- Domov
- /
- Članek
Vodnik za namestitev hibridnega sistema Webex za varnost podatkov
Nove in spremenjene informacije
Datum | Izvedene spremembe | ||
---|---|---|---|
20. oktober 2023 |
| ||
7. avgust 2023 |
| ||
23. maj 2023 |
| ||
6. december 2022 |
| ||
23. november 2022 |
| ||
13. oktober 2021 | Docker Desktop mora zagnati namestitveni program, preden lahko namestite vozlišča HDS. glej Zahteve za namizje Docker. | ||
24. junij 2021 | Upoštevajte, da lahko znova uporabite datoteko zasebnega ključa in CSR, da zahtevate drugo potrdilo. glej Uporabite OpenSSL za ustvarjanje datoteke PKCS12 za podrobnosti. | ||
30. april 2021 | Zahteva VM za lokalni prostor na trdem disku je spremenjena na 30 GB. glej Zahteve za virtualnega gostitelja za podrobnosti. | ||
24. februar 2021 | Orodje za nastavitev HDS lahko zdaj deluje za posrednikom. glej Ustvarite konfiguracijski ISO za gostitelje HDS za podrobnosti. | ||
2. februar 2021 | HDS lahko zdaj deluje brez nameščene datoteke ISO. glej (Izbirno) Odpni ISO po konfiguraciji HDS za podrobnosti. | ||
11. januar 2021 | Dodane informacije o orodju za nastavitev HDS in proxyjih za Ustvarite konfiguracijski ISO za gostitelje HDS. | ||
13. oktober 2020 | Posodobljeno Prenesite namestitvene datoteke. | ||
8. oktober 2020 | Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča z ukazi za okolja FedRAMP. | ||
14. avgust 2020 | Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča s spremembami postopka prijave. | ||
5. avgust 2020 | Posodobljeno Preizkusite svojo hibridno uvedbo varnosti podatkov za spremembe v dnevniških sporočilih. Posodobljeno Zahteve za virtualnega gostitelja da odstranite največje število gostiteljev. | ||
16. junij 2020 | Posodobljeno Odstranite vozlišče za spremembe v uporabniškem vmesniku Control Hub. | ||
4. junij 2020 | Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS za spremembe v naprednih nastavitvah, ki jih lahko nastavite. | ||
29. maj 2020 | Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS da pokažete, da lahko TLS uporabljate tudi z bazami podatkov SQL Server, spremembami uporabniškega vmesnika in drugimi pojasnili. | ||
5. maj 2020 | Posodobljeno Zahteve za virtualnega gostitelja za prikaz novih zahtev ESXi 6.5. | ||
21. april 2020 | Posodobljeno Zahteve za zunanjo povezljivost z novimi gostitelji CI Amerike. | ||
1. april 2020 | Posodobljeno Zahteve za zunanjo povezljivost z informacijami o regionalnih gostiteljih CI. | ||
20. februar 2020 | Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS z informacijami o novem izbirnem zaslonu z naprednimi nastavitvami v orodju za nastavitev HDS. | ||
4. februar 2020 | Posodobljeno Zahteve za strežnik proxy. | ||
16. december 2019 | Pojasnjena je zahteva za delovanje v načinu blokiranega zunanjega razreševanja DNS Zahteve za strežnik proxy. | ||
19. november 2019 | Dodane informacije o načinu razreševanja blokiranega zunanjega DNS-ja v naslednjih razdelkih: | ||
8. november 2019 | Zdaj lahko konfigurirate omrežne nastavitve za vozlišče med uvajanjem OVA in ne pozneje. Ustrezno posodobljeni naslednji razdelki:
| ||
6. september 2019 | Dodan SQL Server Standard Zahteve za strežnik baze podatkov. | ||
29. avgust 2019 | Dodano Konfigurirajte posrednike Squid za hibridno varnost podatkov dodatek z navodili za konfiguriranje proxyjev Squid, da za pravilno delovanje prezrejo promet spletnih vtičnic. | ||
20. avgust 2019 | Dodani in posodobljeni razdelki za pokrivanje podpore posrednika za komunikacije vozlišča Hybrid Data Security z oblakom Webex. Za dostop samo do podporne vsebine proxyja za obstoječo uvedbo glejte Proxy podpora za Hybrid Data Security in Webex Video Mesh članek za pomoč. | ||
13. junij 2019 | Posodobljeno Potek naloge od preizkusa do proizvodnje z opomnikom za sinhronizacijo HdsTrialGroup predmet skupine pred začetkom preizkusa, če vaša organizacija uporablja sinhronizacijo imenikov. | ||
6. marec 2019 |
| ||
28. februar 2019 |
| ||
26. februar 2019 |
| ||
24. januar 2019 |
| ||
5. november 2018 |
| ||
19. oktober 2018 |
| ||
31. julij 2018 |
| ||
21. maj 2018 | Spremenjena terminologija, ki odraža preimenovanje Cisco Spark:
| ||
11. april 2018 |
| ||
22. februar 2018 |
| ||
15. februar 2018 |
| ||
18. januar 2018 |
| ||
2. november 2017 |
| ||
18. avgust 2017 | Prvič objavljeno |
Pregled varnosti hibridnih podatkov
Od prvega dne je bila varnost podatkov glavni poudarek pri oblikovanju Aplikacija Webex. Temelj te varnosti je šifriranje vsebine od konca do konca, ki ga omogoča Aplikacija Webex stranke, ki komunicirajo s storitvijo upravljanja ključev (KMS). KMS je odgovoren za ustvarjanje in upravljanje kriptografskih ključev, ki jih stranke uporabljajo za dinamično šifriranje in dešifriranje sporočil in datotek.
Privzeto vse Aplikacija Webex stranke dobijo šifriranje od konca do konca z dinamičnimi ključi, shranjenimi v oblaku KMS, v Ciscovem varnostnem področju. Hybrid Data Security premakne KMS in druge funkcije, povezane z varnostjo, v podatkovni center vašega podjetja, tako da nihče drug kot vi nima ključev do vaše šifrirane vsebine.
Arhitektura varnostnega področja
Arhitektura oblaka Webex ločuje različne vrste storitev v ločena področja ali domene zaupanja, kot je prikazano spodaj.
Za nadaljnje razumevanje hibridne varnosti podatkov si najprej oglejmo ta čisti oblak, kjer Cisco zagotavlja vse funkcije v svojem oblaku. Storitev identitete, edino mesto, kjer so uporabniki lahko neposredno povezani z njihovimi osebnimi podatki, kot je e-poštni naslov, je logično in fizično ločena od varnostnega področja v podatkovnem centru B. Oboje je ločeno od področja, kjer je na koncu shranjena šifrirana vsebina. , v podatkovnem centru C.
V tem diagramu je odjemalec aplikacija Webex, ki se izvaja na prenosnem računalniku uporabnika in je bila overjena s storitvijo identitete. Ko uporabnik sestavi sporočilo za pošiljanje v prostor, potekajo naslednji koraki:
Odjemalec vzpostavi varno povezavo s storitvijo za upravljanje ključev (KMS), nato pa zahteva ključ za šifriranje sporočila. Varna povezava uporablja ECDH, KMS pa šifrira ključ z glavnim ključem AES-256.
Sporočilo je šifrirano, preden zapusti odjemalca. Odjemalec ga pošlje storitvi indeksiranja, ki ustvari šifrirane iskalne indekse za pomoč pri prihodnjih iskanjih vsebine.
Šifrirano sporočilo je poslano storitvi skladnosti za preverjanje skladnosti.
Šifrirano sporočilo je shranjeno v območju shranjevanja.
Ko uvedete Hybrid Data Security, premaknete funkcije varnostnega področja (KMS, indeksiranje in skladnost) v vaš lokalni podatkovni center. Druge storitve v oblaku, ki sestavljajo Webex (vključno s shranjevanjem identitete in vsebine), ostajajo v domeni Cisca.
Sodelovanje z drugimi organizacijami
Uporabniki v vaši organizaciji lahko redno uporabljajo aplikacijo Webex za sodelovanje z zunanjimi udeleženci v drugih organizacijah. Ko eden od vaših uporabnikov zahteva ključ za prostor, ki je v lasti vaše organizacije (ker ga je ustvaril eden od vaših uporabnikov), vaš KMS pošlje ključ odjemalcu prek zaščitenega kanala ECDH. Ko pa ima druga organizacija ključ za prostor, vaš KMS usmeri zahtevo v oblak Webex prek ločenega kanala ECDH, da pridobi ključ od ustreznega KMS, in nato vrne ključ vašemu uporabniku na izvirnem kanalu.
Storitev KMS, ki se izvaja v organizaciji A, preverja povezave s KMS-ji v drugih organizacijah z uporabo potrdil x.509 PKI. glej Pripravite svoje okolje za podrobnosti o ustvarjanju potrdila x.509 za uporabo z vašo uvedbo Hybrid Data Security.
Pričakovanja glede uvajanja hibridne varnosti podatkov
Uvedba hibridne varnosti podatkov zahteva veliko predanost strank in zavedanje tveganj, ki jih prinaša posedovanje šifrirnih ključev.
Za uvedbo Hybrid Data Security morate zagotoviti:
Varen podatkovni center v državi, ki je a podprto lokacijo za načrte Cisco Webex Teams.
Oprema, programska oprema in dostop do omrežja, opisani v Pripravite svoje okolje.
Popolna izguba konfiguracije ISO, ki jo zgradite za Hybrid Data Security, ali baze podatkov, ki jo zagotovite, bo povzročila izgubo ključev. Izguba ključa uporabnikom prepreči dešifriranje prostorske vsebine in drugih šifriranih podatkov v aplikaciji Webex. Če se to zgodi, lahko zgradite novo uvedbo, vendar bo vidna samo nova vsebina. Da preprečite izgubo dostopa do podatkov, morate:
Upravljajte varnostno kopiranje in obnovitev baze podatkov in konfiguracije ISO.
Bodite pripravljeni izvesti hitro obnovitev po katastrofi, če pride do katastrofe, kot je okvara diska baze podatkov ali katastrofa podatkovnega centra.
Ni mehanizma za premik ključev nazaj v oblak po uvedbi HDS. |
Postopek namestitve na visoki ravni
Ta dokument pokriva nastavitev in upravljanje uvedbe Hybrid Data Security:
Nastavite hibridno varnost podatkov— To vključuje pripravo zahtevane infrastrukture in namestitev programske opreme Hybrid Data Security, testiranje vaše uvedbe s podnaborom uporabnikov v preskusnem načinu in, ko je vaše testiranje končano, premik v proizvodnjo. To pretvori celotno organizacijo v uporabo vaše Hybrid Data Security gruče za varnostne funkcije.
Faze nastavitve, preizkusa in proizvodnje so podrobno obravnavane v naslednjih treh poglavjih.
Ohranite svojo uvedbo Hybrid Data Security— Oblak Webex samodejno zagotavlja stalne nadgradnje. Vaš IT oddelek lahko zagotovi podporo prve stopnje za to uvedbo in po potrebi vključi podporo Cisco. V Control Hubu lahko uporabite obvestila na zaslonu in nastavite opozorila po e-pošti.
Razumevanje pogostih opozoril, korakov za odpravljanje težav in znanih težav—Če naletite na težave pri uvajanju ali uporabi Hybrid Data Security, vam lahko zadnje poglavje tega vodnika in dodatek Znane težave pomagata ugotoviti in odpraviti težavo.
Hibridni model uvajanja varnosti podatkov
Znotraj podatkovnega centra vašega podjetja namestite Hybrid Data Security kot eno samo gručo vozlišč na ločenih virtualnih gostiteljih. Vozlišča komunicirajo z oblakom Webex prek varnih spletnih vtičnic in varnega HTTP-ja.
Med postopkom namestitve vam zagotovimo datoteko OVA za nastavitev virtualne naprave na VM, ki jih zagotovite. Z orodjem za nastavitev HDS ustvarite datoteko ISO konfiguracije gruče po meri, ki jo namestite na vsako vozlišče. Grozd Hybrid Data Security uporablja strežnik Syslogd, ki ste ga zagotovili, in bazo podatkov PostgreSQL ali Microsoft SQL Server. (Syslogd in podrobnosti o povezavi baze podatkov konfigurirate v orodju za namestitev HDS.)
Najmanjše število vozlišč, ki jih lahko imate v gruči, sta dve. Priporočamo vsaj tri, lahko pa tudi do pet. Če imate več vozlišč, zagotovite, da storitev ni prekinjena med nadgradnjo programske opreme ali drugo vzdrževalno dejavnostjo na vozlišču. (Oblak Webex nadgrajuje samo eno vozlišče naenkrat.)
Vsa vozlišča v gruči dostopajo do iste shrambe ključnih podatkov in beležijo dejavnost v isti strežnik syslog. Sama vozlišča so brez stanja in obravnavajo ključne zahteve na krožni način, po navodilih oblaka.
Vozlišča postanejo aktivna, ko jih registrirate v Control Hub. Če želite posamezno vozlišče izključiti iz uporabe, ga lahko odjavite in pozneje po potrebi znova registrirate.
Podpiramo samo eno gručo na organizacijo.
Preizkusni način hibridne varnosti podatkov
Ko nastavite uvedbo Hybrid Data Security, jo najprej preizkusite z nizom pilotnih uporabnikov. Med preskusnim obdobjem ti uporabniki uporabljajo vašo domeno Hybrid Data Security na mestu uporabe za šifrirne ključe in druge storitve varnostnega področja. Vaši drugi uporabniki še naprej uporabljajo varnostno področje oblaka.
Če se med preskusnim obdobjem odločite, da ne boste nadaljevali z uvajanjem in deaktivirate storitev, bodo pilotni uporabniki in vsi uporabniki, s katerimi so sodelovali z ustvarjanjem novih prostorov med preskusnim obdobjem, izgubili dostop do sporočil in vsebine. V aplikaciji Webex bodo videli »Tega sporočila ni mogoče dešifrirati«.
Če ste zadovoljni, da vaša uvedba dobro deluje za preskusne uporabnike in ste pripravljeni razširiti Hybrid Data Security na vse svoje uporabnike, premaknite uvedbo v produkcijo. Pilotni uporabniki imajo še naprej dostop do ključev, ki so bili v uporabi med preskusom. Vendar se ne morete premikati naprej in nazaj med produkcijskim načinom in prvotnim preskusom. Če morate deaktivirati storitev, na primer za izvedbo obnovitve po katastrofi, morate ob ponovni aktivaciji začeti novo preskusno različico in nastaviti nabor pilotnih uporabnikov za novo preskusno različico, preden se premaknete nazaj v produkcijski način. Ali uporabniki obdržijo dostop do podatkov na tej točki, je odvisno od tega, ali ste uspešno vzdrževali varnostne kopije shrambe ključnih podatkov in konfiguracijske datoteke ISO za vozlišča Hybrid Data Security v vaši gruči.
Podatkovni center v pripravljenosti za obnovitev po katastrofi
Med uvajanjem nastavite varen podatkovni center v pripravljenosti. V primeru katastrofe v podatkovnem centru lahko ročno prekinete svojo uvedbo v podatkovni center v pripravljenosti.
Podatkovne baze aktivnega in rezervnega podatkovnega centra so med seboj sinhronizirane, kar bo zmanjšalo čas, potreben za izvedbo samodejnega preklopa. Datoteka ISO podatkovnega centra v pripravljenosti je posodobljena z dodatnimi konfiguracijami, ki zagotavljajo, da so vozlišča registrirana v organizaciji, vendar ne bodo obravnavala prometa. Tako so vozlišča podatkovnega centra v pripravljenosti vedno posodobljena z najnovejšo različico programske opreme HDS.
Aktivna vozlišča Hybrid Data Security morajo biti vedno v istem podatkovnem centru kot aktivni strežnik baze podatkov. |
Nastavite podatkovni center v pripravljenosti za obnovitev po katastrofi
Za konfiguracijo datoteke ISO podatkovnega centra v pripravljenosti sledite spodnjim korakom:
Preden začneš
Podatkovni center v pripravljenosti bi moral zrcaliti produkcijsko okolje navideznih strojev in rezervno bazo podatkov PostgreSQL ali Microsoft SQL Server. Na primer, če ima proizvodnja 3 VM-je, ki poganjajo vozlišča HDS, bi moralo okolje za varnostno kopiranje imeti 3 VM-je. (Glej Podatkovni center v pripravljenosti za obnovitev po katastrofi za pregled tega modela samodejnega preklopa.)
Prepričajte se, da je omogočena sinhronizacija baze podatkov med bazo podatkov aktivnih in pasivnih vozlišč gruče.
1 | Zaženite orodje HDS Setup in sledite korakom, navedenim v Ustvarite konfiguracijski ISO za gostitelje HDS.
| ||
2 | Ko konfigurirate strežnik Syslogd, kliknite na Napredne nastavitve | ||
3 | Na Napredne nastavitve strani dodajte spodnjo konfiguracijo, da postavite vozlišče v pasivni način. V tem načinu bo vozlišče registrirano v organizaciji in povezano z oblakom, vendar ne bo obravnavalo prometa.
| ||
4 | Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga je enostavno najti. | ||
5 | Naredite varnostno kopijo datoteke ISO v vašem lokalnem sistemu. Varnostno kopijo shranite. Ta datoteka vsebuje glavni šifrirni ključ za vsebino baze podatkov. Omejite dostop samo na tiste skrbnike za hibridno varnost podatkov, ki bi morali spremeniti konfiguracijo. | ||
6 | V levem podoknu za krmarjenje odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve.. | ||
7 | Kliknite Uredi nastavitve >CD/DVD pogon 1 in izberite Datastore ISO File.
| ||
8 | Vklopite vozlišče HDS in se prepričajte, da ni alarmov vsaj 15 minut. | ||
9 | Ponovite postopek za vsako vozlišče v podatkovnem centru v pripravljenosti.
|
Kaj storiti naprej
Po konfiguraciji passiveMode
v datoteko ISO in jo shranite, lahko ustvarite drugo kopijo datoteke ISO brez passiveMode
konfiguracijo in jo shranite na varno mesto. Ta kopija datoteke ISO brez passiveMode
konfigurirano lahko pomaga pri hitrem procesu samodejnega preklopa med obnovitvijo po katastrofi. glej Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti za podroben postopek samodejnega preklopa.
Podpora za proxy
Hybrid Data Security podpira eksplicitne, pregledne inšpekcijske in neinšpekcijske posrednike. Te posrednike lahko povežete s svojo uvedbo, tako da lahko zavarujete in spremljate promet iz podjetja v oblak. Skrbniški vmesnik platforme lahko uporabite na vozliščih za upravljanje potrdil in za preverjanje splošnega stanja povezljivosti, potem ko nastavite proxy na vozliščih.
Vozlišča Hybrid Data Security podpirajo naslednje možnosti posrednika:
Brez posrednika— Privzeto, če za integracijo proxyja ne uporabljate nastavitve vozlišča HDS Trust Store & Proxy. Posodobitev potrdila ni potrebna.
Transparenten proxy brez nadzora— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy in ne bi smela zahtevati nobenih sprememb za delo s proxyjem, ki ne preverja. Posodobitev potrdila ni potrebna.
Transparentni proxy za tuneliranje ali pregledovanje— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy. Na vozliščih niso potrebne spremembe konfiguracije HTTP ali HTTPS. Vendar vozlišča potrebujejo korensko potrdilo, da zaupajo proxyju. Inspecting proxy običajno uporablja IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta proxyja dešifrira ves vaš promet (tudi HTTPS).
Eksplicitni posrednik— Z eksplicitnim proxy vozliščem HDS poveste, kateri strežnik proxy in shemo preverjanja pristnosti naj uporabijo. Če želite konfigurirati eksplicitni proxy, morate v vsako vozlišče vnesti naslednje informacije:
Proxy IP/FQDN—Naslov, ki ga je mogoče uporabiti za dostop do proxy naprave.
Proxy vrata—Številka vrat, ki jih proxy uporablja za poslušanje prometa prek posrednika.
Proxy protokol—Glede na to, kaj podpira vaš proxy strežnik, izberite med naslednjimi protokoli:
HTTP—Ogleda in nadzoruje vse zahteve, ki jih pošlje odjemalec.
HTTPS—zagotavlja kanal strežniku. Odjemalec prejme in potrdi potrdilo strežnika.
Vrsta avtentikacije—Izbirajte med naslednjimi vrstami preverjanja pristnosti:
Noben— Nadaljnje preverjanje pristnosti ni potrebno.
Na voljo, če kot proxy protokol izberete HTTP ali HTTPS.
Osnovno—Uporablja se za uporabniškega agenta HTTP, da zagotovi uporabniško ime in geslo, ko poda zahtevo. Uporablja kodiranje Base64.
Na voljo, če kot proxy protokol izberete HTTP ali HTTPS.
Za vsako vozlišče morate vnesti uporabniško ime in geslo.
prebaviti— Uporablja se za potrditev računa pred pošiljanjem občutljivih informacij. Uporabi zgoščeno funkcijo za uporabniško ime in geslo pred pošiljanjem po omrežju.
Na voljo samo, če izberete HTTPS kot posredniški protokol.
Za vsako vozlišče morate vnesti uporabniško ime in geslo.
Primer vozlišč hibridne varnosti podatkov in posrednika
Ta diagram prikazuje primer povezave med Hybrid Data Security, omrežjem in proxyjem. Za možnosti transparentnega pregledovanja in eksplicitnega pregledovanja HTTPS proxy mora biti isto korensko potrdilo nameščeno na proxyju in vozliščih Hybrid Data Security.
Blokiran zunanji način reševanja DNS (eksplicitne konfiguracije proxyja)
Ko registrirate vozlišče ali preverite konfiguracijo proxy vozlišča, postopek preizkusi iskanje DNS in povezljivost z oblakom Cisco Webex. Pri uvedbah z eksplicitnimi konfiguracijami posrednika, ki ne dovoljujejo zunanjega razreševanja DNS za notranje odjemalce, če vozlišče ne more poizvedovati po strežnikih DNS, samodejno preide v način blokiranega zunanjega razreševanja DNS. V tem načinu se lahko nadaljuje registracija vozlišča in drugi testi povezljivosti posrednika.
Zahteve za hibridno varnost podatkov
Licenčne zahteve za Cisco Webex
Če želite uvesti Hybrid Data Security:
Za Cisco Webex Control Hub morate imeti Pro Pack. (Glej https://www.cisco.com/go/pro-pack.)
Zahteve za namizje Docker
Preden namestite vozlišča HDS, potrebujete Docker Desktop za zagon namestitvenega programa. Docker je nedavno posodobil svoj model licenciranja. Vaša organizacija morda zahteva plačljivo naročnino za Docker Desktop. Za podrobnosti si oglejte objavo v spletnem dnevniku Docker, " Docker posodablja in podaljšuje naše naročnine na izdelke".
Zahteve za potrdilo X.509
Certifikacijska veriga mora izpolnjevati naslednje zahteve:
Zahteva | Podrobnosti |
---|---|
| Privzeto zaupamo CA-jem na seznamu Mozilla (z izjemo WoSign in StartCom) na https://wiki.mozilla.org/CA:IncludedCAs. |
| Ni treba, da je CN dosegljiv ali gostitelj v živo. Priporočamo, da uporabite ime, ki odraža vašo organizacijo, na primer KN ne sme vsebovati * (nadomestni znak). CN se uporablja za preverjanje vozlišč Hybrid Data Security za odjemalce aplikacije Webex. Vsa vozlišča Hybrid Data Security v vaši gruči uporabljajo isto potrdilo. Vaš KMS se identificira z uporabo domene CN, ne katere koli domene, ki je definirana v poljih SAN x.509v3. Ko registrirate vozlišče s tem potrdilom, ne podpiramo spreminjanja imena domene CN. Izberite domeno, ki se lahko uporablja za preskusno in produkcijsko uvedbo. |
| Programska oprema KMS ne podpira podpisov SHA1 za preverjanje povezav s KMS-ji drugih organizacij. |
| Za spremembo oblike potrdila lahko uporabite pretvornik, kot je OpenSSL. Ko zaženete orodje za nastavitev HDS, boste morali vnesti geslo. |
Programska oprema KMS ne uveljavlja uporabe ključev ali razširjenih omejitev uporabe ključev. Nekateri overitelji potrdil zahtevajo, da se za vsako potrdilo uporabijo razširjene omejitve uporabe ključa, na primer preverjanje pristnosti strežnika. V redu je, če uporabite avtentikacijo strežnika ali druge nastavitve.
Zahteve za virtualnega gostitelja
Navidezni gostitelji, ki jih boste nastavili kot vozlišča Hybrid Data Security v vaši gruči, imajo naslednje zahteve:
Vsaj dva ločena gostitelja (3 priporočljivo), nameščena v istem varnem podatkovnem centru
VMware ESXi 6.5 (ali novejši) nameščen in deluje.
Če imate starejšo različico ESXi, morate nadgraditi.
Najmanj 4 vCPU-ji, 8 GB glavnega pomnilnika, 30 GB lokalnega prostora na trdem disku na strežnik
Zahteve za strežnik baze podatkov
Ustvarite novo bazo podatkov za shranjevanje ključev. Ne uporabljajte privzete zbirke podatkov. Ko so nameščene aplikacije HDS, ustvarijo shemo baze podatkov. |
Obstajata dve možnosti za strežnik baze podatkov. Zahteve za vsakega so naslednje:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Najmanj 8 vCPU-jev, 16 GB glavnega pomnilnika, dovolj prostora na trdem disku in nadzor, da se zagotovi, da ni presežen (priporočeno je 2 TB, če želite bazo podatkov izvajati dlje časa, ne da bi morali povečati prostor za shranjevanje) | Najmanj 8 vCPU-jev, 16 GB glavnega pomnilnika, dovolj prostora na trdem disku in nadzor, da se zagotovi, da ni presežen (priporočeno je 2 TB, če želite bazo podatkov izvajati dlje časa, ne da bi morali povečati prostor za shranjevanje) |
Programska oprema HDS trenutno namesti naslednje različice gonilnikov za komunikacijo s strežnikom baze podatkov:
PostgreSQL | Microsoft SQL Server |
---|---|
Gonilnik Postgres JDBC 42.2.5 | Gonilnik SQL Server JDBC 4.6 Ta različica gonilnika podpira SQL Server Always On ( Always On Failover Cluster Instances in Skupine razpoložljivosti Always On). |
Dodatne zahteve za preverjanje pristnosti sistema Windows proti strežniku Microsoft SQL Server
Če želite, da vozlišča HDS uporabljajo preverjanje pristnosti sistema Windows za dostop do baze podatkov shrambe ključev v strežniku Microsoft SQL Server, potrebujete naslednjo konfiguracijo v svojem okolju:
Vozlišča HDS, infrastruktura Active Directory in MS SQL Server morajo biti vsi sinhronizirani z NTP.
Račun Windows, ki ga zagotovite vozliščem HDS, mora imeti dostop za branje/pisanje do baze podatkov.
Strežniki DNS, ki jih zagotovite vozliščem HDS, morajo imeti možnost razrešiti vaš center za distribucijo ključev (KDC).
Primerek baze podatkov HDS lahko registrirate na strežniku Microsoft SQL Server kot glavno ime storitve (SPN) v imeniku Active Directory. glej Registrirajte glavno ime storitve za povezave Kerberos.
Orodje za nastavitev HDS, zaganjalnik HDS in lokalni KMS morajo uporabljati preverjanje pristnosti sistema Windows za dostop do baze podatkov shrambe ključev. Uporabijo podrobnosti iz vaše konfiguracije ISO za izdelavo SPN, ko zahtevajo dostop s preverjanjem pristnosti Kerberos.
Zahteve za zunanjo povezljivost
Konfigurirajte požarni zid, da bo omogočal naslednje povezave za aplikacije HDS:
Aplikacija | Protokol | Pristanišče | Smer iz App | Destinacija |
---|---|---|---|---|
Hibridna varnostna vozlišča podatkov | TCP | 443 | Odhodni HTTPS in WSS |
|
Orodje za nastavitev HDS | TCP | 443 | Odhodni HTTPS |
|
Vozlišča Hybrid Data Security delujejo s prevajanjem omrežnega dostopa (NAT) ali za požarnim zidom, če NAT ali požarni zid omogoča zahtevane odhodne povezave do ciljev domene v prejšnji tabeli. Za povezave, ki potekajo vhodno do vozlišč Hybrid Data Security, iz interneta ne smejo biti vidna nobena vrata. V vašem podatkovnem centru odjemalci potrebujejo dostop do vozlišč Hybrid Data Security na vratih TCP 443 in 22 za administrativne namene. |
URL-ji za gostitelje skupne identitete (CI) so specifični za regijo. To so trenutni gostitelji CI:
Regija | URL-ji gostitelja skupne identitete |
---|---|
Amerike |
|
Evropska unija |
|
Kanada |
|
Zahteve za strežnik proxy
Uradno podpiramo naslednje rešitve proxy, ki se lahko integrirajo z vašimi vozlišči Hybrid Data Security.
Transparent proxy—Cisco Web Security Appliance (WSA).
Eksplicitni proxy—Squid.
Posredniki Squid, ki pregledujejo promet HTTPS, lahko motijo vzpostavitev spletne vtičnice (wss:) povezave. Če se želite izogniti tej težavi, glejte Konfigurirajte posrednike Squid za hibridno varnost podatkov.
Podpiramo naslednje kombinacije vrst preverjanja pristnosti za eksplicitne posrednike:
Ni avtentikacije s HTTP ali HTTPS
Osnovna avtentikacija s HTTP ali HTTPS
Pregled pristnosti samo s HTTPS
Za proxy proxy za pregledovanje ali eksplicitni proxy HTTPS morate imeti kopijo korenskega potrdila proxyja. Navodila za uvajanje v tem priročniku vam povejo, kako naložite kopijo v skrbniške shrambe vozlišč Hybrid Data Security.
Omrežje, ki gosti vozlišča HDS, mora biti konfigurirano tako, da prisili izhodni promet TCP na vratih 443, da se usmeri prek proxyja.
Posredniki, ki pregledujejo spletni promet, lahko motijo povezave s spletnimi vtičnicami. Če pride do te težave, obide (brez pregleda) promet do
wbx2.com
inciscospark.com
bo rešil problem.
Izpolnite predpogoje za hibridno varnost podatkov
1 | Prepričajte se, da je vaša organizacija Webex omogočena za Pro Pack za Cisco Webex Control Hub in pridobite poverilnice računa s polnimi skrbniškimi pravicami organizacije. Za pomoč pri tem postopku se obrnite na svojega Ciscovega partnerja ali upravitelja računa. | ||
2 | Izberite ime domene za svojo uvedbo HDS (npr. | ||
3 | Pripravite enake navidezne gostitelje, ki jih boste nastavili kot vozlišča Hybrid Data Security v vaši gruči. Potrebujete vsaj dva ločena gostitelja (3 priporočljivo), nameščena v istem varnem podatkovnem centru, ki izpolnjujeta zahteve v Zahteve za virtualnega gostitelja. | ||
4 | Pripravite strežnik baze podatkov, ki bo deloval kot shramba ključnih podatkov za gručo, v skladu z Zahteve za strežnik baze podatkov. Strežnik baze podatkov mora biti nameščen v varnem podatkovnem centru skupaj z virtualnimi gostitelji. | ||
5 | Za hitro obnovitev po katastrofi nastavite varnostno okolje v drugem podatkovnem centru. Okolje za varnostno kopiranje zrcali produkcijsko okolje navideznih strojev in strežnik baze podatkov za varnostno kopiranje. Na primer, če ima proizvodnja 3 VM-je, ki poganjajo vozlišča HDS, bi moralo okolje za varnostno kopiranje imeti 3 VM-je. | ||
6 | Nastavite gostitelja sistemskega dnevnika za zbiranje dnevnikov iz vozlišč v gruči. Zberite njegov omrežni naslov in vrata sistemskega dnevnika (privzeto je UDP 514). | ||
7 | Ustvarite politiko varnega varnostnega kopiranja za vozlišča Hybrid Data Security, strežnik baze podatkov in gostitelja sistemskega dnevnika. Če želite preprečiti nepopravljivo izgubo podatkov, morate najmanj varnostno kopirati bazo podatkov in konfiguracijsko datoteko ISO, ustvarjeno za vozlišča Hybrid Data Security.
Odjemalci aplikacije Webex shranjujejo svoje ključe v predpomnilnik, zato izpad morda ne bo takoj opazen, vendar bo sčasoma očiten. Čeprav je začasnih izpadov nemogoče preprečiti, jih je mogoče obnoviti. Vendar bo popolna izguba (razpoložljivih varnostnih kopij) baze podatkov ali konfiguracijske datoteke ISO povzročila nepopravljivost podatkov o strankah. Od operaterjev vozlišč Hybrid Data Security se pričakuje, da bodo vzdrževali pogoste varnostne kopije baze podatkov in konfiguracijske datoteke ISO ter da bodo pripravljeni na ponovno izgradnjo podatkovnega centra Hybrid Data Security, če pride do katastrofalne okvare. | ||
8 | Zagotovite, da vaša konfiguracija požarnega zidu omogoča povezljivost za vozlišča Hybrid Data Security, kot je opisano v Zahteve za zunanjo povezljivost. | ||
9 | Namestite Docker ( https://www.docker.com) na katerem koli lokalnem računalniku s podprtim OS (Microsoft Windows 10 Professional ali Enterprise 64-bit ali Mac OSX Yosemite 10.10.3 ali novejši) s spletnim brskalnikom, ki lahko dostopa do njega na http://127.0.0.1:8080. Primerek Docker uporabite za prenos in zagon orodja za nastavitev HDS, ki gradi lokalne konfiguracijske informacije za vsa vozlišča Hybrid Data Security. Vaša organizacija morda potrebuje licenco Docker Desktop. glej Zahteve za namizje Docker za več informacij. Če želite namestiti in zagnati orodje za nastavitev HDS, mora imeti lokalni računalnik povezljivost, opisano v Zahteve za zunanjo povezljivost. | ||
10 | Če integrirate proxy s Hybrid Data Security, se prepričajte, da ustreza Zahteve za strežnik proxy. | ||
11 | Če vaša organizacija uporablja sinhronizacijo imenikov, ustvarite skupino v imeniku Active Directory, imenovano
|
Potek opravila uvajanja hibridne varnosti podatkov
Preden začneš
1 | Prenesite namestitvene datoteke Prenesite datoteko OVA na svoj lokalni računalnik za kasnejšo uporabo. | ||
2 | Ustvarite konfiguracijski ISO za gostitelje HDS Z orodjem za nastavitev HDS ustvarite konfiguracijsko datoteko ISO za vozlišča Hybrid Data Security. | ||
3 |
Ustvarite virtualni stroj iz datoteke OVA in izvedite začetno konfiguracijo, kot so omrežne nastavitve.
| ||
4 | Nastavite Hybrid Data Security VM Prijavite se v konzolo VM in nastavite poverilnice za prijavo. Konfigurirajte omrežne nastavitve za vozlišče, če jih niste konfigurirali ob uvedbi OVA. | ||
5 | Naložite in namestite ISO konfiguracije HDS Konfigurirajte VM iz konfiguracijske datoteke ISO, ki ste jo ustvarili z orodjem za namestitev HDS. | ||
6 | Konfigurirajte vozlišče HDS za integracijo posrednika Če omrežno okolje zahteva konfiguracijo proxyja, podajte vrsto proxyja, ki ga boste uporabili za vozlišče, in po potrebi dodajte potrdilo proxyja v shrambo zaupanja. | ||
7 | Registrirajte prvo vozlišče v gruči Registrirajte VM v oblaku Cisco Webex kot Hybrid Data Security node. | ||
8 | Ustvarite in registrirajte več vozlišč Dokončajte nastavitev gruče. | ||
9 | Izvedite preizkus in se premaknite v produkcijo (naslednje poglavje) Dokler ne začnete preizkusa, vaša vozlišča ustvarijo alarm, ki nakazuje, da vaša storitev še ni aktivirana. |
Prenesite namestitvene datoteke
1 | Prijavite se v https://admin.webex.comin nato kliknite Storitve. | ||||
2 | V razdelku Hybrid Services poiščite kartico Hybrid Data Security in kliknite Nastaviti. Če je kartica onemogočena ali je ne vidite, se obrnite na skupino za račun ali partnersko organizacijo. Dajte jim svojo številko računa in jih prosite, da vaši organizaciji omogočijo hibridno varnost podatkov. Če želite poiskati številko računa, kliknite zobnik v zgornjem desnem kotu poleg imena vaše organizacije.
| ||||
3 | Izberite št da označite, da vozlišča še niste nastavili, in nato kliknite Naslednji. Datoteka OVA se samodejno začne prenašati. Datoteko shranite na mesto v vašem računalniku.
| ||||
4 | Po želji kliknite Odprite vodnik za uvajanje da preverite, ali je na voljo novejša različica tega priročnika. |
Ustvarite konfiguracijski ISO za gostitelje HDS
Postopek nastavitve Hybrid Data Security ustvari datoteko ISO. Nato uporabite ISO za konfiguracijo gostitelja Hybrid Data Security.
Preden začneš
Orodje HDS Setup deluje kot vsebnik Docker na lokalnem računalniku. Za dostop do njega zaženite Docker na tem računalniku. Postopek namestitve zahteva poverilnice računa Control Hub s polnimi skrbniškimi pravicami za vašo organizacijo.
Če orodje za namestitev HDS deluje za proxyjem v vašem okolju, podajte nastavitve proxyja (strežnik, vrata, poverilnice) prek spremenljivk okolja Docker, ko prikažete vsebnik Docker v koraku 5. Ta tabela podaja nekaj možnih spremenljivk okolja:
Opis
Spremenljivka
HTTP Proxy brez avtentikacije
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS Proxy brez avtentikacije
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP proxy z avtentikacijo
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy z avtentikacijo
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Konfiguracijska datoteka ISO, ki jo ustvarite, vsebuje glavni ključ, ki šifrira bazo podatkov PostgreSQL ali Microsoft SQL Server. Najnovejšo kopijo te datoteke potrebujete vsakič, ko spremenite konfiguracijo, kot je ta:
Poverilnice baze podatkov
Posodobitve potrdil
Spremembe politike avtorizacije
Če nameravate šifrirati povezave z bazo podatkov, nastavite svojo uvedbo PostgreSQL ali SQL Server za TLS.
1 | V ukazno vrstico vašega računalnika vnesite ustrezen ukaz za vaše okolje: V običajnih okoljih:
V okoljih FedRAMP:
| ||||||||||||
2 | Za vpis v register slik Docker vnesite naslednje:
| ||||||||||||
3 | Ob pozivu za geslo vnesite to zgoščeno vrednost:
| ||||||||||||
4 | Prenesite najnovejšo stabilno sliko za vaše okolje: V običajnih okoljih:
V okoljih FedRAMP:
| ||||||||||||
5 | Ko je vlečenje končano, vnesite ustrezen ukaz za vaše okolje:
Ko se vsebnik izvaja, vidite »Strežnik Express posluša na vratih 8080«. | ||||||||||||
6 |
Uporabite spletni brskalnik za dostop do lokalnega gostitelja, Orodje uporabi ta prvi vnos uporabniškega imena za nastavitev ustreznega okolja za ta račun. Orodje nato prikaže standardni poziv za prijavo. | ||||||||||||
7 | Ko ste pozvani, vnesite poverilnice za prijavo skrbnika stranke Control Hub in kliknite Vpiši se da omogočite dostop do zahtevanih storitev za Hybrid Data Security. | ||||||||||||
8 | Na strani s pregledom orodja za nastavitev kliknite Začeti. | ||||||||||||
9 | Na ISO uvoz strani, imate te možnosti:
| ||||||||||||
10 | Preverite, ali vaše potrdilo X.509 izpolnjuje zahteve v Zahteve za potrdilo X.509.
| ||||||||||||
11 | Vnesite naslov baze podatkov in račun za HDS za dostop do shrambe ključnih podatkov: | ||||||||||||
12 | Izberite a Način povezave z bazo podatkov TLS:
Ko naložite korensko potrdilo (če je potrebno) in kliknite Nadaljuj, orodje za nastavitev HDS preizkusi povezavo TLS s strežnikom baze podatkov. Orodje preveri tudi podpisnika potrdila in ime gostitelja, če je na voljo. Če preizkus ne uspe, orodje prikaže sporočilo o napaki, ki opisuje težavo. Izberete lahko, ali želite napako prezreti in nadaljevati z nastavitvijo. (Zaradi razlik v povezljivosti bodo vozlišča HDS morda lahko vzpostavila povezavo TLS, tudi če naprava z orodjem za nastavitev HDS tega ne more uspešno preizkusiti.) | ||||||||||||
13 | Na strani Sistemski dnevniki konfigurirajte strežnik Syslogd: | ||||||||||||
14 | (Izbirno) Spremenite lahko privzeto vrednost za nekatere parametre povezave z bazo podatkov v Napredne nastavitve. Na splošno je ta parameter edini, ki bi ga morda želeli spremeniti:
| ||||||||||||
15 | Kliknite Nadaljuj na Ponastavite geslo za storitvene račune zaslon. Gesla storitvenih računov imajo življenjsko dobo devet mesecev. Uporabite ta zaslon, ko se vaša gesla bližajo izteku ali jih želite ponastaviti, da razveljavi prejšnje datoteke ISO. | ||||||||||||
16 | Kliknite Prenesite datoteko ISO. Datoteko shranite na mesto, ki ga je enostavno najti. | ||||||||||||
17 | Naredite varnostno kopijo datoteke ISO v vašem lokalnem sistemu. Varnostno kopijo shranite. Ta datoteka vsebuje glavni šifrirni ključ za vsebino baze podatkov. Omejite dostop samo na tiste skrbnike za hibridno varnost podatkov, ki bi morali spremeniti konfiguracijo. | ||||||||||||
18 | Če želite zaustaviti orodje za nastavitev, vnesite |
Kaj storiti naprej
Varnostno kopirajte konfiguracijsko datoteko ISO. Potrebujete ga za ustvarjanje več vozlišč za obnovitev ali za spreminjanje konfiguracije. Če izgubite vse kopije datoteke ISO, ste izgubili tudi glavni ključ. Obnovitev ključev iz baze podatkov PostgreSQL ali Microsoft SQL Server ni mogoča.
Nikoli nimamo kopije tega ključa in vam ne moremo pomagati, če ga izgubite. |
Namestite HDS Host OVA
1 | Uporabite odjemalca VMware vSphere v vašem računalniku, da se prijavite v navideznega gostitelja ESXi. | ||||||
2 | Izberite mapa > Namestite predlogo OVF. | ||||||
3 | V čarovniku določite lokacijo datoteke OVA, ki ste jo prej prenesli, in nato kliknite Naslednji . | ||||||
4 | Na Izberite ime in mapo strani vnesite a Ime navideznega stroja za vozlišče (na primer "HDS_node_1"), izberite lokacijo, kjer je lahko uvedba vozlišča navideznega stroja, in nato kliknite Naslednji . | ||||||
5 | Na Izberite računalniški vir izberite ciljni računalniški vir in kliknite Naslednji . Zažene se preverjanje veljavnosti. Ko se konča, se prikažejo podrobnosti predloge. | ||||||
6 | Preverite podrobnosti predloge in kliknite Naslednji. | ||||||
7 | Če ste pozvani, da izberete konfiguracijo vira na Konfiguracija strani, kliknite 4 procesor in nato kliknite Naslednji . | ||||||
8 | Na Izberite shranjevanje strani, kliknite Naslednji da sprejmete privzeti format diska in politiko shranjevanja VM. | ||||||
9 | Na Izberite omrežja izberite omrežno možnost s seznama vnosov, da zagotovite želeno povezljivost z VM. | ||||||
10 | Na Prilagodite predlogo strani, konfigurirajte naslednje omrežne nastavitve:
Če želite, lahko preskočite konfiguracijo omrežnih nastavitev in sledite korakom v Nastavite Hybrid Data Security VM da konfigurirate nastavitve iz konzole vozlišča.
| ||||||
11 | Z desno miškino tipko kliknite vozlišče VM in nato izberite .Programska oprema Hybrid Data Security je nameščena kot gost na gostitelju VM. Zdaj ste pripravljeni, da se prijavite v konzolo in konfigurirate vozlišče. Nasveti za odpravljanje težav Preden se vsebniki vozlišč prikažejo, lahko pride do nekajminutne zamude. Med prvim zagonom se na konzoli pojavi sporočilo mostnega požarnega zidu, med katerim se ne morete prijaviti. |
Nastavite Hybrid Data Security VM
S tem postopkom se prvič prijavite v konzolo VM vozlišča Hybrid Data Security in nastavite poverilnice za prijavo. S konzolo lahko konfigurirate tudi omrežne nastavitve za vozlišče, če jih niste konfigurirali ob uvedbi OVA.
1 | V odjemalcu VMware vSphere izberite VM vozlišča Hybrid Data Security in izberite Konzola zavihek. VM se zažene in prikaže se poziv za prijavo. Če se poziv za prijavo ne prikaže, pritisnite Vnesite.
|
2 | Za prijavo in spremembo poverilnic uporabite naslednjo privzeto prijavo in geslo: Ker se v svoj VM vpisujete prvič, morate spremeniti skrbniško geslo. |
3 | Če ste že konfigurirali omrežne nastavitve v Namestite HDS Host OVA, preskočite preostanek tega postopka. V nasprotnem primeru v glavnem meniju izberite Uredi konfiguracijo možnost. |
4 | Nastavite statično konfiguracijo z informacijami o naslovu IP, maski, prehodu in DNS. Vaše vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt. |
5 | (Izbirno) Spremenite ime gostitelja, domeno ali strežnike NTP, če je potrebno, da se ujemajo z vašo omrežno politiko. Ni vam treba nastaviti domene, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509. |
6 | Shranite omrežno konfiguracijo in znova zaženite VM, da bodo spremembe začele veljati. |
Naložite in namestite ISO konfiguracije HDS
Preden začneš
Ker datoteka ISO vsebuje glavni ključ, jo je treba razkriti samo na podlagi "potrebe vedeti" za dostop navideznih računalnikov Hybrid Data Security in vseh skrbnikov, ki bodo morda morali narediti spremembe. Prepričajte se, da imajo samo ti skrbniki dostop do shrambe podatkov.
1 | Naložite datoteko ISO iz računalnika: |
2 | Namestite datoteko ISO: |
Kaj storiti naprej
Če vaša politika IT zahteva, lahko po želji odklopite datoteko ISO, potem ko vsa vaša vozlišča prevzamejo spremembe konfiguracije. glej (Izbirno) Odpni ISO po konfiguraciji HDS za podrobnosti.
Konfigurirajte vozlišče HDS za integracijo posrednika
Če omrežno okolje zahteva proxy, s tem postopkom določite vrsto proxyja, s katerim se želite integrirati Hibridna varnost podatkov. Če izberete proxy proxy za pregledovanje ali eksplicitni proxy HTTPS, lahko uporabite vmesnik vozlišča za nalaganje in namestitev korenskega potrdila. Povezavo proxy lahko preverite tudi prek vmesnika in odpravite morebitne težave.
Preden začneš
glej Podpora za proxy za pregled podprtih možnosti proxyja.
1 | Vnesite URL za nastavitev vozlišča HDS |
2 | Pojdi do Trust Store & Proxyin nato izberite možnost:
Sledite naslednjim korakom za pregleden proxy za pregledovanje, eksplicitni proxy HTTP z osnovnim preverjanjem pristnosti ali eksplicitni proxy HTTPS. |
3 | Kliknite Naložite korensko potrdilo ali potrdilo končne entitete, nato pa se pomaknite do izbire korenskega potrdila za proxy. Potrdilo je naloženo, vendar še ni nameščeno, ker morate za namestitev potrdila znova zagnati vozlišče. Kliknite puščico ševrona ob imenu izdajatelja potrdila, da dobite več podrobnosti ali kliknite Izbriši če ste se zmotili in želite znova naložiti datoteko. |
4 | Kliknite Preverite povezavo proxy da preizkusite omrežno povezljivost med vozliščem in posrednikom. Če preizkus povezave ne uspe, boste videli sporočilo o napaki, ki prikazuje razlog in kako lahko odpravite težavo. Če vidite sporočilo, da zunanja razrešitev DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS. Ta pogoj je pričakovan v številnih eksplicitnih konfiguracijah proxyja. Lahko nadaljujete z nastavitvijo in vozlišče bo delovalo v načinu blokirane zunanje ločljivosti DNS. Če menite, da je to napaka, dokončajte te korake in si oglejte Izklopite način razreševanja blokiranega zunanjega DNS-ja. |
5 | Ko je preskus povezave uspešen, za eksplicitni proxy, nastavljen samo na https, preklopite stikalo na Usmerite vse https zahteve vrat 443/444 iz tega vozlišča prek eksplicitnega proxyja. Ta nastavitev začne veljati po 15 sekundah. |
6 | Kliknite Namestite vsa potrdila v Trust Store (prikaže se za eksplicitni proxy HTTPS ali pregledni proxy za preverjanje) ali Znova zaženite (prikaže se za eksplicitni proxy HTTP), preberite poziv in kliknite Namestite če si pripravljen. Vozlišče se znova zažene v nekaj minutah. |
7 | Ko se vozlišče znova zažene, se po potrebi znova vpišite in nato odprite Pregled strani, da preverite preverjanja povezljivosti in se prepričate, ali so vsi v zelenem stanju. Preverjanje povezave posrednika testira samo poddomeno webex.com. Če pride do težav s povezljivostjo, je pogosta težava, da so nekatere domene v oblaku, navedene v navodilih za namestitev, blokirane na strežniku proxy. |
Registrirajte prvo vozlišče v gruči
Ko registrirate svoje prvo vozlišče, ustvarite gručo, ki ji je vozlišče dodeljeno. Grozd vsebuje eno ali več vozlišč, nameščenih za zagotavljanje redundance.
Preden začneš
Ko začnete z registracijo vozlišča, jo morate dokončati v 60 minutah ali pa morate začeti znova.
Prepričajte se, da so v vašem brskalniku onemogočeni vsi blokatorji pojavnih oken ali da dovolite izjemo za admin.webex.com.
1 | Prijavite se v https://admin.webex.com. |
2 | V meniju na levi strani zaslona izberite Storitve. |
3 | V razdelku Hybrid Services poiščite Hybrid Data Security in kliknite Nastaviti. Prikaže se stran Register Hybrid Data Security Node.
|
4 | Izberite ja da označite, da ste nastavili vozlišče in ste ga pripravljeni registrirati, in nato kliknite Naslednji. |
5 | V prvo polje vnesite ime za gručo, ki ji želite dodeliti vozlišče Hybrid Data Security. Priporočamo, da gručo poimenujete glede na to, kje se geografsko nahajajo vozlišča gruče. Primeri: "San Francisco" ali "New York" ali "Dallas" |
6 | V drugo polje vnesite notranji naslov IP ali popolnoma kvalificirano ime domene (FQDN) svojega vozlišča in kliknite Naslednji. Ta naslov IP ali FQDN se mora ujemati z naslovom IP ali imenom gostitelja in domeno, ki ste jo uporabili Nastavite Hybrid Data Security VM. Prikaže se sporočilo, ki nakazuje, da lahko svoje vozlišče registrirate v Webex.
|
7 | Kliknite Pojdite na Node. |
8 | Kliknite Nadaljuj v opozorilnem sporočilu. Po nekaj trenutkih ste preusmerjeni na teste povezljivosti vozlišča za storitve Webex. Če so vsi preizkusi uspešni, se prikaže stran Dovoli dostop do vozlišča Hybrid Data Security Node. Tam potrdite, da želite svoji organizaciji Webex dati dovoljenja za dostop do vašega vozlišča.
|
9 | Preverite Dovolite dostop do vašega vozlišča Hybrid Data Security Node potrditveno polje in nato kliknite Nadaljuj. Vaš račun je potrjen in sporočilo »Registracija je dokončana« nakazuje, da je vaše vozlišče zdaj registrirano v oblaku Webex.
|
10 | Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Hybrid Data Security Control Hub. Na Hibridna varnost podatkov stran, se prikaže nova gruča, ki vsebuje vozlišče, ki ste ga registrirali. Vozlišče bo samodejno preneslo najnovejšo programsko opremo iz oblaka.
|
Ustvarite in registrirajte več vozlišč
Trenutno so varnostni VM-ji, ki ste jih ustvarili v Izpolnite predpogoje za hibridno varnost podatkov so gostitelji v pripravljenosti, ki se uporabljajo samo v primeru obnovitve po katastrofi; do takrat niso registrirani v sistemu. Za podrobnosti glejte Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti. |
Preden začneš
Ko začnete z registracijo vozlišča, jo morate dokončati v 60 minutah ali pa morate začeti znova.
Prepričajte se, da so v vašem brskalniku onemogočeni vsi blokatorji pojavnih oken ali da dovolite izjemo za admin.webex.com.
1 | Ustvarite nov virtualni stroj iz OVA in ponovite korake Namestite HDS Host OVA. |
2 | Nastavite začetno konfiguracijo na novem VM in ponovite korake v Nastavite Hybrid Data Security VM. |
3 | Na novem VM ponovite korake v Naložite in namestite ISO konfiguracije HDS. |
4 | Če nastavljate proxy za svojo uvedbo, ponovite korake v Konfigurirajte vozlišče HDS za integracijo posrednika kot je potrebno za novo vozlišče. |
5 | Registrirajte vozlišče. Vaše vozlišče je registrirano. Upoštevajte, da dokler ne začnete preizkusa, vaša vozlišča ustvarijo alarm, ki nakazuje, da vaša storitev še ni aktivirana.
|
Kaj storiti naprej
Potek naloge od poskusa do proizvodnje
Ko nastavite gručo Hybrid Data Security, lahko zaženete pilotni projekt, vanj dodate uporabnike in ga začnete uporabljati za preizkušanje in preverjanje vaše uvedbe v pripravah na selitev v proizvodnjo.
Preden začneš
1 | Če je primerno, sinhronizirajte Če vaša organizacija uporablja sinhronizacijo imenikov za uporabnike, morate izbrati |
2 |
Začni poskus. Dokler ne opravite te naloge, vaša vozlišča ustvarijo alarm, ki nakazuje, da storitev še ni aktivirana. |
3 | Preizkusite svojo hibridno uvedbo varnosti podatkov Preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security. |
4 | Spremljajte varnost hibridnih podatkov Preverite stanje in nastavite e-poštna obvestila za alarme. |
5 | |
6 | Dokončajte preskusno fazo z enim od naslednjih dejanj: |
Aktiviraj preizkus
Preden začneš
Če vaša organizacija uporablja sinhronizacijo imenikov za uporabnike, morate izbrati HdsTrialGroup
predmet skupine za sinhronizacijo z oblakom, preden lahko začnete preskusno obdobje za svojo organizacijo. Za navodila glejte Vodnik za uvajanje za Cisco Directory Connector.
1 | Prijavite se v https://admin.webex.comin nato izberite Storitve. |
2 | V razdelku Hibridna varnost podatkov kliknite nastavitve. |
3 | V razdelku Status storitve kliknite Začni preizkus. Stanje storitve se spremeni v poskusni način.
|
4 | Kliknite Dodajanje uporabnikov in vnesite e-poštni naslov enega ali več uporabnikov za poskusno uporabo vozlišč Hybrid Data Security za storitve šifriranja in indeksiranja. (Če vaša organizacija uporablja sinhronizacijo imenikov, uporabite Active Directory za upravljanje poskusne skupine, |
Preizkusite svojo hibridno uvedbo varnosti podatkov
Preden začneš
Nastavite svojo uvedbo Hybrid Data Security.
Aktivirajte preskusno različico in dodajte več poskusnih uporabnikov.
Prepričajte se, da imate dostop do sistemskega dnevnika, da preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security.
1 | Ključe za določen prostor nastavi ustvarjalec prostora. Prijavite se v aplikacijo Webex kot eden od pilotnih uporabnikov, nato pa ustvarite prostor in povabite vsaj enega pilotnega uporabnika in enega nepilotnega uporabnika.
| ||
2 | Pošljite sporočila v novi prostor. | ||
3 | Preverite izhod sistemskega dnevnika, da preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security. |
Spremljajte varnost hibridnih podatkov
1 | notri Nadzorno središče, izberite Storitve iz menija na levi strani zaslona. |
2 | V razdelku Hybrid Services poiščite Hybrid Data Security in kliknite nastavitve. Prikaže se stran z nastavitvami hibridne varnosti podatkov.
|
3 | V razdelku E-poštna obvestila vnesite enega ali več e-poštnih naslovov, ločenih z vejicami, in pritisnite Vnesite. |
Dodajte ali odstranite uporabnike iz svojega preizkusa
Če odstranite uporabnika iz preizkusa, bo uporabnikov odjemalec zahteval ključe in ustvarjanje ključa iz oblaka KMS namesto vašega KMS. Če odjemalec potrebuje ključ, ki je shranjen na vašem KMS, ga bo KMS v oblaku pridobil v imenu uporabnika.
Če vaša organizacija uporablja sinhronizacijo imenikov, uporabite Active Directory (namesto tega postopka) za upravljanje poskusne skupine, HdsTrialGroup
; člane skupine si lahko ogledate v Nadzornem središču, vendar jih ne morete dodati ali odstraniti.
1 | Prijavite se v Control Hub in nato izberite Storitve. |
2 | V razdelku Hibridna varnost podatkov kliknite nastavitve. |
3 | V razdelku Preizkusni način v območju Stanje storitve kliknite Dodajanje uporabnikov, ali kliknite ogled in urejanje za odstranitev uporabnikov iz preizkusa. |
4 | Vnesite e-poštni naslov enega ali več uporabnikov, ki jih želite dodati, ali kliknite X z ID-jem uporabnika, da uporabnika odstranite iz preizkusa. Nato kliknite Shrani. |
Premaknite se s preskusne različice na produkcijsko
1 | Prijavite se v Control Hub in nato izberite Storitve. |
2 | V razdelku Hibridna varnost podatkov kliknite nastavitve. |
3 | V razdelku Status storitve kliknite Premakni se v proizvodnjo. |
4 | Potrdite, da želite vse svoje uporabnike premakniti v produkcijo. |
Končajte preizkus, ne da bi se preselili v proizvodnjo
1 | Prijavite se v Control Hub in nato izberite Storitve. |
2 | V razdelku Hibridna varnost podatkov kliknite nastavitve. |
3 | V razdelku Deaktiviraj kliknite Deaktiviraj. |
4 | Potrdite, da želite deaktivirati storitev in končati preskusno obdobje. |
Upravljanje uvajanja HDS
Uporabite tukaj opisane naloge za upravljanje svoje razmestitve Hybrid Data Security.
Nastavite urnik nadgradnje gruče
Če želite nastaviti urnik nadgradnje:
1 | Prijavite se v Nadzorno središče. |
2 | Na strani Pregled v razdelku Hibridne storitve izberite Hibridna varnost podatkov. |
3 | Na strani Viri za varnost hibridnih podatkov izberite gručo. |
4 | Na plošči Pregled na desni v razdelku Nastavitve gruče izberite ime gruče. |
5 | Na strani z nastavitvami v razdelku Nadgradnja izberite čas in časovni pas za urnik nadgradnje. Opomba: Pod časovnim pasom sta prikazana datum in čas naslednje razpoložljive nadgradnje. Nadgradnjo lahko po potrebi prestavite na naslednji dan s klikom Odložiti. |
Spremenite konfiguracijo vozlišča
Spreminjanje potrdil x.509 zaradi poteka veljavnosti ali drugih razlogov.
Ne podpiramo spreminjanja imena domene CN potrdila. Domena se mora ujemati z izvirno domeno, uporabljeno za registracijo gruče.
Posodabljanje nastavitev baze podatkov za spremembo v repliko baze podatkov PostgreSQL ali Microsoft SQL Server.
Ne podpiramo selitve podatkov iz PostgreSQL v Microsoft SQL Server ali obratno. Če želite preklopiti okolje baze podatkov, začnite novo uvedbo Hybrid Data Security.
Ustvarjanje nove konfiguracije za pripravo novega podatkovnega centra.
Poleg tega za varnostne namene Hybrid Data Security uporablja gesla storitvenih računov, ki imajo devetmesečno življenjsko dobo. Ko orodje HDS Setup ustvari ta gesla, jih namestite v vsako od svojih vozlišč HDS v konfiguracijski datoteki ISO. Ko se gesla vaše organizacije bližajo izteku, prejmete obvestilo ekipe Webex za ponastavitev gesla za vaš strojni račun. (E-poštno sporočilo vključuje besedilo »Uporabite API računa stroja za posodobitev gesla.«) Če vaša gesla še niso potekla, vam orodje ponuja dve možnosti:
Mehka ponastavitev— Staro in novo geslo delujeta do 10 dni. To obdobje uporabite za postopno zamenjavo datoteke ISO na vozliščih.
Trda ponastavitev— Stara gesla prenehajo delovati takoj.
Če vaša gesla potečejo brez ponastavitve, to vpliva na vašo storitev HDS, saj zahteva takojšnjo strojno ponastavitev in zamenjavo datoteke ISO na vseh vozliščih.
S tem postopkom ustvarite novo konfiguracijsko datoteko ISO in jo uporabite za vašo gručo.
Preden začneš
Orodje HDS Setup deluje kot vsebnik Docker na lokalnem računalniku. Za dostop do njega zaženite Docker na tem računalniku. Postopek namestitve zahteva poverilnice računa Control Hub s polnimi skrbniškimi pravicami za vašo organizacijo.
Če orodje za namestitev HDS deluje za proxyjem v vašem okolju, podajte nastavitve proxyja (strežnik, vrata, poverilnice) prek spremenljivk okolja Docker, ko prikažete vsebnik Docker v 1.e. Ta tabela podaja nekaj možnih spremenljivk okolja:
Opis
Spremenljivka
HTTP Proxy brez avtentikacije
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS Proxy brez avtentikacije
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP proxy z avtentikacijo
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy z avtentikacijo
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Za ustvarjanje nove konfiguracije potrebujete kopijo trenutne konfiguracijske datoteke ISO. ISO vsebuje glavni ključ, ki šifrira bazo podatkov PostgreSQL ali Microsoft SQL Server. ISO potrebujete, ko spreminjate konfiguracijo, vključno s poverilnicami baze podatkov, posodobitvami potrdil ali spremembami pravilnika avtorizacije.
1 | Z Dockerjem na lokalnem računalniku zaženite orodje za namestitev HDS. |
2 | Če imate samo eno vozlišče HDS, ustvarite nov VM vozlišča Hybrid Data Security in ga registrirajte z novo konfiguracijsko datoteko ISO. Za podrobnejša navodila glejte Ustvarite in registrirajte več vozlišč. |
3 | Za obstoječa vozlišča HDS, ki izvajajo starejšo konfiguracijsko datoteko, namestite datoteko ISO. Izvedite naslednji postopek na vsakem vozlišču po vrsti in posodobite vsako vozlišče, preden izklopite naslednje vozlišče: |
4 | Ponovite 3. korak, da zamenjate konfiguracijo na vsakem preostalem vozlišču, ki izvaja staro konfiguracijo. |
Izklopite način razreševanja blokiranega zunanjega DNS-ja
Ko registrirate vozlišče ali preverite konfiguracijo proxy vozlišča, postopek preizkusi iskanje DNS in povezljivost z oblakom Cisco Webex. Če strežnik DNS vozlišča ne more razrešiti javnih imen DNS, vozlišče samodejno preide v način blokiranega zunanjega razreševanja DNS.
Če lahko vaša vozlišča razrešijo javna imena DNS prek notranjih strežnikov DNS, lahko ta način izklopite tako, da na vsakem vozlišču znova zaženete preskus povezave proxy.
Preden začneš
1 | V spletnem brskalniku odprite vmesnik vozlišča Hybrid Data Security (naslov IP/nastavitev, npr. https://192.0.2.0/setup), vnesite skrbniške poverilnice, ki ste jih nastavili za vozlišče, in nato kliknite Prijava. |
2 | Pojdi do Pregled (privzeta stran). Ko je omogočeno, Blokirana zunanja razrešitev DNS je nastavljeno na ja. |
3 | Pojdi na Trust Store & Proxy strani. |
4 | Kliknite Preverite povezavo proxy. Če vidite sporočilo, da zunanja razrešitev DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS in bo ostalo v tem načinu. V nasprotnem primeru, ko znova zaženete vozlišče in se vrnete na Pregled stran, Blokirana zunanja DNS resolucija mora biti nastavljena na št. |
Kaj storiti naprej
Odstranite vozlišče
1 | Uporabite odjemalca VMware vSphere v vašem računalniku, da se prijavite v virtualni gostitelj ESXi in izklopite virtualni stroj. |
2 | Odstranite vozlišče: |
3 | V odjemalcu vSphere izbrišite VM. (V levem podoknu za krmarjenje z desno miškino tipko kliknite VM in kliknite Izbriši.) Če VM ne izbrišete, ne pozabite odklopiti konfiguracijske datoteke ISO. Brez datoteke ISO ne morete uporabljati VM za dostop do svojih varnostnih podatkov. |
Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti
Najbolj kritična storitev, ki jo nudi vaša gruča Hybrid Data Security, je ustvarjanje in shranjevanje ključev, ki se uporabljajo za šifriranje sporočil in druge vsebine, shranjene v oblaku Webex. Za vsakega uporabnika v organizaciji, ki je dodeljen Hybrid Data Security, so nove zahteve za ustvarjanje ključev usmerjene v gručo. Grozd je odgovoren tudi za vrnitev ključev, ki jih je ustvaril vsem uporabnikom, ki so pooblaščeni, da jih pridobijo, na primer članom prostora za pogovor.
Ker gruča opravlja kritično funkcijo zagotavljanja teh ključev, je nujno, da gruča še naprej deluje in da se vzdržujejo ustrezne varnostne kopije. Izguba podatkovne baze Hybrid Data Security ali konfiguracijskega ISO, ki se uporablja za shemo, bo povzročila NEPODOLČLJIVO IZGUBO vsebine stranke. Naslednje prakse so obvezne za preprečitev takšne izgube:
Če katastrofa povzroči, da uvedba HDS v primarnem podatkovnem centru postane nerazpoložljiva, sledite temu postopku za ročni samodejni preklop v rezervni podatkovni center.
1 | Zaženite orodje HDS Setup in sledite korakom, navedenim v Ustvarite konfiguracijski ISO za gostitelje HDS. | ||
2 | Ko konfigurirate strežnik Syslogd, kliknite na Napredne nastavitve | ||
3 | Na Napredne nastavitve stran, dodajte spodnjo konfiguracijo ali odstranite
| ||
4 | Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga je enostavno najti. | ||
5 | Naredite varnostno kopijo datoteke ISO v vašem lokalnem sistemu. Varnostno kopijo shranite. Ta datoteka vsebuje glavni šifrirni ključ za vsebino baze podatkov. Omejite dostop samo na tiste skrbnike za hibridno varnost podatkov, ki bi morali spremeniti konfiguracijo. | ||
6 | V levem podoknu za krmarjenje odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve.. | ||
7 | Kliknite Uredi nastavitve >CD/DVD pogon 1 in izberite Datastore ISO File.
| ||
8 | Vklopite vozlišče HDS in se prepričajte, da ni alarmov vsaj 15 minut. | ||
9 | Ponovite postopek za vsako vozlišče v podatkovnem centru v pripravljenosti.
|
Kaj storiti naprej
(Izbirno) Odpni ISO po konfiguraciji HDS
Standardna konfiguracija HDS deluje z nameščenim ISO. Toda nekatere stranke raje ne puščajo datotek ISO neprekinjeno nameščenih. Datoteko ISO lahko odklopite, ko vsa vozlišča HDS prevzamejo novo konfiguracijo.
Za spreminjanje konfiguracije še vedno uporabljate datoteke ISO. Ko ustvarite nov ISO ali posodobite ISO prek orodja za nastavitev, morate posodobljeni ISO namestiti na vsa vozlišča HDS. Ko so vsa vaša vozlišča prevzela konfiguracijske spremembe, lahko s tem postopkom znova odklopite ISO.
Preden začneš
Nadgradite vsa svoja vozlišča HDS na različico 2021.01.22.4720 ali novejšo.
1 | Zaustavite eno od vozlišč HDS. |
2 | V strežniški napravi vCenter izberite vozlišče HDS. |
3 | Izberite Datoteka ISO za shranjevanje podatkov. in odkljukajte |
4 | Vklopite vozlišče HDS in zagotovite, da vsaj 20 minut ni alarmov. |
5 | Ponovite za vsako vozlišče HDS po vrsti. |
Ogled opozoril in odpravljanje težav
Uvedba hibridne varnosti podatkov se šteje za nerazpoložljivo, če so vsa vozlišča v gruči nedosegljiva ali če gruča deluje tako počasi, da zahteva preteče čas. Če uporabniki ne morejo doseči vaše gruče Hybrid Data Security, se pojavijo naslednji simptomi:
Novih prostorov ni mogoče ustvariti (ni mogoče ustvariti novih ključev)
Sporočil in naslovov prostorov ni mogoče dešifrirati za:
Novi uporabniki dodani v prostor (ni mogoče pridobiti ključev)
Obstoječi uporabniki v prostoru, ki uporabljajo novega odjemalca (ni mogoče pridobiti ključev)
Obstoječi uporabniki v prostoru bodo še naprej uspešno delovali, dokler imajo njihovi odjemalci predpomnilnik šifrirnih ključev
Pomembno je, da pravilno spremljate svojo gručo Hybrid Data Security in nemudoma obravnavate vsa opozorila, da preprečite motnje storitve.
Opozorila
Če pride do težave z nastavitvijo Hybrid Data Security, Control Hub prikaže opozorila skrbniku organizacije in pošlje e-pošto na konfigurirani e-poštni naslov. Opozorila zajemajo številne pogoste scenarije.
Opozorilo | Akcija |
---|---|
Napaka pri dostopu do lokalne baze podatkov. |
Preverite napake baze podatkov ali težave z lokalnim omrežjem. |
Napaka povezave z lokalno bazo podatkov. |
Preverite, ali je strežnik baze podatkov na voljo in ali so bile v konfiguraciji vozlišča uporabljene prave poverilnice storitvenega računa. |
Napaka pri dostopu do storitve v oblaku. |
Preverite, ali lahko vozlišča dostopajo do strežnikov Webex, kot je določeno v Zahteve za zunanjo povezljivost. |
Podaljšanje registracije storitve v oblaku. |
Registracija v storitvah v oblaku je bila opuščena. Podaljšanje registracije je v teku. |
Registracija storitve v oblaku je padla. |
Registracija v storitve v oblaku je prekinjena. Storitev se zapira. |
Storitev še ni aktivirana. |
Aktivirajte preskusno različico ali dokončajte premik preizkusne različice v produkcijo. |
Konfigurirana domena se ne ujema s potrdilom strežnika. |
Prepričajte se, da se vaše potrdilo strežnika ujema s konfigurirano domeno za aktiviranje storitve. Najverjetnejši vzrok je, da je bilo potrdilo CN nedavno spremenjeno in se zdaj razlikuje od CN, ki je bilo uporabljeno med prvotno nastavitvijo. |
Preverjanje pristnosti v storitvah v oblaku ni uspelo. |
Preverite točnost in morebiten potek poverilnic storitvenega računa. |
Lokalne datoteke shrambe ključev ni bilo mogoče odpreti. |
Preverite celovitost in točnost gesla v datoteki lokalne shrambe ključev. |
Potrdilo lokalnega strežnika ni veljavno. |
Preverite datum veljavnosti strežniškega potrdila in potrdite, da ga je izdal zaupanja vreden overitelj potrdil. |
Ni mogoče objaviti meritev. |
Preverite dostop lokalnega omrežja do zunanjih storitev v oblaku. |
Imenik /media/configdrive/hds ne obstaja. |
Preverite konfiguracijo namestitve ISO na virtualnem gostitelju. Preverite, ali datoteka ISO obstaja, ali je konfigurirana za namestitev ob ponovnem zagonu in ali je uspešno nameščena. |
Odpravljanje težav s hibridno varnostjo podatkov
1 | Preglejte Control Hub za vsa opozorila in popravite vse elemente, ki jih najdete tam. |
2 | Preglejte izhod strežnika syslog za dejavnost razmestitve Hybrid Data Security. |
3 | Kontakt Cisco podpora. |
Znane težave pri hibridni varnosti podatkov
Če zaustavite svojo gručo Hybrid Data Security (tako da jo izbrišete v Control Hubu ali tako, da zaustavite vsa vozlišča), izgubite konfiguracijsko datoteko ISO ali izgubite dostop do baze podatkov shrambe ključev, vaši uporabniki aplikacije Webex ne morejo več uporabljati prostorov pod svojimi Ljudje seznam, ki so bili ustvarjeni s ključi iz vašega KMS. To velja tako za poskusno kot za proizvodno uvedbo. Trenutno nimamo rešitve ali popravka za to težavo in vas pozivamo, da ne zaustavite storitev HDS, ko obravnavajo aktivne uporabniške račune.
Odjemalec, ki ima obstoječo povezavo ECDH s KMS, vzdržuje to povezavo nekaj časa (verjetno eno uro). Ko uporabnik postane član preskusne različice Hybrid Data Security, uporabnikov odjemalec nadaljuje z uporabo obstoječe povezave ECDH, dokler ne poteče čas. Druga možnost je, da se uporabnik odjavi in znova prijavi v aplikacijo Webex App, da posodobi lokacijo, s katero se aplikacija obrne za šifrirne ključe.
Enako vedenje se zgodi, ko preizkus premaknete v proizvodnjo za organizacijo. Vsi uporabniki brez preskusne različice z obstoječimi povezavami ECDH s prejšnjimi storitvami za varnost podatkov bodo še naprej uporabljali te storitve, dokler se povezava ECDH ponovno ne dogovori (prek časovne omejitve ali z odjavo in ponovnim vstopom).
Uporabite OpenSSL za ustvarjanje datoteke PKCS12
Preden začneš
OpenSSL je eno orodje, ki ga lahko uporabite za izdelavo datoteke PKCS12 v ustreznem formatu za nalaganje v orodju za nastavitev HDS. Obstajajo drugi načini za to in ne podpiramo ali spodbujamo enega načina namesto drugega.
Če se odločite za uporabo OpenSSL, ponujamo ta postopek kot smernico za pomoč pri ustvarjanju datoteke, ki izpolnjuje zahteve potrdila X.509 v Zahteve za potrdilo X.509. Razumite te zahteve, preden nadaljujete.
Namestite OpenSSL v podprto okolje. glej https://www.openssl.org za programsko opremo in dokumentacijo.
Ustvari zasebni ključ.
Začnite ta postopek, ko prejmete strežniško potrdilo od svojega overitelja potrdil (CA).
1 | Ko prejmete strežniško potrdilo od službe za potrdila, ga shranite kot |
2 | Prikažite potrdilo kot besedilo in preverite podrobnosti.
|
3 | Z urejevalnikom besedila ustvarite datoteko svežnja potrdil, imenovano
|
4 | Ustvarite datoteko .p12 s prijaznim imenom
|
5 | Preverite podrobnosti potrdila strežnika. |
Kaj storiti naprej
Vrnitev na Izpolnite predpogoje za hibridno varnost podatkov. Uporabili boste hdsnode.p12
datoteko in geslo, ki ste ga nastavili zanjo, v Ustvarite konfiguracijski ISO za gostitelje HDS.
Te datoteke lahko znova uporabite za zahtevo po novem potrdilu, ko prvotno potrdilo poteče. |
Promet med vozlišči HDS in oblakom
Odhodni promet zbiranja meritev
Vozlišča Hybrid Data Security pošiljajo določene meritve v oblak Webex. Ti vključujejo sistemske meritve za največjo kopico, uporabljeno kopico, obremenitev procesorja in število niti; metrike sinhronih in asinhronih niti; meritve za opozorila, ki vključujejo prag šifrirnih povezav, zakasnitev ali dolžino čakalne vrste zahtev; metrike v shrambi podatkov; in meritve šifrirne povezave. Vozlišča pošiljajo šifrirano ključno gradivo prek zunajpasovnega (ločenega od zahteve) kanala.
Dohodni promet
Vozlišča Hybrid Data Security prejemajo naslednje vrste vhodnega prometa iz oblaka Webex:
Zahteve za šifriranje odjemalcev, ki jih usmeri šifrirna storitev
Nadgradnje programske opreme vozlišča
Konfigurirajte posrednike Squid za hibridno varnost podatkov
Websocket se ne more povezati prek proxyja Squid
Posredniki Squid, ki pregledujejo promet HTTPS, lahko motijo vzpostavitev spletne vtičnice ( wss:
) povezave, ki jih zahteva Hybrid Data Security. Ti razdelki dajejo navodila o tem, kako konfigurirati različne različice Squid za prezrtje wss:
prometa za pravilno delovanje storitev.
Lignji 4 in 5
Dodajte on_unsupported_protocol
direktiva za squid.conf
:
on_unsupported_protocol tunnel all
Lignji 3.5.27
Hibridno varnost podatkov smo uspešno preizkusili z dodanimi naslednjimi pravili squid.conf
. Ta pravila se lahko spremenijo, ko razvijamo funkcije in posodabljamo oblak Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Nove in spremenjene informacije
Datum | Izvedene spremembe | ||
---|---|---|---|
20. oktober 2023 |
| ||
7. avgust 2023 |
| ||
23. maj 2023 |
| ||
6. december 2022 |
| ||
23. november 2022 |
| ||
13. oktober 2021 | Docker Desktop mora zagnati namestitveni program, preden lahko namestite vozlišča HDS. glej Zahteve za namizje Docker. | ||
24. junij 2021 | Upoštevajte, da lahko znova uporabite datoteko zasebnega ključa in CSR, da zahtevate drugo potrdilo. glej Uporabite OpenSSL za ustvarjanje datoteke PKCS12 za podrobnosti. | ||
30. april 2021 | Zahteva VM za lokalni prostor na trdem disku je spremenjena na 30 GB. glej Zahteve za virtualnega gostitelja za podrobnosti. | ||
24. februar 2021 | Orodje za nastavitev HDS lahko zdaj deluje za posrednikom. glej Ustvarite konfiguracijski ISO za gostitelje HDS za podrobnosti. | ||
2. februar 2021 | HDS lahko zdaj deluje brez nameščene datoteke ISO. glej (Izbirno) Odpni ISO po konfiguraciji HDS za podrobnosti. | ||
11. januar 2021 | Dodane informacije o orodju za nastavitev HDS in proxyjih za Ustvarite konfiguracijski ISO za gostitelje HDS. | ||
13. oktober 2020 | Posodobljeno Prenesite namestitvene datoteke. | ||
8. oktober 2020 | Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča z ukazi za okolja FedRAMP. | ||
14. avgust 2020 | Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča s spremembami postopka prijave. | ||
5. avgust 2020 | Posodobljeno Preizkusite svojo hibridno uvedbo varnosti podatkov za spremembe v dnevniških sporočilih. Posodobljeno Zahteve za virtualnega gostitelja da odstranite največje število gostiteljev. | ||
16. junij 2020 | Posodobljeno Odstranite vozlišče za spremembe v uporabniškem vmesniku Control Hub. | ||
4. junij 2020 | Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS za spremembe v naprednih nastavitvah, ki jih lahko nastavite. | ||
29. maj 2020 | Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS da pokažete, da lahko TLS uporabljate tudi z bazami podatkov SQL Server, spremembami uporabniškega vmesnika in drugimi pojasnili. | ||
5. maj 2020 | Posodobljeno Zahteve za virtualnega gostitelja za prikaz novih zahtev ESXi 6.5. | ||
21. april 2020 | Posodobljeno Zahteve za zunanjo povezljivost z novimi gostitelji CI Amerike. | ||
1. april 2020 | Posodobljeno Zahteve za zunanjo povezljivost z informacijami o regionalnih gostiteljih CI. | ||
20. februar 2020 | Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS z informacijami o novem izbirnem zaslonu z naprednimi nastavitvami v orodju za nastavitev HDS. | ||
4. februar 2020 | Posodobljeno Zahteve za strežnik proxy. | ||
16. december 2019 | Pojasnjena je zahteva za delovanje v načinu blokiranega zunanjega razreševanja DNS Zahteve za strežnik proxy. | ||
19. november 2019 | Dodane informacije o načinu razreševanja blokiranega zunanjega DNS-ja v naslednjih razdelkih: | ||
8. november 2019 | Zdaj lahko konfigurirate omrežne nastavitve za vozlišče med uvajanjem OVA in ne pozneje. Ustrezno posodobljeni naslednji razdelki:
| ||
6. september 2019 | Dodan SQL Server Standard Zahteve za strežnik baze podatkov. | ||
29. avgust 2019 | Dodano Konfigurirajte posrednike Squid za hibridno varnost podatkov dodatek z navodili za konfiguriranje proxyjev Squid, da za pravilno delovanje prezrejo promet spletnih vtičnic. | ||
20. avgust 2019 | Dodani in posodobljeni razdelki za pokrivanje podpore posrednika za komunikacije vozlišča Hybrid Data Security z oblakom Webex. Za dostop samo do podporne vsebine proxyja za obstoječo uvedbo glejte Proxy podpora za Hybrid Data Security in Webex Video Mesh članek za pomoč. | ||
13. junij 2019 | Posodobljeno Potek naloge od preizkusa do proizvodnje z opomnikom za sinhronizacijo HdsTrialGroup predmet skupine pred začetkom preizkusa, če vaša organizacija uporablja sinhronizacijo imenikov. | ||
6. marec 2019 |
| ||
28. februar 2019 |
| ||
26. februar 2019 |
| ||
24. januar 2019 |
| ||
5. november 2018 |
| ||
19. oktober 2018 |
| ||
31. julij 2018 |
| ||
21. maj 2018 | Spremenjena terminologija, ki odraža preimenovanje Cisco Spark:
| ||
11. april 2018 |
| ||
22. februar 2018 |
| ||
15. februar 2018 |
| ||
18. januar 2018 |
| ||
2. november 2017 |
| ||
18. avgust 2017 | Prvič objavljeno |
Pregled varnosti hibridnih podatkov
Od prvega dne je bila varnost podatkov glavni poudarek pri oblikovanju Aplikacija Webex. Temelj te varnosti je šifriranje vsebine od konca do konca, ki ga omogoča Aplikacija Webex stranke, ki komunicirajo s storitvijo upravljanja ključev (KMS). KMS je odgovoren za ustvarjanje in upravljanje kriptografskih ključev, ki jih stranke uporabljajo za dinamično šifriranje in dešifriranje sporočil in datotek.
Privzeto vse Aplikacija Webex stranke dobijo šifriranje od konca do konca z dinamičnimi ključi, shranjenimi v oblaku KMS, v Ciscovem varnostnem področju. Hybrid Data Security premakne KMS in druge funkcije, povezane z varnostjo, v podatkovni center vašega podjetja, tako da nihče drug kot vi nima ključev do vaše šifrirane vsebine.
Arhitektura varnostnega področja
Arhitektura oblaka Webex ločuje različne vrste storitev v ločena področja ali domene zaupanja, kot je prikazano spodaj.
Za nadaljnje razumevanje hibridne varnosti podatkov si najprej oglejmo ta čisti oblak, kjer Cisco zagotavlja vse funkcije v svojem oblaku. Storitev identitete, edino mesto, kjer so uporabniki lahko neposredno povezani z njihovimi osebnimi podatki, kot je e-poštni naslov, je logično in fizično ločena od varnostnega področja v podatkovnem centru B. Oboje je ločeno od področja, kjer je na koncu shranjena šifrirana vsebina. , v podatkovnem centru C.
V tem diagramu je odjemalec aplikacija Webex, ki se izvaja na prenosnem računalniku uporabnika in je bila overjena s storitvijo identitete. Ko uporabnik sestavi sporočilo za pošiljanje v prostor, potekajo naslednji koraki:
Odjemalec vzpostavi varno povezavo s storitvijo za upravljanje ključev (KMS), nato pa zahteva ključ za šifriranje sporočila. Varna povezava uporablja ECDH, KMS pa šifrira ključ z glavnim ključem AES-256.
Sporočilo je šifrirano, preden zapusti odjemalca. Odjemalec ga pošlje storitvi indeksiranja, ki ustvari šifrirane iskalne indekse za pomoč pri prihodnjih iskanjih vsebine.
Šifrirano sporočilo je poslano storitvi skladnosti za preverjanje skladnosti.
Šifrirano sporočilo je shranjeno v območju shranjevanja.
Ko uvedete Hybrid Data Security, premaknete funkcije varnostnega področja (KMS, indeksiranje in skladnost) v vaš lokalni podatkovni center. Druge storitve v oblaku, ki sestavljajo Webex (vključno s shranjevanjem identitete in vsebine), ostajajo v domeni Cisca.
Sodelovanje z drugimi organizacijami
Uporabniki v vaši organizaciji lahko redno uporabljajo aplikacijo Webex za sodelovanje z zunanjimi udeleženci v drugih organizacijah. Ko eden od vaših uporabnikov zahteva ključ za prostor, ki je v lasti vaše organizacije (ker ga je ustvaril eden od vaših uporabnikov), vaš KMS pošlje ključ odjemalcu prek zaščitenega kanala ECDH. Ko pa ima druga organizacija ključ za prostor, vaš KMS usmeri zahtevo v oblak Webex prek ločenega kanala ECDH, da pridobi ključ od ustreznega KMS, in nato vrne ključ vašemu uporabniku na izvirnem kanalu.
Storitev KMS, ki se izvaja v organizaciji A, preverja povezave s KMS-ji v drugih organizacijah z uporabo potrdil x.509 PKI. glej Pripravite svoje okolje za podrobnosti o ustvarjanju potrdila x.509 za uporabo z vašo uvedbo Hybrid Data Security.
Pričakovanja glede uvajanja hibridne varnosti podatkov
Uvedba hibridne varnosti podatkov zahteva veliko predanost strank in zavedanje tveganj, ki jih prinaša posedovanje šifrirnih ključev.
Za uvedbo Hybrid Data Security morate zagotoviti:
Varen podatkovni center v državi, ki je a podprto lokacijo za načrte Cisco Webex Teams.
Oprema, programska oprema in dostop do omrežja, opisani v Pripravite svoje okolje.
Popolna izguba konfiguracije ISO, ki jo zgradite za Hybrid Data Security, ali baze podatkov, ki jo zagotovite, bo povzročila izgubo ključev. Izguba ključa uporabnikom prepreči dešifriranje prostorske vsebine in drugih šifriranih podatkov v aplikaciji Webex. Če se to zgodi, lahko zgradite novo uvedbo, vendar bo vidna samo nova vsebina. Da preprečite izgubo dostopa do podatkov, morate:
Upravljajte varnostno kopiranje in obnovitev baze podatkov in konfiguracije ISO.
Bodite pripravljeni izvesti hitro obnovitev po katastrofi, če pride do katastrofe, kot je okvara diska baze podatkov ali katastrofa podatkovnega centra.
Ni mehanizma za premik ključev nazaj v oblak po uvedbi HDS. |
Postopek namestitve na visoki ravni
Ta dokument pokriva nastavitev in upravljanje uvedbe Hybrid Data Security:
Nastavite hibridno varnost podatkov— To vključuje pripravo zahtevane infrastrukture in namestitev programske opreme Hybrid Data Security, testiranje vaše uvedbe s podnaborom uporabnikov v preskusnem načinu in, ko je vaše testiranje končano, premik v proizvodnjo. To pretvori celotno organizacijo v uporabo vaše Hybrid Data Security gruče za varnostne funkcije.
Faze nastavitve, preizkusa in proizvodnje so podrobno obravnavane v naslednjih treh poglavjih.
Ohranite svojo uvedbo Hybrid Data Security— Oblak Webex samodejno zagotavlja stalne nadgradnje. Vaš IT oddelek lahko zagotovi podporo prve stopnje za to uvedbo in po potrebi vključi podporo Cisco. V Control Hubu lahko uporabite obvestila na zaslonu in nastavite opozorila po e-pošti.
Razumevanje pogostih opozoril, korakov za odpravljanje težav in znanih težav—Če naletite na težave pri uvajanju ali uporabi Hybrid Data Security, vam lahko zadnje poglavje tega vodnika in dodatek Znane težave pomagata ugotoviti in odpraviti težavo.
Hibridni model uvajanja varnosti podatkov
Znotraj podatkovnega centra vašega podjetja namestite Hybrid Data Security kot eno samo gručo vozlišč na ločenih virtualnih gostiteljih. Vozlišča komunicirajo z oblakom Webex prek varnih spletnih vtičnic in varnega HTTP-ja.
Med postopkom namestitve vam zagotovimo datoteko OVA za nastavitev virtualne naprave na VM, ki jih zagotovite. Z orodjem za nastavitev HDS ustvarite datoteko ISO konfiguracije gruče po meri, ki jo namestite na vsako vozlišče. Grozd Hybrid Data Security uporablja strežnik Syslogd, ki ste ga zagotovili, in bazo podatkov PostgreSQL ali Microsoft SQL Server. (Syslogd in podrobnosti o povezavi baze podatkov konfigurirate v orodju za namestitev HDS.)
Najmanjše število vozlišč, ki jih lahko imate v gruči, sta dve. Priporočamo vsaj tri, lahko pa tudi do pet. Če imate več vozlišč, zagotovite, da storitev ni prekinjena med nadgradnjo programske opreme ali drugo vzdrževalno dejavnostjo na vozlišču. (Oblak Webex nadgrajuje samo eno vozlišče naenkrat.)
Vsa vozlišča v gruči dostopajo do iste shrambe ključnih podatkov in beležijo dejavnost v isti strežnik syslog. Sama vozlišča so brez stanja in obravnavajo ključne zahteve na krožni način, po navodilih oblaka.
Vozlišča postanejo aktivna, ko jih registrirate v Control Hub. Če želite posamezno vozlišče izključiti iz uporabe, ga lahko odjavite in pozneje po potrebi znova registrirate.
Podpiramo samo eno gručo na organizacijo.
Preizkusni način hibridne varnosti podatkov
Ko nastavite uvedbo Hybrid Data Security, jo najprej preizkusite z nizom pilotnih uporabnikov. Med preskusnim obdobjem ti uporabniki uporabljajo vašo domeno Hybrid Data Security na mestu uporabe za šifrirne ključe in druge storitve varnostnega področja. Vaši drugi uporabniki še naprej uporabljajo varnostno področje oblaka.
Če se med preskusnim obdobjem odločite, da ne boste nadaljevali z uvajanjem in deaktivirate storitev, bodo pilotni uporabniki in vsi uporabniki, s katerimi so sodelovali z ustvarjanjem novih prostorov med preskusnim obdobjem, izgubili dostop do sporočil in vsebine. V aplikaciji Webex bodo videli »Tega sporočila ni mogoče dešifrirati«.
Če ste zadovoljni, da vaša uvedba dobro deluje za preskusne uporabnike in ste pripravljeni razširiti Hybrid Data Security na vse svoje uporabnike, premaknite uvedbo v produkcijo. Pilotni uporabniki imajo še naprej dostop do ključev, ki so bili v uporabi med preskusom. Vendar se ne morete premikati naprej in nazaj med produkcijskim načinom in prvotnim preskusom. Če morate deaktivirati storitev, na primer za izvedbo obnovitve po katastrofi, morate ob ponovni aktivaciji začeti novo preskusno različico in nastaviti nabor pilotnih uporabnikov za novo preskusno različico, preden se premaknete nazaj v produkcijski način. Ali uporabniki obdržijo dostop do podatkov na tej točki, je odvisno od tega, ali ste uspešno vzdrževali varnostne kopije shrambe ključnih podatkov in konfiguracijske datoteke ISO za vozlišča Hybrid Data Security v vaši gruči.
Podatkovni center v pripravljenosti za obnovitev po katastrofi
Med uvajanjem nastavite varen podatkovni center v pripravljenosti. V primeru katastrofe v podatkovnem centru lahko ročno prekinete svojo uvedbo v podatkovni center v pripravljenosti.
Podatkovne baze aktivnega in rezervnega podatkovnega centra so med seboj sinhronizirane, kar bo zmanjšalo čas, potreben za izvedbo samodejnega preklopa. Datoteka ISO podatkovnega centra v pripravljenosti je posodobljena z dodatnimi konfiguracijami, ki zagotavljajo, da so vozlišča registrirana v organizaciji, vendar ne bodo obravnavala prometa. Tako so vozlišča podatkovnega centra v pripravljenosti vedno posodobljena z najnovejšo različico programske opreme HDS.
Aktivna vozlišča Hybrid Data Security morajo biti vedno v istem podatkovnem centru kot aktivni strežnik baze podatkov. |
Nastavite podatkovni center v pripravljenosti za obnovitev po katastrofi
Za konfiguracijo datoteke ISO podatkovnega centra v pripravljenosti sledite spodnjim korakom:
Preden začneš
Podatkovni center v pripravljenosti bi moral zrcaliti produkcijsko okolje navideznih strojev in rezervno bazo podatkov PostgreSQL ali Microsoft SQL Server. Na primer, če ima proizvodnja 3 VM-je, ki poganjajo vozlišča HDS, bi moralo okolje za varnostno kopiranje imeti 3 VM-je. (Glej Podatkovni center v pripravljenosti za obnovitev po katastrofi za pregled tega modela samodejnega preklopa.)
Prepričajte se, da je omogočena sinhronizacija baze podatkov med bazo podatkov aktivnih in pasivnih vozlišč gruče.
1 | Zaženite orodje HDS Setup in sledite korakom, navedenim v Ustvarite konfiguracijski ISO za gostitelje HDS.
| ||
2 | Ko konfigurirate strežnik Syslogd, kliknite na Napredne nastavitve | ||
3 | Na Napredne nastavitve strani dodajte spodnjo konfiguracijo, da postavite vozlišče v pasivni način. V tem načinu bo vozlišče registrirano v organizaciji in povezano z oblakom, vendar ne bo obravnavalo prometa.
| ||
4 | Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga je enostavno najti. | ||
5 | Naredite varnostno kopijo datoteke ISO v vašem lokalnem sistemu. Varnostno kopijo shranite. Ta datoteka vsebuje glavni šifrirni ključ za vsebino baze podatkov. Omejite dostop samo na tiste skrbnike za hibridno varnost podatkov, ki bi morali spremeniti konfiguracijo. | ||
6 | V levem podoknu za krmarjenje odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve.. | ||
7 | Kliknite Uredi nastavitve >CD/DVD pogon 1 in izberite Datastore ISO File.
| ||
8 | Vklopite vozlišče HDS in se prepričajte, da ni alarmov vsaj 15 minut. | ||
9 | Ponovite postopek za vsako vozlišče v podatkovnem centru v pripravljenosti.
|
Kaj storiti naprej
Po konfiguraciji passiveMode
v datoteko ISO in jo shranite, lahko ustvarite drugo kopijo datoteke ISO brez passiveMode
konfiguracijo in jo shranite na varno mesto. Ta kopija datoteke ISO brez passiveMode
konfigurirano lahko pomaga pri hitrem procesu samodejnega preklopa med obnovitvijo po katastrofi. glej Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti za podroben postopek samodejnega preklopa.
Podpora za proxy
Hybrid Data Security podpira eksplicitne, pregledne inšpekcijske in neinšpekcijske posrednike. Te posrednike lahko povežete s svojo uvedbo, tako da lahko zavarujete in spremljate promet iz podjetja v oblak. Skrbniški vmesnik platforme lahko uporabite na vozliščih za upravljanje potrdil in za preverjanje splošnega stanja povezljivosti, potem ko nastavite proxy na vozliščih.
Vozlišča Hybrid Data Security podpirajo naslednje možnosti posrednika:
Brez posrednika— Privzeto, če za integracijo proxyja ne uporabljate nastavitve vozlišča HDS Trust Store & Proxy. Posodobitev potrdila ni potrebna.
Transparenten proxy brez nadzora— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy in ne bi smela zahtevati nobenih sprememb za delo s proxyjem, ki ne preverja. Posodobitev potrdila ni potrebna.
Transparentni proxy za tuneliranje ali pregledovanje— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy. Na vozliščih niso potrebne spremembe konfiguracije HTTP ali HTTPS. Vendar vozlišča potrebujejo korensko potrdilo, da zaupajo proxyju. Inspecting proxy običajno uporablja IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta proxyja dešifrira ves vaš promet (tudi HTTPS).
Eksplicitni posrednik— Z eksplicitnim proxy vozliščem HDS poveste, kateri strežnik proxy in shemo preverjanja pristnosti naj uporabijo. Če želite konfigurirati eksplicitni proxy, morate v vsako vozlišče vnesti naslednje informacije:
Proxy IP/FQDN—Naslov, ki ga je mogoče uporabiti za dostop do proxy naprave.
Proxy vrata—Številka vrat, ki jih proxy uporablja za poslušanje prometa prek posrednika.
Proxy protokol—Glede na to, kaj podpira vaš proxy strežnik, izberite med naslednjimi protokoli:
HTTP—Ogleda in nadzoruje vse zahteve, ki jih pošlje odjemalec.
HTTPS—zagotavlja kanal strežniku. Odjemalec prejme in potrdi potrdilo strežnika.
Vrsta avtentikacije—Izbirajte med naslednjimi vrstami preverjanja pristnosti:
Noben— Nadaljnje preverjanje pristnosti ni potrebno.
Na voljo, če kot proxy protokol izberete HTTP ali HTTPS.
Osnovno—Uporablja se za uporabniškega agenta HTTP, da zagotovi uporabniško ime in geslo, ko poda zahtevo. Uporablja kodiranje Base64.
Na voljo, če kot proxy protokol izberete HTTP ali HTTPS.
Za vsako vozlišče morate vnesti uporabniško ime in geslo.
prebaviti— Uporablja se za potrditev računa pred pošiljanjem občutljivih informacij. Uporabi zgoščeno funkcijo za uporabniško ime in geslo pred pošiljanjem po omrežju.
Na voljo samo, če izberete HTTPS kot posredniški protokol.
Za vsako vozlišče morate vnesti uporabniško ime in geslo.
Primer vozlišč hibridne varnosti podatkov in posrednika
Ta diagram prikazuje primer povezave med Hybrid Data Security, omrežjem in proxyjem. Za možnosti transparentnega pregledovanja in eksplicitnega pregledovanja HTTPS proxy mora biti isto korensko potrdilo nameščeno na proxyju in vozliščih Hybrid Data Security.
Blokiran zunanji način reševanja DNS (eksplicitne konfiguracije proxyja)
Ko registrirate vozlišče ali preverite konfiguracijo proxy vozlišča, postopek preizkusi iskanje DNS in povezljivost z oblakom Cisco Webex. Pri uvedbah z eksplicitnimi konfiguracijami posrednika, ki ne dovoljujejo zunanjega razreševanja DNS za notranje odjemalce, če vozlišče ne more poizvedovati po strežnikih DNS, samodejno preide v način blokiranega zunanjega razreševanja DNS. V tem načinu se lahko nadaljuje registracija vozlišča in drugi testi povezljivosti posrednika.
Zahteve za hibridno varnost podatkov
Licenčne zahteve za Cisco Webex
Če želite uvesti Hybrid Data Security:
Za Cisco Webex Control Hub morate imeti Pro Pack. (Glej https://www.cisco.com/go/pro-pack.)
Zahteve za namizje Docker
Preden namestite vozlišča HDS, potrebujete Docker Desktop za zagon namestitvenega programa. Docker je nedavno posodobil svoj model licenciranja. Vaša organizacija morda zahteva plačljivo naročnino za Docker Desktop. Za podrobnosti si oglejte objavo v spletnem dnevniku Docker, " Docker posodablja in podaljšuje naše naročnine na izdelke".
Zahteve za potrdilo X.509
Certifikacijska veriga mora izpolnjevati naslednje zahteve:
Zahteva | Podrobnosti |
---|---|
| Privzeto zaupamo CA-jem na seznamu Mozilla (z izjemo WoSign in StartCom) na https://wiki.mozilla.org/CA:IncludedCAs. |
| Ni treba, da je CN dosegljiv ali gostitelj v živo. Priporočamo, da uporabite ime, ki odraža vašo organizacijo, na primer KN ne sme vsebovati * (nadomestni znak). CN se uporablja za preverjanje vozlišč Hybrid Data Security za odjemalce aplikacije Webex. Vsa vozlišča Hybrid Data Security v vaši gruči uporabljajo isto potrdilo. Vaš KMS se identificira z uporabo domene CN, ne katere koli domene, ki je definirana v poljih SAN x.509v3. Ko registrirate vozlišče s tem potrdilom, ne podpiramo spreminjanja imena domene CN. Izberite domeno, ki se lahko uporablja za preskusno in produkcijsko uvedbo. |
| Programska oprema KMS ne podpira podpisov SHA1 za preverjanje povezav s KMS-ji drugih organizacij. |
| Za spremembo oblike potrdila lahko uporabite pretvornik, kot je OpenSSL. Ko zaženete orodje za nastavitev HDS, boste morali vnesti geslo. |
Programska oprema KMS ne uveljavlja uporabe ključev ali razširjenih omejitev uporabe ključev. Nekateri overitelji potrdil zahtevajo, da se za vsako potrdilo uporabijo razširjene omejitve uporabe ključa, na primer preverjanje pristnosti strežnika. V redu je, če uporabite avtentikacijo strežnika ali druge nastavitve.
Zahteve za virtualnega gostitelja
Navidezni gostitelji, ki jih boste nastavili kot vozlišča Hybrid Data Security v vaši gruči, imajo naslednje zahteve:
Vsaj dva ločena gostitelja (3 priporočljivo), nameščena v istem varnem podatkovnem centru
VMware ESXi 6.5 (ali novejši) nameščen in deluje.
Če imate starejšo različico ESXi, morate nadgraditi.
Najmanj 4 vCPU-ji, 8 GB glavnega pomnilnika, 30 GB lokalnega prostora na trdem disku na strežnik
Zahteve za strežnik baze podatkov
Ustvarite novo bazo podatkov za shranjevanje ključev. Ne uporabljajte privzete zbirke podatkov. Ko so nameščene aplikacije HDS, ustvarijo shemo baze podatkov. |
Obstajata dve možnosti za strežnik baze podatkov. Zahteve za vsakega so naslednje:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Najmanj 8 vCPU-jev, 16 GB glavnega pomnilnika, dovolj prostora na trdem disku in nadzor, da se zagotovi, da ni presežen (priporočeno je 2 TB, če želite bazo podatkov izvajati dlje časa, ne da bi morali povečati prostor za shranjevanje) | Najmanj 8 vCPU-jev, 16 GB glavnega pomnilnika, dovolj prostora na trdem disku in nadzor, da se zagotovi, da ni presežen (priporočeno je 2 TB, če želite bazo podatkov izvajati dlje časa, ne da bi morali povečati prostor za shranjevanje) |
Programska oprema HDS trenutno namesti naslednje različice gonilnikov za komunikacijo s strežnikom baze podatkov:
PostgreSQL | Microsoft SQL Server |
---|---|
Gonilnik Postgres JDBC 42.2.5 | Gonilnik SQL Server JDBC 4.6 Ta različica gonilnika podpira SQL Server Always On ( Always On Failover Cluster Instances in Skupine razpoložljivosti Always On). |
Dodatne zahteve za preverjanje pristnosti sistema Windows proti strežniku Microsoft SQL Server
Če želite, da vozlišča HDS uporabljajo preverjanje pristnosti sistema Windows za dostop do baze podatkov shrambe ključev v strežniku Microsoft SQL Server, potrebujete naslednjo konfiguracijo v svojem okolju:
Vozlišča HDS, infrastruktura Active Directory in MS SQL Server morajo biti vsi sinhronizirani z NTP.
Račun Windows, ki ga zagotovite vozliščem HDS, mora imeti dostop za branje/pisanje do baze podatkov.
Strežniki DNS, ki jih zagotovite vozliščem HDS, morajo imeti možnost razrešiti vaš center za distribucijo ključev (KDC).
Primerek baze podatkov HDS lahko registrirate na strežniku Microsoft SQL Server kot glavno ime storitve (SPN) v imeniku Active Directory. glej Registrirajte glavno ime storitve za povezave Kerberos.
Orodje za nastavitev HDS, zaganjalnik HDS in lokalni KMS morajo uporabljati preverjanje pristnosti sistema Windows za dostop do baze podatkov shrambe ključev. Uporabijo podrobnosti iz vaše konfiguracije ISO za izdelavo SPN, ko zahtevajo dostop s preverjanjem pristnosti Kerberos.
Zahteve za zunanjo povezljivost
Konfigurirajte požarni zid, da bo omogočal naslednje povezave za aplikacije HDS:
Aplikacija | Protokol | Pristanišče | Smer iz App | Destinacija |
---|---|---|---|---|
Hibridna varnostna vozlišča podatkov | TCP | 443 | Odhodni HTTPS in WSS |
|
Orodje za nastavitev HDS | TCP | 443 | Odhodni HTTPS |
|
Vozlišča Hybrid Data Security delujejo s prevajanjem omrežnega dostopa (NAT) ali za požarnim zidom, če NAT ali požarni zid omogoča zahtevane odhodne povezave do ciljev domene v prejšnji tabeli. Za povezave, ki potekajo vhodno do vozlišč Hybrid Data Security, iz interneta ne smejo biti vidna nobena vrata. V vašem podatkovnem centru odjemalci potrebujejo dostop do vozlišč Hybrid Data Security na vratih TCP 443 in 22 za administrativne namene. |
URL-ji za gostitelje skupne identitete (CI) so specifični za regijo. To so trenutni gostitelji CI:
Regija | URL-ji gostitelja skupne identitete |
---|---|
Amerike |
|
Evropska unija |
|
Kanada |
|
Zahteve za strežnik proxy
Uradno podpiramo naslednje rešitve proxy, ki se lahko integrirajo z vašimi vozlišči Hybrid Data Security.
Transparent proxy—Cisco Web Security Appliance (WSA).
Eksplicitni proxy—Squid.
Posredniki Squid, ki pregledujejo promet HTTPS, lahko motijo vzpostavitev spletne vtičnice (wss:) povezave. Če se želite izogniti tej težavi, glejte Konfigurirajte posrednike Squid za hibridno varnost podatkov.
Podpiramo naslednje kombinacije vrst preverjanja pristnosti za eksplicitne posrednike:
Ni avtentikacije s HTTP ali HTTPS
Osnovna avtentikacija s HTTP ali HTTPS
Pregled pristnosti samo s HTTPS
Za proxy proxy za pregledovanje ali eksplicitni proxy HTTPS morate imeti kopijo korenskega potrdila proxyja. Navodila za uvajanje v tem priročniku vam povejo, kako naložite kopijo v skrbniške shrambe vozlišč Hybrid Data Security.
Omrežje, ki gosti vozlišča HDS, mora biti konfigurirano tako, da prisili izhodni promet TCP na vratih 443, da se usmeri prek proxyja.
Posredniki, ki pregledujejo spletni promet, lahko motijo povezave s spletnimi vtičnicami. Če pride do te težave, obide (brez pregleda) promet do
wbx2.com
inciscospark.com
bo rešil problem.
Izpolnite predpogoje za hibridno varnost podatkov
1 | Prepričajte se, da je vaša organizacija Webex omogočena za Pro Pack za Cisco Webex Control Hub in pridobite poverilnice računa s polnimi skrbniškimi pravicami organizacije. Za pomoč pri tem postopku se obrnite na svojega Ciscovega partnerja ali upravitelja računa. | ||
2 | Izberite ime domene za svojo uvedbo HDS (npr. | ||
3 | Pripravite enake navidezne gostitelje, ki jih boste nastavili kot vozlišča Hybrid Data Security v vaši gruči. Potrebujete vsaj dva ločena gostitelja (3 priporočljivo), nameščena v istem varnem podatkovnem centru, ki izpolnjujeta zahteve v Zahteve za virtualnega gostitelja. | ||
4 | Pripravite strežnik baze podatkov, ki bo deloval kot shramba ključnih podatkov za gručo, v skladu z Zahteve za strežnik baze podatkov. Strežnik baze podatkov mora biti nameščen v varnem podatkovnem centru skupaj z virtualnimi gostitelji. | ||
5 | Za hitro obnovitev po katastrofi nastavite varnostno okolje v drugem podatkovnem centru. Okolje za varnostno kopiranje zrcali produkcijsko okolje navideznih strojev in strežnik baze podatkov za varnostno kopiranje. Na primer, če ima proizvodnja 3 VM-je, ki poganjajo vozlišča HDS, bi moralo okolje za varnostno kopiranje imeti 3 VM-je. | ||
6 | Nastavite gostitelja sistemskega dnevnika za zbiranje dnevnikov iz vozlišč v gruči. Zberite njegov omrežni naslov in vrata sistemskega dnevnika (privzeto je UDP 514). | ||
7 | Ustvarite politiko varnega varnostnega kopiranja za vozlišča Hybrid Data Security, strežnik baze podatkov in gostitelja sistemskega dnevnika. Če želite preprečiti nepopravljivo izgubo podatkov, morate najmanj varnostno kopirati bazo podatkov in konfiguracijsko datoteko ISO, ustvarjeno za vozlišča Hybrid Data Security.
Odjemalci aplikacije Webex shranjujejo svoje ključe v predpomnilnik, zato izpad morda ne bo takoj opazen, vendar bo sčasoma očiten. Čeprav je začasnih izpadov nemogoče preprečiti, jih je mogoče obnoviti. Vendar bo popolna izguba (razpoložljivih varnostnih kopij) baze podatkov ali konfiguracijske datoteke ISO povzročila nepopravljivost podatkov o strankah. Od operaterjev vozlišč Hybrid Data Security se pričakuje, da bodo vzdrževali pogoste varnostne kopije baze podatkov in konfiguracijske datoteke ISO ter da bodo pripravljeni na ponovno izgradnjo podatkovnega centra Hybrid Data Security, če pride do katastrofalne okvare. | ||
8 | Zagotovite, da vaša konfiguracija požarnega zidu omogoča povezljivost za vozlišča Hybrid Data Security, kot je opisano v Zahteve za zunanjo povezljivost. | ||
9 | Namestite Docker ( https://www.docker.com) na katerem koli lokalnem računalniku s podprtim OS (Microsoft Windows 10 Professional ali Enterprise 64-bit ali Mac OSX Yosemite 10.10.3 ali novejši) s spletnim brskalnikom, ki lahko dostopa do njega na http://127.0.0.1:8080. Primerek Docker uporabite za prenos in zagon orodja za nastavitev HDS, ki gradi lokalne konfiguracijske informacije za vsa vozlišča Hybrid Data Security. Vaša organizacija morda potrebuje licenco Docker Desktop. glej Zahteve za namizje Docker za več informacij. Če želite namestiti in zagnati orodje za nastavitev HDS, mora imeti lokalni računalnik povezljivost, opisano v Zahteve za zunanjo povezljivost. | ||
10 | Če integrirate proxy s Hybrid Data Security, se prepričajte, da ustreza Zahteve za strežnik proxy. | ||
11 | Če vaša organizacija uporablja sinhronizacijo imenikov, ustvarite skupino v imeniku Active Directory, imenovano
|
Potek opravila uvajanja hibridne varnosti podatkov
Preden začneš
1 | Prenesite namestitvene datoteke Prenesite datoteko OVA na svoj lokalni računalnik za kasnejšo uporabo. | ||
2 | Ustvarite konfiguracijski ISO za gostitelje HDS Z orodjem za nastavitev HDS ustvarite konfiguracijsko datoteko ISO za vozlišča Hybrid Data Security. | ||
3 |
Ustvarite virtualni stroj iz datoteke OVA in izvedite začetno konfiguracijo, kot so omrežne nastavitve.
| ||
4 | Nastavite Hybrid Data Security VM Prijavite se v konzolo VM in nastavite poverilnice za prijavo. Konfigurirajte omrežne nastavitve za vozlišče, če jih niste konfigurirali ob uvedbi OVA. | ||
5 | Naložite in namestite ISO konfiguracije HDS Konfigurirajte VM iz konfiguracijske datoteke ISO, ki ste jo ustvarili z orodjem za namestitev HDS. | ||
6 | Konfigurirajte vozlišče HDS za integracijo posrednika Če omrežno okolje zahteva konfiguracijo proxyja, podajte vrsto proxyja, ki ga boste uporabili za vozlišče, in po potrebi dodajte potrdilo proxyja v shrambo zaupanja. | ||
7 | Registrirajte prvo vozlišče v gruči Registrirajte VM v oblaku Cisco Webex kot Hybrid Data Security node. | ||
8 | Ustvarite in registrirajte več vozlišč Dokončajte nastavitev gruče. | ||
9 | Izvedite preizkus in se premaknite v produkcijo (naslednje poglavje) Dokler ne začnete preizkusa, vaša vozlišča ustvarijo alarm, ki nakazuje, da vaša storitev še ni aktivirana. |
Prenesite namestitvene datoteke
1 | Prijavite se v https://admin.webex.comin nato kliknite Storitve. | ||||
2 | V razdelku Hybrid Services poiščite kartico Hybrid Data Security in kliknite Nastaviti. Če je kartica onemogočena ali je ne vidite, se obrnite na skupino za račun ali partnersko organizacijo. Dajte jim svojo številko računa in jih prosite, da vaši organizaciji omogočijo hibridno varnost podatkov. Če želite poiskati številko računa, kliknite zobnik v zgornjem desnem kotu poleg imena vaše organizacije.
| ||||
3 | Izberite št da označite, da vozlišča še niste nastavili, in nato kliknite Naslednji. Datoteka OVA se samodejno začne prenašati. Datoteko shranite na mesto v vašem računalniku.
| ||||
4 | Po želji kliknite Odprite vodnik za uvajanje da preverite, ali je na voljo novejša različica tega priročnika. |
Ustvarite konfiguracijski ISO za gostitelje HDS
Postopek nastavitve Hybrid Data Security ustvari datoteko ISO. Nato uporabite ISO za konfiguracijo gostitelja Hybrid Data Security.
Preden začneš
Orodje HDS Setup deluje kot vsebnik Docker na lokalnem računalniku. Za dostop do njega zaženite Docker na tem računalniku. Postopek namestitve zahteva poverilnice računa Control Hub s polnimi skrbniškimi pravicami za vašo organizacijo.
Če orodje za namestitev HDS deluje za proxyjem v vašem okolju, podajte nastavitve proxyja (strežnik, vrata, poverilnice) prek spremenljivk okolja Docker, ko prikažete vsebnik Docker v koraku 5. Ta tabela podaja nekaj možnih spremenljivk okolja:
Opis
Spremenljivka
HTTP Proxy brez avtentikacije
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS Proxy brez avtentikacije
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP proxy z avtentikacijo
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy z avtentikacijo
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Konfiguracijska datoteka ISO, ki jo ustvarite, vsebuje glavni ključ, ki šifrira bazo podatkov PostgreSQL ali Microsoft SQL Server. Najnovejšo kopijo te datoteke potrebujete vsakič, ko spremenite konfiguracijo, kot je ta:
Poverilnice baze podatkov
Posodobitve potrdil
Spremembe politike avtorizacije
Če nameravate šifrirati povezave z bazo podatkov, nastavite svojo uvedbo PostgreSQL ali SQL Server za TLS.
1 | V ukazno vrstico vašega računalnika vnesite ustrezen ukaz za vaše okolje: V običajnih okoljih:
V okoljih FedRAMP:
| ||||||||||||
2 | Za vpis v register slik Docker vnesite naslednje:
| ||||||||||||
3 | Ob pozivu za geslo vnesite to zgoščeno vrednost:
| ||||||||||||
4 | Prenesite najnovejšo stabilno sliko za vaše okolje: V običajnih okoljih:
V okoljih FedRAMP:
| ||||||||||||
5 | Ko je vlečenje končano, vnesite ustrezen ukaz za vaše okolje:
Ko se vsebnik izvaja, vidite »Strežnik Express posluša na vratih 8080«. | ||||||||||||
6 |
Uporabite spletni brskalnik za dostop do lokalnega gostitelja, Orodje uporabi ta prvi vnos uporabniškega imena za nastavitev ustreznega okolja za ta račun. Orodje nato prikaže standardni poziv za prijavo. | ||||||||||||
7 | Ko ste pozvani, vnesite poverilnice za prijavo skrbnika stranke Control Hub in kliknite Vpiši se da omogočite dostop do zahtevanih storitev za Hybrid Data Security. | ||||||||||||
8 | Na strani s pregledom orodja za nastavitev kliknite Začeti. | ||||||||||||
9 | Na ISO uvoz strani, imate te možnosti:
| ||||||||||||
10 | Preverite, ali vaše potrdilo X.509 izpolnjuje zahteve v Zahteve za potrdilo X.509.
| ||||||||||||
11 | Vnesite naslov baze podatkov in račun za HDS za dostop do shrambe ključnih podatkov: | ||||||||||||
12 | Izberite a Način povezave z bazo podatkov TLS:
Ko naložite korensko potrdilo (če je potrebno) in kliknite Nadaljuj, orodje za nastavitev HDS preizkusi povezavo TLS s strežnikom baze podatkov. Orodje preveri tudi podpisnika potrdila in ime gostitelja, če je na voljo. Če preizkus ne uspe, orodje prikaže sporočilo o napaki, ki opisuje težavo. Izberete lahko, ali želite napako prezreti in nadaljevati z nastavitvijo. (Zaradi razlik v povezljivosti bodo vozlišča HDS morda lahko vzpostavila povezavo TLS, tudi če naprava z orodjem za nastavitev HDS tega ne more uspešno preizkusiti.) | ||||||||||||
13 | Na strani Sistemski dnevniki konfigurirajte strežnik Syslogd: | ||||||||||||
14 | (Izbirno) Spremenite lahko privzeto vrednost za nekatere parametre povezave z bazo podatkov v Napredne nastavitve. Na splošno je ta parameter edini, ki bi ga morda želeli spremeniti:
| ||||||||||||
15 | Kliknite Nadaljuj na Ponastavite geslo za storitvene račune zaslon. Gesla storitvenih računov imajo življenjsko dobo devet mesecev. Uporabite ta zaslon, ko se vaša gesla bližajo izteku ali jih želite ponastaviti, da razveljavi prejšnje datoteke ISO. | ||||||||||||
16 | Kliknite Prenesite datoteko ISO. Datoteko shranite na mesto, ki ga je enostavno najti. | ||||||||||||
17 | Naredite varnostno kopijo datoteke ISO v vašem lokalnem sistemu. Varnostno kopijo shranite. Ta datoteka vsebuje glavni šifrirni ključ za vsebino baze podatkov. Omejite dostop samo na tiste skrbnike za hibridno varnost podatkov, ki bi morali spremeniti konfiguracijo. | ||||||||||||
18 | Če želite zaustaviti orodje za nastavitev, vnesite |
Kaj storiti naprej
Varnostno kopirajte konfiguracijsko datoteko ISO. Potrebujete ga za ustvarjanje več vozlišč za obnovitev ali za spreminjanje konfiguracije. Če izgubite vse kopije datoteke ISO, ste izgubili tudi glavni ključ. Obnovitev ključev iz baze podatkov PostgreSQL ali Microsoft SQL Server ni mogoča.
Nikoli nimamo kopije tega ključa in vam ne moremo pomagati, če ga izgubite. |
Namestite HDS Host OVA
1 | Uporabite odjemalca VMware vSphere v vašem računalniku, da se prijavite v navideznega gostitelja ESXi. | ||||||
2 | Izberite mapa > Namestite predlogo OVF. | ||||||
3 | V čarovniku določite lokacijo datoteke OVA, ki ste jo prej prenesli, in nato kliknite Naslednji . | ||||||
4 | Na Izberite ime in mapo strani vnesite a Ime navideznega stroja za vozlišče (na primer "HDS_node_1"), izberite lokacijo, kjer je lahko uvedba vozlišča navideznega stroja, in nato kliknite Naslednji . | ||||||
5 | Na Izberite računalniški vir izberite ciljni računalniški vir in kliknite Naslednji . Zažene se preverjanje veljavnosti. Ko se konča, se prikažejo podrobnosti predloge. | ||||||
6 | Preverite podrobnosti predloge in kliknite Naslednji. | ||||||
7 | Če ste pozvani, da izberete konfiguracijo vira na Konfiguracija strani, kliknite 4 procesor in nato kliknite Naslednji . | ||||||
8 | Na Izberite shranjevanje strani, kliknite Naslednji da sprejmete privzeti format diska in politiko shranjevanja VM. | ||||||
9 | Na Izberite omrežja izberite omrežno možnost s seznama vnosov, da zagotovite želeno povezljivost z VM. | ||||||
10 | Na Prilagodite predlogo strani, konfigurirajte naslednje omrežne nastavitve:
Če želite, lahko preskočite konfiguracijo omrežnih nastavitev in sledite korakom v Nastavite Hybrid Data Security VM da konfigurirate nastavitve iz konzole vozlišča.
| ||||||
11 | Z desno miškino tipko kliknite vozlišče VM in nato izberite .Programska oprema Hybrid Data Security je nameščena kot gost na gostitelju VM. Zdaj ste pripravljeni, da se prijavite v konzolo in konfigurirate vozlišče. Nasveti za odpravljanje težav Preden se vsebniki vozlišč prikažejo, lahko pride do nekajminutne zamude. Med prvim zagonom se na konzoli pojavi sporočilo mostnega požarnega zidu, med katerim se ne morete prijaviti. |
Nastavite Hybrid Data Security VM
S tem postopkom se prvič prijavite v konzolo VM vozlišča Hybrid Data Security in nastavite poverilnice za prijavo. S konzolo lahko konfigurirate tudi omrežne nastavitve za vozlišče, če jih niste konfigurirali ob uvedbi OVA.
1 | V odjemalcu VMware vSphere izberite VM vozlišča Hybrid Data Security in izberite Konzola zavihek. VM se zažene in prikaže se poziv za prijavo. Če se poziv za prijavo ne prikaže, pritisnite Vnesite.
|
2 | Za prijavo in spremembo poverilnic uporabite naslednjo privzeto prijavo in geslo: Ker se v svoj VM vpisujete prvič, morate spremeniti skrbniško geslo. |
3 | Če ste že konfigurirali omrežne nastavitve v Namestite HDS Host OVA, preskočite preostanek tega postopka. V nasprotnem primeru v glavnem meniju izberite Uredi konfiguracijo možnost. |
4 | Nastavite statično konfiguracijo z informacijami o naslovu IP, maski, prehodu in DNS. Vaše vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt. |
5 | (Izbirno) Spremenite ime gostitelja, domeno ali strežnike NTP, če je potrebno, da se ujemajo z vašo omrežno politiko. Ni vam treba nastaviti domene, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509. |
6 | Shranite omrežno konfiguracijo in znova zaženite VM, da bodo spremembe začele veljati. |
Naložite in namestite ISO konfiguracije HDS
Preden začneš
Ker datoteka ISO vsebuje glavni ključ, jo je treba razkriti samo na podlagi "potrebe vedeti" za dostop navideznih računalnikov Hybrid Data Security in vseh skrbnikov, ki bodo morda morali narediti spremembe. Prepričajte se, da imajo samo ti skrbniki dostop do shrambe podatkov.
1 | Naložite datoteko ISO iz računalnika: |
2 | Namestite datoteko ISO: |
Kaj storiti naprej
Če vaša politika IT zahteva, lahko po želji odklopite datoteko ISO, potem ko vsa vaša vozlišča prevzamejo spremembe konfiguracije. glej (Izbirno) Odpni ISO po konfiguraciji HDS za podrobnosti.
Konfigurirajte vozlišče HDS za integracijo posrednika
Če omrežno okolje zahteva proxy, s tem postopkom določite vrsto proxyja, s katerim se želite integrirati Hibridna varnost podatkov. Če izberete proxy proxy za pregledovanje ali eksplicitni proxy HTTPS, lahko uporabite vmesnik vozlišča za nalaganje in namestitev korenskega potrdila. Povezavo proxy lahko preverite tudi prek vmesnika in odpravite morebitne težave.
Preden začneš
glej Podpora za proxy za pregled podprtih možnosti proxyja.
1 | Vnesite URL za nastavitev vozlišča HDS |
2 | Pojdi do Trust Store & Proxyin nato izberite možnost:
Sledite naslednjim korakom za pregleden proxy za pregledovanje, eksplicitni proxy HTTP z osnovnim preverjanjem pristnosti ali eksplicitni proxy HTTPS. |
3 | Kliknite Naložite korensko potrdilo ali potrdilo končne entitete, nato pa se pomaknite do izbire korenskega potrdila za proxy. Potrdilo je naloženo, vendar še ni nameščeno, ker morate za namestitev potrdila znova zagnati vozlišče. Kliknite puščico ševrona ob imenu izdajatelja potrdila, da dobite več podrobnosti ali kliknite Izbriši če ste se zmotili in želite znova naložiti datoteko. |
4 | Kliknite Preverite povezavo proxy da preizkusite omrežno povezljivost med vozliščem in posrednikom. Če preizkus povezave ne uspe, boste videli sporočilo o napaki, ki prikazuje razlog in kako lahko odpravite težavo. Če vidite sporočilo, da zunanja razrešitev DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS. Ta pogoj je pričakovan v številnih eksplicitnih konfiguracijah proxyja. Lahko nadaljujete z nastavitvijo in vozlišče bo delovalo v načinu blokirane zunanje ločljivosti DNS. Če menite, da je to napaka, dokončajte te korake in si oglejte Izklopite način razreševanja blokiranega zunanjega DNS-ja. |
5 | Ko je preskus povezave uspešen, za eksplicitni proxy, nastavljen samo na https, preklopite stikalo na Usmerite vse https zahteve vrat 443/444 iz tega vozlišča prek eksplicitnega proxyja. Ta nastavitev začne veljati po 15 sekundah. |
6 | Kliknite Namestite vsa potrdila v Trust Store (prikaže se za eksplicitni proxy HTTPS ali pregledni proxy za preverjanje) ali Znova zaženite (prikaže se za eksplicitni proxy HTTP), preberite poziv in kliknite Namestite če si pripravljen. Vozlišče se znova zažene v nekaj minutah. |
7 | Ko se vozlišče znova zažene, se po potrebi znova vpišite in nato odprite Pregled strani, da preverite preverjanja povezljivosti in se prepričate, ali so vsi v zelenem stanju. Preverjanje povezave posrednika testira samo poddomeno webex.com. Če pride do težav s povezljivostjo, je pogosta težava, da so nekatere domene v oblaku, navedene v navodilih za namestitev, blokirane na strežniku proxy. |
Registrirajte prvo vozlišče v gruči
Ko registrirate svoje prvo vozlišče, ustvarite gručo, ki ji je vozlišče dodeljeno. Grozd vsebuje eno ali več vozlišč, nameščenih za zagotavljanje redundance.
Preden začneš
Ko začnete z registracijo vozlišča, jo morate dokončati v 60 minutah ali pa morate začeti znova.
Prepričajte se, da so v vašem brskalniku onemogočeni vsi blokatorji pojavnih oken ali da dovolite izjemo za admin.webex.com.
1 | Prijavite se v https://admin.webex.com. |
2 | V meniju na levi strani zaslona izberite Storitve. |
3 | V razdelku Hybrid Services poiščite Hybrid Data Security in kliknite Nastaviti. Prikaže se stran Register Hybrid Data Security Node.
|
4 | Izberite ja da označite, da ste nastavili vozlišče in ste ga pripravljeni registrirati, in nato kliknite Naslednji. |
5 | V prvo polje vnesite ime za gručo, ki ji želite dodeliti vozlišče Hybrid Data Security. Priporočamo, da gručo poimenujete glede na to, kje se geografsko nahajajo vozlišča gruče. Primeri: "San Francisco" ali "New York" ali "Dallas" |
6 | V drugo polje vnesite notranji naslov IP ali popolnoma kvalificirano ime domene (FQDN) svojega vozlišča in kliknite Naslednji. Ta naslov IP ali FQDN se mora ujemati z naslovom IP ali imenom gostitelja in domeno, ki ste jo uporabili Nastavite Hybrid Data Security VM. Prikaže se sporočilo, ki nakazuje, da lahko svoje vozlišče registrirate v Webex.
|
7 | Kliknite Pojdite na Node. |
8 | Kliknite Nadaljuj v opozorilnem sporočilu. Po nekaj trenutkih ste preusmerjeni na teste povezljivosti vozlišča za storitve Webex. Če so vsi preizkusi uspešni, se prikaže stran Dovoli dostop do vozlišča Hybrid Data Security Node. Tam potrdite, da želite svoji organizaciji Webex dati dovoljenja za dostop do vašega vozlišča.
|
9 | Preverite Dovolite dostop do vašega vozlišča Hybrid Data Security Node potrditveno polje in nato kliknite Nadaljuj. Vaš račun je potrjen in sporočilo »Registracija je dokončana« nakazuje, da je vaše vozlišče zdaj registrirano v oblaku Webex.
|
10 | Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Hybrid Data Security Control Hub. Na Hibridna varnost podatkov stran, se prikaže nova gruča, ki vsebuje vozlišče, ki ste ga registrirali. Vozlišče bo samodejno preneslo najnovejšo programsko opremo iz oblaka.
|
Ustvarite in registrirajte več vozlišč
Trenutno so varnostni VM-ji, ki ste jih ustvarili v Izpolnite predpogoje za hibridno varnost podatkov so gostitelji v pripravljenosti, ki se uporabljajo samo v primeru obnovitve po katastrofi; do takrat niso registrirani v sistemu. Za podrobnosti glejte Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti. |
Preden začneš
Ko začnete z registracijo vozlišča, jo morate dokončati v 60 minutah ali pa morate začeti znova.
Prepričajte se, da so v vašem brskalniku onemogočeni vsi blokatorji pojavnih oken ali da dovolite izjemo za admin.webex.com.
1 | Ustvarite nov virtualni stroj iz OVA in ponovite korake Namestite HDS Host OVA. |
2 | Nastavite začetno konfiguracijo na novem VM in ponovite korake v Nastavite Hybrid Data Security VM. |
3 | Na novem VM ponovite korake v Naložite in namestite ISO konfiguracije HDS. |
4 | Če nastavljate proxy za svojo uvedbo, ponovite korake v Konfigurirajte vozlišče HDS za integracijo posrednika kot je potrebno za novo vozlišče. |
5 | Registrirajte vozlišče. Vaše vozlišče je registrirano. Upoštevajte, da dokler ne začnete preizkusa, vaša vozlišča ustvarijo alarm, ki nakazuje, da vaša storitev še ni aktivirana.
|
Kaj storiti naprej
Potek naloge od poskusa do proizvodnje
Ko nastavite gručo Hybrid Data Security, lahko zaženete pilotni projekt, vanj dodate uporabnike in ga začnete uporabljati za preizkušanje in preverjanje vaše uvedbe v pripravah na selitev v proizvodnjo.
Preden začneš
1 | Če je primerno, sinhronizirajte Če vaša organizacija uporablja sinhronizacijo imenikov za uporabnike, morate izbrati |
2 |
Začni poskus. Dokler ne opravite te naloge, vaša vozlišča ustvarijo alarm, ki nakazuje, da storitev še ni aktivirana. |
3 | Preizkusite svojo hibridno uvedbo varnosti podatkov Preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security. |
4 | Spremljajte varnost hibridnih podatkov Preverite stanje in nastavite e-poštna obvestila za alarme. |
5 | |
6 | Dokončajte preskusno fazo z enim od naslednjih dejanj: |
Aktiviraj preizkus
Preden začneš
Če vaša organizacija uporablja sinhronizacijo imenikov za uporabnike, morate izbrati HdsTrialGroup
predmet skupine za sinhronizacijo z oblakom, preden lahko začnete preskusno obdobje za svojo organizacijo. Za navodila glejte Vodnik za uvajanje za Cisco Directory Connector.
1 | Prijavite se v https://admin.webex.comin nato izberite Storitve. |
2 | V razdelku Hibridna varnost podatkov kliknite nastavitve. |
3 | V razdelku Status storitve kliknite Začni preizkus. Stanje storitve se spremeni v poskusni način.
|
4 | Kliknite Dodajanje uporabnikov in vnesite e-poštni naslov enega ali več uporabnikov za poskusno uporabo vozlišč Hybrid Data Security za storitve šifriranja in indeksiranja. (Če vaša organizacija uporablja sinhronizacijo imenikov, uporabite Active Directory za upravljanje poskusne skupine, |
Preizkusite svojo hibridno uvedbo varnosti podatkov
Preden začneš
Nastavite svojo uvedbo Hybrid Data Security.
Aktivirajte preskusno različico in dodajte več poskusnih uporabnikov.
Prepričajte se, da imate dostop do sistemskega dnevnika, da preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security.
1 | Ključe za določen prostor nastavi ustvarjalec prostora. Prijavite se v aplikacijo Webex kot eden od pilotnih uporabnikov, nato pa ustvarite prostor in povabite vsaj enega pilotnega uporabnika in enega nepilotnega uporabnika.
| ||
2 | Pošljite sporočila v novi prostor. | ||
3 | Preverite izhod sistemskega dnevnika, da preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security. |
Spremljajte varnost hibridnih podatkov
1 | notri Nadzorno središče, izberite Storitve iz menija na levi strani zaslona. |
2 | V razdelku Hybrid Services poiščite Hybrid Data Security in kliknite nastavitve. Prikaže se stran z nastavitvami hibridne varnosti podatkov.
|
3 | V razdelku E-poštna obvestila vnesite enega ali več e-poštnih naslovov, ločenih z vejicami, in pritisnite Vnesite. |
Dodajte ali odstranite uporabnike iz svojega preizkusa
Če odstranite uporabnika iz preizkusa, bo uporabnikov odjemalec zahteval ključe in ustvarjanje ključa iz oblaka KMS namesto vašega KMS. Če odjemalec potrebuje ključ, ki je shranjen na vašem KMS, ga bo KMS v oblaku pridobil v imenu uporabnika.
Če vaša organizacija uporablja sinhronizacijo imenikov, uporabite Active Directory (namesto tega postopka) za upravljanje poskusne skupine, HdsTrialGroup
; člane skupine si lahko ogledate v Nadzornem središču, vendar jih ne morete dodati ali odstraniti.
1 | Prijavite se v Control Hub in nato izberite Storitve. |
2 | V razdelku Hibridna varnost podatkov kliknite nastavitve. |
3 | V razdelku Preizkusni način v območju Stanje storitve kliknite Dodajanje uporabnikov, ali kliknite ogled in urejanje za odstranitev uporabnikov iz preizkusa. |
4 | Vnesite e-poštni naslov enega ali več uporabnikov, ki jih želite dodati, ali kliknite X z ID-jem uporabnika, da uporabnika odstranite iz preizkusa. Nato kliknite Shrani. |
Premaknite se s preskusne različice na produkcijsko
1 | Prijavite se v Control Hub in nato izberite Storitve. |
2 | V razdelku Hibridna varnost podatkov kliknite nastavitve. |
3 | V razdelku Status storitve kliknite Premakni se v proizvodnjo. |
4 | Potrdite, da želite vse svoje uporabnike premakniti v produkcijo. |
Končajte preizkus, ne da bi se preselili v proizvodnjo
1 | Prijavite se v Control Hub in nato izberite Storitve. |
2 | V razdelku Hibridna varnost podatkov kliknite nastavitve. |
3 | V razdelku Deaktiviraj kliknite Deaktiviraj. |
4 | Potrdite, da želite deaktivirati storitev in končati preskusno obdobje. |
Upravljanje uvajanja HDS
Uporabite tukaj opisane naloge za upravljanje svoje razmestitve Hybrid Data Security.
Nastavite urnik nadgradnje gruče
Če želite nastaviti urnik nadgradnje:
1 | Prijavite se v Nadzorno središče. |
2 | Na strani Pregled v razdelku Hibridne storitve izberite Hibridna varnost podatkov. |
3 | Na strani Viri za varnost hibridnih podatkov izberite gručo. |
4 | Na plošči Pregled na desni v razdelku Nastavitve gruče izberite ime gruče. |
5 | Na strani z nastavitvami v razdelku Nadgradnja izberite čas in časovni pas za urnik nadgradnje. Opomba: Pod časovnim pasom sta prikazana datum in čas naslednje razpoložljive nadgradnje. Nadgradnjo lahko po potrebi prestavite na naslednji dan s klikom Odložiti. |
Spremenite konfiguracijo vozlišča
Spreminjanje potrdil x.509 zaradi poteka veljavnosti ali drugih razlogov.
Ne podpiramo spreminjanja imena domene CN potrdila. Domena se mora ujemati z izvirno domeno, uporabljeno za registracijo gruče.
Posodabljanje nastavitev baze podatkov za spremembo v repliko baze podatkov PostgreSQL ali Microsoft SQL Server.
Ne podpiramo selitve podatkov iz PostgreSQL v Microsoft SQL Server ali obratno. Če želite preklopiti okolje baze podatkov, začnite novo uvedbo Hybrid Data Security.
Ustvarjanje nove konfiguracije za pripravo novega podatkovnega centra.
Poleg tega za varnostne namene Hybrid Data Security uporablja gesla storitvenih računov, ki imajo devetmesečno življenjsko dobo. Ko orodje HDS Setup ustvari ta gesla, jih namestite v vsako od svojih vozlišč HDS v konfiguracijski datoteki ISO. Ko se gesla vaše organizacije bližajo izteku, prejmete obvestilo ekipe Webex za ponastavitev gesla za vaš strojni račun. (E-poštno sporočilo vključuje besedilo »Uporabite API računa stroja za posodobitev gesla.«) Če vaša gesla še niso potekla, vam orodje ponuja dve možnosti:
Mehka ponastavitev— Staro in novo geslo delujeta do 10 dni. To obdobje uporabite za postopno zamenjavo datoteke ISO na vozliščih.
Trda ponastavitev— Stara gesla prenehajo delovati takoj.
Če vaša gesla potečejo brez ponastavitve, to vpliva na vašo storitev HDS, saj zahteva takojšnjo strojno ponastavitev in zamenjavo datoteke ISO na vseh vozliščih.
S tem postopkom ustvarite novo konfiguracijsko datoteko ISO in jo uporabite za vašo gručo.
Preden začneš
Orodje HDS Setup deluje kot vsebnik Docker na lokalnem računalniku. Za dostop do njega zaženite Docker na tem računalniku. Postopek namestitve zahteva poverilnice računa Control Hub s polnimi skrbniškimi pravicami za vašo organizacijo.
Če orodje za namestitev HDS deluje za proxyjem v vašem okolju, podajte nastavitve proxyja (strežnik, vrata, poverilnice) prek spremenljivk okolja Docker, ko prikažete vsebnik Docker v 1.e. Ta tabela podaja nekaj možnih spremenljivk okolja:
Opis
Spremenljivka
HTTP Proxy brez avtentikacije
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS Proxy brez avtentikacije
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP proxy z avtentikacijo
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy z avtentikacijo
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Za ustvarjanje nove konfiguracije potrebujete kopijo trenutne konfiguracijske datoteke ISO. ISO vsebuje glavni ključ, ki šifrira bazo podatkov PostgreSQL ali Microsoft SQL Server. ISO potrebujete, ko spreminjate konfiguracijo, vključno s poverilnicami baze podatkov, posodobitvami potrdil ali spremembami pravilnika avtorizacije.
1 | Z Dockerjem na lokalnem računalniku zaženite orodje za namestitev HDS. |
2 | Če imate samo eno vozlišče HDS, ustvarite nov VM vozlišča Hybrid Data Security in ga registrirajte z novo konfiguracijsko datoteko ISO. Za podrobnejša navodila glejte Ustvarite in registrirajte več vozlišč. |
3 | Za obstoječa vozlišča HDS, ki izvajajo starejšo konfiguracijsko datoteko, namestite datoteko ISO. Izvedite naslednji postopek na vsakem vozlišču po vrsti in posodobite vsako vozlišče, preden izklopite naslednje vozlišče: |
4 | Ponovite 3. korak, da zamenjate konfiguracijo na vsakem preostalem vozlišču, ki izvaja staro konfiguracijo. |
Izklopite način razreševanja blokiranega zunanjega DNS-ja
Ko registrirate vozlišče ali preverite konfiguracijo proxy vozlišča, postopek preizkusi iskanje DNS in povezljivost z oblakom Cisco Webex. Če strežnik DNS vozlišča ne more razrešiti javnih imen DNS, vozlišče samodejno preide v način blokiranega zunanjega razreševanja DNS.
Če lahko vaša vozlišča razrešijo javna imena DNS prek notranjih strežnikov DNS, lahko ta način izklopite tako, da na vsakem vozlišču znova zaženete preskus povezave proxy.
Preden začneš
1 | V spletnem brskalniku odprite vmesnik vozlišča Hybrid Data Security (naslov IP/nastavitev, npr. https://192.0.2.0/setup), vnesite skrbniške poverilnice, ki ste jih nastavili za vozlišče, in nato kliknite Prijava. |
2 | Pojdi do Pregled (privzeta stran). Ko je omogočeno, Blokirana zunanja razrešitev DNS je nastavljeno na ja. |
3 | Pojdi na Trust Store & Proxy strani. |
4 | Kliknite Preverite povezavo proxy. Če vidite sporočilo, da zunanja razrešitev DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS in bo ostalo v tem načinu. V nasprotnem primeru, ko znova zaženete vozlišče in se vrnete na Pregled stran, Blokirana zunanja DNS resolucija mora biti nastavljena na št. |
Kaj storiti naprej
Odstranite vozlišče
1 | Uporabite odjemalca VMware vSphere v vašem računalniku, da se prijavite v virtualni gostitelj ESXi in izklopite virtualni stroj. |
2 | Odstranite vozlišče: |
3 | V odjemalcu vSphere izbrišite VM. (V levem podoknu za krmarjenje z desno miškino tipko kliknite VM in kliknite Izbriši.) Če VM ne izbrišete, ne pozabite odklopiti konfiguracijske datoteke ISO. Brez datoteke ISO ne morete uporabljati VM za dostop do svojih varnostnih podatkov. |
Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti
Najbolj kritična storitev, ki jo nudi vaša gruča Hybrid Data Security, je ustvarjanje in shranjevanje ključev, ki se uporabljajo za šifriranje sporočil in druge vsebine, shranjene v oblaku Webex. Za vsakega uporabnika v organizaciji, ki je dodeljen Hybrid Data Security, so nove zahteve za ustvarjanje ključev usmerjene v gručo. Grozd je odgovoren tudi za vrnitev ključev, ki jih je ustvaril vsem uporabnikom, ki so pooblaščeni, da jih pridobijo, na primer članom prostora za pogovor.
Ker gruča opravlja kritično funkcijo zagotavljanja teh ključev, je nujno, da gruča še naprej deluje in da se vzdržujejo ustrezne varnostne kopije. Izguba podatkovne baze Hybrid Data Security ali konfiguracijskega ISO, ki se uporablja za shemo, bo povzročila NEPODOLČLJIVO IZGUBO vsebine stranke. Naslednje prakse so obvezne za preprečitev takšne izgube:
Če katastrofa povzroči, da uvedba HDS v primarnem podatkovnem centru postane nerazpoložljiva, sledite temu postopku za ročni samodejni preklop v rezervni podatkovni center.
1 | Zaženite orodje HDS Setup in sledite korakom, navedenim v Ustvarite konfiguracijski ISO za gostitelje HDS. | ||
2 | Ko konfigurirate strežnik Syslogd, kliknite na Napredne nastavitve | ||
3 | Na Napredne nastavitve stran, dodajte spodnjo konfiguracijo ali odstranite
| ||
4 | Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga je enostavno najti. | ||
5 | Naredite varnostno kopijo datoteke ISO v vašem lokalnem sistemu. Varnostno kopijo shranite. Ta datoteka vsebuje glavni šifrirni ključ za vsebino baze podatkov. Omejite dostop samo na tiste skrbnike za hibridno varnost podatkov, ki bi morali spremeniti konfiguracijo. | ||
6 | V levem podoknu za krmarjenje odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve.. | ||
7 | Kliknite Uredi nastavitve >CD/DVD pogon 1 in izberite Datastore ISO File.
| ||
8 | Vklopite vozlišče HDS in se prepričajte, da ni alarmov vsaj 15 minut. | ||
9 | Ponovite postopek za vsako vozlišče v podatkovnem centru v pripravljenosti.
|
Kaj storiti naprej
(Izbirno) Odpni ISO po konfiguraciji HDS
Standardna konfiguracija HDS deluje z nameščenim ISO. Toda nekatere stranke raje ne puščajo datotek ISO neprekinjeno nameščenih. Datoteko ISO lahko odklopite, ko vsa vozlišča HDS prevzamejo novo konfiguracijo.
Za spreminjanje konfiguracije še vedno uporabljate datoteke ISO. Ko ustvarite nov ISO ali posodobite ISO prek orodja za nastavitev, morate posodobljeni ISO namestiti na vsa vozlišča HDS. Ko so vsa vaša vozlišča prevzela konfiguracijske spremembe, lahko s tem postopkom znova odklopite ISO.
Preden začneš
Nadgradite vsa svoja vozlišča HDS na različico 2021.01.22.4720 ali novejšo.
1 | Zaustavite eno od vozlišč HDS. |
2 | V strežniški napravi vCenter izberite vozlišče HDS. |
3 | Izberite Datoteka ISO za shranjevanje podatkov. in odkljukajte |
4 | Vklopite vozlišče HDS in zagotovite, da vsaj 20 minut ni alarmov. |
5 | Ponovite za vsako vozlišče HDS po vrsti. |
Ogled opozoril in odpravljanje težav
Uvedba hibridne varnosti podatkov se šteje za nerazpoložljivo, če so vsa vozlišča v gruči nedosegljiva ali če gruča deluje tako počasi, da zahteva preteče čas. Če uporabniki ne morejo doseči vaše gruče Hybrid Data Security, se pojavijo naslednji simptomi:
Novih prostorov ni mogoče ustvariti (ni mogoče ustvariti novih ključev)
Sporočil in naslovov prostorov ni mogoče dešifrirati za:
Novi uporabniki dodani v prostor (ni mogoče pridobiti ključev)
Obstoječi uporabniki v prostoru, ki uporabljajo novega odjemalca (ni mogoče pridobiti ključev)
Obstoječi uporabniki v prostoru bodo še naprej uspešno delovali, dokler imajo njihovi odjemalci predpomnilnik šifrirnih ključev
Pomembno je, da pravilno spremljate svojo gručo Hybrid Data Security in nemudoma obravnavate vsa opozorila, da preprečite motnje storitve.
Opozorila
Če pride do težave z nastavitvijo Hybrid Data Security, Control Hub prikaže opozorila skrbniku organizacije in pošlje e-pošto na konfigurirani e-poštni naslov. Opozorila zajemajo številne pogoste scenarije.
Opozorilo | Dejanje |
---|---|
Napaka pri dostopu do lokalne baze podatkov. |
Preverite napake baze podatkov ali težave z lokalnim omrežjem. |
Napaka povezave z lokalno bazo podatkov. |
Preverite, ali je strežnik baze podatkov na voljo in ali so bile v konfiguraciji vozlišča uporabljene prave poverilnice storitvenega računa. |
Napaka pri dostopu do storitve v oblaku. |
Preverite, ali lahko vozlišča dostopajo do strežnikov Webex, kot je določeno v Zahteve za zunanjo povezljivost. |
Podaljšanje registracije storitve v oblaku. |
Registracija v storitvah v oblaku je bila opuščena. Podaljšanje registracije je v teku. |
Registracija storitve v oblaku je padla. |
Registracija v storitve v oblaku je prekinjena. Storitev se zapira. |
Storitev še ni aktivirana. |
Aktivirajte preskusno različico ali dokončajte premik preizkusne različice v produkcijo. |
Konfigurirana domena se ne ujema s potrdilom strežnika. |
Prepričajte se, da se vaše potrdilo strežnika ujema s konfigurirano domeno za aktiviranje storitve. Najverjetnejši vzrok je, da je bilo potrdilo CN nedavno spremenjeno in se zdaj razlikuje od CN, ki je bilo uporabljeno med prvotno nastavitvijo. |
Preverjanje pristnosti v storitvah v oblaku ni uspelo. |
Preverite točnost in morebiten potek poverilnic storitvenega računa. |
Lokalne datoteke shrambe ključev ni bilo mogoče odpreti. |
Preverite celovitost in točnost gesla v datoteki lokalne shrambe ključev. |
Potrdilo lokalnega strežnika ni veljavno. |
Preverite datum veljavnosti strežniškega potrdila in potrdite, da ga je izdal zaupanja vreden overitelj potrdil. |
Ni mogoče objaviti meritev. |
Preverite dostop lokalnega omrežja do zunanjih storitev v oblaku. |
Imenik /media/configdrive/hds ne obstaja. |
Preverite konfiguracijo namestitve ISO na virtualnem gostitelju. Preverite, ali datoteka ISO obstaja, ali je konfigurirana za namestitev ob ponovnem zagonu in ali je uspešno nameščena. |
Odpravljanje težav s hibridno varnostjo podatkov
1 | Preglejte Control Hub za vsa opozorila in popravite vse elemente, ki jih najdete tam. |
2 | Preglejte izhod strežnika syslog za dejavnost razmestitve Hybrid Data Security. |
3 | Kontakt Cisco podpora. |
Znane težave pri hibridni varnosti podatkov
Če zaustavite svojo gručo Hybrid Data Security (tako da jo izbrišete v Control Hubu ali tako, da zaustavite vsa vozlišča), izgubite konfiguracijsko datoteko ISO ali izgubite dostop do baze podatkov shrambe ključev, vaši uporabniki aplikacije Webex ne morejo več uporabljati prostorov pod svojimi Ljudje seznam, ki so bili ustvarjeni s ključi iz vašega KMS. To velja tako za poskusno kot za proizvodno uvedbo. Trenutno nimamo rešitve ali popravka za to težavo in vas pozivamo, da ne zaustavite storitev HDS, ko obravnavajo aktivne uporabniške račune.
Odjemalec, ki ima obstoječo povezavo ECDH s KMS, vzdržuje to povezavo nekaj časa (verjetno eno uro). Ko uporabnik postane član preskusne različice Hybrid Data Security, uporabnikov odjemalec nadaljuje z uporabo obstoječe povezave ECDH, dokler ne poteče čas. Druga možnost je, da se uporabnik odjavi in znova prijavi v aplikacijo Webex App, da posodobi lokacijo, s katero se aplikacija obrne za šifrirne ključe.
Enako vedenje se zgodi, ko preizkus premaknete v proizvodnjo za organizacijo. Vsi uporabniki brez preskusne različice z obstoječimi povezavami ECDH s prejšnjimi storitvami za varnost podatkov bodo še naprej uporabljali te storitve, dokler se povezava ECDH ponovno ne dogovori (prek časovne omejitve ali z odjavo in ponovnim vstopom).
Uporabite OpenSSL za ustvarjanje datoteke PKCS12
Preden začneš
OpenSSL je eno orodje, ki ga lahko uporabite za izdelavo datoteke PKCS12 v ustreznem formatu za nalaganje v orodju za nastavitev HDS. Obstajajo drugi načini za to in ne podpiramo ali spodbujamo enega načina namesto drugega.
Če se odločite za uporabo OpenSSL, ponujamo ta postopek kot smernico za pomoč pri ustvarjanju datoteke, ki izpolnjuje zahteve potrdila X.509 v Zahteve za potrdilo X.509. Razumite te zahteve, preden nadaljujete.
Namestite OpenSSL v podprto okolje. glej https://www.openssl.org za programsko opremo in dokumentacijo.
Ustvari zasebni ključ.
Začnite ta postopek, ko prejmete strežniško potrdilo od svojega overitelja potrdil (CA).
1 | Ko prejmete strežniško potrdilo od službe za potrdila, ga shranite kot |
2 | Prikažite potrdilo kot besedilo in preverite podrobnosti.
|
3 | Z urejevalnikom besedila ustvarite datoteko svežnja potrdil, imenovano
|
4 | Ustvarite datoteko .p12 s prijaznim imenom
|
5 | Preverite podrobnosti potrdila strežnika. |
Kaj storiti naprej
Vrnitev na Izpolnite predpogoje za hibridno varnost podatkov. Uporabili boste hdsnode.p12
datoteko in geslo, ki ste ga nastavili zanjo, v Ustvarite konfiguracijski ISO za gostitelje HDS.
Te datoteke lahko znova uporabite za zahtevo po novem potrdilu, ko prvotno potrdilo poteče. |
Promet med vozlišči HDS in oblakom
Odhodni promet zbiranja meritev
Vozlišča Hybrid Data Security pošiljajo določene meritve v oblak Webex. Ti vključujejo sistemske meritve za največjo kopico, uporabljeno kopico, obremenitev procesorja in število niti; metrike sinhronih in asinhronih niti; meritve za opozorila, ki vključujejo prag šifrirnih povezav, zakasnitev ali dolžino čakalne vrste zahtev; metrike v shrambi podatkov; in meritve šifrirne povezave. Vozlišča pošiljajo šifrirano ključno gradivo prek zunajpasovnega (ločenega od zahteve) kanala.
Dohodni promet
Vozlišča Hybrid Data Security prejemajo naslednje vrste vhodnega prometa iz oblaka Webex:
Zahteve za šifriranje odjemalcev, ki jih usmeri šifrirna storitev
Nadgradnje programske opreme vozlišča
Konfigurirajte posrednike Squid za hibridno varnost podatkov
Websocket se ne more povezati prek proxyja Squid
Posredniki Squid, ki pregledujejo promet HTTPS, lahko motijo vzpostavitev spletne vtičnice ( wss:
) povezave, ki jih zahteva Hybrid Data Security. Ti razdelki dajejo navodila o tem, kako konfigurirati različne različice Squid za prezrtje wss:
prometa za pravilno delovanje storitev.
Lignji 4 in 5
Dodajte on_unsupported_protocol
direktiva za squid.conf
:
on_unsupported_protocol tunnel all
Lignji 3.5.27
Hibridno varnost podatkov smo uspešno preizkusili z dodanimi naslednjimi pravili squid.conf
. Ta pravila se lahko spremenijo, ko razvijamo funkcije in posodabljamo oblak Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Nove in spremenjene informacije
Datum | Izvedene spremembe | ||
---|---|---|---|
20. oktober 2023 |
| ||
7. avgust 2023 |
| ||
23. maj 2023 |
| ||
6. december 2022 |
| ||
23. november 2022 |
| ||
13. oktober 2021 | Docker Desktop mora zagnati namestitveni program, preden lahko namestite vozlišča HDS. glej Zahteve za namizje Docker. | ||
24. junij 2021 | Upoštevajte, da lahko znova uporabite datoteko zasebnega ključa in CSR, da zahtevate drugo potrdilo. glej Uporabite OpenSSL za ustvarjanje datoteke PKCS12 za podrobnosti. | ||
30. april 2021 | Zahteva VM za lokalni prostor na trdem disku je spremenjena na 30 GB. glej Zahteve za virtualnega gostitelja za podrobnosti. | ||
24. februar 2021 | Orodje za nastavitev HDS lahko zdaj deluje za posrednikom. glej Ustvarite konfiguracijski ISO za gostitelje HDS za podrobnosti. | ||
2. februar 2021 | HDS lahko zdaj deluje brez nameščene datoteke ISO. glej (Izbirno) Odpni ISO po konfiguraciji HDS za podrobnosti. | ||
11. januar 2021 | Dodane informacije o orodju za nastavitev HDS in proxyjih za Ustvarite konfiguracijski ISO za gostitelje HDS. | ||
13. oktober 2020 | Posodobljeno Prenesite namestitvene datoteke. | ||
8. oktober 2020 | Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča z ukazi za okolja FedRAMP. | ||
14. avgust 2020 | Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča s spremembami postopka prijave. | ||
5. avgust 2020 | Posodobljeno Preizkusite svojo hibridno uvedbo varnosti podatkov za spremembe v dnevniških sporočilih. Posodobljeno Zahteve za virtualnega gostitelja da odstranite največje število gostiteljev. | ||
16. junij 2020 | Posodobljeno Odstranite vozlišče za spremembe v uporabniškem vmesniku Control Hub. | ||
4. junij 2020 | Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS za spremembe v naprednih nastavitvah, ki jih lahko nastavite. | ||
29. maj 2020 | Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS da pokažete, da lahko TLS uporabljate tudi z bazami podatkov SQL Server, spremembami uporabniškega vmesnika in drugimi pojasnili. | ||
5. maj 2020 | Posodobljeno Zahteve za virtualnega gostitelja za prikaz novih zahtev ESXi 6.5. | ||
21. april 2020 | Posodobljeno Zahteve za zunanjo povezljivost z novimi gostitelji CI Amerike. | ||
1. april 2020 | Posodobljeno Zahteve za zunanjo povezljivost z informacijami o regionalnih gostiteljih CI. | ||
20. februar 2020 | Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS z informacijami o novem izbirnem zaslonu z naprednimi nastavitvami v orodju za nastavitev HDS. | ||
4. februar 2020 | Posodobljeno Zahteve za strežnik proxy. | ||
16. december 2019 | Pojasnjena je zahteva za delovanje v načinu blokiranega zunanjega razreševanja DNS Zahteve za strežnik proxy. | ||
19. november 2019 | Dodane informacije o načinu razreševanja blokiranega zunanjega DNS-ja v naslednjih razdelkih: | ||
8. november 2019 | Zdaj lahko konfigurirate omrežne nastavitve za vozlišče med uvajanjem OVA in ne pozneje. Ustrezno posodobljeni naslednji razdelki:
| ||
6. september 2019 | Dodan SQL Server Standard Zahteve za strežnik baze podatkov. | ||
29. avgust 2019 | Dodano Konfigurirajte posrednike Squid za hibridno varnost podatkov dodatek z navodili za konfiguriranje proxyjev Squid, da za pravilno delovanje prezrejo promet spletnih vtičnic. | ||
20. avgust 2019 | Dodani in posodobljeni razdelki za pokrivanje podpore posrednika za komunikacije vozlišča Hybrid Data Security z oblakom Webex. Za dostop samo do podporne vsebine proxyja za obstoječo uvedbo glejte Proxy podpora za Hybrid Data Security in Webex Video Mesh članek za pomoč. | ||
13. junij 2019 | Posodobljeno Potek naloge od preizkusa do proizvodnje z opomnikom za sinhronizacijo HdsTrialGroup predmet skupine pred začetkom preizkusa, če vaša organizacija uporablja sinhronizacijo imenikov. | ||
6. marec 2019 |
| ||
28. februar 2019 |
| ||
26. februar 2019 |
| ||
24. januar 2019 |
| ||
5. november 2018 |
| ||
19. oktober 2018 |
| ||
31. julij 2018 |
| ||
21. maj 2018 | Spremenjena terminologija, ki odraža preimenovanje Cisco Spark:
| ||
11. april 2018 |
| ||
22. februar 2018 |
| ||
15. februar 2018 |
| ||
18. januar 2018 |
| ||
2. november 2017 |
| ||
18. avgust 2017 | Prvič objavljeno |
Pregled varnosti hibridnih podatkov
Od prvega dne je bila varnost podatkov glavni poudarek pri oblikovanju Aplikacija Webex. Temelj te varnosti je šifriranje vsebine od konca do konca, ki ga omogoča Aplikacija Webex stranke, ki komunicirajo s storitvijo upravljanja ključev (KMS). KMS je odgovoren za ustvarjanje in upravljanje kriptografskih ključev, ki jih stranke uporabljajo za dinamično šifriranje in dešifriranje sporočil in datotek.
Privzeto vse Aplikacija Webex stranke dobijo šifriranje od konca do konca z dinamičnimi ključi, shranjenimi v oblaku KMS, v Ciscovem varnostnem področju. Hybrid Data Security premakne KMS in druge funkcije, povezane z varnostjo, v podatkovni center vašega podjetja, tako da nihče drug kot vi nima ključev do vaše šifrirane vsebine.
Arhitektura varnostnega področja
Arhitektura oblaka Webex ločuje različne vrste storitev v ločena področja ali domene zaupanja, kot je prikazano spodaj.
Za nadaljnje razumevanje hibridne varnosti podatkov si najprej oglejmo ta čisti oblak, kjer Cisco zagotavlja vse funkcije v svojem oblaku. Storitev identitete, edino mesto, kjer so uporabniki lahko neposredno povezani z njihovimi osebnimi podatki, kot je e-poštni naslov, je logično in fizično ločena od varnostnega področja v podatkovnem centru B. Oboje je ločeno od področja, kjer je na koncu shranjena šifrirana vsebina. , v podatkovnem centru C.
V tem diagramu je odjemalec aplikacija Webex, ki se izvaja na prenosnem računalniku uporabnika in je bila overjena s storitvijo identitete. Ko uporabnik sestavi sporočilo za pošiljanje v prostor, potekajo naslednji koraki:
Odjemalec vzpostavi varno povezavo s storitvijo za upravljanje ključev (KMS), nato pa zahteva ključ za šifriranje sporočila. Varna povezava uporablja ECDH, KMS pa šifrira ključ z glavnim ključem AES-256.
Sporočilo je šifrirano, preden zapusti odjemalca. Odjemalec ga pošlje storitvi indeksiranja, ki ustvari šifrirane iskalne indekse za pomoč pri prihodnjih iskanjih vsebine.
Šifrirano sporočilo je poslano storitvi skladnosti za preverjanje skladnosti.
Šifrirano sporočilo je shranjeno v območju shranjevanja.
Ko uvedete Hybrid Data Security, premaknete funkcije varnostnega področja (KMS, indeksiranje in skladnost) v vaš lokalni podatkovni center. Druge storitve v oblaku, ki sestavljajo Webex (vključno s shranjevanjem identitete in vsebine), ostajajo v domeni Cisca.
Sodelovanje z drugimi organizacijami
Uporabniki v vaši organizaciji lahko redno uporabljajo aplikacijo Webex za sodelovanje z zunanjimi udeleženci v drugih organizacijah. Ko eden od vaših uporabnikov zahteva ključ za prostor, ki je v lasti vaše organizacije (ker ga je ustvaril eden od vaših uporabnikov), vaš KMS pošlje ključ odjemalcu prek zaščitenega kanala ECDH. Ko pa ima druga organizacija ključ za prostor, vaš KMS usmeri zahtevo v oblak Webex prek ločenega kanala ECDH, da pridobi ključ od ustreznega KMS, in nato vrne ključ vašemu uporabniku na izvirnem kanalu.
Storitev KMS, ki se izvaja v organizaciji A, preverja povezave s KMS-ji v drugih organizacijah z uporabo potrdil x.509 PKI. glej Pripravite svoje okolje za podrobnosti o ustvarjanju potrdila x.509 za uporabo z vašo uvedbo Hybrid Data Security.
Pričakovanja glede uvajanja hibridne varnosti podatkov
Uvedba hibridne varnosti podatkov zahteva veliko predanost strank in zavedanje tveganj, ki jih prinaša posedovanje šifrirnih ključev.
Za uvedbo Hybrid Data Security morate zagotoviti:
Varen podatkovni center v državi, ki je a podprto lokacijo za načrte Cisco Webex Teams.
Oprema, programska oprema in dostop do omrežja, opisani v Pripravite svoje okolje.
Popolna izguba konfiguracije ISO, ki jo zgradite za Hybrid Data Security, ali baze podatkov, ki jo zagotovite, bo povzročila izgubo ključev. Izguba ključa uporabnikom prepreči dešifriranje prostorske vsebine in drugih šifriranih podatkov v aplikaciji Webex. Če se to zgodi, lahko zgradite novo uvedbo, vendar bo vidna samo nova vsebina. Da preprečite izgubo dostopa do podatkov, morate:
Upravljajte varnostno kopiranje in obnovitev baze podatkov in konfiguracije ISO.
Bodite pripravljeni izvesti hitro obnovitev po katastrofi, če pride do katastrofe, kot je okvara diska baze podatkov ali katastrofa podatkovnega centra.
Ni mehanizma za premik ključev nazaj v oblak po uvedbi HDS. |
Postopek namestitve na visoki ravni
Ta dokument pokriva nastavitev in upravljanje uvedbe Hybrid Data Security:
Nastavite hibridno varnost podatkov— To vključuje pripravo zahtevane infrastrukture in namestitev programske opreme Hybrid Data Security, testiranje vaše uvedbe s podnaborom uporabnikov v preskusnem načinu in, ko je vaše testiranje končano, premik v proizvodnjo. To pretvori celotno organizacijo v uporabo vaše Hybrid Data Security gruče za varnostne funkcije.
Faze nastavitve, preizkusa in proizvodnje so podrobno obravnavane v naslednjih treh poglavjih.
Ohranite svojo uvedbo Hybrid Data Security— Oblak Webex samodejno zagotavlja stalne nadgradnje. Vaš IT oddelek lahko zagotovi podporo prve stopnje za to uvedbo in po potrebi vključi podporo Cisco. V Control Hubu lahko uporabite obvestila na zaslonu in nastavite opozorila po e-pošti.
Razumevanje pogostih opozoril, korakov za odpravljanje težav in znanih težav—Če naletite na težave pri uvajanju ali uporabi Hybrid Data Security, vam lahko zadnje poglavje tega vodnika in dodatek Znane težave pomagata ugotoviti in odpraviti težavo.
Hibridni model uvajanja varnosti podatkov
Znotraj podatkovnega centra vašega podjetja namestite Hybrid Data Security kot eno samo gručo vozlišč na ločenih virtualnih gostiteljih. Vozlišča komunicirajo z oblakom Webex prek varnih spletnih vtičnic in varnega HTTP-ja.
Med postopkom namestitve vam zagotovimo datoteko OVA za nastavitev virtualne naprave na VM, ki jih zagotovite. Z orodjem za nastavitev HDS ustvarite datoteko ISO konfiguracije gruče po meri, ki jo namestite na vsako vozlišče. Grozd Hybrid Data Security uporablja strežnik Syslogd, ki ste ga zagotovili, in bazo podatkov PostgreSQL ali Microsoft SQL Server. (Syslogd in podrobnosti o povezavi baze podatkov konfigurirate v orodju za namestitev HDS.)
Najmanjše število vozlišč, ki jih lahko imate v gruči, sta dve. Priporočamo vsaj tri, lahko pa tudi do pet. Če imate več vozlišč, zagotovite, da storitev ni prekinjena med nadgradnjo programske opreme ali drugo vzdrževalno dejavnostjo na vozlišču. (Oblak Webex nadgrajuje samo eno vozlišče naenkrat.)
Vsa vozlišča v gruči dostopajo do iste shrambe ključnih podatkov in beležijo dejavnost v isti strežnik syslog. Sama vozlišča so brez stanja in obravnavajo ključne zahteve na krožni način, po navodilih oblaka.
Vozlišča postanejo aktivna, ko jih registrirate v Control Hub. Če želite posamezno vozlišče izključiti iz uporabe, ga lahko odjavite in pozneje po potrebi znova registrirate.
Podpiramo samo eno gručo na organizacijo.
Preizkusni način hibridne varnosti podatkov
Ko nastavite uvedbo Hybrid Data Security, jo najprej preizkusite z nizom pilotnih uporabnikov. Med preskusnim obdobjem ti uporabniki uporabljajo vašo domeno Hybrid Data Security na mestu uporabe za šifrirne ključe in druge storitve varnostnega področja. Vaši drugi uporabniki še naprej uporabljajo varnostno področje oblaka.
Če se med preskusnim obdobjem odločite, da ne boste nadaljevali z uvajanjem in deaktivirate storitev, bodo pilotni uporabniki in vsi uporabniki, s katerimi so sodelovali z ustvarjanjem novih prostorov med preskusnim obdobjem, izgubili dostop do sporočil in vsebine. V aplikaciji Webex bodo videli »Tega sporočila ni mogoče dešifrirati«.
Če ste zadovoljni, da vaša uvedba dobro deluje za preskusne uporabnike in ste pripravljeni razširiti Hybrid Data Security na vse svoje uporabnike, premaknite uvedbo v produkcijo. Pilotni uporabniki imajo še naprej dostop do ključev, ki so bili v uporabi med preskusom. Vendar se ne morete premikati naprej in nazaj med produkcijskim načinom in prvotnim preskusom. Če morate deaktivirati storitev, na primer za izvedbo obnovitve po katastrofi, morate ob ponovni aktivaciji začeti novo preskusno različico in nastaviti nabor pilotnih uporabnikov za novo preskusno različico, preden se premaknete nazaj v produkcijski način. Ali uporabniki obdržijo dostop do podatkov na tej točki, je odvisno od tega, ali ste uspešno vzdrževali varnostne kopije shrambe ključnih podatkov in konfiguracijske datoteke ISO za vozlišča Hybrid Data Security v vaši gruči.
Podatkovni center v pripravljenosti za obnovitev po katastrofi
Med uvajanjem nastavite varen podatkovni center v pripravljenosti. V primeru katastrofe v podatkovnem centru lahko ročno prekinete svojo uvedbo v podatkovni center v pripravljenosti.
Podatkovne baze aktivnega in rezervnega podatkovnega centra so med seboj sinhronizirane, kar bo zmanjšalo čas, potreben za izvedbo samodejnega preklopa. Datoteka ISO podatkovnega centra v pripravljenosti je posodobljena z dodatnimi konfiguracijami, ki zagotavljajo, da so vozlišča registrirana v organizaciji, vendar ne bodo obravnavala prometa. Tako so vozlišča podatkovnega centra v pripravljenosti vedno posodobljena z najnovejšo različico programske opreme HDS.
Aktivna vozlišča Hybrid Data Security morajo biti vedno v istem podatkovnem centru kot aktivni strežnik baze podatkov. |
Nastavite podatkovni center v pripravljenosti za obnovitev po katastrofi
Za konfiguracijo datoteke ISO podatkovnega centra v pripravljenosti sledite spodnjim korakom:
Preden začneš
Podatkovni center v pripravljenosti bi moral zrcaliti produkcijsko okolje navideznih strojev in rezervno bazo podatkov PostgreSQL ali Microsoft SQL Server. Na primer, če ima proizvodnja 3 VM-je, ki poganjajo vozlišča HDS, bi moralo okolje za varnostno kopiranje imeti 3 VM-je. (Glej Podatkovni center v pripravljenosti za obnovitev po katastrofi za pregled tega modela samodejnega preklopa.)
Prepričajte se, da je omogočena sinhronizacija baze podatkov med bazo podatkov aktivnih in pasivnih vozlišč gruče.
1 | Zaženite orodje HDS Setup in sledite korakom, navedenim v Ustvarite konfiguracijski ISO za gostitelje HDS.
| ||
2 | Ko konfigurirate strežnik Syslogd, kliknite na Napredne nastavitve | ||
3 | Na Napredne nastavitve strani dodajte spodnjo konfiguracijo, da postavite vozlišče v pasivni način. V tem načinu bo vozlišče registrirano v organizaciji in povezano z oblakom, vendar ne bo obravnavalo prometa.
| ||
4 | Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga je enostavno najti. | ||
5 | Naredite varnostno kopijo datoteke ISO v vašem lokalnem sistemu. Varnostno kopijo shranite. Ta datoteka vsebuje glavni šifrirni ključ za vsebino baze podatkov. Omejite dostop samo na tiste skrbnike za hibridno varnost podatkov, ki bi morali spremeniti konfiguracijo. | ||
6 | V levem podoknu za krmarjenje odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve.. | ||
7 | Kliknite Uredi nastavitve >CD/DVD pogon 1 in izberite Datastore ISO File.
| ||
8 | Vklopite vozlišče HDS in se prepričajte, da ni alarmov vsaj 15 minut. | ||
9 | Ponovite postopek za vsako vozlišče v podatkovnem centru v pripravljenosti.
|
Kaj storiti naprej
Po konfiguraciji passiveMode
v datoteko ISO in jo shranite, lahko ustvarite drugo kopijo datoteke ISO brez passiveMode
konfiguracijo in jo shranite na varno mesto. Ta kopija datoteke ISO brez passiveMode
konfigurirano lahko pomaga pri hitrem procesu samodejnega preklopa med obnovitvijo po katastrofi. glej Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti za podroben postopek samodejnega preklopa.
Podpora za proxy
Hybrid Data Security podpira eksplicitne, pregledne inšpekcijske in neinšpekcijske posrednike. Te posrednike lahko povežete s svojo uvedbo, tako da lahko zavarujete in spremljate promet iz podjetja v oblak. Skrbniški vmesnik platforme lahko uporabite na vozliščih za upravljanje potrdil in za preverjanje splošnega stanja povezljivosti, potem ko nastavite proxy na vozliščih.
Vozlišča Hybrid Data Security podpirajo naslednje možnosti posrednika:
Brez posrednika— Privzeto, če za integracijo proxyja ne uporabljate nastavitve vozlišča HDS Trust Store & Proxy. Posodobitev potrdila ni potrebna.
Transparenten proxy brez nadzora— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy in ne bi smela zahtevati nobenih sprememb za delo s proxyjem, ki ne preverja. Posodobitev potrdila ni potrebna.
Transparentni proxy za tuneliranje ali pregledovanje— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy. Na vozliščih niso potrebne spremembe konfiguracije HTTP ali HTTPS. Vendar vozlišča potrebujejo korensko potrdilo, da zaupajo proxyju. Inspecting proxy običajno uporablja IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta proxyja dešifrira ves vaš promet (tudi HTTPS).
Eksplicitni posrednik— Z eksplicitnim proxy vozliščem HDS poveste, kateri strežnik proxy in shemo preverjanja pristnosti naj uporabijo. Če želite konfigurirati eksplicitni proxy, morate v vsako vozlišče vnesti naslednje informacije:
Proxy IP/FQDN—Naslov, ki ga je mogoče uporabiti za dostop do proxy naprave.
Proxy vrata—Številka vrat, ki jih proxy uporablja za poslušanje prometa prek posrednika.
Proxy protokol—Glede na to, kaj podpira vaš proxy strežnik, izberite med naslednjimi protokoli:
HTTP—Ogleda in nadzoruje vse zahteve, ki jih pošlje odjemalec.
HTTPS—zagotavlja kanal strežniku. Odjemalec prejme in potrdi potrdilo strežnika.
Vrsta avtentikacije—Izbirajte med naslednjimi vrstami preverjanja pristnosti:
Noben— Nadaljnje preverjanje pristnosti ni potrebno.
Na voljo, če kot proxy protokol izberete HTTP ali HTTPS.
Osnovno—Uporablja se za uporabniškega agenta HTTP, da zagotovi uporabniško ime in geslo, ko poda zahtevo. Uporablja kodiranje Base64.
Na voljo, če kot proxy protokol izberete HTTP ali HTTPS.
Za vsako vozlišče morate vnesti uporabniško ime in geslo.
prebaviti— Uporablja se za potrditev računa pred pošiljanjem občutljivih informacij. Uporabi zgoščeno funkcijo za uporabniško ime in geslo pred pošiljanjem po omrežju.
Na voljo samo, če izberete HTTPS kot posredniški protokol.
Za vsako vozlišče morate vnesti uporabniško ime in geslo.
Primer vozlišč hibridne varnosti podatkov in posrednika
Ta diagram prikazuje primer povezave med Hybrid Data Security, omrežjem in proxyjem. Za možnosti transparentnega pregledovanja in eksplicitnega pregledovanja HTTPS proxy mora biti isto korensko potrdilo nameščeno na proxyju in vozliščih Hybrid Data Security.
Blokiran zunanji način reševanja DNS (eksplicitne konfiguracije proxyja)
Ko registrirate vozlišče ali preverite konfiguracijo proxy vozlišča, postopek preizkusi iskanje DNS in povezljivost z oblakom Cisco Webex. Pri uvedbah z eksplicitnimi konfiguracijami posrednika, ki ne dovoljujejo zunanjega razreševanja DNS za notranje odjemalce, če vozlišče ne more poizvedovati po strežnikih DNS, samodejno preide v način blokiranega zunanjega razreševanja DNS. V tem načinu se lahko nadaljuje registracija vozlišča in drugi testi povezljivosti posrednika.
Zahteve za hibridno varnost podatkov
Licenčne zahteve za Cisco Webex
Če želite uvesti Hybrid Data Security:
Za Cisco Webex Control Hub morate imeti Pro Pack. (Glej https://www.cisco.com/go/pro-pack.)
Zahteve za namizje Docker
Preden namestite vozlišča HDS, potrebujete Docker Desktop za zagon namestitvenega programa. Docker je nedavno posodobil svoj model licenciranja. Vaša organizacija morda zahteva plačljivo naročnino za Docker Desktop. Za podrobnosti si oglejte objavo v spletnem dnevniku Docker, " Docker posodablja in podaljšuje naše naročnine na izdelke".
Zahteve za potrdilo X.509
Certifikacijska veriga mora izpolnjevati naslednje zahteve:
Zahteva | Podrobnosti |
---|---|
| Privzeto zaupamo CA-jem na seznamu Mozilla (z izjemo WoSign in StartCom) na https://wiki.mozilla.org/CA:IncludedCAs. |
| Ni treba, da je CN dosegljiv ali gostitelj v živo. Priporočamo, da uporabite ime, ki odraža vašo organizacijo, na primer KN ne sme vsebovati * (nadomestni znak). CN se uporablja za preverjanje vozlišč Hybrid Data Security za odjemalce aplikacije Webex. Vsa vozlišča Hybrid Data Security v vaši gruči uporabljajo isto potrdilo. Vaš KMS se identificira z uporabo domene CN, ne katere koli domene, ki je definirana v poljih SAN x.509v3. Ko registrirate vozlišče s tem potrdilom, ne podpiramo spreminjanja imena domene CN. Izberite domeno, ki se lahko uporablja za preskusno in produkcijsko uvedbo. |
| Programska oprema KMS ne podpira podpisov SHA1 za preverjanje povezav s KMS-ji drugih organizacij. |
| Za spremembo oblike potrdila lahko uporabite pretvornik, kot je OpenSSL. Ko zaženete orodje za nastavitev HDS, boste morali vnesti geslo. |
Programska oprema KMS ne uveljavlja uporabe ključev ali razširjenih omejitev uporabe ključev. Nekateri overitelji potrdil zahtevajo, da se za vsako potrdilo uporabijo razširjene omejitve uporabe ključa, na primer preverjanje pristnosti strežnika. V redu je, če uporabite avtentikacijo strežnika ali druge nastavitve.
Zahteve za virtualnega gostitelja
Navidezni gostitelji, ki jih boste nastavili kot vozlišča Hybrid Data Security v vaši gruči, imajo naslednje zahteve:
Vsaj dva ločena gostitelja (3 priporočljivo), nameščena v istem varnem podatkovnem centru
VMware ESXi 6.5 (ali novejši) nameščen in deluje.
Če imate starejšo različico ESXi, morate nadgraditi.
Najmanj 4 vCPU-ji, 8 GB glavnega pomnilnika, 30 GB lokalnega prostora na trdem disku na strežnik
Zahteve za strežnik baze podatkov
Ustvarite novo bazo podatkov za shranjevanje ključev. Ne uporabljajte privzete zbirke podatkov. Ko so nameščene aplikacije HDS, ustvarijo shemo baze podatkov. |
Obstajata dve možnosti za strežnik baze podatkov. Zahteve za vsakega so naslednje:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Najmanj 8 vCPU-jev, 16 GB glavnega pomnilnika, dovolj prostora na trdem disku in nadzor, da se zagotovi, da ni presežen (priporočeno je 2 TB, če želite bazo podatkov izvajati dlje časa, ne da bi morali povečati prostor za shranjevanje) | Najmanj 8 vCPU-jev, 16 GB glavnega pomnilnika, dovolj prostora na trdem disku in nadzor, da se zagotovi, da ni presežen (priporočeno je 2 TB, če želite bazo podatkov izvajati dlje časa, ne da bi morali povečati prostor za shranjevanje) |
Programska oprema HDS trenutno namesti naslednje različice gonilnikov za komunikacijo s strežnikom baze podatkov:
PostgreSQL | Microsoft SQL Server |
---|---|
Gonilnik Postgres JDBC 42.2.5 | Gonilnik SQL Server JDBC 4.6 Ta različica gonilnika podpira SQL Server Always On ( Always On Failover Cluster Instances in Skupine razpoložljivosti Always On). |
Dodatne zahteve za preverjanje pristnosti sistema Windows proti strežniku Microsoft SQL Server
Če želite, da vozlišča HDS uporabljajo preverjanje pristnosti sistema Windows za dostop do baze podatkov shrambe ključev v strežniku Microsoft SQL Server, potrebujete naslednjo konfiguracijo v svojem okolju:
Vozlišča HDS, infrastruktura Active Directory in MS SQL Server morajo biti vsi sinhronizirani z NTP.
Račun Windows, ki ga zagotovite vozliščem HDS, mora imeti dostop za branje/pisanje do baze podatkov.
Strežniki DNS, ki jih zagotovite vozliščem HDS, morajo imeti možnost razrešiti vaš center za distribucijo ključev (KDC).
Primerek baze podatkov HDS lahko registrirate na strežniku Microsoft SQL Server kot glavno ime storitve (SPN) v imeniku Active Directory. glej Registrirajte glavno ime storitve za povezave Kerberos.
Orodje za nastavitev HDS, zaganjalnik HDS in lokalni KMS morajo uporabljati preverjanje pristnosti sistema Windows za dostop do baze podatkov shrambe ključev. Uporabijo podrobnosti iz vaše konfiguracije ISO za izdelavo SPN, ko zahtevajo dostop s preverjanjem pristnosti Kerberos.
Zahteve za zunanjo povezljivost
Konfigurirajte požarni zid, da bo omogočal naslednje povezave za aplikacije HDS:
Aplikacija | Protokol | Pristanišče | Smer iz App | Destinacija |
---|---|---|---|---|
Hibridna varnostna vozlišča podatkov | TCP | 443 | Odhodni HTTPS in WSS |
|
Orodje za nastavitev HDS | TCP | 443 | Odhodni HTTPS |
|
Vozlišča Hybrid Data Security delujejo s prevajanjem omrežnega dostopa (NAT) ali za požarnim zidom, če NAT ali požarni zid omogoča zahtevane odhodne povezave do ciljev domene v prejšnji tabeli. Za povezave, ki potekajo vhodno do vozlišč Hybrid Data Security, iz interneta ne smejo biti vidna nobena vrata. V vašem podatkovnem centru odjemalci potrebujejo dostop do vozlišč Hybrid Data Security na vratih TCP 443 in 22 za administrativne namene. |
URL-ji za gostitelje skupne identitete (CI) so specifični za regijo. To so trenutni gostitelji CI:
Regija | URL-ji gostitelja skupne identitete |
---|---|
Amerike |
|
Evropska unija |
|
Kanada |
|
Zahteve za strežnik proxy
Uradno podpiramo naslednje rešitve proxy, ki se lahko integrirajo z vašimi vozlišči Hybrid Data Security.
Transparent proxy—Cisco Web Security Appliance (WSA).
Eksplicitni proxy—Squid.
Posredniki Squid, ki pregledujejo promet HTTPS, lahko motijo vzpostavitev spletne vtičnice (wss:) povezave. Če se želite izogniti tej težavi, glejte Konfigurirajte posrednike Squid za hibridno varnost podatkov.
Podpiramo naslednje kombinacije vrst preverjanja pristnosti za eksplicitne posrednike:
Ni avtentikacije s HTTP ali HTTPS
Osnovna avtentikacija s HTTP ali HTTPS
Pregled pristnosti samo s HTTPS
Za proxy proxy za pregledovanje ali eksplicitni proxy HTTPS morate imeti kopijo korenskega potrdila proxyja. Navodila za uvajanje v tem priročniku vam povejo, kako naložite kopijo v skrbniške shrambe vozlišč Hybrid Data Security.
Omrežje, ki gosti vozlišča HDS, mora biti konfigurirano tako, da prisili izhodni promet TCP na vratih 443, da se usmeri prek proxyja.
Posredniki, ki pregledujejo spletni promet, lahko motijo povezave s spletnimi vtičnicami. Če pride do te težave, obide (brez pregleda) promet do
wbx2.com
inciscospark.com
bo rešil problem.
Izpolnite predpogoje za hibridno varnost podatkov
1 | Prepričajte se, da je vaša organizacija Webex omogočena za Pro Pack za Cisco Webex Control Hub in pridobite poverilnice računa s polnimi skrbniškimi pravicami organizacije. Za pomoč pri tem postopku se obrnite na svojega Ciscovega partnerja ali upravitelja računa. | ||
2 | Izberite ime domene za svojo uvedbo HDS (npr. | ||
3 | Pripravite enake navidezne gostitelje, ki jih boste nastavili kot vozlišča Hybrid Data Security v vaši gruči. Potrebujete vsaj dva ločena gostitelja (3 priporočljivo), nameščena v istem varnem podatkovnem centru, ki izpolnjujeta zahteve v Zahteve za virtualnega gostitelja. | ||
4 | Pripravite strežnik baze podatkov, ki bo deloval kot shramba ključnih podatkov za gručo, v skladu z Zahteve za strežnik baze podatkov. Strežnik baze podatkov mora biti nameščen v varnem podatkovnem centru skupaj z virtualnimi gostitelji. | ||
5 | Za hitro obnovitev po katastrofi nastavite varnostno okolje v drugem podatkovnem centru. Okolje za varnostno kopiranje zrcali produkcijsko okolje navideznih strojev in strežnik baze podatkov za varnostno kopiranje. Na primer, če ima proizvodnja 3 VM-je, ki poganjajo vozlišča HDS, bi moralo okolje za varnostno kopiranje imeti 3 VM-je. | ||
6 | Nastavite gostitelja sistemskega dnevnika za zbiranje dnevnikov iz vozlišč v gruči. Zberite njegov omrežni naslov in vrata sistemskega dnevnika (privzeto je UDP 514). | ||
7 | Ustvarite politiko varnega varnostnega kopiranja za vozlišča Hybrid Data Security, strežnik baze podatkov in gostitelja sistemskega dnevnika. Če želite preprečiti nepopravljivo izgubo podatkov, morate najmanj varnostno kopirati bazo podatkov in konfiguracijsko datoteko ISO, ustvarjeno za vozlišča Hybrid Data Security.
Odjemalci aplikacije Webex shranjujejo svoje ključe v predpomnilnik, zato izpad morda ne bo takoj opazen, vendar bo sčasoma očiten. Čeprav je začasnih izpadov nemogoče preprečiti, jih je mogoče obnoviti. Vendar bo popolna izguba (razpoložljivih varnostnih kopij) baze podatkov ali konfiguracijske datoteke ISO povzročila nepopravljivost podatkov o strankah. Od operaterjev vozlišč Hybrid Data Security se pričakuje, da bodo vzdrževali pogoste varnostne kopije baze podatkov in konfiguracijske datoteke ISO ter da bodo pripravljeni na ponovno izgradnjo podatkovnega centra Hybrid Data Security, če pride do katastrofalne okvare. | ||
8 | Zagotovite, da vaša konfiguracija požarnega zidu omogoča povezljivost za vozlišča Hybrid Data Security, kot je opisano v Zahteve za zunanjo povezljivost. | ||
9 | Namestite Docker ( https://www.docker.com) na katerem koli lokalnem računalniku s podprtim OS (Microsoft Windows 10 Professional ali Enterprise 64-bit ali Mac OSX Yosemite 10.10.3 ali novejši) s spletnim brskalnikom, ki lahko dostopa do njega na http://127.0.0.1:8080. Primerek Docker uporabite za prenos in zagon orodja za nastavitev HDS, ki gradi lokalne konfiguracijske informacije za vsa vozlišča Hybrid Data Security. Vaša organizacija morda potrebuje licenco Docker Desktop. glej Zahteve za namizje Docker za več informacij. Če želite namestiti in zagnati orodje za nastavitev HDS, mora imeti lokalni računalnik povezljivost, opisano v Zahteve za zunanjo povezljivost. | ||
10 | Če integrirate proxy s Hybrid Data Security, se prepričajte, da ustreza Zahteve za strežnik proxy. | ||
11 | Če vaša organizacija uporablja sinhronizacijo imenikov, ustvarite skupino v imeniku Active Directory, imenovano
|
Potek opravila uvajanja hibridne varnosti podatkov
Preden začneš
1 | Prenesite namestitvene datoteke Prenesite datoteko OVA na svoj lokalni računalnik za kasnejšo uporabo. | ||
2 | Ustvarite konfiguracijski ISO za gostitelje HDS Z orodjem za nastavitev HDS ustvarite konfiguracijsko datoteko ISO za vozlišča Hybrid Data Security. | ||
3 |
Ustvarite virtualni stroj iz datoteke OVA in izvedite začetno konfiguracijo, kot so omrežne nastavitve.
| ||
4 | Nastavite Hybrid Data Security VM Prijavite se v konzolo VM in nastavite poverilnice za prijavo. Konfigurirajte omrežne nastavitve za vozlišče, če jih niste konfigurirali ob uvedbi OVA. | ||
5 | Naložite in namestite ISO konfiguracije HDS Konfigurirajte VM iz konfiguracijske datoteke ISO, ki ste jo ustvarili z orodjem za namestitev HDS. | ||
6 | Konfigurirajte vozlišče HDS za integracijo posrednika Če omrežno okolje zahteva konfiguracijo proxyja, podajte vrsto proxyja, ki ga boste uporabili za vozlišče, in po potrebi dodajte potrdilo proxyja v shrambo zaupanja. | ||
7 | Registrirajte prvo vozlišče v gruči Registrirajte VM v oblaku Cisco Webex kot Hybrid Data Security node. | ||
8 | Ustvarite in registrirajte več vozlišč Dokončajte nastavitev gruče. | ||
9 | Izvedite preizkus in se premaknite v produkcijo (naslednje poglavje) Dokler ne začnete preizkusa, vaša vozlišča ustvarijo alarm, ki nakazuje, da vaša storitev še ni aktivirana. |
Prenesite namestitvene datoteke
1 | Prijavite se v https://admin.webex.comin nato kliknite Storitve. | ||||
2 | V razdelku Hybrid Services poiščite kartico Hybrid Data Security in kliknite Nastaviti. Če je kartica onemogočena ali je ne vidite, se obrnite na skupino za račun ali partnersko organizacijo. Dajte jim svojo številko računa in jih prosite, da vaši organizaciji omogočijo hibridno varnost podatkov. Če želite poiskati številko računa, kliknite zobnik v zgornjem desnem kotu poleg imena vaše organizacije.
| ||||
3 | Izberite št da označite, da vozlišča še niste nastavili, in nato kliknite Naslednji. Datoteka OVA se samodejno začne prenašati. Datoteko shranite na mesto v vašem računalniku.
| ||||
4 | Po želji kliknite Odprite vodnik za uvajanje da preverite, ali je na voljo novejša različica tega priročnika. |
Ustvarite konfiguracijski ISO za gostitelje HDS
Postopek nastavitve Hybrid Data Security ustvari datoteko ISO. Nato uporabite ISO za konfiguracijo gostitelja Hybrid Data Security.
Preden začneš
Orodje HDS Setup deluje kot vsebnik Docker na lokalnem računalniku. Za dostop do njega zaženite Docker na tem računalniku. Postopek namestitve zahteva poverilnice računa Control Hub s polnimi skrbniškimi pravicami za vašo organizacijo.
Če orodje za namestitev HDS deluje za proxyjem v vašem okolju, podajte nastavitve proxyja (strežnik, vrata, poverilnice) prek spremenljivk okolja Docker, ko prikažete vsebnik Docker v koraku 5. Ta tabela podaja nekaj možnih spremenljivk okolja:
Opis
Spremenljivka
HTTP Proxy brez avtentikacije
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS Proxy brez avtentikacije
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP proxy z avtentikacijo
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy z avtentikacijo
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Konfiguracijska datoteka ISO, ki jo ustvarite, vsebuje glavni ključ, ki šifrira bazo podatkov PostgreSQL ali Microsoft SQL Server. Najnovejšo kopijo te datoteke potrebujete vsakič, ko spremenite konfiguracijo, kot je ta:
Poverilnice baze podatkov
Posodobitve potrdil
Spremembe politike avtorizacije
Če nameravate šifrirati povezave z bazo podatkov, nastavite svojo uvedbo PostgreSQL ali SQL Server za TLS.
1 | V ukazno vrstico vašega računalnika vnesite ustrezen ukaz za vaše okolje: V običajnih okoljih:
V okoljih FedRAMP:
| ||||||||||||
2 | Za vpis v register slik Docker vnesite naslednje:
| ||||||||||||
3 | Ob pozivu za geslo vnesite to zgoščeno vrednost:
| ||||||||||||
4 | Prenesite najnovejšo stabilno sliko za vaše okolje: V običajnih okoljih:
V okoljih FedRAMP:
| ||||||||||||
5 | Ko je vlečenje končano, vnesite ustrezen ukaz za vaše okolje:
Ko se vsebnik izvaja, vidite »Strežnik Express posluša na vratih 8080«. | ||||||||||||
6 |
Uporabite spletni brskalnik za dostop do lokalnega gostitelja, Orodje uporabi ta prvi vnos uporabniškega imena za nastavitev ustreznega okolja za ta račun. Orodje nato prikaže standardni poziv za prijavo. | ||||||||||||
7 | Ko ste pozvani, vnesite poverilnice za prijavo skrbnika stranke Control Hub in kliknite Vpiši se da omogočite dostop do zahtevanih storitev za Hybrid Data Security. | ||||||||||||
8 | Na strani s pregledom orodja za nastavitev kliknite Začeti. | ||||||||||||
9 | Na ISO uvoz strani, imate te možnosti:
| ||||||||||||
10 | Preverite, ali vaše potrdilo X.509 izpolnjuje zahteve v Zahteve za potrdilo X.509.
| ||||||||||||
11 | Vnesite naslov baze podatkov in račun za HDS za dostop do shrambe ključnih podatkov: | ||||||||||||
12 | Izberite a Način povezave z bazo podatkov TLS:
Ko naložite korensko potrdilo (če je potrebno) in kliknite Nadaljuj, orodje za nastavitev HDS preizkusi povezavo TLS s strežnikom baze podatkov. Orodje preveri tudi podpisnika potrdila in ime gostitelja, če je na voljo. Če preizkus ne uspe, orodje prikaže sporočilo o napaki, ki opisuje težavo. Izberete lahko, ali želite napako prezreti in nadaljevati z nastavitvijo. (Zaradi razlik v povezljivosti bodo vozlišča HDS morda lahko vzpostavila povezavo TLS, tudi če naprava z orodjem za nastavitev HDS tega ne more uspešno preizkusiti.) | ||||||||||||
13 | Na strani Sistemski dnevniki konfigurirajte strežnik Syslogd: | ||||||||||||
14 | (Izbirno) Spremenite lahko privzeto vrednost za nekatere parametre povezave z bazo podatkov v Napredne nastavitve. Na splošno je ta parameter edini, ki bi ga morda želeli spremeniti:
| ||||||||||||
15 | Kliknite Nadaljuj na Ponastavite geslo za storitvene račune zaslon. Gesla storitvenih računov imajo življenjsko dobo devet mesecev. Uporabite ta zaslon, ko se vaša gesla bližajo izteku ali jih želite ponastaviti, da razveljavi prejšnje datoteke ISO. | ||||||||||||
16 | Kliknite Prenesite datoteko ISO. Datoteko shranite na mesto, ki ga je enostavno najti. | ||||||||||||
17 | Naredite varnostno kopijo datoteke ISO v vašem lokalnem sistemu. Varnostno kopijo shranite. Ta datoteka vsebuje glavni šifrirni ključ za vsebino baze podatkov. Omejite dostop samo na tiste skrbnike za hibridno varnost podatkov, ki bi morali spremeniti konfiguracijo. | ||||||||||||
18 | Če želite zaustaviti orodje za nastavitev, vnesite |
Kaj storiti naprej
Varnostno kopirajte konfiguracijsko datoteko ISO. Potrebujete ga za ustvarjanje več vozlišč za obnovitev ali za spreminjanje konfiguracije. Če izgubite vse kopije datoteke ISO, ste izgubili tudi glavni ključ. Obnovitev ključev iz baze podatkov PostgreSQL ali Microsoft SQL Server ni mogoča.
Nikoli nimamo kopije tega ključa in vam ne moremo pomagati, če ga izgubite. |
Namestite HDS Host OVA
1 | Uporabite odjemalca VMware vSphere v vašem računalniku, da se prijavite v navideznega gostitelja ESXi. | ||||||
2 | Izberite mapa > Namestite predlogo OVF. | ||||||
3 | V čarovniku določite lokacijo datoteke OVA, ki ste jo prej prenesli, in nato kliknite Naslednji . | ||||||
4 | Na Izberite ime in mapo strani vnesite a Ime navideznega stroja za vozlišče (na primer "HDS_node_1"), izberite lokacijo, kjer je lahko uvedba vozlišča navideznega stroja, in nato kliknite Naslednji . | ||||||
5 | Na Izberite računalniški vir izberite ciljni računalniški vir in kliknite Naslednji . Zažene se preverjanje veljavnosti. Ko se konča, se prikažejo podrobnosti predloge. | ||||||
6 | Preverite podrobnosti predloge in kliknite Naslednji. | ||||||
7 | Če ste pozvani, da izberete konfiguracijo vira na Konfiguracija strani, kliknite 4 procesor in nato kliknite Naslednji . | ||||||
8 | Na Izberite shranjevanje strani, kliknite Naslednji da sprejmete privzeti format diska in politiko shranjevanja VM. | ||||||
9 | Na Izberite omrežja izberite omrežno možnost s seznama vnosov, da zagotovite želeno povezljivost z VM. | ||||||
10 | Na Prilagodite predlogo strani, konfigurirajte naslednje omrežne nastavitve:
Če želite, lahko preskočite konfiguracijo omrežnih nastavitev in sledite korakom v Nastavite Hybrid Data Security VM da konfigurirate nastavitve iz konzole vozlišča.
| ||||||
11 | Z desno miškino tipko kliknite vozlišče VM in nato izberite .Programska oprema Hybrid Data Security je nameščena kot gost na gostitelju VM. Zdaj ste pripravljeni, da se prijavite v konzolo in konfigurirate vozlišče. Nasveti za odpravljanje težav Preden se vsebniki vozlišč prikažejo, lahko pride do nekajminutne zamude. Med prvim zagonom se na konzoli pojavi sporočilo mostnega požarnega zidu, med katerim se ne morete prijaviti. |
Nastavite Hybrid Data Security VM
S tem postopkom se prvič prijavite v konzolo VM vozlišča Hybrid Data Security in nastavite poverilnice za prijavo. S konzolo lahko konfigurirate tudi omrežne nastavitve za vozlišče, če jih niste konfigurirali ob uvedbi OVA.
1 | V odjemalcu VMware vSphere izberite VM vozlišča Hybrid Data Security in izberite Konzola zavihek. VM se zažene in prikaže se poziv za prijavo. Če se poziv za prijavo ne prikaže, pritisnite Vnesite.
|
2 | Za prijavo in spremembo poverilnic uporabite naslednjo privzeto prijavo in geslo: Ker se v svoj VM vpisujete prvič, morate spremeniti skrbniško geslo. |
3 | Če ste že konfigurirali omrežne nastavitve v Namestite HDS Host OVA, preskočite preostanek tega postopka. V nasprotnem primeru v glavnem meniju izberite Uredi konfiguracijo možnost. |
4 | Nastavite statično konfiguracijo z informacijami o naslovu IP, maski, prehodu in DNS. Vaše vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt. |
5 | (Izbirno) Spremenite ime gostitelja, domeno ali strežnike NTP, če je potrebno, da se ujemajo z vašo omrežno politiko. Ni vam treba nastaviti domene, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509. |
6 | Shranite omrežno konfiguracijo in znova zaženite VM, da bodo spremembe začele veljati. |
Naložite in namestite ISO konfiguracije HDS
Preden začneš
Ker datoteka ISO vsebuje glavni ključ, jo je treba razkriti samo na podlagi "potrebe vedeti" za dostop navideznih računalnikov Hybrid Data Security in vseh skrbnikov, ki bodo morda morali narediti spremembe. Prepričajte se, da imajo samo ti skrbniki dostop do shrambe podatkov.
1 | Naložite datoteko ISO iz računalnika: |
2 | Namestite datoteko ISO: |
Kaj storiti naprej
Če vaša politika IT zahteva, lahko po želji odklopite datoteko ISO, potem ko vsa vaša vozlišča prevzamejo spremembe konfiguracije. glej (Izbirno) Odpni ISO po konfiguraciji HDS za podrobnosti.
Konfigurirajte vozlišče HDS za integracijo posrednika
Če omrežno okolje zahteva proxy, s tem postopkom določite vrsto proxyja, s katerim se želite integrirati Hibridna varnost podatkov. Če izberete proxy proxy za pregledovanje ali eksplicitni proxy HTTPS, lahko uporabite vmesnik vozlišča za nalaganje in namestitev korenskega potrdila. Povezavo proxy lahko preverite tudi prek vmesnika in odpravite morebitne težave.
Preden začneš
glej Podpora za proxy za pregled podprtih možnosti proxyja.
1 | Vnesite URL za nastavitev vozlišča HDS |
2 | Pojdi do Trust Store & Proxyin nato izberite možnost:
Sledite naslednjim korakom za pregleden proxy za pregledovanje, eksplicitni proxy HTTP z osnovnim preverjanjem pristnosti ali eksplicitni proxy HTTPS. |
3 | Kliknite Naložite korensko potrdilo ali potrdilo končne entitete, nato pa se pomaknite do izbire korenskega potrdila za proxy. Potrdilo je naloženo, vendar še ni nameščeno, ker morate za namestitev potrdila znova zagnati vozlišče. Kliknite puščico ševrona ob imenu izdajatelja potrdila, da dobite več podrobnosti ali kliknite Izbriši če ste se zmotili in želite znova naložiti datoteko. |
4 | Kliknite Preverite povezavo proxy da preizkusite omrežno povezljivost med vozliščem in posrednikom. Če preizkus povezave ne uspe, boste videli sporočilo o napaki, ki prikazuje razlog in kako lahko odpravite težavo. Če vidite sporočilo, da zunanja razrešitev DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS. Ta pogoj je pričakovan v številnih eksplicitnih konfiguracijah proxyja. Lahko nadaljujete z nastavitvijo in vozlišče bo delovalo v načinu blokirane zunanje ločljivosti DNS. Če menite, da je to napaka, dokončajte te korake in si oglejte Izklopite način razreševanja blokiranega zunanjega DNS-ja. |
5 | Ko je preskus povezave uspešen, za eksplicitni proxy, nastavljen samo na https, preklopite stikalo na Usmerite vse https zahteve vrat 443/444 iz tega vozlišča prek eksplicitnega proxyja. Ta nastavitev začne veljati po 15 sekundah. |
6 | Kliknite Namestite vsa potrdila v Trust Store (prikaže se za eksplicitni proxy HTTPS ali pregledni proxy za preverjanje) ali Znova zaženite (prikaže se za eksplicitni proxy HTTP), preberite poziv in kliknite Namestite če si pripravljen. Vozlišče se znova zažene v nekaj minutah. |
7 | Ko se vozlišče znova zažene, se po potrebi znova vpišite in nato odprite Pregled strani, da preverite preverjanja povezljivosti in se prepričate, ali so vsi v zelenem stanju. Preverjanje povezave posrednika testira samo poddomeno webex.com. Če pride do težav s povezljivostjo, je pogosta težava, da so nekatere domene v oblaku, navedene v navodilih za namestitev, blokirane na strežniku proxy. |
Registrirajte prvo vozlišče v gruči
Ko registrirate svoje prvo vozlišče, ustvarite gručo, ki ji je vozlišče dodeljeno. Grozd vsebuje eno ali več vozlišč, nameščenih za zagotavljanje redundance.
Preden začneš
Ko začnete z registracijo vozlišča, jo morate dokončati v 60 minutah ali pa morate začeti znova.
Prepričajte se, da so v vašem brskalniku onemogočeni vsi blokatorji pojavnih oken ali da dovolite izjemo za admin.webex.com.
1 | Prijavite se v https://admin.webex.com. |
2 | V meniju na levi strani zaslona izberite Storitve. |
3 | V razdelku Hybrid Services poiščite Hybrid Data Security in kliknite Nastaviti. Prikaže se stran Register Hybrid Data Security Node.
|
4 | Izberite ja da označite, da ste nastavili vozlišče in ste ga pripravljeni registrirati, in nato kliknite Naslednji. |
5 | V prvo polje vnesite ime za gručo, ki ji želite dodeliti vozlišče Hybrid Data Security. Priporočamo, da gručo poimenujete glede na to, kje se geografsko nahajajo vozlišča gruče. Primeri: "San Francisco" ali "New York" ali "Dallas" |
6 | V drugo polje vnesite notranji naslov IP ali popolnoma kvalificirano ime domene (FQDN) svojega vozlišča in kliknite Naslednji. Ta naslov IP ali FQDN se mora ujemati z naslovom IP ali imenom gostitelja in domeno, ki ste jo uporabili Nastavite Hybrid Data Security VM. Prikaže se sporočilo, ki nakazuje, da lahko svoje vozlišče registrirate v Webex.
|
7 | Kliknite Pojdite na Node. |
8 | Kliknite Nadaljuj v opozorilnem sporočilu. Po nekaj trenutkih ste preusmerjeni na teste povezljivosti vozlišča za storitve Webex. Če so vsi preizkusi uspešni, se prikaže stran Dovoli dostop do vozlišča Hybrid Data Security Node. Tam potrdite, da želite svoji organizaciji Webex dati dovoljenja za dostop do vašega vozlišča.
|
9 | Preverite Dovolite dostop do vašega vozlišča Hybrid Data Security Node potrditveno polje in nato kliknite Nadaljuj. Vaš račun je potrjen in sporočilo »Registracija je dokončana« nakazuje, da je vaše vozlišče zdaj registrirano v oblaku Webex.
|
10 | Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Hybrid Data Security Control Hub. Na Hibridna varnost podatkov stran, se prikaže nova gruča, ki vsebuje vozlišče, ki ste ga registrirali. Vozlišče bo samodejno preneslo najnovejšo programsko opremo iz oblaka.
|
Ustvarite in registrirajte več vozlišč
Trenutno so varnostni VM-ji, ki ste jih ustvarili v Izpolnite predpogoje za hibridno varnost podatkov so gostitelji v pripravljenosti, ki se uporabljajo samo v primeru obnovitve po katastrofi; do takrat niso registrirani v sistemu. Za podrobnosti glejte Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti. |
Preden začneš
Ko začnete z registracijo vozlišča, jo morate dokončati v 60 minutah ali pa morate začeti znova.
Prepričajte se, da so v vašem brskalniku onemogočeni vsi blokatorji pojavnih oken ali da dovolite izjemo za admin.webex.com.
1 | Ustvarite nov virtualni stroj iz OVA in ponovite korake Namestite HDS Host OVA. |
2 | Nastavite začetno konfiguracijo na novem VM in ponovite korake v Nastavite Hybrid Data Security VM. |
3 | Na novem VM ponovite korake v Naložite in namestite ISO konfiguracije HDS. |
4 | Če nastavljate proxy za svojo uvedbo, ponovite korake v Konfigurirajte vozlišče HDS za integracijo posrednika kot je potrebno za novo vozlišče. |
5 | Registrirajte vozlišče. Vaše vozlišče je registrirano. Upoštevajte, da dokler ne začnete preizkusa, vaša vozlišča ustvarijo alarm, ki nakazuje, da vaša storitev še ni aktivirana.
|
Kaj storiti naprej
Potek naloge od poskusa do proizvodnje
Ko nastavite gručo Hybrid Data Security, lahko zaženete pilotni projekt, vanj dodate uporabnike in ga začnete uporabljati za preizkušanje in preverjanje vaše uvedbe v pripravah na selitev v proizvodnjo.
Preden začneš
1 | Če je primerno, sinhronizirajte Če vaša organizacija uporablja sinhronizacijo imenikov za uporabnike, morate izbrati |
2 |
Začni poskus. Dokler ne opravite te naloge, vaša vozlišča ustvarijo alarm, ki nakazuje, da storitev še ni aktivirana. |
3 | Preizkusite svojo hibridno uvedbo varnosti podatkov Preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security. |
4 | Spremljajte varnost hibridnih podatkov Preverite stanje in nastavite e-poštna obvestila za alarme. |
5 | |
6 | Dokončajte preskusno fazo z enim od naslednjih dejanj: |
Aktiviraj preizkus
Preden začneš
Če vaša organizacija uporablja sinhronizacijo imenikov za uporabnike, morate izbrati HdsTrialGroup
predmet skupine za sinhronizacijo z oblakom, preden lahko začnete preskusno obdobje za svojo organizacijo. Za navodila glejte Vodnik za uvajanje za Cisco Directory Connector.
1 | Prijavite se v https://admin.webex.comin nato izberite Storitve. |
2 | V razdelku Hibridna varnost podatkov kliknite nastavitve. |
3 | V razdelku Status storitve kliknite Začni preizkus. Stanje storitve se spremeni v poskusni način.
|
4 | Kliknite Dodajanje uporabnikov in vnesite e-poštni naslov enega ali več uporabnikov za poskusno uporabo vozlišč Hybrid Data Security za storitve šifriranja in indeksiranja. (Če vaša organizacija uporablja sinhronizacijo imenikov, uporabite Active Directory za upravljanje poskusne skupine, |
Preizkusite svojo hibridno uvedbo varnosti podatkov
Preden začneš
Nastavite svojo uvedbo Hybrid Data Security.
Aktivirajte preskusno različico in dodajte več poskusnih uporabnikov.
Prepričajte se, da imate dostop do sistemskega dnevnika, da preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security.
1 | Ključe za določen prostor nastavi ustvarjalec prostora. Prijavite se v aplikacijo Webex kot eden od pilotnih uporabnikov, nato pa ustvarite prostor in povabite vsaj enega pilotnega uporabnika in enega nepilotnega uporabnika.
| ||
2 | Pošljite sporočila v novi prostor. | ||
3 | Preverite izhod sistemskega dnevnika, da preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security. |
Spremljajte varnost hibridnih podatkov
1 | notri Nadzorno središče, izberite Storitve iz menija na levi strani zaslona. |
2 | V razdelku Hybrid Services poiščite Hybrid Data Security in kliknite nastavitve. Prikaže se stran z nastavitvami hibridne varnosti podatkov.
|
3 | V razdelku E-poštna obvestila vnesite enega ali več e-poštnih naslovov, ločenih z vejicami, in pritisnite Vnesite. |
Dodajte ali odstranite uporabnike iz svojega preizkusa
Če odstranite uporabnika iz preizkusa, bo uporabnikov odjemalec zahteval ključe in ustvarjanje ključa iz oblaka KMS namesto vašega KMS. Če odjemalec potrebuje ključ, ki je shranjen na vašem KMS, ga bo KMS v oblaku pridobil v imenu uporabnika.
Če vaša organizacija uporablja sinhronizacijo imenikov, uporabite Active Directory (namesto tega postopka) za upravljanje poskusne skupine, HdsTrialGroup
; člane skupine si lahko ogledate v Nadzornem središču, vendar jih ne morete dodati ali odstraniti.
1 | Prijavite se v Control Hub in nato izberite Storitve. |
2 | V razdelku Hibridna varnost podatkov kliknite nastavitve. |
3 | V razdelku Preizkusni način v območju Stanje storitve kliknite Dodajanje uporabnikov, ali kliknite ogled in urejanje za odstranitev uporabnikov iz preizkusa. |
4 | Vnesite e-poštni naslov enega ali več uporabnikov, ki jih želite dodati, ali kliknite X z ID-jem uporabnika, da uporabnika odstranite iz preizkusa. Nato kliknite Shrani. |
Premaknite se s preskusne različice na produkcijsko
1 | Prijavite se v Control Hub in nato izberite Storitve. |
2 | V razdelku Hibridna varnost podatkov kliknite nastavitve. |
3 | V razdelku Status storitve kliknite Premakni se v proizvodnjo. |
4 | Potrdite, da želite vse svoje uporabnike premakniti v produkcijo. |
Končajte preizkus, ne da bi se preselili v proizvodnjo
1 | Prijavite se v Control Hub in nato izberite Storitve. |
2 | V razdelku Hibridna varnost podatkov kliknite nastavitve. |
3 | V razdelku Deaktiviraj kliknite Deaktiviraj. |
4 | Potrdite, da želite deaktivirati storitev in končati preskusno obdobje. |
Upravljanje uvajanja HDS
Uporabite tukaj opisane naloge za upravljanje svoje razmestitve Hybrid Data Security.
Nastavite urnik nadgradnje gruče
Če želite nastaviti urnik nadgradnje:
1 | Prijavite se v Nadzorno središče. |
2 | Na strani Pregled v razdelku Hibridne storitve izberite Hibridna varnost podatkov. |
3 | Na strani Viri za varnost hibridnih podatkov izberite gručo. |
4 | Na plošči Pregled na desni v razdelku Nastavitve gruče izberite ime gruče. |
5 | Na strani z nastavitvami v razdelku Nadgradnja izberite čas in časovni pas za urnik nadgradnje. Opomba: Pod časovnim pasom sta prikazana datum in čas naslednje razpoložljive nadgradnje. Nadgradnjo lahko po potrebi prestavite na naslednji dan s klikom Odložiti. |
Spremenite konfiguracijo vozlišča
Spreminjanje potrdil x.509 zaradi poteka veljavnosti ali drugih razlogov.
Ne podpiramo spreminjanja imena domene CN potrdila. Domena se mora ujemati z izvirno domeno, uporabljeno za registracijo gruče.
Posodabljanje nastavitev baze podatkov za spremembo v repliko baze podatkov PostgreSQL ali Microsoft SQL Server.
Ne podpiramo selitve podatkov iz PostgreSQL v Microsoft SQL Server ali obratno. Če želite preklopiti okolje baze podatkov, začnite novo uvedbo Hybrid Data Security.
Ustvarjanje nove konfiguracije za pripravo novega podatkovnega centra.
Poleg tega za varnostne namene Hybrid Data Security uporablja gesla storitvenih računov, ki imajo devetmesečno življenjsko dobo. Ko orodje HDS Setup ustvari ta gesla, jih namestite v vsako od svojih vozlišč HDS v konfiguracijski datoteki ISO. Ko se gesla vaše organizacije bližajo izteku, prejmete obvestilo ekipe Webex za ponastavitev gesla za vaš strojni račun. (E-poštno sporočilo vključuje besedilo »Uporabite API računa stroja za posodobitev gesla.«) Če vaša gesla še niso potekla, vam orodje ponuja dve možnosti:
Mehka ponastavitev— Staro in novo geslo delujeta do 10 dni. To obdobje uporabite za postopno zamenjavo datoteke ISO na vozliščih.
Trda ponastavitev— Stara gesla prenehajo delovati takoj.
Če vaša gesla potečejo brez ponastavitve, to vpliva na vašo storitev HDS, saj zahteva takojšnjo strojno ponastavitev in zamenjavo datoteke ISO na vseh vozliščih.
S tem postopkom ustvarite novo konfiguracijsko datoteko ISO in jo uporabite za vašo gručo.
Preden začneš
Orodje HDS Setup deluje kot vsebnik Docker na lokalnem računalniku. Za dostop do njega zaženite Docker na tem računalniku. Postopek namestitve zahteva poverilnice računa Control Hub s polnimi skrbniškimi pravicami za vašo organizacijo.
Če orodje za namestitev HDS deluje za proxyjem v vašem okolju, podajte nastavitve proxyja (strežnik, vrata, poverilnice) prek spremenljivk okolja Docker, ko prikažete vsebnik Docker v 1.e. Ta tabela podaja nekaj možnih spremenljivk okolja:
Opis
Spremenljivka
HTTP Proxy brez avtentikacije
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS Proxy brez avtentikacije
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP proxy z avtentikacijo
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy z avtentikacijo
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Za ustvarjanje nove konfiguracije potrebujete kopijo trenutne konfiguracijske datoteke ISO. ISO vsebuje glavni ključ, ki šifrira bazo podatkov PostgreSQL ali Microsoft SQL Server. ISO potrebujete, ko spreminjate konfiguracijo, vključno s poverilnicami baze podatkov, posodobitvami potrdil ali spremembami pravilnika avtorizacije.
1 | Z Dockerjem na lokalnem računalniku zaženite orodje za namestitev HDS. |
2 | Če imate samo eno vozlišče HDS, ustvarite nov VM vozlišča Hybrid Data Security in ga registrirajte z novo konfiguracijsko datoteko ISO. Za podrobnejša navodila glejte Ustvarite in registrirajte več vozlišč. |
3 | Za obstoječa vozlišča HDS, ki izvajajo starejšo konfiguracijsko datoteko, namestite datoteko ISO. Izvedite naslednji postopek na vsakem vozlišču po vrsti in posodobite vsako vozlišče, preden izklopite naslednje vozlišče: |
4 | Ponovite 3. korak, da zamenjate konfiguracijo na vsakem preostalem vozlišču, ki izvaja staro konfiguracijo. |
Izklopite način razreševanja blokiranega zunanjega DNS-ja
Ko registrirate vozlišče ali preverite konfiguracijo proxy vozlišča, postopek preizkusi iskanje DNS in povezljivost z oblakom Cisco Webex. Če strežnik DNS vozlišča ne more razrešiti javnih imen DNS, vozlišče samodejno preide v način blokiranega zunanjega razreševanja DNS.
Če lahko vaša vozlišča razrešijo javna imena DNS prek notranjih strežnikov DNS, lahko ta način izklopite tako, da na vsakem vozlišču znova zaženete preskus povezave proxy.
Preden začneš
1 | V spletnem brskalniku odprite vmesnik vozlišča Hybrid Data Security (naslov IP/nastavitev, npr. https://192.0.2.0/setup), vnesite skrbniške poverilnice, ki ste jih nastavili za vozlišče, in nato kliknite Prijava. |
2 | Pojdi do Pregled (privzeta stran). Ko je omogočeno, Blokirana zunanja razrešitev DNS je nastavljeno na ja. |
3 | Pojdi na Trust Store & Proxy strani. |
4 | Kliknite Preverite povezavo proxy. Če vidite sporočilo, da zunanja razrešitev DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS in bo ostalo v tem načinu. V nasprotnem primeru, ko znova zaženete vozlišče in se vrnete na Pregled stran, Blokirana zunanja DNS resolucija mora biti nastavljena na št. |
Kaj storiti naprej
Odstranite vozlišče
1 | Uporabite odjemalca VMware vSphere v vašem računalniku, da se prijavite v virtualni gostitelj ESXi in izklopite virtualni stroj. |
2 | Odstranite vozlišče: |
3 | V odjemalcu vSphere izbrišite VM. (V levem podoknu za krmarjenje z desno miškino tipko kliknite VM in kliknite Izbriši.) Če VM ne izbrišete, ne pozabite odklopiti konfiguracijske datoteke ISO. Brez datoteke ISO ne morete uporabljati VM za dostop do svojih varnostnih podatkov. |
Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti
Najbolj kritična storitev, ki jo nudi vaša gruča Hybrid Data Security, je ustvarjanje in shranjevanje ključev, ki se uporabljajo za šifriranje sporočil in druge vsebine, shranjene v oblaku Webex. Za vsakega uporabnika v organizaciji, ki je dodeljen Hybrid Data Security, so nove zahteve za ustvarjanje ključev usmerjene v gručo. Grozd je odgovoren tudi za vrnitev ključev, ki jih je ustvaril vsem uporabnikom, ki so pooblaščeni, da jih pridobijo, na primer članom prostora za pogovor.
Ker gruča opravlja kritično funkcijo zagotavljanja teh ključev, je nujno, da gruča še naprej deluje in da se vzdržujejo ustrezne varnostne kopije. Izguba podatkovne baze Hybrid Data Security ali konfiguracijskega ISO, ki se uporablja za shemo, bo povzročila NEPODOLČLJIVO IZGUBO vsebine stranke. Naslednje prakse so obvezne za preprečitev takšne izgube:
Če katastrofa povzroči, da uvedba HDS v primarnem podatkovnem centru postane nerazpoložljiva, sledite temu postopku za ročni samodejni preklop v rezervni podatkovni center.
1 | Zaženite orodje HDS Setup in sledite korakom, navedenim v Ustvarite konfiguracijski ISO za gostitelje HDS. | ||
2 | Ko konfigurirate strežnik Syslogd, kliknite na Napredne nastavitve | ||
3 | Na Napredne nastavitve stran, dodajte spodnjo konfiguracijo ali odstranite
| ||
4 | Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga je enostavno najti. | ||
5 | Naredite varnostno kopijo datoteke ISO v vašem lokalnem sistemu. Varnostno kopijo shranite. Ta datoteka vsebuje glavni šifrirni ključ za vsebino baze podatkov. Omejite dostop samo na tiste skrbnike za hibridno varnost podatkov, ki bi morali spremeniti konfiguracijo. | ||
6 | V levem podoknu za krmarjenje odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve.. | ||
7 | Kliknite Uredi nastavitve >CD/DVD pogon 1 in izberite Datastore ISO File.
| ||
8 | Vklopite vozlišče HDS in se prepričajte, da ni alarmov vsaj 15 minut. | ||
9 | Ponovite postopek za vsako vozlišče v podatkovnem centru v pripravljenosti.
|
Kaj storiti naprej
(Izbirno) Odpni ISO po konfiguraciji HDS
Standardna konfiguracija HDS deluje z nameščenim ISO. Toda nekatere stranke raje ne puščajo datotek ISO neprekinjeno nameščenih. Datoteko ISO lahko odklopite, ko vsa vozlišča HDS prevzamejo novo konfiguracijo.
Za spreminjanje konfiguracije še vedno uporabljate datoteke ISO. Ko ustvarite nov ISO ali posodobite ISO prek orodja za nastavitev, morate posodobljeni ISO namestiti na vsa vozlišča HDS. Ko so vsa vaša vozlišča prevzela konfiguracijske spremembe, lahko s tem postopkom znova odklopite ISO.
Preden začneš
Nadgradite vsa svoja vozlišča HDS na različico 2021.01.22.4720 ali novejšo.
1 | Zaustavite eno od vozlišč HDS. |
2 | V strežniški napravi vCenter izberite vozlišče HDS. |
3 | Izberite Datoteka ISO za shranjevanje podatkov. in odkljukajte |
4 | Vklopite vozlišče HDS in zagotovite, da vsaj 20 minut ni alarmov. |
5 | Ponovite za vsako vozlišče HDS po vrsti. |
Ogled opozoril in odpravljanje težav
Uvedba hibridne varnosti podatkov se šteje za nerazpoložljivo, če so vsa vozlišča v gruči nedosegljiva ali če gruča deluje tako počasi, da zahteva preteče čas. Če uporabniki ne morejo doseči vaše gruče Hybrid Data Security, se pojavijo naslednji simptomi:
Novih prostorov ni mogoče ustvariti (ni mogoče ustvariti novih ključev)
Sporočil in naslovov prostorov ni mogoče dešifrirati za:
Novi uporabniki dodani v prostor (ni mogoče pridobiti ključev)
Obstoječi uporabniki v prostoru, ki uporabljajo novega odjemalca (ni mogoče pridobiti ključev)
Obstoječi uporabniki v prostoru bodo še naprej uspešno delovali, dokler imajo njihovi odjemalci predpomnilnik šifrirnih ključev
Pomembno je, da pravilno spremljate svojo gručo Hybrid Data Security in nemudoma obravnavate vsa opozorila, da preprečite motnje storitve.
Opozorila
Če pride do težave z nastavitvijo Hybrid Data Security, Control Hub prikaže opozorila skrbniku organizacije in pošlje e-pošto na konfigurirani e-poštni naslov. Opozorila zajemajo številne pogoste scenarije.
Opozorilo | Dejanje |
---|---|
Napaka pri dostopu do lokalne baze podatkov. |
Preverite napake baze podatkov ali težave z lokalnim omrežjem. |
Napaka povezave z lokalno bazo podatkov. |
Preverite, ali je strežnik baze podatkov na voljo in ali so bile v konfiguraciji vozlišča uporabljene prave poverilnice storitvenega računa. |
Napaka pri dostopu do storitve v oblaku. |
Preverite, ali lahko vozlišča dostopajo do strežnikov Webex, kot je določeno v Zahteve za zunanjo povezljivost. |
Podaljšanje registracije storitve v oblaku. |
Registracija v storitvah v oblaku je bila opuščena. Podaljšanje registracije je v teku. |
Registracija storitve v oblaku je padla. |
Registracija v storitve v oblaku je prekinjena. Storitev se zapira. |
Storitev še ni aktivirana. |
Aktivirajte preskusno različico ali dokončajte premik preizkusne različice v produkcijo. |
Konfigurirana domena se ne ujema s potrdilom strežnika. |
Prepričajte se, da se vaše potrdilo strežnika ujema s konfigurirano domeno za aktiviranje storitve. Najverjetnejši vzrok je, da je bilo potrdilo CN nedavno spremenjeno in se zdaj razlikuje od CN, ki je bilo uporabljeno med prvotno nastavitvijo. |
Preverjanje pristnosti v storitvah v oblaku ni uspelo. |
Preverite točnost in morebiten potek poverilnic storitvenega računa. |
Lokalne datoteke shrambe ključev ni bilo mogoče odpreti. |
Preverite celovitost in točnost gesla v datoteki lokalne shrambe ključev. |
Potrdilo lokalnega strežnika ni veljavno. |
Preverite datum veljavnosti strežniškega potrdila in potrdite, da ga je izdal zaupanja vreden overitelj potrdil. |
Ni mogoče objaviti meritev. |
Preverite dostop lokalnega omrežja do zunanjih storitev v oblaku. |
Imenik /media/configdrive/hds ne obstaja. |
Preverite konfiguracijo namestitve ISO na virtualnem gostitelju. Preverite, ali datoteka ISO obstaja, ali je konfigurirana za namestitev ob ponovnem zagonu in ali je uspešno nameščena. |
Odpravljanje težav s hibridno varnostjo podatkov
1 | Preglejte Control Hub za vsa opozorila in popravite vse elemente, ki jih najdete tam. |
2 | Preglejte izhod strežnika syslog za dejavnost razmestitve Hybrid Data Security. |
3 | Kontakt Cisco podpora. |
Znane težave pri hibridni varnosti podatkov
Če zaustavite svojo gručo Hybrid Data Security (tako da jo izbrišete v Control Hubu ali tako, da zaustavite vsa vozlišča), izgubite konfiguracijsko datoteko ISO ali izgubite dostop do baze podatkov shrambe ključev, vaši uporabniki aplikacije Webex ne morejo več uporabljati prostorov pod svojimi Ljudje seznam, ki so bili ustvarjeni s ključi iz vašega KMS. To velja tako za poskusno kot za proizvodno uvedbo. Trenutno nimamo rešitve ali popravka za to težavo in vas pozivamo, da ne zaustavite storitev HDS, ko obravnavajo aktivne uporabniške račune.
Odjemalec, ki ima obstoječo povezavo ECDH s KMS, vzdržuje to povezavo nekaj časa (verjetno eno uro). Ko uporabnik postane član preskusne različice Hybrid Data Security, uporabnikov odjemalec nadaljuje z uporabo obstoječe povezave ECDH, dokler ne poteče čas. Druga možnost je, da se uporabnik odjavi in znova prijavi v aplikacijo Webex App, da posodobi lokacijo, s katero se aplikacija obrne za šifrirne ključe.
Enako vedenje se zgodi, ko preizkus premaknete v proizvodnjo za organizacijo. Vsi uporabniki brez preskusne različice z obstoječimi povezavami ECDH s prejšnjimi storitvami za varnost podatkov bodo še naprej uporabljali te storitve, dokler se povezava ECDH ponovno ne dogovori (prek časovne omejitve ali z odjavo in ponovnim vstopom).
Uporabite OpenSSL za ustvarjanje datoteke PKCS12
Preden začneš
OpenSSL je eno orodje, ki ga lahko uporabite za izdelavo datoteke PKCS12 v ustreznem formatu za nalaganje v orodju za nastavitev HDS. Obstajajo drugi načini za to in ne podpiramo ali spodbujamo enega načina namesto drugega.
Če se odločite za uporabo OpenSSL, ponujamo ta postopek kot smernico za pomoč pri ustvarjanju datoteke, ki izpolnjuje zahteve potrdila X.509 v Zahteve za potrdilo X.509. Razumite te zahteve, preden nadaljujete.
Namestite OpenSSL v podprto okolje. glej https://www.openssl.org za programsko opremo in dokumentacijo.
Ustvari zasebni ključ.
Začnite ta postopek, ko prejmete strežniško potrdilo od svojega overitelja potrdil (CA).
1 | Ko prejmete strežniško potrdilo od službe za potrdila, ga shranite kot |
2 | Prikažite potrdilo kot besedilo in preverite podrobnosti.
|
3 | Z urejevalnikom besedila ustvarite datoteko svežnja potrdil, imenovano
|
4 | Ustvarite datoteko .p12 s prijaznim imenom
|
5 | Preverite podrobnosti potrdila strežnika. |
Kaj storiti naprej
Vrnitev na Izpolnite predpogoje za hibridno varnost podatkov. Uporabili boste hdsnode.p12
datoteko in geslo, ki ste ga nastavili zanjo, v Ustvarite konfiguracijski ISO za gostitelje HDS.
Te datoteke lahko znova uporabite za zahtevo po novem potrdilu, ko prvotno potrdilo poteče. |
Promet med vozlišči HDS in oblakom
Odhodni promet zbiranja meritev
Vozlišča Hybrid Data Security pošiljajo določene meritve v oblak Webex. Ti vključujejo sistemske meritve za največjo kopico, uporabljeno kopico, obremenitev procesorja in število niti; metrike sinhronih in asinhronih niti; meritve za opozorila, ki vključujejo prag šifrirnih povezav, zakasnitev ali dolžino čakalne vrste zahtev; metrike v shrambi podatkov; in meritve šifrirne povezave. Vozlišča pošiljajo šifrirano ključno gradivo prek zunajpasovnega (ločenega od zahteve) kanala.
Dohodni promet
Vozlišča Hybrid Data Security prejemajo naslednje vrste vhodnega prometa iz oblaka Webex:
Zahteve za šifriranje odjemalcev, ki jih usmeri šifrirna storitev
Nadgradnje programske opreme vozlišča
Konfigurirajte posrednike Squid za hibridno varnost podatkov
Websocket se ne more povezati prek proxyja Squid
Posredniki Squid, ki pregledujejo promet HTTPS, lahko motijo vzpostavitev spletne vtičnice ( wss:
) povezave, ki jih zahteva Hybrid Data Security. Ti razdelki dajejo navodila o tem, kako konfigurirati različne različice Squid za prezrtje wss:
prometa za pravilno delovanje storitev.
Lignji 4 in 5
Dodajte on_unsupported_protocol
direktiva za squid.conf
:
on_unsupported_protocol tunnel all
Lignji 3.5.27
Hibridno varnost podatkov smo uspešno preizkusili z dodanimi naslednjimi pravili squid.conf
. Ta pravila se lahko spremenijo, ko razvijamo funkcije in posodabljamo oblak Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Nove in spremenjene informacije
Datum | Izvedene spremembe | ||
---|---|---|---|
20. oktober 2023 |
| ||
7. avgust 2023 |
| ||
23. maj 2023 |
| ||
6. december 2022 |
| ||
23. november 2022 |
| ||
13. oktober 2021 | Docker Desktop mora zagnati namestitveni program, preden lahko namestite vozlišča HDS. glej Zahteve za namizje Docker. | ||
24. junij 2021 | Upoštevajte, da lahko znova uporabite datoteko zasebnega ključa in CSR, da zahtevate drugo potrdilo. glej Uporabite OpenSSL za ustvarjanje datoteke PKCS12 za podrobnosti. | ||
30. april 2021 | Zahteva VM za lokalni prostor na trdem disku je spremenjena na 30 GB. glej Zahteve za virtualnega gostitelja za podrobnosti. | ||
24. februar 2021 | Orodje za nastavitev HDS lahko zdaj deluje za posrednikom. glej Ustvarite konfiguracijski ISO za gostitelje HDS za podrobnosti. | ||
2. februar 2021 | HDS lahko zdaj deluje brez nameščene datoteke ISO. glej (Izbirno) Odpni ISO po konfiguraciji HDS za podrobnosti. | ||
11. januar 2021 | Dodane informacije o orodju za nastavitev HDS in proxyjih za Ustvarite konfiguracijski ISO za gostitelje HDS. | ||
13. oktober 2020 | Posodobljeno Prenesite namestitvene datoteke. | ||
8. oktober 2020 | Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča z ukazi za okolja FedRAMP. | ||
14. avgust 2020 | Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča s spremembami postopka prijave. | ||
5. avgust 2020 | Posodobljeno Preizkusite svojo hibridno uvedbo varnosti podatkov za spremembe v dnevniških sporočilih. Posodobljeno Zahteve za virtualnega gostitelja da odstranite največje število gostiteljev. | ||
16. junij 2020 | Posodobljeno Odstranite vozlišče za spremembe v uporabniškem vmesniku Control Hub. | ||
4. junij 2020 | Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS za spremembe v naprednih nastavitvah, ki jih lahko nastavite. | ||
29. maj 2020 | Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS da pokažete, da lahko TLS uporabljate tudi z bazami podatkov SQL Server, spremembami uporabniškega vmesnika in drugimi pojasnili. | ||
5. maj 2020 | Posodobljeno Zahteve za virtualnega gostitelja za prikaz novih zahtev ESXi 6.5. | ||
21. april 2020 | Posodobljeno Zahteve za zunanjo povezljivost z novimi gostitelji CI Amerike. | ||
1. april 2020 | Posodobljeno Zahteve za zunanjo povezljivost z informacijami o regionalnih gostiteljih CI. | ||
20. februar 2020 | Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS z informacijami o novem izbirnem zaslonu z naprednimi nastavitvami v orodju za nastavitev HDS. | ||
4. februar 2020 | Posodobljeno Zahteve za strežnik proxy. | ||
16. december 2019 | Pojasnjena je zahteva za delovanje v načinu blokiranega zunanjega razreševanja DNS Zahteve za strežnik proxy. | ||
19. november 2019 | Dodane informacije o načinu razreševanja blokiranega zunanjega DNS-ja v naslednjih razdelkih: | ||
8. november 2019 | Zdaj lahko konfigurirate omrežne nastavitve za vozlišče med uvajanjem OVA in ne pozneje. Ustrezno posodobljeni naslednji razdelki:
| ||
6. september 2019 | Dodan SQL Server Standard Zahteve za strežnik baze podatkov. | ||
29. avgust 2019 | Dodano Konfigurirajte posrednike Squid za hibridno varnost podatkov dodatek z navodili za konfiguriranje proxyjev Squid, da za pravilno delovanje prezrejo promet spletnih vtičnic. | ||
20. avgust 2019 | Dodani in posodobljeni razdelki za pokrivanje podpore posrednika za komunikacije vozlišča Hybrid Data Security z oblakom Webex. Za dostop samo do podporne vsebine proxyja za obstoječo uvedbo glejte Proxy podpora za Hybrid Data Security in Webex Video Mesh članek za pomoč. | ||
13. junij 2019 | Posodobljeno Potek naloge od preizkusa do proizvodnje z opomnikom za sinhronizacijo HdsTrialGroup predmet skupine pred začetkom preizkusa, če vaša organizacija uporablja sinhronizacijo imenikov. | ||
6. marec 2019 |
| ||
28. februar 2019 |
| ||
26. februar 2019 |
| ||
24. januar 2019 |
| ||
5. november 2018 |
| ||
19. oktober 2018 |
| ||
31. julij 2018 |
| ||
21. maj 2018 | Spremenjena terminologija, ki odraža preimenovanje Cisco Spark:
| ||
11. april 2018 |
| ||
22. februar 2018 |
| ||
15. februar 2018 |
| ||
18. januar 2018 |
| ||
2. november 2017 |
| ||
18. avgust 2017 | Prvič objavljeno |
Pregled varnosti hibridnih podatkov
Od prvega dne je bila varnost podatkov glavni poudarek pri oblikovanju Aplikacija Webex. Temelj te varnosti je šifriranje vsebine od konca do konca, ki ga omogoča Aplikacija Webex stranke, ki komunicirajo s storitvijo upravljanja ključev (KMS). KMS je odgovoren za ustvarjanje in upravljanje kriptografskih ključev, ki jih stranke uporabljajo za dinamično šifriranje in dešifriranje sporočil in datotek.
Privzeto vse Aplikacija Webex stranke dobijo šifriranje od konca do konca z dinamičnimi ključi, shranjenimi v oblaku KMS, v Ciscovem varnostnem področju. Hybrid Data Security premakne KMS in druge funkcije, povezane z varnostjo, v podatkovni center vašega podjetja, tako da nihče drug kot vi nima ključev do vaše šifrirane vsebine.
Arhitektura varnostnega področja
Arhitektura oblaka Webex ločuje različne vrste storitev v ločena področja ali domene zaupanja, kot je prikazano spodaj.
Za nadaljnje razumevanje hibridne varnosti podatkov si najprej oglejmo ta čisti oblak, kjer Cisco zagotavlja vse funkcije v svojem oblaku. Storitev identitete, edino mesto, kjer so uporabniki lahko neposredno povezani z njihovimi osebnimi podatki, kot je e-poštni naslov, je logično in fizično ločena od varnostnega področja v podatkovnem centru B. Oboje je ločeno od področja, kjer je na koncu shranjena šifrirana vsebina. , v podatkovnem centru C.
V tem diagramu je odjemalec aplikacija Webex, ki se izvaja na prenosnem računalniku uporabnika in je bila overjena s storitvijo identitete. Ko uporabnik sestavi sporočilo za pošiljanje v prostor, potekajo naslednji koraki:
Odjemalec vzpostavi varno povezavo s storitvijo za upravljanje ključev (KMS), nato pa zahteva ključ za šifriranje sporočila. Varna povezava uporablja ECDH, KMS pa šifrira ključ z glavnim ključem AES-256.
Sporočilo je šifrirano, preden zapusti odjemalca. Odjemalec ga pošlje storitvi indeksiranja, ki ustvari šifrirane iskalne indekse za pomoč pri prihodnjih iskanjih vsebine.
Šifrirano sporočilo je poslano storitvi skladnosti za preverjanje skladnosti.
Šifrirano sporočilo je shranjeno v območju shranjevanja.
Ko uvedete Hybrid Data Security, premaknete funkcije varnostnega področja (KMS, indeksiranje in skladnost) v vaš lokalni podatkovni center. Druge storitve v oblaku, ki sestavljajo Webex (vključno s shranjevanjem identitete in vsebine), ostajajo v domeni Cisca.
Sodelovanje z drugimi organizacijami
Uporabniki v vaši organizaciji lahko redno uporabljajo aplikacijo Webex za sodelovanje z zunanjimi udeleženci v drugih organizacijah. Ko eden od vaših uporabnikov zahteva ključ za prostor, ki je v lasti vaše organizacije (ker ga je ustvaril eden od vaših uporabnikov), vaš KMS pošlje ključ odjemalcu prek zaščitenega kanala ECDH. Ko pa ima druga organizacija ključ za prostor, vaš KMS usmeri zahtevo v oblak Webex prek ločenega kanala ECDH, da pridobi ključ od ustreznega KMS, in nato vrne ključ vašemu uporabniku na izvirnem kanalu.
Storitev KMS, ki se izvaja v organizaciji A, preverja povezave s KMS-ji v drugih organizacijah z uporabo potrdil x.509 PKI. glej Pripravite svoje okolje za podrobnosti o ustvarjanju potrdila x.509 za uporabo z vašo uvedbo Hybrid Data Security.
Pričakovanja glede uvajanja hibridne varnosti podatkov
Uvedba hibridne varnosti podatkov zahteva veliko predanost strank in zavedanje tveganj, ki jih prinaša posedovanje šifrirnih ključev.
Za uvedbo Hybrid Data Security morate zagotoviti:
Varen podatkovni center v državi, ki je a podprto lokacijo za načrte Cisco Webex Teams.
Oprema, programska oprema in dostop do omrežja, opisani v Pripravite svoje okolje.
Popolna izguba konfiguracije ISO, ki jo zgradite za Hybrid Data Security, ali baze podatkov, ki jo zagotovite, bo povzročila izgubo ključev. Izguba ključa uporabnikom prepreči dešifriranje prostorske vsebine in drugih šifriranih podatkov v aplikaciji Webex. Če se to zgodi, lahko zgradite novo uvedbo, vendar bo vidna samo nova vsebina. Da preprečite izgubo dostopa do podatkov, morate:
Upravljajte varnostno kopiranje in obnovitev baze podatkov in konfiguracije ISO.
Bodite pripravljeni izvesti hitro obnovitev po katastrofi, če pride do katastrofe, kot je okvara diska baze podatkov ali katastrofa podatkovnega centra.
Ni mehanizma za premik ključev nazaj v oblak po uvedbi HDS. |
Postopek namestitve na visoki ravni
Ta dokument pokriva nastavitev in upravljanje uvedbe Hybrid Data Security:
Nastavite hibridno varnost podatkov— To vključuje pripravo zahtevane infrastrukture in namestitev programske opreme Hybrid Data Security, testiranje vaše uvedbe s podnaborom uporabnikov v preskusnem načinu in, ko je vaše testiranje končano, premik v proizvodnjo. To pretvori celotno organizacijo v uporabo vaše Hybrid Data Security gruče za varnostne funkcije.
Faze nastavitve, preizkusa in proizvodnje so podrobno obravnavane v naslednjih treh poglavjih.
Ohranite svojo uvedbo Hybrid Data Security— Oblak Webex samodejno zagotavlja stalne nadgradnje. Vaš IT oddelek lahko zagotovi podporo prve stopnje za to uvedbo in po potrebi vključi podporo Cisco. V Control Hubu lahko uporabite obvestila na zaslonu in nastavite opozorila po e-pošti.
Razumevanje pogostih opozoril, korakov za odpravljanje težav in znanih težav—Če naletite na težave pri uvajanju ali uporabi Hybrid Data Security, vam lahko zadnje poglavje tega vodnika in dodatek Znane težave pomagata ugotoviti in odpraviti težavo.
Hibridni model uvajanja varnosti podatkov
Znotraj podatkovnega centra vašega podjetja namestite Hybrid Data Security kot eno samo gručo vozlišč na ločenih virtualnih gostiteljih. Vozlišča komunicirajo z oblakom Webex prek varnih spletnih vtičnic in varnega HTTP-ja.
Med postopkom namestitve vam zagotovimo datoteko OVA za nastavitev virtualne naprave na VM, ki jih zagotovite. Z orodjem za nastavitev HDS ustvarite datoteko ISO konfiguracije gruče po meri, ki jo namestite na vsako vozlišče. Grozd Hybrid Data Security uporablja strežnik Syslogd, ki ste ga zagotovili, in bazo podatkov PostgreSQL ali Microsoft SQL Server. (Syslogd in podrobnosti o povezavi baze podatkov konfigurirate v orodju za namestitev HDS.)
Najmanjše število vozlišč, ki jih lahko imate v gruči, sta dve. Priporočamo vsaj tri, lahko pa tudi do pet. Če imate več vozlišč, zagotovite, da storitev ni prekinjena med nadgradnjo programske opreme ali drugo vzdrževalno dejavnostjo na vozlišču. (Oblak Webex nadgrajuje samo eno vozlišče naenkrat.)
Vsa vozlišča v gruči dostopajo do iste shrambe ključnih podatkov in beležijo dejavnost v isti strežnik syslog. Sama vozlišča so brez stanja in obravnavajo ključne zahteve na krožni način, po navodilih oblaka.
Vozlišča postanejo aktivna, ko jih registrirate v Control Hub. Če želite posamezno vozlišče izključiti iz uporabe, ga lahko odjavite in pozneje po potrebi znova registrirate.
Podpiramo samo eno gručo na organizacijo.
Preizkusni način hibridne varnosti podatkov
Ko nastavite uvedbo Hybrid Data Security, jo najprej preizkusite z nizom pilotnih uporabnikov. Med preskusnim obdobjem ti uporabniki uporabljajo vašo domeno Hybrid Data Security na mestu uporabe za šifrirne ključe in druge storitve varnostnega področja. Vaši drugi uporabniki še naprej uporabljajo varnostno področje oblaka.
Če se med preskusnim obdobjem odločite, da ne boste nadaljevali z uvajanjem in deaktivirate storitev, bodo pilotni uporabniki in vsi uporabniki, s katerimi so sodelovali z ustvarjanjem novih prostorov med preskusnim obdobjem, izgubili dostop do sporočil in vsebine. V aplikaciji Webex bodo videli »Tega sporočila ni mogoče dešifrirati«.
Če ste zadovoljni, da vaša uvedba dobro deluje za preskusne uporabnike in ste pripravljeni razširiti Hybrid Data Security na vse svoje uporabnike, premaknite uvedbo v produkcijo. Pilotni uporabniki imajo še naprej dostop do ključev, ki so bili v uporabi med preskusom. Vendar se ne morete premikati naprej in nazaj med produkcijskim načinom in prvotnim preskusom. Če morate deaktivirati storitev, na primer za izvedbo obnovitve po katastrofi, morate ob ponovni aktivaciji začeti novo preskusno različico in nastaviti nabor pilotnih uporabnikov za novo preskusno različico, preden se premaknete nazaj v produkcijski način. Ali uporabniki obdržijo dostop do podatkov na tej točki, je odvisno od tega, ali ste uspešno vzdrževali varnostne kopije shrambe ključnih podatkov in konfiguracijske datoteke ISO za vozlišča Hybrid Data Security v vaši gruči.
Podatkovni center v pripravljenosti za obnovitev po katastrofi
Med uvajanjem nastavite varen podatkovni center v pripravljenosti. V primeru katastrofe v podatkovnem centru lahko ročno prekinete svojo uvedbo v podatkovni center v pripravljenosti.
Podatkovne baze aktivnega in rezervnega podatkovnega centra so med seboj sinhronizirane, kar bo zmanjšalo čas, potreben za izvedbo samodejnega preklopa. Datoteka ISO podatkovnega centra v pripravljenosti je posodobljena z dodatnimi konfiguracijami, ki zagotavljajo, da so vozlišča registrirana v organizaciji, vendar ne bodo obravnavala prometa. Tako so vozlišča podatkovnega centra v pripravljenosti vedno posodobljena z najnovejšo različico programske opreme HDS.
Aktivna vozlišča Hybrid Data Security morajo biti vedno v istem podatkovnem centru kot aktivni strežnik baze podatkov. |
Nastavite podatkovni center v pripravljenosti za obnovitev po katastrofi
Za konfiguracijo datoteke ISO podatkovnega centra v pripravljenosti sledite spodnjim korakom:
Preden začneš
Podatkovni center v pripravljenosti bi moral zrcaliti produkcijsko okolje navideznih strojev in rezervno bazo podatkov PostgreSQL ali Microsoft SQL Server. Na primer, če ima proizvodnja 3 VM-je, ki poganjajo vozlišča HDS, bi moralo okolje za varnostno kopiranje imeti 3 VM-je. (Glej Podatkovni center v pripravljenosti za obnovitev po katastrofi za pregled tega modela samodejnega preklopa.)
Prepričajte se, da je omogočena sinhronizacija baze podatkov med bazo podatkov aktivnih in pasivnih vozlišč gruče.
1 | Zaženite orodje HDS Setup in sledite korakom, navedenim v Ustvarite konfiguracijski ISO za gostitelje HDS.
| ||
2 | Ko konfigurirate strežnik Syslogd, kliknite na Napredne nastavitve | ||
3 | Na Napredne nastavitve strani dodajte spodnjo konfiguracijo, da postavite vozlišče v pasivni način. V tem načinu bo vozlišče registrirano v organizaciji in povezano z oblakom, vendar ne bo obravnavalo prometa.
| ||
4 | Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga je enostavno najti. | ||
5 | Naredite varnostno kopijo datoteke ISO v vašem lokalnem sistemu. Varnostno kopijo shranite. Ta datoteka vsebuje glavni šifrirni ključ za vsebino baze podatkov. Omejite dostop samo na tiste skrbnike za hibridno varnost podatkov, ki bi morali spremeniti konfiguracijo. | ||
6 | V levem podoknu za krmarjenje odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve.. | ||
7 | Kliknite Uredi nastavitve >CD/DVD pogon 1 in izberite Datastore ISO File.
| ||
8 | Vklopite vozlišče HDS in se prepričajte, da ni alarmov vsaj 15 minut. | ||
9 | Ponovite postopek za vsako vozlišče v podatkovnem centru v pripravljenosti.
|
Kaj storiti naprej
Po konfiguraciji passiveMode
v datoteko ISO in jo shranite, lahko ustvarite drugo kopijo datoteke ISO brez passiveMode
konfiguracijo in jo shranite na varno mesto. Ta kopija datoteke ISO brez passiveMode
konfigurirano lahko pomaga pri hitrem procesu samodejnega preklopa med obnovitvijo po katastrofi. glej Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti za podroben postopek samodejnega preklopa.
Podpora za proxy
Hybrid Data Security podpira eksplicitne, pregledne inšpekcijske in neinšpekcijske posrednike. Te posrednike lahko povežete s svojo uvedbo, tako da lahko zavarujete in spremljate promet iz podjetja v oblak. Skrbniški vmesnik platforme lahko uporabite na vozliščih za upravljanje potrdil in za preverjanje splošnega stanja povezljivosti, potem ko nastavite proxy na vozliščih.
Vozlišča Hybrid Data Security podpirajo naslednje možnosti posrednika:
Brez posrednika— Privzeto, če za integracijo proxyja ne uporabljate nastavitve vozlišča HDS Trust Store & Proxy. Posodobitev potrdila ni potrebna.
Transparenten proxy brez nadzora— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy in ne bi smela zahtevati nobenih sprememb za delo s proxyjem, ki ne preverja. Posodobitev potrdila ni potrebna.
Transparentni proxy za tuneliranje ali pregledovanje— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy. Na vozliščih niso potrebne spremembe konfiguracije HTTP ali HTTPS. Vendar vozlišča potrebujejo korensko potrdilo, da zaupajo proxyju. Inspecting proxy običajno uporablja IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta proxyja dešifrira ves vaš promet (tudi HTTPS).
Eksplicitni posrednik— Z eksplicitnim proxy vozliščem HDS poveste, kateri strežnik proxy in shemo preverjanja pristnosti naj uporabijo. Če želite konfigurirati eksplicitni proxy, morate v vsako vozlišče vnesti naslednje informacije:
Proxy IP/FQDN—Naslov, ki ga je mogoče uporabiti za dostop do proxy naprave.
Proxy vrata—Številka vrat, ki jih proxy uporablja za poslušanje prometa prek posrednika.
Proxy protokol—Glede na to, kaj podpira vaš proxy strežnik, izberite med naslednjimi protokoli:
HTTP—Ogleda in nadzoruje vse zahteve, ki jih pošlje odjemalec.
HTTPS—zagotavlja kanal strežniku. Odjemalec prejme in potrdi potrdilo strežnika.
Vrsta avtentikacije—Izbirajte med naslednjimi vrstami preverjanja pristnosti:
Noben— Nadaljnje preverjanje pristnosti ni potrebno.
Na voljo, če kot proxy protokol izberete HTTP ali HTTPS.
Osnovno—Uporablja se za uporabniškega agenta HTTP, da zagotovi uporabniško ime in geslo, ko poda zahtevo. Uporablja kodiranje Base64.
Na voljo, če kot proxy protokol izberete HTTP ali HTTPS.
Za vsako vozlišče morate vnesti uporabniško ime in geslo.
prebaviti— Uporablja se za potrditev računa pred pošiljanjem občutljivih informacij. Uporabi zgoščeno funkcijo za uporabniško ime in geslo pred pošiljanjem po omrežju.
Na voljo samo, če izberete HTTPS kot posredniški protokol.
Za vsako vozlišče morate vnesti uporabniško ime in geslo.
Primer vozlišč hibridne varnosti podatkov in posrednika
Ta diagram prikazuje primer povezave med Hybrid Data Security, omrežjem in proxyjem. Za možnosti transparentnega pregledovanja in eksplicitnega pregledovanja HTTPS proxy mora biti isto korensko potrdilo nameščeno na proxyju in vozliščih Hybrid Data Security.
Blokiran zunanji način reševanja DNS (eksplicitne konfiguracije proxyja)
Ko registrirate vozlišče ali preverite konfiguracijo proxy vozlišča, postopek preizkusi iskanje DNS in povezljivost z oblakom Cisco Webex. Pri uvedbah z eksplicitnimi konfiguracijami posrednika, ki ne dovoljujejo zunanjega razreševanja DNS za notranje odjemalce, če vozlišče ne more poizvedovati po strežnikih DNS, samodejno preide v način blokiranega zunanjega razreševanja DNS. V tem načinu se lahko nadaljuje registracija vozlišča in drugi testi povezljivosti posrednika.
Zahteve za hibridno varnost podatkov
Licenčne zahteve za Cisco Webex
Če želite uvesti Hybrid Data Security:
Za Cisco Webex Control Hub morate imeti Pro Pack. (Glej https://www.cisco.com/go/pro-pack.)
Zahteve za namizje Docker
Preden namestite vozlišča HDS, potrebujete Docker Desktop za zagon namestitvenega programa. Docker je nedavno posodobil svoj model licenciranja. Vaša organizacija morda zahteva plačljivo naročnino za Docker Desktop. Za podrobnosti si oglejte objavo v spletnem dnevniku Docker, " Docker posodablja in podaljšuje naše naročnine na izdelke".
Zahteve za potrdilo X.509
Certifikacijska veriga mora izpolnjevati naslednje zahteve:
Zahteva | Podrobnosti |
---|---|
| Privzeto zaupamo CA-jem na seznamu Mozilla (z izjemo WoSign in StartCom) na https://wiki.mozilla.org/CA:IncludedCAs. |
| Ni treba, da je CN dosegljiv ali gostitelj v živo. Priporočamo, da uporabite ime, ki odraža vašo organizacijo, na primer KN ne sme vsebovati * (nadomestni znak). CN se uporablja za preverjanje vozlišč Hybrid Data Security za odjemalce aplikacije Webex. Vsa vozlišča Hybrid Data Security v vaši gruči uporabljajo isto potrdilo. Vaš KMS se identificira z uporabo domene CN, ne katere koli domene, ki je definirana v poljih SAN x.509v3. Ko registrirate vozlišče s tem potrdilom, ne podpiramo spreminjanja imena domene CN. Izberite domeno, ki se lahko uporablja za preskusno in produkcijsko uvedbo. |
| Programska oprema KMS ne podpira podpisov SHA1 za preverjanje povezav s KMS-ji drugih organizacij. |
| Za spremembo oblike potrdila lahko uporabite pretvornik, kot je OpenSSL. Ko zaženete orodje za nastavitev HDS, boste morali vnesti geslo. |
Programska oprema KMS ne uveljavlja uporabe ključev ali razširjenih omejitev uporabe ključev. Nekateri overitelji potrdil zahtevajo, da se za vsako potrdilo uporabijo razširjene omejitve uporabe ključa, na primer preverjanje pristnosti strežnika. V redu je, če uporabite avtentikacijo strežnika ali druge nastavitve.
Zahteve za virtualnega gostitelja
Navidezni gostitelji, ki jih boste nastavili kot vozlišča Hybrid Data Security v vaši gruči, imajo naslednje zahteve:
Vsaj dva ločena gostitelja (3 priporočljivo), nameščena v istem varnem podatkovnem centru
VMware ESXi 6.5 (ali novejši) nameščen in deluje.
Če imate starejšo različico ESXi, morate nadgraditi.
Najmanj 4 vCPU-ji, 8 GB glavnega pomnilnika, 30 GB lokalnega prostora na trdem disku na strežnik
Zahteve za strežnik baze podatkov
Ustvarite novo bazo podatkov za shranjevanje ključev. Ne uporabljajte privzete zbirke podatkov. Ko so nameščene aplikacije HDS, ustvarijo shemo baze podatkov. |
Obstajata dve možnosti za strežnik baze podatkov. Zahteve za vsakega so naslednje:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Najmanj 8 vCPU-jev, 16 GB glavnega pomnilnika, dovolj prostora na trdem disku in nadzor, da se zagotovi, da ni presežen (priporočeno je 2 TB, če želite bazo podatkov izvajati dlje časa, ne da bi morali povečati prostor za shranjevanje) | Najmanj 8 vCPU-jev, 16 GB glavnega pomnilnika, dovolj prostora na trdem disku in nadzor, da se zagotovi, da ni presežen (priporočeno je 2 TB, če želite bazo podatkov izvajati dlje časa, ne da bi morali povečati prostor za shranjevanje) |
Programska oprema HDS trenutno namesti naslednje različice gonilnikov za komunikacijo s strežnikom baze podatkov:
PostgreSQL | Microsoft SQL Server |
---|---|
Gonilnik Postgres JDBC 42.2.5 | Gonilnik SQL Server JDBC 4.6 Ta različica gonilnika podpira SQL Server Always On ( Always On Failover Cluster Instances in Skupine razpoložljivosti Always On). |
Dodatne zahteve za preverjanje pristnosti sistema Windows proti strežniku Microsoft SQL Server
Če želite, da vozlišča HDS uporabljajo preverjanje pristnosti sistema Windows za dostop do baze podatkov shrambe ključev v strežniku Microsoft SQL Server, potrebujete naslednjo konfiguracijo v svojem okolju:
Vozlišča HDS, infrastruktura Active Directory in MS SQL Server morajo biti vsi sinhronizirani z NTP.
Račun Windows, ki ga zagotovite vozliščem HDS, mora imeti dostop za branje/pisanje do baze podatkov.
Strežniki DNS, ki jih zagotovite vozliščem HDS, morajo imeti možnost razrešiti vaš center za distribucijo ključev (KDC).
Primerek baze podatkov HDS lahko registrirate na strežniku Microsoft SQL Server kot glavno ime storitve (SPN) v imeniku Active Directory. glej Registrirajte glavno ime storitve za povezave Kerberos.
Orodje za nastavitev HDS, zaganjalnik HDS in lokalni KMS morajo uporabljati preverjanje pristnosti sistema Windows za dostop do baze podatkov shrambe ključev. Uporabijo podrobnosti iz vaše konfiguracije ISO za izdelavo SPN, ko zahtevajo dostop s preverjanjem pristnosti Kerberos.
Zahteve za zunanjo povezljivost
Konfigurirajte požarni zid, da bo omogočal naslednje povezave za aplikacije HDS:
Aplikacija | Protokol | Pristanišče | Smer iz App | Destinacija |
---|---|---|---|---|
Hibridna varnostna vozlišča podatkov | TCP | 443 | Odhodni HTTPS in WSS |
|
Orodje za nastavitev HDS | TCP | 443 | Odhodni HTTPS |
|
Vozlišča Hybrid Data Security delujejo s prevajanjem omrežnega dostopa (NAT) ali za požarnim zidom, če NAT ali požarni zid omogoča zahtevane odhodne povezave do ciljev domene v prejšnji tabeli. Za povezave, ki potekajo vhodno do vozlišč Hybrid Data Security, iz interneta ne smejo biti vidna nobena vrata. V vašem podatkovnem centru odjemalci potrebujejo dostop do vozlišč Hybrid Data Security na vratih TCP 443 in 22 za administrativne namene. |
URL-ji za gostitelje skupne identitete (CI) so specifični za regijo. To so trenutni gostitelji CI:
Regija | URL-ji gostitelja skupne identitete |
---|---|
Amerike |
|
Evropska unija |
|
Kanada |
|
Zahteve za strežnik proxy
Uradno podpiramo naslednje rešitve proxy, ki se lahko integrirajo z vašimi vozlišči Hybrid Data Security.
Transparent proxy—Cisco Web Security Appliance (WSA).
Eksplicitni proxy—Squid.
Posredniki Squid, ki pregledujejo promet HTTPS, lahko motijo vzpostavitev spletne vtičnice (wss:) povezave. Če se želite izogniti tej težavi, glejte Konfigurirajte posrednike Squid za hibridno varnost podatkov.
Podpiramo naslednje kombinacije vrst preverjanja pristnosti za eksplicitne posrednike:
Ni avtentikacije s HTTP ali HTTPS
Osnovna avtentikacija s HTTP ali HTTPS
Pregled pristnosti samo s HTTPS
Za proxy proxy za pregledovanje ali eksplicitni proxy HTTPS morate imeti kopijo korenskega potrdila proxyja. Navodila za uvajanje v tem priročniku vam povejo, kako naložite kopijo v skrbniške shrambe vozlišč Hybrid Data Security.
Omrežje, ki gosti vozlišča HDS, mora biti konfigurirano tako, da prisili izhodni promet TCP na vratih 443, da se usmeri prek proxyja.
Posredniki, ki pregledujejo spletni promet, lahko motijo povezave s spletnimi vtičnicami. Če pride do te težave, obide (brez pregleda) promet do
wbx2.com
inciscospark.com
bo rešil problem.
Izpolnite predpogoje za hibridno varnost podatkov
1 | Prepričajte se, da je vaša organizacija Webex omogočena za Pro Pack za Cisco Webex Control Hub in pridobite poverilnice računa s polnimi skrbniškimi pravicami organizacije. Za pomoč pri tem postopku se obrnite na svojega Ciscovega partnerja ali upravitelja računa. | ||
2 | Izberite ime domene za svojo uvedbo HDS (npr. | ||
3 | Pripravite enake navidezne gostitelje, ki jih boste nastavili kot vozlišča Hybrid Data Security v vaši gruči. Potrebujete vsaj dva ločena gostitelja (3 priporočljivo), nameščena v istem varnem podatkovnem centru, ki izpolnjujeta zahteve v Zahteve za virtualnega gostitelja. | ||
4 | Pripravite strežnik baze podatkov, ki bo deloval kot shramba ključnih podatkov za gručo, v skladu z Zahteve za strežnik baze podatkov. Strežnik baze podatkov mora biti nameščen v varnem podatkovnem centru skupaj z virtualnimi gostitelji. | ||
5 | Za hitro obnovitev po katastrofi nastavite varnostno okolje v drugem podatkovnem centru. Okolje za varnostno kopiranje zrcali produkcijsko okolje navideznih strojev in strežnik baze podatkov za varnostno kopiranje. Na primer, če ima proizvodnja 3 VM-je, ki poganjajo vozlišča HDS, bi moralo okolje za varnostno kopiranje imeti 3 VM-je. | ||
6 | Nastavite gostitelja sistemskega dnevnika za zbiranje dnevnikov iz vozlišč v gruči. Zberite njegov omrežni naslov in vrata sistemskega dnevnika (privzeto je UDP 514). | ||
7 | Ustvarite politiko varnega varnostnega kopiranja za vozlišča Hybrid Data Security, strežnik baze podatkov in gostitelja sistemskega dnevnika. Če želite preprečiti nepopravljivo izgubo podatkov, morate najmanj varnostno kopirati bazo podatkov in konfiguracijsko datoteko ISO, ustvarjeno za vozlišča Hybrid Data Security.
Odjemalci aplikacije Webex shranjujejo svoje ključe v predpomnilnik, zato izpad morda ne bo takoj opazen, vendar bo sčasoma očiten. Čeprav je začasnih izpadov nemogoče preprečiti, jih je mogoče obnoviti. Vendar bo popolna izguba (razpoložljivih varnostnih kopij) baze podatkov ali konfiguracijske datoteke ISO povzročila nepopravljivost podatkov o strankah. Od operaterjev vozlišč Hybrid Data Security se pričakuje, da bodo vzdrževali pogoste varnostne kopije baze podatkov in konfiguracijske datoteke ISO ter da bodo pripravljeni na ponovno izgradnjo podatkovnega centra Hybrid Data Security, če pride do katastrofalne okvare. | ||
8 | Zagotovite, da vaša konfiguracija požarnega zidu omogoča povezljivost za vozlišča Hybrid Data Security, kot je opisano v Zahteve za zunanjo povezljivost. | ||
9 | Namestite Docker ( https://www.docker.com) na katerem koli lokalnem računalniku s podprtim OS (Microsoft Windows 10 Professional ali Enterprise 64-bit ali Mac OSX Yosemite 10.10.3 ali novejši) s spletnim brskalnikom, ki lahko dostopa do njega na http://127.0.0.1:8080. Primerek Docker uporabite za prenos in zagon orodja za nastavitev HDS, ki gradi lokalne konfiguracijske informacije za vsa vozlišča Hybrid Data Security. Vaša organizacija morda potrebuje licenco Docker Desktop. glej Zahteve za namizje Docker za več informacij. Če želite namestiti in zagnati orodje za nastavitev HDS, mora imeti lokalni računalnik povezljivost, opisano v Zahteve za zunanjo povezljivost. | ||
10 | Če integrirate proxy s Hybrid Data Security, se prepričajte, da ustreza Zahteve za strežnik proxy. | ||
11 | Če vaša organizacija uporablja sinhronizacijo imenikov, ustvarite skupino v imeniku Active Directory, imenovano
|
Potek opravila uvajanja hibridne varnosti podatkov
Preden začneš
1 | Prenesite namestitvene datoteke Prenesite datoteko OVA na svoj lokalni računalnik za kasnejšo uporabo. | ||
2 | Ustvarite konfiguracijski ISO za gostitelje HDS Z orodjem za nastavitev HDS ustvarite konfiguracijsko datoteko ISO za vozlišča Hybrid Data Security. | ||
3 |
Ustvarite virtualni stroj iz datoteke OVA in izvedite začetno konfiguracijo, kot so omrežne nastavitve.
| ||
4 | Nastavite Hybrid Data Security VM Prijavite se v konzolo VM in nastavite poverilnice za prijavo. Konfigurirajte omrežne nastavitve za vozlišče, če jih niste konfigurirali ob uvedbi OVA. | ||
5 | Naložite in namestite ISO konfiguracije HDS Konfigurirajte VM iz konfiguracijske datoteke ISO, ki ste jo ustvarili z orodjem za namestitev HDS. | ||
6 | Konfigurirajte vozlišče HDS za integracijo posrednika Če omrežno okolje zahteva konfiguracijo proxyja, podajte vrsto proxyja, ki ga boste uporabili za vozlišče, in po potrebi dodajte potrdilo proxyja v shrambo zaupanja. | ||
7 | Registrirajte prvo vozlišče v gruči Registrirajte VM v oblaku Cisco Webex kot Hybrid Data Security node. | ||
8 | Ustvarite in registrirajte več vozlišč Dokončajte nastavitev gruče. | ||
9 | Izvedite preizkus in se premaknite v produkcijo (naslednje poglavje) Dokler ne začnete preizkusa, vaša vozlišča ustvarijo alarm, ki nakazuje, da vaša storitev še ni aktivirana. |
Prenesite namestitvene datoteke
1 | Prijavite se v https://admin.webex.comin nato kliknite Storitve. | ||||
2 | V razdelku Hybrid Services poiščite kartico Hybrid Data Security in kliknite Nastaviti. Če je kartica onemogočena ali je ne vidite, se obrnite na skupino za račun ali partnersko organizacijo. Dajte jim svojo številko računa in jih prosite, da vaši organizaciji omogočijo hibridno varnost podatkov. Če želite poiskati številko računa, kliknite zobnik v zgornjem desnem kotu poleg imena vaše organizacije.
| ||||
3 | Izberite št da označite, da vozlišča še niste nastavili, in nato kliknite Naslednji. Datoteka OVA se samodejno začne prenašati. Datoteko shranite na mesto v vašem računalniku.
| ||||
4 | Po želji kliknite Odprite vodnik za uvajanje da preverite, ali je na voljo novejša različica tega priročnika. |
Ustvarite konfiguracijski ISO za gostitelje HDS
Postopek nastavitve Hybrid Data Security ustvari datoteko ISO. Nato uporabite ISO za konfiguracijo gostitelja Hybrid Data Security.
Preden začneš
Orodje HDS Setup deluje kot vsebnik Docker na lokalnem računalniku. Za dostop do njega zaženite Docker na tem računalniku. Postopek namestitve zahteva poverilnice računa Control Hub s polnimi skrbniškimi pravicami za vašo organizacijo.
Če orodje za namestitev HDS deluje za proxyjem v vašem okolju, podajte nastavitve proxyja (strežnik, vrata, poverilnice) prek spremenljivk okolja Docker, ko prikažete vsebnik Docker v koraku 5. Ta tabela podaja nekaj možnih spremenljivk okolja:
Opis
Spremenljivka
HTTP Proxy brez avtentikacije
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS Proxy brez avtentikacije
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP proxy z avtentikacijo
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy z avtentikacijo
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Konfiguracijska datoteka ISO, ki jo ustvarite, vsebuje glavni ključ, ki šifrira bazo podatkov PostgreSQL ali Microsoft SQL Server. Najnovejšo kopijo te datoteke potrebujete vsakič, ko spremenite konfiguracijo, kot je ta:
Poverilnice baze podatkov
Posodobitve potrdil
Spremembe politike avtorizacije
Če nameravate šifrirati povezave z bazo podatkov, nastavite svojo uvedbo PostgreSQL ali SQL Server za TLS.
1 | V ukazno vrstico vašega računalnika vnesite ustrezen ukaz za vaše okolje: V običajnih okoljih:
V okoljih FedRAMP:
| ||||||||||||
2 | Za vpis v register slik Docker vnesite naslednje:
| ||||||||||||
3 | Ob pozivu za geslo vnesite to zgoščeno vrednost:
| ||||||||||||
4 | Prenesite najnovejšo stabilno sliko za vaše okolje: V običajnih okoljih:
V okoljih FedRAMP:
| ||||||||||||
5 | Ko je vlečenje končano, vnesite ustrezen ukaz za vaše okolje:
Ko se vsebnik izvaja, vidite »Strežnik Express posluša na vratih 8080«. | ||||||||||||
6 |
Uporabite spletni brskalnik za dostop do lokalnega gostitelja, Orodje uporabi ta prvi vnos uporabniškega imena za nastavitev ustreznega okolja za ta račun. Orodje nato prikaže standardni poziv za prijavo. | ||||||||||||
7 | Ko ste pozvani, vnesite poverilnice za prijavo skrbnika stranke Control Hub in kliknite Vpiši se da omogočite dostop do zahtevanih storitev za Hybrid Data Security. | ||||||||||||
8 | Na strani s pregledom orodja za nastavitev kliknite Začeti. | ||||||||||||
9 | Na ISO uvoz strani, imate te možnosti:
| ||||||||||||
10 | Preverite, ali vaše potrdilo X.509 izpolnjuje zahteve v Zahteve za potrdilo X.509.
| ||||||||||||
11 | Vnesite naslov baze podatkov in račun za HDS za dostop do shrambe ključnih podatkov: | ||||||||||||
12 | Izberite a Način povezave z bazo podatkov TLS:
Ko naložite korensko potrdilo (če je potrebno) in kliknite Nadaljuj, orodje za nastavitev HDS preizkusi povezavo TLS s strežnikom baze podatkov. Orodje preveri tudi podpisnika potrdila in ime gostitelja, če je na voljo. Če preizkus ne uspe, orodje prikaže sporočilo o napaki, ki opisuje težavo. Izberete lahko, ali želite napako prezreti in nadaljevati z nastavitvijo. (Zaradi razlik v povezljivosti bodo vozlišča HDS morda lahko vzpostavila povezavo TLS, tudi če naprava z orodjem za nastavitev HDS tega ne more uspešno preizkusiti.) | ||||||||||||
13 | Na strani Sistemski dnevniki konfigurirajte strežnik Syslogd: | ||||||||||||
14 | (Izbirno) Spremenite lahko privzeto vrednost za nekatere parametre povezave z bazo podatkov v Napredne nastavitve. Na splošno je ta parameter edini, ki bi ga morda želeli spremeniti:
| ||||||||||||
15 | Kliknite Nadaljuj na Ponastavite geslo za storitvene račune zaslon. Gesla storitvenih računov imajo življenjsko dobo devet mesecev. Uporabite ta zaslon, ko se vaša gesla bližajo izteku ali jih želite ponastaviti, da razveljavi prejšnje datoteke ISO. | ||||||||||||
16 | Kliknite Prenesite datoteko ISO. Datoteko shranite na mesto, ki ga je enostavno najti. | ||||||||||||
17 | Naredite varnostno kopijo datoteke ISO v vašem lokalnem sistemu. Varnostno kopijo shranite. Ta datoteka vsebuje glavni šifrirni ključ za vsebino baze podatkov. Omejite dostop samo na tiste skrbnike za hibridno varnost podatkov, ki bi morali spremeniti konfiguracijo. | ||||||||||||
18 | Če želite zaustaviti orodje za nastavitev, vnesite |
Kaj storiti naprej
Varnostno kopirajte konfiguracijsko datoteko ISO. Potrebujete ga za ustvarjanje več vozlišč za obnovitev ali za spreminjanje konfiguracije. Če izgubite vse kopije datoteke ISO, ste izgubili tudi glavni ključ. Obnovitev ključev iz baze podatkov PostgreSQL ali Microsoft SQL Server ni mogoča.
Nikoli nimamo kopije tega ključa in vam ne moremo pomagati, če ga izgubite. |
Namestite HDS Host OVA
1 | Uporabite odjemalca VMware vSphere v vašem računalniku, da se prijavite v navideznega gostitelja ESXi. | ||||||
2 | Izberite mapa > Namestite predlogo OVF. | ||||||
3 | V čarovniku določite lokacijo datoteke OVA, ki ste jo prej prenesli, in nato kliknite Naslednji . | ||||||
4 | Na Izberite ime in mapo strani vnesite a Ime navideznega stroja za vozlišče (na primer "HDS_node_1"), izberite lokacijo, kjer je lahko uvedba vozlišča navideznega stroja, in nato kliknite Naslednji . | ||||||
5 | Na Izberite računalniški vir izberite ciljni računalniški vir in kliknite Naslednji . Zažene se preverjanje veljavnosti. Ko se konča, se prikažejo podrobnosti predloge. | ||||||
6 | Preverite podrobnosti predloge in kliknite Naslednji. | ||||||
7 | Če ste pozvani, da izberete konfiguracijo vira na Konfiguracija strani, kliknite 4 procesor in nato kliknite Naslednji . | ||||||
8 | Na Izberite shranjevanje strani, kliknite Naslednji da sprejmete privzeti format diska in politiko shranjevanja VM. | ||||||
9 | Na Izberite omrežja izberite omrežno možnost s seznama vnosov, da zagotovite želeno povezljivost z VM. | ||||||
10 | Na Prilagodite predlogo strani, konfigurirajte naslednje omrežne nastavitve:
Če želite, lahko preskočite konfiguracijo omrežnih nastavitev in sledite korakom v Nastavite Hybrid Data Security VM da konfigurirate nastavitve iz konzole vozlišča.
| ||||||
11 | Z desno miškino tipko kliknite vozlišče VM in nato izberite .Programska oprema Hybrid Data Security je nameščena kot gost na gostitelju VM. Zdaj ste pripravljeni, da se prijavite v konzolo in konfigurirate vozlišče. Nasveti za odpravljanje težav Preden se vsebniki vozlišč prikažejo, lahko pride do nekajminutne zamude. Med prvim zagonom se na konzoli pojavi sporočilo mostnega požarnega zidu, med katerim se ne morete prijaviti. |
Nastavite Hybrid Data Security VM
S tem postopkom se prvič prijavite v konzolo VM vozlišča Hybrid Data Security in nastavite poverilnice za prijavo. S konzolo lahko konfigurirate tudi omrežne nastavitve za vozlišče, če jih niste konfigurirali ob uvedbi OVA.
1 | V odjemalcu VMware vSphere izberite VM vozlišča Hybrid Data Security in izberite Konzola zavihek. VM se zažene in prikaže se poziv za prijavo. Če se poziv za prijavo ne prikaže, pritisnite Vnesite.
|
2 | Za prijavo in spremembo poverilnic uporabite naslednjo privzeto prijavo in geslo: Ker se v svoj VM vpisujete prvič, morate spremeniti skrbniško geslo. |
3 | Če ste že konfigurirali omrežne nastavitve v Namestite HDS Host OVA, preskočite preostanek tega postopka. V nasprotnem primeru v glavnem meniju izberite Uredi konfiguracijo možnost. |
4 | Nastavite statično konfiguracijo z informacijami o naslovu IP, maski, prehodu in DNS. Vaše vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt. |
5 | (Izbirno) Spremenite ime gostitelja, domeno ali strežnike NTP, če je potrebno, da se ujemajo z vašo omrežno politiko. Ni vam treba nastaviti domene, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509. |
6 | Shranite omrežno konfiguracijo in znova zaženite VM, da bodo spremembe začele veljati. |
Naložite in namestite ISO konfiguracije HDS
Preden začneš
Ker datoteka ISO vsebuje glavni ključ, jo je treba razkriti samo na podlagi "potrebe vedeti" za dostop navideznih računalnikov Hybrid Data Security in vseh skrbnikov, ki bodo morda morali narediti spremembe. Prepričajte se, da imajo samo ti skrbniki dostop do shrambe podatkov.
1 | Naložite datoteko ISO iz računalnika: |
2 | Namestite datoteko ISO: |
Kaj storiti naprej
Če vaša politika IT zahteva, lahko po želji odklopite datoteko ISO, potem ko vsa vaša vozlišča prevzamejo spremembe konfiguracije. glej (Izbirno) Odpni ISO po konfiguraciji HDS za podrobnosti.
Konfigurirajte vozlišče HDS za integracijo posrednika
Če omrežno okolje zahteva proxy, s tem postopkom določite vrsto proxyja, s katerim se želite integrirati Hibridna varnost podatkov. Če izberete proxy proxy za pregledovanje ali eksplicitni proxy HTTPS, lahko uporabite vmesnik vozlišča za nalaganje in namestitev korenskega potrdila. Povezavo proxy lahko preverite tudi prek vmesnika in odpravite morebitne težave.
Preden začneš
glej Podpora za proxy za pregled podprtih možnosti proxyja.
1 | Vnesite URL za nastavitev vozlišča HDS |
2 | Pojdi do Trust Store & Proxyin nato izberite možnost:
Sledite naslednjim korakom za pregleden proxy za pregledovanje, eksplicitni proxy HTTP z osnovnim preverjanjem pristnosti ali eksplicitni proxy HTTPS. |
3 | Kliknite Naložite korensko potrdilo ali potrdilo končne entitete, nato pa se pomaknite do izbire korenskega potrdila za proxy. Potrdilo je naloženo, vendar še ni nameščeno, ker morate za namestitev potrdila znova zagnati vozlišče. Kliknite puščico ševrona ob imenu izdajatelja potrdila, da dobite več podrobnosti ali kliknite Izbriši če ste se zmotili in želite znova naložiti datoteko. |
4 | Kliknite Preverite povezavo proxy da preizkusite omrežno povezljivost med vozliščem in posrednikom. Če preizkus povezave ne uspe, boste videli sporočilo o napaki, ki prikazuje razlog in kako lahko odpravite težavo. Če vidite sporočilo, da zunanja razrešitev DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS. Ta pogoj je pričakovan v številnih eksplicitnih konfiguracijah proxyja. Lahko nadaljujete z nastavitvijo in vozlišče bo delovalo v načinu blokirane zunanje ločljivosti DNS. Če menite, da je to napaka, dokončajte te korake in si oglejte Izklopite način razreševanja blokiranega zunanjega DNS-ja. |
5 | Ko je preskus povezave uspešen, za eksplicitni proxy, nastavljen samo na https, preklopite stikalo na Usmerite vse https zahteve vrat 443/444 iz tega vozlišča prek eksplicitnega proxyja. Ta nastavitev začne veljati po 15 sekundah. |
6 | Kliknite Namestite vsa potrdila v Trust Store (prikaže se za eksplicitni proxy HTTPS ali pregledni proxy za preverjanje) ali Znova zaženite (prikaže se za eksplicitni proxy HTTP), preberite poziv in kliknite Namestite če si pripravljen. Vozlišče se znova zažene v nekaj minutah. |
7 | Ko se vozlišče znova zažene, se po potrebi znova vpišite in nato odprite Pregled strani, da preverite preverjanja povezljivosti in se prepričate, ali so vsi v zelenem stanju. Preverjanje povezave posrednika testira samo poddomeno webex.com. Če pride do težav s povezljivostjo, je pogosta težava, da so nekatere domene v oblaku, navedene v navodilih za namestitev, blokirane na strežniku proxy. |
Registrirajte prvo vozlišče v gruči
Ko registrirate svoje prvo vozlišče, ustvarite gručo, ki ji je vozlišče dodeljeno. Grozd vsebuje eno ali več vozlišč, nameščenih za zagotavljanje redundance.
Preden začneš
Ko začnete z registracijo vozlišča, jo morate dokončati v 60 minutah ali pa morate začeti znova.
Prepričajte se, da so v vašem brskalniku onemogočeni vsi blokatorji pojavnih oken ali da dovolite izjemo za admin.webex.com.
1 | Prijavite se v https://admin.webex.com. |
2 | V meniju na levi strani zaslona izberite Storitve. |
3 | V razdelku Hybrid Services poiščite Hybrid Data Security in kliknite Nastaviti. Prikaže se stran Register Hybrid Data Security Node.
|
4 | Izberite ja da označite, da ste nastavili vozlišče in ste ga pripravljeni registrirati, in nato kliknite Naslednji. |
5 | V prvo polje vnesite ime za gručo, ki ji želite dodeliti vozlišče Hybrid Data Security. Priporočamo, da gručo poimenujete glede na to, kje se geografsko nahajajo vozlišča gruče. Primeri: "San Francisco" ali "New York" ali "Dallas" |
6 | V drugo polje vnesite notranji naslov IP ali popolnoma kvalificirano ime domene (FQDN) svojega vozlišča in kliknite Naslednji. Ta naslov IP ali FQDN se mora ujemati z naslovom IP ali imenom gostitelja in domeno, ki ste jo uporabili Nastavite Hybrid Data Security VM. Prikaže se sporočilo, ki nakazuje, da lahko svoje vozlišče registrirate v Webex.
|
7 | Kliknite Pojdite na Node. |
8 | Kliknite Nadaljuj v opozorilnem sporočilu. Po nekaj trenutkih ste preusmerjeni na teste povezljivosti vozlišča za storitve Webex. Če so vsi preizkusi uspešni, se prikaže stran Dovoli dostop do vozlišča Hybrid Data Security Node. Tam potrdite, da želite svoji organizaciji Webex dati dovoljenja za dostop do vašega vozlišča.
|
9 | Preverite Dovolite dostop do vašega vozlišča Hybrid Data Security Node potrditveno polje in nato kliknite Nadaljuj. Vaš račun je potrjen in sporočilo »Registracija je dokončana« nakazuje, da je vaše vozlišče zdaj registrirano v oblaku Webex.
|
10 | Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Hybrid Data Security Control Hub. Na Hibridna varnost podatkov stran, se prikaže nova gruča, ki vsebuje vozlišče, ki ste ga registrirali. Vozlišče bo samodejno preneslo najnovejšo programsko opremo iz oblaka.
|
Ustvarite in registrirajte več vozlišč
Trenutno so varnostni VM-ji, ki ste jih ustvarili v Izpolnite predpogoje za hibridno varnost podatkov so gostitelji v pripravljenosti, ki se uporabljajo samo v primeru obnovitve po katastrofi; do takrat niso registrirani v sistemu. Za podrobnosti glejte Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti. |
Preden začneš
Ko začnete z registracijo vozlišča, jo morate dokončati v 60 minutah ali pa morate začeti znova.
Prepričajte se, da so v vašem brskalniku onemogočeni vsi blokatorji pojavnih oken ali da dovolite izjemo za admin.webex.com.
1 | Ustvarite nov virtualni stroj iz OVA in ponovite korake Namestite HDS Host OVA. |
2 | Nastavite začetno konfiguracijo na novem VM in ponovite korake v Nastavite Hybrid Data Security VM. |
3 | Na novem VM ponovite korake v Naložite in namestite ISO konfiguracije HDS. |
4 | Če nastavljate proxy za svojo uvedbo, ponovite korake v Konfigurirajte vozlišče HDS za integracijo posrednika kot je potrebno za novo vozlišče. |
5 | Registrirajte vozlišče. Vaše vozlišče je registrirano. Upoštevajte, da dokler ne začnete preizkusa, vaša vozlišča ustvarijo alarm, ki nakazuje, da vaša storitev še ni aktivirana.
|
Kaj storiti naprej
Potek naloge od poskusa do proizvodnje
Ko nastavite gručo Hybrid Data Security, lahko zaženete pilotni projekt, vanj dodate uporabnike in ga začnete uporabljati za preizkušanje in preverjanje vaše uvedbe v pripravah na selitev v proizvodnjo.
Preden začneš
1 | Če je primerno, sinhronizirajte Če vaša organizacija uporablja sinhronizacijo imenikov za uporabnike, morate izbrati |
2 |
Začni poskus. Dokler ne opravite te naloge, vaša vozlišča ustvarijo alarm, ki nakazuje, da storitev še ni aktivirana. |
3 | Preizkusite svojo hibridno uvedbo varnosti podatkov Preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security. |
4 | Spremljajte varnost hibridnih podatkov Preverite stanje in nastavite e-poštna obvestila za alarme. |
5 | |
6 | Dokončajte preskusno fazo z enim od naslednjih dejanj: |
Aktiviraj preizkus
Preden začneš
Če vaša organizacija uporablja sinhronizacijo imenikov za uporabnike, morate izbrati HdsTrialGroup
predmet skupine za sinhronizacijo z oblakom, preden lahko začnete preskusno obdobje za svojo organizacijo. Za navodila glejte Vodnik za uvajanje za Cisco Directory Connector.
1 | Prijavite se v https://admin.webex.comin nato izberite Storitve. |
2 | V razdelku Hibridna varnost podatkov kliknite nastavitve. |
3 | V razdelku Status storitve kliknite Začni preizkus. Stanje storitve se spremeni v poskusni način.
|
4 | Kliknite Dodajanje uporabnikov in vnesite e-poštni naslov enega ali več uporabnikov za poskusno uporabo vozlišč Hybrid Data Security za storitve šifriranja in indeksiranja. (Če vaša organizacija uporablja sinhronizacijo imenikov, uporabite Active Directory za upravljanje poskusne skupine, |
Preizkusite svojo hibridno uvedbo varnosti podatkov
Preden začneš
Nastavite svojo uvedbo Hybrid Data Security.
Aktivirajte preskusno različico in dodajte več poskusnih uporabnikov.
Prepričajte se, da imate dostop do sistemskega dnevnika, da preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security.
1 | Ključe za določen prostor nastavi ustvarjalec prostora. Prijavite se v aplikacijo Webex kot eden od pilotnih uporabnikov, nato pa ustvarite prostor in povabite vsaj enega pilotnega uporabnika in enega nepilotnega uporabnika.
| ||
2 | Pošljite sporočila v novi prostor. | ||
3 | Preverite izhod sistemskega dnevnika, da preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security. |
Spremljajte varnost hibridnih podatkov
1 | notri Nadzorno središče, izberite Storitve iz menija na levi strani zaslona. |
2 | V razdelku Hybrid Services poiščite Hybrid Data Security in kliknite nastavitve. Prikaže se stran z nastavitvami hibridne varnosti podatkov.
|
3 | V razdelku E-poštna obvestila vnesite enega ali več e-poštnih naslovov, ločenih z vejicami, in pritisnite Vnesite. |
Dodajte ali odstranite uporabnike iz svojega preizkusa
Če odstranite uporabnika iz preizkusa, bo uporabnikov odjemalec zahteval ključe in ustvarjanje ključa iz oblaka KMS namesto vašega KMS. Če odjemalec potrebuje ključ, ki je shranjen na vašem KMS, ga bo KMS v oblaku pridobil v imenu uporabnika.
Če vaša organizacija uporablja sinhronizacijo imenikov, uporabite Active Directory (namesto tega postopka) za upravljanje poskusne skupine, HdsTrialGroup
; člane skupine si lahko ogledate v Nadzornem središču, vendar jih ne morete dodati ali odstraniti.
1 | Prijavite se v Control Hub in nato izberite Storitve. |
2 | V razdelku Hibridna varnost podatkov kliknite nastavitve. |
3 | V razdelku Preizkusni način v območju Stanje storitve kliknite Dodajanje uporabnikov, ali kliknite ogled in urejanje za odstranitev uporabnikov iz preizkusa. |
4 | Vnesite e-poštni naslov enega ali več uporabnikov, ki jih želite dodati, ali kliknite X z ID-jem uporabnika, da uporabnika odstranite iz preizkusa. Nato kliknite Shrani. |
Premaknite se s preskusne različice na produkcijsko
1 | Prijavite se v Control Hub in nato izberite Storitve. |
2 | V razdelku Hibridna varnost podatkov kliknite nastavitve. |
3 | V razdelku Status storitve kliknite Premakni se v proizvodnjo. |
4 | Potrdite, da želite vse svoje uporabnike premakniti v produkcijo. |
Končajte preizkus, ne da bi se preselili v proizvodnjo
1 | Prijavite se v Control Hub in nato izberite Storitve. |
2 | V razdelku Hibridna varnost podatkov kliknite nastavitve. |
3 | V razdelku Deaktiviraj kliknite Deaktiviraj. |
4 | Potrdite, da želite deaktivirati storitev in končati preskusno obdobje. |
Upravljanje uvajanja HDS
Uporabite tukaj opisane naloge za upravljanje svoje razmestitve Hybrid Data Security.
Nastavite urnik nadgradnje gruče
Če želite nastaviti urnik nadgradnje:
1 | Prijavite se v Nadzorno središče. |
2 | Na strani Pregled v razdelku Hibridne storitve izberite Hibridna varnost podatkov. |
3 | Na strani Viri za varnost hibridnih podatkov izberite gručo. |
4 | Na plošči Pregled na desni v razdelku Nastavitve gruče izberite ime gruče. |
5 | Na strani z nastavitvami v razdelku Nadgradnja izberite čas in časovni pas za urnik nadgradnje. Opomba: Pod časovnim pasom sta prikazana datum in čas naslednje razpoložljive nadgradnje. Nadgradnjo lahko po potrebi prestavite na naslednji dan s klikom Odložiti. |
Spremenite konfiguracijo vozlišča
Spreminjanje potrdil x.509 zaradi poteka veljavnosti ali drugih razlogov.
Ne podpiramo spreminjanja imena domene CN potrdila. Domena se mora ujemati z izvirno domeno, uporabljeno za registracijo gruče.
Posodabljanje nastavitev baze podatkov za spremembo v repliko baze podatkov PostgreSQL ali Microsoft SQL Server.
Ne podpiramo selitve podatkov iz PostgreSQL v Microsoft SQL Server ali obratno. Če želite preklopiti okolje baze podatkov, začnite novo uvedbo Hybrid Data Security.
Ustvarjanje nove konfiguracije za pripravo novega podatkovnega centra.
Poleg tega za varnostne namene Hybrid Data Security uporablja gesla storitvenih računov, ki imajo devetmesečno življenjsko dobo. Ko orodje HDS Setup ustvari ta gesla, jih namestite v vsako od svojih vozlišč HDS v konfiguracijski datoteki ISO. Ko se gesla vaše organizacije bližajo izteku, prejmete obvestilo ekipe Webex za ponastavitev gesla za vaš strojni račun. (E-poštno sporočilo vključuje besedilo »Uporabite API računa stroja za posodobitev gesla.«) Če vaša gesla še niso potekla, vam orodje ponuja dve možnosti:
Mehka ponastavitev— Staro in novo geslo delujeta do 10 dni. To obdobje uporabite za postopno zamenjavo datoteke ISO na vozliščih.
Trda ponastavitev— Stara gesla prenehajo delovati takoj.
Če vaša gesla potečejo brez ponastavitve, to vpliva na vašo storitev HDS, saj zahteva takojšnjo strojno ponastavitev in zamenjavo datoteke ISO na vseh vozliščih.
S tem postopkom ustvarite novo konfiguracijsko datoteko ISO in jo uporabite za vašo gručo.
Preden začneš
Orodje HDS Setup deluje kot vsebnik Docker na lokalnem računalniku. Za dostop do njega zaženite Docker na tem računalniku. Postopek namestitve zahteva poverilnice računa Control Hub s polnimi skrbniškimi pravicami za vašo organizacijo.
Če orodje za namestitev HDS deluje za proxyjem v vašem okolju, podajte nastavitve proxyja (strežnik, vrata, poverilnice) prek spremenljivk okolja Docker, ko prikažete vsebnik Docker v 1.e. Ta tabela podaja nekaj možnih spremenljivk okolja:
Opis
Spremenljivka
HTTP Proxy brez avtentikacije
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS Proxy brez avtentikacije
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP proxy z avtentikacijo
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy z avtentikacijo
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Za ustvarjanje nove konfiguracije potrebujete kopijo trenutne konfiguracijske datoteke ISO. ISO vsebuje glavni ključ, ki šifrira bazo podatkov PostgreSQL ali Microsoft SQL Server. ISO potrebujete, ko spreminjate konfiguracijo, vključno s poverilnicami baze podatkov, posodobitvami potrdil ali spremembami pravilnika avtorizacije.
1 | Z Dockerjem na lokalnem računalniku zaženite orodje za namestitev HDS. |
2 | Če imate samo eno vozlišče HDS, ustvarite nov VM vozlišča Hybrid Data Security in ga registrirajte z novo konfiguracijsko datoteko ISO. Za podrobnejša navodila glejte Ustvarite in registrirajte več vozlišč. |
3 | Za obstoječa vozlišča HDS, ki izvajajo starejšo konfiguracijsko datoteko, namestite datoteko ISO. Izvedite naslednji postopek na vsakem vozlišču po vrsti in posodobite vsako vozlišče, preden izklopite naslednje vozlišče: |
4 | Ponovite 3. korak, da zamenjate konfiguracijo na vsakem preostalem vozlišču, ki izvaja staro konfiguracijo. |
Izklopite način razreševanja blokiranega zunanjega DNS-ja
Ko registrirate vozlišče ali preverite konfiguracijo proxy vozlišča, postopek preizkusi iskanje DNS in povezljivost z oblakom Cisco Webex. Če strežnik DNS vozlišča ne more razrešiti javnih imen DNS, vozlišče samodejno preide v način blokiranega zunanjega razreševanja DNS.
Če lahko vaša vozlišča razrešijo javna imena DNS prek notranjih strežnikov DNS, lahko ta način izklopite tako, da na vsakem vozlišču znova zaženete preskus povezave proxy.
Preden začneš
1 | V spletnem brskalniku odprite vmesnik vozlišča Hybrid Data Security (naslov IP/nastavitev, npr. https://192.0.2.0/setup), vnesite skrbniške poverilnice, ki ste jih nastavili za vozlišče, in nato kliknite Prijava. |
2 | Pojdi do Pregled (privzeta stran). Ko je omogočeno, Blokirana zunanja razrešitev DNS je nastavljeno na ja. |
3 | Pojdi na Trust Store & Proxy strani. |
4 | Kliknite Preverite povezavo proxy. Če vidite sporočilo, da zunanja razrešitev DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS in bo ostalo v tem načinu. V nasprotnem primeru, ko znova zaženete vozlišče in se vrnete na Pregled stran, Blokirana zunanja DNS resolucija mora biti nastavljena na št. |
Kaj storiti naprej
Odstranite vozlišče
1 | Uporabite odjemalca VMware vSphere v vašem računalniku, da se prijavite v virtualni gostitelj ESXi in izklopite virtualni stroj. |
2 | Odstranite vozlišče: |
3 | V odjemalcu vSphere izbrišite VM. (V levem podoknu za krmarjenje z desno miškino tipko kliknite VM in kliknite Izbriši.) Če VM ne izbrišete, ne pozabite odklopiti konfiguracijske datoteke ISO. Brez datoteke ISO ne morete uporabljati VM za dostop do svojih varnostnih podatkov. |
Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti
Najbolj kritična storitev, ki jo nudi vaša gruča Hybrid Data Security, je ustvarjanje in shranjevanje ključev, ki se uporabljajo za šifriranje sporočil in druge vsebine, shranjene v oblaku Webex. Za vsakega uporabnika v organizaciji, ki je dodeljen Hybrid Data Security, so nove zahteve za ustvarjanje ključev usmerjene v gručo. Grozd je odgovoren tudi za vrnitev ključev, ki jih je ustvaril vsem uporabnikom, ki so pooblaščeni, da jih pridobijo, na primer članom prostora za pogovor.
Ker gruča opravlja kritično funkcijo zagotavljanja teh ključev, je nujno, da gruča še naprej deluje in da se vzdržujejo ustrezne varnostne kopije. Izguba podatkovne baze Hybrid Data Security ali konfiguracijskega ISO, ki se uporablja za shemo, bo povzročila NEPODOLČLJIVO IZGUBO vsebine stranke. Naslednje prakse so obvezne za preprečitev takšne izgube:
Če katastrofa povzroči, da uvedba HDS v primarnem podatkovnem centru postane nerazpoložljiva, sledite temu postopku za ročni samodejni preklop v rezervni podatkovni center.
1 | Zaženite orodje HDS Setup in sledite korakom, navedenim v Ustvarite konfiguracijski ISO za gostitelje HDS. | ||
2 | Ko konfigurirate strežnik Syslogd, kliknite na Napredne nastavitve | ||
3 | Na Napredne nastavitve stran, dodajte spodnjo konfiguracijo ali odstranite
| ||
4 | Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga je enostavno najti. | ||
5 | Naredite varnostno kopijo datoteke ISO v vašem lokalnem sistemu. Varnostno kopijo shranite. Ta datoteka vsebuje glavni šifrirni ključ za vsebino baze podatkov. Omejite dostop samo na tiste skrbnike za hibridno varnost podatkov, ki bi morali spremeniti konfiguracijo. | ||
6 | V levem podoknu za krmarjenje odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve.. | ||
7 | Kliknite Uredi nastavitve >CD/DVD pogon 1 in izberite Datastore ISO File.
| ||
8 | Vklopite vozlišče HDS in se prepričajte, da ni alarmov vsaj 15 minut. | ||
9 | Ponovite postopek za vsako vozlišče v podatkovnem centru v pripravljenosti.
|
Kaj storiti naprej
(Izbirno) Odpni ISO po konfiguraciji HDS
Standardna konfiguracija HDS deluje z nameščenim ISO. Toda nekatere stranke raje ne puščajo datotek ISO neprekinjeno nameščenih. Datoteko ISO lahko odklopite, ko vsa vozlišča HDS prevzamejo novo konfiguracijo.
Za spreminjanje konfiguracije še vedno uporabljate datoteke ISO. Ko ustvarite nov ISO ali posodobite ISO prek orodja za nastavitev, morate posodobljeni ISO namestiti na vsa vozlišča HDS. Ko so vsa vaša vozlišča prevzela konfiguracijske spremembe, lahko s tem postopkom znova odklopite ISO.
Preden začneš
Nadgradite vsa svoja vozlišča HDS na različico 2021.01.22.4720 ali novejšo.
1 | Zaustavite eno od vozlišč HDS. |
2 | V strežniški napravi vCenter izberite vozlišče HDS. |
3 | Izberite Datoteka ISO za shranjevanje podatkov. in odkljukajte |
4 | Vklopite vozlišče HDS in zagotovite, da vsaj 20 minut ni alarmov. |
5 | Ponovite za vsako vozlišče HDS po vrsti. |
Ogled opozoril in odpravljanje težav
Uvedba hibridne varnosti podatkov se šteje za nerazpoložljivo, če so vsa vozlišča v gruči nedosegljiva ali če gruča deluje tako počasi, da zahteva preteče čas. Če uporabniki ne morejo doseči vaše gruče Hybrid Data Security, se pojavijo naslednji simptomi:
Novih prostorov ni mogoče ustvariti (ni mogoče ustvariti novih ključev)
Sporočil in naslovov prostorov ni mogoče dešifrirati za:
Novi uporabniki dodani v prostor (ni mogoče pridobiti ključev)
Obstoječi uporabniki v prostoru, ki uporabljajo novega odjemalca (ni mogoče pridobiti ključev)
Obstoječi uporabniki v prostoru bodo še naprej uspešno delovali, dokler imajo njihovi odjemalci predpomnilnik šifrirnih ključev
Pomembno je, da pravilno spremljate svojo gručo Hybrid Data Security in nemudoma obravnavate vsa opozorila, da preprečite motnje storitve.
Opozorila
Če pride do težave z nastavitvijo Hybrid Data Security, Control Hub prikaže opozorila skrbniku organizacije in pošlje e-pošto na konfigurirani e-poštni naslov. Opozorila zajemajo številne pogoste scenarije.
Opozorilo | Dejanje |
---|---|
Napaka pri dostopu do lokalne baze podatkov. |
Preverite napake baze podatkov ali težave z lokalnim omrežjem. |
Napaka povezave z lokalno bazo podatkov. |
Preverite, ali je strežnik baze podatkov na voljo in ali so bile v konfiguraciji vozlišča uporabljene prave poverilnice storitvenega računa. |
Napaka pri dostopu do storitve v oblaku. |
Preverite, ali lahko vozlišča dostopajo do strežnikov Webex, kot je določeno v Zahteve za zunanjo povezljivost. |
Podaljšanje registracije storitve v oblaku. |
Registracija v storitvah v oblaku je bila opuščena. Podaljšanje registracije je v teku. |
Registracija storitve v oblaku je padla. |
Registracija v storitve v oblaku je prekinjena. Storitev se zapira. |
Storitev še ni aktivirana. |
Aktivirajte preskusno različico ali dokončajte premik preizkusne različice v produkcijo. |
Konfigurirana domena se ne ujema s potrdilom strežnika. |
Prepričajte se, da se vaše potrdilo strežnika ujema s konfigurirano domeno za aktiviranje storitve. Najverjetnejši vzrok je, da je bilo potrdilo CN nedavno spremenjeno in se zdaj razlikuje od CN, ki je bilo uporabljeno med prvotno nastavitvijo. |
Preverjanje pristnosti v storitvah v oblaku ni uspelo. |
Preverite točnost in morebiten potek poverilnic storitvenega računa. |
Lokalne datoteke shrambe ključev ni bilo mogoče odpreti. |
Preverite celovitost in točnost gesla v datoteki lokalne shrambe ključev. |
Potrdilo lokalnega strežnika ni veljavno. |
Preverite datum veljavnosti strežniškega potrdila in potrdite, da ga je izdal zaupanja vreden overitelj potrdil. |
Ni mogoče objaviti meritev. |
Preverite dostop lokalnega omrežja do zunanjih storitev v oblaku. |
Imenik /media/configdrive/hds ne obstaja. |
Preverite konfiguracijo namestitve ISO na virtualnem gostitelju. Preverite, ali datoteka ISO obstaja, ali je konfigurirana za namestitev ob ponovnem zagonu in ali je uspešno nameščena. |
Odpravljanje težav s hibridno varnostjo podatkov
1 | Preglejte Control Hub za vsa opozorila in popravite vse elemente, ki jih najdete tam. |
2 | Preglejte izhod strežnika syslog za dejavnost razmestitve Hybrid Data Security. |
3 | Kontakt Cisco podpora. |
Znane težave pri hibridni varnosti podatkov
Če zaustavite svojo gručo Hybrid Data Security (tako da jo izbrišete v Control Hubu ali tako, da zaustavite vsa vozlišča), izgubite konfiguracijsko datoteko ISO ali izgubite dostop do baze podatkov shrambe ključev, vaši uporabniki aplikacije Webex ne morejo več uporabljati prostorov pod svojimi Ljudje seznam, ki so bili ustvarjeni s ključi iz vašega KMS. To velja tako za poskusno kot za proizvodno uvedbo. Trenutno nimamo rešitve ali popravka za to težavo in vas pozivamo, da ne zaustavite storitev HDS, ko obravnavajo aktivne uporabniške račune.
Odjemalec, ki ima obstoječo povezavo ECDH s KMS, vzdržuje to povezavo nekaj časa (verjetno eno uro). Ko uporabnik postane član preskusne različice Hybrid Data Security, uporabnikov odjemalec nadaljuje z uporabo obstoječe povezave ECDH, dokler ne poteče čas. Druga možnost je, da se uporabnik odjavi in znova prijavi v aplikacijo Webex App, da posodobi lokacijo, s katero se aplikacija obrne za šifrirne ključe.
Enako vedenje se zgodi, ko preizkus premaknete v proizvodnjo za organizacijo. Vsi uporabniki brez preskusne različice z obstoječimi povezavami ECDH s prejšnjimi storitvami za varnost podatkov bodo še naprej uporabljali te storitve, dokler se povezava ECDH ponovno ne dogovori (prek časovne omejitve ali z odjavo in ponovnim vstopom).
Uporabite OpenSSL za ustvarjanje datoteke PKCS12
Preden začneš
OpenSSL je eno orodje, ki ga lahko uporabite za izdelavo datoteke PKCS12 v ustreznem formatu za nalaganje v orodju za nastavitev HDS. Obstajajo drugi načini za to in ne podpiramo ali spodbujamo enega načina namesto drugega.
Če se odločite za uporabo OpenSSL, ponujamo ta postopek kot smernico za pomoč pri ustvarjanju datoteke, ki izpolnjuje zahteve potrdila X.509 v Zahteve za potrdilo X.509. Razumite te zahteve, preden nadaljujete.
Namestite OpenSSL v podprto okolje. glej https://www.openssl.org za programsko opremo in dokumentacijo.
Ustvari zasebni ključ.
Začnite ta postopek, ko prejmete strežniško potrdilo od svojega overitelja potrdil (CA).
1 | Ko prejmete strežniško potrdilo od službe za potrdila, ga shranite kot |
2 | Prikažite potrdilo kot besedilo in preverite podrobnosti.
|
3 | Z urejevalnikom besedila ustvarite datoteko svežnja potrdil, imenovano
|
4 | Ustvarite datoteko .p12 s prijaznim imenom
|
5 | Preverite podrobnosti potrdila strežnika. |
Kaj storiti naprej
Vrnitev na Izpolnite predpogoje za hibridno varnost podatkov. Uporabili boste hdsnode.p12
datoteko in geslo, ki ste ga nastavili zanjo, v Ustvarite konfiguracijski ISO za gostitelje HDS.
Te datoteke lahko znova uporabite za zahtevo po novem potrdilu, ko prvotno potrdilo poteče. |
Promet med vozlišči HDS in oblakom
Odhodni promet zbiranja meritev
Vozlišča Hybrid Data Security pošiljajo določene meritve v oblak Webex. Ti vključujejo sistemske meritve za največjo kopico, uporabljeno kopico, obremenitev procesorja in število niti; metrike sinhronih in asinhronih niti; meritve za opozorila, ki vključujejo prag šifrirnih povezav, zakasnitev ali dolžino čakalne vrste zahtev; metrike v shrambi podatkov; in meritve šifrirne povezave. Vozlišča pošiljajo šifrirano ključno gradivo prek zunajpasovnega (ločenega od zahteve) kanala.
Dohodni promet
Vozlišča Hybrid Data Security prejemajo naslednje vrste vhodnega prometa iz oblaka Webex:
Zahteve za šifriranje odjemalcev, ki jih usmeri šifrirna storitev
Nadgradnje programske opreme vozlišča
Konfigurirajte posrednike Squid za hibridno varnost podatkov
Websocket se ne more povezati prek proxyja Squid
Posredniki Squid, ki pregledujejo promet HTTPS, lahko motijo vzpostavitev spletne vtičnice ( wss:
) povezave, ki jih zahteva Hybrid Data Security. Ti razdelki dajejo navodila o tem, kako konfigurirati različne različice Squid za prezrtje wss:
prometa za pravilno delovanje storitev.
Lignji 4 in 5
Dodajte on_unsupported_protocol
direktiva za squid.conf
:
on_unsupported_protocol tunnel all
Lignji 3.5.27
Hibridno varnost podatkov smo uspešno preizkusili z dodanimi naslednjimi pravili squid.conf
. Ta pravila se lahko spremenijo, ko razvijamo funkcije in posodabljamo oblak Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Nove in spremenjene informacije
Datum | Izvedene spremembe | ||
---|---|---|---|
20. oktober 2023 |
| ||
7. avgust 2023 |
| ||
23. maj 2023 |
| ||
6. december 2022 |
| ||
23. november 2022 |
| ||
13. oktober 2021 | Docker Desktop mora zagnati namestitveni program, preden lahko namestite vozlišča HDS. glej Zahteve za namizje Docker. | ||
24. junij 2021 | Upoštevajte, da lahko znova uporabite datoteko zasebnega ključa in CSR, da zahtevate drugo potrdilo. glej Uporabite OpenSSL za ustvarjanje datoteke PKCS12 za podrobnosti. | ||
30. april 2021 | Zahteva VM za lokalni prostor na trdem disku je spremenjena na 30 GB. glej Zahteve za virtualnega gostitelja za podrobnosti. | ||
24. februar 2021 | Orodje za nastavitev HDS lahko zdaj deluje za posrednikom. glej Ustvarite konfiguracijski ISO za gostitelje HDS za podrobnosti. | ||
2. februar 2021 | HDS lahko zdaj deluje brez nameščene datoteke ISO. glej (Izbirno) Odpni ISO po konfiguraciji HDS za podrobnosti. | ||
11. januar 2021 | Dodane informacije o orodju za nastavitev HDS in proxyjih za Ustvarite konfiguracijski ISO za gostitelje HDS. | ||
13. oktober 2020 | Posodobljeno Prenesite namestitvene datoteke. | ||
8. oktober 2020 | Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča z ukazi za okolja FedRAMP. | ||
14. avgust 2020 | Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča s spremembami postopka prijave. | ||
5. avgust 2020 | Posodobljeno Preizkusite svojo hibridno uvedbo varnosti podatkov za spremembe v dnevniških sporočilih. Posodobljeno Zahteve za virtualnega gostitelja da odstranite največje število gostiteljev. | ||
16. junij 2020 | Posodobljeno Odstranite vozlišče za spremembe v uporabniškem vmesniku Control Hub. | ||
4. junij 2020 | Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS za spremembe v naprednih nastavitvah, ki jih lahko nastavite. | ||
29. maj 2020 | Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS da pokažete, da lahko TLS uporabljate tudi z bazami podatkov SQL Server, spremembami uporabniškega vmesnika in drugimi pojasnili. | ||
5. maj 2020 | Posodobljeno Zahteve za virtualnega gostitelja za prikaz novih zahtev ESXi 6.5. | ||
21. april 2020 | Posodobljeno Zahteve za zunanjo povezljivost z novimi gostitelji CI Amerike. | ||
1. april 2020 | Posodobljeno Zahteve za zunanjo povezljivost z informacijami o regionalnih gostiteljih CI. | ||
20. februar 2020 | Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS z informacijami o novem izbirnem zaslonu z naprednimi nastavitvami v orodju za nastavitev HDS. | ||
4. februar 2020 | Posodobljeno Zahteve za strežnik proxy. | ||
16. december 2019 | Pojasnjena je zahteva za delovanje v načinu blokiranega zunanjega razreševanja DNS Zahteve za strežnik proxy. | ||
19. november 2019 | Dodane informacije o načinu razreševanja blokiranega zunanjega DNS-ja v naslednjih razdelkih: | ||
8. november 2019 | Zdaj lahko konfigurirate omrežne nastavitve za vozlišče med uvajanjem OVA in ne pozneje. Ustrezno posodobljeni naslednji razdelki:
| ||
6. september 2019 | Dodan SQL Server Standard Zahteve za strežnik baze podatkov. | ||
29. avgust 2019 | Dodano Konfigurirajte posrednike Squid za hibridno varnost podatkov dodatek z navodili za konfiguriranje proxyjev Squid, da za pravilno delovanje prezrejo promet spletnih vtičnic. | ||
20. avgust 2019 | Dodani in posodobljeni razdelki za pokrivanje podpore posrednika za komunikacije vozlišča Hybrid Data Security z oblakom Webex. Za dostop samo do podporne vsebine proxyja za obstoječo uvedbo glejte Proxy podpora za Hybrid Data Security in Webex Video Mesh članek za pomoč. | ||
13. junij 2019 | Posodobljeno Potek naloge od preizkusa do proizvodnje z opomnikom za sinhronizacijo HdsTrialGroup predmet skupine pred začetkom preizkusa, če vaša organizacija uporablja sinhronizacijo imenikov. | ||
6. marec 2019 |
| ||
28. februar 2019 |
| ||
26. februar 2019 |
| ||
24. januar 2019 |
| ||
5. november 2018 |
| ||
19. oktober 2018 |
| ||
31. julij 2018 |
| ||
21. maj 2018 | Spremenjena terminologija, ki odraža preimenovanje Cisco Spark:
| ||
11. april 2018 |
| ||
22. februar 2018 |
| ||
15. februar 2018 |
| ||
18. januar 2018 |
| ||
2. november 2017 |
| ||
18. avgust 2017 | Prvič objavljeno |
Pregled varnosti hibridnih podatkov
Od prvega dne je bila varnost podatkov glavni poudarek pri oblikovanju Aplikacija Webex. Temelj te varnosti je šifriranje vsebine od konca do konca, ki ga omogoča Aplikacija Webex stranke, ki komunicirajo s storitvijo upravljanja ključev (KMS). KMS je odgovoren za ustvarjanje in upravljanje kriptografskih ključev, ki jih stranke uporabljajo za dinamično šifriranje in dešifriranje sporočil in datotek.
Privzeto vse Aplikacija Webex stranke dobijo šifriranje od konca do konca z dinamičnimi ključi, shranjenimi v oblaku KMS, v Ciscovem varnostnem področju. Hybrid Data Security premakne KMS in druge funkcije, povezane z varnostjo, v podatkovni center vašega podjetja, tako da nihče drug kot vi nima ključev do vaše šifrirane vsebine.
Arhitektura varnostnega področja
Arhitektura oblaka Webex ločuje različne vrste storitev v ločena področja ali domene zaupanja, kot je prikazano spodaj.
Za nadaljnje razumevanje hibridne varnosti podatkov si najprej oglejmo ta čisti oblak, kjer Cisco zagotavlja vse funkcije v svojem oblaku. Storitev identitete, edino mesto, kjer so uporabniki lahko neposredno povezani z njihovimi osebnimi podatki, kot je e-poštni naslov, je logično in fizično ločena od varnostnega področja v podatkovnem centru B. Oboje je ločeno od področja, kjer je na koncu shranjena šifrirana vsebina. , v podatkovnem centru C.
V tem diagramu je odjemalec aplikacija Webex, ki se izvaja na prenosnem računalniku uporabnika in je bila overjena s storitvijo identitete. Ko uporabnik sestavi sporočilo za pošiljanje v prostor, potekajo naslednji koraki:
Odjemalec vzpostavi varno povezavo s storitvijo za upravljanje ključev (KMS), nato pa zahteva ključ za šifriranje sporočila. Varna povezava uporablja ECDH, KMS pa šifrira ključ z glavnim ključem AES-256.
Sporočilo je šifrirano, preden zapusti odjemalca. Odjemalec ga pošlje storitvi indeksiranja, ki ustvari šifrirane iskalne indekse za pomoč pri prihodnjih iskanjih vsebine.
Šifrirano sporočilo je poslano storitvi skladnosti za preverjanje skladnosti.
Šifrirano sporočilo je shranjeno v območju shranjevanja.
Ko uvedete Hybrid Data Security, premaknete funkcije varnostnega področja (KMS, indeksiranje in skladnost) v vaš lokalni podatkovni center. Druge storitve v oblaku, ki sestavljajo Webex (vključno s shranjevanjem identitete in vsebine), ostajajo v domeni Cisca.
Sodelovanje z drugimi organizacijami
Uporabniki v vaši organizaciji lahko redno uporabljajo aplikacijo Webex za sodelovanje z zunanjimi udeleženci v drugih organizacijah. Ko eden od vaših uporabnikov zahteva ključ za prostor, ki je v lasti vaše organizacije (ker ga je ustvaril eden od vaših uporabnikov), vaš KMS pošlje ključ odjemalcu prek zaščitenega kanala ECDH. Ko pa ima druga organizacija ključ za prostor, vaš KMS usmeri zahtevo v oblak Webex prek ločenega kanala ECDH, da pridobi ključ od ustreznega KMS, in nato vrne ključ vašemu uporabniku na izvirnem kanalu.
Storitev KMS, ki se izvaja v organizaciji A, preverja povezave s KMS-ji v drugih organizacijah z uporabo potrdil x.509 PKI. glej Pripravite svoje okolje za podrobnosti o ustvarjanju potrdila x.509 za uporabo z vašo uvedbo Hybrid Data Security.
Pričakovanja glede uvajanja hibridne varnosti podatkov
Uvedba hibridne varnosti podatkov zahteva veliko predanost strank in zavedanje tveganj, ki jih prinaša posedovanje šifrirnih ključev.
Za uvedbo Hybrid Data Security morate zagotoviti:
Varen podatkovni center v državi, ki je a podprto lokacijo za načrte Cisco Webex Teams.
Oprema, programska oprema in dostop do omrežja, opisani v Pripravite svoje okolje.
Popolna izguba konfiguracije ISO, ki jo zgradite za Hybrid Data Security, ali baze podatkov, ki jo zagotovite, bo povzročila izgubo ključev. Izguba ključa uporabnikom prepreči dešifriranje prostorske vsebine in drugih šifriranih podatkov v aplikaciji Webex. Če se to zgodi, lahko zgradite novo uvedbo, vendar bo vidna samo nova vsebina. Da preprečite izgubo dostopa do podatkov, morate:
Upravljajte varnostno kopiranje in obnovitev baze podatkov in konfiguracije ISO.
Bodite pripravljeni izvesti hitro obnovitev po katastrofi, če pride do katastrofe, kot je okvara diska baze podatkov ali katastrofa podatkovnega centra.
Ni mehanizma za premik ključev nazaj v oblak po uvedbi HDS. |
Postopek namestitve na visoki ravni
Ta dokument pokriva nastavitev in upravljanje uvedbe Hybrid Data Security:
Nastavite hibridno varnost podatkov— To vključuje pripravo zahtevane infrastrukture in namestitev programske opreme Hybrid Data Security, testiranje vaše uvedbe s podnaborom uporabnikov v preskusnem načinu in, ko je vaše testiranje končano, premik v proizvodnjo. To pretvori celotno organizacijo v uporabo vaše Hybrid Data Security gruče za varnostne funkcije.
Faze nastavitve, preizkusa in proizvodnje so podrobno obravnavane v naslednjih treh poglavjih.
Ohranite svojo uvedbo Hybrid Data Security— Oblak Webex samodejno zagotavlja stalne nadgradnje. Vaš IT oddelek lahko zagotovi podporo prve stopnje za to uvedbo in po potrebi vključi podporo Cisco. V Control Hubu lahko uporabite obvestila na zaslonu in nastavite opozorila po e-pošti.
Razumevanje pogostih opozoril, korakov za odpravljanje težav in znanih težav—Če naletite na težave pri uvajanju ali uporabi Hybrid Data Security, vam lahko zadnje poglavje tega vodnika in dodatek Znane težave pomagata ugotoviti in odpraviti težavo.
Hibridni model uvajanja varnosti podatkov
Znotraj podatkovnega centra vašega podjetja namestite Hybrid Data Security kot eno samo gručo vozlišč na ločenih virtualnih gostiteljih. Vozlišča komunicirajo z oblakom Webex prek varnih spletnih vtičnic in varnega HTTP-ja.
Med postopkom namestitve vam zagotovimo datoteko OVA za nastavitev virtualne naprave na VM, ki jih zagotovite. Z orodjem za nastavitev HDS ustvarite datoteko ISO konfiguracije gruče po meri, ki jo namestite na vsako vozlišče. Grozd Hybrid Data Security uporablja strežnik Syslogd, ki ste ga zagotovili, in bazo podatkov PostgreSQL ali Microsoft SQL Server. (Syslogd in podrobnosti o povezavi baze podatkov konfigurirate v orodju za namestitev HDS.)
Najmanjše število vozlišč, ki jih lahko imate v gruči, sta dve. Priporočamo vsaj tri, lahko pa tudi do pet. Če imate več vozlišč, zagotovite, da storitev ni prekinjena med nadgradnjo programske opreme ali drugo vzdrževalno dejavnostjo na vozlišču. (Oblak Webex nadgrajuje samo eno vozlišče naenkrat.)
Vsa vozlišča v gruči dostopajo do iste shrambe ključnih podatkov in beležijo dejavnost v isti strežnik syslog. Sama vozlišča so brez stanja in obravnavajo ključne zahteve na krožni način, po navodilih oblaka.
Vozlišča postanejo aktivna, ko jih registrirate v Control Hub. Če želite posamezno vozlišče izključiti iz uporabe, ga lahko odjavite in pozneje po potrebi znova registrirate.
Podpiramo samo eno gručo na organizacijo.
Preizkusni način hibridne varnosti podatkov
Ko nastavite uvedbo Hybrid Data Security, jo najprej preizkusite z nizom pilotnih uporabnikov. Med preskusnim obdobjem ti uporabniki uporabljajo vašo domeno Hybrid Data Security na mestu uporabe za šifrirne ključe in druge storitve varnostnega področja. Vaši drugi uporabniki še naprej uporabljajo varnostno področje oblaka.
Če se med preskusnim obdobjem odločite, da ne boste nadaljevali z uvajanjem in deaktivirate storitev, bodo pilotni uporabniki in vsi uporabniki, s katerimi so sodelovali z ustvarjanjem novih prostorov med preskusnim obdobjem, izgubili dostop do sporočil in vsebine. V aplikaciji Webex bodo videli »Tega sporočila ni mogoče dešifrirati«.
Če ste zadovoljni, da vaša uvedba dobro deluje za preskusne uporabnike in ste pripravljeni razširiti Hybrid Data Security na vse svoje uporabnike, premaknite uvedbo v produkcijo. Pilotni uporabniki imajo še naprej dostop do ključev, ki so bili v uporabi med preskusom. Vendar se ne morete premikati naprej in nazaj med produkcijskim načinom in prvotnim preskusom. Če morate deaktivirati storitev, na primer za izvedbo obnovitve po katastrofi, morate ob ponovni aktivaciji začeti novo preskusno različico in nastaviti nabor pilotnih uporabnikov za novo preskusno različico, preden se premaknete nazaj v produkcijski način. Ali uporabniki obdržijo dostop do podatkov na tej točki, je odvisno od tega, ali ste uspešno vzdrževali varnostne kopije shrambe ključnih podatkov in konfiguracijske datoteke ISO za vozlišča Hybrid Data Security v vaši gruči.
Podatkovni center v pripravljenosti za obnovitev po katastrofi
Med uvajanjem nastavite varen podatkovni center v pripravljenosti. V primeru katastrofe v podatkovnem centru lahko ročno prekinete svojo uvedbo v podatkovni center v pripravljenosti.
Podatkovne baze aktivnega in rezervnega podatkovnega centra so med seboj sinhronizirane, kar bo zmanjšalo čas, potreben za izvedbo samodejnega preklopa. Datoteka ISO podatkovnega centra v pripravljenosti je posodobljena z dodatnimi konfiguracijami, ki zagotavljajo, da so vozlišča registrirana v organizaciji, vendar ne bodo obravnavala prometa. Tako so vozlišča podatkovnega centra v pripravljenosti vedno posodobljena z najnovejšo različico programske opreme HDS.
Aktivna vozlišča Hybrid Data Security morajo biti vedno v istem podatkovnem centru kot aktivni strežnik baze podatkov. |
Nastavite podatkovni center v pripravljenosti za obnovitev po katastrofi
Za konfiguracijo datoteke ISO podatkovnega centra v pripravljenosti sledite spodnjim korakom:
Preden začneš
Podatkovni center v pripravljenosti bi moral zrcaliti produkcijsko okolje navideznih strojev in rezervno bazo podatkov PostgreSQL ali Microsoft SQL Server. Na primer, če ima proizvodnja 3 VM-je, ki poganjajo vozlišča HDS, bi moralo okolje za varnostno kopiranje imeti 3 VM-je. (Glej Podatkovni center v pripravljenosti za obnovitev po katastrofi za pregled tega modela samodejnega preklopa.)
Prepričajte se, da je omogočena sinhronizacija baze podatkov med bazo podatkov aktivnih in pasivnih vozlišč gruče.
1 | Zaženite orodje HDS Setup in sledite korakom, navedenim v Ustvarite konfiguracijski ISO za gostitelje HDS.
| ||
2 | Ko konfigurirate strežnik Syslogd, kliknite na Napredne nastavitve | ||
3 | Na Napredne nastavitve strani dodajte spodnjo konfiguracijo, da postavite vozlišče v pasivni način. V tem načinu bo vozlišče registrirano v organizaciji in povezano z oblakom, vendar ne bo obravnavalo prometa.
| ||
4 | Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga je enostavno najti. | ||
5 | Naredite varnostno kopijo datoteke ISO v vašem lokalnem sistemu. Varnostno kopijo shranite. Ta datoteka vsebuje glavni šifrirni ključ za vsebino baze podatkov. Omejite dostop samo na tiste skrbnike za hibridno varnost podatkov, ki bi morali spremeniti konfiguracijo. | ||
6 | V levem podoknu za krmarjenje odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve.. | ||
7 | Kliknite Uredi nastavitve >CD/DVD pogon 1 in izberite Datastore ISO File.
| ||
8 | Vklopite vozlišče HDS in se prepričajte, da ni alarmov vsaj 15 minut. | ||
9 | Ponovite postopek za vsako vozlišče v podatkovnem centru v pripravljenosti.
|
Kaj storiti naprej
Po konfiguraciji passiveMode
v datoteko ISO in jo shranite, lahko ustvarite drugo kopijo datoteke ISO brez passiveMode
konfiguracijo in jo shranite na varno mesto. Ta kopija datoteke ISO brez passiveMode
konfigurirano lahko pomaga pri hitrem procesu samodejnega preklopa med obnovitvijo po katastrofi. glej Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti za podroben postopek samodejnega preklopa.
Podpora za proxy
Hybrid Data Security podpira eksplicitne, pregledne inšpekcijske in neinšpekcijske posrednike. Te posrednike lahko povežete s svojo uvedbo, tako da lahko zavarujete in spremljate promet iz podjetja v oblak. Skrbniški vmesnik platforme lahko uporabite na vozliščih za upravljanje potrdil in za preverjanje splošnega stanja povezljivosti, potem ko nastavite proxy na vozliščih.
Vozlišča Hybrid Data Security podpirajo naslednje možnosti posrednika:
Brez posrednika— Privzeto, če za integracijo proxyja ne uporabljate nastavitve vozlišča HDS Trust Store & Proxy. Posodobitev potrdila ni potrebna.
Transparenten proxy brez nadzora— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy in ne bi smela zahtevati nobenih sprememb za delo s proxyjem, ki ne preverja. Posodobitev potrdila ni potrebna.
Transparentni proxy za tuneliranje ali pregledovanje— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy. Na vozliščih niso potrebne spremembe konfiguracije HTTP ali HTTPS. Vendar vozlišča potrebujejo korensko potrdilo, da zaupajo proxyju. Inspecting proxy običajno uporablja IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta proxyja dešifrira ves vaš promet (tudi HTTPS).
Eksplicitni posrednik— Z eksplicitnim proxy vozliščem HDS poveste, kateri strežnik proxy in shemo preverjanja pristnosti naj uporabijo. Če želite konfigurirati eksplicitni proxy, morate v vsako vozlišče vnesti naslednje informacije:
Proxy IP/FQDN—Naslov, ki ga je mogoče uporabiti za dostop do proxy naprave.
Proxy vrata—Številka vrat, ki jih proxy uporablja za poslušanje prometa prek posrednika.
Proxy protokol—Glede na to, kaj podpira vaš proxy strežnik, izberite med naslednjimi protokoli:
HTTP—Ogleda in nadzoruje vse zahteve, ki jih pošlje odjemalec.
HTTPS—zagotavlja kanal strežniku. Odjemalec prejme in potrdi potrdilo strežnika.
Vrsta avtentikacije—Izbirajte med naslednjimi vrstami preverjanja pristnosti:
Noben— Nadaljnje preverjanje pristnosti ni potrebno.
Na voljo, če kot proxy protokol izberete HTTP ali HTTPS.
Osnovno—Uporablja se za uporabniškega agenta HTTP, da zagotovi uporabniško ime in geslo, ko poda zahtevo. Uporablja kodiranje Base64.
Na voljo, če kot proxy protokol izberete HTTP ali HTTPS.
Za vsako vozlišče morate vnesti uporabniško ime in geslo.
prebaviti— Uporablja se za potrditev računa pred pošiljanjem občutljivih informacij. Uporabi zgoščeno funkcijo za uporabniško ime in geslo pred pošiljanjem po omrežju.
Na voljo samo, če izberete HTTPS kot posredniški protokol.
Za vsako vozlišče morate vnesti uporabniško ime in geslo.
Primer vozlišč hibridne varnosti podatkov in posrednika
Ta diagram prikazuje primer povezave med Hybrid Data Security, omrežjem in proxyjem. Za možnosti transparentnega pregledovanja in eksplicitnega pregledovanja HTTPS proxy mora biti isto korensko potrdilo nameščeno na proxyju in vozliščih Hybrid Data Security.
Blokiran zunanji način reševanja DNS (eksplicitne konfiguracije proxyja)
Ko registrirate vozlišče ali preverite konfiguracijo proxy vozlišča, postopek preizkusi iskanje DNS in povezljivost z oblakom Cisco Webex. Pri uvedbah z eksplicitnimi konfiguracijami posrednika, ki ne dovoljujejo zunanjega razreševanja DNS za notranje odjemalce, če vozlišče ne more poizvedovati po strežnikih DNS, samodejno preide v način blokiranega zunanjega razreševanja DNS. V tem načinu se lahko nadaljuje registracija vozlišča in drugi testi povezljivosti posrednika.
Zahteve za hibridno varnost podatkov
Licenčne zahteve za Cisco Webex
Če želite uvesti Hybrid Data Security:
Za Cisco Webex Control Hub morate imeti Pro Pack. (Glej https://www.cisco.com/go/pro-pack.)
Zahteve za namizje Docker
Preden namestite vozlišča HDS, potrebujete Docker Desktop za zagon namestitvenega programa. Docker je nedavno posodobil svoj model licenciranja. Vaša organizacija morda zahteva plačljivo naročnino za Docker Desktop. Za podrobnosti si oglejte objavo v spletnem dnevniku Docker, " Docker posodablja in podaljšuje naše naročnine na izdelke".
Zahteve za potrdilo X.509
Certifikacijska veriga mora izpolnjevati naslednje zahteve:
Zahteva | Podrobnosti |
---|---|
| Privzeto zaupamo CA-jem na seznamu Mozilla (z izjemo WoSign in StartCom) na https://wiki.mozilla.org/CA:IncludedCAs. |
| Ni treba, da je CN dosegljiv ali gostitelj v živo. Priporočamo, da uporabite ime, ki odraža vašo organizacijo, na primer KN ne sme vsebovati * (nadomestni znak). CN se uporablja za preverjanje vozlišč Hybrid Data Security za odjemalce aplikacije Webex. Vsa vozlišča Hybrid Data Security v vaši gruči uporabljajo isto potrdilo. Vaš KMS se identificira z uporabo domene CN, ne katere koli domene, ki je definirana v poljih SAN x.509v3. Ko registrirate vozlišče s tem potrdilom, ne podpiramo spreminjanja imena domene CN. Izberite domeno, ki se lahko uporablja za preskusno in produkcijsko uvedbo. |
| Programska oprema KMS ne podpira podpisov SHA1 za preverjanje povezav s KMS-ji drugih organizacij. |
| Za spremembo oblike potrdila lahko uporabite pretvornik, kot je OpenSSL. Ko zaženete orodje za nastavitev HDS, boste morali vnesti geslo. |
Programska oprema KMS ne uveljavlja uporabe ključev ali razširjenih omejitev uporabe ključev. Nekateri overitelji potrdil zahtevajo, da se za vsako potrdilo uporabijo razširjene omejitve uporabe ključa, na primer preverjanje pristnosti strežnika. V redu je, če uporabite avtentikacijo strežnika ali druge nastavitve.
Zahteve za virtualnega gostitelja
Navidezni gostitelji, ki jih boste nastavili kot vozlišča Hybrid Data Security v vaši gruči, imajo naslednje zahteve:
Vsaj dva ločena gostitelja (3 priporočljivo), nameščena v istem varnem podatkovnem centru
VMware ESXi 6.5 (ali novejši) nameščen in deluje.
Če imate starejšo različico ESXi, morate nadgraditi.
Najmanj 4 vCPU-ji, 8 GB glavnega pomnilnika, 30 GB lokalnega prostora na trdem disku na strežnik
Zahteve za strežnik baze podatkov
Ustvarite novo bazo podatkov za shranjevanje ključev. Ne uporabljajte privzete zbirke podatkov. Ko so nameščene aplikacije HDS, ustvarijo shemo baze podatkov. |
Obstajata dve možnosti za strežnik baze podatkov. Zahteve za vsakega so naslednje:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Najmanj 8 vCPU-jev, 16 GB glavnega pomnilnika, dovolj prostora na trdem disku in nadzor, da se zagotovi, da ni presežen (priporočeno je 2 TB, če želite bazo podatkov izvajati dlje časa, ne da bi morali povečati prostor za shranjevanje) | Najmanj 8 vCPU-jev, 16 GB glavnega pomnilnika, dovolj prostora na trdem disku in nadzor, da se zagotovi, da ni presežen (priporočeno je 2 TB, če želite bazo podatkov izvajati dlje časa, ne da bi morali povečati prostor za shranjevanje) |
Programska oprema HDS trenutno namesti naslednje različice gonilnikov za komunikacijo s strežnikom baze podatkov:
PostgreSQL | Microsoft SQL Server |
---|---|
Gonilnik Postgres JDBC 42.2.5 | Gonilnik SQL Server JDBC 4.6 Ta različica gonilnika podpira SQL Server Always On ( Always On Failover Cluster Instances in Skupine razpoložljivosti Always On). |
Dodatne zahteve za preverjanje pristnosti sistema Windows proti strežniku Microsoft SQL Server
Če želite, da vozlišča HDS uporabljajo preverjanje pristnosti sistema Windows za dostop do baze podatkov shrambe ključev v strežniku Microsoft SQL Server, potrebujete naslednjo konfiguracijo v svojem okolju:
Vozlišča HDS, infrastruktura Active Directory in MS SQL Server morajo biti vsi sinhronizirani z NTP.
Račun Windows, ki ga zagotovite vozliščem HDS, mora imeti dostop za branje/pisanje do baze podatkov.
Strežniki DNS, ki jih zagotovite vozliščem HDS, morajo imeti možnost razrešiti vaš center za distribucijo ključev (KDC).
Primerek baze podatkov HDS lahko registrirate na strežniku Microsoft SQL Server kot glavno ime storitve (SPN) v imeniku Active Directory. glej Registrirajte glavno ime storitve za povezave Kerberos.
Orodje za nastavitev HDS, zaganjalnik HDS in lokalni KMS morajo uporabljati preverjanje pristnosti sistema Windows za dostop do baze podatkov shrambe ključev. Uporabijo podrobnosti iz vaše konfiguracije ISO za izdelavo SPN, ko zahtevajo dostop s preverjanjem pristnosti Kerberos.
Zahteve za zunanjo povezljivost
Konfigurirajte požarni zid, da bo omogočal naslednje povezave za aplikacije HDS:
Aplikacija | Protokol | Pristanišče | Smer iz App | Destinacija |
---|---|---|---|---|
Hibridna varnostna vozlišča podatkov | TCP | 443 | Odhodni HTTPS in WSS |
|
Orodje za nastavitev HDS | TCP | 443 | Odhodni HTTPS |
|
Vozlišča Hybrid Data Security delujejo s prevajanjem omrežnega dostopa (NAT) ali za požarnim zidom, če NAT ali požarni zid omogoča zahtevane odhodne povezave do ciljev domene v prejšnji tabeli. Za povezave, ki potekajo vhodno do vozlišč Hybrid Data Security, iz interneta ne smejo biti vidna nobena vrata. V vašem podatkovnem centru odjemalci potrebujejo dostop do vozlišč Hybrid Data Security na vratih TCP 443 in 22 za administrativne namene. |
URL-ji za gostitelje skupne identitete (CI) so specifični za regijo. To so trenutni gostitelji CI:
Regija | URL-ji gostitelja skupne identitete |
---|---|
Amerike |
|
Evropska unija |
|
Kanada |
|
Zahteve za strežnik proxy
Uradno podpiramo naslednje rešitve proxy, ki se lahko integrirajo z vašimi vozlišči Hybrid Data Security.
Transparent proxy—Cisco Web Security Appliance (WSA).
Eksplicitni proxy—Squid.
Posredniki Squid, ki pregledujejo promet HTTPS, lahko motijo vzpostavitev spletne vtičnice (wss:) povezave. Če se želite izogniti tej težavi, glejte Konfigurirajte posrednike Squid za hibridno varnost podatkov.
Podpiramo naslednje kombinacije vrst preverjanja pristnosti za eksplicitne posrednike:
Ni avtentikacije s HTTP ali HTTPS
Osnovna avtentikacija s HTTP ali HTTPS
Pregled pristnosti samo s HTTPS
Za proxy proxy za pregledovanje ali eksplicitni proxy HTTPS morate imeti kopijo korenskega potrdila proxyja. Navodila za uvajanje v tem priročniku vam povejo, kako naložite kopijo v skrbniške shrambe vozlišč Hybrid Data Security.
Omrežje, ki gosti vozlišča HDS, mora biti konfigurirano tako, da prisili izhodni promet TCP na vratih 443, da se usmeri prek proxyja.
Posredniki, ki pregledujejo spletni promet, lahko motijo povezave s spletnimi vtičnicami. Če pride do te težave, obide (brez pregleda) promet do
wbx2.com
inciscospark.com
bo rešil problem.
Izpolnite predpogoje za hibridno varnost podatkov
1 | Prepričajte se, da je vaša organizacija Webex omogočena za Pro Pack za Cisco Webex Control Hub in pridobite poverilnice računa s polnimi skrbniškimi pravicami organizacije. Za pomoč pri tem postopku se obrnite na svojega Ciscovega partnerja ali upravitelja računa. | ||
2 | Izberite ime domene za svojo uvedbo HDS (npr. | ||
3 | Pripravite enake navidezne gostitelje, ki jih boste nastavili kot vozlišča Hybrid Data Security v vaši gruči. Potrebujete vsaj dva ločena gostitelja (3 priporočljivo), nameščena v istem varnem podatkovnem centru, ki izpolnjujeta zahteve v Zahteve za virtualnega gostitelja. | ||
4 | Pripravite strežnik baze podatkov, ki bo deloval kot shramba ključnih podatkov za gručo, v skladu z Zahteve za strežnik baze podatkov. Strežnik baze podatkov mora biti nameščen v varnem podatkovnem centru skupaj z virtualnimi gostitelji. | ||
5 | Za hitro obnovitev po katastrofi nastavite varnostno okolje v drugem podatkovnem centru. Okolje za varnostno kopiranje zrcali produkcijsko okolje navideznih strojev in strežnik baze podatkov za varnostno kopiranje. Na primer, če ima proizvodnja 3 VM-je, ki poganjajo vozlišča HDS, bi moralo okolje za varnostno kopiranje imeti 3 VM-je. | ||
6 | Nastavite gostitelja sistemskega dnevnika za zbiranje dnevnikov iz vozlišč v gruči. Zberite njegov omrežni naslov in vrata sistemskega dnevnika (privzeto je UDP 514). | ||
7 | Ustvarite politiko varnega varnostnega kopiranja za vozlišča Hybrid Data Security, strežnik baze podatkov in gostitelja sistemskega dnevnika. Če želite preprečiti nepopravljivo izgubo podatkov, morate najmanj varnostno kopirati bazo podatkov in konfiguracijsko datoteko ISO, ustvarjeno za vozlišča Hybrid Data Security.
Odjemalci aplikacije Webex shranjujejo svoje ključe v predpomnilnik, zato izpad morda ne bo takoj opazen, vendar bo sčasoma očiten. Čeprav je začasnih izpadov nemogoče preprečiti, jih je mogoče obnoviti. Vendar bo popolna izguba (razpoložljivih varnostnih kopij) baze podatkov ali konfiguracijske datoteke ISO povzročila nepopravljivost podatkov o strankah. Od operaterjev vozlišč Hybrid Data Security se pričakuje, da bodo vzdrževali pogoste varnostne kopije baze podatkov in konfiguracijske datoteke ISO ter da bodo pripravljeni na ponovno izgradnjo podatkovnega centra Hybrid Data Security, če pride do katastrofalne okvare. | ||
8 | Zagotovite, da vaša konfiguracija požarnega zidu omogoča povezljivost za vozlišča Hybrid Data Security, kot je opisano v Zahteve za zunanjo povezljivost. | ||
9 | Namestite Docker ( https://www.docker.com) na katerem koli lokalnem računalniku s podprtim OS (Microsoft Windows 10 Professional ali Enterprise 64-bit ali Mac OSX Yosemite 10.10.3 ali novejši) s spletnim brskalnikom, ki lahko dostopa do njega na http://127.0.0.1:8080. Primerek Docker uporabite za prenos in zagon orodja za nastavitev HDS, ki gradi lokalne konfiguracijske informacije za vsa vozlišča Hybrid Data Security. Vaša organizacija morda potrebuje licenco Docker Desktop. glej Zahteve za namizje Docker za več informacij. Če želite namestiti in zagnati orodje za nastavitev HDS, mora imeti lokalni računalnik povezljivost, opisano v Zahteve za zunanjo povezljivost. | ||
10 | Če integrirate proxy s Hybrid Data Security, se prepričajte, da ustreza Zahteve za strežnik proxy. | ||
11 | Če vaša organizacija uporablja sinhronizacijo imenikov, ustvarite skupino v imeniku Active Directory, imenovano
|
Potek opravila uvajanja hibridne varnosti podatkov
Preden začneš
1 | Prenesite namestitvene datoteke Prenesite datoteko OVA na svoj lokalni računalnik za kasnejšo uporabo. | ||
2 | Ustvarite konfiguracijski ISO za gostitelje HDS Z orodjem za nastavitev HDS ustvarite konfiguracijsko datoteko ISO za vozlišča Hybrid Data Security. | ||
3 |
Ustvarite virtualni stroj iz datoteke OVA in izvedite začetno konfiguracijo, kot so omrežne nastavitve.
| ||
4 | Nastavite Hybrid Data Security VM Prijavite se v konzolo VM in nastavite poverilnice za prijavo. Konfigurirajte omrežne nastavitve za vozlišče, če jih niste konfigurirali ob uvedbi OVA. | ||
5 | Naložite in namestite ISO konfiguracije HDS Konfigurirajte VM iz konfiguracijske datoteke ISO, ki ste jo ustvarili z orodjem za namestitev HDS. | ||
6 | Konfigurirajte vozlišče HDS za integracijo posrednika Če omrežno okolje zahteva konfiguracijo proxyja, podajte vrsto proxyja, ki ga boste uporabili za vozlišče, in po potrebi dodajte potrdilo proxyja v shrambo zaupanja. | ||
7 | Registrirajte prvo vozlišče v gruči Registrirajte VM v oblaku Cisco Webex kot Hybrid Data Security node. | ||
8 | Ustvarite in registrirajte več vozlišč Dokončajte nastavitev gruče. | ||
9 | Izvedite preizkus in se premaknite v produkcijo (naslednje poglavje) Dokler ne začnete preizkusa, vaša vozlišča ustvarijo alarm, ki nakazuje, da vaša storitev še ni aktivirana. |
Prenesite namestitvene datoteke
1 | Prijavite se v https://admin.webex.comin nato kliknite Storitve. | ||||
2 | V razdelku Hybrid Services poiščite kartico Hybrid Data Security in kliknite Nastaviti. Če je kartica onemogočena ali je ne vidite, se obrnite na skupino za račun ali partnersko organizacijo. Dajte jim svojo številko računa in jih prosite, da vaši organizaciji omogočijo hibridno varnost podatkov. Če želite poiskati številko računa, kliknite zobnik v zgornjem desnem kotu poleg imena vaše organizacije.
| ||||
3 | Izberite št da označite, da vozlišča še niste nastavili, in nato kliknite Naslednji. Datoteka OVA se samodejno začne prenašati. Datoteko shranite na mesto v vašem računalniku.
| ||||
4 | Po želji kliknite Odprite vodnik za uvajanje da preverite, ali je na voljo novejša različica tega priročnika. |
Ustvarite konfiguracijski ISO za gostitelje HDS
Postopek nastavitve Hybrid Data Security ustvari datoteko ISO. Nato uporabite ISO za konfiguracijo gostitelja Hybrid Data Security.
Preden začneš
Orodje HDS Setup deluje kot vsebnik Docker na lokalnem računalniku. Za dostop do njega zaženite Docker na tem računalniku. Postopek namestitve zahteva poverilnice računa Control Hub s polnimi skrbniškimi pravicami za vašo organizacijo.
Če orodje za namestitev HDS deluje za proxyjem v vašem okolju, podajte nastavitve proxyja (strežnik, vrata, poverilnice) prek spremenljivk okolja Docker, ko prikažete vsebnik Docker v koraku 5. Ta tabela podaja nekaj možnih spremenljivk okolja:
Opis
Spremenljivka
HTTP Proxy brez avtentikacije
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS Proxy brez avtentikacije
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP proxy z avtentikacijo
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy z avtentikacijo
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Konfiguracijska datoteka ISO, ki jo ustvarite, vsebuje glavni ključ, ki šifrira bazo podatkov PostgreSQL ali Microsoft SQL Server. Najnovejšo kopijo te datoteke potrebujete vsakič, ko spremenite konfiguracijo, kot je ta:
Poverilnice baze podatkov
Posodobitve potrdil
Spremembe politike avtorizacije
Če nameravate šifrirati povezave z bazo podatkov, nastavite svojo uvedbo PostgreSQL ali SQL Server za TLS.
1 | V ukazno vrstico vašega računalnika vnesite ustrezen ukaz za vaše okolje: V običajnih okoljih:
V okoljih FedRAMP:
| ||||||||||||
2 | Za vpis v register slik Docker vnesite naslednje:
| ||||||||||||
3 | Ob pozivu za geslo vnesite to zgoščeno vrednost:
| ||||||||||||
4 | Prenesite najnovejšo stabilno sliko za vaše okolje: V običajnih okoljih:
V okoljih FedRAMP:
| ||||||||||||
5 | Ko je vlečenje končano, vnesite ustrezen ukaz za vaše okolje:
Ko se vsebnik izvaja, vidite »Strežnik Express posluša na vratih 8080«. | ||||||||||||
6 |
Uporabite spletni brskalnik za dostop do lokalnega gostitelja, Orodje uporabi ta prvi vnos uporabniškega imena za nastavitev ustreznega okolja za ta račun. Orodje nato prikaže standardni poziv za prijavo. | ||||||||||||
7 | Ko ste pozvani, vnesite poverilnice za prijavo skrbnika stranke Control Hub in kliknite Vpiši se da omogočite dostop do zahtevanih storitev za Hybrid Data Security. | ||||||||||||
8 | Na strani s pregledom orodja za nastavitev kliknite Začeti. | ||||||||||||
9 | Na ISO uvoz strani, imate te možnosti:
| ||||||||||||
10 | Preverite, ali vaše potrdilo X.509 izpolnjuje zahteve v Zahteve za potrdilo X.509.
| ||||||||||||
11 | Vnesite naslov baze podatkov in račun za HDS za dostop do shrambe ključnih podatkov: | ||||||||||||
12 | Izberite a Način povezave z bazo podatkov TLS:
Ko naložite korensko potrdilo (če je potrebno) in kliknite Nadaljuj, orodje za nastavitev HDS preizkusi povezavo TLS s strežnikom baze podatkov. Orodje preveri tudi podpisnika potrdila in ime gostitelja, če je na voljo. Če preizkus ne uspe, orodje prikaže sporočilo o napaki, ki opisuje težavo. Izberete lahko, ali želite napako prezreti in nadaljevati z nastavitvijo. (Zaradi razlik v povezljivosti bodo vozlišča HDS morda lahko vzpostavila povezavo TLS, tudi če naprava z orodjem za nastavitev HDS tega ne more uspešno preizkusiti.) | ||||||||||||
13 | Na strani Sistemski dnevniki konfigurirajte strežnik Syslogd: | ||||||||||||
14 | (Izbirno) Spremenite lahko privzeto vrednost za nekatere parametre povezave z bazo podatkov v Napredne nastavitve. Na splošno je ta parameter edini, ki bi ga morda želeli spremeniti:
| ||||||||||||
15 | Kliknite Nadaljuj na Ponastavite geslo za storitvene račune zaslon. Gesla storitvenih računov imajo življenjsko dobo devet mesecev. Uporabite ta zaslon, ko se vaša gesla bližajo izteku ali jih želite ponastaviti, da razveljavi prejšnje datoteke ISO. | ||||||||||||
16 | Kliknite Prenesite datoteko ISO. Datoteko shranite na mesto, ki ga je enostavno najti. | ||||||||||||
17 | Naredite varnostno kopijo datoteke ISO v vašem lokalnem sistemu. Varnostno kopijo shranite. Ta datoteka vsebuje glavni šifrirni ključ za vsebino baze podatkov. Omejite dostop samo na tiste skrbnike za hibridno varnost podatkov, ki bi morali spremeniti konfiguracijo. | ||||||||||||
18 | Če želite zaustaviti orodje za nastavitev, vnesite |
Kaj storiti naprej
Varnostno kopirajte konfiguracijsko datoteko ISO. Potrebujete ga za ustvarjanje več vozlišč za obnovitev ali za spreminjanje konfiguracije. Če izgubite vse kopije datoteke ISO, ste izgubili tudi glavni ključ. Obnovitev ključev iz baze podatkov PostgreSQL ali Microsoft SQL Server ni mogoča.
Nikoli nimamo kopije tega ključa in vam ne moremo pomagati, če ga izgubite. |
Namestite HDS Host OVA
1 | Uporabite odjemalca VMware vSphere v vašem računalniku, da se prijavite v navideznega gostitelja ESXi. | ||||||
2 | Izberite mapa > Namestite predlogo OVF. | ||||||
3 | V čarovniku določite lokacijo datoteke OVA, ki ste jo prej prenesli, in nato kliknite Naslednji . | ||||||
4 | Na Izberite ime in mapo strani vnesite a Ime navideznega stroja za vozlišče (na primer "HDS_node_1"), izberite lokacijo, kjer je lahko uvedba vozlišča navideznega stroja, in nato kliknite Naslednji . | ||||||
5 | Na Izberite računalniški vir izberite ciljni računalniški vir in kliknite Naslednji . Zažene se preverjanje veljavnosti. Ko se konča, se prikažejo podrobnosti predloge. | ||||||
6 | Preverite podrobnosti predloge in kliknite Naslednji. | ||||||
7 | Če ste pozvani, da izberete konfiguracijo vira na Konfiguracija strani, kliknite 4 procesor in nato kliknite Naslednji . | ||||||
8 | Na Izberite shranjevanje strani, kliknite Naslednji da sprejmete privzeti format diska in politiko shranjevanja VM. | ||||||
9 | Na Izberite omrežja izberite omrežno možnost s seznama vnosov, da zagotovite želeno povezljivost z VM. | ||||||
10 | Na Prilagodite predlogo strani, konfigurirajte naslednje omrežne nastavitve:
Če želite, lahko preskočite konfiguracijo omrežnih nastavitev in sledite korakom v Nastavite Hybrid Data Security VM da konfigurirate nastavitve iz konzole vozlišča.
| ||||||
11 | Z desno miškino tipko kliknite vozlišče VM in nato izberite .Programska oprema Hybrid Data Security je nameščena kot gost na gostitelju VM. Zdaj ste pripravljeni, da se prijavite v konzolo in konfigurirate vozlišče. Nasveti za odpravljanje težav Preden se vsebniki vozlišč prikažejo, lahko pride do nekajminutne zamude. Med prvim zagonom se na konzoli pojavi sporočilo mostnega požarnega zidu, med katerim se ne morete prijaviti. |
Nastavite Hybrid Data Security VM
S tem postopkom se prvič prijavite v konzolo VM vozlišča Hybrid Data Security in nastavite poverilnice za prijavo. S konzolo lahko konfigurirate tudi omrežne nastavitve za vozlišče, če jih niste konfigurirali ob uvedbi OVA.
1 | V odjemalcu VMware vSphere izberite VM vozlišča Hybrid Data Security in izberite Konzola zavihek. VM se zažene in prikaže se poziv za prijavo. Če se poziv za prijavo ne prikaže, pritisnite Vnesite.
|
2 | Za prijavo in spremembo poverilnic uporabite naslednjo privzeto prijavo in geslo: Ker se v svoj VM vpisujete prvič, morate spremeniti skrbniško geslo. |
3 | Če ste že konfigurirali omrežne nastavitve v Namestite HDS Host OVA, preskočite preostanek tega postopka. V nasprotnem primeru v glavnem meniju izberite Uredi konfiguracijo možnost. |
4 | Nastavite statično konfiguracijo z informacijami o naslovu IP, maski, prehodu in DNS. Vaše vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt. |
5 | (Izbirno) Spremenite ime gostitelja, domeno ali strežnike NTP, če je potrebno, da se ujemajo z vašo omrežno politiko. Ni vam treba nastaviti domene, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509. |
6 | Shranite omrežno konfiguracijo in znova zaženite VM, da bodo spremembe začele veljati. |
Naložite in namestite ISO konfiguracije HDS
Preden začneš
Ker datoteka ISO vsebuje glavni ključ, jo je treba razkriti samo na podlagi "potrebe vedeti" za dostop navideznih računalnikov Hybrid Data Security in vseh skrbnikov, ki bodo morda morali narediti spremembe. Prepričajte se, da imajo samo ti skrbniki dostop do shrambe podatkov.
1 | Naložite datoteko ISO iz računalnika: |
2 | Namestite datoteko ISO: |
Kaj storiti naprej
Če vaša politika IT zahteva, lahko po želji odklopite datoteko ISO, potem ko vsa vaša vozlišča prevzamejo spremembe konfiguracije. glej (Izbirno) Odpni ISO po konfiguraciji HDS za podrobnosti.
Konfigurirajte vozlišče HDS za integracijo posrednika
Če omrežno okolje zahteva proxy, s tem postopkom določite vrsto proxyja, s katerim se želite integrirati Hibridna varnost podatkov. Če izberete proxy proxy za pregledovanje ali eksplicitni proxy HTTPS, lahko uporabite vmesnik vozlišča za nalaganje in namestitev korenskega potrdila. Povezavo proxy lahko preverite tudi prek vmesnika in odpravite morebitne težave.
Preden začneš
glej Podpora za proxy za pregled podprtih možnosti proxyja.
1 | Vnesite URL za nastavitev vozlišča HDS |
2 | Pojdi do Trust Store & Proxyin nato izberite možnost:
Sledite naslednjim korakom za pregleden proxy za pregledovanje, eksplicitni proxy HTTP z osnovnim preverjanjem pristnosti ali eksplicitni proxy HTTPS. |
3 | Kliknite Naložite korensko potrdilo ali potrdilo končne entitete, nato pa se pomaknite do izbire korenskega potrdila za proxy. Potrdilo je naloženo, vendar še ni nameščeno, ker morate za namestitev potrdila znova zagnati vozlišče. Kliknite puščico ševrona ob imenu izdajatelja potrdila, da dobite več podrobnosti ali kliknite Izbriši če ste se zmotili in želite znova naložiti datoteko. |
4 | Kliknite Preverite povezavo proxy da preizkusite omrežno povezljivost med vozliščem in posrednikom. Če preizkus povezave ne uspe, boste videli sporočilo o napaki, ki prikazuje razlog in kako lahko odpravite težavo. Če vidite sporočilo, da zunanja razrešitev DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS. Ta pogoj je pričakovan v številnih eksplicitnih konfiguracijah proxyja. Lahko nadaljujete z nastavitvijo in vozlišče bo delovalo v načinu blokirane zunanje ločljivosti DNS. Če menite, da je to napaka, dokončajte te korake in si oglejte Izklopite način razreševanja blokiranega zunanjega DNS-ja. |
5 | Ko je preskus povezave uspešen, za eksplicitni proxy, nastavljen samo na https, preklopite stikalo na Usmerite vse https zahteve vrat 443/444 iz tega vozlišča prek eksplicitnega proxyja. Ta nastavitev začne veljati po 15 sekundah. |
6 | Kliknite Namestite vsa potrdila v Trust Store (prikaže se za eksplicitni proxy HTTPS ali pregledni proxy za preverjanje) ali Znova zaženite (prikaže se za eksplicitni proxy HTTP), preberite poziv in kliknite Namestite če si pripravljen. Vozlišče se znova zažene v nekaj minutah. |
7 | Ko se vozlišče znova zažene, se po potrebi znova vpišite in nato odprite Pregled strani, da preverite preverjanja povezljivosti in se prepričate, ali so vsi v zelenem stanju. Preverjanje povezave posrednika testira samo poddomeno webex.com. Če pride do težav s povezljivostjo, je pogosta težava, da so nekatere domene v oblaku, navedene v navodilih za namestitev, blokirane na strežniku proxy. |
Registrirajte prvo vozlišče v gruči
Ko registrirate svoje prvo vozlišče, ustvarite gručo, ki ji je vozlišče dodeljeno. Grozd vsebuje eno ali več vozlišč, nameščenih za zagotavljanje redundance.
Preden začneš
Ko začnete z registracijo vozlišča, jo morate dokončati v 60 minutah ali pa morate začeti znova.
Prepričajte se, da so v vašem brskalniku onemogočeni vsi blokatorji pojavnih oken ali da dovolite izjemo za admin.webex.com.
1 | Prijavite se v https://admin.webex.com. |
2 | V meniju na levi strani zaslona izberite Storitve. |
3 | V razdelku Hybrid Services poiščite Hybrid Data Security in kliknite Nastaviti. Prikaže se stran Register Hybrid Data Security Node.
|
4 | Izberite ja da označite, da ste nastavili vozlišče in ste ga pripravljeni registrirati, in nato kliknite Naslednji. |
5 | V prvo polje vnesite ime za gručo, ki ji želite dodeliti vozlišče Hybrid Data Security. Priporočamo, da gručo poimenujete glede na to, kje se geografsko nahajajo vozlišča gruče. Primeri: "San Francisco" ali "New York" ali "Dallas" |
6 | V drugo polje vnesite notranji naslov IP ali popolnoma kvalificirano ime domene (FQDN) svojega vozlišča in kliknite Naslednji. Ta naslov IP ali FQDN se mora ujemati z naslovom IP ali imenom gostitelja in domeno, ki ste jo uporabili Nastavite Hybrid Data Security VM. Prikaže se sporočilo, ki nakazuje, da lahko svoje vozlišče registrirate v Webex.
|
7 | Kliknite Pojdite na Node. |
8 | Kliknite Nadaljuj v opozorilnem sporočilu. Po nekaj trenutkih ste preusmerjeni na teste povezljivosti vozlišča za storitve Webex. Če so vsi preizkusi uspešni, se prikaže stran Dovoli dostop do vozlišča Hybrid Data Security Node. Tam potrdite, da želite svoji organizaciji Webex dati dovoljenja za dostop do vašega vozlišča.
|
9 | Preverite Dovolite dostop do vašega vozlišča Hybrid Data Security Node potrditveno polje in nato kliknite Nadaljuj. Vaš račun je potrjen in sporočilo »Registracija je dokončana« nakazuje, da je vaše vozlišče zdaj registrirano v oblaku Webex.
|
10 | Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Hybrid Data Security Control Hub. Na Hibridna varnost podatkov stran, se prikaže nova gruča, ki vsebuje vozlišče, ki ste ga registrirali. Vozlišče bo samodejno preneslo najnovejšo programsko opremo iz oblaka.
|
Ustvarite in registrirajte več vozlišč
Trenutno so varnostni VM-ji, ki ste jih ustvarili v Izpolnite predpogoje za hibridno varnost podatkov so gostitelji v pripravljenosti, ki se uporabljajo samo v primeru obnovitve po katastrofi; do takrat niso registrirani v sistemu. Za podrobnosti glejte Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti. |
Preden začneš
Ko začnete z registracijo vozlišča, jo morate dokončati v 60 minutah ali pa morate začeti znova.
Prepričajte se, da so v vašem brskalniku onemogočeni vsi blokatorji pojavnih oken ali da dovolite izjemo za admin.webex.com.
1 | Ustvarite nov virtualni stroj iz OVA in ponovite korake Namestite HDS Host OVA. |
2 | Nastavite začetno konfiguracijo na novem VM in ponovite korake v Nastavite Hybrid Data Security VM. |
3 | Na novem VM ponovite korake v Naložite in namestite ISO konfiguracije HDS. |
4 | Če nastavljate proxy za svojo uvedbo, ponovite korake v Konfigurirajte vozlišče HDS za integracijo posrednika kot je potrebno za novo vozlišče. |
5 | Registrirajte vozlišče. Vaše vozlišče je registrirano. Upoštevajte, da dokler ne začnete preizkusa, vaša vozlišča ustvarijo alarm, ki nakazuje, da vaša storitev še ni aktivirana.
|
Kaj storiti naprej
Potek naloge od poskusa do proizvodnje
Ko nastavite gručo Hybrid Data Security, lahko zaženete pilotni projekt, vanj dodate uporabnike in ga začnete uporabljati za preizkušanje in preverjanje vaše uvedbe v pripravah na selitev v proizvodnjo.
Preden začneš
1 | Če je primerno, sinhronizirajte Če vaša organizacija uporablja sinhronizacijo imenikov za uporabnike, morate izbrati |
2 |
Začni poskus. Dokler ne opravite te naloge, vaša vozlišča ustvarijo alarm, ki nakazuje, da storitev še ni aktivirana. |
3 | Preizkusite svojo hibridno uvedbo varnosti podatkov Preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security. |
4 | Spremljajte varnost hibridnih podatkov Preverite stanje in nastavite e-poštna obvestila za alarme. |
5 | |
6 | Dokončajte preskusno fazo z enim od naslednjih dejanj: |
Aktiviraj preizkus
Preden začneš
Če vaša organizacija uporablja sinhronizacijo imenikov za uporabnike, morate izbrati HdsTrialGroup
predmet skupine za sinhronizacijo z oblakom, preden lahko začnete preskusno obdobje za svojo organizacijo. Za navodila glejte Vodnik za uvajanje za Cisco Directory Connector.
1 | Prijavite se v https://admin.webex.comin nato izberite Storitve. |
2 | V razdelku Hibridna varnost podatkov kliknite nastavitve. |
3 | V razdelku Status storitve kliknite Začni preizkus. Stanje storitve se spremeni v poskusni način.
|
4 | Kliknite Dodajanje uporabnikov in vnesite e-poštni naslov enega ali več uporabnikov za poskusno uporabo vozlišč Hybrid Data Security za storitve šifriranja in indeksiranja. (Če vaša organizacija uporablja sinhronizacijo imenikov, uporabite Active Directory za upravljanje poskusne skupine, |
Preizkusite svojo hibridno uvedbo varnosti podatkov
Preden začneš
Nastavite svojo uvedbo Hybrid Data Security.
Aktivirajte preskusno različico in dodajte več poskusnih uporabnikov.
Prepričajte se, da imate dostop do sistemskega dnevnika, da preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security.
1 | Ključe za določen prostor nastavi ustvarjalec prostora. Prijavite se v aplikacijo Webex kot eden od pilotnih uporabnikov, nato pa ustvarite prostor in povabite vsaj enega pilotnega uporabnika in enega nepilotnega uporabnika.
| ||
2 | Pošljite sporočila v novi prostor. | ||
3 | Preverite izhod sistemskega dnevnika, da preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security. |
Spremljajte varnost hibridnih podatkov
1 | notri Nadzorno središče, izberite Storitve iz menija na levi strani zaslona. |
2 | V razdelku Hybrid Services poiščite Hybrid Data Security in kliknite nastavitve. Prikaže se stran z nastavitvami hibridne varnosti podatkov.
|
3 | V razdelku E-poštna obvestila vnesite enega ali več e-poštnih naslovov, ločenih z vejicami, in pritisnite Vnesite. |
Dodajte ali odstranite uporabnike iz svojega preizkusa
Če odstranite uporabnika iz preizkusa, bo uporabnikov odjemalec zahteval ključe in ustvarjanje ključa iz oblaka KMS namesto vašega KMS. Če odjemalec potrebuje ključ, ki je shranjen na vašem KMS, ga bo KMS v oblaku pridobil v imenu uporabnika.
Če vaša organizacija uporablja sinhronizacijo imenikov, uporabite Active Directory (namesto tega postopka) za upravljanje poskusne skupine, HdsTrialGroup
; člane skupine si lahko ogledate v Nadzornem središču, vendar jih ne morete dodati ali odstraniti.
1 | Prijavite se v Control Hub in nato izberite Storitve. |
2 | V razdelku Hibridna varnost podatkov kliknite nastavitve. |
3 | V razdelku Preizkusni način v območju Stanje storitve kliknite Dodajanje uporabnikov, ali kliknite ogled in urejanje za odstranitev uporabnikov iz preizkusa. |
4 | Vnesite e-poštni naslov enega ali več uporabnikov, ki jih želite dodati, ali kliknite X z ID-jem uporabnika, da uporabnika odstranite iz preizkusa. Nato kliknite Shrani. |
Premaknite se s preskusne različice na produkcijsko
1 | Prijavite se v Control Hub in nato izberite Storitve. |
2 | V razdelku Hibridna varnost podatkov kliknite nastavitve. |
3 | V razdelku Status storitve kliknite Premakni se v proizvodnjo. |
4 | Potrdite, da želite vse svoje uporabnike premakniti v produkcijo. |
Končajte preizkus, ne da bi se preselili v proizvodnjo
1 | Prijavite se v Control Hub in nato izberite Storitve. |
2 | V razdelku Hibridna varnost podatkov kliknite nastavitve. |
3 | V razdelku Deaktiviraj kliknite Deaktiviraj. |
4 | Potrdite, da želite deaktivirati storitev in končati preskusno obdobje. |
Upravljanje uvajanja HDS
Uporabite tukaj opisane naloge za upravljanje svoje razmestitve Hybrid Data Security.
Nastavite urnik nadgradnje gruče
Če želite nastaviti urnik nadgradnje:
1 | Prijavite se v Nadzorno središče. |
2 | Na strani Pregled v razdelku Hibridne storitve izberite Hibridna varnost podatkov. |
3 | Na strani Viri za varnost hibridnih podatkov izberite gručo. |
4 | Na plošči Pregled na desni v razdelku Nastavitve gruče izberite ime gruče. |
5 | Na strani z nastavitvami v razdelku Nadgradnja izberite čas in časovni pas za urnik nadgradnje. Opomba: Pod časovnim pasom sta prikazana datum in čas naslednje razpoložljive nadgradnje. Nadgradnjo lahko po potrebi prestavite na naslednji dan s klikom Odložiti. |
Spremenite konfiguracijo vozlišča
Spreminjanje potrdil x.509 zaradi poteka veljavnosti ali drugih razlogov.
Ne podpiramo spreminjanja imena domene CN potrdila. Domena se mora ujemati z izvirno domeno, uporabljeno za registracijo gruče.
Posodabljanje nastavitev baze podatkov za spremembo v repliko baze podatkov PostgreSQL ali Microsoft SQL Server.
Ne podpiramo selitve podatkov iz PostgreSQL v Microsoft SQL Server ali obratno. Če želite preklopiti okolje baze podatkov, začnite novo uvedbo Hybrid Data Security.
Ustvarjanje nove konfiguracije za pripravo novega podatkovnega centra.
Poleg tega za varnostne namene Hybrid Data Security uporablja gesla storitvenih računov, ki imajo devetmesečno življenjsko dobo. Ko orodje HDS Setup ustvari ta gesla, jih namestite v vsako od svojih vozlišč HDS v konfiguracijski datoteki ISO. Ko se gesla vaše organizacije bližajo izteku, prejmete obvestilo ekipe Webex za ponastavitev gesla za vaš strojni račun. (E-poštno sporočilo vključuje besedilo »Uporabite API računa stroja za posodobitev gesla.«) Če vaša gesla še niso potekla, vam orodje ponuja dve možnosti:
Mehka ponastavitev— Staro in novo geslo delujeta do 10 dni. To obdobje uporabite za postopno zamenjavo datoteke ISO na vozliščih.
Trda ponastavitev— Stara gesla prenehajo delovati takoj.
Če vaša gesla potečejo brez ponastavitve, to vpliva na vašo storitev HDS, saj zahteva takojšnjo strojno ponastavitev in zamenjavo datoteke ISO na vseh vozliščih.
S tem postopkom ustvarite novo konfiguracijsko datoteko ISO in jo uporabite za vašo gručo.
Preden začneš
Orodje HDS Setup deluje kot vsebnik Docker na lokalnem računalniku. Za dostop do njega zaženite Docker na tem računalniku. Postopek namestitve zahteva poverilnice računa Control Hub s polnimi skrbniškimi pravicami za vašo organizacijo.
Če orodje za namestitev HDS deluje za proxyjem v vašem okolju, podajte nastavitve proxyja (strežnik, vrata, poverilnice) prek spremenljivk okolja Docker, ko prikažete vsebnik Docker v 1.e. Ta tabela podaja nekaj možnih spremenljivk okolja:
Opis
Spremenljivka
HTTP Proxy brez avtentikacije
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS Proxy brez avtentikacije
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP proxy z avtentikacijo
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy z avtentikacijo
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Za ustvarjanje nove konfiguracije potrebujete kopijo trenutne konfiguracijske datoteke ISO. ISO vsebuje glavni ključ, ki šifrira bazo podatkov PostgreSQL ali Microsoft SQL Server. ISO potrebujete, ko spreminjate konfiguracijo, vključno s poverilnicami baze podatkov, posodobitvami potrdil ali spremembami pravilnika avtorizacije.
1 | Z Dockerjem na lokalnem računalniku zaženite orodje za namestitev HDS. |
2 | Če imate samo eno vozlišče HDS, ustvarite nov VM vozlišča Hybrid Data Security in ga registrirajte z novo konfiguracijsko datoteko ISO. Za podrobnejša navodila glejte Ustvarite in registrirajte več vozlišč. |
3 | Za obstoječa vozlišča HDS, ki izvajajo starejšo konfiguracijsko datoteko, namestite datoteko ISO. Izvedite naslednji postopek na vsakem vozlišču po vrsti in posodobite vsako vozlišče, preden izklopite naslednje vozlišče: |
4 | Ponovite 3. korak, da zamenjate konfiguracijo na vsakem preostalem vozlišču, ki izvaja staro konfiguracijo. |
Izklopite način razreševanja blokiranega zunanjega DNS-ja
Ko registrirate vozlišče ali preverite konfiguracijo proxy vozlišča, postopek preizkusi iskanje DNS in povezljivost z oblakom Cisco Webex. Če strežnik DNS vozlišča ne more razrešiti javnih imen DNS, vozlišče samodejno preide v način blokiranega zunanjega razreševanja DNS.
Če lahko vaša vozlišča razrešijo javna imena DNS prek notranjih strežnikov DNS, lahko ta način izklopite tako, da na vsakem vozlišču znova zaženete preskus povezave proxy.
Preden začneš
1 | V spletnem brskalniku odprite vmesnik vozlišča Hybrid Data Security (naslov IP/nastavitev, npr. https://192.0.2.0/setup), vnesite skrbniške poverilnice, ki ste jih nastavili za vozlišče, in nato kliknite Prijava. |
2 | Pojdi do Pregled (privzeta stran). Ko je omogočeno, Blokirana zunanja razrešitev DNS je nastavljeno na ja. |
3 | Pojdi na Trust Store & Proxy strani. |
4 | Kliknite Preverite povezavo proxy. Če vidite sporočilo, da zunanja razrešitev DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS in bo ostalo v tem načinu. V nasprotnem primeru, ko znova zaženete vozlišče in se vrnete na Pregled stran, Blokirana zunanja DNS resolucija mora biti nastavljena na št. |
Kaj storiti naprej
Odstranite vozlišče
1 | Uporabite odjemalca VMware vSphere v vašem računalniku, da se prijavite v virtualni gostitelj ESXi in izklopite virtualni stroj. |
2 | Odstranite vozlišče: |
3 | V odjemalcu vSphere izbrišite VM. (V levem podoknu za krmarjenje z desno miškino tipko kliknite VM in kliknite Izbriši.) Če VM ne izbrišete, ne pozabite odklopiti konfiguracijske datoteke ISO. Brez datoteke ISO ne morete uporabljati VM za dostop do svojih varnostnih podatkov. |
Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti
Najbolj kritična storitev, ki jo nudi vaša gruča Hybrid Data Security, je ustvarjanje in shranjevanje ključev, ki se uporabljajo za šifriranje sporočil in druge vsebine, shranjene v oblaku Webex. Za vsakega uporabnika v organizaciji, ki je dodeljen Hybrid Data Security, so nove zahteve za ustvarjanje ključev usmerjene v gručo. Grozd je odgovoren tudi za vrnitev ključev, ki jih je ustvaril vsem uporabnikom, ki so pooblaščeni, da jih pridobijo, na primer članom prostora za pogovor.
Ker gruča opravlja kritično funkcijo zagotavljanja teh ključev, je nujno, da gruča še naprej deluje in da se vzdržujejo ustrezne varnostne kopije. Izguba podatkovne baze Hybrid Data Security ali konfiguracijskega ISO, ki se uporablja za shemo, bo povzročila NEPODOLČLJIVO IZGUBO vsebine stranke. Naslednje prakse so obvezne za preprečitev takšne izgube:
Če katastrofa povzroči, da uvedba HDS v primarnem podatkovnem centru postane nerazpoložljiva, sledite temu postopku za ročni samodejni preklop v rezervni podatkovni center.
1 | Zaženite orodje HDS Setup in sledite korakom, navedenim v Ustvarite konfiguracijski ISO za gostitelje HDS. | ||
2 | Ko konfigurirate strežnik Syslogd, kliknite na Napredne nastavitve | ||
3 | Na Napredne nastavitve stran, dodajte spodnjo konfiguracijo ali odstranite
| ||
4 | Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga je enostavno najti. | ||
5 | Naredite varnostno kopijo datoteke ISO v vašem lokalnem sistemu. Varnostno kopijo shranite. Ta datoteka vsebuje glavni šifrirni ključ za vsebino baze podatkov. Omejite dostop samo na tiste skrbnike za hibridno varnost podatkov, ki bi morali spremeniti konfiguracijo. | ||
6 | V levem podoknu za krmarjenje odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve.. | ||
7 | Kliknite Uredi nastavitve >CD/DVD pogon 1 in izberite Datastore ISO File.
| ||
8 | Vklopite vozlišče HDS in se prepričajte, da ni alarmov vsaj 15 minut. | ||
9 | Ponovite postopek za vsako vozlišče v podatkovnem centru v pripravljenosti.
|
Kaj storiti naprej
(Izbirno) Odpni ISO po konfiguraciji HDS
Standardna konfiguracija HDS deluje z nameščenim ISO. Toda nekatere stranke raje ne puščajo datotek ISO neprekinjeno nameščenih. Datoteko ISO lahko odklopite, ko vsa vozlišča HDS prevzamejo novo konfiguracijo.
Za spreminjanje konfiguracije še vedno uporabljate datoteke ISO. Ko ustvarite nov ISO ali posodobite ISO prek orodja za nastavitev, morate posodobljeni ISO namestiti na vsa vozlišča HDS. Ko so vsa vaša vozlišča prevzela konfiguracijske spremembe, lahko s tem postopkom znova odklopite ISO.
Preden začneš
Nadgradite vsa svoja vozlišča HDS na različico 2021.01.22.4720 ali novejšo.
1 | Zaustavite eno od vozlišč HDS. |
2 | V strežniški napravi vCenter izberite vozlišče HDS. |
3 | Izberite Datoteka ISO za shranjevanje podatkov. in odkljukajte |
4 | Vklopite vozlišče HDS in zagotovite, da vsaj 20 minut ni alarmov. |
5 | Ponovite za vsako vozlišče HDS po vrsti. |
Ogled opozoril in odpravljanje težav
Uvedba hibridne varnosti podatkov se šteje za nerazpoložljivo, če so vsa vozlišča v gruči nedosegljiva ali če gruča deluje tako počasi, da zahteva preteče čas. Če uporabniki ne morejo doseči vaše gruče Hybrid Data Security, se pojavijo naslednji simptomi:
Novih prostorov ni mogoče ustvariti (ni mogoče ustvariti novih ključev)
Sporočil in naslovov prostorov ni mogoče dešifrirati za:
Novi uporabniki dodani v prostor (ni mogoče pridobiti ključev)
Obstoječi uporabniki v prostoru, ki uporabljajo novega odjemalca (ni mogoče pridobiti ključev)
Obstoječi uporabniki v prostoru bodo še naprej uspešno delovali, dokler imajo njihovi odjemalci predpomnilnik šifrirnih ključev
Pomembno je, da pravilno spremljate svojo gručo Hybrid Data Security in nemudoma obravnavate vsa opozorila, da preprečite motnje storitve.
Opozorila
Če pride do težave z nastavitvijo Hybrid Data Security, Control Hub prikaže opozorila skrbniku organizacije in pošlje e-pošto na konfigurirani e-poštni naslov. Opozorila zajemajo številne pogoste scenarije.
Opozorilo | Dejanje |
---|---|
Napaka pri dostopu do lokalne baze podatkov. |
Preverite napake baze podatkov ali težave z lokalnim omrežjem. |
Napaka povezave z lokalno bazo podatkov. |
Preverite, ali je strežnik baze podatkov na voljo in ali so bile v konfiguraciji vozlišča uporabljene prave poverilnice storitvenega računa. |
Napaka pri dostopu do storitve v oblaku. |
Preverite, ali lahko vozlišča dostopajo do strežnikov Webex, kot je določeno v Zahteve za zunanjo povezljivost. |
Podaljšanje registracije storitve v oblaku. |
Registracija v storitvah v oblaku je bila opuščena. Podaljšanje registracije je v teku. |
Registracija storitve v oblaku je padla. |
Registracija v storitve v oblaku je prekinjena. Storitev se zapira. |
Storitev še ni aktivirana. |
Aktivirajte preskusno različico ali dokončajte premik preizkusne različice v produkcijo. |
Konfigurirana domena se ne ujema s potrdilom strežnika. |
Prepričajte se, da se vaše potrdilo strežnika ujema s konfigurirano domeno za aktiviranje storitve. Najverjetnejši vzrok je, da je bilo potrdilo CN nedavno spremenjeno in se zdaj razlikuje od CN, ki je bilo uporabljeno med prvotno nastavitvijo. |
Preverjanje pristnosti v storitvah v oblaku ni uspelo. |
Preverite točnost in morebiten potek poverilnic storitvenega računa. |
Lokalne datoteke shrambe ključev ni bilo mogoče odpreti. |
Preverite celovitost in točnost gesla v datoteki lokalne shrambe ključev. |
Potrdilo lokalnega strežnika ni veljavno. |
Preverite datum veljavnosti strežniškega potrdila in potrdite, da ga je izdal zaupanja vreden overitelj potrdil. |
Ni mogoče objaviti meritev. |
Preverite dostop lokalnega omrežja do zunanjih storitev v oblaku. |
Imenik /media/configdrive/hds ne obstaja. |
Preverite konfiguracijo namestitve ISO na virtualnem gostitelju. Preverite, ali datoteka ISO obstaja, ali je konfigurirana za namestitev ob ponovnem zagonu in ali je uspešno nameščena. |
Odpravljanje težav s hibridno varnostjo podatkov
1 | Preglejte Control Hub za vsa opozorila in popravite vse elemente, ki jih najdete tam. |
2 | Preglejte izhod strežnika syslog za dejavnost razmestitve Hybrid Data Security. |
3 | Kontakt Cisco podpora. |
Znane težave pri hibridni varnosti podatkov
Če zaustavite svojo gručo Hybrid Data Security (tako da jo izbrišete v Control Hubu ali tako, da zaustavite vsa vozlišča), izgubite konfiguracijsko datoteko ISO ali izgubite dostop do baze podatkov shrambe ključev, vaši uporabniki aplikacije Webex ne morejo več uporabljati prostorov pod svojimi Ljudje seznam, ki so bili ustvarjeni s ključi iz vašega KMS. To velja tako za poskusno kot za proizvodno uvedbo. Trenutno nimamo rešitve ali popravka za to težavo in vas pozivamo, da ne zaustavite storitev HDS, ko obravnavajo aktivne uporabniške račune.
Odjemalec, ki ima obstoječo povezavo ECDH s KMS, vzdržuje to povezavo nekaj časa (verjetno eno uro). Ko uporabnik postane član preskusne različice Hybrid Data Security, uporabnikov odjemalec nadaljuje z uporabo obstoječe povezave ECDH, dokler ne poteče čas. Druga možnost je, da se uporabnik odjavi in znova prijavi v aplikacijo Webex App, da posodobi lokacijo, s katero se aplikacija obrne za šifrirne ključe.
Enako vedenje se zgodi, ko preizkus premaknete v proizvodnjo za organizacijo. Vsi uporabniki brez preskusne različice z obstoječimi povezavami ECDH s prejšnjimi storitvami za varnost podatkov bodo še naprej uporabljali te storitve, dokler se povezava ECDH ponovno ne dogovori (prek časovne omejitve ali z odjavo in ponovnim vstopom).
Uporabite OpenSSL za ustvarjanje datoteke PKCS12
Preden začneš
OpenSSL je eno orodje, ki ga lahko uporabite za izdelavo datoteke PKCS12 v ustreznem formatu za nalaganje v orodju za nastavitev HDS. Obstajajo drugi načini za to in ne podpiramo ali spodbujamo enega načina namesto drugega.
Če se odločite za uporabo OpenSSL, ponujamo ta postopek kot smernico za pomoč pri ustvarjanju datoteke, ki izpolnjuje zahteve potrdila X.509 v Zahteve za potrdilo X.509. Razumite te zahteve, preden nadaljujete.
Namestite OpenSSL v podprto okolje. glej https://www.openssl.org za programsko opremo in dokumentacijo.
Ustvari zasebni ključ.
Začnite ta postopek, ko prejmete strežniško potrdilo od svojega overitelja potrdil (CA).
1 | Ko prejmete strežniško potrdilo od službe za potrdila, ga shranite kot |
2 | Prikažite potrdilo kot besedilo in preverite podrobnosti.
|
3 | Z urejevalnikom besedila ustvarite datoteko svežnja potrdil, imenovano
|
4 | Ustvarite datoteko .p12 s prijaznim imenom
|
5 | Preverite podrobnosti potrdila strežnika. |
Kaj storiti naprej
Vrnitev na Izpolnite predpogoje za hibridno varnost podatkov. Uporabili boste hdsnode.p12
datoteko in geslo, ki ste ga nastavili zanjo, v Ustvarite konfiguracijski ISO za gostitelje HDS.
Te datoteke lahko znova uporabite za zahtevo po novem potrdilu, ko prvotno potrdilo poteče. |
Promet med vozlišči HDS in oblakom
Odhodni promet zbiranja meritev
Vozlišča Hybrid Data Security pošiljajo določene meritve v oblak Webex. Ti vključujejo sistemske meritve za največjo kopico, uporabljeno kopico, obremenitev procesorja in število niti; metrike sinhronih in asinhronih niti; meritve za opozorila, ki vključujejo prag šifrirnih povezav, zakasnitev ali dolžino čakalne vrste zahtev; metrike v shrambi podatkov; in meritve šifrirne povezave. Vozlišča pošiljajo šifrirano ključno gradivo prek zunajpasovnega (ločenega od zahteve) kanala.
Dohodni promet
Vozlišča Hybrid Data Security prejemajo naslednje vrste vhodnega prometa iz oblaka Webex:
Zahteve za šifriranje odjemalcev, ki jih usmeri šifrirna storitev
Nadgradnje programske opreme vozlišča
Konfigurirajte posrednike Squid za hibridno varnost podatkov
Websocket se ne more povezati prek proxyja Squid
Posredniki Squid, ki pregledujejo promet HTTPS, lahko motijo vzpostavitev spletne vtičnice ( wss:
) povezave, ki jih zahteva Hybrid Data Security. Ti razdelki dajejo navodila o tem, kako konfigurirati različne različice Squid za prezrtje wss:
prometa za pravilno delovanje storitev.
Lignji 4 in 5
Dodajte on_unsupported_protocol
direktiva za squid.conf
:
on_unsupported_protocol tunnel all
Lignji 3.5.27
Hibridno varnost podatkov smo uspešno preizkusili z dodanimi naslednjimi pravili squid.conf
. Ta pravila se lahko spremenijo, ko razvijamo funkcije in posodabljamo oblak Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Nove in spremenjene informacije
Datum |
Izvedene spremembe | ||
---|---|---|---|
20. oktober 2023 |
| ||
07. avgust 2023 |
| ||
23. maj 2023 |
| ||
december 06, 2022 |
| ||
november 23, 2022 |
| ||
13. oktober 2021 |
Preden lahko namestite vozlišča HDS, mora namizje Docker Desktop zagnati namestitveni program. Glejte Zahteve za namizje Docker. | ||
24. junij 2021 |
Upoštevajte, da lahko datoteko z zasebnim ključem in CSR ponovno uporabite za zahtevo za drugo potrdilo. Za podrobnosti glejte Uporaba OpenSSL za generiranje datoteke PKCS12 . | ||
30. april 2021 |
Zahtevo VM za prostor na lokalnem trdem disku spremenite na 30 GB. Za podrobnosti glejte Zahteve za virtualne gostitelje . | ||
24. februar 2021 |
Orodje za namestitev HDS se zdaj lahko zažene za posredniškim strežnikom. Za podrobnosti glejte Create a Configuration ISO for the HDS Hosts . | ||
2. februar 2021 |
HDS lahko zdaj zaženete brez nameščene datoteke ISO. Za podrobnosti glejte (Optional) Unmount ISO After HDS Configuration . | ||
11. januar 2021 |
Dodane informacije o orodju za nastavitev HDS in posrednikih na naslov Ustvarite konfiguracijski ISO za gostitelje HDS. | ||
oktober 13, 2020 |
Posodobljeno Prenesite namestitvene datoteke. | ||
oktober 8, 2020 |
Posodobljeno Ustvari konfiguracijski ISO za gostitelje HDS in Spremeni konfiguracijo vozlišča z ukazi za okolja FedRAMP. | ||
avgust 14, 2020 |
Posodobljeno Ustvari konfiguracijski ISO za gostitelje HDS in Spremeni konfiguracijo vozlišča s spremembami postopka prijave. | ||
avgust 5, 2020 |
Posodobljeno Test Your Hybrid Data Security Deployment za spremembe v dnevniških sporočilih. Posodobljeno Zahteve za virtualne gostitelje za odstranitev največjega števila gostiteljev. | ||
junij 16, 2020 |
Posodobljeno Odstranitev vozlišča za spremembe v uporabniškem vmesniku nadzornega vozlišča. | ||
junij 4, 2020 |
Posodobljeno Ustvari konfiguracijski ISO za gostitelje HDS za spremembe v naprednih nastavitvah, ki jih lahko nastavite. | ||
maj 29, 2020 |
Posodobljeno Ustvari konfiguracijski ISO za gostitelje HDS za prikaz, da lahko TLS uporabljate tudi s podatkovnimi bazami strežnika SQL Server, spremembe uporabniškega vmesnika in druga pojasnila. | ||
maj 5, 2020 |
Posodobljeno Zahteve za virtualne gostitelje za prikaz novih zahtev ESXi 6.5. | ||
april 21, 2020 |
Posodobljeno Zahteve za zunanjo povezljivost z novimi gostitelji Americas CI. | ||
april 1, 2020 |
Posodobljeno Zahteve za zunanjo povezljivost z informacijami o regionalnih gostiteljih CI. | ||
februar 20, 2020 | Posodobljeno Create a Configuration ISO for the HDS Hosts z informacijami o novem izbirnem zaslonu Advanced Settings v orodju HDS Setup Tool. | ||
februar 4, 2020 | Posodobljeno Zahteve za strežnik proxy. | ||
16. december 2019 | Pojasnjena zahteva za delovanje načina blokirane zunanje resolucije DNS v Zahteve za strežnik proxy. | ||
november 19, 2019 |
V naslednjih razdelkih so dodane informacije o načinu blokirane zunanje resolucije DNS: | ||
november 8, 2019 |
Zdaj lahko omrežne nastavitve za vozlišče konfigurirate med nameščanjem OVA in ne šele pozneje. Ustrezno posodobite naslednje oddelke:
| ||
6. september 2019 |
Dodan SQL Server Standard v Zahteve za strežnik podatkovne zbirke. | ||
avgust 29, 2019 | Dodan dodatek Configure Squid Proxyies for Hybrid Data Security z navodili za konfiguracijo Squid proxyjev, da za pravilno delovanje ignorirajo promet spletnih vtičnic. | ||
avgust 20, 2019 |
Dodani in posodobljeni razdelki, ki zajemajo podporo posrednika za komunikacijo vozlišča Hybrid Data Security z oblakom Webex. Če želite dostopati samo do vsebine podpore za posrednike za obstoječo namestitev, si oglejte članek pomoči Proxy Support for Hybrid Data Security and Webex Video Mesh . | ||
13. junij 2019 | Posodobljen Potek opravil od poskusnega do produkcijskega sistema z opomnikom, da je treba pred začetkom poskusnega delovanja sinhronizirati objekt skupine HdsTrialGroup , če vaša organizacija uporablja sinhronizacijo imenikov. | ||
6. marec 2019 |
| ||
28. februar 2019 |
| ||
26. februar 2019 |
| ||
januar 24, 2019 |
| ||
5. november 2018 |
| ||
oktober 19, 2018 |
| ||
julij 31, 2018 |
| ||
21. maj 2018 |
Spremenjena terminologija, ki odraža novo blagovno znamko Cisco Spark:
| ||
april 11, 2018 |
| ||
22. februar 2018 |
| ||
februar 15, 2018 |
| ||
januar 18, 2018 |
| ||
2. november 2017 |
| ||
avgust 18, 2017 |
Prva objava |
Pregled hibridne varnosti podatkov
Pri oblikovanju aplikacije Webex je bila varnost podatkov od prvega dne v ospredju. Temelj te varnosti je šifriranje vsebine od konca do konca, ki ga omogočajo odjemalci aplikacije Webex v interakciji s storitvijo za upravljanje ključev (KMS). KMS je odgovoren za ustvarjanje in upravljanje kriptografskih ključev, ki jih odjemalci uporabljajo za dinamično šifriranje in dešifriranje sporočil in datotek.
Privzeto je vsem strankam aplikacije Webex App na voljo šifriranje od konca do konca z dinamičnimi ključi, shranjenimi v oblaku KMS, v Ciscovem varnostnem območju. Hibridno varovanje podatkov prenese sistem KMS in druge funkcije, povezane z varnostjo, v podatkovno središče podjetja, tako da ključe za šifrirano vsebino nima nihče razen vas.
Arhitektura varnostnega območja
Arhitektura oblaka Webex ločuje različne vrste storitev v ločena področja ali domene zaupanja, kot je prikazano spodaj.
Da bi bolje razumeli hibridno varnost podatkov, si najprej oglejmo primer čistega oblaka, v katerem Cisco zagotavlja vse funkcije v svojem oblaku. Identitetna storitev, edino mesto, kjer je mogoče uporabnike neposredno povezati z njihovimi osebnimi podatki, kot je e-poštni naslov, je logično in fizično ločena od varnostnega področja v podatkovnem središču B. Oboje pa je ločeno od področja, kjer je šifrirana vsebina shranjena, in sicer v podatkovnem središču C.
V tem diagramu je odjemalec aplikacija Webex, ki teče v uporabnikovem prenosnem računalniku in se je avtentificirala s storitvijo identitete. Ko uporabnik sestavi sporočilo za pošiljanje v prostor, se izvedejo naslednji koraki:
-
Odjemalec vzpostavi varno povezavo s storitvijo za upravljanje ključev (KMS), nato pa zahteva ključ za šifriranje sporočila. Varna povezava uporablja ECDH, KMS pa šifrira ključ z glavnim ključem AES-256.
-
Sporočilo je šifrirano, preden zapusti odjemalca. Odjemalec ga pošlje storitvi indeksiranja, ki ustvari šifrirane iskalne indekse za pomoč pri prihodnjih iskanjih vsebine.
-
Šifrirano sporočilo je poslano storitvi za preverjanje skladnosti.
-
Šifrirano sporočilo je shranjeno v območju shranjevanja.
Pri uvajanju hibridnega varovanja podatkov prenesete funkcije varnostnega področja (KMS, indeksiranje in skladnost) v lokalno podatkovno središče. Druge storitve v oblaku, ki sestavljajo Webex (vključno z identiteto in shranjevanjem vsebine), ostajajo v Ciscovem dometu.
Sodelovanje z drugimi organizacijami
Uporabniki v vaši organizaciji lahko aplikacijo Webex redno uporabljajo za sodelovanje z zunanjimi udeleženci v drugih organizacijah. Ko eden od vaših uporabnikov zahteva ključ za prostor, ki je v lasti vaše organizacije (ker ga je ustvaril eden od vaših uporabnikov), vaš sistem KMS pošlje ključ odjemalcu prek zaščitenega kanala ECDH. Če pa je ključ za prostor v lasti druge organizacije, vaša KMS posreduje zahtevo v oblak Webex prek ločenega kanala ECDH, da pridobi ključ iz ustrezne KMS, nato pa ključ vrne uporabniku prek prvotnega kanala.
Storitev KMS, ki teče v organizaciji Org A, potrjuje povezave s KMS v drugih organizacijah z uporabo potrdil x.509 PKI. Podrobnosti o ustvarjanju potrdila x.509, ki ga boste uporabili pri uvajanju hibridne zaščite podatkov, najdete na spletnem mestu Prepare Your Environment (Priprava okolja) .
Pričakovanja pri uvajanju hibridne varnosti podatkov
Za uvedbo hibridne varnosti podatkov sta potrebna velika zavezanost stranke in zavedanje tveganj, ki jih prinaša lastništvo šifrirnih ključev.
Če želite namestiti hibridno varovanje podatkov, morate zagotoviti:
-
Varen podatkovni center v državi, ki je podprta lokacija za načrte Cisco Webex Teams.
-
Oprema, programska oprema in dostop do omrežja, opisani v poglavju Priprava okolja.
Popolna izguba konfiguracijskega ISO, ki ga sestavite za Hybrid Data Security, ali podatkovne zbirke, ki jo zagotovite, bo povzročila izgubo ključev. Izguba ključa uporabnikom preprečuje dešifriranje vsebine prostora in drugih šifriranih podatkov v aplikaciji Webex. Če se to zgodi, lahko ustvarite novo namestitev, vendar bo vidna le nova vsebina. Če želite preprečiti izgubo dostopa do podatkov, morate:
-
Upravljanje varnostnega kopiranja in obnovitve podatkovne zbirke ter konfiguracije ISO.
-
Bodite pripravljeni na hitro obnovitev v primeru katastrofe, kot je odpoved diska podatkovne zbirke ali nesreča podatkovnega centra.
Po namestitvi HDS ni mehanizma za prenos ključev nazaj v oblak. |
Postopek nastavitve na visoki ravni
Ta dokument obravnava nastavitev in upravljanje hibridne namestitve varovanja podatkov:
Nastavitev Hybrid Data Security- To vključuje pripravo potrebne infrastrukture in namestitev programske opreme Hybrid Data Security, testiranje namestitve s podskupino uporabnikov v poskusnem načinu in po končanem testiranju prehod v produkcijo. Tako celotna organizacija za varnostne funkcije uporablja vašo gručo Hybrid Data Security.
Faze namestitve, preskušanja in proizvodnje so podrobno opisane v naslednjih treh poglavjih.
-
Vzdrževanje uvedbe hibridne varnosti podatkov- Oblak Webex samodejno zagotavlja stalne nadgradnje. Vaš oddelek IT lahko zagotovi prvo stopnjo podpore za to namestitev in po potrebi pritegne Ciscovo podporo. V vozlišču Control Hub lahko uporabljate obvestila na zaslonu in nastavite opozorila prek e-pošte.
-
Razumevanje pogostih opozoril, korakov za odpravljanje težav in znanih težav-Če naletite na težave pri uvajanju ali uporabi Hybrid Data Security, vam lahko zadnje poglavje tega priročnika in dodatek Znane težave pomagata ugotoviti in odpraviti težavo.
Hibridni model uvajanja varnosti podatkov
V podatkovnem središču podjetja namestite hibridno varovanje podatkov kot eno samo gručo vozlišč na ločenih navideznih gostiteljih. Vozlišča komunicirajo z oblakom Webex prek varnih spletnih vtičnikov in varnega protokola HTTP.
Med postopkom namestitve vam zagotovimo datoteko OVA za namestitev virtualne naprave na virtualne računalnike, ki jih zagotovite. Z orodjem HDS Setup Tool ustvarite konfiguracijsko datoteko ISO po meri gruče, ki jo namestite na vsako vozlišče. Grozd Hybrid Data Security uporablja strežnik Syslogd in podatkovno zbirko PostgreSQL ali Microsoft SQL Server. (Podrobnosti o povezavi Syslogd in podatkovne baze konfigurirate v orodju HDS Setup Tool.)
Najmanjše število vozlišč v gruči sta dve. Priporočamo vsaj tri, lahko pa tudi do pet. Več vozlišč zagotavlja, da storitev ni prekinjena med nadgradnjo programske opreme ali drugimi vzdrževalnimi dejavnostmi v vozlišču. (Oblak Webex nadgradi le eno vozlišče naenkrat.)
Vsa vozlišča v gruči dostopajo do istega podatkovnega skladišča ključev in beležijo dejavnost v isti strežnik syslog. Sama vozlišča so brez stanja in po navodilih oblaka krožno obdelujejo zahtevke za ključe.
Vozlišča postanejo aktivna, ko jih registrirate v vozlišču Control Hub. Posamezno vozlišče lahko odjavite iz uporabe in ga pozneje po potrebi ponovno registrirate.
Podpiramo le eno gručo na organizacijo.
Poskusni način hibridne varnosti podatkov
Ko nastavite namestitev hibridne varnosti podatkov, jo najprej preizkusite z nizom pilotnih uporabnikov. V poskusnem obdobju ti uporabniki uporabljajo lokalno domeno Hybrid Data Security za šifrirne ključe in druge storitve varnostnega področja. Drugi uporabniki še naprej uporabljajo varnostno območje v oblaku.
Če se odločite, da med poskusnim obdobjem ne boste nadaljevali z uvajanjem, in deaktivirate storitev, bodo pilotni uporabniki in vsi uporabniki, s katerimi so sodelovali z ustvarjanjem novih prostorov med poskusnim obdobjem, izgubili dostop do sporočil in vsebine. V aplikaciji Webex se bo prikazalo sporočilo "This message cannot be decrypted" (Tega sporočila ni mogoče dešifrirati).
Če ste prepričani, da namestitev dobro deluje za poskusne uporabnike, in ste pripravljeni razširiti hibridno varovanje podatkov na vse uporabnike, prenesite namestitev v produkcijo. Pilotni uporabniki imajo še naprej dostop do ključev, ki so jih uporabljali med poskusnim delom. Vendar se ne morete premikati med produkcijskim načinom in prvotnim poskusnim delom. Če morate deaktivirati storitev, na primer zaradi obnovitve po nesreči, morate ob ponovni aktivaciji začeti novo poskusno različico in nastaviti nabor pilotnih uporabnikov za novo poskusno različico, preden se vrnete v produkcijski način. Ali uporabniki na tej točki ohranijo dostop do podatkov, je odvisno od tega, ali ste uspešno vzdrževali varnostne kopije shrambe ključnih podatkov in konfiguracijske datoteke ISO za vozlišča Hybrid Data Security v gruči.
Rezervni podatkovni center za obnovitev po nesreči
Med uvajanjem vzpostavite varen rezervni podatkovni center. V primeru okvare podatkovnega centra lahko namestitev ročno prenesete v rezervni podatkovni center.
Podatkovne zbirke aktivnega in rezervnega podatkovnega centra so med seboj sinhronizirane, kar skrajša čas, potreben za izvedbo preklopa. Datoteka ISO rezervnega podatkovnega središča je posodobljena z dodatnimi konfiguracijami, ki zagotavljajo, da so vozlišča registrirana v organizaciji, vendar ne obdelujejo prometa. Zato so vozlišča rezervnega podatkovnega centra vedno posodobljena z najnovejšo različico programske opreme HDS.
Aktivna vozlišča Hybrid Data Security morajo biti vedno v istem podatkovnem centru kot aktivni strežnik podatkovne zbirke. |
Nastavitev rezervnega podatkovnega centra za obnovitev po nesreči
Po spodnjih korakih konfigurirajte datoteko ISO rezervnega podatkovnega središča:
Preden začnete
-
Rezervni podatkovni center mora biti zrcalno podoben produkcijskemu okolju virtualnih strojev in rezervni podatkovni bazi PostgreSQL ali Microsoft SQL Server. Če so na primer v produkcijskem okolju 3 virtualni stroji z vozlišči HDS, morajo biti v varnostnem okolju 3 virtualni stroji. (Za pregled tega modela prehoda v sili glejte Rezervni podatkovni center za obnovitev po nesreči .)
-
Prepričajte se, da je omogočena sinhronizacija zbirke podatkov med zbirko podatkov aktivnega in pasivnega vozlišča gruče.
1 |
Zagon orodja HDS Setup in sledite korakom, navedenim v Create a Configuration ISO for the HDS Hosts.
| ||
2 |
Ko konfigurirate strežnik Syslogd, kliknite na Advanced Settings. | ||
3 |
Na strani Advanced Settings dodajte spodnjo konfiguracijo, da vozlišče preklopite v pasivni način. V tem načinu bo vozlišče registrirano v organizaciji in povezano z oblakom, vendar ne bo izvajalo nobenega prometa.
| ||
4 |
Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga boste zlahka našli. | ||
5 |
Naredite varnostno kopijo datoteke ISO v lokalnem sistemu. Varnostno kopijo hranite na varnem. Ta datoteka vsebuje glavni šifrirni ključ za vsebino zbirke podatkov. Omejite dostop samo tistim skrbnikom programa Hybrid Data Security, ki morajo izvajati spremembe konfiguracije. | ||
6 |
V levem navigacijskem podoknu odjemalca VMware vSphere desno kliknite na VM in kliknite Edit Settings.. | ||
7 |
Kliknite Edit Settings >CD/DVD Drive 1 in izberite Datastore ISO File.
| ||
8 |
Vključite vozlišče HDS in se prepričajte, da vsaj 15 minut ni alarmov. | ||
9 |
Postopek ponovite za vsa vozlišča v rezervnem podatkovnem središču.
|
Kaj storiti naprej
Ko v datoteki ISO konfigurirate passiveMode
in jo shranite, lahko ustvarite drugo kopijo datoteke ISO brez konfiguracije passiveMode
in jo shranite na varno mesto. Ta kopija datoteke ISO brez konfiguriranega passiveMode
lahko pomaga pri hitrem postopku preklopa na drugo napravo med obnovitvijo po nesreči. Za podroben postopek preklopa v primeru odpovedi glejte Disaster Recovery using Standby Data Center .
Podpora za proxy strežnike
Hibridna varnost podatkov podpira eksplicitne, pregledne in nepregledne proxyje. Te proxyje lahko povežete z namestitvijo, tako da lahko zaščitite in spremljate promet iz podjetja v oblak. Po nastavitvi posrednika v vozliščih lahko za upravljanje certifikatov in preverjanje splošnega stanja povezljivosti v vozliščih uporabljate upraviteljski vmesnik platforme v vozliščih.
Vozlišča Hybrid Data Security podpirajo naslednje možnosti posrednikov:
-
No proxy- privzeto, če za vključitev posrednika ne uporabljate konfiguracije HDS Trust Store & Proxy v nastavitvah vozlišča. Posodobitev certifikata ni potrebna.
-
Transparentni nezahteven posredniški strežnik- Vozlišča niso konfigurirana za uporabo določenega naslova posredniškega strežnika in za delovanje z nezahtevenim posredniškim strežnikom ne bi smela zahtevati nobenih sprememb. Posodobitev certifikata ni potrebna.
-
Transparent tunneling or inspecting proxy-Vmesniki niso konfigurirani za uporabo določenega naslova strežnika proxy. V vozliščih ni treba spremeniti konfiguracije HTTP ali HTTPS. Vendar pa vozlišča potrebujejo korensko potrdilo, da lahko zaupajo posredniku. Proxyje za pregledovanje običajno uporabljajo oddelki IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta posredniškega strežnika dešifrira ves vaš promet (tudi HTTPS).
-
Izrecni posrednik- Z izrecnim posrednikom vozliščem HDS poveste, kateri posredniški strežnik in shemo overjanja naj uporabijo. Če želite konfigurirati eksplicitni posrednik, morate v vsako vozlišče vnesti naslednje informacije:
-
Proxy IP/FQDN-Adres, s katerim lahko dosežete proxy napravo.
-
Proxy Port-številka vrat, ki jih proxy uporablja za poslušanje posredovanega prometa.
-
Protokol posredniškega strežnika- Glede na to, kaj podpira vaš posredniški strežnik, lahko izbirate med naslednjimi protokoli:
-
HTTP - pregleduje in nadzoruje vse zahteve, ki jih pošlje odjemalec.
-
HTTPS - zagotavlja kanal do strežnika. Odjemalec prejme in potrdi strežnikovo potrdilo.
-
-
Vrsta avtentikacije- Izberite eno od naslednjih vrst avtentikacije:
-
Ni-Ne zahteva se nobeno dodatno preverjanje pristnosti.
Na voljo, če kot protokol proxy izberete HTTP ali HTTPS.
-
Basic- Uporablja se za uporabniškega agenta HTTP, da pri zahtevku navede uporabniško ime in geslo. Uporablja kodiranje Base64.
Na voljo, če kot protokol proxy izberete HTTP ali HTTPS.
Zahteva vnos uporabniškega imena in gesla na vsakem vozlišču.
-
Digest- Uporablja se za potrditev računa pred pošiljanjem občutljivih informacij. Pred pošiljanjem po omrežju uporabniško ime in geslo opremi s funkcijo hash.
Na voljo samo, če kot protokol posredniškega strežnika izberete HTTPS.
Zahteva vnos uporabniškega imena in gesla na vsakem vozlišču.
-
-
Primer hibridnih vozlišč za varnost podatkov in posredniškega strežnika
Ta diagram prikazuje primer povezave med hibridnim sistemom za varnost podatkov, omrežjem in posredniškim strežnikom. Za možnosti preglednega pregledovanja in izrecnega pregledovanja HTTPS prek posrednika mora biti v posredniku in vozliščih Hybrid Data Security nameščeno isto korensko potrdilo.
Način blokirane zunanje resolucije DNS (eksplicitne konfiguracije proxy strežnikov)
Ko registrirate vozlišče ali preverite konfiguracijo posredniškega strežnika vozlišča, postopek preizkusi iskanje DNS in povezljivost z oblakom Cisco Webex. Če v namestitvah z izrecnimi konfiguracijami posrednikov, ki ne omogočajo zunanjega razreševanja DNS za notranje odjemalce, vozlišče ne more poizvedovati po strežnikih DNS, samodejno preide v način blokiranega zunanjega razreševanja DNS. V tem načinu se lahko nadaljuje registracija vozlišča in drugi preskusi povezljivosti posredniškega strežnika.
Zahteve za varnost hibridnih podatkov
Zahteve za licenco Cisco Webex
Uvajanje hibridne varnosti podatkov:
-
Imeti morate paket Pro Pack za Cisco Webex Control Hub. (Glej https://www.cisco.com/go/pro-pack.)
Zahteve za namizje Docker
Preden namestite vozlišča HDS, morate na namizju Docker Desktop zagnati namestitveni program. Docker je pred kratkim posodobil svoj model licenciranja. Vaša organizacija bo morda zahtevala plačljivo naročnino za program Docker Desktop. Za podrobnosti glejte objavo na Dockerjevem blogu " Docker posodablja in razširja naročnine na izdelke".
Zahteve za potrdilo X.509
Veriga potrdil mora izpolnjevati naslednje zahteve:
Zahteva |
Podrobnosti |
---|---|
|
Privzeto zaupamo CA s seznama Mozilla (razen WoSign in StartCom) na naslovu https://wiki.mozilla.org/CA:IncludedCAs. |
|
Ni treba, da je CN dosegljiv ali da je gostitelj v živo. Priporočamo, da uporabite ime, ki odraža vašo organizacijo, na primer CN ne sme vsebovati * (nadomestni znak). CN se uporablja za preverjanje vozlišč hibridne varnosti podatkov za odjemalce aplikacije Webex. Vsa vozlišča Hybrid Data Security v gruči uporabljajo isto potrdilo. Vaša KMS se identificira z domeno CN in ne s katero koli domeno, ki je opredeljena v poljih x.509v3 SAN. Ko enkrat registrirate vozlišče s tem potrdilom, ne podpiramo spreminjanja imena domene CN. Izberite domeno, ki lahko velja tako za poskusno kot za produkcijsko namestitev. |
|
Programska oprema KMS ne podpira podpisov SHA1 za potrjevanje povezav s KMS drugih organizacij. |
|
Za spremembo oblike potrdila lahko uporabite pretvornik, kot je OpenSSL. Geslo boste morali vnesti, ko boste zagnali orodje za nastavitev HDS. |
Programska oprema KMS ne uveljavlja omejitev uporabe ključa ali razširjene uporabe ključa. Nekateri organi za potrdila zahtevajo, da se za vsako potrdilo uporabijo razširjene omejitve uporabe ključa, kot je na primer preverjanje pristnosti strežnika. Lahko uporabite preverjanje pristnosti strežnika ali druge nastavitve.
Zahteve za virtualne gostitelje
Navidezni gostitelji, ki jih boste nastavili kot vozlišča hibridne varnosti podatkov v gruči, imajo naslednje zahteve:
-
Vsaj dva ločena gostitelja (priporočljivo 3), nameščena v istem varnem podatkovnem centru.
-
Nameščen in zagnan sistem VMware ESXi 6.5 (ali novejši).
Če imate prejšnjo različico ESXi, morate nadgraditi.
-
Najmanj 4 vCPU, 8 GB glavnega pomnilnika, 30 GB prostora na lokalnem trdem disku na strežnik
Zahteve za strežnik zbirke podatkov
Ustvarite novo zbirko podatkov za shranjevanje ključev. Ne uporabljajte privzete zbirke podatkov. Aplikacije HDS ob namestitvi ustvarijo shemo podatkovne zbirke. |
Za strežnik zbirke podatkov sta na voljo dve možnosti. Zahteve za vsako od njih so naslednje:
PostgreSQL |
Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Najmanj 8 vCPU, 16 GB glavnega pomnilnika, dovolj prostora na trdem disku in spremljanje, da se zagotovi, da ni presežen (priporočljivo je 2 TB, če želite podatkovno zbirko uporabljati dlje časa brez potrebe po povečanju pomnilnika). |
Najmanj 8 vCPU, 16 GB glavnega pomnilnika, dovolj prostora na trdem disku in spremljanje, da se zagotovi, da ni presežen (priporočljivo je 2 TB, če želite podatkovno zbirko uporabljati dlje časa brez potrebe po povečanju pomnilnika). |
Programska oprema HDS trenutno za komunikacijo s strežnikom podatkovne zbirke namesti naslednje različice gonilnikov:
PostgreSQL |
Microsoft SQL Server |
---|---|
Gonilnik Postgres JDBC 42.2.5 |
Gonilnik SQL Server JDBC 4.6 Ta različica gonilnika podpira SQL Server Always On ( Always On Failover Cluster Instances in Always On availability groups). |
Dodatne zahteve za preverjanje pristnosti sistema Windows v strežniku Microsoft SQL Server
Če želite, da vozlišča HDS uporabljajo avtentikacijo Windows za dostop do podatkovne zbirke shrambe ključev v strežniku Microsoft SQL Server, morate v svojem okolju uporabiti naslednjo konfiguracijo:
-
Vozlišča HDS, infrastruktura Active Directory in strežnik MS SQL Server morajo biti sinhronizirani z NTP.
-
Račun Windows, ki ga zagotovite vozliščem HDS, mora imeti dostop do podatkovne zbirke za branje in pisanje.
-
Strežniki DNS, ki jih zagotavljate vozliščem HDS, morajo biti sposobni razrešiti center za distribucijo ključev (KDC).
-
Primer podatkovne zbirke HDS v strežniku Microsoft SQL Server lahko registrirate kot Service Principal Name (SPN) v imeniku Active Directory. Glejte Registracija glavnega imena storitve za povezave Kerberos.
Orodje za namestitev HDS, zaganjalnik HDS in lokalna KMS morajo za dostop do podatkovne zbirke shrambe ključev uporabljati avtentikacijo Windows. Pri zahtevi za dostop s preverjanjem pristnosti Kerberos uporabijo podrobnosti iz vaše konfiguracije ISO za sestavo SPN.
Zahteve za zunanjo povezljivost
Požarni zid konfigurirajte tako, da aplikacijam HDS omogočite naslednje povezave:
Aplikacija |
Protokol |
Pristanišče |
Smer iz aplikacije |
Destinacija |
---|---|---|---|---|
Hibridna vozlišča za varnost podatkov |
TCP |
443 |
Odhodni HTTPS in WSS |
|
Orodje za nastavitev HDS |
TCP |
443 |
Odhodni HTTPS |
|
Vozlišča Hybrid Data Security delujejo s prevajanjem omrežnega dostopa (NAT) ali za požarnim zidom, če NAT ali požarni zid omogočata zahtevane izhodne povezave do domenskih destinacij iz prejšnje preglednice. Pri povezavah, ki prihajajo v vozlišča Hybrid Data Security, ne smejo biti iz interneta vidna nobena vrata. Odjemalci v podatkovnem središču potrebujejo dostop do vozlišč Hybrid Data Security na vratih TCP 443 in 22 za upravne namene. |
URL-ji za gostitelje skupne identitete (CI) so odvisni od regije. To so trenutni gostitelji CI:
Regija |
Skupni naslovi URL gostitelja identitete |
---|---|
Americas |
|
Evropska unija |
|
Kanada |
|
Zahteve za proxy strežnik
-
Uradno podpiramo naslednje proxy rešitve, ki se lahko povežejo z vašimi vozlišči za hibridno varovanje podatkov.
-
Transparentni proxy-Cisco Web Security Appliance (WSA).
-
Izrecni proxy-Squid.
Proksi strežniki Squid, ki pregledujejo promet HTTPS, lahko motijo vzpostavljanje povezav websocket (wss:). Če želite zaobiti to težavo, glejte Configure Squid Proxyies for Hybrid Data Security.
-
-
Za eksplicitne pooblaščence podpiramo naslednje kombinacije vrst avtentikacije:
-
Brez avtentikacije s HTTP ali HTTPS
-
Osnovno preverjanje pristnosti s protokolom HTTP ali HTTPS
-
Preverjanje pristnosti Digest samo s protokolom HTTPS
-
-
Pri preglednem pregledovalnem posredniku ali izrecnem posredniku HTTPS morate imeti kopijo korenskega potrdila posrednika. V navodilih za namestitev v tem vodniku je opisano, kako naložiti kopijo v shrambe zaupanja vozlišč Hybrid Data Security.
-
Omrežje, v katerem gostujejo vozlišča HDS, mora biti konfigurirano tako, da se odhodni promet TCP na vratih 443 preusmeri prek posredniškega strežnika.
-
Proksi strežniki, ki pregledujejo spletni promet, lahko motijo povezave s spletnimi vtičnicami. Če se ta težava pojavi, jo boste rešili z izogibanjem (ne pregledovanjem) prometa na naslovih
wbx2.com
inciscospark.com
.
Izpolnite predpogoje za hibridno varnost podatkov
1 |
Prepričajte se, da je v organizaciji Webex omogočen paket Pro Pack za Cisco Webex Control Hub, in pridobite poverilnice računa s polnimi pravicami skrbnika organizacije. Za pomoč pri tem postopku se obrnite na Ciscovega partnerja ali skrbnika računa. | ||
2 |
Izberite ime domene za namestitev HDS (na primer | ||
3 |
Pripravite identične virtualne gostitelje, ki jih boste nastavili kot vozlišča hibridne varnosti podatkov v gruči. Potrebujete vsaj dva ločena gostitelja (priporočamo 3), ki sta nameščena v istem varnem podatkovnem središču in izpolnjujeta zahteve iz Virtual Host Requirements. | ||
4 |
Pripravite strežnik podatkovne zbirke, ki bo deloval kot ključna podatkovna shramba za gručo, v skladu z zahtevami strežnika podatkovne zbirke .. Strežnik zbirke podatkov mora biti nameščen v varnem podatkovnem središču skupaj z navideznimi gostitelji. | ||
5 |
Za hitro obnovitev po nesreči vzpostavite rezervno okolje v drugem podatkovnem središču. Varnostno okolje odraža produkcijsko okolje z virtualnimi napravami in strežnikom za varnostno kopijo podatkovne zbirke. Če so na primer v produkcijskem okolju 3 virtualni stroji z vozlišči HDS, morajo biti v varnostnem okolju 3 virtualni stroji. | ||
6 |
Nastavite gostitelja syslog za zbiranje dnevniških zapisov iz vozlišč v gruči. Zberite njegov omrežni naslov in vrata sysloga (privzeto je UDP 514). | ||
7 |
Ustvarite politiko varnega varnostnega kopiranja za vozlišča Hybrid Data Security, strežnik zbirke podatkov in gostitelja sysloga. Če želite preprečiti izgubo podatkov, ki je ni mogoče obnoviti, morate izdelati vsaj varnostno kopijo podatkovne zbirke in konfiguracijske datoteke ISO, ustvarjene za vozlišča Hybrid Data Security.
Odjemalci aplikacije Webex imajo ključe v predpomnilniku, zato izpad morda ne bo takoj opazen, vendar se bo pokazal čez čas. Čeprav začasnih izpadov ni mogoče preprečiti, jih je mogoče odpraviti. Vendar pa popolna izguba (brez razpoložljivih varnostnih kopij) podatkovne zbirke ali konfiguracijske datoteke ISO povzroči, da podatkov o strankah ni mogoče obnoviti. Od upravljavcev vozlišč hibridne varnosti podatkov se pričakuje, da pogosto vzdržujejo varnostne kopije podatkovne zbirke in konfiguracijske datoteke ISO ter so pripravljeni na obnovo podatkovnega centra hibridne varnosti podatkov, če pride do katastrofalne okvare. | ||
8 |
Prepričajte se, da konfiguracija požarnega zidu omogoča povezljivost za vozlišča hibridnega varovanja podatkov, kot je opisano v Zahteve za zunanjo povezljivost. | ||
9 |
Namestite Docker ( https://www.docker.com) v kateri koli lokalni računalnik s podprtim operacijskim sistemom (Microsoft Windows 10 Professional ali Enterprise 64-bit ali Mac OSX Yosemite 10.10.3 ali novejši) s spletnim brskalnikom, ki omogoča dostop do njega na http://127.0.0.1:8080. Z instanco Docker prenesete in zaženete orodje HDS Setup Tool, ki ustvari lokalne konfiguracijske informacije za vsa vozlišča Hybrid Data Security. Vaša organizacija bo morda potrebovala licenco Docker Desktop. Za več informacij glejte Zahteve za namizje Docker . Za namestitev in zagon orodja za namestitev HDS mora imeti lokalni računalnik povezljivost, opisano v Zahteve za zunanjo povezljivost. | ||
10 |
Če povezujete posredniški strežnik s sistemom Hybrid Data Security, se prepričajte, da izpolnjuje zahteve strežnika Proxy Server Requirements. | ||
11 |
Če vaša organizacija uporablja sinhronizacijo imenikov, v imeniku Active Directory ustvarite skupino z imenom
|
Potek opravil pri uvajanju hibridne varnosti podatkov
Preden začnete
1 |
Datoteko OVA prenesite v lokalni računalnik za poznejšo uporabo. | ||
2 |
Ustvarjanje konfiguracijskega ISO za gostitelje HDS Z orodjem HDS Setup Tool ustvarite konfiguracijsko datoteko ISO za vozlišča Hybrid Data Security. | ||
3 |
Ustvarite navidezni stroj iz datoteke OVA in izvedite začetno konfiguracijo, kot so omrežne nastavitve.
| ||
4 |
Nastavitev hibridnega VM za varnost podatkov Prijavite se v konzolo VM in nastavite poverilnice za prijavo. Konfigurirajte omrežne nastavitve za vozlišče, če jih niste konfigurirali ob namestitvi OVA. | ||
5 |
Prenos in namestitev konfiguracijskega ISO HDS Konfigurirajte VM iz konfiguracijske datoteke ISO, ki ste jo ustvarili z orodjem HDS Setup Tool. | ||
6 |
Konfiguracija vozlišča HDS za integracijo proxy Če omrežno okolje zahteva konfiguracijo posrednika, določite vrsto posrednika, ki ga boste uporabili za vozlišče, in po potrebi dodajte potrdilo posrednika v shrambo zaupanja. | ||
7 |
Registracija prvega vozlišča v gruči Registrirajte VM v oblaku Cisco Webex kot vozlišče hibridne varnosti podatkov. | ||
8 |
Ustvarjanje in registracija več vozlišč Dokončajte nastavitev gruče. | ||
9 |
Poskusno izvajanje in prehod na produkcijo (naslednje poglavje) Dokler ne začnete poskusnega delovanja, vozlišča ustvarjajo alarm, ki označuje, da vaša storitev še ni aktivirana. |
Prenos namestitvenih datotek
1 |
Prijavite se v spletno mesto https://admin.webex.com in nato kliknite Storitve. | ||||
2 |
V razdelku Hibridne storitve poiščite kartico Hybrid Data Security in kliknite Set up. Če je kartica onemogočena ali je ne vidite, se obrnite na svojo ekipo za račune ali partnersko organizacijo. Navedite številko računa in prosite, da vaši organizaciji omogočijo hibridno varnost podatkov. Če želite poiskati številko računa, kliknite zobnik v zgornjem desnem kotu poleg imena organizacije.
| ||||
3 |
Izberite No , da označite, da vozlišča še niste nastavili, in kliknite Next. Datoteka OVA se samodejno začne prenašati. Datoteko shranite na mesto v računalniku.
| ||||
4 |
Po želji kliknite Open Deployment Guide in preverite, ali je na voljo novejša različica tega vodnika. |
Ustvarjanje konfiguracijskega ISO za gostitelje HDS
Postopek nastavitve hibridne zaščite podatkov ustvari datoteko ISO. ISO nato uporabite za konfiguracijo gostitelja za hibridno varnost podatkov.
Preden začnete
-
Orodje HDS Setup se zažene kot vsebnik Docker v lokalnem računalniku. Če želite do njega dostopati, zaženite program Docker v tem računalniku. Postopek namestitve zahteva poverilnice računa Control Hub s polnimi skrbniškimi pravicami za vašo organizacijo.
Če se orodje HDS Setup v vašem okolju izvaja za posrednikom, določite nastavitve posrednika (strežnik, vrata, poverilnice) s spremenljivkami okolja Docker, ko v koraku prikličete vsebnik Docker 5. V tej tabeli so navedene nekatere možne spremenljivke okolja:
Opis
Spremenljivka
Proxy strežnik HTTP brez avtentikacije
GLOBALNO_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS brez avtentikacije
GLOBALNO_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Proxy strežnik HTTP z avtentikacijo
GLOBALNO_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS z avtentikacijo
GLOBALNO_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Konfiguracijska datoteka ISO, ki jo ustvarite, vsebuje glavni ključ za šifriranje podatkovne zbirke PostgreSQL ali Microsoft SQL Server. Najnovejšo kopijo te datoteke potrebujete vedno, ko spreminjate konfiguracijo, kot so te spremembe:
-
Pooblastila zbirke podatkov
-
Posodobitve certifikata
-
Spremembe pravilnika o avtorizaciji
-
-
Če nameravate šifrirati povezave s podatkovno bazo, nastavite namestitev PostgreSQL ali SQL Serverja za TLS.
1 |
V ukazno vrstico računalnika vnesite ukaz, ki ustreza vašemu okolju: V običajnih okoljih: V okoljih FedRAMP:
| ||||||||||||
2 |
Če se želite prijaviti v register slik Docker, vnesite naslednje: | ||||||||||||
3 |
Na poziv za geslo vnesite to geslo: | ||||||||||||
4 |
Prenesite najnovejšo stabilno sliko za svoje okolje: V običajnih okoljih: V okoljih FedRAMP: | ||||||||||||
5 |
Ko se poteg konča, vnesite ustrezen ukaz za svoje okolje:
Ko se vsebnik zažene, se prikaže "Express strežnik posluša na vratih 8080." | ||||||||||||
6 |
S spletnim brskalnikom pojdite na lokalni gostitelj, Orodje ta prvi vnos uporabniškega imena uporabi za nastavitev ustreznega okolja za ta račun. Orodje nato prikaže standardni poziv za prijavo. | ||||||||||||
7 |
Ko se prikaže poziv, vnesite svoje prijavne podatke skrbnika stranke Control Hub in nato kliknite Prijava v , da omogočite dostop do zahtevanih storitev za Hybrid Data Security. | ||||||||||||
8 |
Na strani s pregledom orodja Setup Tool kliknite Get Started. | ||||||||||||
9 |
Na strani ISO Import so na voljo naslednje možnosti:
| ||||||||||||
10 |
Preverite, ali vaše potrdilo X.509 izpolnjuje zahteve iz X.509 Certificate Requirements.
| ||||||||||||
11 |
Vnesite naslov podatkovne zbirke in račun za dostop do ključnega podatkovnega skladišča HDS: | ||||||||||||
12 |
Izberite način povezave s podatkovno bazo TLS:
Ko naložite korensko potrdilo (če je potrebno) in kliknete Nadaljuj, orodje HDS Setup Tool preizkusi povezavo TLS s strežnikom podatkovne zbirke. Orodje preveri tudi podpisnika potrdila in ime gostitelja, če je primerno. Če test ni uspešen, orodje prikaže sporočilo o napaki z opisom težave. Odločite se lahko, ali boste napako prezrli in nadaljevali z nastavitvijo. (Zaradi razlik v povezljivosti lahko vozlišča HDS vzpostavijo povezavo TLS, čeprav je naprava HDS Setup Tool ne more uspešno preizkusiti.) | ||||||||||||
13 |
Na strani Sistemski dnevniki konfigurirajte strežnik Syslogd: | ||||||||||||
14 |
(Neobvezno) Privzeto vrednost nekaterih parametrov povezave s podatkovno bazo lahko spremenite v razdelku Dodatne nastavitve. Na splošno je ta parameter edini, ki ga boste morda želeli spremeniti: | ||||||||||||
15 |
Kliknite Nadaljuj na zaslonu Ponastavitev gesla za storitvene račune . Gesla za storitvene račune imajo devetmesečno življenjsko dobo. Ta zaslon uporabite, ko geslom poteče veljavnost ali jih želite ponastaviti, da razveljavite prejšnje datoteke ISO. | ||||||||||||
16 |
Kliknite Prenos datoteke ISO. Datoteko shranite na mesto, ki ga boste zlahka našli. | ||||||||||||
17 |
Naredite varnostno kopijo datoteke ISO v lokalnem sistemu. Varnostno kopijo hranite na varnem. Ta datoteka vsebuje glavni šifrirni ključ za vsebino zbirke podatkov. Omejite dostop samo tistim skrbnikom programa Hybrid Data Security, ki morajo izvajati spremembe konfiguracije. | ||||||||||||
18 |
Če želite zaustaviti orodje Setup, vnesite |
Kaj storiti naprej
Ustvarite varnostno kopijo konfiguracijske datoteke ISO. Potrebujete ga za ustvarjanje več vozlišč za obnovitev ali za spreminjanje konfiguracije. Če izgubite vse kopije datoteke ISO, ste izgubili tudi glavni ključ. Obnovitev ključev iz podatkovne zbirke PostgreSQL ali Microsoft SQL Server ni mogoča.
Nikoli nimamo kopije tega ključa in vam ne moremo pomagati, če ga izgubite. |
Namestitev HDS Host OVA
1 |
Z odjemalcem VMware vSphere v računalniku se prijavite v navidezni gostitelj ESXi. | ||||||
2 |
Izberite Datoteka > Namestitev predloge OVF. | ||||||
3 |
V čarovniku določite lokacijo datoteke OVA, ki ste jo prenesli prej, in kliknite Next. | ||||||
4 |
Na strani Select a name and folder vnesite Virtual machine name za vozlišče (na primer "HDS_Node_1"), izberite lokacijo, kjer se lahko nahaja namestitev vozlišča virtualnega stroja, in nato kliknite Next. | ||||||
5 |
Na strani Select a compute resource izberite ciljni računski vir in kliknite Next. Izvede se preverjanje veljavnosti. Ko se zaključi, se prikažejo podrobnosti o predlogi. | ||||||
6 |
Preverite podrobnosti predloge in kliknite Next. | ||||||
7 |
Če morate na strani Configuration izbrati konfiguracijo virov, kliknite 4 CPU in nato kliknite Next. | ||||||
8 |
Na strani Select storage kliknite Next , da sprejmete privzeto obliko diska in politiko shranjevanja VM. | ||||||
9 |
Na strani Izberite omrežja s seznama vnosov izberite možnost omrežja, ki zagotavlja želeno povezljivost z VM. | ||||||
10 |
Na strani Prilagodi predlogo konfigurirajte naslednje omrežne nastavitve:
Če želite, lahko preskočite konfiguracijo omrežnih nastavitev in za konfiguracijo nastavitev iz konzole vozlišča sledite korakom v razdelku Set up the Hybrid Data Security VM .
| ||||||
11 |
Z desno tipko miške kliknite vozlišče VM in izberite .Programska oprema Hybrid Data Security je nameščena kot gost v gostitelju VM. Zdaj se lahko prijavite v konzolo in konfigurirate vozlišče. Nasveti za odpravljanje težav Preden se zabojniki vozlišča prikažejo, lahko pride do nekajminutne zamude. Med prvim zagonom, med katerim se ne morete prijaviti, se na konzoli prikaže sporočilo o požarnem zidu mostu. |
Nastavitev hibridnega VM za varnost podatkov
S tem postopkom se prvič prijavite v konzolo VM vozlišča Hybrid Data Security in nastavite poverilnice za prijavo. V konzoli lahko tudi konfigurirate omrežne nastavitve za vozlišče, če jih niste konfigurirali ob namestitvi OVA.
1 |
V odjemalcu VMware vSphere izberite VM vozlišča Hybrid Data Security in zavihek Console . VM se zažene in pojavi se poziv za prijavo. Če se poziv za prijavo ne prikaže, pritisnite Enter.
|
2 |
Za prijavo in spremembo poverilnic uporabite naslednje privzeto uporabniško ime in geslo: Ker se prvič prijavljate v svoj virtualni stroj, morate spremeniti skrbniško geslo. |
3 |
Če ste omrežne nastavitve že konfigurirali v razdelku Namestitev HDS Host OVA, preskočite preostanek tega postopka. V nasprotnem primeru v glavnem meniju izberite možnost Edit Configuration . |
4 |
Nastavite statično konfiguracijo z naslovom IP, masko, prehodom in informacijami DNS. Vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt. |
5 |
(Neobvezno) Po potrebi spremenite ime gostitelja, domeno ali strežnik(-e) NTP, da bo ustrezal vaši politiki omrežja. Domene ni treba nastaviti tako, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509. |
6 |
Shranite omrežno konfiguracijo in ponovno zaženite VM, da bodo spremembe začele veljati. |
Prenos in namestitev konfiguracijskega ISO HDS
Preden začnete
Ker je v datoteki ISO shranjen glavni ključ, mora biti izpostavljen le na podlagi "potrebe po seznanitvi", in sicer za dostop hibridnih virtualnih strojev za varnost podatkov in vseh skrbnikov, ki bi morda morali uvesti spremembe. Prepričajte se, da lahko do podatkovnega skladišča dostopajo samo ti skrbniki.
1 |
Datoteko ISO prenesite iz računalnika: |
2 |
Namestite datoteko ISO: |
Kaj storiti naprej
Če to zahteva vaš pravilnik IT, lahko po želji odstranite datoteko ISO, ko vsa vozlišča prevzamejo spremembe konfiguracije. Za podrobnosti glejte (Optional) Unmount ISO After HDS Configuration .
Konfiguracija vozlišča HDS za integracijo proxy
Če omrežno okolje zahteva posrednika, s tem postopkom določite vrsto posrednika, ki ga želite integrirati s sistemom Hybrid Data Security. Če izberete pregledni pregledovalni posrednik ali eksplicitni posrednik HTTPS, lahko za prenos in namestitev korenskega potrdila uporabite vmesnik vozlišča. V vmesniku lahko preverite tudi povezavo proxy in odpravite morebitne težave.
Preden začnete
-
Za pregled podprtih možnosti posredniškega strežnika glejte Proxy Support .
1 |
V spletni brskalnik vnesite URL za nastavitev vozlišča HDS |
2 |
Pojdite na Trust Store & Proxy, nato pa izberite možnost:
Sledite naslednjim korakom za pregledni pregledovalni posrednik, izrecni posrednik HTTP z osnovnim preverjanjem pristnosti ali izrecni posrednik HTTPS. |
3 |
Kliknite Upload a Root Certificate or End Entity Certificate, nato pa se pomaknite do in izberite korensko potrdilo za posrednika. Potrdilo je naloženo, vendar še ni nameščeno, saj morate vozlišče znova zagnati, da bi namestili potrdilo. Če želite dobiti več podrobnosti, kliknite šivankino puščico ob imenu izdajatelja potrdila ali kliknite Delete , če ste se zmotili in želite ponovno naložiti datoteko. |
4 |
Kliknite Check Proxy Connection , da preverite omrežno povezljivost med vozliščem in posrednikom. Če preizkus povezave ni uspešen, se prikaže sporočilo o napaki, v katerem je naveden razlog in kako lahko težavo odpravite. Če se prikaže sporočilo, da zunanja resolucija DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS. Ta pogoj je pričakovan v številnih konfiguracijah eksplicitnih posrednikov. Nadaljujete lahko z nastavitvijo in vozlišče bo delovalo v načinu blokirane zunanje resolucije DNS. Če menite, da gre za napako, dokončajte te korake in si oglejte spletno mesto Turn off Blocked External DNS Resolution Mode. |
5 |
Ko je test povezave uspešno opravljen, za eksplicitni posrednik, nastavljen samo na https, vklopite preklopno stikalo na . Vse zahteve https na vratih 443/444 iz tega vozlišča usmerite prek eksplicitnega posrednika. Ta nastavitev začne učinkovati šele po 15 sekundah. |
6 |
Kliknite Install All Certificates Into the Trust Store (Namesti vsa potrdila v shrambo zaupanja) (prikaže se pri eksplicitnem posredniku HTTPS ali preglednem pregledovalnem posredniku) ali Reboot (Ponovni zagon) (prikaže se pri eksplicitnem posredniku HTTP), preberite poziv in nato kliknite Install , če ste pripravljeni. Vozlišče se ponovno zažene v nekaj minutah. |
7 |
Po ponovnem zagonu vozlišča se po potrebi znova prijavite in odprite stran Overview ter preverite preverjanja povezljivosti in se prepričajte, da so vsa v zelenem stanju. Pri preverjanju povezave s posrednikom se preveri samo poddomena webex.com. Če pride do težav s povezljivostjo, je pogosta težava ta, da so nekatere domene v oblaku, navedene v navodilih za namestitev, blokirane v posredniškem strežniku. |
Registracija prvega vozlišča v gruči
Ko registrirate prvo vozlišče, ustvarite gručo, v katero je vozlišče dodeljeno. Grozd vsebuje eno ali več vozlišč, nameščenih za zagotavljanje redundance.
Preden začnete
-
Ko začnete registracijo vozlišča, jo morate dokončati v 60 minutah, sicer morate začeti znova.
-
Prepričajte se, da so blokatorji pojavnih oken v brskalniku onemogočeni ali da ste dovolili izjemo za admin.webex.com.
1 |
Prijavite se na https://admin.webex.com. |
2 |
V meniju na levi strani zaslona izberite Storitve. |
3 |
V razdelku Hibridne storitve poiščite možnost Hibridna varnost podatkov in kliknite Set up. Prikaže se stran Register Hybrid Data Security Node.
|
4 |
Izberite Yes , da označite, da ste nastavili vozlišče in ste ga pripravljeni registrirati, nato pa kliknite Next. |
5 |
V prvo polje vnesite ime gruče, ki ji želite dodeliti vozlišče Hybrid Data Security. Priporočamo, da gručo poimenujete glede na geografsko lokacijo vozlišč v gruči. Primeri: "San Francisco" ali "New York" ali "Dallas". |
6 |
V drugo polje vnesite notranji naslov IP ali polno kvalificirano domensko ime (FQDN) svojega vozlišča in kliknite Next. Ta naslov IP ali FQDN se mora ujemati z naslovom IP ali imenom gostitelja in domeno, ki ste jih uporabili v Nastavitev hibridnega VM za varnost podatkov. Prikaže se sporočilo, da lahko vozlišče registrirate v Webex.
|
7 |
Kliknite Pojdi na vozlišče. |
8 |
V opozorilnem sporočilu kliknite Nadaljuj . Po nekaj trenutkih boste preusmerjeni na teste povezljivosti vozlišča za storitve Webex. Če so vsi preskusi uspešni, se prikaže stran Dovolite dostop do vozlišča hibridne varnosti podatkov. Tam potrdite, da želite organizaciji Webex dodeliti dovoljenja za dostop do vašega vozlišča.
|
9 |
Označite potrditveno polje Allow Access to Your Hybrid Data Security Node in kliknite Continue. Vaš račun je potrjen in sporočilo "Registracija je končana" označuje, da je vaše vozlišče zdaj registrirano v oblaku Webex.
|
10 |
Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Control Hub Hybrid Data Security. Na strani Hybrid Data Security je prikazana nova gruča, ki vsebuje vozlišče, ki ste ga registrirali. Vozlišče bo samodejno preneslo najnovejšo programsko opremo iz oblaka.
|
Ustvarjanje in registracija več vozlišč
Trenutno so rezervni virtualni stroji, ki ste jih ustvarili v Complete the Prerequisites for Hybrid Data Security , rezervni gostitelji, ki se uporabljajo samo v primeru obnovitve po nesreči; do takrat niso registrirani v sistemu. Za podrobnosti glejte Obnovitev po katastrofi z uporabo rezervnega podatkovnega središča. |
Preden začnete
-
Ko začnete registracijo vozlišča, jo morate dokončati v 60 minutah, sicer morate začeti znova.
-
Prepričajte se, da so blokatorji pojavnih oken v brskalniku onemogočeni ali da ste dovolili izjemo za admin.webex.com.
1 |
Ustvarite nov virtualni stroj iz OVA in ponovite korake v poglavju Namestitev HDS Host OVA. |
2 |
Nastavite začetno konfiguracijo v novem virtualnem stroju, pri čemer ponovite korake iz Set up the Hybrid Data Security VM (Nastavitev hibridnega virtualnega stroja za varnost podatkov). |
3 |
V novem virtualnem stroju ponovite korake iz poglavja Naložite in namestite konfiguracijski ISO HDS. |
4 |
Če za namestitev nastavljate posrednika, ponovite korake v Configure the HDS Node for Proxy Integration , kot je potrebno za novo vozlišče. |
5 |
Registrirajte vozlišče. Vozlišče je registrirano. Upoštevajte, da dokler ne začnete poskusnega delovanja, vozlišča ustvarjajo alarm, ki označuje, da vaša storitev še ni aktivirana.
|
Kaj storiti naprej
Potek opravil od poskusnega do proizvodnega postopka
Ko nastavite gručo Hybrid Data Security, lahko zaženete pilotni projekt, vanjo dodate uporabnike in jo začnete uporabljati za preizkušanje in preverjanje svoje namestitve v okviru priprav na prehod v produkcijo.
Preden začnete
1 |
Če je primerno, sinhronizirajte objekt skupine Če vaša organizacija uporablja sinhronizacijo imenikov za uporabnike, morate za sinhronizacijo v oblak izbrati objekt skupine |
2 |
Aktivirajte poskusno različico Začnite poskusno preskušanje. Dokler ne opravite tega opravila, vozlišča ustvarijo alarm, ki označuje, da storitev še ni aktivirana. |
3 |
Preizkusite namestitev hibridne varnosti podatkov Preverite, ali so ključne zahteve posredovane v hibridno namestitev za varnost podatkov. |
4 |
Spremljanje stanja varnosti hibridnih podatkov Preverite stanje in nastavite e-poštna obvestila za alarme. |
5 | |
6 |
Poskusno fazo zaključite z enim od naslednjih dejanj: |
Aktivirajte poskusno različico
Preden začnete
Če vaša organizacija uporablja sinhronizacijo imenikov za uporabnike, morate izbrati objekt skupine HdsTrialGroup
za sinhronizacijo v oblak, preden lahko zaženete poskusno različico za svojo organizacijo. Navodila so na voljo v Vodniku za namestitev za Cisco Directory Connector na spletnem mestu .
1 |
Prijavite se v spletno stran https://admin.webex.com in nato izberite Storitve. |
2 |
V razdelku Hibridna varnost podatkov kliknite Settings. |
3 |
V razdelku Status storitve kliknite Start Trial. Status storitve se spremeni v poskusni način.
|
4 |
Kliknite Dodaj uporabnike in vnesite e-poštni naslov enega ali več uporabnikov, ki bodo poskusno uporabljali vaša vozlišča Hybrid Data Security za storitve šifriranja in indeksiranja. (Če vaša organizacija uporablja sinhronizacijo imenikov, za upravljanje poskusne skupine uporabite imenik Active Directory, |
Preizkusite namestitev hibridne varnosti podatkov
Preden začnete
-
Nastavite namestitev hibridne varnosti podatkov.
-
Aktivirajte poskusno različico in dodajte več poskusnih uporabnikov.
-
Zagotovite si dostop do dnevnika syslog, da preverite, ali so zahteve za ključe posredovane v namestitev hibridnega varovanja podatkov.
1 |
Ključe za določen prostor določi njegov ustvarjalec. Prijavite se v aplikacijo Webex kot eden od pilotnih uporabnikov, nato pa ustvarite prostor in povabite vsaj enega pilotnega in enega nepilotnega uporabnika.
| ||
2 |
Pošljite sporočila v nov prostor. | ||
3 |
Preverite izhod sysloga, da preverite, ali so zahteve za ključe posredovane vaši namestitvi Hybrid Data Security. |
Spremljanje stanja varnosti hibridnih podatkov
1 |
V nadzornem središču Control Hub z menija na levi strani zaslona izberite Services . |
2 |
V razdelku Hibridne storitve poiščite Hibridna varnost podatkov in kliknite Nastavitve. Prikaže se stran Hybrid Data Security Settings (Nastavitve varnosti hibridnih podatkov).
|
3 |
V razdelku E-poštna obvestila vnesite enega ali več e-poštnih naslovov, ločenih z vejicami, in pritisnite Enter. |
Dodajanje ali odstranjevanje uporabnikov iz poskusa
Če uporabnika odstranite iz poskusnega obdobja, bo njegov odjemalec zahteval ključe in ustvarjanje ključev iz sistema KMS v oblaku namesto iz vašega sistema KMS. Če odjemalec potrebuje ključ, ki je shranjen v vaši KMS, ga KMS v oblaku pridobi v imenu uporabnika.
Če vaša organizacija uporablja sinhronizacijo imenikov, za upravljanje poskusne skupine uporabite Active Directory (namesto tega postopka), HdsTrialGroup
; člane skupine si lahko ogledate v Control Hubu, vendar jih ne morete dodajati ali odstranjevati.
1 |
Prijavite se v Control Hub in izberite Services. |
2 |
V razdelku Hibridna varnost podatkov kliknite Settings. |
3 |
V razdelku Poskusni način (Trial Mode) na področju Stanje storitve kliknite Dodajanje uporabnikov (Add Users) ali kliknite Pogled in urejanje (view and edit) , če želite odstraniti uporabnike iz poskusnega obdobja. |
4 |
Vnesite e-poštni naslov enega ali več uporabnikov, ki jih želite dodati, ali kliknite X ob ID uporabnika, če želite uporabnika odstraniti iz preizkusa. Nato kliknite Save. |
Prehod iz poskusnega v proizvodni proces
1 |
Prijavite se v Control Hub in izberite Services. |
2 |
V razdelku Hibridna varnost podatkov kliknite Settings. |
3 |
V razdelku Status storitve kliknite Move to Production. |
4 |
Potrdite, da želite vse uporabnike premakniti v produkcijo. |
Zaključite poskusno različico brez prehoda v produkcijo
1 |
Prijavite se v Control Hub in izberite Services. |
2 |
V razdelku Hibridna varnost podatkov kliknite Settings. |
3 |
V razdelku Deaktivirati kliknite Deaktivirati. |
4 |
Potrdite, da želite deaktivirati storitev in končati poskusno obdobje. |
Upravljanje namestitve HDS
Z nalogami, opisanimi v tem poglavju, upravljate uvajanje hibridnega varovanja podatkov.
Nastavitev urnika nadgradnje gruče
Nastavitev urnika nadgradnje:
1 |
Prijavite se v nadzorno vozlišče. |
2 |
Na strani s pregledom v razdelku Hibridne storitve izberite Hibridna varnost podatkov. |
3 |
Na strani Sredstva za hibridno varnost podatkov izberite gručo. |
4 |
Na desni strani plošče s pregledom v razdelku Nastavitve gruče izberite ime gruče. |
5 |
Na strani z nastavitvami v razdelku Nadgradnja izberite čas in časovni pas za urnik nadgradnje. Opomba: Pod časovnim pasom se prikaže naslednji razpoložljivi datum in ura nadgradnje. Nadgradnjo lahko po potrebi preložite na naslednji dan, tako da kliknete Postpone. |
Spreminjanje konfiguracije vozlišča
-
spreminjanje potrdil x.509 zaradi poteka veljavnosti ali drugih razlogov.
Ne podpiramo spreminjanja imena domene CN potrdila. Domena se mora ujemati s prvotno domeno, ki je bila uporabljena za registracijo gruče.
-
Posodabljanje nastavitev podatkovne zbirke za spremembo na repliko podatkovne zbirke PostgreSQL ali Microsoft SQL Server.
Ne podpiramo prenosa podatkov iz PostgreSQLa v Microsoft SQL Server ali obratno. Če želite zamenjati okolje podatkovne zbirke, začnite novo uvajanje hibridne varnosti podatkov.
-
Ustvarjanje nove konfiguracije za pripravo novega podatkovnega središča.
Poleg tega družba Hybrid Data Security zaradi varnosti uporablja gesla za storitvene račune z devetmesečno življenjsko dobo. Ko orodje HDS Setup ustvari ta gesla, jih namestite v vsako vozlišče HDS v konfiguracijski datoteki ISO. Ko geslom vaše organizacije poteče veljavnost, prejmete obvestilo od ekipe Webex, da ponastavite geslo za svoj račun naprave. (E-poštno sporočilo vsebuje besedilo: "Za posodobitev gesla uporabite vmesnik API strojnega računa.") Če veljavnost gesel še ni potekla, vam orodje ponudi dve možnosti:
-
Mehka ponastavitev- Staro in novo geslo delujeta do 10 dni. To obdobje uporabite za postopno zamenjavo datoteke ISO v vozliščih.
-
Trda ponastavitev-Stara gesla takoj prenehajo delovati.
Če gesla potečejo brez ponastavitve, to vpliva na storitev HDS in zahteva takojšnjo trdo ponastavitev in zamenjavo datoteke ISO v vseh vozliščih.
S tem postopkom ustvarite novo konfiguracijsko datoteko ISO in jo uporabite v gruči.
Preden začnete
-
Orodje HDS Setup se zažene kot vsebnik Docker v lokalnem računalniku. Če želite do njega dostopati, zaženite program Docker v tem računalniku. Postopek namestitve zahteva poverilnice računa Control Hub s polnimi skrbniškimi pravicami za vašo organizacijo.
Če se orodje HDS Setup v vašem okolju izvaja za posrednikom, določite nastavitve posrednika (strežnik, vrata, poverilnice) s spremenljivkami okolja Docker, ko zaženete vsebnik Docker v 1.e. V tej tabeli so navedene nekatere možne spremenljivke okolja:
Opis
Spremenljivka
Proxy strežnik HTTP brez avtentikacije
GLOBALNO_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS brez avtentikacije
GLOBALNO_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Proxy strežnik HTTP z avtentikacijo
GLOBALNO_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS z avtentikacijo
GLOBALNO_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Za ustvarjanje nove konfiguracije potrebujete kopijo datoteke ISO trenutne konfiguracije. ISO vsebuje glavni ključ za šifriranje podatkovne zbirke PostgreSQL ali Microsoft SQL Server. ISO potrebujete, ko spreminjate konfiguracijo, vključno s poverilnicami podatkovne zbirke, posodobitvami potrdil ali spremembami politike avtorizacije.
1 |
V lokalnem računalniku z uporabo programa Docker zaženite orodje za namestitev HDS. |
2 |
Če imate samo eno vozlišče HDS, na katerem teče, ustvarite novo hibridno vozlišče Hybrid Data Security VM in ga registrirajte z novo konfiguracijsko datoteko ISO. Za podrobnejša navodila glejte Ustvari in registriraj več vozlišč. |
3 |
Za obstoječa vozlišča HDS, ki uporabljajo starejšo konfiguracijsko datoteko, namestite datoteko ISO. Naslednji postopek izvedite na vsakem vozlišču zapored, pri čemer posodobite vsako vozlišče, preden izklopite naslednje vozlišče: |
4 |
Ponovite korak 3 in zamenjajte konfiguracijo na vsakem preostalem vozlišču, na katerem je nameščena stara konfiguracija. |
Izklopite način blokiranega zunanjega DNS razreševanja
Ko registrirate vozlišče ali preverite konfiguracijo posredniškega strežnika vozlišča, postopek preizkusi iskanje DNS in povezljivost z oblakom Cisco Webex. Če strežnik DNS vozlišča ne more razrešiti javnih imen DNS, vozlišče samodejno preklopi v način blokiranega zunanjega razreševanja DNS.
Če lahko vozlišča razrešijo javna imena DNS prek notranjih strežnikov DNS, lahko ta način izklopite tako, da v vsakem vozlišču ponovno zaženete preskus povezave proxy.
Preden začnete
1 |
V spletnem brskalniku odprite vmesnik vozlišča Hybrid Data Security (na primer IP naslov/nastavitev, https://192.0.2.0/setup), vnesite poverilnice skrbnika, ki ste jih nastavili za vozlišče, in nato kliknite Prijava. |
2 |
Pojdite na Pregled (privzeta stran). Ko je omogočeno, je Blokirana zunanja resolucija DNS nastavljena na Da. |
3 |
Pojdite na stran Trust Store & Proxy . |
4 |
Kliknite Preverite povezavo proxy. Če se prikaže sporočilo, da zunanja resolucija DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS in bo ostalo v tem načinu. V nasprotnem primeru morate po ponovnem zagonu vozlišča in vrnitvi na stran Overview nastaviti možnost Blocked External DNS Resolution na ne. |
Kaj storiti naprej
Odstranitev vozlišča
1 |
Z odjemalcem VMware vSphere v računalniku se prijavite v navidezni gostitelj ESXi in izklopite navidezni stroj. |
2 |
Odstranite vozlišče: |
3 |
V odjemalcu vSphere izbrišite VM. (V levem navigacijskem podoknu z desno tipko miške kliknite VM in kliknite Delete.) Če VM ne izbrišete, ne pozabite odstraniti konfiguracijske datoteke ISO. Brez datoteke ISO ne morete uporabiti VM za dostop do varnostnih podatkov. |
Obnovitev po nesreči z uporabo rezervnega podatkovnega centra
Najpomembnejša storitev, ki jo zagotavlja vaša gruča za hibridno varnost podatkov, je ustvarjanje in shranjevanje ključev, ki se uporabljajo za šifriranje sporočil in druge vsebine, shranjene v oblaku Webex. Za vsakega uporabnika v organizaciji, ki je dodeljen hibridnemu varovanju podatkov, se v gručo posredujejo zahteve za ustvarjanje novih ključev. Grozd je odgovoren tudi za vračanje ključev, ki jih je ustvaril, vsem uporabnikom, ki so pooblaščeni za njihovo pridobitev, na primer članom prostora za pogovore.
Ker gruča opravlja ključno funkcijo zagotavljanja teh ključev, je nujno, da deluje in da se vzdržujejo ustrezne varnostne kopije. Izguba podatkovne zbirke Hybrid Data Security ali konfiguracijskega ISO, ki se uporablja za shemo, bo povzročila NEODSTRANJIVO izgubo vsebine stranke. Da bi preprečili takšno izgubo, je treba upoštevati naslednje prakse:
Če zaradi nesreče namestitev HDS v primarnem podatkovnem središču postane nerazpoložljiva, po tem postopku ročno preklopite na rezervno podatkovno središče.
1 |
Zagon orodja HDS Setup in sledite korakom, navedenim v Create a Configuration ISO for the HDS Hosts. | ||
2 |
Ko konfigurirate strežnik Syslogd, kliknite na Advanced Settings. | ||
3 |
Na strani Advanced Settings dodajte spodnjo konfiguracijo ali odstranite konfiguracijo
| ||
4 |
Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga boste zlahka našli. | ||
5 |
Naredite varnostno kopijo datoteke ISO v lokalnem sistemu. Varnostno kopijo hranite na varnem. Ta datoteka vsebuje glavni šifrirni ključ za vsebino zbirke podatkov. Omejite dostop samo tistim skrbnikom programa Hybrid Data Security, ki morajo izvajati spremembe konfiguracije. | ||
6 |
V levem navigacijskem podoknu odjemalca VMware vSphere desno kliknite na VM in kliknite Edit Settings.. | ||
7 |
Kliknite Edit Settings >CD/DVD Drive 1 in izberite Datastore ISO File.
| ||
8 |
Vključite vozlišče HDS in se prepričajte, da vsaj 15 minut ni alarmov. | ||
9 |
Postopek ponovite za vsa vozlišča v rezervnem podatkovnem središču.
|
Kaj storiti naprej
(Neobvezno) Odstranitev namestitve ISO po konfiguraciji HDS
Standardna konfiguracija HDS deluje z nameščenim ISO. Vendar nekatere stranke raje ne puščajo datotek ISO neprekinjeno nameščenih. Datoteko ISO lahko odstranite, ko vsa vozlišča HDS prevzamejo novo konfiguracijo.
Za spreminjanje konfiguracije še vedno uporabljate datoteke ISO. Ko ustvarite nov ISO ali posodobite ISO z orodjem za namestitev, morate posodobljeni ISO namestiti na vsa vozlišča HDS. Ko vsa vozlišča prevzamejo spremembe konfiguracije, lahko s tem postopkom ponovno odstranite namestitev ISO.
Preden začnete
Nadgradite vsa vozlišča HDS na različico 2021.01.22.4720 ali novejšo.
1 |
Izklopite eno od vozlišč HDS. |
2 |
V napravi vCenter Server Appliance izberite vozlišče HDS. |
3 |
Izberite Datastore ISO File. in odstranite kljukico |
4 |
Vključite vozlišče HDS in se prepričajte, da vsaj 20 minut ni alarmov. |
5 |
Ponovite za vsako vozlišče HDS po vrsti. |
Oglejte si opozorila in odpravite težave
Hibridna namestitev varovanja podatkov se šteje za nedostopno, če vsa vozlišča v gruči niso dosegljiva ali če gruča deluje tako počasi, da se zahteve prekinejo. Če uporabniki ne morejo doseči gruče Hybrid Data Security, se pojavijo naslednji simptomi:
-
Ni mogoče ustvariti novih prostorov (ni mogoče ustvariti novih ključev)
-
Sporočila in naslovi prostora niso dešifrirani:
-
V prostor so dodani novi uporabniki (ni mogoče pridobiti ključev)
-
obstoječi uporabniki v prostoru, ki uporabljajo novega odjemalca (ne morejo pridobiti ključev)
-
-
Obstoječi uporabniki v prostoru bodo še naprej uspešno delovali, dokler bodo njihovi odjemalci imeli predpomnilnik šifrirnih ključev.
Pomembno je, da ustrezno spremljate svojo gručo Hybrid Data Security in takoj obravnavate vsa opozorila, da ne pride do motenj v delovanju.
Opozorila
Če pride do težave z nastavitvijo hibridne varnosti podatkov, vozlišče Control Hub prikaže opozorila skrbniku organizacije in pošlje e-poštna sporočila na konfigurirani e-poštni naslov. Opozorila zajemajo številne pogoste scenarije.
Opozorilo |
Dejanje |
---|---|
Neuspešen dostop do lokalne zbirke podatkov. |
Preverite napake v zbirki podatkov ali težave v lokalnem omrežju. |
Neuspešna povezava z lokalno zbirko podatkov. |
Preverite, ali je strežnik zbirke podatkov na voljo in ali so bili pri konfiguraciji vozlišča uporabljeni pravilni poverilnice servisnega računa. |
Napaka pri dostopu do storitev v oblaku. |
Preverite, ali lahko vozlišča dostopajo do strežnikov Webex, kot je določeno v Zahteve za zunanjo povezljivost. |
Podaljšanje registracije storitve v oblaku. |
Registracija v storitve v oblaku je bila ukinjena. Podaljšanje registracije je v teku. |
Registracija storitve v oblaku je bila prekinjena. |
Registracija v storitve v oblaku je prekinjena. Storitev se ustavi. |
Storitev še ni aktivirana. |
Aktivirajte poskusno različico ali dokončajte prenos poskusne različice v produkcijo. |
Konfigurirana domena se ne ujema s certifikatom strežnika. |
Prepričajte se, da se potrdilo strežnika ujema z nastavljeno domeno za aktivacijo storitve. Najverjetnejši vzrok je, da je bil CN potrdila nedavno spremenjen in se zdaj razlikuje od CN, ki je bil uporabljen med začetno nastavitvijo. |
Neuspešno preverjanje pristnosti v storitvah v oblaku. |
Preverite točnost in morebitno prenehanje veljavnosti poverilnic storitvenega računa. |
Ni uspelo odpreti lokalne datoteke s ključi. |
Preverite celovitost in točnost gesla v lokalni datoteki shrambe ključev. |
Potrdilo lokalnega strežnika je neveljavno. |
Preverite datum poteka veljavnosti potrdila strežnika in potrdite, da ga je izdal zaupanja vreden organ za potrjevanje. |
Ni mogoče objaviti metrike. |
Preverite dostop lokalnega omrežja do zunanjih storitev v oblaku. |
imenik /media/configdrive/hds ne obstaja. |
Preverite konfiguracijo priklopa ISO v navideznem gostitelju. Preverite, ali datoteka ISO obstaja, ali je konfigurirana za namestitev ob ponovnem zagonu in ali se uspešno namesti. |
Odpravljanje težav z varnostjo hibridnih podatkov
1 |
V vozlišču Control Hub preverite morebitna opozorila in popravite vse elemente, ki jih tam najdete. |
2 |
V izhodu strežnika syslog si oglejte dejavnosti iz namestitve Hybrid Data Security. |
3 |
Kontaktirajte Ciscova podpora. |
Znane težave pri hibridni varnosti podatkov
-
Če zaustavite svojo gručo Hybrid Data Security (tako da jo izbrišete v nadzornem središču ali zaustavite vsa vozlišča), izgubite konfiguracijsko datoteko ISO ali izgubite dostop do podatkovne zbirke shrambe ključev, uporabniki aplikacije Webex ne morejo več uporabljati prostorov na seznamu Ljudje, ki so bili ustvarjeni s ključi iz vaše KMS. To velja za poskusne in produkcijske namestitve. Trenutno nimamo rešitve ali popravka za to težavo, zato vas pozivamo, da ne zapirate storitev HDS, ko te obdelujejo aktivne uporabniške račune.
-
Odjemalec, ki ima obstoječo povezavo ECDH s KMS, ohrani to povezavo za določen čas (verjetno eno uro). Ko uporabnik postane član hibridne poskusne zaščite podatkov, njegov odjemalec še naprej uporablja obstoječo povezavo ECDH, dokler se ta ne prekine. Uporabnik se lahko tudi odjavi in se ponovno prijavi v aplikacijo Webex App, da posodobi lokacijo, ki jo aplikacija kontaktira za šifrirne ključe.
Enako se obnašanje pojavi, ko poskusno različico premaknete v produkcijsko različico za organizacijo. Vsi uporabniki, ki niso v poskusni fazi, z obstoječimi povezavami ECDH s prejšnjimi storitvami za varnost podatkov bodo te storitve uporabljali še naprej, dokler se o povezavi ECDH ne bodo ponovno pogajali (s časovno omejitvijo ali z izpisom in ponovno prijavo).
Uporaba OpenSSL za generiranje datoteke PKCS12
Preden začnete
-
OpenSSL je eno od orodij, s katerim lahko datoteko PKCS12 pripravite v ustrezni obliki za nalaganje v orodju HDS Setup Tool. Obstajajo tudi drugi načini, zato ne podpiramo ali spodbujamo enega načina v primerjavi z drugim.
-
Če se odločite za uporabo OpenSSL, vam ta postopek zagotavljamo kot vodilo, ki vam bo pomagalo ustvariti datoteko, ki izpolnjuje zahteve za potrdilo X.509 v dokumentu X.509 Certificate Requirements (Zahteve za potrdilo X.509). Preden nadaljujete, razumite te zahteve.
-
Namestite OpenSSL v podprto okolje. Programsko opremo in dokumentacijo najdete na spletni strani https://www.openssl.org .
-
Ustvarite zasebni ključ.
-
Ta postopek začnite, ko prejmete strežniško potrdilo od overitelja potrdil (CA).
1 |
Ko od overitelja prejmete potrdilo strežnika, ga shranite kot |
2 |
Prikažite potrdilo kot besedilo in preverite podrobnosti.
|
3 |
Z urejevalnikom besedila ustvarite datoteko s svežnjem potrdil z imenom
|
4 |
Ustvarite datoteko .p12 s prijaznim imenom
|
5 |
Preverite podatke o potrdilu strežnika. |
Kaj storiti naprej
Nazaj na Izpolnite predpogoje za hibridno varnost podatkov. Datoteko hdsnode.p12
in geslo, ki ste ga nastavili zanjo, boste uporabili v Ustvarjanje konfiguracijskega ISO za gostitelje HDS.
Te datoteke lahko ponovno uporabite za zahtevek za novo potrdilo, ko poteče veljavnost prvotnega potrdila. |
Promet med vozlišči HDS in oblakom
Zbiranje izhodnih metričnih podatkov o prometu
Vozlišča hibridne varnosti podatkov pošiljajo določene metrike v oblak Webex. Mednje spadajo sistemske metrike za največjo kupo, uporabljeno kupo, obremenitev procesorja in število niti; metrike sinhronih in asinhronih niti; metrike opozoril, ki vključujejo prag šifrirnih povezav, zakasnitev ali dolžino čakalne vrste zahtev; metrike podatkovnega skladišča in metrike šifrirnih povezav. Vozlišča pošiljajo šifrirano gradivo ključa po kanalu zunaj pasu (ločeno od zahteve).
Vhodni promet
Vozlišča za hibridno varovanje podatkov prejemajo naslednje vrste vhodnega prometa iz oblaka Webex:
-
zahteve za šifriranje odjemalcev, ki jih usmerja storitev šifriranja.
-
Nadgradnje programske opreme vozlišča
Konfiguracija proxyjev Squid za hibridno varnost podatkov
Websocket se ne more povezati prek Squid Proxy
Proksi strežniki Squid, ki pregledujejo promet HTTPS, lahko ovirajo vzpostavitev povezav websocket (wss:
), ki jih zahteva sistem Hybrid Data Security. V teh razdelkih so navodila za konfiguracijo različnih različic Squida, da ignorira wss:
prometa za pravilno delovanje storitev.
Squid 4 in 5
Dodajte direktivo on_unsupported_protocol
v squid.conf
:
on_unsupported_protocol predor vse
Squid 3.5.27
Uspešno smo preizkusili hibridno varnost podatkov z naslednjimi pravili, dodanimi v squid.conf
. Ta pravila se lahko spremenijo, ko razvijamo funkcije in posodabljamo oblak Webex.
acl wssMercuryPovezava ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all
Nove in spremenjene informacije
Datum | Narejene spremembe | ||
---|---|---|---|
20 oktobra, 2023 |
| ||
Avgust 07, 2023 |
| ||
23 maja, 2023 |
| ||
06 decembra, 2022 |
| ||
23 novembra, 2022 |
| ||
13 oktobra, 2021 | Docker Desktop mora zagnati namestitveni program, preden lahko namestite vozlišča HDS. Glejte Zahteveza namizje Dockerja. | ||
Junij 24, 2021 | Upoštevajte, da lahko znova uporabite datoteko zasebnega ključa in CSR, da zahtevate drugo potrdilo. Za podrobnosti glejte Uporaba OpenSSL za ustvarjanje datoteke PKCS12. | ||
30 aprila, 2021 | Spremenili smo zahtevo za VM za prostor na trdem disku na lokalnem trdem disku na 30 GB. Za podrobnosti glejte Zahteve za virtualnega gostitelja. | ||
24 februarja, 2021 | HDS Setup Tool lahko zdaj deluje za proxyjem. Za podrobnosti glejte Ustvarjanje konfiguracijskega ISO za gostitelje HDS. | ||
2 februarja, 2021 | HDS lahko zdaj deluje brez nameščene datoteke ISO. Za podrobnosti glejte (izbirno) Odstranitev ISO po konfiguraciji HDS. | ||
11 januarja, 2021 | Dodane so bile informacije o orodju za nastavitev HDS in proxyjih za ustvarjanje konfiguracijskega ISO za gostiteljeHDS. | ||
13 oktobra, 2020 | Posodobljen prenos namestitvenih datotek. | ||
8 oktobra, 2020 | Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in spremenite konfiguracijo vozlišča z ukazi za okolja FedRAMP. | ||
Avgust 14, 2020 | Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in spremenite konfiguracijo vozlišča s spremembami postopka vpisa. | ||
Avgust 5, 2020 | Posodobljeno Preskusite uvedbo hibridne varnosti podatkov za spremembe v dnevniških sporočilih. Posodobljene zahteve za navideznega gostitelja, da odstranite največje število gostiteljev. | ||
16 junija, 2020 | Posodobljeno Odstranite vozlišče za spremembe v uporabniškem vmesniku nadzornega središča. | ||
4 junija, 2020 | Posodobljeno Ustvarjanje konfiguracije ISO za gostitelje HDS za spremembe v naprednih nastavitvah, ki jih morda nastavite. | ||
29 maja, 2020 | Posodobljeno »Ustvarjanje konfiguracijskega ISO-ja za gostitelje HDS«, ki prikazuje, da lahko TLS uporabljate tudi z zbirkami podatkov strežnika SQL Server, spremembami uporabniškega vmesnika in drugimi pojasnili. | ||
5 maja, 2020 | Posodobljene zahteve za navideznega gostitelja, da prikažejo nove zahteve ESXi 6.5. | ||
21 aprila, 2020 | Posodobljene zahteve za zunanjo povezljivost z novimi gostitelji CI v Ameriki. | ||
1 aprila, 2020 | Posodobljene zahteve za zunanjo povezljivost z informacijami o regionalnih gostiteljih CI. | ||
20 februarja, 2020 | Posodobljeno Ustvari konfiguracijski ISO za gostitelje HDS z informacijami o novem izbirnem zaslonu Napredne nastavitve v orodju za nastavitev HDS. | ||
4 februarja, 2020 | Posodobljene zahteveza strežnik proxy. | ||
16 decembra, 2019 | Pojasnjena je zahteva, da način blokiranega zunanjega razreševanja DNS deluje v zahtevahza strežnik proxy. | ||
19 novembra, 2019 | Dodane so bile informacije o načinu blokiranega zunanjega razreševanja DNS v teh razdelkih: | ||
8 novembra, 2019 | Zdaj lahko konfigurirate omrežne nastavitve za vozlišče med uvajanjem OVA in ne kasneje. V skladu s tem so bili posodobljeni naslednji razdelki:
| ||
6 septembra, 2019 | Dodane zahtevestrežnika SQL Server Standard v strežnik zbirke podatkov. | ||
Avgust 29, 2019 | Dodana je bila priloga Konfiguriraj proxyje lignjev za hibridno varnost podatkov z navodili za konfiguriranje proxyjev lignjev za ignoriranje prometa websocket za pravilno delovanje. | ||
20 avgusta, 2019 | Dodani in posodobljeni razdelki za podporo proxy za komunikacijo vozlišča Hybrid Data Security v oblaku Webex. Če želite dostopati samo do vsebine podpore za proxy za obstoječo uvedbo, si oglejte članek pomoči Podpora proxy za hibridno varnost podatkov in Webex Video Mesh . | ||
13 junija, 2019 | Posodobljen potek preskusnega v proizvodnem opravilu z opomnikom za sinhronizacijo HdsTrialGroup Združite predmet pred začetkom preskusne različice, če vaša organizacija uporablja sinhronizacijo imenika. | ||
6 marca, 2019 |
| ||
28 februarja, 2019 |
| ||
26 februarja, 2019 |
| ||
24 januarja, 2019 |
| ||
5 novembra, 2018 |
| ||
19 oktobra, 2018 |
| ||
Julij 31, 2018 |
| ||
21 maja, 2018 | Spremenjena terminologija, ki odraža preoblikovanje blagovne znamke Cisco Spark:
| ||
11 aprila, 2018 |
| ||
22 februarja, 2018 |
| ||
15 februarja, 2018 |
| ||
18 januarja, 2018 |
| ||
2 novembra, 2017 |
| ||
Avgust 18, 2017 | Prvič objavljeno |
Pregled hibridne varnosti podatkov
Od prvega dne je bila varnost podatkov glavni poudarek pri oblikovanju aplikacije Webex. Temelj te varnosti je šifriranje vsebine od konca do konca, ki ga omogočajo odjemalci aplikacije Webex, ki komunicirajo s storitvijo upravljanja ključev (KMS). Storitev upravljanja ključev je odgovorna za ustvarjanje in upravljanje kriptografskih ključev, ki jih odjemalci uporabljajo za dinamično šifriranje in dešifriranje sporočil in datotek.
Privzeto vse stranke aplikacije Webex dobijo šifriranje od konca do konca z dinamičnimi ključi, shranjenimi v KMS v oblaku v varnostnem kraljestvu Cisco. Hibridna varnost podatkov premakne KMS in druge funkcije, povezane z varnostjo, v podatkovno središče podjetja, tako da nihče razen vas nima ključev do vaše šifrirane vsebine.
Arhitektura varnostnega področja
Arhitektura oblaka Webex ločuje različne vrste storitev v ločena področja ali domene zaupanja, kot je prikazano spodaj.
Da bi bolje razumeli hibridno varnost podatkov, si najprej poglejmo ta čisti primer v oblaku, kjer Cisco zagotavlja vse funkcije v svojem oblaku. Storitev identitete, edino mesto, kjer so uporabniki lahko neposredno povezani s svojimi osebnimi podatki, kot je e-poštni naslov, je logično in fizično ločena od varnostnega področja v podatkovnem centru B. Oba sta ločena od področja, kjer je šifrirana vsebina na koncu shranjena, v podatkovnem centru C.
V tem diagramu je odjemalec aplikacija Webex, ki se izvaja na prenosnem računalniku uporabnika in je preverila pristnost s storitvijo identitete. Ko uporabnik sestavi sporočilo, ki ga pošlje v prostor, se izvedejo naslednji koraki:
Odjemalec vzpostavi varno povezavo s storitvijo za upravljanje ključev (KMS) in nato zahteva ključ za šifriranje sporočila. Varna povezava uporablja ECDH, KMS pa šifrira ključ z glavnim ključem AES-256.
Sporočilo je šifrirano, preden zapusti odjemalca. Odjemalec ga pošlje storitvi indeksiranja, ki ustvari šifrirane iskalne indekse za pomoč pri prihodnjih iskanjih vsebine.
Šifrirano sporočilo je poslano storitvi za skladnost s predpisi za preverjanje skladnosti.
Šifrirano sporočilo je shranjeno v območju shranjevanja.
Ko uvedete hibridno varnost podatkov, premaknete funkcije varnostnega področja (KMS, indeksiranje in skladnost s predpisi) v podatkovno središče na mestu uporabe. Druge storitve v oblaku, ki sestavljajo Webex (vključno z identiteto in shranjevanjem vsebine), ostajajo v Ciscovih domenah.
Sodelovanje z drugimi organizacijami
Uporabniki v vaši organizaciji lahko redno uporabljajo aplikacijo Webex za sodelovanje z zunanjimi udeleženci v drugih organizacijah. Ko eden od vaših uporabnikov zahteva ključ za prostor, ki je v lasti vaše organizacije (ker ga je ustvaril eden od vaših uporabnikov), vaš KMS pošlje ključ odjemalcu prek zaščitenega kanala ECDH. Ko pa ima ključ za prostor v lasti druga organizacija, vaš KMS usmeri zahtevo v oblak Webex prek ločenega kanala ECDH, da dobi ključ iz ustreznega KMS, nato pa ključ vrne uporabniku v prvotnem kanalu.
Storitev KMS, ki se izvaja v organizaciji A, preveri povezave s KMS v drugih organizacijah s potrdili x.509 PKI. Glejte Priprava okolja za podrobnosti o ustvarjanju potrdila x.509 za uporabo z uvedbo hibridne varnosti podatkov.
Pričakovanja glede uvedbe hibridne varnosti podatkov
Uvedba hibridne varnosti podatkov zahteva veliko zavezanost strank in zavedanje o tveganjih, ki jih prinaša lastništvo šifrirnih ključev.
Če želite uvesti hibridno varnost podatkov, morate zagotoviti:
Varno podatkovno središče v državi, ki je podprta lokacija za paketeCisco Webex Teams.
Oprema, programska oprema in dostop do omrežja, opisani v razdelku Priprava okolja.
Popolna izguba konfiguracijskega ISO-ja, ki ga ustvarite za hibridno varnost podatkov, ali zbirke podatkov, ki jo vnesete, bo povzročila izgubo ključev. Izguba ključa uporabnikom preprečuje dešifriranje vsebine prostora in drugih šifriranih podatkov v aplikaciji Webex. Če se to zgodi, lahko ustvarite novo uvedbo, vendar bo vidna le nova vsebina. Če se želite izogniti izgubi dostopa do podatkov, morate:
Upravljajte varnostno kopiranje in obnovitev zbirke podatkov ter konfiguracijski ISO.
Bodite pripravljeni na hitro obnovitev po nesreči, če pride do katastrofe, kot je okvara diska zbirke podatkov ali katastrofa podatkovnega centra.
Ni mehanizma za premikanje ključev nazaj v oblak po uvedbi HDS. |
Postopek namestitve na visoki ravni
Ta dokument zajema nastavitev in upravljanje uvedbe hibridne varnosti podatkov:
Nastavitev hibridne varnostipodatkov – to vključuje pripravo zahtevane infrastrukture in namestitev programske opreme za hibridno varnost podatkov, preizkušanje uvedbe s podnaborom uporabnikov v preskusnem načinu in prehod na produkcijo, ko je preskušanje končano. S tem se celotna organizacija pretvori v uporabo gruče hibridne varnosti podatkov za varnostne funkcije.
Nastavitevne, poskusne in proizvodne faze so podrobno obravnavane v naslednjih treh poglavjih.
Ohranite uvedbohibridne varnosti podatkov – oblak Webex samodejno zagotavlja stalne nadgradnje. Vaš oddelek za IT lahko zagotovi podporo prve stopnje za to uvedbo in po potrebi vključi podporo Cisco. Uporabite lahko obvestila na zaslonu in nastavite e-poštna opozorila v nadzornem središču.
Seznanite se z pogostimi opozorili, koraki za odpravljanje težav in znanimi težavami– če naletite na težave pri uvajanju ali uporabi hibridne varnosti podatkov, lahko težavo odkrijete in odpravite v zadnjem poglavju tega priročnika in dodatku Znane težave.
Model uvajanja hibridne varnosti podatkov
V podatkovnem središču podjetja uvedete hibridno varnost podatkov kot eno skupino vozlišč na ločenih virtualnih gostiteljih. Vozlišča komunicirajo z oblakom Webex prek varnih vtičnic in varnega protokola HTTP.
Med postopkom namestitve vam posredujemo datoteko OVA za nastavitev navidezne naprave na VM-jih, ki jih vključite. Z orodjem za namestitev HDS ustvarite datoteko ISO konfiguracije gruče po meri, ki jo namestite na vsako vozlišče. Grozda Hybrid Data Security uporablja vaš strežnik Syslogd in bazo podatkov PostgreSQL ali Microsoft SQL Server. (Podrobnosti o povezavi Syslogd in zbirki podatkov konfigurirate v orodju za namestitev HDS.)
Najmanjše število vozlišč, ki jih lahko imate v gruči, je dve. Priporočamo vsaj tri, lahko pa jih imate do pet. Več vozlišč zagotavlja, da storitev ni prekinjena med nadgradnjo programske opreme ali drugo vzdrževalno dejavnostjo na vozlišču. (Oblak Webex nadgrajuje samo eno vozlišče naenkrat.)
Vsa vozlišča v gruči dostopajo do istega shrambe podatkov s ključi in beležijo dejavnost v isti strežnik syslog. Vozlišča so brez stanja in obravnavajo ključne zahteve v krožnem načinu, kot ga usmerja oblak.
Vozlišča postanejo aktivna, ko jih registrirate v nadzornem središču. Če želite posamezno vozlišče izločiti iz uporabe, ga lahko odjavite in pozneje po potrebi znova registrirate.
Podpiramo samo eno skupino na organizacijo.
Preskusni način hibridne varnosti podatkov
Ko nastavite uvedbo hibridne varnosti podatkov, jo najprej poskusite z naborom pilotnih uporabnikov. V preskusnem obdobju ti uporabniki uporabljajo vašo domeno hibridne varnosti podatkov na mestu uporabe za šifrirne ključe in druge varnostne storitve področja. Drugi uporabniki še naprej uporabljajo varnostno področje v oblaku.
Če se odločite, da med preskusno različico ne boste nadaljevali z uvajanjem in deaktivirali storitev, bodo pilotni uporabniki in vsi uporabniki, s katerimi so v poskusnem obdobju sodelovali z ustvarjanjem novih prostorov, izgubili dostop do sporočil in vsebine. V aplikaciji Webex bodo videli »Tega sporočila ni mogoče dešifrirati«.
Če ste prepričani, da vaša uvedba dobro deluje za preskusne uporabnike in ste pripravljeni razširiti hibridno varnost podatkov na vse uporabnike, premaknite uvedbo v produkcijo. Pilotni uporabniki imajo še naprej dostop do ključev, ki so bili uporabljeni med preskusom. Vendar pa se ne morete premikati naprej in nazaj med proizvodnim načinom in prvotno preskusno različico. Če morate deaktivirati storitev, na primer za izvedbo obnovitve po katastrofi, morate ob ponovni aktivaciji začeti novo preskusno različico in nastaviti nabor pilotnih uporabnikov za novo preskusno različico, preden se vrnete v produkcijski način. Ali uporabniki na tej točki ohranijo dostop do podatkov, je odvisno od tega, ali ste uspešno vzdrževali varnostne kopije shrambe ključnih podatkov in konfiguracijske datoteke ISO za vozlišča hibridne varnosti podatkov v gruči.
Podatkovni center v stanju pripravljenosti za obnovitev po katastrofi
Med uvajanjem nastavite varno podatkovno središče v pripravljenosti. V primeru katastrofe podatkovnega centra lahko ročno preklopite uvajanje v podatkovni center v stanju pripravljenosti.
Podatkovne baze aktivnih podatkovnih centrov in podatkovnih centrov v stanju pripravljenosti so med seboj sinhronizirane, kar bo zmanjšalo čas, potreben za izvedbo preklopa na izpad. Datoteka ISO podatkovnega centra v pripravljenosti je posodobljena z dodatnimi konfiguracijami, ki zagotavljajo, da so vozlišča registrirana v organizaciji, vendar ne bodo obravnavala prometa. Zato vozlišča podatkovnega centra v pripravljenosti vedno ostanejo posodobljena z najnovejšo različico programske opreme HDS.
Aktivna vozlišča hibridne varnosti podatkov morajo biti vedno v istem podatkovnem središču kot aktivni strežnik baze podatkov. |
Nastavitev podatkovnega središča v stanju pripravljenosti za obnovitev po katastrofi
Sledite spodnjim korakom za konfiguracijo datoteke ISO podatkovnega središča v stanju pripravljenosti:
Preden začnete
Podatkovni center v pripravljenosti mora odražati proizvodno okolje VM-jev in varnostno kopijo baze podatkov PostgreSQL ali Microsoft SQL Server. Če ima na primer produkcija 3 virtualne računalnike, na katerih se izvajajo vozlišča HDS, mora imeti okolje za varnostno kopiranje 3 virtualne računalnike. (Za pregled tega modela preklopa v primeru nesreče glejte Podatkovni center v stanju pripravljenosti za obnovitev po katastrofi.)
Prepričajte se, da je sinhronizacija zbirke podatkov omogočena med zbirko podatkov aktivnih in pasivnih vozlišč gruče.
1 | Zaženite orodje za namestitev HDS in sledite korakom, navedenim v razdelku Ustvarjanje konfiguracijskega ISO za gostiteljeHDS.
| ||
2 | Po konfiguraciji strežnika Syslogd kliknite Napredne nastavitve | ||
3 | Na strani Napredne nastavitve dodajte spodnjo konfiguracijo, da vozlišče postavite v pasivni način. V tem načinu bo vozlišče registrirano v organizaciji in povezano z oblakom, vendar ne bo obravnavalo nobenega prometa.
| ||
4 | Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga je enostavno najti. | ||
5 | Naredite varnostno kopijo datoteke ISO v lokalnem sistemu. Varnostno kopijo hranite na varnem. Ta datoteka vsebuje glavni šifrirni ključ za vsebino zbirke podatkov. Omejite dostop samo na tiste skrbnike hibridne varnosti podatkov, ki morajo spremeniti konfiguracijo. | ||
6 | V levem podoknu za krmarjenje odjemalca VMware vSphere z desno tipko miške kliknite VM in kliknite Uredi nastavitve. | ||
7 | Kliknite Uredi nastavitve >pogon CD/DVD 1 in izberite Datoteka ISO za shranjevanje podatkov.
| ||
8 | Vklopite vozlišče HDS in se prepričajte, da vsaj 15 minut ni alarmov. | ||
9 | Ponovite postopek za vsako vozlišče v podatkovnem centru v stanju pripravljenosti.
|
Kaj storiti naprej
Po konfiguraciji passiveMode
v datoteki ISO in jo shranite, lahko ustvarite drugo kopijo datoteke ISO brez možnosti passiveMode
konfiguracijo in jo shranite na varno mesto. Ta kopija datoteke ISO brez passiveMode
Configured lahko pomaga pri hitrem postopku preklapljanja z izpadom med obnovo po katastrofi. Za podroben postopek preklapljanja z napako glejte Obnovitev po katastrofi z uporabo podatkovnega središča v stanju pripravljenosti.
Podpora za proxy
Hibridna varnost podatkov podpira eksplicitne, pregledne preglede in nepregledne strežnike proxy. Te strežnike proxy lahko povežete z uvajanjem, tako da lahko zavarujete in spremljate promet iz podjetja v oblak. Na vozliščih lahko uporabite skrbniški vmesnik platforme za upravljanje potrdil in preverjanje splošnega stanja povezljivosti po nastavitvi strežnika proxy na vozliščih.
Vozlišča hibridne varnosti podatkov podpirajo te možnosti strežnika proxy:
Brez strežnika proxy– privzeto, če za integracijo strežnika proxy ne uporabljate konfiguracije za nastavitev vozlišča HDS Trust Store & Proxy. Posodobitev potrdila ni potrebna.
Pregleden strežnik proxybrez pregledovanja – vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy in ne bi smela zahtevati nobenih sprememb za delovanje s strežnikom proxy, ki ne pregleduje. Posodobitev potrdila ni potrebna.
Pregledno tuneliranje ali pregled strežnika proxy– vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy. Na vozliščih niso potrebne spremembe konfiguracije HTTP ali HTTPS. Vendar pa vozlišča potrebujejo korensko potrdilo, da zaupajo proxyju. Pregledovanje strežnikov proxy običajno uporablja IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta proxyja dešifrira ves vaš promet (tudi HTTPS).
Eksplicitni strežnik proxy– z eksplicitnim strežnikom proxy vozliščem HDS poveste, kateri strežnik proxy in shemo preverjanja pristnosti naj uporabijo. Če želite konfigurirati eksplicitni strežnik proxy, morate za vsako vozlišče vnesti te podatke:
IP/FQDNstrežnika proxy – naslov, s katerim lahko vzpostavite povezavo s proxyjem.
Vrataproxy – številka vrat, ki jih strežnik proxy uporablja za poslušanje prometa proxy.
Protokolproxy – odvisno od tega, kaj podpira vaš strežnik proxy, lahko izbirate med temi protokoli:
HTTP – ogleda in nadzira vse zahteve, ki jih pošlje odjemalec
HTTPS – zagotavlja kanal do strežnika. Odjemalec prejme in preveri veljavnost potrdila strežnika.
Vrstapreverjanja pristnosti – izberite eno od teh vrst preverjanja pristnosti:
Brez– nadaljnja preverjanja pristnosti ni potrebna.
Na voljo, če za protokol proxy izberete HTTP ali HTTPS.
Osnovno– uporablja se za uporabniškega agenta HTTP za vnos uporabniškega imena in gesla pri zahtevi. Uporablja kodiranje Base64.
Na voljo, če za protokol proxy izberete HTTP ali HTTPS.
Zahteva, da vnesete uporabniško ime in geslo za vsako vozlišče.
Povzetek– uporablja se za potrditev računa pred pošiljanjem občutljivih podatkov. Uporabi razpršilno funkcijo za uporabniško ime in geslo pred pošiljanjem prek omrežja.
Na voljo le, če kot protokol proxy izberete HTTPS.
Zahteva, da vnesete uporabniško ime in geslo za vsako vozlišče.
Primer hibridnih podatkovnih varnostnih vozlišč in proxy
Ta diagram prikazuje primer povezave med hibridno varnostjo podatkov, omrežjem in proxyjem. Za možnosti preglednega pregleda in eksplicitnega pregleda strežnika proxy HTTPS mora biti na strežniku proxy in na vozliščih hibridne varnosti podatkov nameščeno isto korensko potrdilo.
Blokiran zunanji način razločovanja DNS (eksplicitne konfiguracije strežnika proxy)
Ko registrirate vozlišče ali preverite konfiguracijo proxy vozlišča, postopek preizkusi iskanje DNS in povezljivost z oblakom Cisco Webex. Če vozlišče pri uvajanju z eksplicitnimi konfiguracijami strežnikov proxy, ki ne dovoljujejo zunanjega reševanja DNS za notranje odjemalce, ne more poizvedovati strežnikov DNS, samodejno preide v način blokiranega zunanjega razreševanja DNS. V tem načinu se lahko nadaljuje registracija vozlišč in drugi preskusi povezljivosti proxy.
Zahteve za hibridno varnost podatkov
Licenčne zahteve za Cisco Webex
Uvedba hibridne varnosti podatkov:
Imeti morate paket Pro Pack za Cisco Webex Control Hub. (Glej https://www.cisco.com/go/pro-pack.)
Zahteve za namizje Docker
Preden namestite vozlišča HDS, potrebujete Docker Desktop za zagon namestitvenega programa. Docker je pred kratkim posodobil svoj model licenciranja. Vaša organizacija bo morda zahtevala plačljivo naročnino za namizno platformo Docker. Za podrobnosti si oglejte objavo v spletnem dnevniku Dockerja, » Docker posodablja in razširja naše naročnine na izdelke«.
Zahteve za certifikat X.509
Veriga potrdil mora izpolnjevati naslednje zahteve:
Zahteva | Podrobnosti |
---|---|
| Privzeto zaupamo CA-jem na seznamu Mozilla (z izjemo WoSign in StartCom) pri https://wiki.mozilla.org/CA:IncludedCAs. |
| CN ni treba biti dosegljiv ali gostitelj v živo. Priporočamo, da uporabite ime, ki odraža vašo organizacijo, na primer: KN ne sme vsebovati * (nadomestni znak). CN se uporablja za preverjanje vozlišč hibridne varnosti podatkov za odjemalce aplikacije Webex. Vsa vozlišča hibridne varnosti podatkov v gruči uporabljajo isto potrdilo. Storitev upravljanja zbogom se identificira z domeno CN in ne s katero koli domeno, ki je določena v poljih SAN x.509v3. Ko registrirate vozlišče s tem certifikatom, ne podpiramo spreminjanja imena domene CN. Izberite domeno, ki se lahko uporablja za poskusno in produkcijsko uvedbo. |
| Programska oprema KMS ne podpira podpisov SHA1 za preverjanje povezav s KMS drugih organizacij. |
| Za spremembo oblike potrdila lahko uporabite pretvornik, kot je OpenSSL. Geslo boste morali vnesti, ko boste zagnali orodje za namestitev HDS. |
Programska oprema za upravljanje ključev ne uveljavlja uporabe ključev ali razširjenih omejitev uporabe ključev. Nekateri overitelji potrdil zahtevajo, da se za vsako potrdilo uporabijo razširjene omejitve uporabe ključev, na primer preverjanje pristnosti strežnika. V redu je, da uporabite preverjanje pristnosti strežnika ali druge nastavitve.
Zahteve za virtualnega gostitelja
Navidezni gostitelji, ki jih boste nastavili kot vozlišča hibridne varnosti podatkov v gruči, imajo te zahteve:
Vsaj dva ločena gostitelja (priporočena 3) v istem varnem podatkovnem središču
VMware ESXi 6.5 (ali novejši) je nameščen in se izvaja.
Nadgradnjo morate nadgraditi, če imate starejšo različico ESXi.
Najmanj 4 vCPU-ji, 8 GB glavnega pomnilnika, 30 GB prostora na trdem disku na strežnik
Zahteve za strežnik zbirke podatkov
Ustvarite novo zbirko podatkov za shranjevanje ključev. Ne uporabljajte privzete zbirke podatkov. Ko so nameščene aplikacije HDS, ustvarijo shemo zbirke podatkov. |
Obstajata dve možnosti za strežnik baze podatkov. Zahteve za vsakega so naslednje:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Najmanj 8 vCPU-jev, 16 GB glavnega pomnilnika, dovolj prostora na trdem disku in nadzor, da se zagotovi, da ni presežen (priporočeno 2 TB, če želite bazo podatkov zagnati dlje časa, ne da bi morali povečati prostor za shranjevanje) | Najmanj 8 vCPU-jev, 16 GB glavnega pomnilnika, dovolj prostora na trdem disku in nadzor, da se zagotovi, da ni presežen (priporočeno 2 TB, če želite bazo podatkov zagnati dlje časa, ne da bi morali povečati prostor za shranjevanje) |
Programska oprema HDS trenutno namesti naslednje različice gonilnikov za komunikacijo s strežnikom zbirke podatkov:
PostgreSQL | Microsoft SQL Server |
---|---|
Gonilnik Postgres JDBC 42.2.5 | Gonilnik SQL Server JDBC 4.6 Ta različica gonilnika podpira SQL Server Always On ( vedno vklopljeni, primerki gruče za preklop pri izpadu in Vednovklopljeni). |
Dodatne zahteve za preverjanje pristnosti sistema Windows v strežniku Microsoft SQL Server
Če želite, da vozlišča HDS uporabljajo preverjanje pristnosti sistema Windows za dostop do zbirke podatkov shrambe ključev v strežniku Microsoft SQL Server, potrebujete naslednjo konfiguracijo v svojem okolju:
Vozlišča HDS, infrastruktura Active Directory in MS SQL Server morajo biti sinhronizirani z NTP.
Račun Windows, ki ga vnesete vozliščem HDS, mora imeti dostop za branje/pisanje v zbirko podatkov.
Strežniki DNS, ki jih posredujete vozliščem HDS, morajo biti sposobni razrešiti središče za distribucijo ključev (KDC).
Primerek zbirke podatkov HDS lahko registrirate v strežniku Microsoft SQL Server kot glavno ime storitve (SPN) v imeniku Active Directory. Glejte Registracija glavnega imena storitve za povezaveKerberos.
Orodje za namestitev HDS, zaganjalnik HDS in lokalni KMS morajo za dostop do zbirke podatkov shrambe ključev uporabiti preverjanje pristnosti sistema Windows. S podrobnostmi iz konfiguracije ISO ustvarijo SPN, ko zahtevajo dostop s preverjanjem pristnosti Kerberos.
Zahteve za zunanjo povezljivost
Požarni zid konfigurirajte tako, da omogoča to povezljivost za programe HDS:
Aplikacija | Protokol | Luka | Navodila iz aplikacije | Cilj |
---|---|---|---|---|
Vozlišča hibridne varnosti podatkov | TCP | 443 | Odhodni HTTPS in WSS |
|
Orodje za nastavitev HDS | TCP | 443 | Odhodni protokol HTTPS |
|
Vozlišča hibridne varnosti podatkov delujejo s prevajanjem dostopa do omrežja (NAT) ali za požarnim zidom, če NAT ali požarni zid omogoča zahtevane odhodne povezave s cilji domene v prejšnji tabeli. Za povezave, ki prihajajo do vozlišč Hybrid Data Security, iz interneta ne smejo biti vidna nobena vrata. V podatkovnem središču odjemalci potrebujejo dostop do vozlišč Hybrid Data Security na vratih TCP 443 in 22 za skrbniške namene. |
URL-ji za gostitelje skupne identitete (CI) so specifični za regijo. To so trenutni gostitelji CI:
Regija | Skupni URL-ji gostitelja identitete |
---|---|
Amerike |
|
Evropska unija |
|
Kanada |
|
Zahteve za strežnik proxy
Uradno podpiramo naslednje rešitve proxy, ki jih je mogoče integrirati z vašimi vozlišči za hibridno varnost podatkov.
Pregleden proxy – Cisco Web Security Appliance (WSA).
Eksplicitni proxy - lignji.
Proxy lignjev, ki pregledujejo promet HTTPS, lahko motijo vzpostavitev websocketa (wss:) Povezave. Če se želite izogniti tej težavi, glejte Konfiguracija strežnikov proxy lignjev za hibridno varnostpodatkov.
Podpiramo te kombinacije vrst preverjanja pristnosti za eksplicitne proxyje:
Brez preverjanja pristnosti s protokolom HTTP ali HTTPS
Osnovno preverjanje pristnosti s protokolom HTTP ali HTTPS
Povzetek preverjanja pristnosti samo s protokolom HTTPS
Za pregleden pregledni strežnik proxy ali eksplicitni strežnik proxy HTTPS morate imeti kopijo korenskega potrdila strežnika proxy. Navodila za uvajanje v tem priročniku vam povejo, kako naložite kopijo v shrambe zaupanja vozlišč Hybrid Data Security.
Omrežje, ki gosti vozlišča HDS, mora biti konfigurirano tako, da vsiljuje odhodni promet TCP na vratih 443 za usmerjanje prek strežnika proxy.
Strežniki proxy, ki pregledujejo spletni promet, lahko motijo povezave s spletnimi vtičnicami. Če pride do te težave, zaobide (ne pregleduje) promet
wbx2.com
inciscospark.com
bo rešil težavo.
Izpolnite predpogoje za hibridno varnost podatkov
1 | Prepričajte se, da je vaša organizacija Webex omogočena za paket Pro za Cisco Webex Control Hub, in pridobite poverilnice računa s polnimi skrbniškimi pravicami organizacije. Za pomoč pri tem postopku se obrnite na Ciscovega partnerja ali upravitelja računa. | ||
2 | Izberite ime domene za uvedbo HDS (na primer | ||
3 | Pripravite enake navidezne gostitelje, ki jih boste nastavili kot vozlišča hibridne varnosti podatkov v gruči. Potrebujete vsaj dva ločena gostitelja (priporočena 3) v istem varnem podatkovnem centru, ki izpolnjujeta zahteve v razdelku Zahteveza virtualnega gostitelja. | ||
4 | Pripravite strežnik zbirke podatkov, ki bo deloval kot shramba ključnih podatkov za gručo v skladu z zahtevamistrežnika zbirke podatkov. Strežnik baze podatkov mora biti nameščen v varnem podatkovnem centru skupaj z navideznimi gostitelji. | ||
5 | Za hitro obnovitev po katastrofi nastavite okolje za varnostno kopiranje v drugem podatkovnem centru. Okolje za varnostno kopiranje odraža proizvodno okolje VM-jev in strežnika baze podatkov za varnostne kopije. Če ima na primer produkcija 3 virtualne računalnike, v katerih se izvajajo vozlišča HDS, mora imeti okolje za varnostno kopiranje 3 virtualne računalnike. | ||
6 | Nastavite gostitelja syslog za zbiranje dnevnikov iz vozlišč v gruči. Zberite njegov omrežni naslov in vrata syslog (privzeto je UDP 514). | ||
7 | Ustvarite varno varnostno kopiranje za vozlišča hibridne varnosti podatkov, strežnik zbirke podatkov in gostitelja sysloga. Če želite preprečiti nepopravljivo izgubo podatkov, morate varnostno kopirati zbirko podatkov in konfiguracijsko datoteko ISO, ustvarjeno za vozlišča hibridne varnosti podatkov.
Odjemalci aplikacije Webex predpomnijo svoje ključe, zato izpad morda ne bo takoj opazen, vendar bo sčasoma postal očiten. Čeprav začasnih izpadov ni mogoče preprečiti, jih je mogoče obnoviti. Vendar pa bo popolna izguba (varnostne kopije niso na voljo) zbirke podatkov ali konfiguracijske datoteke ISO povzročila neobnovljive podatke strank. Od operaterjev vozlišč hibridne varnosti podatkov se pričakuje, da bodo vzdrževali pogoste varnostne kopije baze podatkov in konfiguracijske datoteke ISO ter bili pripravljeni na obnovo podatkovnega centra Hybrid Data Security, če pride do katastrofalne napake. | ||
8 | Prepričajte se, da konfiguracija požarnega zidu omogoča povezljivost za vozlišča hibridne varnosti podatkov, kot je opisano v razdelku Zahteveza zunanjo povezljivost. | ||
9 | Namestite Docker ( https://www.docker.com) v kateri koli lokalni računalnik s podprtim operacijskim sistemom (Microsoft Windows 10 Professional ali Enterprise 64-bitni ali Mac OSX Yosemite 10.10.3 ali novejši) s spletnim brskalnikom, ki lahko dostopa do njega na http://127.0.0.1:8080. Z Dockerjevim primerkom lahko prenesete in zaženete orodje za namestitev HDS, ki ustvari informacije o lokalni konfiguraciji za vsa vozlišča hibridne varnosti podatkov. Vaša organizacija bo morda potrebovala licenco za Docker Desktop. Za več informacij glejte Zahteve za namizje Dockerja. Če želite namestiti in zagnati orodje za namestitev HDS, mora imeti lokalni računalnik povezljivost, opisano v razdelku Zahteve zazunanjo povezljivost. | ||
10 | Če integrirate proxy s hibridno varnostjo podatkov, se prepričajte, da izpolnjuje zahteveza strežnik proxy. | ||
11 | Če vaša organizacija uporablja sinhronizacijo imenikov, ustvarite skupino v imeniku Active Directory, imenovano
|
Potek opravila uvedbe hibridne varnosti podatkov
Preden začnete
1 |
Prenesite datoteko OVA v lokalni računalnik za poznejšo uporabo. | ||
2 | Ustvarjanje konfiguracijskega ISO za gostitelje HDS Z orodjem za namestitev HDS ustvarite konfiguracijsko datoteko ISO za vozlišča Hybrid Data Security. | ||
3 |
Ustvarite navidezni računalnik iz datoteke OVA in izvedite začetno konfiguracijo, kot so omrežne nastavitve.
| ||
4 | Nastavitev hibridnega varnostnega računalniškega računalnika Vpišite se v konzolo VM in nastavite poverilnice za vpis. Konfigurirajte omrežne nastavitve za vozlišče, če jih niste konfigurirali v času uvedbe OVA. | ||
5 | Naložite in namestite konfiguracijski ISO HDS Konfigurirajte VM iz konfiguracijske datoteke ISO, ki ste jo ustvarili z orodjem za namestitev HDS. | ||
6 | Konfiguracija vozlišča HDS za integracijo strežnika proxy Če omrežno okolje zahteva konfiguracijo strežnika proxy, določite vrsto strežnika proxy, ki ga boste uporabili za vozlišče, in po potrebi dodajte potrdilo strežnika proxy v shrambo zaupanja. | ||
7 | Registracija prvega vozlišča v gruči Registrirajte VM v oblaku Cisco Webex kot vozlišče za hibridno varnost podatkov. | ||
8 | Ustvarjanje in registracija več vozlišč Dokončajte nastavitev gruče. | ||
9 | Zaženite preskusno različico in premaknite v produkcijo (naslednje poglavje) Dokler ne začnete preskusne različice, vozlišča ustvarijo alarm, ki označuje, da vaša storitev še ni aktivirana. |
Prenos namestitvenih datotek
1 | Vpišite se v https://admin.webex.comin kliknite Storitve. | ||||
2 | V razdelku Hibridne storitve poiščite kartico Hibridna varnost podatkov in kliknite Nastavi . Če je kartica onemogočena ali je ne vidite, se obrnite na skupino za račun ali partnersko organizacijo. Dajte jim številko računa in prosite, da vaši organizaciji omogočijo hibridno varnost podatkov. Če želite poiskati številko računa, kliknite zobnik v zgornjem desnem kotu poleg imena organizacije.
| ||||
3 | Izberite Ne, da označite, da vozlišča še niste nastavili, in nato kliknite Naprej . Datoteka OVA se samodejno začne prenašati. Shranite datoteko na mesto v računalniku.
| ||||
4 | Po želji kliknite Odpri vodnik za uvajanje, da preverite, ali je na voljo novejša različica tega priročnika. |
Ustvarjanje konfiguracijskega ISO za gostitelje HDS
Postopek namestitve hibridne varnosti podatkov ustvari datoteko ISO. Nato uporabite ISO za konfiguracijo gostitelja hibridne varnosti podatkov.
Preden začnete
Orodje za namestitev HDS deluje kot vsebnik Docker v lokalnem računalniku. Če želite dostopati do njega, zaženite Docker v tem računalniku. Postopek namestitve zahteva poverilnice računa Control Hub s polnimi skrbniškimi pravicami za vašo organizacijo.
Če se orodje za namestitev HDS izvaja za strežnikom proxy v vašem okolju, navedite nastavitve strežnika proxy (strežnik, vrata, poverilnice) prek spremenljivk okolja Dockerja, ko odprete vsebnik Docker v 5. koraku . V tej tabeli so navedene nekatere možne okoljske spremenljivke:
Opis
Spremenljivka
HTTP proxy brez preverjanja pristnosti
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy brez preverjanja pristnosti
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP proxy s preverjanjem pristnosti
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS proxy s preverjanjem pristnosti
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Konfiguracijska datoteka ISO, ki jo ustvarite, vsebuje glavni ključ, ki šifrira zbirko podatkov PostgreSQL ali Microsoft SQL Server. Najnovejšo kopijo te datoteke potrebujete vsakič, ko spremenite konfiguracijo, na primer:
Poverilnice zbirke podatkov
Posodobitve potrdil
Spremembe pravilnika o avtorizaciji
Če nameravate šifrirati povezave zbirke podatkov, nastavite uvajanje PostgreSQL ali SQL Server za TLS.
1 | V ukazni vrstici računalnika vnesite ustrezen ukaz za vaše okolje: V običajnih okoljih:
V okoljih FedRAMP:
| ||||||||||||
2 | Če se želite vpisati v register slik Dockerja, vnesite to:
| ||||||||||||
3 | V poziv za geslo vnesite to razpršitev:
| ||||||||||||
4 | Prenesite najnovejšo stabilno sliko za svoje okolje: V običajnih okoljih:
V okoljih FedRAMP:
| ||||||||||||
5 | Ko je poteza končana, vnesite ustrezen ukaz za vaše okolje:
Ko se vsebnik izvaja, se prikaže »Express server listening on door 8080«. | ||||||||||||
6 |
Uporabite spletni brskalnik, da pojdite na lokalno gostiteljstvo, Orodje uporabi ta prvi vnos uporabniškega imena za nastavitev ustreznega okolja za ta račun. Orodje nato prikaže standardni poziv za vpis. | ||||||||||||
7 | Ko ste pozvani, vnesite poverilnice za vpis skrbnika stranke Control Hub in nato kliknite Prijava, da omogočite dostop do zahtevanih storitev za hibridno varnost podatkov. | ||||||||||||
8 | Na strani Pregled orodja za namestitev kliknite Uvod. | ||||||||||||
9 | Na strani Uvoz ISO so na voljo te možnosti:
| ||||||||||||
10 | Preverite, ali potrdilo X.509 izpolnjuje zahteve v razdelku Zahteveza potrdilo X.509.
| ||||||||||||
11 | Vnesite naslov zbirke podatkov in račun za HDS za dostop do vašega ključnega shrambe podatkov: | ||||||||||||
12 | Izberite načinpovezave z zbirko podatkov TLS:
Ko naložite korensko potrdilo (če je potrebno) in kliknete Nadaljuj, orodje za namestitev HDS preskusi povezavo TLS s strežnikom zbirke podatkov. Orodje preveri tudi podpisnika potrdila in ime gostitelja, če je primerno. Če preskus ne uspe, orodje prikaže sporočilo o napaki, ki opisuje težavo. Izberete lahko, ali želite napako prezreti in nadaljevati z nastavitvijo. (Zaradi razlik v povezljivosti lahko vozlišča HDS vzpostavijo povezavo TLS, tudi če je naprava HDS Setup Tool ne more uspešno preizkusiti.) | ||||||||||||
13 | Na strani Sistemski dnevniki konfigurirajte strežnik Syslogd: | ||||||||||||
14 | (Neobvezno) Privzeto vrednost za nekatere parametre povezave z zbirko podatkov lahko spremenite v naprednih nastavitvah. Na splošno je ta parameter edini, ki ga boste morda želeli spremeniti:
| ||||||||||||
15 | Kliknite Nadaljuj na zaslonu Ponastavi geslo za storitvene račune. Gesla za storitvene račune imajo devetmesečno življenjsko dobo. Ta zaslon uporabite, ko se gesla bližajo izteku veljavnosti ali jih želite ponastaviti, da razveljavite prejšnje datoteke ISO. | ||||||||||||
16 | Kliknite Prenesi datotekoISO. Shranite datoteko na mesto, ki ga je enostavno najti. | ||||||||||||
17 | Naredite varnostno kopijo datoteke ISO v lokalnem sistemu. Varnostno kopijo hranite na varnem. Ta datoteka vsebuje glavni šifrirni ključ za vsebino zbirke podatkov. Omejite dostop samo na tiste skrbnike hibridne varnosti podatkov, ki morajo spremeniti konfiguracijo. | ||||||||||||
18 | Če želite zaustaviti orodje za namestitev, vnesite |
Kaj storiti naprej
Varnostno kopirajte konfiguracijsko datoteko ISO. Potrebujete ga za ustvarjanje več vozlišč za obnovitev ali za spremembe konfiguracije. Če izgubite vse kopije datoteke ISO, ste izgubili tudi glavni ključ. Obnovitev ključev iz zbirke podatkov PostgreSQL ali Microsoft SQL Server ni mogoča.
Nikoli nimamo kopije tega ključa in ne moremo pomagati, če ga izgubite. |
Namestitev OVA gostitelja HDS
1 | Uporabite odjemalca VMware vSphere v računalniku, da se prijavite v navideznega gostitelja ESXi. | ||||||
2 | Izberite Datoteka > Uvedi predlogoOVF. | ||||||
3 | V čarovniku določite mesto datoteke OVA, ki ste jo prej prenesli, in kliknite Naprej . | ||||||
4 | Na strani Izberite ime in mapo vnesite ime navideznega računalnika za vozlišče (na primer »HDS_Node_1«), izberite mesto, kjer se lahko nahaja uvedba vozlišča navideznega računalnika, in nato kliknite Naprej. | ||||||
5 | Na strani Izberite računalniški vir izberite ciljni računalniški vir in nato kliknite Naprej. Zažene se preverjanje veljavnosti. Ko se konča, se prikažejo podrobnosti predloge. | ||||||
6 | Preverite podrobnosti predloge in kliknite Naprej . | ||||||
7 | Če ste pozvani, da izberete konfiguracijo vira na strani Konfiguracija , kliknite 4 CPU in nato Naprej. | ||||||
8 | Na strani Izberi prostor za shranjevanje kliknite Naprej , da sprejmete privzeto obliko zapisa diska in pravilnik o shrambi v virtualnem računalniku. | ||||||
9 | Na strani Izberi omrežja na seznamu vnosov izberite možnost omrežja, da zagotovite želeno povezljivost z virtualnim računalnikom. | ||||||
10 | Na strani Prilagajanje predloge konfigurirajte te omrežne nastavitve:
Če želite, lahko preskočite konfiguracijo omrežnih nastavitev in sledite korakom v razdelku Nastavitev hibridnega varnostnega računalniškega računalnika , da konfigurirate nastavitve v konzoli vozlišča.
| ||||||
11 | Z desno tipko miške kliknite vozlišče VM in nato izberite Programska oprema za hibridno varnost podatkov je nameščena kot gost na gostitelju VM. Zdaj se lahko vpišete v konzolo in konfigurirate vozlišče. Nasveti za odpravljanje težav Morda boste doživeli nekaj minutno zamudo, preden se prikažejo zabojniki vozlišč. Med prvim zagonom, med katerim se ne morete vpisati, se v konzoli prikaže sporočilo požarnega zidu mostu. |
Nastavitev hibridnega varnostnega računalniškega računalnika
S tem postopkom se lahko prvič vpišete v konzolo virtualnega računalnika vozlišča Hybrid Data Security in nastavite poverilnice za vpis. S konzolo lahko konfigurirate tudi omrežne nastavitve za vozlišče, če jih niste konfigurirali v času uvedbe OVA.
1 | V odjemalcu VMware vSphere izberite VM vozlišča Hybrid Data Security in izberite zavihek Konzola . VM se zažene in prikaže se poziv za prijavo. Če se poziv za prijavo ne prikaže, pritisnite tipko Enter.
|
2 | Za vpis in spreminjanje poverilnic uporabite to privzeto uporabniško ime in geslo: Ker se prvič vpišete v VM, morate spremeniti skrbniško geslo. |
3 | Če ste že konfigurirali omrežne nastavitve v razdelku Namestitev gostitelja HDS OVA, preskočite preostanek tega postopka. V nasprotnem primeru v glavnem meniju izberite možnost Uredi konfiguracijo . |
4 | Nastavite statično konfiguracijo z naslovom IP, masko, prehodom in informacijami DNS. Vaše vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt. |
5 | (Neobvezno) Po potrebi spremenite ime gostitelja, domeno ali strežnike NTP, da se ujemajo z vašim omrežnim pravilnikom. Domene ni treba nastaviti tako, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509. |
6 | Shranite konfiguracijo omrežja in znova zaženite VM, da bodo spremembe začele veljati. |
Naložite in namestite konfiguracijski ISO HDS
Preden začnete
Ker je v datoteki ISO glavni ključ, bi moral biti izpostavljen le na podlagi »potrebe po seznanitvi« za dostop do hibridnih varnostnih podatkovnih računalnikov in skrbnikov, ki bodo morda morali narediti spremembe. Prepričajte se, da lahko do shrambe podatkov dostopajo le ti skrbniki.
1 | Naložite datoteko ISO iz računalnika: |
2 | Namestite datoteko ISO: |
Kaj storiti naprej
Če to zahteva vaš pravilnik IT, lahko po želji odstranite datoteko ISO, ko vsa vozlišča prevzamejo spremembe konfiguracije. Za podrobnosti glejte (izbirno) Odstranitev ISO po konfiguraciji HDS.
Konfiguracija vozlišča HDS za integracijo strežnika proxy
Če omrežno okolje zahteva strežnik proxy, s tem postopkom določite vrsto strežnika proxy, ki ga želite integrirati s hibridno varnostjo podatkov. Če izberete pregleden proxy za pregledovanje ali eksplicitni strežnik proxy HTTPS, lahko uporabite vmesnik vozlišča za prenos in namestitev korenskega potrdila. Povezavo proxy lahko preverite tudi iz vmesnika in odpravite morebitne težave.
Preden začnete
Glejte Podpora za strežnik proxy za pregled podprtih možnosti strežnika proxy.
1 | Vnesite URL za nastavitev vozlišča HDS |
2 | Pojdite na Trust Store & Proxyin nato izberite možnost:
Sledite naslednjim korakom za pregledno pregledovanje strežnika proxy, eksplicitni proxy HTTP z osnovnim preverjanjem pristnosti ali eksplicitni strežnik proxy HTTPS. |
3 | Kliknite Prenesi korensko potrdilo ali Potrdilokončne entitete in se pomaknite do možnosti Izberite korensko potrdilo za strežnik proxy. Potrdilo je naloženo, vendar še ni nameščeno, ker morate znova zagnati vozlišče, če želite namestiti potrdilo. Kliknite puščico škarnice ob imenu izdajatelja potrdila, če želite pridobiti več podrobnosti, ali kliknite Izbriši , če ste naredili napako in želite znova naložiti datoteko. |
4 | Kliknite Preveri povezavo s strežnikom proxy, da preizkusite omrežno povezljivost med vozliščem in strežnikom proxy. Če preskus povezave ne uspe, se prikaže sporočilo o napaki, ki prikazuje razlog in način odpravljanja težave. Če se prikaže sporočilo, da zunanje razreševanje DNS ni bilo uspešno, vozlišče ni moglo vzpostaviti povezave s strežnikom DNS. Ta pogoj je pričakovan v številnih eksplicitnih konfiguracijah proxyja. Z namestitvijo lahko nadaljujete in vozlišče bo delovalo v načinu blokiranega zunanjega razreševanja DNS. Če menite, da gre za napako, dokončajte ta navodila in nato glejte Izklop načinablokiranega zunanjega razreševanja DNS. |
5 | Ko preskus povezave opravi, za eksplicitni strežnik proxy, nastavljen samo na https, vklopite stikalo na Usmerjanje vseh zahtev https vrat 443/444 iz tega vozlišča prek eksplicitnega strežnika proxy. Ta nastavitev traja 15 sekund, da začne veljati. |
6 | Kliknite Namesti vsa potrdila v shrambo zaupanja (prikaže se za eksplicitni strežnik proxy HTTPS ali pregleden strežnik proxy) ali Znova zaženi ( prikaže se za eksplicitni strežnik proxy HTTP), preberite poziv in nato kliknite Namesti, če ste pripravljeni. Vozlišče se znova zažene v nekaj minutah. |
7 | Ko se vozlišče znova zažene, se po potrebi znova vpišite in nato odprite stran Pregled , da preverite preverjanje povezljivosti in se prepričajte, da so vsi v zelenem stanju. Preverjanje povezave proxy preizkuša samo poddomeno webex.com. Če pride do težav s povezljivostjo, je pogosta težava, da so nekatere domene v oblaku, navedene v navodilih za namestitev, blokirane v strežniku proxy. |
Registracija prvega vozlišča v gruči
Ko registrirate prvo vozlišče, ustvarite gručo, ki ji je vozlišče dodeljeno. Gruča vsebuje eno ali več vozlišč, ki so nameščena za zagotavljanje redundance.
Preden začnete
Ko začnete registracijo vozlišča, ga morate dokončati v 60 minutah ali pa morate začeti znova.
Prepričajte se, da so vsi blokatorji pojavnih oken v brskalniku onemogočeni ali da dovolite izjemo za admin.webex.com.
1 | Vpišite se v https://admin.webex.com. |
2 | V meniju na levi strani zaslona izberite Storitve. |
3 | V razdelku Hibridne storitve poiščite Hibridna varnost podatkov in kliknite Nastavi. Prikaže se stran Registracija vozlišča za varnost hibridnih podatkov.
|
4 | Izberite Da, da označite, da ste nastavili vozlišče in ste ga pripravljeni registrirati, nato pa kliknite Naprej . |
5 | V prvo polje vnesite ime gruče, ki ji želite dodeliti vozlišče Hibridna varnost podatkov. Priporočamo, da gručo poimenujete glede na to, kje so vozlišča gruče geografsko nameščena. Primeri: "San Francisco" ali "New York" ali "Dallas" |
6 | V drugo polje vnesite notranji naslov IP ali popolnoma določeno ime domene (FQDN) vašega vozlišča in kliknite Naprej . Ta naslov IP ali FQDN se mora ujemati z naslovom IP ali imenom gostitelja in domeno, ki ste jo uporabili v razdelku Nastavitev hibridnega računalniškega računalnikaza varnost podatkov. Prikaže se sporočilo, da lahko vozlišče registrirate v Webex.
|
7 | Kliknite Pojdi na vozlišče. |
8 | V opozorilnem sporočilu kliknite Nadaljuj . Po nekaj trenutkih ste preusmerjeni na preskuse povezljivosti vozlišč za storitve Webex. Če so vsi preskusi uspešni, se prikaže stran Dovoli dostop do vozlišča za varnost hibridnih podatkov. Tam potrdite, da želite organizaciji Webex podeliti dovoljenja za dostop do vašega vozlišča.
|
9 | Potrdite polje Dovoli dostop do vozlišča za varnost hibridnih podatkov in kliknite Nadaljuj. Vaš račun je preverjen in sporočilo »Registracija je dokončana« pomeni, da je vaše vozlišče zdaj registrirano v oblaku Webex.
|
10 | Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Control Hub Hybrid Data Security. Na strani Hibridna varnost podatkov je prikazana nova gruča, ki vsebuje vozlišče, ki ste ga registrirali. Vozlišče bo samodejno preneslo najnovejšo programsko opremo iz oblaka.
|
Ustvarjanje in registracija več vozlišč
Trenutno so varnostni virtualni računalniki, ki ste jih ustvarili v razdelku Dokončanje predpogojev za hibridno varnost podatkov, gostitelji v stanju pripravljenosti, ki se uporabljajo samo v primeru obnovitve po nesreči; do takrat niso registrirani v sistemu. Če želite podrobnosti, glejte Obnovitev po katastrofi z uporabo podatkovnega središčav stanju pripravljenosti. |
Preden začnete
Ko začnete registracijo vozlišča, ga morate dokončati v 60 minutah ali pa morate začeti znova.
Prepričajte se, da so vsi blokatorji pojavnih oken v brskalniku onemogočeni ali da dovolite izjemo za admin.webex.com.
1 | Ustvarite nov navidezni računalnik iz OVA in ponovite korake v razdelku Namestitev OVAgostitelja HDS. |
2 | Nastavite začetno konfiguracijo v novem virtualnem računalniku in ponovite korake v razdelku Nastavitev hibridnega varnostnega računalnikapodatkov. |
3 | V novem virtualnem računalniku ponovite korake v razdelku Prenos in namestitev ISOkonfiguracije HDS. |
4 | Če nastavljate strežnik proxy za uvedbo, ponovite korake v razdelku Konfiguracija vozlišča HDS za integracijo strežnika proxy, kot je potrebno za novo vozlišče. |
5 | Registrirajte vozlišče. Vaše vozlišče je registrirano. Upoštevajte, da dokler ne začnete preskusne različice, vozlišča ustvarijo alarm, ki označuje, da vaša storitev še ni aktivirana.
|
Kaj storiti naprej
Potek opravila od preskusa do proizvodnje
Ko nastavite gručo za hibridno varnost podatkov, lahko začnete pilotno izvedbo, vanjo dodate uporabnike in jo začnete uporabljati za preskušanje in preverjanje uvajanja v pripravi na prehod v produkcijo.
Preden začnete
1 | Če je primerno, sinhronizirajte Če vaša organizacija uporablja sinhronizacijo imenika za uporabnike, morate izbrati ikono |
2 | Aktiviranje preskusne različice Začnite preskusno različico. Dokler ne izvedete te naloge, vozlišča ustvarijo alarm, ki označuje, da storitev še ni aktivirana. |
3 | Preskusite uvedbo hibridne varnosti podatkov Preverite, ali se zahteve za ključe prenašajo na uvedbo hibridne varnosti podatkov. |
4 | Spremljanje stanja varnosti hibridnih podatkov Preverite stanje in nastavite e-poštna obvestila za alarme. |
5 | Dodajanje ali odstranjevanje uporabnikov iz preskusne različice |
6 | Poskusno fazo dokončajte z enim od naslednjih dejanj: |
Aktiviranje preskusne različice
Preden začnete
Če vaša organizacija uporablja sinhronizacijo imenika za uporabnike, morate izbrati ikono HdsTrialGroup
Združite predmet za sinhronizacijo z oblakom, preden lahko začnete preskusno različico za svojo organizacijo. Za navodila glejte Vodnik za uvajanje za Cisco Directory Connector.
1 | Vpišite se v https://admin.webex.comin nato izberite Storitve. |
2 | V razdelku Hibridna varnost podatkov kliknite Nastavitve. |
3 | V razdelku Stanje storitve kliknite Začni preskusno različico. Stanje storitve se spremeni v poskusni način.
|
4 | Kliknite Dodaj uporabnike in vnesite e-poštni naslov enega ali več uporabnikov, ki bodo pilotno uporabili vozlišča hibridne varnosti podatkov za storitve šifriranja in indeksiranja. (Če vaša organizacija uporablja sinhronizacijo imenika, uporabite imenik Active Directory za upravljanje preskusne skupine. |
Preskusite uvedbo hibridne varnosti podatkov
Preden začnete
Nastavite uvedbo hibridne varnosti podatkov.
Aktivirajte preskusno različico in dodajte več uporabnikov preskusne različice.
Prepričajte se, da imate dostop do sysloga, da preverite, ali se zahteve za ključe prenašajo na uvedbo hibridne varnosti podatkov.
1 | Tipke za dani prostor nastavi ustvarjalec prostora. Vpišite se v aplikacijo Webex kot eden od pilotnih uporabnikov, nato pa ustvarite prostor in povabite vsaj enega pilotnega uporabnika in enega uporabnika, ki ni pilot.
| ||
2 | Pošljite sporočila v nov prostor. | ||
3 | Preverite izhod syslog in preverite, ali se zahteve za ključ prenašajo v uvedbo hibridne varnosti podatkov. |
Spremljanje stanja varnosti hibridnih podatkov
1 | V nadzornem središčuizberite Storitve v meniju na levi strani zaslona. |
2 | V razdelku Hibridne storitve poiščite Hibridna varnost podatkov in kliknite Nastavitve. Prikaže se stran Hibridne nastavitve varnosti podatkov.
|
3 | V razdelku E-poštna obvestila vnesite enega ali več e-poštnih naslovov, ločenih z vejicami, in pritisnite tipko Enter. |
Dodajanje ali odstranjevanje uporabnikov iz preskusne različice
Če odstranite uporabnika iz preskusne različice, bo uporabnikov odjemalec zahteval ključe in ustvarjanje ključev iz storitve upravljanja virov v oblaku namesto iz storitve »Upravljanje ključev«. Če odjemalec potrebuje ključ, ki je shranjen v vašem sistemu »Upravljanje ključev«, ga bo storitev »Upravljanje omrežij« v oblaku prevzela v imenu uporabnika.
Če vaša organizacija uporablja sinhronizacijo imenika, uporabite imenik Active Directory (namesto tega postopka) za upravljanje preskusne skupine, HdsTrialGroup
; Člane skupine si lahko ogledate v Nadzornem središču, vendar jih ne morete dodati ali odstraniti.
1 | Vpišite se v Control Hub in nato izberite Storitve. |
2 | V razdelku Hibridna varnost podatkov kliknite Nastavitve. |
3 | V razdelku Preskusni način v območju Stanje storitve kliknite Dodaj uporabnike ali kliknite Ogledin uredi , da odstranite uporabnike iz preskusne različice. |
4 | Vnesite e-poštni naslov enega ali več uporabnikov, ki jih želite dodati, ali kliknite X pri ID-ju uporabnika, da odstranite uporabnika iz preskusne različice. Nato kliknite Shrani. |
Prehod iz preskusne v produkcijsko
1 | Vpišite se v Control Hub in nato izberite Storitve. |
2 | V razdelku Hibridna varnost podatkov kliknite Nastavitve. |
3 | V razdelku Stanje storitve kliknite Premakni v produkcijo. |
4 | Potrdite, da želite vse uporabnike premakniti v produkcijo. |
Končajte preskusno različico brez prehoda na produkcijo
1 | Vpišite se v Control Hub in nato izberite Storitve. |
2 | V razdelku Hibridna varnost podatkov kliknite Nastavitve. |
3 | V razdelku Deaktiviraj kliknite Deaktiviraj . |
4 | Potrdite, da želite deaktivirati storitev in končati preskusno različico. |
Upravljanje uvajanja HDS
Uporabite tukaj opisana opravila za upravljanje uvedbe hibridne varnosti podatkov.
Nastavitev urnika nadgradnje gruče
Če želite nastaviti urnik nadgradnje:
1 | Vpišite se v Control Hub. |
2 | Na strani Pregled v razdelku Hibridne storitve izberite Hibridna varnostpodatkov. |
3 | Na strani Viri za hibridno varnost podatkov izberite gručo. |
4 | Na plošči Pregled na desni strani v razdelku Nastavitve gruče izberite ime gruče. |
5 | Na strani Nastavitve v razdelku Nadgradnja izberite čas in časovni pas za urnik nadgradnje. Opomba: V časovnem pasu je prikazan datum in ura naslednje nadgradnje, ki je na voljo. Nadgradnjo lahko po potrebi preložite na naslednji dan, tako da kliknete Preloži . |
Spreminjanje konfiguracije vozlišča
Spreminjanje potrdil x.509 zaradi poteka ali drugih razlogov.
Ne podpiramo spreminjanja imena domene CN potrdila. Domena se mora ujemati z izvirno domeno, uporabljeno za registracijo gruče.
Posodabljanje nastavitev zbirke podatkov za spremembo v repliko zbirke podatkov PostgreSQL ali Microsoft SQL Server.
Ne podpiramo selitve podatkov iz PostgreSQL v Microsoft SQL Server ali obratno. Če želite preklopiti okolje zbirke podatkov, zaženite novo uvedbo hibridne varnosti podatkov.
Ustvarjanje nove konfiguracije za pripravo novega podatkovnega centra.
Hibridna varnost podatkov iz varnostnih razlogov uporablja tudi gesla za račune storitev, ki imajo devetmesečno življenjsko dobo. Ko orodje za namestitev HDS ustvari ta gesla, jih namestite v vsako vozlišče HDS v konfiguracijski datoteki ISO. Ko se gesla vaše organizacije približujejo poteku, prejmete obvestilo skupine Webex, da ponastavite geslo za račun računalnika. (E-poštno sporočilo vsebuje besedilo: »Za posodobitev gesla uporabite API računa računalnika.«) Če vaša gesla še niso potekla, vam orodje ponuja dve možnosti:
Mehka ponastavitev– staro in novo geslo delujeta do 10 dni. To obdobje uporabite za postopno zamenjavo datoteke ISO na vozliščih.
Trda ponastavitev– stara gesla takoj prenehajo delovati.
Če vaša gesla potečejo brez ponastavitve, to vpliva na vašo storitev HDS, kar zahteva takojšnjo trdo ponastavitev in zamenjavo datoteke ISO na vseh vozliščih.
S tem postopkom ustvarite novo konfiguracijsko datoteko ISO in jo uporabite v gruči.
Preden začnete
Orodje za namestitev HDS deluje kot vsebnik Docker v lokalnem računalniku. Če želite dostopati do njega, zaženite Docker v tem računalniku. Postopek namestitve zahteva poverilnice računa Control Hub s polnimi skrbniškimi pravicami za vašo organizacijo.
Če se orodje za namestitev HDS izvaja za strežnikom proxy v vašem okolju, navedite nastavitve strežnika proxy (strežnik, vrata, poverilnice) prek spremenljivk okolja Dockerja, ko odprete vsebnik Docker v 1.e. V tej tabeli so navedene nekatere možne okoljske spremenljivke:
Opis
Spremenljivka
HTTP proxy brez preverjanja pristnosti
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy brez preverjanja pristnosti
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP proxy s preverjanjem pristnosti
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS proxy s preverjanjem pristnosti
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Za ustvarjanje nove konfiguracije potrebujete kopijo trenutne konfiguracijske datoteke ISO. ISO vsebuje glavni ključ, ki šifrira bazo podatkov PostgreSQL ali Microsoft SQL Server. ISO potrebujete, ko spreminjate konfiguracijo, vključno s poverilnicami zbirke podatkov, posodobitvami potrdil ali spremembami pravilnika o avtorizaciji.
1 | S programom Docker v lokalnem računalniku zaženite orodje za namestitev HDS. |
2 | Če se izvajasamo eno vozlišče HDS, ustvarite nov VM vozlišča Hybrid Data Security in ga registrirajte z novo konfiguracijsko datoteko ISO. Če želite podrobnejša navodila, glejte Ustvarjanje in registracija več vozlišč. |
3 | Za obstoječa vozlišča HDS, v katerih se izvaja starejša konfiguracijska datoteka, namestite datoteko ISO. Izvedite naslednji postopek na vsakem vozlišču in posodobite vsako vozlišče, preden izklopite naslednje vozlišče: |
4 | Ponovite 3. korak, da zamenjate konfiguracijo na vsakem preostalem vozlišču, v katerem se izvaja stara konfiguracija. |
Izklop načina blokiranega zunanjega razločevanja DNS
Ko registrirate vozlišče ali preverite konfiguracijo proxy vozlišča, postopek preizkusi iskanje DNS in povezljivost z oblakom Cisco Webex. Če strežnik DNS vozlišča ne more razrešiti javnih imen DNS, vozlišče samodejno preide v način blokiranega zunanjega razreševanja DNS.
Če vaša vozlišča lahko razrešijo javna imena DNS prek notranjih strežnikov DNS, lahko ta način izklopite tako, da znova zaženete preskus povezave proxy na vsakem vozlišču.
Preden začnete
1 | V spletnem brskalniku odprite vmesnik vozlišča Hibridna varnost podatkov (naslov/nastavitev IP, na primer, https://192.0.2.0/setup), vnesite skrbniške poverilnice, ki ste jih nastavili za vozlišče, in nato kliknite Vpis. |
2 | Pojdite na Pregled (privzeta stran). Če je omogočeno, je možnost Blokirano zunanje razreševanje DNS nastavljena na Da. |
3 | Pojdite na stran Shramba zaupanja in proxy . |
4 | Kliknite Preveri povezavos strežnikom proxy. Če se prikaže sporočilo, da zunanje razreševanje DNS ni bilo uspešno, vozlišče ni moglo vzpostaviti povezave s strežnikom DNS in bo ostalo v tem načinu. V nasprotnem primeru mora biti po ponovnem zagonu vozlišča in vrnitvi na stran Pregled možnost Blokirano zunanje razreševanje DNS nastavljena na ne. |
Kaj storiti naprej
Odstranjevanje vozlišča
1 | Uporabite odjemalca VMware vSphere v računalniku, da se prijavite v navidezni gostitelj ESXi in izklopite navidezni stroj. |
2 | Odstranite vozlišče: |
3 | V odjemalcu vSphere izbrišite VM. (V levem podoknu za krmarjenje z desno miškino tipko kliknite VM in kliknite Izbriši.) Če ne izbrišete virtualnega računalnika, ne pozabite odstraniti konfiguracijske datoteke ISO. Brez datoteke ISO ne morete uporabiti virtualnega računalnika za dostop do varnostnih podatkov. |
Obnovitev po katastrofi z uporabo podatkovnega središča v stanju pripravljenosti
Najbolj kritična storitev, ki jo ponuja vaša grozda hibridne varnosti podatkov, je ustvarjanje in shranjevanje ključev, ki se uporabljajo za šifriranje sporočil in druge vsebine, shranjene v oblaku Webex. Za vsakega uporabnika v organizaciji, ki je dodeljen hibridni varnosti podatkov, so nove zahteve za ustvarjanje ključev usmerjene v gručo. Skupina je odgovorna tudi za vračanje ustvarjenih ključev vsem uporabnikom, pooblaščenim za njihovo pridobivanje, na primer članom prostora za pogovor.
Ker gruča opravlja kritično funkcijo zagotavljanja teh ključev, je nujno, da gruča ostane zagnana in da se vzdržujejo ustrezne varnostne kopije. Izguba zbirke podatkov Hybrid Data Security ali konfiguracije ISO, ki se uporablja za shemo, bo povzročila NEPOPRAVLJIVO IZGUBO vsebine stranke. Za preprečitev take izgube so obvezne naslednje prakse:
Če zaradi nesreče uvedba HDS v primarnem podatkovnem središču ne bo na voljo, sledite temu postopku, da ročno preklopite v podatkovno središče v stanju pripravljenosti.
1 | Zaženite orodje za namestitev HDS in sledite korakom, navedenim v razdelku Ustvarjanje konfiguracijskega ISO za gostiteljeHDS. | ||
2 | Po konfiguraciji strežnika Syslogd kliknite Napredne nastavitve | ||
3 | Na strani Dodatne nastavitve dodajte spodnjo konfiguracijo ali odstranite ikono
| ||
4 | Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga je enostavno najti. | ||
5 | Naredite varnostno kopijo datoteke ISO v lokalnem sistemu. Varnostno kopijo hranite na varnem. Ta datoteka vsebuje glavni šifrirni ključ za vsebino zbirke podatkov. Omejite dostop samo na tiste skrbnike hibridne varnosti podatkov, ki morajo spremeniti konfiguracijo. | ||
6 | V levem podoknu za krmarjenje odjemalca VMware vSphere z desno tipko miške kliknite VM in kliknite Uredi nastavitve. | ||
7 | Kliknite Uredi nastavitve >pogon CD/DVD 1 in izberite Datoteka ISO za shranjevanje podatkov.
| ||
8 | Vklopite vozlišče HDS in se prepričajte, da vsaj 15 minut ni alarmov. | ||
9 | Ponovite postopek za vsako vozlišče v podatkovnem centru v stanju pripravljenosti.
|
Kaj storiti naprej
(Neobvezno) Odstranite ISO po konfiguraciji HDS
Standardna konfiguracija HDS deluje z nameščenim ISO. Toda nekatere stranke raje ne puščajo datotek ISO stalno nameščenih. Datoteko ISO lahko odstranite, ko vsa vozlišča HDS prevzamejo novo konfiguracijo.
Še vedno uporabljate datoteke ISO za spreminjanje konfiguracije. Ko ustvarite nov ISO ali posodobite ISO z orodjem za namestitev, morate posodobljeni ISO namestiti na vsa vozlišča HDS. Ko vsa vozlišča prevzamejo spremembe konfiguracije, lahko s tem postopkom znova odstranite ISO.
Preden začnete
Nadgradite vsa vozlišča HDS na različico 2021.01.22.4720 ali novejšo različico.
1 | Izklopite eno od vozlišč HDS. |
2 | V napravi vCenter Server Appliance izberite vozlišče HDS. |
3 | Izberite DatotekaISO shrambe podatkov. CD/DVD in počistite polje |
4 | Vklopite vozlišče HDS in se prepričajte, da vsaj 20 minut ni alarmov. |
5 | Ponovite za vsako vozlišče HDS zaporedoma. |
Ogled opozoril in odpravljanje težav
Uvedba hibridne varnosti podatkov se šteje za nedostopno, če so vsa vozlišča v gruči nedosegljiva ali če gruča deluje tako počasi, da zahteva časovni potek. Če uporabniki ne morejo doseči grozde hibridne varnosti podatkov, pride do teh simptomov:
Novih presledkov ni mogoče ustvariti (ni mogoče ustvariti novih ključev)
Sporočil in naslovov prostorov ni mogoče dešifrirati za:
Novi uporabniki, dodani v prostor (ne morejo pridobiti ključev)
Obstoječi uporabniki v prostoru, ki uporabljajo novega odjemalca (ne morejo pridobiti ključev)
Obstoječi uporabniki v prostoru bodo še naprej uspešno delovali, dokler bodo njihove stranke imele predpomnilnik šifrirnih ključev
Pomembno je, da pravilno spremljate gručo hibridne varnosti podatkov in takoj obravnavate morebitna opozorila, da se izognete motnjam storitve.
Opozorila
Če pride do težave z nastavitvijo hibridne varnosti podatkov, Control Hub prikaže opozorila skrbniku organizacije in pošlje e-poštna sporočila na konfiguriran e-poštni naslov. Opozorila zajemajo številne pogoste scenarije.
Opozorilo | Dejanje |
---|---|
Napaka pri dostopu do lokalne zbirke podatkov. |
Preverite, ali so napake v zbirki podatkov ali težave z lokalnim omrežjem. |
Napaka pri povezavi z lokalno zbirko podatkov. |
Preverite, ali je strežnik zbirke podatkov na voljo in ali so bile pri konfiguraciji vozlišča uporabljene ustrezne poverilnice računa storitve. |
Napaka pri dostopu do storitve v oblaku. |
Preverite, ali lahko vozlišča dostopajo do strežnikov Webex, kot je določeno v Zahteve zazunanjo povezljivost. |
Podaljšanje registracije storitve v oblaku. |
Registracija za storitve v oblaku je bila opuščena. Podaljšanje registracije je v teku. |
Registracija storitve v oblaku je bila opuščena. |
Registracija za storitve v oblaku je prekinjena. Storitev se ukinja. |
Storitev še ni aktivirana. |
Aktivirajte preskusno različico ali dokončajte premikanje preskusne različice v produkcijo. |
Konfigurirana domena se ne ujema s strežniškim potrdilom. |
Prepričajte se, da se strežniško potrdilo ujema s konfigurirano domeno za aktiviranje storitve. Najverjetnejši vzrok je, da je bil certifikat CN pred kratkim spremenjen in se zdaj razlikuje od CN, ki je bil uporabljen med začetno nastavitvijo. |
Preverjanje pristnosti v storitvah v oblaku ni uspelo. |
Preverite točnost in morebitni potek poverilnic računa storitve. |
Odpiranje datoteke lokalne shrambe ključev ni uspelo. |
Preverite celovitost in točnost gesla v lokalni datoteki shrambe ključev. |
Potrdilo lokalnega strežnika ni veljavno. |
Preverite datum poteka potrdila strežnika in se prepričajte, da ga je izdal zaupanja vreden overitelj potrdil. |
Ni mogoče objaviti meritev. |
Preverite dostop do zunanjega omrežja v oblaku. |
Imenik /media/configdrive/hds ne obstaja. |
Preverite konfiguracijo namestitve ISO na navideznem gostitelju. Preverite, ali datoteka ISO obstaja, ali je konfigurirana za namestitev ob ponovnem zagonu in ali je bila uspešno nameščena. |
Odpravljanje težav s hibridno varnostjo podatkov
1 | Preglejte nadzorno središče za morebitna opozorila in popravite vse elemente, ki jih tam najdete. |
2 | Preglejte izhod strežnika syslog za dejavnost iz uvedbe hibridne varnosti podatkov. |
3 | Obrnite se na podporoCisco. |
Znane težave za hibridno varnost podatkov
Če zaprete gručo Hybrid Data Security (tako, da jo izbrišete v nadzornem središču ali zaustavite vsa vozlišča), izgubite konfiguracijsko datoteko ISO ali izgubite dostop do zbirke podatkov shrambe ključev, uporabniki aplikacije Webex ne morejo več uporabljati presledkov na seznamu ljudi, ki so bili ustvarjeni s ključi iz vašega KMS. To velja za poskusne in proizvodne uvedbe. Trenutno nimamo rešitve ali popravka za to težavo in vas pozivamo, da ne izklopite storitev HDS, ko upravljajo z aktivnimi uporabniškimi računi.
Odjemalec, ki ima obstoječo povezavo ECDH s KMS, vzdržuje to povezavo nekaj časa (verjetno eno uro). Ko uporabnik postane član preskusne različice hibridne varnosti podatkov, uporabnikov odjemalec še naprej uporablja obstoječo povezavo ECDH, dokler ne poteče časovna omejitev. Uporabnik se lahko tudi odjavi in se znova odjavi v aplikacijo Webex, da posodobi lokacijo, na katero aplikacija stopi v stik za šifrirne ključe.
Enako vedenje se zgodi, ko premaknete preskusno različico v produkcijo za organizacijo. Vsi uporabniki, ki niso preskusni in imajo obstoječe povezave ECDH s prejšnjimi storitvami za varnost podatkov, bodo še naprej uporabljali te storitve, dokler se povezava ECDH ne bo ponovno pogajala (s časovno omejitvijo ali s prijavo in ponovnim vključitve).
Uporabite OpenSSL za ustvarjanje datoteke PKCS12
Preden začnete
OpenSSL je eno orodje, ki ga lahko uporabite za izdelavo datoteke PKCS12 v ustreznem formatu za nalaganje v orodje za nastavitev HDS. Obstajajo tudi drugi načini za to, vendar ne podpiramo ali spodbujamo enega načina pred drugim.
Če se odločite za uporabo OpenSSL, vam ta postopek zagotavljamo kot smernico, ki vam bo pomagala ustvariti datoteko, ki izpolnjuje zahteve za potrdilo X.509 v zahtevahza potrdilo X.509. Preden nadaljujete, spoznajte te zahteve.
Namestite OpenSSL v podprtem okolju. Oglejte si https://www.openssl.org programsko opremo in dokumentacijo.
Ustvarite zasebni ključ.
Ta postopek začnite, ko prejmete strežniško potrdilo od overitelja potrdil.
1 | Ko od CA-je prejmete strežniško potrdilo, ga shranite kot |
2 | Prikažite potrdilo kot besedilo in preverite podrobnosti.
|
3 | Z urejevalnikom besedila ustvarite datoteko svežnja potrdil, imenovano
|
4 | Ustvarite datoteko .p12 s prijaznim imenom
|
5 | Preverite podrobnosti o potrdilu strežnika. |
Kaj storiti naprej
Vrnite se, da izpolnite predpogoje za hibridno varnostpodatkov. Uporabili boste hdsnode.p12
in geslo, ki ste ga nastavili zanjo, v razdelku Ustvarjanje konfiguracijskega ISO za gostiteljeHDS.
Te datoteke lahko znova uporabite, da zahtevate novo potrdilo, ko izvirno potrdilo poteče. |
Promet med vozlišči HDS in oblakom
Promet zbiranja odhodnih metrik
Vozlišča hibridne varnosti podatkov pošljejo določene meritve v oblak Webex. Te vključujejo sistemske meritve za največjo kopico, uporabljeno kopico, obremenitev CPU-ja in število niti; meritve na sinhronih in asinhronih nitih; meritve opozoril, ki vključujejo prag šifrirnih povezav, zakasnitev ali dolžino čakalne vrste zahtev; meritve v shrambi podatkov; in meritve šifrirane povezave. Vozlišča pošiljajo šifrirano ključno gradivo prek izvenpasovnega (ločenega od zahteve) kanala.
Vhodni promet
Vozlišča hibridne varnosti podatkov prejemajo naslednje vrste dohodnega prometa iz oblaka Webex:
Zahteve za šifriranje odjemalcev, ki jih usmerja storitev šifriranja
Nadgradnje programske opreme vozlišča
Konfiguracija strežnikov proxy lignjev za hibridno varnost podatkov
Websocket se ne more povezati prek Squid Proxy
Proxy lignje, ki pregledujejo promet HTTPS, lahko motijo vzpostavitev websocketa ( wss:
) povezave, ki jih zahteva hibridna varnost podatkov. V teh razdelkih so navodila za konfiguracijo različnih različic Squida, da jih prezrete wss:
promet za pravilno delovanje storitev.
Lignji 4 in 5
Dodajte ikono on_unsupported_protocol
direktivo o squid.conf
:
on_unsupported_protocol tunnel all
Lignji 3.5.27
Uspešno smo preizkusili hibridno varnost podatkov z naslednjimi pravili squid.conf
. Ta pravila se lahko spremenijo, ko razvijamo funkcije in posodabljamo oblak Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Predgovor
Nove in spremenjene informacije
Datum |
Izvedene spremembe |
---|---|
20. oktober 2023 |
|
07. avgust 2023 |
|
23. maj 2023 |
|
december 06, 2022 |
|
november 23, 2022 |
|
13. oktober 2021 |
Preden lahko namestite vozlišča HDS, mora namizje Docker Desktop zagnati namestitveni program. Glejte Zahteve za namizje Docker. |
24. junij 2021 |
Upoštevajte, da lahko datoteko z zasebnim ključem in CSR ponovno uporabite za zahtevo za drugo potrdilo. Za podrobnosti glejte Uporaba OpenSSL za generiranje datoteke PKCS12 . |
april 30, 2021 |
Zahtevo VM za prostor na lokalnem trdem disku spremenite na 30 GB. Za podrobnosti glejte Zahteve za virtualne gostitelje . |
24. februar 2021 |
Orodje za namestitev HDS se zdaj lahko zažene za posredniškim strežnikom. Za podrobnosti glejte Create a Configuration ISO for the HDS Hosts . |
2. februar 2021 |
HDS lahko zdaj zaženete brez nameščene datoteke ISO. Za podrobnosti glejte (Optional) Unmount ISO After HDS Configuration . |
11. januar 2021 |
Dodane informacije o orodju za nastavitev HDS in posrednikih na naslov Ustvarite konfiguracijski ISO za gostitelje HDS. |
oktober 13, 2020 |
Posodobljeno Prenesite namestitvene datoteke. |
oktober 8, 2020 |
Posodobljeno Ustvari konfiguracijski ISO za gostitelje HDS in Spremeni konfiguracijo vozlišča z ukazi za okolja FedRAMP. |
avgust 14, 2020 |
Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča s spremembami postopka prijave. |
avgust 5, 2020 |
Posodobljeno Test Your Hybrid Data Security Deployment za spremembe v dnevniških sporočilih. Posodobljeno Zahteve za virtualne gostitelje za odstranitev največjega števila gostiteljev. |
junij 16, 2020 |
Posodobljeno Odstranitev vozlišča za spremembe v uporabniškem vmesniku nadzornega vozlišča. |
junij 4, 2020 |
Posodobljeno Ustvari konfiguracijski ISO za gostitelje HDS za spremembe v naprednih nastavitvah, ki jih lahko nastavite. |
maj 29, 2020 |
Posodobljeno Ustvari konfiguracijski ISO za gostitelje HDS za prikaz, da lahko TLS uporabljate tudi s podatkovnimi bazami strežnika SQL Server, spremembe uporabniškega vmesnika in druga pojasnila. |
maj 5, 2020 |
Posodobljeno Zahteve za virtualne gostitelje za prikaz novih zahtev ESXi 6.5. |
april 21, 2020 |
Posodobljeno Zahteve za zunanjo povezljivost z novimi gostitelji Americas CI. |
april 1, 2020 |
Posodobljeno Zahteve za zunanjo povezljivost z informacijami o regionalnih gostiteljih CI. |
februar 20, 2020 | Posodobljeno Create a Configuration ISO for the HDS Hosts z informacijami o novem izbirnem zaslonu Advanced Settings v orodju HDS Setup Tool. |
februar 4, 2020 | Posodobljeno Zahteve za strežnik proxy. |
16. december 2019 | Pojasnjena zahteva za delovanje načina blokirane zunanje resolucije DNS v Zahteve za strežnik proxy. |
november 19, 2019 |
V naslednjih razdelkih so dodane informacije o načinu blokirane zunanje resolucije DNS: |
november 8, 2019 |
Zdaj lahko omrežne nastavitve za vozlišče konfigurirate med nameščanjem OVA in ne šele pozneje. Ustrezno posodobite naslednje oddelke: Možnost konfiguracije omrežnih nastavitev med namestitvijo OVA je bila preizkušena s sistemom ESXi 6.5. Ta možnost morda ni na voljo v prejšnjih različicah. |
6. september 2019 |
Dodan SQL Server Standard v Zahteve za strežnik podatkovne zbirke. |
avgust 29, 2019 | Dodan dodatek Configure Squid Proxyies for Hybrid Data Security z navodili za konfiguracijo Squid proxyjev, da za pravilno delovanje ignorirajo promet spletnih vtičnic. |
avgust 20, 2019 |
Dodani in posodobljeni razdelki, ki zajemajo podporo posrednika za komunikacijo vozlišča Hybrid Data Security z oblakom Webex. Če želite dostopati samo do vsebine podpore za posrednike za obstoječo namestitev, si oglejte članek pomoči Proxy Support for Hybrid Data Security and Webex Video Mesh . |
13. junij 2019 | Posodobljen Potek opravil od poskusnega do produkcijskega sistema z opomnikom, da je treba pred začetkom poskusnega delovanja sinhronizirati objekt skupine HdsTrialGroup , če vaša organizacija uporablja sinhronizacijo imenikov. |
6. marec 2019 |
|
28. februar 2019 |
|
26. februar 2019 |
|
januar 24, 2019 |
|
5. november 2018 |
|
oktober 19, 2018 |
|
julij 31, 2018 |
|
maj 21, 2018 |
Spremenjena terminologija, ki odraža novo blagovno znamko Cisco Spark:
|
april 11, 2018 |
|
22. februar 2018 |
|
februar 15, 2018 |
|
januar 18, 2018 |
|
2. november 2017 |
|
avgust 18, 2017 |
Prva objava |
Začnite s hibridno varnostjo podatkov
Pregled hibridne varnosti podatkov
Pri oblikovanju aplikacije Webex je bila varnost podatkov od prvega dne v ospredju. Temelj te varnosti je šifriranje vsebine od konca do konca, ki ga omogočajo odjemalci aplikacije Webex v interakciji s storitvijo KMS (Key Management Service). KMS je odgovoren za ustvarjanje in upravljanje kriptografskih ključev, ki jih odjemalci uporabljajo za dinamično šifriranje in dešifriranje sporočil in datotek.
Privzeto je vsem strankam aplikacije Webex App na voljo šifriranje od konca do konca z dinamičnimi ključi, shranjenimi v oblaku KMS, v Ciscovem varnostnem območju. Hibridno varovanje podatkov KMS in druge funkcije, povezane z varnostjo, prenese v podatkovno središče podjetja, tako da ključe za šifrirano vsebino nima nihče drug kot vi.
Arhitektura varnostnega območja
Arhitektura oblaka Webex ločuje različne vrste storitev v ločena področja ali domene zaupanja, kot je prikazano spodaj.
Da bi bolje razumeli hibridno varnost podatkov, si najprej oglejmo primer čistega oblaka, v katerem Cisco zagotavlja vse funkcije v svojem oblaku. Identitetna storitev, edino mesto, kjer je mogoče uporabnike neposredno povezati z njihovimi osebnimi podatki, kot je e-poštni naslov, je logično in fizično ločena od varnostnega področja v podatkovnem središču B. Oboje pa je ločeno od področja, kjer je šifrirana vsebina shranjena, in sicer v podatkovnem središču C.
V tem diagramu je odjemalec aplikacija Webex, ki teče v uporabnikovem prenosnem računalniku in se je avtentificirala s storitvijo identitete. Ko uporabnik sestavi sporočilo za pošiljanje v prostor, se izvedejo naslednji koraki:
-
Odjemalec vzpostavi varno povezavo s storitvijo za upravljanje ključev (KMS), nato pa zahteva ključ za šifriranje sporočila. Varna povezava uporablja ECDH, KMS pa šifrira ključ z glavnim ključem AES-256.
-
Sporočilo je šifrirano, preden zapusti odjemalca. Odjemalec ga pošlje storitvi indeksiranja, ki ustvari šifrirane iskalne indekse za pomoč pri prihodnjih iskanjih vsebine.
-
Šifrirano sporočilo je poslano storitvi za preverjanje skladnosti.
-
Šifrirano sporočilo je shranjeno v območju shranjevanja.
Pri uvajanju hibridnega varovanja podatkov prenesete funkcije varnostnega področja (KMS, indeksiranje in skladnost) v lokalno podatkovno središče. Druge storitve v oblaku, ki sestavljajo Webex (vključno z identiteto in shranjevanjem vsebine), ostajajo v Ciscovem dometu.
Sodelovanje z drugimi organizacijami
Uporabniki v vaši organizaciji lahko aplikacijo Webex redno uporabljajo za sodelovanje z zunanjimi udeleženci v drugih organizacijah. Ko eden od vaših uporabnikov zahteva ključ za prostor, ki je v lasti vaše organizacije (ker ga je ustvaril eden od vaših uporabnikov), vaš sistem KMS pošlje ključ odjemalcu prek zaščitenega kanala ECDH. Če pa je ključ za prostor v lasti druge organizacije, vaša KMS posreduje zahtevo v oblak Webex prek ločenega kanala ECDH, da pridobi ključ iz ustrezne KMS, nato pa ključ vrne uporabniku prek prvotnega kanala.
Storitev KMS, ki teče v organizaciji Org A, potrjuje povezave s KMS v drugih organizacijah z uporabo potrdil x.509 PKI. Podrobnosti o ustvarjanju potrdila x.509, ki ga boste uporabili pri uvajanju hibridne zaščite podatkov, najdete na spletnem mestu Prepare Your Environment (Priprava okolja) .
Pričakovanja pri uvajanju hibridne varnosti podatkov
Za uvedbo hibridne varnosti podatkov sta potrebna velika zavezanost stranke in zavedanje tveganj, ki jih prinaša lastništvo šifrirnih ključev.
Če želite namestiti hibridno varovanje podatkov, morate zagotoviti:
-
Varen podatkovni center v državi, ki je podprta lokacija za načrte Cisco Webex Teams.
Popolna izguba konfiguracijskega ISO, ki ga sestavite za Hybrid Data Security, ali podatkovne zbirke, ki jo zagotovite, bo povzročila izgubo ključev. Izguba ključa uporabnikom preprečuje dešifriranje vsebine prostora in drugih šifriranih podatkov v aplikaciji Webex. Če se to zgodi, lahko ustvarite novo namestitev, vendar bo vidna le nova vsebina. Če želite preprečiti izgubo dostopa do podatkov, morate:
-
Upravljanje varnostnega kopiranja in obnovitve podatkovne zbirke ter konfiguracije ISO.
-
Bodite pripravljeni na hitro obnovitev v primeru katastrofe, kot je odpoved diska podatkovne zbirke ali podatkovnega centra.
Po namestitvi HDS ni mehanizma za prenos ključev nazaj v oblak.
Postopek nastavitve na visoki ravni
Ta dokument obravnava nastavitev in upravljanje hibridne namestitve varovanja podatkov:
Nastavitev Hybrid Data Security- To vključuje pripravo potrebne infrastrukture in namestitev programske opreme Hybrid Data Security, testiranje namestitve s podskupino uporabnikov v poskusnem načinu in po končanem testiranju prehod v produkcijo. Tako celotna organizacija za varnostne funkcije uporablja vašo gručo Hybrid Data Security.
Faze namestitve, preskušanja in proizvodnje so podrobno opisane v naslednjih treh poglavjih.
-
Vzdrževanje uvedbe hibridne varnosti podatkov- Oblak Webex samodejno zagotavlja stalne nadgradnje. Vaš oddelek IT lahko zagotovi prvo stopnjo podpore za to namestitev in po potrebi pritegne Ciscovo podporo. V vozlišču Control Hub lahko uporabljate obvestila na zaslonu in nastavite opozorila prek e-pošte.
-
Razumevanje pogostih opozoril, korakov za odpravljanje težav in znanih težav-Če naletite na težave pri uvajanju ali uporabi Hybrid Data Security, vam lahko zadnje poglavje tega priročnika in dodatek Znane težave pomagata ugotoviti in odpraviti težavo.
Hibridni model uvajanja varnosti podatkov
V podatkovnem središču podjetja namestite hibridno varovanje podatkov kot eno samo gručo vozlišč na ločenih navideznih gostiteljih. Vozlišča komunicirajo z oblakom Webex prek varnih spletnih vtičnic in varnega protokola HTTP.
Med postopkom namestitve vam zagotovimo datoteko OVA za namestitev navidezne naprave na virtualne računalnike, ki jih zagotovite. Z orodjem HDS Setup Tool ustvarite konfiguracijsko datoteko ISO po meri gruče, ki jo namestite na vsako vozlišče. Grozd Hybrid Data Security uporablja strežnik Syslogd in podatkovno zbirko PostgreSQL ali Microsoft SQL Server. (Podrobnosti o povezavi Syslogd in podatkovne baze konfigurirate v orodju HDS Setup Tool.)
Najmanjše število vozlišč v gruči sta dve. Priporočamo vsaj tri na gručo. Več vozlišč zagotavlja, da storitev ni prekinjena med nadgradnjo programske opreme ali drugimi vzdrževalnimi dejavnostmi v vozlišču. (Oblak Webex nadgradi le eno vozlišče naenkrat.)
Vsa vozlišča v gruči dostopajo do istega podatkovnega skladišča ključev in beležijo dejavnost v isti strežnik syslog. Sama vozlišča so brez stanja in po navodilih oblaka krožno obdelujejo zahtevke za ključe.
Vozlišča postanejo aktivna, ko jih registrirate v vozlišču Control Hub. Posamezno vozlišče lahko odjavite iz uporabe in ga pozneje po potrebi ponovno registrirate.
Podpiramo le eno gručo na organizacijo.
Hibridna varnost podatkov v poskusnem načinu
Ko nastavite namestitev hibridne varnosti podatkov, jo najprej preizkusite z nizom pilotnih uporabnikov. Med poskusnim obdobjem ti uporabniki uporabljajo lokalno domeno Hybrid Data Security za šifrirne ključe in druge storitve varnostnega področja. Drugi uporabniki še naprej uporabljajo varnostno območje v oblaku.
Če se odločite, da med poskusnim obdobjem ne boste nadaljevali z uvajanjem, in deaktivirate storitev, bodo pilotni uporabniki in vsi uporabniki, s katerimi so sodelovali z ustvarjanjem novih prostorov med poskusnim obdobjem, izgubili dostop do sporočil in vsebine. V aplikaciji Webex se bo prikazalo sporočilo "Tega sporočila ni mogoče dešifrirati".
Če ste prepričani, da namestitev dobro deluje za poskusne uporabnike, in ste pripravljeni razširiti hibridno varovanje podatkov na vse uporabnike, prenesite namestitev v produkcijo. Pilotni uporabniki imajo še naprej dostop do ključev, ki so jih uporabljali med poskusnim delom. Vendar se ne morete premikati med produkcijskim načinom in prvotnim poskusnim delom. Če morate deaktivirati storitev, na primer zaradi obnovitve po nesreči, morate ob ponovni aktivaciji začeti novo poskusno različico in nastaviti nabor pilotnih uporabnikov za novo poskusno različico, preden se vrnete v produkcijski način. Ali uporabniki na tej točki ohranijo dostop do podatkov, je odvisno od tega, ali ste uspešno vzdrževali varnostne kopije shrambe ključnih podatkov in konfiguracijske datoteke ISO za vozlišča Hybrid Data Security v gruči.
Rezervni podatkovni center za obnovitev po nesreči
Med uvajanjem vzpostavite varen rezervni podatkovni center. V primeru okvare podatkovnega centra lahko namestitev ročno prenesete v rezervni podatkovni center.
Podatkovne zbirke aktivnega in rezervnega podatkovnega centra so med seboj sinhronizirane, kar skrajša čas, potreben za izvedbo preklopa. Datoteka ISO rezervnega podatkovnega središča je posodobljena z dodatnimi konfiguracijami, ki zagotavljajo, da so vozlišča registrirana v organizaciji, vendar ne obdelujejo prometa. Zato so vozlišča rezervnega podatkovnega centra vedno posodobljena z najnovejšo različico programske opreme HDS.
Aktivna vozlišča Hybrid Data Security morajo biti vedno v istem podatkovnem centru kot aktivni strežnik podatkovne zbirke.
Nastavitev rezervnega podatkovnega centra za obnovitev po nesreči
Po spodnjih korakih konfigurirajte datoteko ISO rezervnega podatkovnega središča:
Preden začnete
-
Rezervni podatkovni center mora biti zrcalno podoben produkcijskemu okolju virtualnih strojev in rezervni podatkovni bazi PostgreSQL ali Microsoft SQL Server. Če so na primer v produkcijskem okolju 3 virtualni stroji z vozlišči HDS, morajo biti v varnostnem okolju 3 virtualni stroji. (Za pregled tega modela prehoda v sili glejte Rezervni podatkovni center za obnovitev po nesreči .)
-
Prepričajte se, da je omogočena sinhronizacija zbirke podatkov med zbirko podatkov aktivnega in pasivnega vozlišča gruče.
1 |
Zagon orodja HDS Setup in sledite korakom, navedenim v poglavju Create a Configuration ISO for the HDS Hosts. Datoteka ISO mora biti kopija originalne datoteke ISO primarnega podatkovnega centra, na kateri bodo izvedene naslednje posodobitve konfiguracije. |
2 |
Ko konfigurirate strežnik Syslogd, kliknite na Advanced Settings. |
3 |
Na strani Advanced Settings dodajte spodnjo konfiguracijo, da vozlišče preklopite v pasivni način. V tem načinu bo vozlišče registrirano v organizaciji in povezano z oblakom, vendar ne bo izvajalo nobenega prometa.
|
4 |
Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga boste zlahka našli. |
5 |
Naredite varnostno kopijo datoteke ISO v lokalnem sistemu. Varnostno kopijo hranite na varnem. Ta datoteka vsebuje glavni šifrirni ključ za vsebino zbirke podatkov. Omejite dostop samo tistim skrbnikom programa Hybrid Data Security, ki morajo izvajati spremembe konfiguracije. |
6 |
V levem navigacijskem podoknu odjemalca VMware vSphere desno kliknite na VM in kliknite Edit Settings.. |
7 |
Kliknite Edit Settings >CD/DVD Drive 1 in izberite Datastore ISO File. Prepričajte se, da sta označeni možnosti Connected in Connect at power on , da bodo posodobljene spremembe konfiguracije začele veljati po zagonu vozlišč. |
8 |
Vključite vozlišče HDS in se prepričajte, da vsaj 15 minut ni alarmov. |
9 |
Postopek ponovite za vsa vozlišča v rezervnem podatkovnem središču. V dnevnikih syslog preverite, ali so vozlišča v pasivnem načinu. V dnevniku syslogs bi moralo biti prikazano sporočilo "KMS konfiguriran v pasivnem načinu". |
Kaj storiti naprej
Ko v datoteki ISO konfigurirate passiveMode
in jo shranite, lahko ustvarite drugo kopijo datoteke ISO brez konfiguracije passiveMode
in jo shranite na varno mesto. Ta kopija datoteke ISO brez konfiguriranega passiveMode
lahko pomaga pri hitrem postopku preklopa na drugo napravo med obnovitvijo po nesreči. Za podroben postopek preklopa v primeru odpovedi glejte Disaster Recovery using Standby Data Center .
Podpora za proxy strežnike
Hibridna varnost podatkov podpira eksplicitne, pregledne in nepregledne proxyje. Te proxyje lahko povežete z namestitvijo, tako da lahko zaščitite in spremljate promet iz podjetja v oblak. Po nastavitvi posrednika v vozliščih lahko za upravljanje certifikatov in preverjanje splošnega stanja povezljivosti v vozliščih uporabljate upraviteljski vmesnik platforme v vozliščih.
Vozlišča Hybrid Data Security podpirajo naslednje možnosti posrednikov:
-
No proxy- privzeto, če za vključitev posrednika ne uporabljate konfiguracije HDS Trust Store & Proxy v nastavitvah vozlišča. Posodobitev certifikata ni potrebna.
-
Transparentni nezahteven posredniški strežnik- Vozlišča niso konfigurirana za uporabo določenega naslova posredniškega strežnika in za delovanje z nezahtevenim posredniškim strežnikom ne bi smela zahtevati nobenih sprememb. Posodobitev certifikata ni potrebna.
-
Transparent tunneling or inspecting proxy-Vmesniki niso konfigurirani za uporabo določenega naslova strežnika proxy. V vozliščih ni treba spremeniti konfiguracije HTTP ali HTTPS. Vendar pa vozlišča potrebujejo korensko potrdilo, da lahko zaupajo posredniku. Proxyje za pregledovanje običajno uporabljajo oddelki IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta posredniškega strežnika dešifrira ves vaš promet (tudi HTTPS).
-
Izrecni posrednik- Z izrecnim posrednikom vozliščem HDS poveste, kateri posredniški strežnik in shemo avtentikacije naj uporabijo. Če želite konfigurirati eksplicitni posrednik, morate v vsako vozlišče vnesti naslednje informacije:
-
Proxy IP/FQDN-Adres, s katerim lahko dosežete proxy napravo.
-
Proxy Port-Številka vrat, ki jih proxy uporablja za poslušanje posredovanega prometa.
-
Protokol posredniškega strežnika- Glede na to, kaj podpira vaš posredniški strežnik, lahko izbirate med naslednjimi protokoli:
-
HTTP - pregleduje in nadzoruje vse zahteve, ki jih pošlje odjemalec.
-
HTTPS - zagotavlja kanal do strežnika. Odjemalec prejme in potrdi strežnikovo potrdilo.
-
-
Vrsta avtentikacije- Izberite eno od naslednjih vrst avtentikacije:
-
Ni - nadaljnje preverjanje pristnosti ni potrebno.
Na voljo, če kot protokol proxy izberete HTTP ali HTTPS.
-
Basic- Uporablja se za uporabniškega agenta HTTP, da pri zahtevku navede uporabniško ime in geslo. Uporablja kodiranje Base64.
Na voljo, če kot protokol proxy izberete HTTP ali HTTPS.
Zahteva vnos uporabniškega imena in gesla na vsakem vozlišču.
-
Digest- Uporablja se za potrditev računa pred pošiljanjem občutljivih informacij. Pred pošiljanjem po omrežju uporabniško ime in geslo opremi s funkcijo hash.
Na voljo samo, če kot protokol posrednika izberete HTTPS.
Zahteva vnos uporabniškega imena in gesla na vsakem vozlišču.
-
-
Primer hibridnih vozlišč za varnost podatkov in posredniškega strežnika
Ta diagram prikazuje primer povezave med hibridnim sistemom za varnost podatkov, omrežjem in posredniškim strežnikom. Za možnosti preglednega pregledovanja in izrecnega pregledovanja HTTPS prek posrednika mora biti v posredniku in vozliščih Hybrid Data Security nameščeno isto korensko potrdilo.
Način blokirane zunanje resolucije DNS (eksplicitne konfiguracije proxy strežnikov)
Ko registrirate vozlišče ali preverite konfiguracijo posredniškega strežnika vozlišča, postopek preizkusi iskanje DNS in povezljivost z oblakom Cisco Webex. Če v namestitvah z izrecnimi konfiguracijami posrednikov, ki ne omogočajo zunanjega razreševanja DNS za notranje odjemalce, vozlišče ne more poizvedovati po strežnikih DNS, samodejno preide v način blokiranega zunanjega razreševanja DNS. V tem načinu se lahko nadaljuje registracija vozlišča in drugi preskusi povezljivosti posrednika.
Priprava okolja
Zahteve za varnost hibridnih podatkov
Zahteve za licenco Cisco Webex
Uvajanje hibridne varnosti podatkov:
-
Imeti morate paket Pro Pack za Cisco Webex Control Hub. (Glej https://www.cisco.com/go/pro-pack.)
Zahteve za namizje Docker
Preden namestite vozlišča HDS, morate na namizju Docker Desktop zagnati namestitveni program. Docker je pred kratkim posodobil svoj model licenciranja. Vaša organizacija bo morda zahtevala plačljivo naročnino za program Docker Desktop. Za podrobnosti glejte objavo na Dockerjevem blogu " Docker posodablja in razširja naročnine na izdelke".
Zahteve za potrdilo X.509
Veriga potrdil mora izpolnjevati naslednje zahteve:
Zahteva |
Podrobnosti |
---|---|
|
Privzeto zaupamo CA s seznama Mozilla (razen WoSign in StartCom) na naslovu https://wiki.mozilla.org/CA:IncludedCAs. |
|
Ni treba, da je CN dosegljiv ali da je gostitelj v živo. Priporočamo, da uporabite ime, ki odraža vašo organizacijo, na primer CN ne sme vsebovati * (nadomestni znak). CN se uporablja za preverjanje vozlišč hibridne varnosti podatkov za odjemalce aplikacije Webex. Vsa vozlišča Hybrid Data Security v gruči uporabljajo isto potrdilo. Vaša KMS se identificira z domeno CN in ne s katero koli domeno, ki je opredeljena v poljih x.509v3 SAN. Ko enkrat registrirate vozlišče s tem potrdilom, ne podpiramo spreminjanja imena domene CN. Izberite domeno, ki se lahko uporablja tako za poskusno kot za produkcijsko namestitev. |
|
Programska oprema KMS ne podpira podpisov SHA1 za potrjevanje povezav s KMS drugih organizacij. |
|
Za spremembo oblike potrdila lahko uporabite pretvornik, kot je OpenSSL. Geslo boste morali vnesti, ko boste zagnali orodje za nastavitev HDS. |
Programska oprema KMS ne uveljavlja omejitev uporabe ključa ali razširjene uporabe ključa. Nekateri organi za potrdila zahtevajo, da se za vsako potrdilo uporabijo razširjene omejitve uporabe ključa, kot je na primer preverjanje pristnosti strežnika. Lahko uporabite preverjanje pristnosti strežnika ali druge nastavitve.
Zahteve za virtualne gostitelje
Navidezni gostitelji, ki jih boste nastavili kot vozlišča hibridne varnosti podatkov v gruči, imajo naslednje zahteve:
-
Vsaj dva ločena gostitelja (priporočljivo 3), nameščena v istem varnem podatkovnem centru.
-
Nameščen in zagnan sistem VMware ESXi 6.5 (ali novejši).
Če imate prejšnjo različico ESXi, morate nadgraditi.
-
Najmanj 4 vCPU, 8 GB glavnega pomnilnika, 30 GB prostora na lokalnem trdem disku na strežnik
Zahteve za strežnik zbirke podatkov
Ustvarite novo zbirko podatkov za shranjevanje ključev. Ne uporabljajte privzete zbirke podatkov. Aplikacije HDS ob namestitvi ustvarijo shemo podatkovne zbirke.
Na voljo sta dve možnosti za strežnik zbirke podatkov. Zahteve za vsako od njih so naslednje:
PostgreSQL |
Microsoft SQL Server |
---|---|
|
|
Najmanj 8 vCPU, 16 GB glavnega pomnilnika, dovolj prostora na trdem disku in spremljanje, da se zagotovi, da ni presežen (priporočljivo je 2 TB, če želite podatkovno zbirko uporabljati dlje časa brez potrebe po povečanju pomnilnika). |
Najmanj 8 vCPU, 16 GB glavnega pomnilnika, dovolj prostora na trdem disku in spremljanje, da se zagotovi, da ni presežen (priporočljivo je 2 TB, če želite podatkovno zbirko uporabljati dlje časa brez potrebe po povečanju pomnilnika). |
Programska oprema HDS trenutno za komunikacijo s strežnikom podatkovne zbirke namesti naslednje različice gonilnikov:
PostgreSQL |
Microsoft SQL Server |
---|---|
Gonilnik Postgres JDBC 42.2.5 |
Gonilnik SQL Server JDBC 4.6 Ta različica gonilnika podpira SQL Server Always On ( Always On Failover Cluster Instances in Always On availability groups). |
Dodatne zahteve za preverjanje pristnosti sistema Windows v strežniku Microsoft SQL Server
Če želite, da vozlišča HDS uporabljajo avtentikacijo Windows za dostop do podatkovne zbirke shrambe ključev v strežniku Microsoft SQL Server, morate v svojem okolju uporabiti naslednjo konfiguracijo:
-
Vozlišča HDS, infrastruktura Active Directory in strežnik MS SQL Server morajo biti sinhronizirani z NTP.
-
Račun Windows, ki ga zagotovite vozliščem HDS, mora imeti dostop do podatkovne zbirke za branje/pisanje.
-
Strežniki DNS, ki jih zagotavljate vozliščem HDS, morajo biti sposobni razrešiti center za distribucijo ključev (KDC).
-
Primer podatkovne zbirke HDS v strežniku Microsoft SQL Server lahko registrirate kot Service Principal Name (SPN) v imeniku Active Directory. Glejte Registracija glavnega imena storitve za povezave Kerberos.
Orodje za namestitev HDS, zaganjalnik HDS in lokalna KMS morajo za dostop do podatkovne zbirke shrambe ključev uporabljati avtentikacijo Windows. Pri zahtevi za dostop s preverjanjem pristnosti Kerberos uporabijo podrobnosti iz vaše konfiguracije ISO za sestavo SPN.
Zahteve za zunanjo povezljivost
Požarni zid konfigurirajte tako, da aplikacijam HDS omogočite naslednje povezave:
Aplikacija |
Protokol |
Vrata |
Smer iz aplikacije |
Cilj |
---|---|---|---|---|
Hibridna vozlišča za varnost podatkov |
TCP |
443 |
Odhodni HTTPS in WSS |
|
Orodje za nastavitev HDS |
TCP |
443 |
Odhodni HTTPS |
|
Vozlišča Hybrid Data Security delujejo s prevajanjem omrežnega dostopa (NAT) ali za požarnim zidom, če NAT ali požarni zid omogočata zahtevane izhodne povezave do domenskih destinacij iz prejšnje preglednice. Pri povezavah, ki prihajajo v vozlišča Hybrid Data Security, iz interneta ne smejo biti vidna nobena vrata. Odjemalci v podatkovnem središču potrebujejo dostop do vozlišč Hybrid Data Security na vratih TCP 443 in 22 za upravne namene.
URL-ji za gostitelje skupne identitete (CI) so odvisni od regije. To so trenutni gostitelji CI:
Regija |
Skupni naslovi URL gostitelja identitete |
---|---|
Ameriki |
|
Evropska unija |
|
Kanada |
|
Zahteve za proxy strežnik
-
Uradno podpiramo naslednje proxy rešitve, ki se lahko povežejo z vašimi vozlišči za hibridno varnost podatkov.
-
Transparentni proxy-Cisco Web Security Appliance (WSA).
-
Izrecni proxy-Squid.
Proksi strežniki Squid, ki pregledujejo promet HTTPS, lahko motijo vzpostavljanje povezav websocket (wss:). Če želite zaobiti to težavo, glejte Configure Squid Proxyies for Hybrid Data Security.
-
-
Za eksplicitne pooblaščence podpiramo naslednje kombinacije vrst avtentikacije:
-
Brez avtentikacije s HTTP ali HTTPS
-
Osnovno preverjanje pristnosti s protokolom HTTP ali HTTPS
-
Preverjanje pristnosti Digest samo s protokolom HTTPS
-
-
Pri preglednem pregledovalnem posredniku ali izrecnem posredniku HTTPS morate imeti kopijo korenskega potrdila posrednika. V navodilih za namestitev v tem vodniku je opisano, kako naložiti kopijo v shrambe zaupanja vozlišč Hybrid Data Security.
-
Omrežje, v katerem gostujejo vozlišča HDS, mora biti konfigurirano tako, da se odhodni promet TCP na vratih 443 preusmeri prek posredniškega strežnika.
-
Proksi strežniki, ki pregledujejo spletni promet, lahko motijo povezave s spletnimi vtičnicami. Če se ta težava pojavi, jo boste rešili z izogibanjem (ne pregledovanjem) prometa na naslovih
wbx2.com
inciscospark.com
.
Izpolnite predpogoje za hibridno varnost podatkov
1 |
Prepričajte se, da je v organizaciji Webex omogočen paket Pro Pack za Cisco Webex Control Hub, in pridobite poverilnice računa s polnimi pravicami skrbnika organizacije. Za pomoč pri tem postopku se obrnite na Ciscovega partnerja ali skrbnika računa. |
2 |
Izberite ime domene za namestitev HDS (na primer |
3 |
Pripravite identične virtualne gostitelje, ki jih boste nastavili kot vozlišča hibridne varnosti podatkov v gruči. Potrebujete vsaj dva ločena gostitelja (priporočamo 3), ki sta nameščena v istem varnem podatkovnem središču in izpolnjujeta zahteve iz Virtual Host Requirements. |
4 |
Pripravite strežnik podatkovne zbirke, ki bo deloval kot ključna podatkovna shramba za gručo, v skladu z zahtevami strežnika podatkovne zbirke .. Strežnik zbirke podatkov mora biti nameščen v varnem podatkovnem središču skupaj z virtualnimi gostitelji. |
5 |
Za hitro obnovitev po nesreči vzpostavite rezervno okolje v drugem podatkovnem središču. Varnostno okolje odraža produkcijsko okolje z virtualnimi napravami in strežnikom za varnostno kopijo podatkovne zbirke. Če so na primer v produkcijskem okolju 3 virtualni stroji z vozlišči HDS, morajo biti v varnostnem okolju 3 virtualni stroji. |
6 |
Nastavite gostitelja syslog za zbiranje dnevniških zapisov iz vozlišč v gruči. Zberite njegov omrežni naslov in vrata sysloga (privzeto je UDP 514). |
7 |
Ustvarite politiko varnega varnostnega kopiranja za vozlišča Hybrid Data Security, strežnik zbirke podatkov in gostitelja sysloga. Če želite preprečiti izgubo podatkov, ki je ni mogoče obnoviti, morate izdelati vsaj varnostno kopijo podatkovne zbirke in konfiguracijske datoteke ISO, ustvarjene za vozlišča Hybrid Data Security. Ker se v vozliščih hibridnega varovanja podatkov hranijo ključi, ki se uporabljajo pri šifriranju in dešifriranju vsebine, bo nezmožnost vzdrževanja delujoče namestitve povzročila NEODSTRANJIVO IZGUBO te vsebine. Odjemalci aplikacije Webex imajo ključe v predpomnilniku, zato izpad morda ne bo takoj opazen, vendar se bo pokazal čez čas. Čeprav začasnih izpadov ni mogoče preprečiti, jih je mogoče odpraviti. Vendar pa popolna izguba (brez razpoložljivih varnostnih kopij) podatkovne zbirke ali konfiguracijske datoteke ISO povzroči, da podatkov o strankah ni mogoče obnoviti. Od upravljavcev vozlišč hibridne varnosti podatkov se pričakuje, da pogosto vzdržujejo varnostne kopije podatkovne zbirke in konfiguracijske datoteke ISO ter so pripravljeni na obnovo podatkovnega centra hibridne varnosti podatkov, če pride do katastrofalne okvare. |
8 |
Prepričajte se, da konfiguracija požarnega zidu omogoča povezljivost za vozlišča hibridnega varovanja podatkov, kot je opisano v Zahteve za zunanjo povezljivost. |
9 |
Namestite Docker ( https://www.docker.com) v kateri koli lokalni računalnik s podprtim operacijskim sistemom (Microsoft Windows 10 Professional ali Enterprise 64-bit ali Mac OSX Yosemite 10.10.3 ali novejši) s spletnim brskalnikom, ki omogoča dostop do njega na http://127.0.0.1:8080. Z instanco Docker prenesete in zaženete orodje HDS Setup Tool, ki ustvari lokalne konfiguracijske informacije za vsa vozlišča Hybrid Data Security. Vaša organizacija bo morda potrebovala licenco Docker Desktop. Za več informacij glejte Zahteve za namizje Docker . Za namestitev in zagon orodja za namestitev HDS mora imeti lokalni računalnik povezljivost, opisano v Zahteve za zunanjo povezljivost. |
10 |
Če povezujete posredniški strežnik s sistemom Hybrid Data Security, se prepričajte, da izpolnjuje zahteve strežnika Proxy Server Requirements. |
11 |
Če vaša organizacija uporablja sinhronizacijo imenikov, v imeniku Active Directory ustvarite skupino z imenom Ključe za določen prostor določi njegov ustvarjalec. Pri izbiri pilotnih uporabnikov upoštevajte, da če se odločite za trajno deaktiviranje hibridne namestitve varovanja podatkov, vsi uporabniki izgubijo dostop do vsebine v prostorih, ki so jih ustvarili pilotni uporabniki. Izguba je vidna takoj, ko aplikacije uporabnikov osvežijo svoje predpomnilniške kopije vsebine. |
Vzpostavitev hibridne gruče za varnost podatkov
Potek opravil pri uvajanju hibridne varnosti podatkov
Preden začnete
1 |
Izvedite začetno nastavitev in prenesite namestitvene datoteke Datoteko OVA prenesite v lokalni računalnik za poznejšo uporabo. |
2 |
Ustvarite konfiguracijski ISO za gostitelje HDS Z orodjem HDS Setup Tool ustvarite konfiguracijsko datoteko ISO za vozlišča Hybrid Data Security. |
3 |
Ustvarite navidezni stroj iz datoteke OVA in izvedite začetno konfiguracijo, kot so omrežne nastavitve. Možnost konfiguracije omrežnih nastavitev med namestitvijo OVA je bila preizkušena s sistemom ESXi 6.5. Ta možnost morda ni na voljo v prejšnjih različicah. |
4 |
Nastavitev hibridnega VM za varnost podatkov Prijavite se v konzolo VM in nastavite poverilnice za prijavo. Konfigurirajte omrežne nastavitve za vozlišče, če jih niste konfigurirali ob namestitvi OVA. |
5 |
Prenos in namestitev konfiguracijskega ISO HDS Konfigurirajte VM iz konfiguracijske datoteke ISO, ki ste jo ustvarili z orodjem HDS Setup Tool. |
6 |
Konfiguracija vozlišča HDS za integracijo proxy strežnika Če omrežno okolje zahteva konfiguracijo posrednika, določite vrsto posrednika, ki ga boste uporabili za vozlišče, in po potrebi dodajte potrdilo posrednika v shrambo zaupanja. |
7 |
Registracija prvega vozlišča v gruči Registrirajte VM v oblaku Cisco Webex kot vozlišče hibridne varnosti podatkov. |
8 |
Ustvarjanje in registracija več vozlišč Dokončajte nastavitev gruče. |
9 |
Poskusno izvajanje in prehod na produkcijo (naslednje poglavje) Dokler ne začnete poskusnega delovanja, vozlišča ustvarjajo alarm, ki označuje, da vaša storitev še ni aktivirana. |
Prenos namestitvenih datotek
1 |
Prijavite se v spletno mesto https://admin.webex.com in nato kliknite Storitve. |
2 |
V razdelku Hibridne storitve poiščite kartico Hybrid Data Security in kliknite Set up. Če je kartica onemogočena ali je ne vidite, se obrnite na svojo ekipo za račune ali partnersko organizacijo. Navedite številko računa in prosite, da vaši organizaciji omogočijo hibridno varnost podatkov. Če želite poiskati številko računa, kliknite zobnik v zgornjem desnem kotu poleg imena organizacije. Program OVA lahko kadar koli prenesete tudi iz razdelka Pomoč na strani Nastavitve . Na kartici Hibridna varnost podatkov kliknite Uredi nastavitve , da se odpre stran. Nato v razdelku Pomoč kliknite Prenesi programsko opremo Hybrid Data Security . Starejše različice programskega paketa (OVA) ne bodo združljive z najnovejšimi nadgradnjami Hybrid Data Security. To lahko povzroči težave pri nadgradnji aplikacije. Prepričajte se, da ste prenesli najnovejšo različico datoteke OVA. |
3 |
Izberite No , da označite, da vozlišča še niste nastavili, nato pa kliknite Next. Datoteka OVA se samodejno začne prenašati. Datoteko shranite na mesto v računalniku.
|
4 |
Po želji kliknite Open Deployment Guide in preverite, ali je na voljo novejša različica tega vodnika. |
Ustvarite konfiguracijski ISO za gostitelje HDS
Postopek nastavitve hibridne zaščite podatkov ustvari datoteko ISO. ISO nato uporabite za konfiguracijo gostitelja za hibridno varnost podatkov.
Preden začnete
-
Orodje HDS Setup se zažene kot vsebnik Docker v lokalnem računalniku. Če želite do njega dostopati, zaženite program Docker v tem računalniku. Postopek namestitve zahteva poverilnice računa Control Hub s polnimi skrbniškimi pravicami za vašo organizacijo.
Če se orodje HDS Setup v vašem okolju izvaja za posrednikom, določite nastavitve posrednika (strežnik, vrata, poverilnice) s spremenljivkami okolja Docker, ko v koraku prikličete vsebnik Docker 5. V tej tabeli so navedene nekatere možne spremenljivke okolja:
Opis
Spremenljivka
Proxy strežnik HTTP brez avtentikacije
GLOBALNO_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS brez avtentikacije
GLOBALNO_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Proxy strežnik HTTP z avtentikacijo
GLOBALNO_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS z avtentikacijo
GLOBALNO_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Konfiguracijska datoteka ISO, ki jo ustvarite, vsebuje glavni ključ za šifriranje podatkovne zbirke PostgreSQL ali Microsoft SQL Server. Najnovejšo kopijo te datoteke potrebujete vedno, ko spreminjate konfiguracijo, kot so te spremembe:
-
Pooblastila zbirke podatkov
-
Posodobitve certifikata
-
Spremembe pravilnika o avtorizaciji
-
-
Če nameravate šifrirati povezave s podatkovno bazo, nastavite namestitev PostgreSQL ali SQL Serverja za TLS.
1 |
V ukazno vrstico računalnika vnesite ukaz, ki ustreza vašemu okolju: V običajnih okoljih: V okoljih FedRAMP: V tem koraku očistite prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete. | ||||||||||
2 |
Če se želite prijaviti v register slik Docker, vnesite naslednje: | ||||||||||
3 |
Na poziv za geslo vnesite to geslo: | ||||||||||
4 |
Prenesite najnovejšo stabilno sliko za svoje okolje: V običajnih okoljih: V okoljih FedRAMP: | ||||||||||
5 |
Ko se poteg konča, vnesite ustrezen ukaz za svoje okolje:
Ko se vsebnik zažene, se prikaže "Express strežnik posluša na vratih 8080." | ||||||||||
6 |
Orodje za namestitev ne podpira povezovanja z lokalnim gostiteljem prek spletne strani http://localhost:8080. Uporabite http://127.0.0.1:8080 za povezavo z lokalnim gostiteljem. S spletnim brskalnikom pojdite na lokalni gostitelj, Orodje ta prvi vnos uporabniškega imena uporabi za nastavitev ustreznega okolja za ta račun. Orodje nato prikaže standardni poziv za prijavo. | ||||||||||
7 |
Ko se prikaže poziv, vnesite svoje prijavne podatke skrbnika stranke Control Hub in nato kliknite Prijava v , da omogočite dostop do zahtevanih storitev za Hybrid Data Security. | ||||||||||
8 |
Na strani s pregledom orodja Setup Tool kliknite Get Started. | ||||||||||
9 |
Na strani ISO Import so na voljo naslednje možnosti:
| ||||||||||
10 |
Preverite, ali vaše potrdilo X.509 izpolnjuje zahteve iz X.509 Certificate Requirements.
| ||||||||||
11 |
Vnesite naslov podatkovne zbirke in račun za dostop do ključnega podatkovnega skladišča HDS: | ||||||||||
12 |
Izberite način povezave s podatkovno bazo TLS:
Ko naložite korensko potrdilo (če je potrebno) in kliknete Nadaljuj, orodje HDS Setup Tool preizkusi povezavo TLS s strežnikom podatkovne zbirke. Orodje preveri tudi podpisnika potrdila in ime gostitelja, če je primerno. Če test ni uspešen, orodje prikaže sporočilo o napaki z opisom težave. Odločite se lahko, ali boste napako prezrli in nadaljevali z nastavitvijo. (Zaradi razlik v povezljivosti lahko vozlišča HDS vzpostavijo povezavo TLS, čeprav je naprava HDS Setup Tool ne more uspešno preizkusiti.) | ||||||||||
13 |
Na strani Sistemski dnevniki konfigurirajte strežnik Syslogd: | ||||||||||
14 |
(Neobvezno) Privzeto vrednost nekaterih parametrov povezave s podatkovno bazo lahko spremenite v razdelku Dodatne nastavitve. Na splošno je ta parameter edini, ki ga boste morda želeli spremeniti: | ||||||||||
15 |
Kliknite Nadaljuj na zaslonu Ponastavitev gesla za storitvene račune . Gesla za storitvene račune imajo devetmesečno življenjsko dobo. Ta zaslon uporabite, ko geslom poteče veljavnost ali jih želite ponastaviti, da razveljavite prejšnje datoteke ISO. | ||||||||||
16 |
Kliknite Prenos datoteke ISO. Datoteko shranite na mesto, ki ga boste zlahka našli. | ||||||||||
17 |
Naredite varnostno kopijo datoteke ISO v lokalnem sistemu. Varnostno kopijo hranite na varnem. Ta datoteka vsebuje glavni šifrirni ključ za vsebino zbirke podatkov. Omejite dostop samo tistim skrbnikom programa Hybrid Data Security, ki morajo izvajati spremembe konfiguracije. | ||||||||||
18 |
Če želite zaustaviti orodje Setup, vnesite |
Kaj storiti naprej
Ustvarite varnostno kopijo konfiguracijske datoteke ISO. Potrebujete ga za ustvarjanje več vozlišč za obnovitev ali za spreminjanje konfiguracije. Če izgubite vse kopije datoteke ISO, ste izgubili tudi glavni ključ. Obnovitev ključev iz podatkovne zbirke PostgreSQL ali Microsoft SQL Server ni mogoča.
Nikoli nimamo kopije tega ključa in vam ne moremo pomagati, če ga izgubite.
Namestitev HDS Host OVA
1 |
Z odjemalcem VMware vSphere v računalniku se prijavite v navidezni gostitelj ESXi. |
2 |
Izberite Datoteka > Namestitev predloge OVF. |
3 |
V čarovniku določite lokacijo datoteke OVA, ki ste jo prenesli prej, in kliknite Next. |
4 |
Na strani Select a name and folder vnesite Virtual machine name za vozlišče (na primer "HDS_Node_1"), izberite lokacijo, kjer se lahko nahaja namestitev vozlišča virtualnega stroja, in nato kliknite Next. |
5 |
Na strani Select a compute resource izberite ciljni računski vir in kliknite Next. Izvede se preverjanje veljavnosti. Ko se zaključi, se prikažejo podrobnosti o predlogi. |
6 |
Preverite podrobnosti predloge in kliknite Next. |
7 |
Če morate na strani Configuration izbrati konfiguracijo virov, kliknite 4 CPU in nato kliknite Next. |
8 |
Na strani Select storage kliknite Next , da sprejmete privzeto obliko diska in politiko shranjevanja VM. |
9 |
Na strani Izberite omrežja s seznama vnosov izberite možnost omrežja, ki zagotavlja želeno povezljivost z VM. |
10 |
Na strani Prilagodi predlogo konfigurirajte naslednje omrežne nastavitve:
Če želite, lahko preskočite konfiguracijo omrežnih nastavitev in za konfiguracijo nastavitev iz konzole vozlišča sledite korakom v razdelku Set up the Hybrid Data Security VM . Možnost konfiguracije omrežnih nastavitev med namestitvijo OVA je bila preizkušena s sistemom ESXi 6.5. Ta možnost morda ni na voljo v prejšnjih različicah. |
11 |
Z desno tipko miške kliknite vozlišče VM in izberite .Programska oprema Hybrid Data Security je nameščena kot gost v gostitelju VM. Zdaj se lahko prijavite v konzolo in konfigurirate vozlišče. Nasveti za odpravljanje težav Preden se zabojniki vozlišč prikažejo, lahko pride do nekajminutne zamude. Med prvim zagonom, med katerim se ne morete prijaviti, se na konzoli prikaže sporočilo o požarnem zidu mostu. |
Nastavitev hibridnega VM za varnost podatkov
S tem postopkom se prvič prijavite v konzolo VM vozlišča Hybrid Data Security in nastavite poverilnice za prijavo. V konzoli lahko tudi konfigurirate omrežne nastavitve za vozlišče, če jih niste konfigurirali ob namestitvi OVA.
1 |
V odjemalcu VMware vSphere izberite VM vozlišča Hybrid Data Security in zavihek Console . VM se zažene in pojavi se poziv za prijavo. Če se poziv za prijavo ne prikaže, pritisnite Enter.
|
2 |
Za prijavo in spremembo poverilnic uporabite naslednje privzeto uporabniško ime in geslo: Ker se prvič prijavljate v svoj virtualni stroj, morate spremeniti skrbniško geslo. |
3 |
Če ste omrežne nastavitve že konfigurirali v razdelku Namestitev HDS Host OVA, preskočite preostanek tega postopka. V nasprotnem primeru v glavnem meniju izberite možnost Edit Configuration . |
4 |
Nastavite statično konfiguracijo z naslovom IP, masko, prehodom in informacijami DNS. Vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt. |
5 |
(Neobvezno) Po potrebi spremenite ime gostitelja, domeno ali strežnik(-e) NTP, da bo ustrezal vaši politiki omrežja. Domene ni treba nastaviti tako, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509. |
6 |
Shranite omrežno konfiguracijo in ponovno zaženite VM, da bodo spremembe začele veljati. |
Prenos in namestitev konfiguracijskega ISO HDS
Preden začnete
Ker je v datoteki ISO shranjen glavni ključ, mora biti izpostavljen le na podlagi "potrebe po seznanitvi", in sicer za dostop hibridnih virtualnih strojev za varnost podatkov in vseh skrbnikov, ki bi morda morali uvesti spremembe. Prepričajte se, da lahko do podatkovnega skladišča dostopajo samo ti skrbniki.
1 |
Datoteko ISO prenesite iz računalnika: |
2 |
Namestite datoteko ISO: |
Kaj storiti naprej
Če to zahteva vaš pravilnik IT, lahko po želji odstranite datoteko ISO, ko vsa vozlišča prevzamejo spremembe konfiguracije. Za podrobnosti glejte (Optional) Unmount ISO After HDS Configuration .
Konfiguracija vozlišča HDS za integracijo proxy strežnika
Če omrežno okolje zahteva posrednika, s tem postopkom določite vrsto posrednika, ki ga želite integrirati s sistemom Hybrid Data Security. Če izberete pregledni pregledovalni posrednik ali eksplicitni posrednik HTTPS, lahko za prenos in namestitev korenskega potrdila uporabite vmesnik vozlišča. V vmesniku lahko preverite tudi povezavo proxy in odpravite morebitne težave.
Preden začnete
-
Za pregled podprtih možnosti posrednikov glejte Proxy Support .
1 |
V spletni brskalnik vnesite URL za nastavitev vozlišča HDS |
2 |
Pojdite na Trust Store & Proxy, nato pa izberite možnost:
Sledite naslednjim korakom za pregledni pregledovalni posrednik, izrecni posrednik HTTP z osnovnim preverjanjem pristnosti ali izrecni posrednik HTTPS. |
3 |
Kliknite Upload a Root Certificate or End Entity Certificate, nato pa se pomaknite do in izberite korensko potrdilo za posrednika. Potrdilo je naloženo, vendar še ni nameščeno, saj morate vozlišče znova zagnati, da bi namestili potrdilo. Če želite dobiti več podrobnosti, kliknite šivankino puščico ob imenu izdajatelja potrdila ali kliknite Delete , če ste se zmotili in želite ponovno naložiti datoteko. |
4 |
Kliknite Check Proxy Connection , da preverite omrežno povezljivost med vozliščem in posrednikom. Če preizkus povezave ni uspešen, se prikaže sporočilo o napaki, v katerem je naveden razlog in kako lahko težavo odpravite. Če se prikaže sporočilo, da zunanja resolucija DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS. Ta pogoj je pričakovan v številnih konfiguracijah eksplicitnih posrednikov. Nadaljujete lahko z nastavitvijo in vozlišče bo delovalo v načinu blokirane zunanje resolucije DNS. Če menite, da gre za napako, dokončajte te korake in si oglejte spletno mesto Turn off Blocked External DNS Resolution Mode. |
5 |
Ko je test povezave uspešno opravljen, za eksplicitni posrednik, nastavljen samo na https, vklopite preklopno stikalo na . Vse zahteve https na vratih 443/444 iz tega vozlišča usmerite prek eksplicitnega posrednika. Ta nastavitev začne učinkovati šele po 15 sekundah. |
6 |
Kliknite Install All Certificates Into the Trust Store (Namesti vsa potrdila v shrambo zaupanja) (prikaže se pri eksplicitnem posredniku HTTPS ali preglednem pregledovalnem posredniku) ali Reboot (Ponovni zagon) (prikaže se pri eksplicitnem posredniku HTTP), preberite poziv in nato kliknite Install , če ste pripravljeni. Vozlišče se ponovno zažene v nekaj minutah. |
7 |
Po ponovnem zagonu vozlišča se po potrebi znova prijavite in odprite stran Overview ter preverite preverjanja povezljivosti in se prepričajte, da so vsa v zelenem stanju. Pri preverjanju povezave s posrednikom se preveri samo poddomena webex.com. Če pride do težav s povezljivostjo, je pogosta težava ta, da so nekatere domene v oblaku, navedene v navodilih za namestitev, blokirane v posredniškem strežniku. |
Registracija prvega vozlišča v gruči
Ko registrirate prvo vozlišče, ustvarite gručo, v katero je vozlišče dodeljeno. Grozd vsebuje eno ali več vozlišč, nameščenih za zagotavljanje redundance.
Preden začnete
-
Ko začnete registracijo vozlišča, jo morate dokončati v 60 minutah, sicer morate začeti znova.
-
Prepričajte se, da so blokatorji pojavnih oken v brskalniku onemogočeni ali da ste dovolili izjemo za admin.webex.com.
1 |
Prijavite se na https://admin.webex.com. |
2 |
V meniju na levi strani zaslona izberite Storitve. |
3 |
V razdelku Hibridne storitve poiščite možnost Hibridna varnost podatkov in kliknite Set up. Prikaže se stran Register Hybrid Data Security Node.
|
4 |
Izberite Yes , da označite, da ste nastavili vozlišče in ste ga pripravljeni registrirati, nato pa kliknite Next. |
5 |
V prvo polje vnesite ime gruče, ki ji želite dodeliti vozlišče Hybrid Data Security. Priporočamo, da gručo poimenujete glede na geografsko lokacijo vozlišč v gruči. Primeri: "San Francisco" ali "New York" ali "Dallas". |
6 |
V drugo polje vnesite notranji naslov IP ali polno kvalificirano ime domene (FQDN) svojega vozlišča in kliknite Next. Ta naslov IP ali FQDN se mora ujemati z naslovom IP ali imenom gostitelja in domeno, ki ste jih uporabili v Nastavitev hibridnega VM za varnost podatkov. Prikaže se sporočilo, da lahko vozlišče registrirate v Webex.
|
7 |
Kliknite Pojdi na vozlišče. |
8 |
V opozorilnem sporočilu kliknite Nadaljuj . Po nekaj trenutkih boste preusmerjeni na teste povezljivosti vozlišča za storitve Webex. Če so vsi preskusi uspešni, se prikaže stran Dovolite dostop do vozlišča hibridne varnosti podatkov. Tam potrdite, da želite organizaciji Webex dodeliti dovoljenja za dostop do vašega vozlišča.
|
9 |
Označite potrditveno polje Allow Access to Your Hybrid Data Security Node in kliknite Continue. Vaš račun je potrjen in sporočilo "Registracija je končana" označuje, da je vaše vozlišče zdaj registrirano v oblaku Webex.
|
10 |
Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Control Hub Hybrid Data Security. Na strani Hybrid Data Security je prikazana nova gruča, ki vsebuje vozlišče, ki ste ga registrirali. Vozlišče bo samodejno preneslo najnovejšo programsko opremo iz oblaka.
|
Ustvarjanje in registracija več vozlišč
Trenutno so rezervni virtualni stroji, ki ste jih ustvarili v Complete the Prerequisites for Hybrid Data Security , rezervni gostitelji, ki se uporabljajo samo v primeru obnovitve po nesreči; do takrat niso registrirani v sistemu. Za podrobnosti glejte Obnovitev po katastrofi z uporabo rezervnega podatkovnega središča.
Preden začnete
-
Ko začnete registracijo vozlišča, jo morate dokončati v 60 minutah, sicer morate začeti znova.
-
Prepričajte se, da so blokatorji pojavnih oken v brskalniku onemogočeni ali da ste dovolili izjemo za admin.webex.com.
1 |
Ustvarite nov virtualni stroj iz OVA in ponovite korake v poglavju Namestitev HDS Host OVA. |
2 |
Nastavite začetno konfiguracijo v novem virtualnem stroju, pri čemer ponovite korake iz Set up the Hybrid Data Security VM (Nastavitev hibridnega virtualnega stroja za varnost podatkov). |
3 |
V novem virtualnem stroju ponovite korake iz poglavja Naložite in namestite konfiguracijski ISO HDS. |
4 |
Če za namestitev nastavljate posrednika, ponovite korake v Configure the HDS Node for Proxy Integration , kot je potrebno za novo vozlišče. |
5 |
Registrirajte vozlišče. Vozlišče je registrirano. Upoštevajte, da dokler ne začnete poskusnega delovanja, vozlišča ustvarjajo alarm, ki označuje, da vaša storitev še ni aktivirana.
|
Kaj storiti naprej
Izvedite poskusno različico in jo prenesite v produkcijo
Potek opravil od poskusnega do proizvodnega postopka
Ko nastavite gručo Hybrid Data Security, lahko zaženete pilotni projekt, vanjo dodate uporabnike in jo začnete uporabljati za preizkušanje in preverjanje svoje namestitve v okviru priprav na prehod v produkcijo.
Preden začnete
1 |
Če je primerno, sinhronizirajte objekt skupine Če vaša organizacija uporablja sinhronizacijo imenikov za uporabnike, morate za sinhronizacijo v oblak izbrati objekt skupine |
2 |
Aktivirajte poskusno različico Začnite poskusno preskušanje. Dokler ne opravite tega opravila, vozlišča ustvarijo alarm, ki označuje, da storitev še ni aktivirana. |
3 |
Preizkusite namestitev hibridne varnosti podatkov Preverite, ali so ključne zahteve posredovane v hibridno namestitev za varnost podatkov. |
4 |
Spremljanje stanja varnosti hibridnih podatkov Preverite stanje in nastavite e-poštna obvestila za alarme. |
5 | |
6 |
Poskusno fazo zaključite z enim od naslednjih dejanj: |
Aktivirajte poskusno različico
Preden začnete
Če vaša organizacija uporablja sinhronizacijo imenikov za uporabnike, morate izbrati objekt skupine HdsTrialGroup
za sinhronizacijo v oblak, preden lahko zaženete poskusno fazo za svojo organizacijo. Navodila so na voljo v Vodniku za namestitev za Cisco Directory Connector na spletnem mestu .
1 |
Prijavite se v spletno stran https://admin.webex.com in nato izberite Storitve. |
2 |
V razdelku Hibridna varnost podatkov kliknite Settings. |
3 |
V razdelku Status storitve kliknite Start Trial. Status storitve se spremeni v poskusni način.
|
4 |
Kliknite Dodaj uporabnike in vnesite e-poštni naslov enega ali več uporabnikov, ki bodo poskusno uporabljali vaša vozlišča Hybrid Data Security za storitve šifriranja in indeksiranja. (Če vaša organizacija uporablja sinhronizacijo imenikov, za upravljanje poskusne skupine uporabite imenik Active Directory, |
Preizkusite namestitev hibridne varnosti podatkov
Preden začnete
-
Nastavite namestitev hibridne varnosti podatkov.
-
Aktivirajte poskusno različico in dodajte več poskusnih uporabnikov.
-
Zagotovite si dostop do dnevnika syslog, da preverite, ali so zahteve za ključe posredovane vaši namestitvi hibridnega varovanja podatkov.
1 |
Ključe za določen prostor določi njegov ustvarjalec. Prijavite se v aplikacijo Webex kot eden od pilotnih uporabnikov, nato pa ustvarite prostor in povabite vsaj enega pilotnega in enega nepilotnega uporabnika. Če deaktivirate namestitev hibridnega varovanja podatkov, vsebina v prostorih, ki jih ustvarijo pilotski uporabniki, ni več dostopna, ko se zamenjajo kopije šifrirnih ključev, shranjene v odjemalcu. |
2 |
Pošljite sporočila v nov prostor. |
3 |
Preverite izhod sysloga, da preverite, ali so zahteve za ključe posredovane vaši namestitvi Hybrid Data Security. |
Spremljanje stanja varnosti hibridnih podatkov
1 |
V nadzornem središču Control Hub z menija na levi strani zaslona izberite Services . |
2 |
V razdelku Hibridne storitve poiščite Hibridna varnost podatkov in kliknite Nastavitve. Prikaže se stran Hybrid Data Security Settings (Nastavitve varnosti hibridnih podatkov).
|
3 |
V razdelku E-poštna obvestila vnesite enega ali več e-poštnih naslovov, ločenih z vejicami, in pritisnite Enter. |
Dodajanje ali odstranjevanje uporabnikov iz poskusa
Če uporabnika odstranite iz poskusnega obdobja, bo njegov odjemalec zahteval ključe in ustvarjanje ključev iz sistema KMS v oblaku namesto iz vašega sistema KMS. Če odjemalec potrebuje ključ, ki je shranjen v vaši KMS, ga KMS v oblaku pridobi v imenu uporabnika.
Če vaša organizacija uporablja sinhronizacijo imenikov, za upravljanje poskusne skupine uporabite Active Directory (namesto tega postopka), HdsTrialGroup
; člane skupine si lahko ogledate v Control Hubu, vendar jih ne morete dodajati ali odstranjevati.
1 |
Prijavite se v Control Hub in izberite Services. |
2 |
V razdelku Hibridna varnost podatkov kliknite Settings. |
3 |
V razdelku Poskusni način (Trial Mode) na področju Stanje storitve kliknite Dodajanje uporabnikov (Add Users) ali kliknite Pogled in urejanje (view and edit) , če želite odstraniti uporabnike iz poskusnega obdobja. |
4 |
Vnesite e-poštni naslov enega ali več uporabnikov, ki jih želite dodati, ali kliknite X ob ID uporabnika, če želite uporabnika odstraniti iz preizkusa. Nato kliknite Save. |
Prehod iz poskusnega v proizvodni proces
1 |
Prijavite se v Control Hub in izberite Services. |
2 |
V razdelku Hibridna varnost podatkov kliknite Settings. |
3 |
V razdelku Status storitve kliknite Move to Production. |
4 |
Potrdite, da želite vse uporabnike premakniti v produkcijo. |
Zaključite poskusno različico brez prehoda v produkcijo
1 |
Prijavite se v Control Hub in izberite Services. |
2 |
V razdelku Hibridna varnost podatkov kliknite Settings. |
3 |
V razdelku Deaktivirati kliknite Deaktivirati. |
4 |
Potrdite, da želite deaktivirati storitev in končati poskusno obdobje. |
Upravljanje namestitve HDS
Upravljanje namestitve HDS
Z nalogami, opisanimi v tem poglavju, upravljate uvajanje hibridnega varovanja podatkov.
Nastavitev urnika nadgradnje gruče
Nastavitev urnika nadgradnje:
1 |
Prijavite se v Control Hub. |
2 |
Na strani s pregledom v razdelku Hibridne storitve izberite Hibridna varnost podatkov. |
3 |
Na strani Sredstva za hibridno varnost podatkov izberite gručo. |
4 |
Na desni strani plošče s pregledom v razdelku Nastavitve gruče izberite ime gruče. |
5 |
Na strani Nastavitve v razdelku Nadgradnja izberite čas in časovni pas za urnik nadgradnje. Opomba: Pod časovnim pasom se prikaže naslednji razpoložljivi datum in ura nadgradnje. Nadgradnjo lahko po potrebi preložite na naslednji dan, tako da kliknete Postpone. |
Spreminjanje konfiguracije vozlišča
-
spreminjanje potrdil x.509 zaradi poteka veljavnosti ali drugih razlogov.
Ne podpiramo spreminjanja imena domene CN potrdila. Domena se mora ujemati s prvotno domeno, ki je bila uporabljena za registracijo gruče.
-
Posodabljanje nastavitev podatkovne zbirke za spremembo na repliko podatkovne zbirke PostgreSQL ali Microsoft SQL Server.
Ne podpiramo prenosa podatkov iz PostgreSQLa v Microsoft SQL Server ali obratno. Če želite zamenjati okolje podatkovne zbirke, začnite novo uvajanje hibridnega varovanja podatkov.
-
Ustvarjanje nove konfiguracije za pripravo novega podatkovnega središča.
Poleg tega družba Hybrid Data Security zaradi varnosti uporablja gesla za storitvene račune z devetmesečno življenjsko dobo. Ko orodje HDS Setup ustvari ta gesla, jih namestite v vsako vozlišče HDS v konfiguracijski datoteki ISO. Ko geslom vaše organizacije poteče veljavnost, prejmete obvestilo ekipe Webex, da ponastavite geslo za svoj račun naprave. (E-poštno sporočilo vsebuje besedilo: "Za posodobitev gesla uporabite vmesnik API strojnega računa.") Če veljavnost gesel še ni potekla, vam orodje ponudi dve možnosti:
-
Mehka ponastavitev- Staro in novo geslo delujeta do 10 dni. To obdobje uporabite za postopno zamenjavo datoteke ISO v vozliščih.
-
Trda ponastavitev-Stara gesla takoj prenehajo delovati.
Če gesla potečejo brez ponastavitve, to vpliva na storitev HDS in zahteva takojšnjo trdo ponastavitev in zamenjavo datoteke ISO v vseh vozliščih.
S tem postopkom ustvarite novo konfiguracijsko datoteko ISO in jo uporabite v gruči.
Preden začnete
-
Orodje HDS Setup se zažene kot vsebnik Docker v lokalnem računalniku. Če želite do njega dostopati, zaženite program Docker v tem računalniku. Postopek namestitve zahteva poverilnice računa Control Hub s polnimi skrbniškimi pravicami za vašo organizacijo.
Če se orodje HDS Setup v vašem okolju izvaja za posrednikom, določite nastavitve posrednika (strežnik, vrata, poverilnice) s spremenljivkami okolja Docker, ko zaženete vsebnik Docker v 1.e. V tej tabeli so navedene nekatere možne spremenljivke okolja:
Opis
Spremenljivka
Proxy strežnik HTTP brez avtentikacije
GLOBALNO_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS brez avtentikacije
GLOBALNO_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Proxy strežnik HTTP z avtentikacijo
GLOBALNO_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS z avtentikacijo
GLOBALNO_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Za ustvarjanje nove konfiguracije potrebujete kopijo datoteke ISO trenutne konfiguracije. ISO vsebuje glavni ključ za šifriranje podatkovne zbirke PostgreSQL ali Microsoft SQL Server. ISO potrebujete, ko spreminjate konfiguracijo, vključno s poverilnicami podatkovne zbirke, posodobitvami potrdil ali spremembami politike avtorizacije.
1 |
V lokalnem računalniku z uporabo programa Docker zaženite orodje za namestitev HDS. |
2 |
Če imate samo eno vozlišče HDS, na katerem teče, ustvarite novo hibridno vozlišče Hybrid Data Security VM in ga registrirajte z novo konfiguracijsko datoteko ISO. Za podrobnejša navodila glejte Ustvari in registriraj več vozlišč. |
3 |
Za obstoječa vozlišča HDS, ki uporabljajo starejšo konfiguracijsko datoteko, namestite datoteko ISO. Naslednji postopek izvedite za vsako vozlišče po vrsti in posodobite vsako vozlišče, preden izklopite naslednje vozlišče: |
4 |
Ponovite korak 3 in zamenjajte konfiguracijo na vsakem preostalem vozlišču, na katerem je nameščena stara konfiguracija. |
Izklopite način blokiranega zunanjega DNS razreševanja
Ko registrirate vozlišče ali preverite konfiguracijo posredniškega strežnika vozlišča, postopek preizkusi iskanje DNS in povezljivost z oblakom Cisco Webex. Če strežnik DNS vozlišča ne more razrešiti javnih imen DNS, vozlišče samodejno preklopi v način blokiranega zunanjega razreševanja DNS.
Če lahko vozlišča razrešijo javna imena DNS prek notranjih strežnikov DNS, lahko ta način izklopite tako, da v vsakem vozlišču ponovno izvedete preskus povezave proxy.
Preden začnete
1 |
V spletnem brskalniku odprite vmesnik vozlišča Hybrid Data Security (na primer IP naslov/nastavitev, https://192.0.2.0/setup), vnesite poverilnice skrbnika, ki ste jih nastavili za vozlišče, in nato kliknite Prijava. |
2 |
Pojdite na Pregled (privzeta stran). Ko je omogočeno, je Blokirana zunanja resolucija DNS nastavljena na Da. |
3 |
Pojdite na stran Trust Store & Proxy . |
4 |
Kliknite Preverite povezavo proxy. Če se prikaže sporočilo, da zunanja resolucija DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS in bo ostalo v tem načinu. V nasprotnem primeru morate po ponovnem zagonu vozlišča in vrnitvi na stran Overview nastaviti možnost Blocked External DNS Resolution na ne. |
Kaj storiti naprej
Odstranitev vozlišča
1 |
Z odjemalcem VMware vSphere v računalniku se prijavite v navidezni gostitelj ESXi in izklopite navidezni stroj. |
2 |
Odstranite vozlišče: |
3 |
V odjemalcu vSphere izbrišite VM. (V levem navigacijskem podoknu z desno tipko miške kliknite VM in kliknite Delete.) Če VM ne izbrišete, ne pozabite odstraniti konfiguracijske datoteke ISO. Brez datoteke ISO ne morete uporabiti VM za dostop do varnostnih podatkov. |
Obnovitev po nesreči z uporabo rezervnega podatkovnega centra
Najpomembnejša storitev, ki jo zagotavlja vaša gruča za hibridno varnost podatkov, je ustvarjanje in shranjevanje ključev, ki se uporabljajo za šifriranje sporočil in druge vsebine, shranjene v oblaku Webex. Za vsakega uporabnika v organizaciji, ki je dodeljen hibridnemu varovanju podatkov, se v gručo posredujejo zahteve za ustvarjanje novih ključev. Grozd je odgovoren tudi za vračanje ključev, ki jih je ustvaril, vsem uporabnikom, ki so pooblaščeni za njihovo pridobitev, na primer članom prostora za pogovore.
Ker gruča opravlja ključno funkcijo zagotavljanja teh ključev, je nujno, da deluje in da se vzdržujejo ustrezne varnostne kopije. Izguba podatkovne zbirke Hybrid Data Security ali konfiguracijskega ISO, ki se uporablja za shemo, bo povzročila NEODSTRANJIVO IZGUBO vsebine stranke. Da bi preprečili takšno izgubo, je treba upoštevati naslednje prakse:
Če zaradi nesreče namestitev HDS v primarnem podatkovnem središču postane nerazpoložljiva, po tem postopku ročno preklopite na rezervno podatkovno središče.
1 |
Zagon orodja HDS Setup in sledite korakom, navedenim v poglavju Create a Configuration ISO for the HDS Hosts. |
2 |
Ko konfigurirate strežnik Syslogd, kliknite na Advanced Settings. |
3 |
Na strani Advanced Settings dodajte spodnjo konfiguracijo ali odstranite konfiguracijo
|
4 |
Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga boste zlahka našli. |
5 |
Naredite varnostno kopijo datoteke ISO v lokalnem sistemu. Varnostno kopijo hranite na varnem. Ta datoteka vsebuje glavni šifrirni ključ za vsebino zbirke podatkov. Omejite dostop samo tistim skrbnikom programa Hybrid Data Security, ki morajo izvajati spremembe konfiguracije. |
6 |
V levem navigacijskem podoknu odjemalca VMware vSphere desno kliknite na VM in kliknite Edit Settings.. |
7 |
Kliknite Edit Settings >CD/DVD Drive 1 in izberite Datastore ISO File. Prepričajte se, da sta označeni možnosti Connected in Connect at power on , da bodo posodobljene spremembe konfiguracije začele veljati po zagonu vozlišč. |
8 |
Vključite vozlišče HDS in se prepričajte, da vsaj 15 minut ni alarmov. |
9 |
Postopek ponovite za vsa vozlišča v rezervnem podatkovnem središču. Preverite izhod sysloga in preverite, ali vozlišča rezervnega podatkovnega centra niso v pasivnem načinu. "KMS konfiguriran v pasivnem načinu" se ne sme pojaviti v syslogih. |
Kaj storiti naprej
(Neobvezno) Odstranitev namestitve ISO po konfiguraciji HDS
Standardna konfiguracija HDS deluje z nameščenim ISO. Vendar nekatere stranke raje ne puščajo datotek ISO neprekinjeno nameščenih. Datoteko ISO lahko odstranite, ko vsa vozlišča HDS prevzamejo novo konfiguracijo.
Za spreminjanje konfiguracije še vedno uporabljate datoteke ISO. Ko ustvarite nov ISO ali posodobite ISO z orodjem za namestitev, morate posodobljeni ISO namestiti na vsa vozlišča HDS. Ko vsa vozlišča prevzamejo spremembe konfiguracije, lahko s tem postopkom ponovno odstranite namestitev ISO.
Preden začnete
Nadgradite vsa vozlišča HDS na različico 2021.01.22.4720 ali novejšo.
1 |
Izklopite eno od vozlišč HDS. |
2 |
V napravi vCenter Server Appliance izberite vozlišče HDS. |
3 |
Izberite Datastore ISO File. in odstranite kljukico |
4 |
Vključite vozlišče HDS in se prepričajte, da vsaj 20 minut ni alarmov. |
5 |
Ponovite za vsako vozlišče HDS po vrsti. |
Odpravljanje težav z varnostjo hibridnih podatkov
Oglejte si opozorila in odpravite težave
Hibridna namestitev varovanja podatkov se šteje za nedostopno, če vsa vozlišča v gruči niso dosegljiva ali če gruča deluje tako počasi, da se zahteve prekinejo. Če uporabniki ne morejo doseči gruče Hybrid Data Security, se pojavijo naslednji simptomi:
-
Ni mogoče ustvariti novih prostorov (ni mogoče ustvariti novih ključev)
-
Sporočila in naslovi prostora niso dešifrirani:
-
V prostor so dodani novi uporabniki (ni mogoče pridobiti ključev)
-
obstoječi uporabniki v prostoru, ki uporabljajo novega odjemalca (ne morejo pridobiti ključev)
-
-
Obstoječi uporabniki v prostoru bodo še naprej uspešno delovali, dokler bodo njihovi odjemalci imeli predpomnilnik šifrirnih ključev.
Pomembno je, da ustrezno spremljate svojo gručo Hybrid Data Security in takoj obravnavate vsa opozorila, da ne pride do motenj v delovanju.
Opozorila
Če pride do težave z nastavitvijo hibridne varnosti podatkov, vozlišče Control Hub prikaže opozorila skrbniku organizacije in pošlje e-poštna sporočila na konfigurirani e-poštni naslov. Opozorila zajemajo številne pogoste scenarije.
Opozori |
Dejanje |
---|---|
Neuspešen dostop do lokalne zbirke podatkov. |
Preverite napake v zbirki podatkov ali težave v lokalnem omrežju. |
Neuspešna povezava z lokalno zbirko podatkov. |
Preverite, ali je strežnik zbirke podatkov na voljo in ali so bili pri konfiguraciji vozlišča uporabljeni pravilni poverilnice servisnega računa. |
Napaka pri dostopu do storitev v oblaku. |
Preverite, ali lahko vozlišča dostopajo do strežnikov Webex, kot je določeno v Zahteve za zunanjo povezljivost. |
Podaljšanje registracije storitve v oblaku. |
Registracija v storitve v oblaku je bila ukinjena. Podaljšanje registracije je v teku. |
Registracija storitve v oblaku je bila prekinjena. |
Registracija v storitve v oblaku je prekinjena. Storitev se ustavi. |
Storitev še ni aktivirana. |
Aktivirajte poskusno različico ali dokončajte prenos poskusne različice v produkcijo. |
Konfigurirana domena se ne ujema s certifikatom strežnika. |
Prepričajte se, da se potrdilo strežnika ujema z nastavljeno domeno za aktivacijo storitve. Najverjetnejši vzrok je, da je bil CN potrdila nedavno spremenjen in se zdaj razlikuje od CN, ki je bil uporabljen med začetno nastavitvijo. |
Neuspešno preverjanje pristnosti v storitvah v oblaku. |
Preverite točnost in morebitno prenehanje veljavnosti poverilnic storitvenega računa. |
Ni uspelo odpreti lokalne datoteke s ključi. |
Preverite celovitost in točnost gesla v lokalni datoteki shrambe ključev. |
Potrdilo lokalnega strežnika je neveljavno. |
Preverite datum poteka veljavnosti potrdila strežnika in potrdite, da ga je izdal zaupanja vreden organ za potrjevanje. |
Ni mogoče objaviti metrike. |
Preverite dostop lokalnega omrežja do zunanjih storitev v oblaku. |
imenik /media/configdrive/hds ne obstaja. |
Preverite konfiguracijo priklopa ISO v navideznem gostitelju. Preverite, ali datoteka ISO obstaja, ali je konfigurirana za namestitev ob ponovnem zagonu in ali se uspešno namesti. |
Odpravljanje težav z varnostjo hibridnih podatkov
1 |
V vozlišču Control Hub preverite morebitna opozorila in popravite vse elemente, ki jih tam najdete. |
2 |
V izhodu strežnika syslog si oglejte dejavnosti iz namestitve Hybrid Data Security. |
3 |
Kontaktirajte Ciscova podpora. |
Druge opombe
Znane težave pri hibridni varnosti podatkov
-
Če zaustavite svojo gručo Hybrid Data Security (tako da jo izbrišete v nadzornem središču ali zaustavite vsa vozlišča), izgubite konfiguracijsko datoteko ISO ali izgubite dostop do podatkovne zbirke shrambe ključev, uporabniki aplikacije Webex ne morejo več uporabljati prostorov na seznamu Ljudje, ki so bili ustvarjeni s ključi iz vaše KMS. To velja za poskusne in produkcijske namestitve. Trenutno nimamo rešitve ali popravka za to težavo, zato vas pozivamo, da ne zapirate storitev HDS, ko te upravljajo z aktivnimi uporabniškimi računi.
-
Odjemalec, ki ima obstoječo povezavo ECDH s KMS, ohrani to povezavo za določen čas (verjetno eno uro). Ko uporabnik postane član hibridne poskusne zaščite podatkov, njegov odjemalec še naprej uporablja obstoječo povezavo ECDH, dokler se ta ne prekine. Uporabnik se lahko tudi odjavi in se ponovno prijavi v aplikacijo Webex App, da posodobi lokacijo, ki jo aplikacija kontaktira za šifrirne ključe.
Enako se obnašanje pojavi, ko poskusno različico premaknete v produkcijsko različico za organizacijo. Vsi uporabniki, ki niso v poskusni fazi, z obstoječimi povezavami ECDH s prejšnjimi storitvami za varnost podatkov bodo te storitve uporabljali še naprej, dokler se o povezavi ECDH ne bodo ponovno pogajali (s časovno omejitvijo ali z izpisom in ponovno prijavo).
Uporaba OpenSSL za generiranje datoteke PKCS12
Preden začnete
-
OpenSSL je eno od orodij, s katerim lahko datoteko PKCS12 pripravite v ustrezni obliki za nalaganje v orodju HDS Setup Tool. Obstajajo tudi drugi načini, zato ne podpiramo ali spodbujamo enega načina v primerjavi z drugim.
-
Če se odločite za uporabo OpenSSL, vam ta postopek zagotavljamo kot vodilo, ki vam bo pomagalo ustvariti datoteko, ki izpolnjuje zahteve za potrdilo X.509 v dokumentu X.509 Certificate Requirements (Zahteve za potrdilo X.509). Preden nadaljujete, razumite te zahteve.
-
Namestite OpenSSL v podprto okolje. Programsko opremo in dokumentacijo najdete na spletni strani https://www.openssl.org .
-
Ustvarite zasebni ključ.
-
Ta postopek začnite, ko prejmete strežniško potrdilo od overitelja potrdil (CA).
1 |
Ko od overitelja prejmete potrdilo strežnika, ga shranite kot |
2 |
Prikažite potrdilo kot besedilo in preverite podrobnosti.
|
3 |
Z urejevalnikom besedila ustvarite datoteko s svežnjem potrdil z imenom
|
4 |
Ustvarite datoteko .p12 s prijaznim imenom
|
5 |
Preverite podatke o potrdilu strežnika. |
Kaj storiti naprej
Nazaj na Izpolnite predpogoje za hibridno varnost podatkov. Datoteko hdsnode.p12
in geslo, ki ste ga nastavili zanjo, boste uporabili v Ustvarjanje konfiguracijskega ISO za gostitelje HDS.
Te datoteke lahko ponovno uporabite za zahtevek za novo potrdilo, ko poteče veljavnost prvotnega potrdila.
Promet med vozlišči HDS in oblakom
Zbiranje izhodnih metričnih podatkov o prometu
Vozlišča hibridne varnosti podatkov pošiljajo določene metrike v oblak Webex. Te vključujejo sistemske metrike za največjo kupo, uporabljeno kupo, obremenitev procesorja in število niti; metrike sinhronih in asinhronih niti; metrike opozoril, ki vključujejo prag šifrirnih povezav, zakasnitev ali dolžino čakalne vrste zahtev; metrike podatkovnega skladišča in metrike šifrirnih povezav. Vozlišča pošiljajo šifrirano gradivo ključa po kanalu zunaj pasu (ločeno od zahteve).
Vhodni promet
Vozlišča za hibridno varovanje podatkov prejemajo naslednje vrste vhodnega prometa iz oblaka Webex:
-
zahteve za šifriranje odjemalcev, ki jih usmerja storitev šifriranja.
-
Nadgradnje programske opreme vozlišča
Konfiguracija proxyjev Squid za hibridno varnost podatkov
Websocket se ne more povezati prek posredniškega strežnika Squid
Proksi strežniki Squid, ki pregledujejo promet HTTPS, lahko ovirajo vzpostavitev povezav websocket (wss:
), ki jih zahteva sistem Hybrid Data Security. V teh razdelkih so navodila za konfiguracijo različnih različic Squida, da ignorira wss:
prometa za pravilno delovanje storitev.
Squid 4 in 5
Dodajte direktivo on_unsupported_protocol
v squid.conf
:
on_unsupported_protocol predor vse
Squid 3.5.27
Uspešno smo preizkusili hibridno varnost podatkov z naslednjimi pravili, dodanimi v squid.conf
. Ta pravila se lahko spremenijo, ko razvijamo funkcije in posodabljamo oblak Webex.
acl wssMercuryPovezava ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all