiguračný ISO súbor pre hostiteľov HDS
Proces inštalácie hybridného zabezpečenia údajov vytvorí súbor ISO. Potom použijete ISO súbor na konfiguráciu hostiteľa Hybrid Data Security.
Predtým, ako začnete
-
Nástroj na nastavenie HDS beží ako kontajner Docker na lokálnom počítači. Ak k nemu chcete získať prístup, spustite na danom počítači Docker. Proces nastavenia vyžaduje prihlasovacie údaje účtu Partner Hub s úplnými oprávneniami správcu.
Ak nemáte licenciu Docker Desktop, môžete na spustenie nástroja HDS Setup pre kroky 1 až 5 v nižšie uvedenom postupe použiť Podman Desktop. Podrobnosti nájdete v časti Spustenie nástroja HDS Setup pomocou nástroja Podman Desktop.
Ak nástroj HDS Setup beží za proxy serverom vo vašom prostredí, zadajte nastavenia proxy servera (server, port, poverenia) prostredníctvom premenných prostredia Docker pri spustení kontajnera Docker v kroku 5 nižšie. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Premenná
HTTP proxy bez overenia
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez overenia
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS proxy s overovaním
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč šifrujúci databázu PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny konfigurácie, ako napríklad:
-
Prihlasovacie údaje k databáze
-
Aktualizácie certifikátov
-
Zmeny v autorizačnej politike
-
-
Ak plánujete šifrovať pripojenia k databáze, nastavte si nasadenie PostgreSQL alebo SQL Servera pre TLS.
1 |
Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie: V bežnom prostredí: V prostrediach FedRAMP: Tento krok vyčistí predchádzajúce obrazy z nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať. | ||||||||||
2 |
Ak sa chcete prihlásiť do registra obrazov Docker, zadajte nasledujúce: | ||||||||||
3 |
Pri zadávaní hesla zadajte tento hash: | ||||||||||
4 |
Stiahnite si najnovší stabilný obraz pre vaše prostredie: V bežnom prostredí: V prostrediach FedRAMP: | ||||||||||
5 |
Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:
Keď je kontajner spustený, zobrazí sa hlásenie „Server Express počúva na porte 8080“. | ||||||||||
6 |
Nástroj na nastavenie nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhostu použite http://127.0.0.1:8080. Pomocou webového prehliadača prejdite na localhost, Nástroj použije toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú prihlasovaciu výzvu. | ||||||||||
7 |
Po zobrazení výzvy zadajte svoje prihlasovacie údaje správcu Centra partnerov a potom kliknite na Prihlásiť sa, čím povolíte prístup k požadovaným službám pre hybridné zabezpečenie údajov. | ||||||||||
8 |
Na stránke s prehľadom nástroja na nastavenie kliknite na Začíname. | ||||||||||
9 |
Na stránke Import ISO máte tieto možnosti:
| ||||||||||
10 |
Skontrolujte, či váš certifikát X.509 spĺňa požiadavky uvedené v Požiadavky na certifikát X.509.
| ||||||||||
11 |
Zadajte adresu databázy a účet pre HDS, aby mal prístup k vášmu úložisku kľúčov: | ||||||||||
12 |
Vyberte režim pripojenia k databáze TLS:
Keď nahráte koreňový certifikát (ak je to potrebné) a kliknete na tlačidlo Pokračovať, nástroj na nastavenie HDS otestuje pripojenie TLS k databázovému serveru. Nástroj tiež overí podpisovateľa certifikátu a názov hostiteľa, ak je to relevantné. Ak test zlyhá, nástroj zobrazí chybové hlásenie s popisom problému. Môžete si vybrať, či chcete chybu ignorovať a pokračovať v nastavení. (Kvôli rozdielom v konektivite môžu byť uzly HDS schopné nadviazať pripojenie TLS, aj keď ho počítač s nástrojom HDS Setup Tool nedokáže úspešne otestovať.) | ||||||||||
13 |
Na stránke Systémové protokoly nakonfigurujte server Syslogd: | ||||||||||
14 |
(Voliteľné) Predvolenú hodnotu pre niektoré parametre pripojenia k databáze môžete zmeniť v časti Rozšírené nastavenia. Vo všeobecnosti je tento parameter jediný, ktorý možno budete chcieť zmeniť: | ||||||||||
15 |
Kliknite na tlačidlo Pokračovať na obrazovke Obnoviť heslo servisných účtov. Heslá k servisným účtom majú deväťmesačnú životnosť. Túto obrazovku použite, keď sa blíži koniec platnosti vašich hesiel alebo ich chcete resetovať, aby sa zneplatnili predchádzajúce súbory ISO. | ||||||||||
16 |
Kliknite na Stiahnuť súbor ISO. Uložte súbor na miesto, ktoré sa dá ľahko nájsť. | ||||||||||
17 |
Vytvorte záložnú kópiu súboru ISO na vašom lokálnom systéme. Záložnú kópiu uschovajte bezpečne. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov hybridnej ochrany údajov, ktorí by mali vykonávať zmeny konfigurácie. | ||||||||||
18 |
Ak chcete vypnúť nástroj Nastavenie, zadajte |
Čo robiť ďalej
Zálohujte si konfiguračný ISO súbor. Potrebujete ho na vytvorenie ďalších uzlov na obnovu alebo na vykonanie zmien konfigurácie. Ak stratíte všetky kópie súboru ISO, stratili ste aj hlavný kľúč. Obnovenie kľúčov z databázy PostgreSQL alebo Microsoft SQL Server nie je možné.
Nikdy nemáme kópiu tohto kľúča a nemôžeme vám pomôcť, ak ho stratíte.
Nainštalujte OVA hostiteľa HDS
1 |
Na prihlásenie do virtuálneho hostiteľa ESXi použite klienta VMware vSphere na vašom počítači. |
2 |
Vyberte Súbor > Nasadiť šablónu OVF. |
3 |
V sprievodcovi zadajte umiestnenie súboru OVA, ktorý ste si predtým stiahli, a potom kliknite na tlačidlo Ďalej. |
4 |
Na stránke Vyberte názov a priečinok zadajte názov virtuálneho počítača pre uzol (napríklad „HDS_Node_1“), vyberte umiestnenie, kde sa môže nachádzať nasadenie uzla virtuálneho počítača, a potom kliknite na tlačidlo Ďalej. |
5 |
Na stránke Vyberte výpočtový zdroj vyberte cieľový výpočtový zdroj a potom kliknite na tlačidlo Ďalej. Spustí sa overovacia kontrola. Po dokončení sa zobrazia podrobnosti šablóny. |
6 |
Overte podrobnosti šablóny a potom kliknite na tlačidlo Ďalej. |
7 |
Ak sa na stránke Konfigurácia zobrazí výzva na výber konfigurácie zdrojov, kliknite na 4 CPU a potom kliknite na Ďalej. |
8 |
Na stránke Vybrať úložisko kliknite na tlačidlo Ďalej a prijmite predvolený formát disku a zásady úložiska virtuálneho počítača. |
9 |
Na stránke Vybrať siete vyberte zo zoznamu položiek možnosť siete, aby ste zabezpečili požadované pripojenie k virtuálnemu počítaču. |
10 |
Na stránke Prispôsobiť šablónu nakonfigurujte nasledujúce sieťové nastavenia:
Ak chcete, môžete preskočiť konfiguráciu sieťových nastavení a postupovať podľa krokov v časti Nastavenie virtuálneho počítača Hybrid Data Security na konfiguráciu nastavení z konzoly uzla. Možnosť konfigurácie sieťových nastavení počas nasadenia OVA bola testovaná s ESXi 7.0 a 8.0. Táto možnosť nemusí byť dostupná v starších verziách. |
11 |
Kliknite pravým tlačidlom myši na uzol virtuálneho počítača a potom vyberte .Softvér Hybrid Data Security je nainštalovaný ako hosť na hostiteľovi virtuálneho počítača. Teraz ste pripravení prihlásiť sa do konzoly a nakonfigurovať uzol. Tipy na riešenie problémov Pred spustením kontajnerov uzlov sa môže vyskytnúť niekoľkominútové oneskorenie. Počas prvého spustenia sa na konzole zobrazí správa brány firewall mosta, počas ktorej sa nemôžete prihlásiť. |
Nastavenie hybridného virtuálneho počítača zabezpečenia údajov
Tento postup použite na prvé prihlásenie do konzoly virtuálneho počítača uzla Hybrid Data Security a nastavenie prihlasovacích údajov. Konzolu môžete použiť aj na konfiguráciu sieťových nastavení pre uzol, ak ste ich nenakonfigurovali v čase nasadenia OVA.
1 |
V klientovi VMware vSphere vyberte svoj virtuálny počítač uzla Hybrid Data Security a vyberte kartu Konzola. Virtuálny počítač sa spustí a zobrazí sa prihlasovacia výzva. Ak sa prihlasovacia výzva nezobrazí, stlačte Enter.
|
2 |
Na prihlásenie a zmenu poverení použite nasledujúce predvolené prihlasovacie meno a heslo: Keďže sa do virtuálneho počítača prihlasujete prvýkrát, musíte zmeniť heslo správcu. |
3 |
Ak ste už nakonfigurovali sieťové nastavenia v časti Inštalácia HDS Host OVA, zvyšok tohto postupu preskočte. V opačnom prípade v hlavnej ponuke vyberte možnosť Upraviť konfiguráciu. |
4 |
Nastavte statickú konfiguráciu s informáciami o IP adrese, maske, bráne a DNS. Váš uzol by mal mať internú IP adresu a DNS názov. DHCP nie je podporované. |
5 |
(Voliteľné) V prípade potreby zmeňte názov hostiteľa, doménu alebo server(y) NTP tak, aby zodpovedali vašim sieťovým pravidlám. Nemusíte nastavovať doménu tak, aby sa zhodovala s doménou, ktorú ste použili na získanie certifikátu X.509. |
6 |
Uložte konfiguráciu siete a reštartujte virtuálny počítač, aby sa zmeny prejavili. |
Nahrajte a pripojte ISO súbor s konfiguráciou HDS
Predtým, ako začnete
Keďže súbor ISO obsahuje hlavný kľúč, mal by byť sprístupnený iba na základe „potreby vedieť“, pre prístup virtuálnych počítačov Hybrid Data Security a všetkých správcov, ktorí by mohli potrebovať vykonať zmeny. Uistite sa, že k úložisku údajov majú prístup iba títo administrátori.
1 |
Nahrajte súbor ISO z počítača: |
2 |
Pripojte súbor ISO: |
Čo robiť ďalej
Ak to vyžaduje vaša IT politika, môžete voliteľne odpojiť súbor ISO po tom, čo všetky vaše uzly prevezmú zmeny konfigurácie. Podrobnosti nájdete v časti (Voliteľné) Odpojenie ISO po konfigurácii HDS.
Konfigurácia uzla HDS pre integráciu proxy servera
Ak sieťové prostredie vyžaduje proxy server, použite tento postup na určenie typu proxy servera, ktorý chcete integrovať s Hybrid Data Security. Ak si vyberiete transparentný inšpekčný proxy server alebo explicitný proxy server HTTPS, môžete na nahranie a inštaláciu koreňového certifikátu použiť rozhranie uzla. Pripojenie proxy servera môžete tiež skontrolovať z rozhrania a vyriešiť prípadné problémy.
Predtým, ako začnete
-
Prehľad podporovaných možností proxy nájdete v časti Podpora proxy.
1 |
Zadajte URL adresu nastavenia uzla HDS |
2 |
Prejsť na Úložisko dôveryhodných služieb & Proxya potom vyberte možnosť:
Postupujte podľa nasledujúcich krokov pre transparentnú inšpekčnú proxy, explicitnú proxy HTTP so základným overením alebo explicitnú proxy HTTPS. |
3 |
Kliknite na Nahrať koreňový certifikát alebo certifikát koncovej entitya potom prejdite na výber koreňového certifikátu pre proxy. Certifikát je nahraný, ale ešte nie je nainštalovaný, pretože na inštaláciu certifikátu je potrebné reštartovať uzol. Kliknite na šípku v tvare šípky vedľa názvu vydavateľa certifikátu a zobrazte si ďalšie podrobnosti alebo kliknite na Odstrániť, ak ste urobili chybu a chcete súbor znova nahrať. |
4 |
Kliknite na Skontrolovať pripojenie proxy a otestujte sieťové pripojenie medzi uzlom a proxy. Ak test pripojenia zlyhá, zobrazí sa chybové hlásenie s uvedením dôvodu a spôsobu, ako problém vyriešiť. Ak sa zobrazí správa, že externé rozlíšenie DNS nebolo úspešné, uzol sa nemohol pripojiť k serveru DNS. Táto podmienka sa očakáva v mnohých explicitných konfiguráciách proxy. Môžete pokračovať v nastavení a uzol bude fungovať v režime blokovaného externého rozpoznávania DNS. Ak si myslíte, že ide o chybu, vykonajte tieto kroky a potom si pozrite časť Vypnutie režimu blokovaného externého rozlišovania DNS. |
5 |
Po úspešnom teste pripojenia, ak je explicitný proxy nastavený iba na https, prepnite prepínač do polohy Smerovať všetky porty 443/444 https požiadavky z tohto uzla cez explicitný proxy. Toto nastavenie sa prejaví po 15 sekundách. |
6 |
Kliknite na Inštalovať všetky certifikáty do úložiska dôveryhodných certifikátov (zobrazí sa pre explicitný proxy server HTTPS alebo transparentný inšpekčný proxy server) alebo Reštartovať (zobrazí sa pre explicitný proxy server HTTP), prečítajte si výzvu a potom kliknite na Inštalovať, ak ste pripravení. Uzol sa reštartuje v priebehu niekoľkých minút. |
7 |
Po reštarte uzla sa v prípade potreby znova prihláste a potom otvorte stránku Prehľad, aby ste skontrolovali kontroly pripojenia a uistili sa, že všetky sú v zelenom stave. Kontrola proxy pripojenia testuje iba subdoménu webex.com. Ak sa vyskytnú problémy s pripojením, bežným problémom je, že niektoré cloudové domény uvedené v pokynoch na inštaláciu sú blokované na proxy serveri. |
Zaregistrujte prvý uzol v klastri
Pri registrácii prvého uzla vytvoríte klaster, ku ktorému je uzol priradený. Klaster obsahuje jeden alebo viac uzlov nasadených na zabezpečenie redundancie.
Predtým, ako začnete
-
Keď začnete s registráciou uzla, musíte ju dokončiť do 60 minút, inak budete musieť začať odznova.
-
Uistite sa, že máte vo svojom prehliadači vypnuté všetky blokovače vyskakovacích okien alebo že máte povolenú výnimku pre admin.webex.com.
1 |
Prihláste sa do https://admin.webex.com. |
2 |
V ponuke na ľavej strane obrazovky vyberte možnosť Služby. |
3 |
V sekcii Cloudové služby vyhľadajte kartu Hybridné zabezpečenie údajov a kliknite na Nastaviť. |
4 |
Na stránke, ktorá sa otvorí, kliknite na Pridať zdroj. |
5 |
Do prvého poľa karty Pridať uzol zadajte názov klastra, ku ktorému chcete priradiť uzol Hybrid Data Security. Odporúčame pomenovať klaster na základe geografickej polohy uzlov klastra. Príklady: „San Francisco“ alebo „New York“ alebo „Dallas“ |
6 |
Do druhého poľa zadajte internú IP adresu alebo plne kvalifikovaný názov domény (FQDN) vášho uzla a kliknite na tlačidlo Pridať v dolnej časti obrazovky. Táto IP adresa alebo FQDN by sa mala zhodovať s IP adresou alebo názvom hostiteľa a doménou, ktoré ste použili v Nastavenie virtuálneho počítača Hybrid Data Security. Zobrazí sa správa s informáciou, že môžete zaregistrovať svoj uzol do Webexu.
|
7 |
Kliknite na Prejsť na uzol. Po chvíli budete presmerovaní na testy pripojenia uzlov pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Povoliť prístup k uzlu hybridného zabezpečenia údajov. Tam potvrdíte, že chcete udeliť svojej organizácii Webex povolenia na prístup k vášmu uzlu. |
8 |
Začiarknite políčko Povoliť prístup k vášmu hybridnému uzlu zabezpečenia údajov a potom kliknite na tlačidlo Pokračovať. Váš účet je overený a správa „Registrácia dokončená“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex.
|
9 |
Kliknite na odkaz alebo zatvorte kartu a vráťte sa na stránku Zabezpečenie hybridných údajov v centre partnerov. Na stránke Hybridná bezpečnosť údajov sa v časti Zdroje zobrazí nový klaster obsahujúci uzol, ktorý ste zaregistrovali. Uzol automaticky stiahne najnovší softvér z cloudu.
|
Vytvorte a zaregistrujte ďalšie uzly
Predtým, ako začnete
-
Keď začnete s registráciou uzla, musíte ju dokončiť do 60 minút, inak budete musieť začať odznova.
-
Uistite sa, že máte vo svojom prehliadači vypnuté všetky blokovače vyskakovacích okien alebo že máte povolenú výnimku pre admin.webex.com.
1 |
Vytvorte nový virtuálny počítač z OVA opakovaním krokov v časti Inštalácia OVA hostiteľa HDS. |
2 |
Nastavte počiatočnú konfiguráciu na novom virtuálnom počítači opakovaním krokov v časti Nastavenie hybridného virtuálneho počítača so zabezpečením údajov. |
3 |
Na novom virtuálnom počítači zopakujte kroky v časti Nahranie a pripojenie ISO súboru konfigurácie HDS. |
4 |
Ak pre svoje nasadenie nastavujete proxy server, zopakujte kroky v časti Konfigurácia uzla HDS pre integráciu proxy servera podľa potreby pre nový uzol. |
5 |
Zaregistrujte uzol. |
Správa organizácií nájomníkov v rámci hybridného zabezpečenia údajov pre viacerých nájomníkov
Aktivácia Multi-Tenant HDS v centre partnerov
Táto úloha zabezpečí, aby všetci používatelia zákazníckych organizácií mohli začať využívať HDS pre lokálne šifrovacie kľúče a ďalšie bezpečnostné služby.
Predtým, ako začnete
Uistite sa, že ste dokončili nastavenie klastra Multi-Tenant HDS s požadovaným počtom uzlov.
1 |
Prihláste sa do https://admin.webex.com. |
2 |
V ponuke na ľavej strane obrazovky vyberte možnosť Služby. |
3 |
V sekcii Cloudové služby vyhľadajte položku Hybridné zabezpečenie údajov a kliknite na položku Upraviť nastavenia. |
4 |
Kliknite na Aktivovať HDS na karte Stav HDS. |
Pridanie organizácií nájomníkov do Centra partnerov
V tejto úlohe priradíte organizácie zákazníkov k vášmu hybridnému klastru zabezpečenia údajov.
1 |
Prihláste sa do https://admin.webex.com. |
2 |
V ponuke na ľavej strane obrazovky vyberte možnosť Služby. |
3 |
V sekcii Cloudové služby vyhľadajte Hybridné zabezpečenie údajov a kliknite na Zobraziť všetko. |
4 |
Kliknite na klaster, do ktorého chcete priradiť zákazníka. |
5 |
Prejdite na kartu Priradení zákazníci. |
6 |
Kliknite na Pridať zákazníkov. |
7 |
Z rozbaľovacej ponuky vyberte zákazníka, ktorého chcete pridať. |
8 |
Kliknite na Pridať, zákazník bude pridaný do klastra. |
9 |
Ak chcete do klastra pridať viacerých zákazníkov, zopakujte kroky 6 až 8. |
10 |
Po pridaní zákazníkov kliknite na tlačidlo Hotovo v dolnej časti obrazovky. |
Čo robiť ďalej
Vytvorenie hlavných kľúčov zákazníka (CMK) pomocou nástroja HDS Setup
Predtým, ako začnete
Priraďte zákazníkov do príslušného klastra, ako je podrobne popísané v časti Pridanie organizácií nájomníkov v centre partnerov. Spustite nástroj HDS Setup a dokončite proces nastavenia pre novo pridané organizácie zákazníkov.
-
Nástroj na nastavenie HDS beží ako kontajner Docker na lokálnom počítači. Ak k nemu chcete získať prístup, spustite na danom počítači Docker. Proces nastavenia vyžaduje prihlasovacie údaje účtu Partner Hub s úplnými oprávneniami správcu pre vašu organizáciu.
Ak nástroj HDS Setup beží za proxy serverom vo vašom prostredí, zadajte nastavenia proxy servera (server, port, poverenia) prostredníctvom premenných prostredia Docker pri spustení kontajnera Docker v kroku 5. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Premenná
HTTP proxy bez overenia
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez overenia
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS proxy s overovaním
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč šifrujúci databázu PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny konfigurácie, ako napríklad:
-
Prihlasovacie údaje k databáze
-
Aktualizácie certifikátov
-
Zmeny v autorizačnej politike
-
-
Ak plánujete šifrovať pripojenia k databáze, nastavte si nasadenie PostgreSQL alebo SQL Servera pre TLS.
Proces inštalácie hybridného zabezpečenia údajov vytvorí súbor ISO. Potom použijete ISO súbor na konfiguráciu hostiteľa Hybrid Data Security.
1 |
Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie: V bežnom prostredí: V prostrediach FedRAMP: Tento krok vyčistí predchádzajúce obrazy z nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať. |
2 |
Ak sa chcete prihlásiť do registra obrazov Docker, zadajte nasledujúce: |
3 |
Pri zadávaní hesla zadajte tento hash: |
4 |
Stiahnite si najnovší stabilný obraz pre vaše prostredie: V bežnom prostredí: V prostrediach FedRAMP: |
5 |
Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:
Keď je kontajner spustený, zobrazí sa hlásenie „Server Express počúva na porte 8080“. |
6 |
Nástroj na nastavenie nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhostu použite http://127.0.0.1:8080. Pomocou webového prehliadača prejdite na localhost, Nástroj použije toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú prihlasovaciu výzvu. |
7 |
Po zobrazení výzvy zadajte svoje prihlasovacie údaje správcu Centra partnerov a potom kliknite na Prihlásiť sa, čím povolíte prístup k požadovaným službám pre hybridné zabezpečenie údajov. |
8 |
Na stránke s prehľadom nástroja na nastavenie kliknite na Začíname. |
9 |
Na stránke Import ISO kliknite na Áno. |
10 |
Vyberte súbor ISO v prehliadači a nahrajte ho. Zabezpečte pripojenie k databáze na vykonávanie správy CMK. |
11 |
Prejdite na kartu Správa CMK nájomníka, kde nájdete nasledujúce tri spôsoby správy CMK nájomníka.
|
12 |
Po úspešnom vytvorení CMK sa stav v tabuľke zmení z čaká na správu CMK na spravované CMK. |
13 |
Ak je vytvorenie CMK neúspešné, zobrazí sa chyba. |
Odstrániť organizácie nájomníkov
Predtým, ako začnete
Po odstránení nebudú môcť používatelia zákazníckych organizácií využívať HDS na svoje šifrovacie potreby a stratia všetky existujúce priestory. Pred odstránením organizácií zákazníkov kontaktujte svojho partnera alebo správcu účtu Cisco.
1 |
Prihláste sa do https://admin.webex.com. |
2 |
V ponuke na ľavej strane obrazovky vyberte možnosť Služby. |
3 |
V sekcii Cloudové služby vyhľadajte Hybridné zabezpečenie údajov a kliknite na Zobraziť všetko. |
4 |
Na karte Zdroje kliknite na klaster, z ktorého chcete odstrániť organizácie zákazníkov. |
5 |
Na stránke, ktorá sa otvorí, kliknite na Priradení zákazníci. |
6 |
V zobrazenom zozname organizácií zákazníkov kliknite na ... na pravej strane organizácie zákazníka, ktorú chcete odstrániť, a potom kliknite na Odstrániť z klastra. |
Čo robiť ďalej
Dokončite proces odstránenia zrušením kľúčov CMK zákazníckych organizácií, ako je podrobne uvedené v časti Zrušenie kľúčov CMK nájomníkov odstránených z HDS.
Zrušiť kľúče nájomníkov odstránených z HDS.
Predtým, ako začnete
Odstráňte zákazníkov z príslušného klastra, ako je podrobne popísané v časti Odstránenie organizácií nájomníkov. Spustite nástroj HDS Setup a dokončite proces odstraňovania odstránených organizácií zákazníkov.
-
Nástroj na nastavenie HDS beží ako kontajner Docker na lokálnom počítači. Ak k nemu chcete získať prístup, spustite na danom počítači Docker. Proces nastavenia vyžaduje prihlasovacie údaje účtu Partner Hub s úplnými oprávneniami správcu pre vašu organizáciu.
Ak nástroj HDS Setup beží za proxy serverom vo vašom prostredí, zadajte nastavenia proxy servera (server, port, poverenia) prostredníctvom premenných prostredia Docker pri spustení kontajnera Docker v kroku 5. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Premenná
HTTP proxy bez overenia
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez overenia
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS proxy s overovaním
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč šifrujúci databázu PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny konfigurácie, ako napríklad:
-
Prihlasovacie údaje k databáze
-
Aktualizácie certifikátov
-
Zmeny v autorizačnej politike
-
-
Ak plánujete šifrovať pripojenia k databáze, nastavte si nasadenie PostgreSQL alebo SQL Servera pre TLS.
Proces inštalácie hybridného zabezpečenia údajov vytvorí súbor ISO. Potom použijete ISO súbor na konfiguráciu hostiteľa Hybrid Data Security.
1 |
Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie: V bežnom prostredí: V prostrediach FedRAMP: Tento krok vyčistí predchádzajúce obrazy z nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať. |
2 |
Ak sa chcete prihlásiť do registra obrazov Docker, zadajte nasledujúce: |
3 |
Pri zadávaní hesla zadajte tento hash: |
4 |
Stiahnite si najnovší stabilný obraz pre vaše prostredie: V bežnom prostredí: V prostrediach FedRAMP: |
5 |
Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:
Keď je kontajner spustený, zobrazí sa hlásenie „Server Express počúva na porte 8080“. |
6 |
Nástroj na nastavenie nepodporuje pripojenie k localhost cez http://localhost:8080. Na pripojenie k localhostu použite http://127.0.0.1:8080. Pomocou webového prehliadača prejdite na localhost, Nástroj použije toto prvé zadanie používateľského mena na nastavenie správneho prostredia pre daný účet. Nástroj potom zobrazí štandardnú prihlasovaciu výzvu. |
7 |
Po zobrazení výzvy zadajte svoje prihlasovacie údaje správcu Centra partnerov a potom kliknite na Prihlásiť sa, čím povolíte prístup k požadovaným službám pre hybridné zabezpečenie údajov. |
8 |
Na stránke s prehľadom nástroja na nastavenie kliknite na Začíname. |
9 |
Na stránke Import ISO kliknite na Áno. |
10 |
Vyberte súbor ISO v prehliadači a nahrajte ho. |
11 |
Prejdite na kartu Správa CMK nájomníka, kde nájdete nasledujúce tri spôsoby správy CMK nájomníka.
|
12 |
Po úspešnom zrušení CMK sa organizácia zákazníka už v tabuľke nezobrazí. |
13 |
Ak je zrušenie CMK neúspešné, zobrazí sa chyba. |
Otestujte si nasadenie hybridného zabezpečenia údajov
Otestujte si nasadenie hybridného zabezpečenia údajov
Predtým, ako začnete
-
Nastavte si nasadenie hybridného zabezpečenia údajov pre viacerých nájomcov.
-
Uistite sa, že máte prístup k systémovému denníku, aby ste overili, či sa požiadavky na kľúče odosielajú do vášho nasadenia hybridného zabezpečenia údajov pre viacerých klientov.
1 |
Kľúče pre daný priestor nastavuje tvorca priestoru. Prihláste sa do aplikácie Webex ako jeden z používateľov zákazníckej organizácie a potom vytvorte priestor. Ak deaktivujete nasadenie hybridného zabezpečenia údajov, obsah v priestoroch, ktoré používatelia vytvoria, už nebude prístupný po nahradení kópií šifrovacích kľúčov uložených v klientskej vyrovnávacej pamäti. |
2 |
Posielajte správy do nového priestoru. |
3 |
Skontrolujte výstup syslogu a overte, či sa požiadavky na kľúče odosielajú do vášho nasadenia hybridného zabezpečenia údajov. Ak používateľ novo pridanej zákazníckej organizácie vykoná akúkoľvek akciu, ID organizácie sa zobrazí v protokoloch a možno ho použiť na overenie, či organizácia využíva Multi-Tenant HDS. Skontrolujte hodnotu |
Monitorovanie stavu hybridnej bezpečnosti údajov
1 |
V Partnerskom centrevyberte v ponuke na ľavej strane obrazovky možnosť Služby. |
2 |
V sekcii Cloudové služby vyhľadajte položku Hybridné zabezpečenie údajov a kliknite na položku Upraviť nastavenia. Zobrazí sa stránka Nastavenia hybridného zabezpečenia údajov.
|
3 |
V sekcii E-mailové upozornenia zadajte jednu alebo viac e-mailových adries oddelených čiarkami a stlačte kláves Enter. |
Spravujte nasadenie HDS
Správa nasadenia HDS
Na správu nasadenia hybridného zabezpečenia údajov použite úlohy opísané v tomto dokumente.
Nastaviť plán aktualizácie klastra
Nastavenie plánu aktualizácie:
1 |
Prihláste sa do Centra partnerov. |
2 |
V ponuke na ľavej strane obrazovky vyberte možnosť Služby. |
3 |
V sekcii Cloudové služby vyhľadajte Hybridné zabezpečenie údajov a kliknite na Nastaviť |
4 |
Na stránke Hybrid Data Security Prosources (Zdroje hybridného zabezpečenia údajov) vyberte klaster. |
5 |
Kliknite na kartu Nastavenia klastra. |
6 |
Na stránke Nastavenia klastra v časti Plán aktualizácie vyberte čas a časové pásmo pre plán aktualizácie. Poznámka: Pod časovým pásmom sa zobrazuje dátum a čas najbližšej dostupnej aktualizácie. V prípade potreby môžete aktualizáciu odložiť na nasledujúci deň kliknutím na Odložiť o 24 hodín. |
Zmena konfigurácie uzla
-
Zmena certifikátov x.509 z dôvodu expirácie alebo z iných dôvodov.
Nepodporujeme zmenu názvu domény CN certifikátu. Doména sa musí zhodovať s pôvodnou doménou použitou na registráciu klastra.
-
Aktualizácia nastavení databázy na zmenu na repliku databázy PostgreSQL alebo Microsoft SQL Server.
Nepodporujeme migráciu údajov z PostgreSQL do Microsoft SQL Servera ani naopak. Ak chcete prepnúť databázové prostredie, spustite nové nasadenie hybridného zabezpečenia údajov.
-
Vytvorenie novej konfigurácie na prípravu nového dátového centra.
Z bezpečnostných dôvodov používa Hybrid Data Security aj heslá servisných účtov s deväťmesačnou životnosťou. Keď nástroj na nastavenie HDS vygeneruje tieto heslá, nasadíte ich na každý z uzlov HDS v konfiguračnom súbore ISO. Keď sa blíži koniec platnosti hesiel vašej organizácie, tím Webex vám pošle oznámenie o obnovení hesla pre váš počítačový účet. (E-mail obsahuje text „Na aktualizáciu hesla použite rozhranie API pre konto počítača.“) Ak platnosť vašich hesiel ešte nevypršala, nástroj vám ponúkne dve možnosti:
-
Mäkký reset— Staré aj nové heslo fungujú až 10 dní. Toto obdobie využite na postupnú výmenu ISO súboru na uzloch.
-
Tvrdý reset— Staré heslá okamžite prestanú fungovať.
Ak platnosť vašich hesiel vyprší bez resetovania, ovplyvní to vašu službu HDS a bude si to vyžadovať okamžitý tvrdý reset a výmenu súboru ISO na všetkých uzloch.
Pomocou tohto postupu vygenerujte nový konfiguračný súbor ISO a použite ho vo svojom klastri.
Predtým, ako začnete
-
Nástroj na nastavenie HDS beží ako kontajner Docker na lokálnom počítači. Ak k nemu chcete získať prístup, spustite na danom počítači Docker. Proces nastavenia vyžaduje prihlasovacie údaje účtu Partner Hub s plnými oprávneniami správcu partnera.
Ak nemáte licenciu Docker Desktop, môžete na spustenie nástroja HDS Setup pre kroky 1.a až 1.e v postupe nižšie použiť Podman Desktop. Podrobnosti nájdete v časti Spustenie nástroja HDS Setup pomocou nástroja Podman Desktop.
Ak nástroj HDS Setup beží za proxy serverom vo vašom prostredí, zadajte nastavenia proxy servera (server, port, prihlasovacie údaje) prostredníctvom premenných prostredia Docker pri spúšťaní kontajnera Docker v 1.e. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Premenná
HTTP proxy bez overenia
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez overenia
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS proxy s overovaním
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Na vygenerovanie novej konfigurácie potrebujete kópiu aktuálneho konfiguračného súboru ISO. ISO súbor obsahuje hlavný kľúč šifrujúci databázu PostgreSQL alebo Microsoft SQL Server. Súbor ISO potrebujete pri vykonávaní zmien konfigurácie vrátane poverení databázy, aktualizácií certifikátov alebo zmien v autorizačnej politike.
1 |
Pomocou Dockeru na lokálnom počítači spustite nástroj HDS Setup Tool. |
2 |
Ak máte spustený iba jeden uzol HDS, vytvorte nový virtuálny počítač uzla Hybrid Data Security a zaregistrujte ho pomocou nového konfiguračného súboru ISO. Podrobnejšie pokyny nájdete v časti Vytvorenie a registrácia ďalších uzlov. |
3 |
Pre existujúce uzly HDS, ktoré používajú starší konfiguračný súbor, pripojte súbor ISO. Nasledujúci postup vykonajte postupne na každom uzle a pred vypnutím ďalšieho uzla aktualizujte každý uzol: |
4 |
Zopakujte krok 3 a nahraďte konfiguráciu na každom zostávajúcom uzle, na ktorom je spustená stará konfigurácia. |
Vypnite režim blokovaného externého rozlišovania DNS
Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. Ak DNS server uzla nedokáže rozlíšiť verejné DNS názvy, uzol automaticky prejde do režimu blokovaného externého DNS rozpoznávania.
Ak vaše uzly dokážu prekladať verejné názvy DNS prostredníctvom interných serverov DNS, môžete tento režim vypnúť opätovným spustením testu pripojenia proxy na každom uzle.
Predtým, ako začnete
1 |
Vo webovom prehliadači otvorte rozhranie uzla Hybrid Data Security (IP address/setup, Napríklad https://192.0.2.0/setup), zadajte prihlasovacie údaje správcu, ktoré ste nastavili pre uzol, a potom kliknite na Prihlásiť sa. |
2 |
Prejdite na Prehľad (predvolená stránka). Keď je povolené, Blokované rozlíšenie externého DNS je nastavené na Áno. |
3 |
Prejsť do Trust Store & Stránka Proxy. |
4 |
Kliknite na Skontrolovať pripojenie proxy. Ak sa zobrazí správa, že externé rozlíšenie DNS nebolo úspešné, uzol sa nemohol pripojiť k serveru DNS a zostane v tomto režime. V opačnom prípade by po reštarte uzla a návrate na stránku Prehľad malo byť pre možnosť Blokované externé rozlíšenie DNS nastavené na hodnotu nie. |
Čo robiť ďalej
Odstrániť uzol
1 |
Pomocou klienta VMware vSphere na vašom počítači sa prihláste do virtuálneho hostiteľa ESXi a vypnite virtuálny počítač. |
2 |
Odstráňte uzol: |
3 |
V klientovi vSphere odstráňte virtuálny počítač. (V ľavom navigačnom paneli kliknite pravým tlačidlom myši na virtuálny počítač a potom kliknite na položku Odstrániť.) Ak virtuálny počítač neodstránite, nezabudnite odpojiť konfiguračný súbor ISO. Bez súboru ISO nemôžete použiť virtuálny počítač na prístup k svojim bezpečnostným údajom. |
Obnova po havárii pomocou záložného dátového centra
Najdôležitejšou službou, ktorú poskytuje váš klaster hybridnej bezpečnosti údajov, je vytváranie a ukladanie kľúčov používaných na šifrovanie správ a iného obsahu uloženého v cloude Webex. Pre každého používateľa v organizácii, ktorý je priradený k hybridnej bezpečnosti údajov, sa nové požiadavky na vytvorenie kľúča smerujú do klastra. Klaster je tiež zodpovedný za vrátenie kľúčov, ktoré vytvoril, všetkým používateľom oprávneným na ich načítanie, napríklad členom konverzačného priestoru.
Keďže klaster vykonáva kľúčovú funkciu poskytovania týchto kľúčov, je nevyhnutné, aby klaster zostal v prevádzke a aby sa udržiavali správne zálohy. Strata databázy Hybrid Data Security alebo konfiguračného ISO súboru použitého pre schému bude mať za následok NENAHRADITEĽNÚ STRATU obsahu zákazníka. Na zabránenie takejto straty sú povinné nasledujúce postupy:
Ak havária spôsobí, že nasadenie HDS v primárnom dátovom centre nebude k dispozícii, postupujte podľa tohto postupu a manuálne prepnite systém do záložného dátového centra.
Predtým, ako začnete
1 |
Spustite nástroj HDS Setup a postupujte podľa krokov uvedených v časti Vytvorenie konfiguračného ISO súboru pre hostiteľov HDS. |
2 |
Dokončite proces konfigurácie a uložte súbor ISO na ľahko dostupné miesto. |
3 |
Vytvorte záložnú kópiu súboru ISO na vašom lokálnom systéme. Záložnú kópiu uschovajte bezpečne. Tento súbor obsahuje hlavný šifrovací kľúč pre obsah databázy. Obmedzte prístup iba na tých správcov hybridnej ochrany údajov, ktorí by mali vykonávať zmeny konfigurácie. |
4 |
V ľavom navigačnom paneli klienta VMware vSphere kliknite pravým tlačidlom myši na virtuálny počítač a potom kliknite na položku Upraviť nastavenia. |
5 |
Kliknite na Upraviť nastavenia >CD/DVD Jednotka 1 a vyberte Súbor ISO úložiska dát. Uistite sa, že sú začiarknuté políčka Pripojené a Pripojiť pri zapnutí, aby sa aktualizované zmeny konfigurácie mohli prejaviť po spustení uzlov. |
6 |
Zapnite uzol HDS a uistite sa, že aspoň 15 minút nie sú spustené žiadne alarmy. |
7 |
Zaregistrujte uzol v centre pre partnerov. Pozrite si Zaregistrujte prvý uzol v klastri. |
8 |
Zopakujte postup pre každý uzol v záložnom dátovom centre. |
Čo robiť ďalej
(Voliteľné) Odpojenie ISO po konfigurácii HDS
Štandardná konfigurácia HDS beží s namontovaným ISO. Niektorí zákazníci však radšej nenechávajú súbory ISO pripojené nepretržite. Súbor ISO môžete odpojiť po tom, ako všetky uzly HDS prevezmú novú konfiguráciu.
Súbory ISO stále používate na vykonávanie zmien konfigurácie. Keď vytvoríte nový ISO súbor alebo aktualizujete ISO súbor pomocou nástroja Setup Tool, musíte pripojiť aktualizovaný ISO súbor na všetky uzly HDS. Keď všetky vaše uzly prevezmú zmeny konfigurácie, môžete ISO súbor znova odpojiť pomocou tohto postupu.
Predtým, ako začnete
Aktualizujte všetky svoje uzly HDS na verziu 2021.01.22.4720 alebo novšiu.
1 |
Vypnite jeden z uzlov HDS. |
2 |
V zariadení vCenter Server Appliance vyberte uzol HDS. |
3 |
Vyberte Súbor ISO úložiska údajov. a zrušte začiarknutie |
4 |
Zapnite uzol HDS a uistite sa, že aspoň 20 minút nie sú spustené žiadne alarmy. |
5 |
Opakujte postupne pre každý uzol HDS. |
Riešenie problémov s hybridnou bezpečnosťou údajov
Zobraziť upozornenia a riešenie problémov
Nasadenie hybridnej ochrany údajov sa považuje za nedostupné, ak sú všetky uzly v klastri nedostupné alebo ak klaster pracuje tak pomaly, že vyžaduje časový limit. Ak sa používatelia nemôžu dostať k vášmu klastru Hybrid Data Security, vyskytnú sa u nich nasledujúce príznaky:
-
Nové priestory nie je možné vytvoriť (nemožno vytvoriť nové kľúče)
-
Správy a názvy priestorov sa nepodarilo dešifrovať pre:
-
Do priestoru boli pridaní noví používatelia (nepodarilo sa načítať kľúče)
-
Existujúci používatelia v priestore používajúci nového klienta (nepodarilo sa im načítať kľúče)
-
-
Existujúci používatelia v priestore budú naďalej úspešne fungovať, pokiaľ ich klienti majú vyrovnávaciu pamäť šifrovacích kľúčov.
Je dôležité, aby ste riadne monitorovali svoj klaster Hybrid Data Security a promptne riešili všetky upozornenia, aby ste predišli prerušeniu služby.
Upozornenia
Ak sa vyskytne problém s nastavením hybridného zabezpečenia údajov, Centrum partnerov zobrazí upozornenia správcovi organizácie a odošle e-maily na nakonfigurovanú e-mailovú adresu. Upozornenia pokrývajú mnoho bežných scenárov.
Upozornenie |
Akcia |
---|---|
Zlyhanie prístupu k lokálnej databáze. |
Skontrolujte chyby databázy alebo problémy s lokálnou sieťou. |
Zlyhanie pripojenia k lokálnej databáze. |
Skontrolujte, či je databázový server dostupný a či boli v konfigurácii uzla použité správne prihlasovacie údaje servisného účtu. |
Zlyhanie prístupu ku cloudovej službe. |
Skontrolujte, či uzly majú prístup k serverom Webex, ako je uvedené v časti Požiadavky na externé pripojenie. |
Obnovenie registrácie cloudovej služby. |
Registrácia do cloudových služieb bola zrušená. Prebieha obnovenie registrácie. |
Registrácia cloudovej služby bola zrušená. |
Registrácia do cloudových služieb bola ukončená. Služba sa vypína. |
Služba ešte nie je aktivovaná. |
Aktivujte HDS v Centre pre partnerov. |
Nakonfigurovaná doména nezodpovedá certifikátu servera. |
Uistite sa, že certifikát vášho servera zodpovedá nakonfigurovanej doméne aktivácie služby. Najpravdepodobnejšou príčinou je, že CN certifikátu bolo nedávno zmenené a teraz sa líši od CN, ktoré bolo použité počas počiatočného nastavenia. |
Nepodarilo sa overiť totožnosť v cloudových službách. |
Skontrolujte presnosť a prípadné vypršanie platnosti poverení servisného účtu. |
Nepodarilo sa otvoriť lokálny súbor úložiska kľúčov. |
Skontrolujte integritu a presnosť hesla v lokálnom súbore úložiska kľúčov. |
Certifikát lokálneho servera je neplatný. |
Skontrolujte dátum exspirácie certifikátu servera a potvrďte, že ho vydala dôveryhodná certifikačná autorita. |
Nepodarilo sa uverejniť metriky. |
Skontrolujte prístup lokálnej siete k externým cloudovým službám. |
/media/configdrive/hds adresár neexistuje. |
Skontrolujte konfiguráciu pripojenia ISO na virtuálnom hostiteľovi. Overte, či súbor ISO existuje, či je nakonfigurovaný na pripojenie po reštarte a či sa pripojenie úspešne uskutoční. |
Nastavenie organizácie nájomníka nie je dokončené pre pridané organizácie |
Dokončite nastavenie vytvorením CMK pre novo pridané organizácie nájomníkov pomocou nástroja HDS Setup Tool. |
Nastavenie organizácie nájomníka nie je dokončené pre odstránené organizácie |
Dokončite nastavenie zrušením kľúčov CMK pre organizácie nájomníkov, ktoré boli odstránené pomocou nástroja HDS Setup Tool. |
Riešenie problémov s hybridnou bezpečnosťou údajov
1 |
Skontrolujte Centrum partnerov, či v ňom nie sú nejaké upozornenia, a opravte všetky položky, ktoré tam nájdete. Pozrite si obrázok nižšie pre porovnanie. |
2 |
Skontrolujte výstup servera syslog, či neobsahuje aktivitu z nasadenia hybridného zabezpečenia údajov. Filtrujte slová ako „Upozornenie“ a „Chyba“, ktoré vám pomôžu pri riešení problémov. |
3 |
Kontaktujte podporu spoločnosti Cisco. |
Ďalšie poznámky
Známe problémy s hybridnou bezpečnosťou údajov
-
Ak vypnete svoj klaster Hybrid Data Security (jeho odstránením v Partner Hub alebo vypnutím všetkých uzlov), stratíte konfiguračný súbor ISO alebo stratíte prístup k databáze úložiska kľúčov, používatelia aplikácie Webex v organizáciách zákazníkov už nebudú môcť používať priestory v zozname ľudí, ktoré boli vytvorené pomocou kľúčov z vášho KMS. Momentálne nemáme riešenie ani opravu tohto problému a naliehavo vás žiadame, aby ste nevypínali služby HDS, keď už spracovávajú aktívne používateľské účty.
-
Klient, ktorý má existujúce pripojenie ECDH k KMS, udržiava toto pripojenie určitý čas (pravdepodobne jednu hodinu).
Spustite nástroj HDS Setup pomocou aplikácie Podman Desktop
Podman je bezplatný nástroj na správu kontajnerov s otvoreným zdrojovým kódom, ktorý poskytuje spôsob, ako spúšťať, spravovať a vytvárať kontajnery. Aplikáciu Podman Desktop si môžete stiahnuť z https://podman-desktop.io/downloads.
-
Nástroj na nastavenie HDS beží ako kontajner Docker na lokálnom počítači. Ak k nemu chcete získať prístup, stiahnite a spustite Podman na danom počítači. Proces nastavenia vyžaduje prihlasovacie údaje účtu Control Hub s úplnými oprávneniami správcu pre vašu organizáciu.
Ak nástroj HDS Setup beží za proxy serverom vo vašom prostredí, pri spúšťaní kontajnera Docker v kroku 5 zadajte nastavenia proxy servera (server, port, poverenia) prostredníctvom premenných prostredia Docker. Táto tabuľka uvádza niektoré možné premenné prostredia:
Opis
Premenná
HTTP proxy bez overenia
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez overenia
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP proxy s autentifikáciou
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS proxy s overovaním
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Konfiguračný súbor ISO, ktorý vygenerujete, obsahuje hlavný kľúč šifrujúci databázu PostgreSQL alebo Microsoft SQL Server. Najnovšiu kópiu tohto súboru potrebujete vždy, keď vykonáte zmeny konfigurácie, ako napríklad:
-
Prihlasovacie údaje k databáze
-
Aktualizácie certifikátov
-
Zmeny v autorizačnej politike
-
-
Ak plánujete šifrovať pripojenia k databáze, nastavte si nasadenie PostgreSQL alebo SQL Servera pre TLS.
Proces inštalácie hybridného zabezpečenia údajov vytvorí súbor ISO. Potom použijete ISO súbor na konfiguráciu hostiteľa Hybrid Data Security.
1 |
Do príkazového riadka vášho počítača zadajte príslušný príkaz pre vaše prostredie: V bežnom prostredí: V prostrediach FedRAMP: Tento krok vyčistí predchádzajúce obrazy z nástroja na nastavenie HDS. Ak neexistujú žiadne predchádzajúce obrázky, vráti chybu, ktorú môžete ignorovať. |
2 |
Ak sa chcete prihlásiť do registra obrazov Docker, zadajte nasledujúce: |
3 |
Pri zadávaní hesla zadajte tento hash: |
4 |
Stiahnite si najnovší stabilný obraz pre vaše prostredie: V bežnom prostredí: V prostrediach FedRAMP: |
5 |
Po dokončení sťahovania zadajte príslušný príkaz pre vaše prostredie:
Keď je kontajner spustený, zobrazí sa hlásenie „Server Express počúva na porte 8080“. |
Čo robiť ďalej
Presunúť existujúce nasadenie HDS pre jedného nájomníka partnerskej organizácie v Control Hub do nastavenia HDS pre viacerých nájomníkov v Partner Hub
Konverzia z existujúceho nasadenia HDS pre jedného nájomníka partnerskej organizácie spravovaného v Control Hub na nasadenie HDS pre viacerých nájomníkov spravované v Partner Hub zahŕňa predovšetkým deaktiváciu služby HDS v Control Hub, zrušenie registrácie uzlov a odstránenie klastra. Potom sa môžete prihlásiť do Partner Hub, zaregistrovať uzly, aktivovať Multi-Tenant HDS a pridať zákazníkov do svojho klastra.
Pojem „single-tenant“ jednoducho označuje existujúce nasadenie HDS v Control Hub.
Deaktivácia HDS, zrušenie registrácie uzlov a odstránenie klastra v Control Hub
1 |
Prihláste sa do Control Hubu. Na ľavej table kliknite na Hybrid. Na karte Hybridné zabezpečenie údajov kliknite na Upraviť nastavenia. |
2 |
Na stránke nastavení prejdite nadol do sekcie Deaktivovať a kliknite na Deaktivovať. |
3 |
Po deaktivácii kliknite na kartu Zdroje. |
4 |
Stránka Zdroje zobrazuje zoznam klastrov vo vašom nasadení HDS. Kliknutím na klaster sa otvorí stránka so všetkými uzlami v danom klastri. |
5 |
Kliknite na ... vpravo a potom na Zrušiť registráciu uzla. Zopakujte postup pre všetky uzly v klastri. |
6 |
Ak má vaše nasadenie viacero klastrov, opakujte kroky 4 a 5, kým nezrušíte registráciu všetkých uzlov. |
7 |
Kliknite na Nastavenia klastra > Odstrániť. |
8 |
Kliknite na Potvrdiť odstránenie pre zrušenie registrácie klastra. |
9 |
Zopakujte postup pre všetky klastre vo vašom nasadení HDS. Po deaktivácii HDS, zrušení registrácie uzlov a odstránení klastrov sa na karte Hybrid Data Service v Control Hub v dolnej časti zobrazí správa Nastavenie nebolo dokončené. |
Aktivujte Multi-Tenant HDS pre partnerskú organizáciu v Partner Hub a pridajte zákazníkov
Predtým, ako začnete
Všetky predpoklady uvedené v Požiadavky na zabezpečenie hybridných údajov pre viacerých nájomcov platia aj tu. Okrem toho sa uistite, že počas presunu na systém Multi-Tenant HDS sa používa rovnaká databáza a certifikáty.
1 |
Prihláste sa do Centra partnerov. V ľavom paneli kliknite na položku Služby. Na konfiguráciu uzlov použite rovnaký ISO súbor z predchádzajúceho nasadenia HDS. Tým sa zabezpečí, že správy a obsah vygenerovaný používateľmi v predchádzajúcom existujúcom nasadení HDS budú stále dostupné aj v novom nastavení pre viacerých nájomcov. |
2 |
V sekcii Cloudové služby vyhľadajte kartu Hybridné zabezpečenie údajov a kliknite na Nastaviť. |
3 |
Na stránke, ktorá sa otvorí, kliknite na Pridať zdroj. |
4 |
Do prvého poľa karty Pridať uzol zadajte názov klastra, ku ktorému chcete priradiť uzol Hybrid Data Security. Odporúčame pomenovať klaster na základe geografickej polohy uzlov klastra. Príklady: „San Francisco“ alebo „New York“ alebo „Dallas“ |
5 |
Do druhého poľa zadajte internú IP adresu alebo plne kvalifikovaný názov domény (FQDN) vášho uzla a kliknite na tlačidlo Pridať v dolnej časti obrazovky. Táto IP adresa alebo FQDN by sa mala zhodovať s IP adresou alebo názvom hostiteľa a doménou, ktoré ste použili v Nastavenie virtuálneho počítača Hybrid Data Security. Zobrazí sa správa s informáciou, že môžete zaregistrovať svoj uzol do Webexu.
|
6 |
Kliknite na Prejsť na uzol. Po chvíli budete presmerovaní na testy pripojenia uzlov pre služby Webex. Ak sú všetky testy úspešné, zobrazí sa stránka Povoliť prístup k uzlu hybridného zabezpečenia údajov. Tam potvrdíte, že chcete udeliť svojej organizácii Webex povolenia na prístup k vášmu uzlu. |
7 |
Začiarknite políčko Povoliť prístup k vášmu hybridnému uzlu zabezpečenia údajov a potom kliknite na tlačidlo Pokračovať. Váš účet je overený a správa „Registrácia dokončená“ označuje, že váš uzol je teraz zaregistrovaný v cloude Webex. Na stránke Hybridná bezpečnosť údajov sa v časti Zdroje zobrazí nový klaster obsahujúci uzol, ktorý ste zaregistrovali. Uzol automaticky stiahne najnovší softvér z cloudu.
|
8 |
Prejdite na kartu Nastavenia a kliknite na položku Aktivovať na karte Stav HDS. V dolnej časti obrazovky sa zobrazí správaAktivovaný HDS.
|
9 |
V časti Zdrojekliknite na novovytvorený klaster. |
10 |
Na otvorenej stránke kliknite na kartu Priradení zákazníci. |
11 |
Kliknite na Pridať zákazníkov. |
12 |
Z rozbaľovacej ponuky vyberte zákazníka, ktorého chcete pridať. |
13 |
Kliknite na Pridať, zákazník bude pridaný do klastra. |
14 |
Ak chcete do klastra pridať viacerých zákazníkov, zopakujte kroky 11 až 13. |
15 |
Po pridaní zákazníkov kliknite na tlačidlo Hotovo v dolnej časti obrazovky. |
Čo robiť ďalej
Použitie OpenSSL na generovanie súboru PKCS12
Predtým, ako začnete
-
OpenSSL je jeden z nástrojov, ktorý možno použiť na vytvorenie súboru PKCS12 v správnom formáte na načítanie v nástroji HDS Setup Tool. Existujú aj iné spôsoby, ako to dosiahnuť, a my nepodporujeme ani nepresadzujeme jeden spôsob na úkor druhého.
-
Ak sa rozhodnete používať OpenSSL, tento postup poskytujeme ako návod, ktorý vám pomôže vytvoriť súbor, ktorý spĺňa požiadavky na certifikát X.509 v Požiadavky na certifikát X.509. Predtým, ako budete pokračovať, pochopte tieto požiadavky.
-
Nainštalujte OpenSSL v podporovanom prostredí. Softvér a dokumentáciu nájdete v časti https://www.openssl.org.
-
Vytvorte si súkromný kľúč.
-
Spustite tento postup, keď dostanete certifikát servera od certifikačnej autority (CA).
1 |
Keď dostanete certifikát servera od certifikačnej autority, uložte ho ako |
2 |
Zobraziť certifikát ako text a overiť podrobnosti.
|
3 |
Na vytvorenie súboru balíka certifikátov s názvom
|
4 |
Vytvorte súbor .p12 s priateľským názvom
|
5 |
Skontrolujte podrobnosti certifikátu servera. |
Čo robiť ďalej
Späť na Dokončite predpoklady pre hybridnú bezpečnosť údajov. Súbor hdsnode.p12
a heslo, ktoré ste preň nastavili, použijete v časti Vytvorenie konfiguračného ISO súboru pre hostiteľov HDS.
Tieto súbory môžete znova použiť na vyžiadanie nového certifikátu po vypršaní platnosti pôvodného certifikátu.
Prevádzka medzi uzlami HDS a cloudom
Odchádzajúca návštevnosť zhromažďovania metrík
Uzly hybridnej ochrany údajov odosielajú do cloudu Webex určité metriky. Patria sem systémové metriky pre maximálnu kapacitu haldy, využitú kapacitu haldy, zaťaženie CPU a počet vlákien; metriky synchrónnych a asynchrónnych vlákien; metriky upozornení týkajúcich sa prahovej hodnoty šifrovaných pripojení, latencie alebo dĺžky frontu požiadaviek; metriky úložiska údajov; a metriky šifrovaných pripojení. Uzly odosielajú šifrovaný kľúčový materiál cez kanál mimo pásma (oddelený od požiadavky).
Prichádzajúca prevádzka
Uzly Hybrid Data Security prijímajú z cloudu Webex nasledujúce typy prichádzajúcej prevádzky:
-
Žiadosti o šifrovanie od klientov, ktoré sú smerované šifrovacou službou
-
Aktualizácie softvéru uzla
Konfigurácia proxy serverov Squid pre hybridnú bezpečnosť dát
Websocket sa nemôže pripojiť cez proxy Squid
Proxy servery Squid, ktoré kontrolujú HTTPS prevádzku, môžu narúšať nadväzovanie pripojení websocket (wss:
), ktoré vyžaduje hybridná bezpečnosť údajov. Tieto časti poskytujú návod, ako nakonfigurovať rôzne verzie Squidu tak, aby ignorovali wss:
prevádzku pre správne fungovanie služieb.
Chobotnice 4 a 5
Pridajte direktívu on_unsupported_protocol
do squid.conf
:
on_unsupported_protocol tunnel all
Chobotnica 3.5.27
Úspešne sme otestovali hybridnú bezpečnosť údajov s nasledujúcimi pravidlami pridanými do squid.conf
. Tieto pravidlá sa môžu zmeniť, pretože vyvíjame funkcie a aktualizujeme cloudové služby Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all