- Domov
- /
- Članek
Hvala za povratne informacije.
Vodnik za uvajanje hibridne varnosti podatkov za več najemnikov (HDS) (beta)
V tem članku
Povratne informacije?Nove in spremenjene informacije
Nove in spremenjene informacije
Ta preglednica zajema nove funkcije ali funkcionalnosti, spremembe obstoječe vsebine in morebitne večje napake, ki so bile odpravljene v Priročnik za uvajanje za večnajemniško hibridno varnost podatkov.
|
Datum |
Izvedene spremembe |
|---|---|
|
13. decembra 2024 |
Prva izdaja. |
Deaktiviranje hibridnega varovanja podatkov v več najemnikih
Potek opravil za deaktivacijo HDS za več najemnikov
Za popolno deaktivacijo večnajemniškega HDS sledite naslednjim korakom.
Preden začnete
| 1 |
Odstranite vse stranke iz vseh grozdov, kot je navedeno v poglavju . Odstranite organizacije najemnikov. |
| 2 |
Prekličite CMK vseh strank, kot je navedeno v . Prekličite CMK najemnikov, odstranjenih iz HDS.. |
| 3 |
Odstranite vsa vozlišča iz vseh gruč, kot je navedeno v poglavju Remove a Node. |
| 4 |
Izbrišite vse svoje gruče iz vozlišča Partner Hub na enega od naslednjih dveh načinov.
|
| 5 |
Kliknite zavihek Settings na strani s pregledom Hybrid Data Security in kliknite Deaktivirajte HDS na kartici HDS Status. |
Začnite z večnajemniškim hibridnim varovanjem podatkov
Pregled varnosti hibridnih podatkov v več najemnikih
Pri oblikovanju aplikacije Webex je bila varnost podatkov od prvega dne v ospredju. Temelj te varnosti je šifriranje vsebine od konca do konca, ki ga omogočajo odjemalci aplikacije Webex v interakciji s storitvijo KMS (Key Management Service). KMS je odgovoren za ustvarjanje in upravljanje kriptografskih ključev, ki jih odjemalci uporabljajo za dinamično šifriranje in dešifriranje sporočil in datotek.
Privzeto je vsem strankam aplikacije Webex App na voljo šifriranje od konca do konca z dinamičnimi ključi, shranjenimi v oblaku KMS, v Ciscovem varnostnem območju. Hibridno varovanje podatkov KMS in druge funkcije, povezane z varnostjo, prenese v podatkovno središče podjetja, tako da ključe za šifrirano vsebino nima nihče drug kot vi.
Večnajemniški sistem Hybrid Data Security omogoča organizacijam, da HDS uporabljajo prek zaupanja vrednega lokalnega partnerja, ki lahko deluje kot ponudnik storitev in upravlja lokalno šifriranje in druge varnostne storitve. Ta nastavitev partnerski organizaciji omogoča popoln nadzor nad namestitvijo in upravljanjem šifrirnih ključev ter zagotavlja, da so uporabniški podatki organizacij strank varni pred zunanjim dostopom. Partnerske organizacije po potrebi nastavijo instance HDS in ustvarijo gruče HDS. Vsak primerek lahko podpira več organizacij strank, za razliko od običajne namestitve HDS, ki je omejena na eno samo organizacijo.
Tako lahko HDS uporabljajo tudi manjše organizacije, saj sta storitev upravljanja ključev in varnostna infrastruktura, kot so podatkovni centri, v lasti zaupanja vrednega lokalnega partnerja.
Kako večnajemniška hibridna varnost podatkov zagotavlja suverenost podatkov in nadzor nad njimi
- Vsebina, ki jo ustvari uporabnik, je zaščitena pred zunanjim dostopom, na primer pred ponudniki storitev v oblaku.
- Lokalni zaupanja vredni partnerji upravljajo šifrirne ključe strank, s katerimi že imajo vzpostavljen odnos.
- možnost lokalne tehnične podpore, če jo zagotavlja partner.
- Podpira vsebine sestankov, sporočil in klicev.
Namen tega dokumenta je pomagati partnerskim organizacijam pri vzpostavitvi in upravljanju strank v okviru večnajemniškega hibridnega sistema varovanja podatkov.
Vloge v večnajemniškem hibridnem varovanju podatkov
- Partnerjev popolni skrbnik - Upravlja lahko nastavitve za vse stranke, ki jih partner upravlja. Lahko tudi dodelijo vloge skrbnika obstoječim uporabnikom v organizaciji in dodelijo točno določene stranke v upravljanje partnerskim administratorjem.
- Administrator partnerja - Upravlja lahko nastavitve za stranke, ki jih je administrator zagotovil ali so bile dodeljene uporabniku.
- Polni skrbnik - skrbnik partnerske organizacije, ki je pooblaščen za izvajanje nalog, kot so spreminjanje nastavitev organizacije, upravljanje licenc in dodeljevanje vlog.
- Celovita večnajemniška nastavitev HDS in upravljanje vseh organizacij strank - Potrebne so pravice partnerskega polnega skrbnika in polnega skrbnika.
- Upravljanje dodeljenih organizacij najemnikov - Potrebne so pravice skrbnika partnerja in polnega skrbnika.
Arhitektura varnostnega območja
Arhitektura oblaka Webex ločuje različne vrste storitev v ločena področja ali domene zaupanja, kot je prikazano spodaj.
Da bi bolje razumeli hibridno varnost podatkov, si najprej oglejmo primer čistega oblaka, v katerem Cisco zagotavlja vse funkcije v svojem oblaku. Identitetna storitev, edino mesto, kjer je mogoče uporabnike neposredno povezati z njihovimi osebnimi podatki, kot je e-poštni naslov, je logično in fizično ločena od varnostnega področja v podatkovnem središču B. Oboje pa je ločeno od področja, kjer je šifrirana vsebina shranjena, in sicer v podatkovnem središču C.
V tem diagramu je odjemalec aplikacija Webex, ki teče v uporabnikovem prenosnem računalniku in se je avtentificirala s storitvijo identitete. Ko uporabnik sestavi sporočilo za pošiljanje v prostor, se izvedejo naslednji koraki:
-
Odjemalec vzpostavi varno povezavo s storitvijo za upravljanje ključev (KMS), nato pa zahteva ključ za šifriranje sporočila. Varna povezava uporablja ECDH, KMS pa šifrira ključ z glavnim ključem AES-256.
-
Sporočilo je šifrirano, preden zapusti odjemalca. Odjemalec ga pošlje storitvi indeksiranja, ki ustvari šifrirane iskalne indekse za pomoč pri prihodnjih iskanjih vsebine.
-
Šifrirano sporočilo je poslano storitvi za preverjanje skladnosti.
-
Šifrirano sporočilo je shranjeno v območju shranjevanja.
Pri uvajanju hibridnega varovanja podatkov prenesete funkcije varnostnega področja (KMS, indeksiranje in skladnost) v lokalno podatkovno središče. Druge storitve v oblaku, ki sestavljajo Webex (vključno z identiteto in shranjevanjem vsebine), ostajajo v Ciscovem dometu.
Sodelovanje z drugimi organizacijami
Uporabniki v vaši organizaciji lahko aplikacijo Webex redno uporabljajo za sodelovanje z zunanjimi udeleženci v drugih organizacijah. Ko eden od vaših uporabnikov zahteva ključ za prostor, ki je v lasti vaše organizacije (ker ga je ustvaril eden od vaših uporabnikov), vaš sistem KMS pošlje ključ odjemalcu prek zaščitenega kanala ECDH. Če pa je ključ za prostor v lasti druge organizacije, vaša KMS posreduje zahtevo v oblak Webex prek ločenega kanala ECDH, da pridobi ključ iz ustrezne KMS, nato pa ključ vrne uporabniku prek prvotnega kanala.
Storitev KMS, ki teče v organizaciji Org A, potrjuje povezave s KMS v drugih organizacijah z uporabo potrdil x.509 PKI. Podrobnosti o ustvarjanju potrdila x.509, ki ga boste uporabili pri uvajanju večnajemniškega hibridnega varovanja podatkov, najdete na spletnem naslovu Prepare your Environment (Priprava okolja) .
Pričakovanja pri uvajanju hibridne varnosti podatkov
Za uvedbo hibridne varnosti podatkov sta potrebna velika predanost in zavedanje tveganj, ki jih prinaša lastništvo šifrirnih ključev.
Če želite namestiti hibridno varovanje podatkov, morate zagotoviti:
-
Varen podatkovni center v državi, ki je podprta lokacija za načrte Cisco Webex Teams.
-
Oprema, programska oprema in dostop do omrežja, opisani v poglavju Priprava okolja.
Popolna izguba konfiguracijskega ISO, ki ga sestavite za Hybrid Data Security, ali podatkovne zbirke, ki jo zagotovite, bo povzročila izgubo ključev. Izguba ključa uporabnikom preprečuje dešifriranje vsebine prostora in drugih šifriranih podatkov v aplikaciji Webex. Če se to zgodi, lahko ustvarite novo namestitev, vendar bo vidna le nova vsebina. Če želite preprečiti izgubo dostopa do podatkov, morate:
-
Upravljanje varnostnega kopiranja in obnovitve podatkovne zbirke ter konfiguracije ISO.
-
Bodite pripravljeni na hitro obnovitev v primeru katastrofe, kot je odpoved diska podatkovne zbirke ali podatkovnega centra.
Po namestitvi HDS ni mehanizma za prenos ključev nazaj v oblak.
Postopek nastavitve na visoki ravni
Ta dokument zajema nastavitev in upravljanje namestitve hibridnega varovanja podatkov z več najemniki:
-
Vzpostavitev Hybrid Data Security- To vključuje pripravo potrebne infrastrukture in namestitev programske opreme Hybrid Data Security, vzpostavitev gruče HDS, dodajanje organizacij najemnikov v gručo in upravljanje njihovih glavnih ključev strank (CMK). To bo vsem uporabnikom v organizacijah vaših strank omogočilo uporabo vaše gruče Hybrid Data Security za varnostne funkcije.
Faze namestitve, aktivacije in upravljanja so podrobno opisane v naslednjih treh poglavjih.
-
Vzdrževanje uvedbe hibridne varnosti podatkov- Oblak Webex samodejno zagotavlja stalne nadgradnje. Vaš oddelek IT lahko zagotovi prvo stopnjo podpore za to namestitev in po potrebi pritegne Ciscovo podporo. V vozlišču Partner Hub lahko uporabljate obvestila na zaslonu in nastavite opozorila po e-pošti.
-
Razumevanje pogostih opozoril, korakov za odpravljanje težav in znanih težav-Če naletite na težave pri uvajanju ali uporabi Hybrid Data Security, vam lahko zadnje poglavje tega priročnika in dodatek Znane težave pomagata ugotoviti in odpraviti težavo.
Hibridni model uvajanja varnosti podatkov
V podatkovnem središču podjetja namestite hibridno varovanje podatkov kot eno samo gručo vozlišč na ločenih navideznih gostiteljih. Vozlišča komunicirajo z oblakom Webex prek varnih spletnih vtičnic in varnega protokola HTTP.
Med postopkom namestitve vam zagotovimo datoteko OVA za namestitev navidezne naprave na virtualne računalnike, ki jih zagotovite. Z orodjem HDS Setup Tool ustvarite konfiguracijsko datoteko ISO po meri gruče, ki jo namestite na vsako vozlišče. Grozd Hybrid Data Security uporablja strežnik Syslogd in podatkovno zbirko PostgreSQL ali Microsoft SQL Server. (Podrobnosti o povezavi Syslogd in podatkovne baze konfigurirate v orodju HDS Setup Tool.)
Najmanjše število vozlišč v gruči sta dve. Priporočamo vsaj tri na gručo. Več vozlišč zagotavlja, da storitev ni prekinjena med nadgradnjo programske opreme ali drugimi vzdrževalnimi dejavnostmi v vozlišču. (Oblak Webex nadgradi le eno vozlišče naenkrat.)
Vsa vozlišča v gruči dostopajo do istega podatkovnega skladišča ključev in beležijo dejavnost v isti strežnik syslog. Sama vozlišča so brez stanja in po navodilih oblaka krožno obdelujejo zahtevke za ključe.
Vozlišča postanejo aktivna, ko jih registrirate v vozlišču Partner Hub. Posamezno vozlišče lahko odjavite iz uporabe in ga pozneje po potrebi ponovno registrirate.
Rezervni podatkovni center za obnovitev po nesreči
Med uvajanjem vzpostavite varen rezervni podatkovni center. V primeru okvare podatkovnega centra lahko namestitev ročno prenesete v rezervni podatkovni center.
Podatkovne zbirke aktivnega in rezervnega podatkovnega centra so med seboj sinhronizirane, kar skrajša čas, potreben za izvedbo preklopa.
Aktivna vozlišča Hybrid Data Security morajo biti vedno v istem podatkovnem centru kot aktivni strežnik podatkovne zbirke.
Podpora za proxy strežnike
Hibridna varnost podatkov podpira eksplicitne, pregledne in nepregledne proxyje. Te proxyje lahko povežete z namestitvijo, tako da lahko zaščitite in spremljate promet iz podjetja v oblak. Po nastavitvi posrednika v vozliščih lahko za upravljanje certifikatov in preverjanje splošnega stanja povezljivosti v vozliščih uporabljate upraviteljski vmesnik platforme v vozliščih.
Vozlišča Hybrid Data Security podpirajo naslednje možnosti posrednikov:
-
No proxy- privzeto, če za vključitev posrednika ne uporabljate konfiguracije HDS Trust Store & Proxy v nastavitvah vozlišča. Posodobitev certifikata ni potrebna.
-
Transparentni nezahteven posredniški strežnik- Vozlišča niso konfigurirana za uporabo določenega naslova posredniškega strežnika in za delovanje z nezahtevenim posredniškim strežnikom ne bi smela zahtevati nobenih sprememb. Posodobitev certifikata ni potrebna.
-
Transparent tunneling or inspecting proxy-Vmesniki niso konfigurirani za uporabo določenega naslova strežnika proxy. V vozliščih ni treba spremeniti konfiguracije HTTP ali HTTPS. Vendar pa vozlišča potrebujejo korensko potrdilo, da lahko zaupajo posredniku. Proxyje za pregledovanje običajno uporabljajo oddelki IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta posredniškega strežnika dešifrira ves vaš promet (tudi HTTPS).
-
Izrecni posrednik- Z izrecnim posrednikom vozliščem HDS poveste, kateri posredniški strežnik in shemo avtentikacije naj uporabijo. Če želite konfigurirati eksplicitni posrednik, morate v vsako vozlišče vnesti naslednje informacije:
-
Proxy IP/FQDN-Adres, s katerim lahko dosežete proxy napravo.
-
Proxy Port-Številka vrat, ki jih proxy uporablja za poslušanje posredovanega prometa.
-
Protokol posredniškega strežnika- Glede na to, kaj podpira vaš posredniški strežnik, lahko izbirate med naslednjimi protokoli:
-
HTTP - pregleduje in nadzoruje vse zahteve, ki jih pošlje odjemalec.
-
HTTPS - zagotavlja kanal do strežnika. Odjemalec prejme in potrdi strežnikovo potrdilo.
-
-
Vrsta avtentikacije- Izberite eno od naslednjih vrst avtentikacije:
-
Ni - nadaljnje preverjanje pristnosti ni potrebno.
Na voljo, če kot protokol proxy izberete HTTP ali HTTPS.
-
Basic- Uporablja se za uporabniškega agenta HTTP, da pri zahtevku navede uporabniško ime in geslo. Uporablja kodiranje Base64.
Na voljo, če kot protokol proxy izberete HTTP ali HTTPS.
Zahteva vnos uporabniškega imena in gesla na vsakem vozlišču.
-
Digest- Uporablja se za potrditev računa pred pošiljanjem občutljivih informacij. Pred pošiljanjem po omrežju uporabniško ime in geslo opremi s funkcijo hash.
Na voljo samo, če kot protokol posrednika izberete HTTPS.
Zahteva vnos uporabniškega imena in gesla na vsakem vozlišču.
-
-
Primer hibridnih vozlišč za varnost podatkov in posredniškega strežnika
Ta diagram prikazuje primer povezave med hibridnim sistemom za varnost podatkov, omrežjem in posredniškim strežnikom. Za možnosti preglednega pregledovanja in izrecnega pregledovanja HTTPS prek posrednika mora biti v posredniku in vozliščih Hybrid Data Security nameščeno isto korensko potrdilo.
Način blokirane zunanje resolucije DNS (eksplicitne konfiguracije proxy strežnikov)
Ko registrirate vozlišče ali preverite konfiguracijo posredniškega strežnika vozlišča, postopek preizkusi iskanje DNS in povezljivost z oblakom Cisco Webex. Če v namestitvah z izrecnimi konfiguracijami posrednikov, ki ne omogočajo zunanjega razreševanja DNS za notranje odjemalce, vozlišče ne more poizvedovati po strežnikih DNS, samodejno preide v način blokiranega zunanjega razreševanja DNS. V tem načinu se lahko nadaljuje registracija vozlišča in drugi preskusi povezljivosti posrednika.
Pripravite svoje okolje
Zahteve za večnajemniško hibridno varnost podatkov
Zahteve za licenco Cisco Webex
Uvajanje hibridne varnosti podatkov v več najemnikih:
-
Partnerske organizacije: Obrnite se na Ciscovega partnerja ali skrbnika računa in preverite, ali je funkcija več najemnikov omogočena.
-
Organizacije najemnikov: Imeti morate paket Pro Pack za Cisco Webex Control Hub. (Glej https://www.cisco.com/go/pro-pack.)
Zahteve za namizje Docker
Preden namestite vozlišča HDS, morate na namizju Docker Desktop zagnati namestitveni program. Docker je pred kratkim posodobil svoj model licenciranja. Vaša organizacija bo morda zahtevala plačljivo naročnino za program Docker Desktop. Za podrobnosti glejte objavo na Dockerjevem blogu " Docker posodablja in razširja naročnine na izdelke".
Zahteve za potrdilo X.509
Veriga potrdil mora izpolnjevati naslednje zahteve:
|
Zahteva |
Podrobnosti |
|---|---|
|
Privzeto zaupamo CA s seznama Mozilla (razen WoSign in StartCom) na naslovu https://wiki.mozilla.org/CA:IncludedCAs. |
|
Ni treba, da je CN dosegljiv ali da je gostitelj v živo. Priporočamo, da uporabite ime, ki odraža vašo organizacijo, na primer CN ne sme vsebovati * (nadomestni znak). CN se uporablja za preverjanje vozlišč hibridne varnosti podatkov za odjemalce aplikacije Webex. Vsa vozlišča Hybrid Data Security v gruči uporabljajo isto potrdilo. Vaša KMS se identificira z domeno CN in ne s katero koli domeno, ki je opredeljena v poljih x.509v3 SAN. Ko enkrat registrirate vozlišče s tem potrdilom, ne podpiramo spreminjanja imena domene CN. |
|
Programska oprema KMS ne podpira podpisov SHA1 za potrjevanje povezav s KMS drugih organizacij. |
|
Za spremembo oblike potrdila lahko uporabite pretvornik, kot je OpenSSL. Geslo boste morali vnesti, ko boste zagnali orodje za nastavitev HDS. |
Programska oprema KMS ne uveljavlja omejitev uporabe ključa ali razširjene uporabe ključa. Nekateri organi za potrdila zahtevajo, da se za vsako potrdilo uporabijo razširjene omejitve uporabe ključa, kot je na primer preverjanje pristnosti strežnika. Lahko uporabite preverjanje pristnosti strežnika ali druge nastavitve.
Zahteve za virtualne gostitelje
Navidezni gostitelji, ki jih boste nastavili kot vozlišča hibridne varnosti podatkov v gruči, imajo naslednje zahteve:
-
Vsaj dva ločena gostitelja (priporočljivo 3), nameščena v istem varnem podatkovnem centru.
-
Nameščen in zagnan sistem VMware ESXi 6.5 (ali novejši).
Če imate prejšnjo različico ESXi, morate nadgraditi.
-
Najmanj 4 vCPU, 8 GB glavnega pomnilnika, 30 GB prostora na lokalnem trdem disku na strežnik
Zahteve za strežnik zbirke podatkov
Ustvarite novo zbirko podatkov za shranjevanje ključev. Ne uporabljajte privzete zbirke podatkov. Aplikacije HDS ob namestitvi ustvarijo shemo podatkovne zbirke.
Na voljo sta dve možnosti za strežnik zbirke podatkov. Zahteve za vsako od njih so naslednje:
|
PostgreSQL |
Microsoft SQL Server |
|---|---|
|
|
|
Najmanj 8 vCPU, 16 GB glavnega pomnilnika, dovolj prostora na trdem disku in spremljanje, da se zagotovi, da ni presežen (priporočljivo je 2 TB, če želite podatkovno zbirko uporabljati dlje časa brez potrebe po povečanju pomnilnika). |
Najmanj 8 vCPU, 16 GB glavnega pomnilnika, dovolj prostora na trdem disku in spremljanje, da se zagotovi, da ni presežen (priporočljivo je 2 TB, če želite podatkovno zbirko uporabljati dlje časa brez potrebe po povečanju pomnilnika). |
Programska oprema HDS trenutno za komunikacijo s strežnikom podatkovne zbirke namesti naslednje različice gonilnikov:
|
PostgreSQL |
Microsoft SQL Server |
|---|---|
|
Gonilnik Postgres JDBC 42.2.5 |
Gonilnik SQL Server JDBC 4.6 Ta različica gonilnika podpira SQL Server Always On ( Always On Failover Cluster Instances in Always On availability groups). |
Dodatne zahteve za preverjanje pristnosti sistema Windows v strežniku Microsoft SQL Server
Če želite, da vozlišča HDS uporabljajo avtentikacijo Windows za dostop do podatkovne zbirke shrambe ključev v strežniku Microsoft SQL Server, morate v svojem okolju uporabiti naslednjo konfiguracijo:
-
Vozlišča HDS, infrastruktura Active Directory in strežnik MS SQL Server morajo biti sinhronizirani z NTP.
-
Račun Windows, ki ga zagotovite vozliščem HDS, mora imeti dostop do podatkovne zbirke za branje/pisanje.
-
Strežniki DNS, ki jih zagotavljate vozliščem HDS, morajo biti sposobni razrešiti center za distribucijo ključev (KDC).
-
Primer podatkovne zbirke HDS v strežniku Microsoft SQL Server lahko registrirate kot Service Principal Name (SPN) v imeniku Active Directory. Glejte Registracija glavnega imena storitve za povezave Kerberos.
Orodje za namestitev HDS, zaganjalnik HDS in lokalna KMS morajo za dostop do podatkovne zbirke shrambe ključev uporabljati avtentikacijo Windows. Pri zahtevi za dostop s preverjanjem pristnosti Kerberos uporabijo podrobnosti iz vaše konfiguracije ISO za sestavo SPN.
Zahteve za zunanjo povezljivost
Požarni zid konfigurirajte tako, da aplikacijam HDS omogočite naslednje povezave:
|
Aplikacija |
Protokol |
Vrata |
Smer iz aplikacije |
Cilj |
|---|---|---|---|---|
|
Hibridna vozlišča za varnost podatkov |
TCP |
443 |
Odhodni HTTPS in WSS |
|
|
Orodje za nastavitev HDS |
TCP |
443 |
Odhodni HTTPS |
|
Vozlišča Hybrid Data Security delujejo s prevajanjem omrežnega dostopa (NAT) ali za požarnim zidom, če NAT ali požarni zid omogočata zahtevane izhodne povezave do domenskih destinacij iz prejšnje preglednice. Pri povezavah, ki prihajajo v vozlišča Hybrid Data Security, iz interneta ne smejo biti vidna nobena vrata. Odjemalci v podatkovnem središču potrebujejo dostop do vozlišč Hybrid Data Security na vratih TCP 443 in 22 za upravne namene.
URL-ji za gostitelje skupne identitete (CI) so odvisni od regije. To so trenutni gostitelji CI:
|
Regija |
Skupni naslovi URL gostitelja identitete |
|---|---|
|
Ameriki |
|
|
Evropska unija |
|
|
Kanada |
|
| Singapur |
|
| Združeni Arabski Emirati |
|
Zahteve za proxy strežnik
-
Uradno podpiramo naslednje proxy rešitve, ki se lahko povežejo z vašimi vozlišči za hibridno varnost podatkov.
-
Transparentni proxy-Cisco Web Security Appliance (WSA).
-
Izrecni proxy-Squid.
Proksi strežniki Squid, ki pregledujejo promet HTTPS, lahko motijo vzpostavljanje povezav websocket (wss:). Če želite zaobiti to težavo, glejte Configure Squid Proxyies for Hybrid Data Security.
-
-
Za eksplicitne pooblaščence podpiramo naslednje kombinacije vrst avtentikacije:
-
Brez avtentikacije s HTTP ali HTTPS
-
Osnovno preverjanje pristnosti s protokolom HTTP ali HTTPS
-
Preverjanje pristnosti Digest samo s protokolom HTTPS
-
-
Pri preglednem pregledovalnem posredniku ali izrecnem posredniku HTTPS morate imeti kopijo korenskega potrdila posrednika. V navodilih za namestitev v tem vodniku je opisano, kako naložiti kopijo v shrambe zaupanja vozlišč Hybrid Data Security.
-
Omrežje, v katerem gostujejo vozlišča HDS, mora biti konfigurirano tako, da se odhodni promet TCP na vratih 443 preusmeri prek posredniškega strežnika.
-
Proksi strežniki, ki pregledujejo spletni promet, lahko motijo povezave s spletnimi vtičnicami. Če se ta težava pojavi, jo boste rešili z izogibanjem (ne pregledovanjem) prometa na naslovih
wbx2.cominciscospark.com.
Izpolnite predpogoje za hibridno varnost podatkov
| 1 |
Prepričajte se, da ima partnerska organizacija omogočeno funkcijo HDS za več najemnikov, in pridobite poverilnice računa s partnerskim polnim skrbnikom in polnimi skrbniškimi pravicami. Prepričajte se, da je v vaši organizaciji strank Webex omogočen paket Pro Pack za Cisco Webex Control Hub. Za pomoč pri tem postopku se obrnite na Ciscovega partnerja ali skrbnika računa. Organizacije strank ne smejo imeti nobene obstoječe namestitve HDS. |
| 2 |
Izberite ime domene za namestitev HDS (na primer |
| 3 |
Pripravite identične virtualne gostitelje, ki jih boste nastavili kot vozlišča hibridne varnosti podatkov v gruči. Potrebujete vsaj dva ločena gostitelja (priporočamo 3), ki sta nameščena v istem varnem podatkovnem središču in izpolnjujeta zahteve iz Virtual Host Requirements. |
| 4 |
Pripravite strežnik podatkovne zbirke, ki bo deloval kot ključna podatkovna shramba za gručo, v skladu z zahtevami strežnika podatkovne zbirke .. Strežnik zbirke podatkov mora biti nameščen v varnem podatkovnem središču skupaj z virtualnimi gostitelji. |
| 5 |
Za hitro obnovitev po nesreči vzpostavite rezervno okolje v drugem podatkovnem središču. Varnostno okolje odraža produkcijsko okolje z virtualnimi napravami in strežnikom za varnostno kopijo podatkovne zbirke. Če so na primer v produkcijskem okolju 3 virtualni stroji z vozlišči HDS, morajo biti v varnostnem okolju 3 virtualni stroji. |
| 6 |
Nastavite gostitelja syslog za zbiranje dnevniških zapisov iz vozlišč v gruči. Zberite njegov omrežni naslov in vrata sysloga (privzeto je UDP 514). |
| 7 |
Ustvarite politiko varnega varnostnega kopiranja za vozlišča Hybrid Data Security, strežnik zbirke podatkov in gostitelja sysloga. Če želite preprečiti izgubo podatkov, ki je ni mogoče obnoviti, morate izdelati vsaj varnostno kopijo podatkovne zbirke in konfiguracijske datoteke ISO, ustvarjene za vozlišča Hybrid Data Security. Ker se v vozliščih hibridnega varovanja podatkov hranijo ključi, ki se uporabljajo pri šifriranju in dešifriranju vsebine, bo nezmožnost vzdrževanja delujoče namestitve povzročila NEODSTRANJIVO IZGUBO te vsebine. Odjemalci aplikacije Webex imajo ključe v predpomnilniku, zato izpad morda ne bo takoj opazen, vendar se bo pokazal čez čas. Čeprav začasnih izpadov ni mogoče preprečiti, jih je mogoče odpraviti. Vendar pa popolna izguba (brez razpoložljivih varnostnih kopij) podatkovne zbirke ali konfiguracijske datoteke ISO povzroči, da podatkov o strankah ni mogoče obnoviti. Od upravljavcev vozlišč hibridne varnosti podatkov se pričakuje, da pogosto vzdržujejo varnostne kopije podatkovne zbirke in konfiguracijske datoteke ISO ter so pripravljeni na obnovo podatkovnega centra hibridne varnosti podatkov, če pride do katastrofalne okvare. |
| 8 |
Prepričajte se, da konfiguracija požarnega zidu omogoča povezljivost za vozlišča hibridnega varovanja podatkov, kot je opisano v Zahteve za zunanjo povezljivost. |
| 9 |
Namestite Docker ( https://www.docker.com) v kateri koli lokalni računalnik s podprtim operacijskim sistemom (Microsoft Windows 10 Professional ali Enterprise 64-bit ali Mac OSX Yosemite 10.10.3 ali novejši) s spletnim brskalnikom, ki omogoča dostop do njega na http://127.0.0.1:8080. Z instanco Docker prenesete in zaženete orodje HDS Setup Tool, ki ustvari lokalne konfiguracijske informacije za vsa vozlišča Hybrid Data Security. Morda boste potrebovali licenco za program Docker Desktop. Za več informacij glejte Zahteve za namizje Docker . Za namestitev in zagon orodja za namestitev HDS mora imeti lokalni računalnik povezljivost, opisano v Zahteve za zunanjo povezljivost. |
| 10 |
Če povezujete posredniški strežnik s sistemom Hybrid Data Security, se prepričajte, da izpolnjuje zahteve strežnika Proxy Server Requirements. |
Vzpostavitev hibridne gruče za varnost podatkov
Potek opravil pri uvajanju hibridne varnosti podatkov
| 1 |
Izvedite začetno nastavitev in prenesite namestitvene datoteke Datoteko OVA prenesite v lokalni računalnik za poznejšo uporabo. |
| 2 |
Ustvarite konfiguracijski ISO za gostitelje HDS Z orodjem HDS Setup Tool ustvarite konfiguracijsko datoteko ISO za vozlišča Hybrid Data Security. |
| 3 |
Ustvarite navidezni stroj iz datoteke OVA in izvedite začetno konfiguracijo, kot so omrežne nastavitve. Možnost konfiguracije omrežnih nastavitev med namestitvijo OVA je bila preizkušena s sistemom ESXi 6.5. Ta možnost morda ni na voljo v prejšnjih različicah. |
| 4 |
Nastavitev hibridnega VM za varnost podatkov Prijavite se v konzolo VM in nastavite poverilnice za prijavo. Konfigurirajte omrežne nastavitve za vozlišče, če jih niste konfigurirali ob namestitvi OVA. |
| 5 |
Prenos in namestitev konfiguracijskega ISO HDS Konfigurirajte VM iz konfiguracijske datoteke ISO, ki ste jo ustvarili z orodjem HDS Setup Tool. |
| 6 |
Konfiguracija vozlišča HDS za integracijo proxy strežnika Če omrežno okolje zahteva konfiguracijo posrednika, določite vrsto posrednika, ki ga boste uporabili za vozlišče, in po potrebi dodajte potrdilo posrednika v shrambo zaupanja. |
| 7 |
Registracija prvega vozlišča v gruči Registrirajte VM v oblaku Cisco Webex kot vozlišče hibridne varnosti podatkov. |
| 8 |
Ustvarite in registrirajte več vozlišč Dokončajte nastavitev gruče. |
| 9 |
Aktivirajte večnajemniški HDS v partnerskem vozlišču. Aktivirajte HDS in upravljajte organizacije najemnikov v partnerskem vozlišču. |
Izvedite začetno nastavitev in prenesite namestitvene datoteke
V tem opravilu prenesete datoteko OVA v svoj računalnik (ne v strežnike, ki ste jih nastavili kot vozlišča Hybrid Data Security). To datoteko uporabite pozneje v postopku namestitve.
| 1 |
Prijavite se v Partnersko vozlišče, nato pa kliknite Storitve. |
| 2 |
V razdelku Storitve v oblaku poiščite kartico Hybrid Data Security in kliknite Set up. |
| 3 |
Kliknite Dodaj vir in kliknite Prenesi datoteko .OVA na kartici Namesti in konfiguriraj programsko opremo . Starejše različice programskega paketa (OVA) ne bodo združljive z najnovejšimi nadgradnjami Hybrid Data Security. To lahko povzroči težave pri nadgradnji aplikacije. Prepričajte se, da ste prenesli najnovejšo različico datoteke OVA. OVA lahko kadar koli prenesete tudi iz razdelka Pomoč . Kliknite . Datoteka OVA se samodejno začne prenašati. Datoteko shranite na mesto v računalniku.
|
| 4 |
Po želji kliknite Glej vodnik za uvajanje hibridne varnosti podatkov , da preverite, ali je na voljo novejša različica tega vodnika. |
Ustvarite konfiguracijski ISO za gostitelje HDS
Postopek nastavitve hibridne zaščite podatkov ustvari datoteko ISO. ISO nato uporabite za konfiguracijo gostitelja za hibridno varnost podatkov.
Preden začnete
-
Orodje HDS Setup se zažene kot vsebnik Docker v lokalnem računalniku. Če želite do njega dostopati, zaženite program Docker v tem računalniku. Postopek namestitve zahteva poverilnice računa Partner Hub s polnimi skrbniškimi pravicami.
Če se orodje HDS Setup v vašem okolju izvaja za posrednikom, določite nastavitve posrednika (strežnik, vrata, poverilnice) s spremenljivkami okolja Docker, ko v koraku 5 spodaj prikličete vsebnik Docker. V tej tabeli so navedene nekatere možne spremenljivke okolja:
Opis
Spremenljivka
Proxy strežnik HTTP brez avtentikacije
GLOBALNO_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS brez avtentikacije
GLOBALNO_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy strežnik HTTP z avtentikacijo
GLOBALNO_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS z avtentikacijo
GLOBALNO_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Konfiguracijska datoteka ISO, ki jo ustvarite, vsebuje glavni ključ za šifriranje podatkovne zbirke PostgreSQL ali Microsoft SQL Server. Najnovejšo kopijo te datoteke potrebujete vedno, ko spreminjate konfiguracijo, kot so te spremembe:
-
Pooblastila zbirke podatkov
-
Posodobitve certifikata
-
Spremembe pravilnika o avtorizaciji
-
-
Če nameravate šifrirati povezave s podatkovno bazo, nastavite namestitev PostgreSQL ali SQL Serverja za TLS.
| 1 |
V ukazno vrstico računalnika vnesite ukaz, ki ustreza vašemu okolju: V običajnih okoljih: V okoljih FedRAMP: V tem koraku očistite prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete. | ||||||||||
| 2 |
Če se želite prijaviti v register slik Docker, vnesite naslednje: | ||||||||||
| 3 |
Na poziv za geslo vnesite to geslo: | ||||||||||
| 4 |
Prenesite najnovejšo stabilno sliko za svoje okolje: V običajnih okoljih: V okoljih FedRAMP: | ||||||||||
| 5 |
Ko se poteg konča, vnesite ustrezen ukaz za svoje okolje:
Ko se vsebnik zažene, se prikaže "Express strežnik posluša na vratih 8080." | ||||||||||
| 6 |
Orodje za namestitev ne podpira povezovanja z lokalnim gostiteljem prek spletne strani http://localhost:8080. Uporabite http://127.0.0.1:8080 za povezavo z lokalnim gostiteljem. S spletnim brskalnikom pojdite na lokalno gostiteljsko mesto Orodje ta prvi vnos uporabniškega imena uporabi za nastavitev ustreznega okolja za ta račun. Orodje nato prikaže standardni poziv za prijavo. | ||||||||||
| 7 |
Ob pozivu vnesite prijavne podatke za administratorja partnerskega vozlišča in nato kliknite Prijava v , da omogočite dostop do zahtevanih storitev za Hybrid Data Security. | ||||||||||
| 8 |
Na strani s pregledom orodja Setup Tool kliknite Get Started. | ||||||||||
| 9 |
Na strani ISO Import so na voljo naslednje možnosti:
| ||||||||||
| 10 |
Preverite, ali vaše potrdilo X.509 izpolnjuje zahteve iz X.509 Certificate Requirements.
| ||||||||||
| 11 |
Vnesite naslov podatkovne zbirke in račun za dostop do ključnega podatkovnega skladišča HDS: | ||||||||||
| 12 |
Izberite način povezave s podatkovno bazo TLS:
Ko naložite korensko potrdilo (če je potrebno) in kliknete Nadaljuj, orodje HDS Setup Tool preizkusi povezavo TLS s strežnikom podatkovne zbirke. Orodje preveri tudi podpisnika potrdila in ime gostitelja, če je primerno. Če test ni uspešen, orodje prikaže sporočilo o napaki z opisom težave. Odločite se lahko, ali boste napako prezrli in nadaljevali z nastavitvijo. (Zaradi razlik v povezljivosti lahko vozlišča HDS vzpostavijo povezavo TLS, čeprav je naprava HDS Setup Tool ne more uspešno preizkusiti.) | ||||||||||
| 13 |
Na strani Sistemski dnevniki konfigurirajte strežnik Syslogd: | ||||||||||
| 14 |
(Neobvezno) Privzeto vrednost nekaterih parametrov povezave s podatkovno bazo lahko spremenite v razdelku Dodatne nastavitve. Na splošno je ta parameter edini, ki ga boste morda želeli spremeniti: | ||||||||||
| 15 |
Kliknite Nadaljuj na zaslonu Ponastavitev gesla za storitvene račune . Gesla za storitvene račune imajo devetmesečno življenjsko dobo. Ta zaslon uporabite, ko geslom poteče veljavnost ali jih želite ponastaviti, da razveljavite prejšnje datoteke ISO. | ||||||||||
| 16 |
Kliknite Prenos datoteke ISO. Datoteko shranite na mesto, ki ga boste zlahka našli. | ||||||||||
| 17 |
Naredite varnostno kopijo datoteke ISO v lokalnem sistemu. Varnostno kopijo hranite na varnem. Ta datoteka vsebuje glavni šifrirni ključ za vsebino zbirke podatkov. Omejite dostop samo tistim skrbnikom programa Hybrid Data Security, ki morajo izvajati spremembe konfiguracije. | ||||||||||
| 18 |
Če želite zaustaviti orodje Setup, vnesite |
Kaj storiti naprej
Ustvarite varnostno kopijo konfiguracijske datoteke ISO. Potrebujete ga za ustvarjanje več vozlišč za obnovitev ali za spreminjanje konfiguracije. Če izgubite vse kopije datoteke ISO, ste izgubili tudi glavni ključ. Obnovitev ključev iz podatkovne zbirke PostgreSQL ali Microsoft SQL Server ni mogoča.
Nikoli nimamo kopije tega ključa in vam ne moremo pomagati, če ga izgubite.
Namestitev HDS Host OVA
| 1 |
Z odjemalcem VMware vSphere v računalniku se prijavite v navidezni gostitelj ESXi. |
| 2 |
Izberite Datoteka > Namestitev predloge OVF. |
| 3 |
V čarovniku določite lokacijo datoteke OVA, ki ste jo prenesli prej, in kliknite Next. |
| 4 |
Na strani Select a name and folder vnesite Virtual machine name za vozlišče (na primer "HDS_Node_1"), izberite lokacijo, kjer se lahko nahaja namestitev vozlišča virtualnega stroja, in nato kliknite Next. |
| 5 |
Na strani Select a compute resource izberite ciljni računski vir in kliknite Next. Izvede se preverjanje veljavnosti. Ko se zaključi, se prikažejo podrobnosti o predlogi. |
| 6 |
Preverite podrobnosti predloge in kliknite Next. |
| 7 |
Če morate na strani Configuration izbrati konfiguracijo virov, kliknite 4 CPU in nato kliknite Next. |
| 8 |
Na strani Select storage kliknite Next , da sprejmete privzeto obliko diska in politiko shranjevanja VM. |
| 9 |
Na strani Izberite omrežja s seznama vnosov izberite možnost omrežja, ki zagotavlja želeno povezljivost z VM. |
| 10 |
Na strani Prilagodi predlogo konfigurirajte naslednje omrežne nastavitve:
Če želite, lahko preskočite konfiguracijo omrežnih nastavitev in za konfiguracijo nastavitev iz konzole vozlišča sledite korakom v razdelku Set up the Hybrid Data Security VM . Možnost konfiguracije omrežnih nastavitev med namestitvijo OVA je bila preizkušena s sistemom ESXi 6.5. Ta možnost morda ni na voljo v prejšnjih različicah. |
| 11 |
Z desno tipko miške kliknite vozlišče VM in izberite . Programska oprema Hybrid Data Security je nameščena kot gost v gostitelju VM. Zdaj se lahko prijavite v konzolo in konfigurirate vozlišče. Nasveti za odpravljanje težav Preden se zabojniki vozlišč prikažejo, lahko pride do nekajminutne zamude. Med prvim zagonom, med katerim se ne morete prijaviti, se na konzoli prikaže sporočilo o požarnem zidu mostu. |
Nastavitev hibridnega VM za varnost podatkov
S tem postopkom se prvič prijavite v konzolo VM vozlišča Hybrid Data Security in nastavite poverilnice za prijavo. V konzoli lahko tudi konfigurirate omrežne nastavitve za vozlišče, če jih niste konfigurirali ob namestitvi OVA.
| 1 |
V odjemalcu VMware vSphere izberite VM vozlišča Hybrid Data Security in zavihek Console . VM se zažene in pojavi se poziv za prijavo. Če se poziv za prijavo ne prikaže, pritisnite Enter.
|
| 2 |
Za prijavo in spremembo poverilnic uporabite naslednje privzeto uporabniško ime in geslo: Ker se prvič prijavljate v svoj virtualni stroj, morate spremeniti skrbniško geslo. |
| 3 |
Če ste omrežne nastavitve že konfigurirali v razdelku Namestitev HDS Host OVA, preskočite preostanek tega postopka. V nasprotnem primeru v glavnem meniju izberite možnost Edit Configuration . |
| 4 |
Nastavite statično konfiguracijo z naslovom IP, masko, prehodom in informacijami DNS. Vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt. |
| 5 |
(Neobvezno) Po potrebi spremenite ime gostitelja, domeno ali strežnik(-e) NTP, da bo ustrezal vaši politiki omrežja. Domene ni treba nastaviti tako, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509. |
| 6 |
Shranite omrežno konfiguracijo in ponovno zaženite VM, da bodo spremembe začele veljati. |
Prenos in namestitev konfiguracijskega ISO HDS
Preden začnete
Ker je v datoteki ISO shranjen glavni ključ, mora biti izpostavljen le na podlagi "potrebe po seznanitvi", in sicer za dostop hibridnih virtualnih strojev za varnost podatkov in vseh skrbnikov, ki bi morda morali uvesti spremembe. Prepričajte se, da lahko do podatkovnega skladišča dostopajo samo ti skrbniki.
| 1 |
Datoteko ISO prenesite iz računalnika: |
| 2 |
Namestite datoteko ISO: |
Kaj storiti naprej
Če to zahteva vaš pravilnik IT, lahko po želji odstranite datoteko ISO, ko vsa vozlišča prevzamejo spremembe konfiguracije. Za podrobnosti glejte (Optional) Unmount ISO After HDS Configuration .
Konfiguracija vozlišča HDS za integracijo proxy strežnika
Če omrežno okolje zahteva posrednika, s tem postopkom določite vrsto posrednika, ki ga želite integrirati s sistemom Hybrid Data Security. Če izberete pregledni pregledovalni posrednik ali eksplicitni posrednik HTTPS, lahko za prenos in namestitev korenskega potrdila uporabite vmesnik vozlišča. V vmesniku lahko preverite tudi povezavo proxy in odpravite morebitne težave.
Preden začnete
-
Za pregled podprtih možnosti posrednikov glejte Proxy Support .
| 1 |
V spletni brskalnik vnesite URL za nastavitev vozlišča HDS |
| 2 |
Pojdite na Trust Store & Proxy, nato pa izberite možnost:
Sledite naslednjim korakom za pregledni pregledovalni posrednik, izrecni posrednik HTTP z osnovnim preverjanjem pristnosti ali izrecni posrednik HTTPS. |
| 3 |
Kliknite Upload a Root Certificate or End Entity Certificate, nato pa se pomaknite do in izberite korensko potrdilo za posrednika. Potrdilo je naloženo, vendar še ni nameščeno, saj morate vozlišče znova zagnati, da bi namestili potrdilo. Če želite dobiti več podrobnosti, kliknite šivankino puščico ob imenu izdajatelja potrdila ali kliknite Delete , če ste se zmotili in želite ponovno naložiti datoteko. |
| 4 |
Kliknite Check Proxy Connection , da preverite omrežno povezljivost med vozliščem in posrednikom. Če preizkus povezave ni uspešen, se prikaže sporočilo o napaki, v katerem je naveden razlog in kako lahko težavo odpravite. Če se prikaže sporočilo, da zunanja resolucija DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS. Ta pogoj je pričakovan v številnih konfiguracijah eksplicitnih posrednikov. Nadaljujete lahko z nastavitvijo in vozlišče bo delovalo v načinu blokirane zunanje resolucije DNS. Če menite, da gre za napako, dokončajte te korake in si oglejte spletno mesto Turn off Blocked External DNS Resolution Mode. |
| 5 |
Ko je test povezave uspešno opravljen, za eksplicitni posrednik, nastavljen samo na https, vklopite preklopno stikalo na . Vse zahteve https na vratih 443/444 iz tega vozlišča usmerite prek eksplicitnega posrednika. Ta nastavitev začne učinkovati šele po 15 sekundah. |
| 6 |
Kliknite Install All Certificates Into the Trust Store (Namesti vsa potrdila v shrambo zaupanja) (prikaže se pri eksplicitnem posredniku HTTPS ali preglednem pregledovalnem posredniku) ali Reboot (Ponovni zagon) (prikaže se pri eksplicitnem posredniku HTTP), preberite poziv in nato kliknite Install , če ste pripravljeni. Vozlišče se ponovno zažene v nekaj minutah. |
| 7 |
Po ponovnem zagonu vozlišča se po potrebi znova prijavite in odprite stran Overview ter preverite preverjanja povezljivosti in se prepričajte, da so vsa v zelenem stanju. Pri preverjanju povezave s posrednikom se preveri samo poddomena webex.com. Če pride do težav s povezljivostjo, je pogosta težava ta, da so nekatere domene v oblaku, navedene v navodilih za namestitev, blokirane v posredniškem strežniku. |
Registracija prvega vozlišča v gruči
Ko registrirate prvo vozlišče, ustvarite gručo, v katero je vozlišče dodeljeno. Grozd vsebuje eno ali več vozlišč, nameščenih za zagotavljanje redundance.
Preden začnete
-
Ko začnete registracijo vozlišča, jo morate dokončati v 60 minutah, sicer morate začeti znova.
-
Prepričajte se, da so blokatorji pojavnih oken v brskalniku onemogočeni ali da ste dovolili izjemo za admin.webex.com.
| 1 |
Prijavite se na https://admin.webex.com. |
| 2 |
V meniju na levi strani zaslona izberite Storitve. |
| 3 |
V razdelku Storitve v oblaku poiščite kartico Hybrid Data Security in kliknite Set up. |
| 4 |
Na strani, ki se odpre, kliknite Dodajanje vira. |
| 5 |
V prvo polje kartice Add a node vnesite ime gruče, ki ji želite dodeliti vozlišče Hybrid Data Security. Priporočamo, da gručo poimenujete glede na geografsko lokacijo vozlišč v gruči. Primeri: "San Francisco" ali "New York" ali "Dallas". |
| 6 |
V drugo polje vnesite notranji naslov IP ali polno kvalificirano domensko ime (FQDN) svojega vozlišča in kliknite Dodaj na dnu zaslona. Ta naslov IP ali FQDN se mora ujemati z naslovom IP ali imenom gostitelja in domeno, ki ste jih uporabili v Nastavitev hibridnega VM za varnost podatkov. Prikaže se sporočilo, da lahko vozlišče registrirate v Webex.
|
| 7 |
Kliknite Pojdi na vozlišče. Po nekaj trenutkih boste preusmerjeni na teste povezljivosti vozlišča za storitve Webex. Če so vsi preskusi uspešni, se prikaže stran Dovolite dostop do vozlišča hibridne varnosti podatkov. Tam potrdite, da želite organizaciji Webex dodeliti dovoljenja za dostop do vašega vozlišča. |
| 8 |
Označite potrditveno polje Allow Access to Your Hybrid Data Security Node in kliknite Continue. Vaš račun je potrjen in sporočilo "Registracija je končana" označuje, da je vaše vozlišče zdaj registrirano v oblaku Webex.
|
| 9 |
Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Partner Hub Hybrid Data Security. Na strani Hybrid Data Security je nova gruča, ki vsebuje vozlišče, ki ste ga registrirali, prikazana pod zavihkom Resources . Vozlišče bo samodejno preneslo najnovejšo programsko opremo iz oblaka.
|
Ustvarite in registrirajte več vozlišč
Preden začnete
-
Ko začnete registracijo vozlišča, jo morate dokončati v 60 minutah, sicer morate začeti znova.
-
Prepričajte se, da so blokatorji pojavnih oken v brskalniku onemogočeni ali da ste dovolili izjemo za admin.webex.com.
| 1 |
Ustvarite nov virtualni stroj iz OVA in ponovite korake v poglavju Namestitev HDS Host OVA. |
| 2 |
Nastavite začetno konfiguracijo v novem virtualnem stroju, pri čemer ponovite korake iz Set up the Hybrid Data Security VM (Nastavitev hibridnega virtualnega stroja za varnost podatkov). |
| 3 |
V novem virtualnem stroju ponovite korake iz poglavja Naložite in namestite konfiguracijski ISO HDS. |
| 4 |
Če za namestitev nastavljate posrednika, ponovite korake v Configure the HDS Node for Proxy Integration , kot je potrebno za novo vozlišče. |
| 5 |
Registrirajte vozlišče. |
Upravljanje organizacij najemnikov v večnajemniški hibridni varnosti podatkov
Aktivacija HDS za več najemnikov v partnerskem vozlišču
To opravilo zagotavlja, da lahko vsi uporabniki organizacij strank začnejo uporabljati HDS za šifrirne ključe in druge varnostne storitve na lokaciji.
Preden začnete
Prepričajte se, da ste dokončali nastavitev večnajemniške gruče HDS z zahtevanim številom vozlišč.
| 1 |
Prijavite se na https://admin.webex.com. |
| 2 |
V meniju na levi strani zaslona izberite Storitve. |
| 3 |
V razdelku Storitve v oblaku poiščite Hybrid Data Security in kliknite Uredi nastavitve. |
| 4 |
Kliknite Activate HDS na kartici HDS Status . |
Dodajanje organizacij najemnikov v partnersko vozlišče
V tem opravilu dodelite organizacije strank hibridni gruči za varnost podatkov.
| 1 |
Prijavite se na https://admin.webex.com. |
| 2 |
V meniju na levi strani zaslona izberite Storitve. |
| 3 |
V razdelku Storitve v oblaku poiščite Hybrid Data Security in kliknite View all. |
| 4 |
Kliknite grozd, v katerega želite dodeliti stranko. |
| 5 |
Pojdite na zavihek Dodeljene stranke . |
| 6 |
Kliknite Dodajte stranke. |
| 7 |
V spustnem meniju izberite stranko, ki jo želite dodati. |
| 8 |
Kliknite Dodaj, stranka bo dodana v gručo. |
| 9 |
Če želite v gručo dodati več strank, ponovite korake od 6 do 8. |
| 10 |
Ko dodate stranke, kliknite Done na dnu zaslona. |
Kaj storiti naprej
Ustvarjanje glavnih ključev strank (CMK) z orodjem za nastavitev HDS
Preden začnete
Stranke razvrstite v ustrezno gručo, kot je opisano v poglavju Dodajanje organizacij najemnikov v partnerskem vozlišču. Zaženite orodje HDS Setup, da dokončate postopek nastavitve za novo dodane organizacije strank.
-
Orodje HDS Setup se zažene kot vsebnik Docker v lokalnem računalniku. Če želite do njega dostopati, zaženite program Docker v tem računalniku. Postopek namestitve zahteva poverilnice računa Partner Hub s polnimi skrbniškimi pravicami za vašo organizacijo.
Če se orodje HDS Setup v vašem okolju izvaja za posrednikom, določite nastavitve posrednika (strežnik, vrata, poverilnice) s spremenljivkami okolja Docker, ko v koraku prikličete vsebnik Docker 5. V tej tabeli so navedene nekatere možne spremenljivke okolja:
Opis
Spremenljivka
Proxy strežnik HTTP brez avtentikacije
GLOBALNO_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS brez avtentikacije
GLOBALNO_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy strežnik HTTP z avtentikacijo
GLOBALNO_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS z avtentikacijo
GLOBALNO_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Konfiguracijska datoteka ISO, ki jo ustvarite, vsebuje glavni ključ za šifriranje podatkovne zbirke PostgreSQL ali Microsoft SQL Server. Najnovejšo kopijo te datoteke potrebujete vedno, ko spreminjate konfiguracijo, kot so te spremembe:
-
Pooblastila zbirke podatkov
-
Posodobitve certifikata
-
Spremembe pravilnika o avtorizaciji
-
-
Če nameravate šifrirati povezave s podatkovno bazo, nastavite namestitev PostgreSQL ali SQL Serverja za TLS.
Postopek nastavitve hibridne zaščite podatkov ustvari datoteko ISO. ISO nato uporabite za konfiguracijo gostitelja za hibridno varnost podatkov.
| 1 |
V ukazno vrstico računalnika vnesite ukaz, ki ustreza vašemu okolju: V običajnih okoljih: V okoljih FedRAMP: V tem koraku očistite prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete. |
| 2 |
Če se želite prijaviti v register slik Docker, vnesite naslednje: |
| 3 |
Na poziv za geslo vnesite to geslo: |
| 4 |
Prenesite najnovejšo stabilno sliko za svoje okolje: V običajnih okoljih: V okoljih FedRAMP: |
| 5 |
Ko se poteg konča, vnesite ustrezen ukaz za svoje okolje:
Ko se vsebnik zažene, se prikaže "Express strežnik posluša na vratih 8080." |
| 6 |
Orodje za namestitev ne podpira povezovanja z lokalnim gostiteljem prek spletne strani http://localhost:8080. Uporabite http://127.0.0.1:8080 za povezavo z lokalnim gostiteljem. S spletnim brskalnikom pojdite na lokalno gostiteljsko mesto Orodje ta prvi vnos uporabniškega imena uporabi za nastavitev ustreznega okolja za ta račun. Orodje nato prikaže standardni poziv za prijavo. |
| 7 |
Ob pozivu vnesite prijavne podatke za administratorja partnerskega vozlišča in nato kliknite Prijava v , da omogočite dostop do zahtevanih storitev za Hybrid Data Security. |
| 8 |
Na strani s pregledom orodja Setup Tool kliknite Get Started. |
| 9 |
Na strani ISO Import kliknite Yes. |
| 10 |
V brskalniku izberite datoteko ISO in jo prenesite. Zagotovite povezljivost s podatkovno zbirko za upravljanje CMK. |
| 11 |
Pojdite na zavihek Upravljanje CMK najemnika , kjer boste našli naslednje tri načine za upravljanje CMK najemnika.
|
| 12 |
Ko je ustvarjanje CMK uspešno, se status v preglednici spremeni s CMK management pending na CMK managed. |
| 13 |
Če ustvarjanje CMK ni uspešno, se prikaže napaka. |
Odstranitev organizacij najemnikov
Preden začnete
Po odstranitvi uporabniki organizacij strank ne bodo mogli uporabljati HDS za svoje potrebe šifriranja in bodo izgubili vse obstoječe prostore. Pred odstranitvijo organizacij strank se obrnite na Ciscovega partnerja ali skrbnika računa.
| 1 |
Prijavite se na https://admin.webex.com. |
| 2 |
V meniju na levi strani zaslona izberite Storitve. |
| 3 |
V razdelku Storitve v oblaku poiščite Hybrid Data Security in kliknite View all. |
| 4 |
Na zavihku Resources kliknite gručo, iz katere želite odstraniti organizacije strank. |
| 5 |
Na strani, ki se odpre, kliknite Dodeljene stranke. |
| 6 |
Na prikazanem seznamu organizacij strank kliknite ... na desni strani organizacije strank, ki jo želite odstraniti, in kliknite Remove from cluster. |
Kaj storiti naprej
Postopek odstranitve dokončajte tako, da prekličete CMK organizacijam strank, kot je opisano na spletni strani Preklic CMK najemnikov, odstranjenih iz HDS.
Preklic CMK najemnikov, ki so bili odstranjeni iz HDS.
Preden začnete
Odstranite stranke iz ustrezne gruče, kot je podrobno opisano v . Odstranite organizacije najemnikov. Zaženite orodje HDS Setup, da dokončate postopek odstranitve za odstranjene organizacije strank.
-
Orodje HDS Setup se zažene kot vsebnik Docker v lokalnem računalniku. Če želite do njega dostopati, zaženite program Docker v tem računalniku. Postopek namestitve zahteva poverilnice računa Partner Hub s polnimi skrbniškimi pravicami za vašo organizacijo.
Če se orodje HDS Setup v vašem okolju izvaja za posrednikom, določite nastavitve posrednika (strežnik, vrata, poverilnice) s spremenljivkami okolja Docker, ko v koraku prikličete vsebnik Docker 5. V tej tabeli so navedene nekatere možne spremenljivke okolja:
Opis
Spremenljivka
Proxy strežnik HTTP brez avtentikacije
GLOBALNO_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS brez avtentikacije
GLOBALNO_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy strežnik HTTP z avtentikacijo
GLOBALNO_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS z avtentikacijo
GLOBALNO_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Konfiguracijska datoteka ISO, ki jo ustvarite, vsebuje glavni ključ za šifriranje podatkovne zbirke PostgreSQL ali Microsoft SQL Server. Najnovejšo kopijo te datoteke potrebujete vedno, ko spreminjate konfiguracijo, kot so te spremembe:
-
Pooblastila zbirke podatkov
-
Posodobitve certifikata
-
Spremembe pravilnika o avtorizaciji
-
-
Če nameravate šifrirati povezave s podatkovno bazo, nastavite namestitev PostgreSQL ali SQL Serverja za TLS.
Postopek nastavitve hibridne zaščite podatkov ustvari datoteko ISO. ISO nato uporabite za konfiguracijo gostitelja za hibridno varnost podatkov.
| 1 |
V ukazno vrstico računalnika vnesite ukaz, ki ustreza vašemu okolju: V običajnih okoljih: V okoljih FedRAMP: V tem koraku očistite prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete. |
| 2 |
Če se želite prijaviti v register slik Docker, vnesite naslednje: |
| 3 |
Na poziv za geslo vnesite to geslo: |
| 4 |
Prenesite najnovejšo stabilno sliko za svoje okolje: V običajnih okoljih: V okoljih FedRAMP: |
| 5 |
Ko se poteg konča, vnesite ustrezen ukaz za svoje okolje:
Ko se vsebnik zažene, se prikaže "Express strežnik posluša na vratih 8080." |
| 6 |
Orodje za namestitev ne podpira povezovanja z lokalnim gostiteljem prek spletne strani http://localhost:8080. Uporabite http://127.0.0.1:8080 za povezavo z lokalnim gostiteljem. S spletnim brskalnikom pojdite na lokalno gostiteljsko mesto Orodje ta prvi vnos uporabniškega imena uporabi za nastavitev ustreznega okolja za ta račun. Orodje nato prikaže standardni poziv za prijavo. |
| 7 |
Ob pozivu vnesite prijavne podatke za administratorja partnerskega vozlišča in nato kliknite Prijava v , da omogočite dostop do zahtevanih storitev za Hybrid Data Security. |
| 8 |
Na strani s pregledom orodja Setup Tool kliknite Get Started. |
| 9 |
Na strani ISO Import kliknite Yes. |
| 10 |
V brskalniku izberite datoteko ISO in jo prenesite. |
| 11 |
Pojdite na zavihek Upravljanje CMK najemnika , kjer boste našli naslednje tri načine za upravljanje CMK najemnika.
|
| 12 |
Ko je preklic CMK uspešen, organizacija stranke ne bo več prikazana v tabeli. |
| 13 |
Če preklic CMK ni uspešen, se prikaže napaka. |
Preizkusite namestitev hibridne varnosti podatkov
Preizkusite namestitev hibridne varnosti podatkov
Preden začnete
-
Nastavite namestitev hibridnega varovanja podatkov v več najemnikih.
-
Zagotovite dostop do dnevnika syslog, da preverite, ali so zahteve za ključe posredovane v večpredstavnostno hibridno varnost podatkov.
| 1 |
Ključe za določen prostor določi njegov ustvarjalec. Prijavite se v aplikacijo Webex kot eden od uporabnikov organizacije stranke in nato ustvarite prostor. Če deaktivirate namestitev hibridnega varovanja podatkov, vsebina v prostorih, ki jih ustvarijo uporabniki, ni več dostopna, ko se zamenjajo kopije šifrirnih ključev, shranjene v odjemalcu. |
| 2 |
Pošljite sporočila v nov prostor. |
| 3 |
Preverite izhod sysloga, da preverite, ali so zahteve za ključe posredovane vaši namestitvi Hybrid Data Security. |
Spremljanje stanja varnosti hibridnih podatkov
| 1 |
V spletnem mestu Partner Hub z menija na levi strani zaslona izberite Storitve . |
| 2 |
V razdelku Storitve v oblaku poiščite Hybrid Data Security in kliknite Uredi nastavitve. Prikaže se stran Hybrid Data Security Settings (Nastavitve varnosti hibridnih podatkov).
|
| 3 |
V razdelku E-poštna obvestila vnesite enega ali več e-poštnih naslovov, ločenih z vejicami, in pritisnite Enter. |
Upravljanje namestitve HDS
Upravljanje namestitve HDS
Z nalogami, opisanimi v tem poglavju, upravljate uvajanje hibridnega varovanja podatkov.
Nastavitev urnika nadgradnje gruče
Nastavitev urnika nadgradnje:
| 1 |
Prijavite se v Partnersko vozlišče. |
| 2 |
V meniju na levi strani zaslona izberite Storitve. |
| 3 |
V razdelku Storitve v oblaku poiščite Hybrid Data Security in kliknite Set up |
| 4 |
Na strani Sredstva za hibridno varnost podatkov izberite gručo. |
| 5 |
Kliknite na zavihek Cluster Settings . |
| 6 |
Na strani Nastavitve gruče v razdelku Načrt nadgradnje izberite čas in časovni pas za načrt nadgradnje. Opomba: Pod časovnim pasom se prikaže naslednji razpoložljivi datum in ura nadgradnje. Po potrebi lahko nadgradnjo preložite na naslednji dan, tako da kliknete Postpone by 24 hours. |
Spreminjanje konfiguracije vozlišča
-
spreminjanje potrdil x.509 zaradi poteka veljavnosti ali drugih razlogov.
Ne podpiramo spreminjanja imena domene CN potrdila. Domena se mora ujemati s prvotno domeno, ki je bila uporabljena za registracijo gruče.
-
Posodabljanje nastavitev podatkovne zbirke za spremembo na repliko podatkovne zbirke PostgreSQL ali Microsoft SQL Server.
Ne podpiramo prenosa podatkov iz PostgreSQLa v Microsoft SQL Server ali obratno. Če želite zamenjati okolje podatkovne zbirke, začnite novo uvajanje hibridnega varovanja podatkov.
-
Ustvarjanje nove konfiguracije za pripravo novega podatkovnega središča.
Poleg tega družba Hybrid Data Security zaradi varnosti uporablja gesla za storitvene račune z devetmesečno življenjsko dobo. Ko orodje HDS Setup ustvari ta gesla, jih namestite v vsako vozlišče HDS v konfiguracijski datoteki ISO. Ko geslom vaše organizacije poteče veljavnost, prejmete obvestilo ekipe Webex, da ponastavite geslo za svoj račun naprave. (E-poštno sporočilo vsebuje besedilo: "Za posodobitev gesla uporabite vmesnik API strojnega računa.") Če veljavnost gesel še ni potekla, vam orodje ponudi dve možnosti:
-
Mehka ponastavitev- Staro in novo geslo delujeta do 10 dni. To obdobje uporabite za postopno zamenjavo datoteke ISO v vozliščih.
-
Trda ponastavitev-Stara gesla takoj prenehajo delovati.
Če gesla potečejo brez ponastavitve, to vpliva na storitev HDS in zahteva takojšnjo trdo ponastavitev in zamenjavo datoteke ISO v vseh vozliščih.
S tem postopkom ustvarite novo konfiguracijsko datoteko ISO in jo uporabite v gruči.
Preden začnete
-
Orodje HDS Setup se zažene kot vsebnik Docker v lokalnem računalniku. Če želite do njega dostopati, zaženite program Docker v tem računalniku. Postopek namestitve zahteva poverilnice računa v vozlišču Partner Hub s polnimi skrbniškimi pravicami partnerja .
Če se orodje HDS Setup v vašem okolju izvaja za posrednikom, določite nastavitve posrednika (strežnik, vrata, poverilnice) s spremenljivkami okolja Docker, ko zaženete vsebnik Docker v 1.e. V tej tabeli so navedene nekatere možne spremenljivke okolja:
Opis
Spremenljivka
Proxy strežnik HTTP brez avtentikacije
GLOBALNO_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS brez avtentikacije
GLOBALNO_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy strežnik HTTP z avtentikacijo
GLOBALNO_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS z avtentikacijo
GLOBALNO_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Za ustvarjanje nove konfiguracije potrebujete kopijo datoteke ISO trenutne konfiguracije. ISO vsebuje glavni ključ za šifriranje podatkovne zbirke PostgreSQL ali Microsoft SQL Server. ISO potrebujete, ko spreminjate konfiguracijo, vključno s poverilnicami podatkovne zbirke, posodobitvami potrdil ali spremembami politike avtorizacije.
| 1 |
V lokalnem računalniku z uporabo programa Docker zaženite orodje za namestitev HDS. |
| 2 |
Če imate samo eno vozlišče HDS, na katerem teče, ustvarite novo hibridno vozlišče Hybrid Data Security VM in ga registrirajte z novo konfiguracijsko datoteko ISO. Za podrobnejša navodila glejte Ustvarjanje in registracija več vozlišč. |
| 3 |
Za obstoječa vozlišča HDS, ki uporabljajo starejšo konfiguracijsko datoteko, namestite datoteko ISO. Naslednji postopek izvedite za vsako vozlišče po vrsti in posodobite vsako vozlišče, preden izklopite naslednje vozlišče: |
| 4 |
Ponovite korak 3 in zamenjajte konfiguracijo na vsakem preostalem vozlišču, na katerem je nameščena stara konfiguracija. |
Izklopite način blokiranega zunanjega DNS razreševanja
Ko registrirate vozlišče ali preverite konfiguracijo posredniškega strežnika vozlišča, postopek preizkusi iskanje DNS in povezljivost z oblakom Cisco Webex. Če strežnik DNS vozlišča ne more razrešiti javnih imen DNS, vozlišče samodejno preklopi v način blokiranega zunanjega razreševanja DNS.
Če lahko vozlišča razrešijo javna imena DNS prek notranjih strežnikov DNS, lahko ta način izklopite tako, da v vsakem vozlišču ponovno izvedete preskus povezave proxy.
Preden začnete
| 1 |
V spletnem brskalniku odprite vmesnik vozlišča Hybrid Data Security (na primer IP naslov/nastavitev, https://192.0.2.0/setup), vnesite poverilnice skrbnika, ki ste jih nastavili za vozlišče, in nato kliknite Prijava. |
| 2 |
Pojdite na Pregled (privzeta stran).  Ko je omogočeno, je Blokirana zunanja resolucija DNS nastavljena na Da. |
| 3 |
Pojdite na stran Trust Store & Proxy . |
| 4 |
Kliknite Preverite povezavo proxy. Če se prikaže sporočilo, da zunanja resolucija DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS in bo ostalo v tem načinu. V nasprotnem primeru morate po ponovnem zagonu vozlišča in vrnitvi na stran Overview nastaviti možnost Blocked External DNS Resolution na ne. |
Kaj storiti naprej
Odstranitev vozlišča
| 1 |
Z odjemalcem VMware vSphere v računalniku se prijavite v navidezni gostitelj ESXi in izklopite navidezni stroj. |
| 2 |
Odstranite vozlišče: |
| 3 |
V odjemalcu vSphere izbrišite VM. (V levem navigacijskem podoknu z desno tipko miške kliknite VM in kliknite Delete.) Če VM ne izbrišete, ne pozabite odstraniti konfiguracijske datoteke ISO. Brez datoteke ISO ne morete uporabiti VM za dostop do varnostnih podatkov. |
Obnovitev po nesreči z uporabo rezervnega podatkovnega centra
Najpomembnejša storitev, ki jo zagotavlja vaša gruča za hibridno varnost podatkov, je ustvarjanje in shranjevanje ključev, ki se uporabljajo za šifriranje sporočil in druge vsebine, shranjene v oblaku Webex. Za vsakega uporabnika v organizaciji, ki je dodeljen hibridnemu varovanju podatkov, se v gručo posredujejo zahteve za ustvarjanje novih ključev. Grozd je odgovoren tudi za vračanje ključev, ki jih je ustvaril, vsem uporabnikom, ki so pooblaščeni za njihovo pridobitev, na primer članom prostora za pogovore.
Ker gruča opravlja ključno funkcijo zagotavljanja teh ključev, je nujno, da deluje in da se vzdržujejo ustrezne varnostne kopije. Izguba podatkovne zbirke Hybrid Data Security ali konfiguracijskega ISO, ki se uporablja za shemo, bo povzročila NEODSTRANJIVO IZGUBO vsebine stranke. Da bi preprečili takšno izgubo, je treba upoštevati naslednje prakse:
Če zaradi nesreče namestitev HDS v primarnem podatkovnem središču postane nerazpoložljiva, po tem postopku ročno preklopite na rezervno podatkovno središče.
Preden začnete
| 1 |
Zagon orodja HDS Setup in sledite korakom, navedenim v poglavju Create a Configuration ISO for the HDS Hosts. |
| 2 |
Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga boste zlahka našli. |
| 3 |
Naredite varnostno kopijo datoteke ISO v lokalnem sistemu. Varnostno kopijo hranite na varnem. Ta datoteka vsebuje glavni šifrirni ključ za vsebino zbirke podatkov. Omejite dostop samo tistim skrbnikom programa Hybrid Data Security, ki morajo izvajati spremembe konfiguracije. |
| 4 |
V levem navigacijskem podoknu odjemalca VMware vSphere desno kliknite na VM in kliknite Edit Settings. |
| 5 |
Kliknite Edit Settings >CD/DVD Drive 1 in izberite Datastore ISO File. Prepričajte se, da sta označeni možnosti Connected in Connect at power on , da bodo posodobljene spremembe konfiguracije začele veljati po zagonu vozlišč. |
| 6 |
Vključite vozlišče HDS in se prepričajte, da vsaj 15 minut ni alarmov. |
| 7 |
Vozlišče registrirajte v partnerskem vozlišču. Oglejte si Registracija prvega vozlišča v gruči. |
| 8 |
Postopek ponovite za vsa vozlišča v rezervnem podatkovnem središču. |
Kaj storiti naprej
(Neobvezno) Odstranitev namestitve ISO po konfiguraciji HDS
Standardna konfiguracija HDS deluje z nameščenim ISO. Vendar nekatere stranke raje ne puščajo datotek ISO neprekinjeno nameščenih. Datoteko ISO lahko odstranite, ko vsa vozlišča HDS prevzamejo novo konfiguracijo.
Za spreminjanje konfiguracije še vedno uporabljate datoteke ISO. Ko ustvarite nov ISO ali posodobite ISO z orodjem za namestitev, morate posodobljeni ISO namestiti na vsa vozlišča HDS. Ko vsa vozlišča prevzamejo spremembe konfiguracije, lahko s tem postopkom ponovno odstranite namestitev ISO.
Preden začnete
Nadgradite vsa vozlišča HDS na različico 2021.01.22.4720 ali novejšo.
| 1 |
Izklopite eno od vozlišč HDS. |
| 2 |
V napravi vCenter Server Appliance izberite vozlišče HDS. |
| 3 |
Izberite in odstranite kljukico Datastore ISO File. |
| 4 |
Vključite vozlišče HDS in se prepričajte, da vsaj 20 minut ni alarmov. |
| 5 |
Ponovite za vsako vozlišče HDS po vrsti. |
Odpravljanje težav z varnostjo hibridnih podatkov
Oglejte si opozorila in odpravite težave
Hibridna namestitev varovanja podatkov se šteje za nedostopno, če vsa vozlišča v gruči niso dosegljiva ali če gruča deluje tako počasi, da se zahteve prekinejo. Če uporabniki ne morejo doseči gruče Hybrid Data Security, se pojavijo naslednji simptomi:
-
Ni mogoče ustvariti novih prostorov (ni mogoče ustvariti novih ključev)
-
Sporočila in naslovi prostora niso dešifrirani:
-
V prostor so dodani novi uporabniki (ni mogoče pridobiti ključev)
-
obstoječi uporabniki v prostoru, ki uporabljajo novega odjemalca (ne morejo pridobiti ključev)
-
-
Obstoječi uporabniki v prostoru bodo še naprej uspešno delovali, dokler bodo njihovi odjemalci imeli predpomnilnik šifrirnih ključev.
Pomembno je, da ustrezno spremljate svojo gručo Hybrid Data Security in takoj obravnavate vsa opozorila, da ne pride do motenj v delovanju.
Opozorila
Če pride do težave z nastavitvijo hibridne varnosti podatkov, vozlišče Partner Hub prikaže opozorila skrbniku organizacije in pošlje e-poštna sporočila na konfigurirani e-poštni naslov. Opozorila zajemajo številne pogoste scenarije.
|
Opozori |
Dejanje |
|---|---|
|
Neuspešen dostop do lokalne zbirke podatkov. |
Preverite napake v zbirki podatkov ali težave v lokalnem omrežju. |
|
Neuspešna povezava z lokalno zbirko podatkov. |
Preverite, ali je strežnik zbirke podatkov na voljo in ali so bili pri konfiguraciji vozlišča uporabljeni pravilni poverilnice servisnega računa. |
|
Napaka pri dostopu do storitev v oblaku. |
Preverite, ali lahko vozlišča dostopajo do strežnikov Webex, kot je določeno v Zahteve za zunanjo povezljivost. |
|
Podaljšanje registracije storitve v oblaku. |
Registracija v storitve v oblaku je bila ukinjena. Podaljšanje registracije je v teku. |
|
Registracija storitve v oblaku je bila prekinjena. |
Registracija v storitve v oblaku je prekinjena. Storitev se ustavi. |
|
Storitev še ni aktivirana. |
Aktivirajte HDS v partnerskem vozlišču. |
|
Konfigurirana domena se ne ujema s certifikatom strežnika. |
Prepričajte se, da se potrdilo strežnika ujema z nastavljeno domeno za aktivacijo storitve. Najverjetnejši vzrok je, da je bil CN potrdila nedavno spremenjen in se zdaj razlikuje od CN, ki je bil uporabljen med začetno nastavitvijo. |
|
Neuspešno preverjanje pristnosti v storitvah v oblaku. |
Preverite točnost in morebitno prenehanje veljavnosti poverilnic storitvenega računa. |
|
Ni uspelo odpreti lokalne datoteke s ključi. |
Preverite celovitost in točnost gesla v lokalni datoteki shrambe ključev. |
|
Potrdilo lokalnega strežnika je neveljavno. |
Preverite datum poteka veljavnosti potrdila strežnika in potrdite, da ga je izdal zaupanja vreden organ za potrjevanje. |
|
Ni mogoče objaviti metrike. |
Preverite dostop lokalnega omrežja do zunanjih storitev v oblaku. |
|
imenik /media/configdrive/hds ne obstaja. |
Preverite konfiguracijo priklopa ISO v navideznem gostitelju. Preverite, ali datoteka ISO obstaja, ali je konfigurirana za namestitev ob ponovnem zagonu in ali se uspešno namesti. |
|
Nastavitev organov najemnika ni dokončana za dodane organe |
Nastavitev dokončajte z ustvarjanjem CMK za novo dodane organizacije najemnikov z orodjem za nastavitev HDS. |
|
Nastavitev organa najemnika ni dokončana za odstranjene organe |
Nastavitev dokončajte tako, da prekličete kode CMK organizacij najemnikov, ki so bile odstranjene z orodjem za nastavitev HDS. |
Odpravljanje težav z varnostjo hibridnih podatkov
| 1 |
V vozlišču Partner Hub preverite morebitna opozorila in popravite vse elemente, ki jih tam najdete. Za referenco si oglejte spodnjo sliko. |
| 2 |
V izhodu strežnika syslog si oglejte dejavnosti iz namestitve Hybrid Data Security. Filtrirajte besede, kot sta "Opozorilo" in "Napaka", kar vam bo pomagalo pri odpravljanju težav. |
| 3 |
Kontaktirajte Ciscova podpora. |
Druge opombe
Znane težave pri hibridni varnosti podatkov
-
Če zaustavite svojo gručo Hybrid Data Security (tako, da jo izbrišete v Partner Hubu ali zaustavite vsa vozlišča), izgubite konfiguracijsko datoteko ISO ali izgubite dostop do podatkovne zbirke shrambe ključev, uporabniki aplikacije Webex iz organizacij strank ne morejo več uporabljati prostorov na seznamu Ljudje, ki so bili ustvarjeni s ključi iz vaše KMS. Trenutno nimamo rešitve ali popravka za to težavo, zato vas pozivamo, da ne zapirate storitev HDS, ko te upravljajo z aktivnimi uporabniškimi računi.
-
Odjemalec, ki ima obstoječo povezavo ECDH s KMS, ohrani to povezavo za določen čas (verjetno eno uro).
Uporaba OpenSSL za generiranje datoteke PKCS12
Preden začnete
-
OpenSSL je eno od orodij, s katerim lahko datoteko PKCS12 pripravite v ustrezni obliki za nalaganje v orodju HDS Setup Tool. Obstajajo tudi drugi načini, zato ne podpiramo ali spodbujamo enega načina v primerjavi z drugim.
-
Če se odločite za uporabo OpenSSL, vam ta postopek zagotavljamo kot vodilo, ki vam bo pomagalo ustvariti datoteko, ki izpolnjuje zahteve za potrdilo X.509 v dokumentu X.509 Certificate Requirements (Zahteve za potrdilo X.509). Preden nadaljujete, razumite te zahteve.
-
Namestite OpenSSL v podprto okolje. Programsko opremo in dokumentacijo najdete na spletni strani https://www.openssl.org .
-
Ustvarite zasebni ključ.
-
Ta postopek začnite, ko prejmete strežniško potrdilo od overitelja potrdil (CA).
| 1 |
Ko od overitelja prejmete potrdilo strežnika, ga shranite kot |
| 2 |
Prikažite potrdilo kot besedilo in preverite podrobnosti.
|
| 3 |
Z urejevalnikom besedila ustvarite datoteko s svežnjem potrdil z imenom
|
| 4 |
Ustvarite datoteko .p12 s prijaznim imenom
|
| 5 |
Preverite podatke o potrdilu strežnika. |
Kaj storiti naprej
Nazaj na Izpolnite predpogoje za hibridno varnost podatkov. Datoteko hdsnode.p12 in geslo, ki ste ga nastavili zanjo, boste uporabili v Ustvarjanje konfiguracijskega ISO za gostitelje HDS.
Te datoteke lahko ponovno uporabite za zahtevek za novo potrdilo, ko poteče veljavnost prvotnega potrdila.
Promet med vozlišči HDS in oblakom
Zbiranje izhodnih metričnih podatkov o prometu
Vozlišča hibridne varnosti podatkov pošiljajo določene metrike v oblak Webex. Te vključujejo sistemske metrike za največjo kupo, uporabljeno kupo, obremenitev procesorja in število niti; metrike sinhronih in asinhronih niti; metrike opozoril, ki vključujejo prag šifrirnih povezav, zakasnitev ali dolžino čakalne vrste zahtev; metrike podatkovnega skladišča in metrike šifrirnih povezav. Vozlišča pošiljajo šifrirano gradivo ključa po kanalu zunaj pasu (ločeno od zahteve).
Vhodni promet
Vozlišča za hibridno varovanje podatkov prejemajo naslednje vrste vhodnega prometa iz oblaka Webex:
-
zahteve za šifriranje odjemalcev, ki jih usmerja storitev šifriranja.
-
Nadgradnje programske opreme vozlišča
Konfiguracija proxyjev Squid za hibridno varnost podatkov
Websocket se ne more povezati prek posredniškega strežnika Squid
Proksi strežniki Squid, ki pregledujejo promet HTTPS, lahko ovirajo vzpostavitev povezav websocket (wss:), ki jih zahteva sistem Hybrid Data Security. V teh razdelkih so navodila za konfiguracijo različnih različic Squida, da ignorira wss: prometa za pravilno delovanje storitev.
Squid 4 in 5
Dodajte direktivo on_unsupported_protocol v squid.conf:
on_unsupported_protocol predor vseSquid 3.5.27
Uspešno smo preizkusili hibridno varnost podatkov z naslednjimi pravili, dodanimi v squid.conf. Ta pravila se lahko spremenijo, ko razvijamo funkcije in posodabljamo oblak Webex.
acl wssMercuryPovezava ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 allInformations nouvelles et modifiées
Informations nouvelles et modifiées
Ce tableau présente les nouvelles fonctionnalités ou fonctionnalités, les modifications apportées au contenu existant et les erreurs majeures qui ont été corrigées dans le Guide de déploiement pour la sécurité des données hybrides multi-locataires.
|
Datum |
Modifications apportées |
|---|---|
|
08 janvier 2025 |
Ajout d'une note dans Effectuer la configuration initiale et télécharger les fichiers d'installation indiquant que cliquer sur Configurer sur la carte HDS dans Partner Hub est une étape importante du processus d'installation. |
|
07 janvier 2025 |
Mises à jour Virtual Host Requirements, Hybrid Data Security Deployment Task Flow et Install the HDS Host OVA pour afficher la nouvelle exigence d'ESXi 7.0. |
|
13 décembre 2024 |
Première publication. |
Désactiver la sécurité des données hybride multi-tenant
Flux des tâches de désactivation HDS multi-tenant
Suivez ces étapes pour désactiver complètement Multi-Tenant HDS.
Avant de commencer
| 1 |
Retirer tous les clients de tous vos clusters, comme indiqué dans Supprimer les organisations locataires. |
| 2 |
Révoquer les CMK de tous les clients, comme mentionné dans Révoquer les CMK des locataires retirés de HDS.. |
| 3 |
Supprimez tous les nœuds de tous vos clusters, comme indiqué dans Supprimer un nœud. |
| 4 |
Supprimez tous vos clusters de Partner Hub en utilisant l'une des deux méthodes suivantes.
|
| 5 |
Cliquer sur l'onglet Paramètres de la page d'aperçu de la sécurité des données hybrides et cliquer sur Désactiver HDS sur la carte HDS Status. |
Commencez avec Multi-Tenant Hybrid Data Security
Aperçu de la sécurité des données hybrides multi-tenant
Depuis le premier jour, la sécurité des données a été l'objectif principal de la conception de l'application Webex. La pierre angulaire de cette sécurité est le chiffrement de contenu de bout en bout, activé par les clients de l'application Webex qui interagissent avec le Key Management Service (KMS). Le KMS est responsable de la création et de la gestion des clés cryptographiques que les clients utilisent pour chiffrer et déchiffrer dynamiquement les messages et les fichiers.
Par défaut, tous les clients de l'application Webex obtiennent un cryptage de bout en bout avec des clés dynamiques stockées dans le KMS cloud, dans le domaine de la sécurité de Cisco. Hybrid Data Security déplace le KMS et d'autres fonctions liées à la sécurité vers votre centre de données d'entreprise, de sorte que personne d'autre que vous ne détient les clés de votre contenu crypté.
Multi-Tenant Hybrid Data Security permet aux organisations de tirer parti de HDS par l'intermédiaire d'un partenaire local de confiance, qui peut agir en tant que fournisseur de services et gérer le chiffrement sur site et d'autres services de sécurité. Cette configuration permet à l'organisation partenaire d'avoir un contrôle complet sur le déploiement et la gestion des clés de chiffrement et garantit que les données utilisateur des organisations clientes sont à l'abri d'un accès externe. Les organisations partenaires mettent en place des instances HDS et créent des clusters HDS au besoin. Chaque instance peut prendre en charge plusieurs organisations clientes contrairement à un déploiement HDS régulier qui est limité à une seule organisation.
Cela permet également aux petites organisations de tirer parti de HDS, car le service de gestion des clés et l'infrastructure de sécurité comme les centres de données sont la propriété du partenaire local de confiance.
Comment Multi-Tenant Hybrid Data Security assure la souveraineté et le contrôle des données
- Le contenu généré par l'utilisateur est protégé contre l'accès externe, comme les fournisseurs de services cloud.
- Les partenaires locaux de confiance gèrent les clés de chiffrement des clients avec lesquels ils ont déjà une relation établie.
- Possibilité de soutien technique local, si fourni par le partenaire.
- Prend en charge le contenu des réunions, des messages et des appels.
Ce document vise à aider les organisations partenaires à mettre en place et à gérer des clients dans le cadre d’un système de sécurité des données hybride multi-tenant.
Rôles dans la sécurité des données hybride multi-tenant
- Administrateur complet partenaire - Peut gérer les paramètres pour tous les clients que le partenaire gère. Lahko tudi dodelijo vloge skrbnika obstoječim uporabnikom v organizaciji in dodelijo točno določene stranke v upravljanje partnerskim administratorjem.
- Administrateur partenaire - Peut gérer les paramètres des clients que l'administrateur a provisionnés ou qui ont été affectés à l'utilisateur.
- Administrateur complet - Administrateur de l'organisation partenaire qui est autorisé à effectuer des tâches telles que modifier les paramètres de l'organisation, gérer les licences et attribuer des rôles.
- Configuration HDS multi-locataires de bout en bout et gestion de toutes les organisations clientes - Droits d'administrateur complet du partenaire et d'administrateur complet requis.
- Gestion des organisations locataires affectées - Droits d’administrateur partenaire et d’administrateur complet requis.
Architecture du domaine de la sécurité
L'architecture cloud de Webex sépare différents types de services en domaines distincts, ou domaines de confiance, comme illustré ci-dessous.
Pour mieux comprendre la sécurité des données hybrides, examinons d'abord ce cas de cloud pur, où Cisco fournit toutes les fonctions dans ses royaumes cloud. Le service d'identité, le seul endroit où les utilisateurs peuvent être directement corrélés à leurs informations personnelles telles que l'adresse e-mail, est logiquement et physiquement séparé du domaine de la sécurité dans le centre de données B. Les deux sont à leur tour séparés du domaine où le contenu crypté est finalement stocké, dans le centre de données C.
Dans ce schéma, le client est l'application Webex fonctionnant sur l'ordinateur portable d'un utilisateur, et s'est authentifié avec le service d'identité. Lorsque l’utilisateur compose un message à envoyer dans un espace, les étapes suivantes ont lieu :
-
Le client établit une connexion sécurisée avec le service de gestion de clés (KMS), puis demande une clé pour chiffrer le message. La connexion sécurisée utilise ECDH, et le KMS chiffre la clé à l'aide d'une clé maître AES-256.
-
Le message est crypté avant de quitter le client. Le client l'envoie au service d'indexation, qui crée des index de recherche chiffrés pour faciliter les recherches futures du contenu.
-
Le message chiffré est envoyé au service conformité pour vérification de la conformité.
-
Le message chiffré est stocké dans le domaine de stockage.
Lorsque vous déployez la sécurité des données hybride, vous déplacez les fonctions du domaine de la sécurité (KMS, indexation et conformité) vers votre centre de données sur site. Les autres services cloud qui composent Webex (y compris l'identité et le stockage de contenu) restent dans les royaumes de Cisco.
Collaboration avec d'autres organisations
Les utilisateurs de votre organisation peuvent utiliser régulièrement Webex App pour collaborer avec des participants externes d'autres organisations. Lorsque l'un de vos utilisateurs demande une clé pour un espace appartenant à votre organisation (parce qu'il a été créé par l'un de vos utilisateurs), votre KMS envoie la clé au client via un canal sécurisé ECDH. Cependant, lorsqu'une autre organisation possède la clé pour l'espace, votre KMS achemine la requête vers le cloud Webex via un canal ECDH séparé pour obtenir la clé du KMS approprié, puis retourne la clé à votre utilisateur sur le canal d'origine.
Le service KMS exécuté sur Org A valide les connexions aux KMS dans d'autres organisations à l'aide de certificats PKI x.509. Voir Préparer votre environnement pour plus de détails sur la génération d'un certificat x.509 à utiliser avec votre déploiement de sécurité des données hybride multi-tenant.
Attentes pour le déploiement de la sécurité des données hybride
Un déploiement Hybrid Data Security nécessite un engagement significatif et une prise de conscience des risques liés à la possession de clés de chiffrement.
Pour déployer la sécurité des données hybride, vous devez fournir :
-
Un centre de données sécurisé dans un pays qui est un emplacement pris en charge pour les plans Cisco Webex Teams.
-
Les équipements, logiciels et accès au réseau décrits dans Préparez votre environnement.
La perte complète de la configuration ISO que vous créez pour Hybrid Data Security ou de la base de données que vous fournissez entraînera la perte des clés. La perte de clé empêche les utilisateurs de déchiffrer le contenu spatial et d'autres données chiffrées dans l'application Webex. Si cela se produit, vous pouvez créer un nouveau déploiement, mais seul le nouveau contenu sera visible. Pour éviter la perte d’accès aux données, vous devez :
-
Gérer la sauvegarde et la récupération de la base de données et de la configuration ISO.
-
Soyez prêt à effectuer une reprise rapide après sinistre en cas de catastrophe, comme une défaillance du disque de base de données ou une catastrophe du centre de données.
Il n'y a pas de mécanisme pour déplacer les clés vers le Cloud après un déploiement HDS.
Processus de configuration de haut niveau
Ce document couvre la configuration et la gestion d’un déploiement Multi-Tenant Hybrid Data Security :
-
Configuration de la sécurité des données hybrides—Cela comprend la préparation de l'infrastructure requise et l'installation du logiciel de sécurité des données hybrides, la construction d'un cluster HDS, l'ajout d'organisations locataires au cluster et la gestion de leurs clés principales clients (CMK). Cela permettra à tous les utilisateurs de vos organisations clientes d'utiliser votre cluster Hybrid Data Security pour les fonctions de sécurité.
Les phases de configuration, d'activation et de gestion sont abordées en détail dans les trois chapitres suivants.
-
Maintenez votre déploiement Hybrid Data Security—Le cloud Webex fournit automatiquement des mises à niveau continues. Votre service informatique peut fournir un support de niveau un pour ce déploiement et engager le support Cisco si nécessaire. Vous pouvez utiliser des notifications à l'écran et configurer des alertes par e-mail dans Partner Hub.
-
Comprendre les alertes courantes, les étapes de dépannage et les problèmes connus—Si vous rencontrez des problèmes lors du déploiement ou de l'utilisation de Hybrid Data Security, le dernier chapitre de ce guide et l'annexe Problèmes connus peuvent vous aider à déterminer et à résoudre le problème.
Modèle hybride de déploiement de la sécurité des données
Au sein de votre centre de données d'entreprise, vous déployez Hybrid Data Security comme un seul groupe de nœuds sur des hôtes virtuels séparés. Les nœuds communiquent avec le cloud Webex via des sockets Web sécurisées et HTTP sécurisées.
Pendant le processus d'installation, nous vous fournissons le fichier OVA pour configurer l'appareil virtuel sur les VM que vous fournissez. Vous utilisez l'outil de configuration HDS pour créer un fichier ISO de configuration de cluster personnalisé que vous montez sur chaque nœud. Le cluster Hybrid Data Security utilise votre serveur Syslogd fourni et la base de données PostgreSQL ou Microsoft SQL Server. (Vous configurez le Syslogd et les détails de connexion de la base de données dans l'outil de configuration HDS.)
Le nombre minimum de nœuds que vous pouvez avoir dans un cluster est de deux. Nous recommandons au moins trois par cluster. Le fait d'avoir plusieurs noeuds garantit que le service n'est pas interrompu lors d'une mise à niveau logicielle ou d'une autre activité de maintenance sur un noeud. (Le cloud Webex ne met à jour qu'un nœud à la fois.)
Tous les noeuds d'un cluster accèdent au même magasin de données clés et à l'activité de journal sur le même serveur syslog. Les nœuds eux-mêmes sont apatrides, et traitent les requêtes clés de façon ronde, comme le veut le cloud.
Les nœuds deviennent actifs lorsque vous les enregistrez dans Partner Hub. Pour mettre hors service un nœud individuel, vous pouvez le désenregistrer, et plus tard le reregister si nécessaire.
Centre de données de secours pour la reprise après sinistre
Pendant le déploiement, vous mettez en place un centre de données de secours sécurisé. En cas de catastrophe du centre de données, vous pouvez manuellement échouer votre déploiement vers le centre de données de secours.
Les bases de données des centres de données actifs et de veille sont synchronisées entre elles ce qui minimisera le temps nécessaire pour effectuer le basculement.
Les nœuds de sécurité des données hybrides actifs doivent toujours être dans le même centre de données que le serveur de base de données actif.
Prise en charge des mandataires
La sécurité des données hybride prend en charge les proxys explicites, transparents et non-inspecteurs. Vous pouvez lier ces proxys à votre déploiement afin que vous puissiez sécuriser et surveiller le trafic de l'entreprise vers le cloud. Vous pouvez utiliser une interface d'administration de plateforme sur les nœuds pour la gestion des certificats et pour vérifier l'état global de la connectivité après avoir configuré le proxy sur les nœuds.
Les nœuds de sécurité des données hybrides prennent en charge les options proxy suivantes :
-
Pas de proxy—La valeur par défaut si vous n'utilisez pas la configuration du nœud HDS Trust Store & Proxy pour intégrer un proxy. Aucune mise à jour du certificat n’est nécessaire.
-
Proxy transparent non inspectant — Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy non inspectant. Aucune mise à jour du certificat n’est nécessaire.
-
Proxy transparent à effet tunnel ou inspection—Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucun changement de configuration HTTP ou HTTPS n'est nécessaire sur les nœuds. Cependant, les nœuds ont besoin d'un certificat racine pour qu'ils fassent confiance au proxy. L'inspection des proxys est généralement utilisée par les TI pour appliquer les politiques sur les sites Web qui peuvent être visités et les types de contenu qui ne sont pas autorisés. Ce type de proxy décrypte tout votre trafic (même HTTPS).
-
Proxy explicite—Avec le proxy explicite, vous indiquez aux nœuds HDS quel serveur proxy et quel schéma d'authentification utiliser. Pour configurer un proxy explicite, il faut saisir les informations suivantes sur chaque nœud :
-
IP/FQDN proxy—Adresse qui peut être utilisée pour atteindre la machine proxy.
-
Port proxy—Numéro de port que le proxy utilise pour écouter le trafic protégé.
-
Protocole proxy—En fonction de ce que votre serveur proxy prend en charge, choisissez entre les protocoles suivants :
-
HTTP — Visualise et contrôle toutes les requêtes que le client envoie.
-
HTTPS — Fournit un canal au serveur. Le client reçoit et valide le certificat du serveur.
-
-
Type d’authentification—Choisissez parmi les types d’authentification suivants :
-
Aucune - Aucune autre authentification n'est requise.
Disponible si vous sélectionnez HTTP ou HTTPS comme protocole proxy.
-
Basique – Utilisé pour qu’un agent utilisateur HTTP fournisse un nom d’utilisateur et un mot de passe lors d’une demande. Utilise l'encodage Base64.
Disponible si vous sélectionnez HTTP ou HTTPS comme protocole proxy.
Nécessite de saisir le nom d'utilisateur et le mot de passe sur chaque nœud.
-
Digest—Permet de confirmer le compte avant d’envoyer des informations sensibles. Applique une fonction de hachage sur le nom d'utilisateur et le mot de passe avant l'envoi sur le réseau.
Disponible uniquement si vous sélectionnez HTTPS comme protocole proxy.
Nécessite de saisir le nom d'utilisateur et le mot de passe sur chaque nœud.
-
-
Exemple de nœuds hybrides de sécurité des données et de proxy
Ce schéma montre un exemple de connexion entre la sécurité des données hybride, le réseau et un proxy. Pour les options de proxy d'inspection transparente et d'inspection explicite HTTPS, le même certificat racine doit être installé sur le proxy et sur les nœuds de sécurité des données hybrides.
Mode de résolution DNS externe bloqué (configurations proxy explicites)
Lorsque vous enregistrez un noeud ou vérifiez la configuration du serveur mandataire du noeud, le processus teste la recherche DNS et la connectivité au cloud Cisco Webex. Dans les déploiements avec des configurations proxy explicites qui ne permettent pas la résolution DNS externe pour les clients internes, si le noeud ne peut pas interroger les serveurs DNS, il passe automatiquement en mode Résolution DNS externe bloquée. Dans ce mode, l'enregistrement des noeuds et d'autres tests de connectivité proxy peuvent être effectués.
Pripravite svoje okolje
Exigences relatives à la sécurité des données hybrides multi-locataires
Exigences de licence Cisco Webex
Pour déployer la sécurité des données hybride multi-tenant :
-
Organisations partenaires : Contactez votre partenaire ou votre gestionnaire de compte Cisco et assurez-vous que la fonctionnalité Multi-Tenant est activée.
-
Organisations de locataires : Vous devez avoir Pro Pack pour Cisco Webex Control Hub. (Voir https://www.cisco.com/go/pro-pack.)
Exigences du bureau Docker
Avant d'installer vos nœuds HDS, vous avez besoin de Docker Desktop pour exécuter un programme de configuration. Docker a récemment mis à jour son modèle de licence. Votre organisation peut avoir besoin d'un abonnement payant pour Docker Desktop. Pour plus de détails, voir le billet de blog de Docker, « Docker met à jour et étend nos abonnements de produits ».
X.509 Exigences en matière de certificats
La chaîne de certificats doit répondre aux exigences suivantes :
|
Zahteva |
Podrobnosti |
|---|---|
|
Par défaut, nous faisons confiance aux CA dans la liste Mozilla (à l’exception de WoSign et StartCom) à https://wiki.mozilla.org/CA:IncludedCAs. |
|
Le CN n'a pas besoin d'être joignable ou d'être un hôte en direct. Nous vous recommandons d’utiliser un nom qui reflète votre organisation, par exemple La NC ne doit pas contenir de * (joker). Le CN est utilisé pour vérifier les nœuds hybrides de sécurité des données aux clients de l'application Webex. Tous les nœuds Hybrid Data Security de votre cluster utilisent le même certificat. Votre KMS s'identifie à l'aide du domaine CN, et non à tout domaine défini dans les champs SAN x.509v3. Une fois que vous avez enregistré un nœud avec ce certificat, nous ne soutenons pas le changement du nom de domaine CN. |
|
Le logiciel KMS ne prend pas en charge les signatures SHA1 pour valider les connexions aux KMS d'autres organisations. |
|
Vous pouvez utiliser un convertisseur comme OpenSSL pour modifier le format de votre certificat. Vous devrez saisir le mot de passe lorsque vous exécuterez l'outil de configuration HDS. |
Le logiciel KMS n'applique pas de contraintes d'utilisation des clés ou d'utilisation des clés étendues. Certaines autorités de certification exigent que des contraintes étendues d'utilisation des clés soient appliquées à chaque certificat, comme l'authentification du serveur. Il est acceptable d'utiliser l'authentification du serveur ou d'autres paramètres.
Exigences de l'hôte virtuel
Les hôtes virtuels que vous allez configurer en tant que nœuds hybrides de sécurité des données dans votre cluster répondent aux exigences suivantes :
-
Au moins deux hôtes séparés (3 recommandés) colocalisés dans le même centre de données sécurisé
-
VMware ESXi 7.0 (ou version ultérieure) installé et en cours d'exécution.
Vous devez mettre à niveau si vous avez une version antérieure d'ESXi.
-
4 vCPUs minimum, 8 Go de mémoire principale, 30 Go d'espace disque dur local par serveur
Exigences du serveur de base de données
Créer une nouvelle base de données pour le stockage des clés. Ne pas utiliser la base de données par défaut. Les applications HDS, une fois installées, créent le schéma de la base de données.
Il y a deux options pour le serveur de base de données. Les exigences pour chacun d'eux sont les suivantes :
|
PostgreSQL |
Microsoft SQL Server |
|---|---|
|
|
|
Minimum 8 vCPU, mémoire principale de 16 Go, espace disque dur suffisant et surveillance pour s'assurer qu'il n'est pas dépassé (2 To recommandé si vous voulez exécuter la base de données pendant une longue période sans avoir besoin d'augmenter le stockage) |
Minimum 8 vCPU, mémoire principale de 16 Go, espace disque dur suffisant et surveillance pour s'assurer qu'il n'est pas dépassé (2 To recommandé si vous voulez exécuter la base de données pendant une longue période sans avoir besoin d'augmenter le stockage) |
Le logiciel HDS installe actuellement les versions de pilotes suivantes pour la communication avec le serveur de base de données :
|
PostgreSQL |
Microsoft SQL Server |
|---|---|
|
Le pilote Postgres JDBC 42.2.5 |
Pilote SQL Server JDBC 4.6 Cette version du pilote prend en charge SQL Server Always On (Always On Failover Cluster Instances et Always On groupes de disponibilité). |
Exigences supplémentaires pour l'authentification Windows contre Microsoft SQL Server
Si vous voulez que les nœuds HDS utilisent l'authentification Windows pour accéder à votre base de données keystore sur Microsoft SQL Server, vous avez besoin de la configuration suivante dans votre environnement :
-
Les nœuds HDS, l'infrastructure Active Directory et MS SQL Server doivent tous être synchronisés avec NTP.
-
Le compte Windows que vous fournissez aux nœuds HDS doit avoir un accès en lecture/écriture à la base de données.
-
Les serveurs DNS que vous fournissez aux nœuds HDS doivent être en mesure de résoudre votre centre de distribution de clés (KDC).
-
Vous pouvez enregistrer l'instance de base de données HDS sur votre Microsoft SQL Server en tant que Service Principal Name (SPN) sur votre Active Directory. Voir Enregistrer un nom principal de service pour Kerberos Connections.
L'outil de configuration HDS, le lanceur HDS et le KMS local doivent tous utiliser l'authentification Windows pour accéder à la base de données du magasin de clés. Ils utilisent les détails de votre configuration ISO pour construire le SPN lors de la demande d'accès avec authentification Kerberos.
Exigences de connectivité externe
Configurez votre pare-feu pour permettre la connectivité suivante pour les applications HDS :
|
Aplikacija |
Protokol |
Vrata |
Direction depuis l'application |
Cilj |
|---|---|---|---|---|
|
Nœuds hybrides de sécurité des données |
TCP |
443 |
HTTPS et WSS sortants |
|
|
Outil de configuration du HDS |
TCP |
443 |
HTTPS sortante |
|
Les nœuds de sécurité des données hybrides fonctionnent avec la traduction d'accès au réseau (NAT) ou derrière un pare-feu, à condition que le NAT ou le pare-feu permettent les connexions sortantes requises vers les destinations de domaine du tableau précédent. Pour les connexions entrant dans les nœuds de sécurité des données hybrides, aucun port ne doit être visible depuis Internet. Au sein de votre data center, les clients ont besoin d'accéder aux nœuds de sécurité des données hybrides sur les ports TCP 443 et 22, à des fins administratives.
Les URL des hôtes d'identité commune (CI) sont spécifiques à une région. Voici les hôtes CI actuels :
|
Regija |
URL de l'hôte d'identité commune |
|---|---|
|
Ameriki |
|
|
Union européenne |
|
|
Kanada |
|
| Singapur |
|
| Združeni Arabski Emirati |
|
Exigences relatives au serveur mandataire
-
Nous soutenons officiellement les solutions proxy suivantes qui peuvent s'intégrer à vos nœuds de sécurité des données hybrides.
-
Proxy transparent – Cisco Web Security Appliance (WSA).
-
Proxy explicite - Squid.
Les proxies squid qui inspectent le trafic HTTPS peuvent interférer avec l'établissement de connexions websocket (wss:). Pour résoudre ce problème, voir Configurer les proxys squid pour la sécurité des données hybrides.
-
-
Nous supportons les combinaisons de types d'authentification suivantes pour les proxys explicites :
-
Pas d'authentification avec HTTP ou HTTPS
-
Authentification de base avec HTTP ou HTTPS
-
Authentification Digest avec HTTPS uniquement
-
-
Pour un proxy d'inspection transparent ou un proxy explicite HTTPS, vous devez avoir une copie du certificat racine du proxy. Les instructions de déploiement de ce guide vous indiquent comment télécharger la copie dans les magasins de confiance des nœuds de sécurité des données hybrides.
-
Le réseau hébergeant les noeuds HDS doit être configuré pour forcer le trafic TCP sortant sur le port 443 à passer par le proxy.
-
Les proxys qui inspectent le trafic Web peuvent interférer avec les connexions de socket Web. Si ce problème se produit, contourner (ne pas inspecter) le trafic vers
wbx2.cometciscospark.comrésoudra le problème.
Remplir les conditions préalables à la sécurité des données hybrides
| 1 |
Assurez-vous que votre organisation partenaire dispose de la fonctionnalité HDS multi-locataire activée et obtenez les identifiants d'un compte avec l'administrateur complet partenaire et les droits d'administrateur complet. Assurez-vous que votre organisation client Webex est activée pour Pro Pack pour Cisco Webex Control Hub. Contactez votre partenaire Cisco ou votre gestionnaire de compte pour obtenir de l'aide dans ce processus. Les organisations clientes ne doivent pas avoir de déploiement HDS existant. |
| 2 |
Choisissez un nom de domaine pour votre déploiement HDS (par exemple, |
| 3 |
Préparez des hôtes virtuels identiques que vous allez configurer comme nœuds hybrides de sécurité des données dans votre cluster. Vous avez besoin d'au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé, qui répondent aux exigences de la Virtual Host Requirements. |
| 4 |
Préparer le serveur de base de données qui servira de magasin de données clés pour le cluster, conformément aux Exigences du serveur de base de données. Le serveur de base de données doit être colocé dans le centre de données sécurisé avec les hôtes virtuels. |
| 5 |
Pour une reprise rapide après sinistre, configurez un environnement de sauvegarde dans un centre de données différent. L'environnement de sauvegarde reflète l'environnement de production des VM et d'un serveur de base de données de sauvegarde. Par exemple, si la production a 3 VM exécutant des noeuds HDS, l'environnement de sauvegarde devrait avoir 3 VM. |
| 6 |
Configurer un hôte syslog pour collecter les journaux des nœuds du cluster. Recueillir son adresse réseau et son port syslog (par défaut UDP 514). |
| 7 |
Créez une politique de sauvegarde sécurisée pour les nœuds Hybrid Data Security, le serveur de base de données et l'hôte syslog. Au minimum, pour éviter les pertes de données irrécupérables, vous devez sauvegarder la base de données et le fichier ISO de configuration généré pour les nœuds Hybrid Data Security. Étant donné que les nœuds hybrides de sécurité des données stockent les clés utilisées pour le chiffrement et le déchiffrement du contenu, le non-maintien d’un déploiement opérationnel entraînera la PERTE IRRÉCUPÉRABLE de ce contenu. Les clients de l'application Webex cachent leurs clés, de sorte qu'une panne peut ne pas être immédiatement perceptible mais deviendra évidente au fil du temps. Bien que les pannes temporaires soient impossibles à prévenir, elles sont récupérables. Cependant, la perte complète (aucune sauvegarde disponible) de la base de données ou du fichier ISO de configuration entraînera des données client irrécupérables. Les opérateurs des nœuds de sécurité des données hybrides sont censés maintenir des sauvegardes fréquentes de la base de données et du fichier ISO de configuration, et être prêts à reconstruire le centre de données hybride de sécurité des données en cas de défaillance catastrophique. |
| 8 |
Assurez-vous que votre configuration de pare-feu permet la connectivité de vos nœuds hybrides de sécurité des données, comme indiqué dans Exigences de connectivité externe. |
| 9 |
Installer Docker ( https://www.docker.com) sur toute machine locale exécutant un système d'exploitation pris en charge (Microsoft Windows 10 Professional ou Enterprise 64-bit, ou Mac OSX Yosemite 10.10.3 ou supérieur) avec un navigateur Web qui peut y accéder à l'adresse http://127.0.0.1:8080. Vous utilisez l'instance Docker pour télécharger et exécuter l'outil de configuration HDS, qui construit les informations de configuration locale pour tous les nœuds de sécurité des données hybrides. Vous pourriez avoir besoin d'une licence Docker Desktop. Voir Exigences du bureau Docker pour plus d'informations. Pour installer et exécuter l'outil de configuration HDS, la machine locale doit avoir la connectivité décrite dans Exigences de connectivité externe. |
| 10 |
Si vous intégrez un proxy avec Hybrid Data Security, assurez-vous qu'il répond aux exigences du serveur proxy. |
Mettre en place un cluster hybride de sécurité des données
Potek opravila uvedbe hibridne varnosti podatkov
| 1 |
Izvedba začetne nastavitve in prenos namestitvenih datotek Prenesite datoteko OVA v lokalni računalnik za poznejšo uporabo. |
| 2 |
Ustvarjanje konfiguracijskega ISO za gostitelje HDS Z orodjem za namestitev HDS ustvarite konfiguracijsko datoteko ISO za vozlišča Hybrid Data Security. |
| 3 |
Ustvarite navidezni računalnik iz datoteke OVA in izvedite začetno konfiguracijo, kot so omrežne nastavitve. Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 7.0. Ta možnost morda ni na voljo v starejših različicah. |
| 4 |
Nastavitev hibridnega varnostnega računalniškega računalnika Vpišite se v konzolo VM in nastavite poverilnice za vpis. Konfigurirajte omrežne nastavitve za vozlišče, če jih niste konfigurirali v času uvedbe OVA. |
| 5 |
Naložite in namestite konfiguracijski ISO HDS Konfigurirajte VM iz konfiguracijske datoteke ISO, ki ste jo ustvarili z orodjem za namestitev HDS. |
| 6 |
Konfiguracija vozlišča HDS za integracijo strežnika proxy Če omrežno okolje zahteva konfiguracijo strežnika proxy, določite vrsto strežnika proxy, ki ga boste uporabili za vozlišče, in po potrebi dodajte potrdilo strežnika proxy v shrambo zaupanja. |
| 7 |
Registracija prvega vozlišča v gruči Registrirajte VM v oblaku Cisco Webex kot vozlišče za hibridno varnost podatkov. |
| 8 |
Ustvarjanje in registracija več vozlišč Dokončajte nastavitev gruče. |
| 9 |
Aktivirajte HDS z več najemniki v središču Partner. Aktivirajte HDS in upravljajte organizacije najemnikov v središču Partner. |
Izvedba začetne nastavitve in prenos namestitvenih datotek
V tem opravilu prenesete datoteko OVA v računalnik (ne v strežnike, ki ste jih nastavili kot vozlišča hibridne varnosti podatkov). To datoteko uporabite pozneje v postopku namestitve.
| 1 |
Vpišite se v središče za partnerje in kliknite Storitve . |
| 2 |
V razdelku Storitve v oblaku poiščite kartico Hibridna varnost podatkov in kliknite Nastavi . Klik na Nastavitev v Partnerskem središču je ključnega pomena za postopek uvajanja. Ne nadaljujte z namestitvijo, ne da bi dokončali ta korak. |
| 3 |
Kliknite Dodaj vir in nato Prenesi . OVA na kartici Namestitev in konfiguracija programske opreme . Starejše različice programskega paketa (OVA) ne bodo združljive z najnovejšimi nadgradnjami hibridne varnosti podatkov. To lahko povzroči težave pri nadgradnji aplikacije. Prenesite najnovejšo različico datoteke OVA. OVA lahko kadar koli prenesete tudi iz razdelka Pomoč . Kliknite Nastavitveza hibridno varnost podatkov. Datoteka OVA se samodejno začne prenašati. Shranite datoteko na mesto v računalniku.
|
| 4 |
Po želji kliknite Ogled vodnika za uvedbo hibridne varnosti podatkov, da preverite, ali je na voljo novejša različica tega priročnika. |
Ustvarjanje konfiguracijskega ISO za gostitelje HDS
Postopek namestitve hibridne varnosti podatkov ustvari datoteko ISO. Nato uporabite ISO za konfiguracijo gostitelja hibridne varnosti podatkov.
Preden začnete
-
Orodje za namestitev HDS deluje kot vsebnik Docker v lokalnem računalniku. Če želite dostopati do njega, zaženite Docker v tem računalniku. Postopek namestitve zahteva poverilnice računa Partnerskega središča s polnimi skrbniškimi pravicami.
Če se orodje za namestitev HDS izvaja za strežnikom proxy v vašem okolju, navedite nastavitve strežnika proxy (strežnik, vrata, poverilnice) prek spremenljivk okolja Dockerja, ko odprete vsebnik Docker v spodnjem koraku . V tej tabeli so navedene nekatere možne okoljske spremenljivke:
Opis
Spremenljivka
HTTP proxy brez preverjanja pristnosti
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS proxy brez preverjanja pristnosti
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP proxy s preverjanjem pristnosti
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy s preverjanjem pristnosti
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Konfiguracijska datoteka ISO, ki jo ustvarite, vsebuje glavni ključ, ki šifrira zbirko podatkov PostgreSQL ali Microsoft SQL Server. Najnovejšo kopijo te datoteke potrebujete vsakič, ko spremenite konfiguracijo, na primer:
-
Poverilnice zbirke podatkov
-
Posodobitve potrdil
-
Spremembe pravilnika o avtorizaciji
-
-
Če nameravate šifrirati povezave zbirke podatkov, nastavite uvajanje PostgreSQL ali SQL Server za TLS.
| 1 |
V ukazni vrstici računalnika vnesite ustrezen ukaz za vaše okolje: V običajnih okoljih: V okoljih FedRAMP: S tem korakom počistite prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete. | ||||||||||
| 2 |
Če se želite vpisati v register slik Dockerja, vnesite to: | ||||||||||
| 3 |
V poziv za geslo vnesite to razpršitev: | ||||||||||
| 4 |
Prenesite najnovejšo stabilno sliko za svoje okolje: V običajnih okoljih: V okoljih FedRAMP: | ||||||||||
| 5 |
Ko je poteza končana, vnesite ustrezen ukaz za vaše okolje:
Ko se vsebnik izvaja, se prikaže »Express server listening on door 8080«. | ||||||||||
| 6 |
Orodje za namestitev ne podpira povezovanja z lokalnim gostiteljem prek http://localhost:8080. Uporabite http://127.0.0.1:8080 za povezavo z lokalnim gostiteljem. S spletnim brskalnikom pojdite na lokalnega gostitelja, Orodje uporabi ta prvi vnos uporabniškega imena za nastavitev ustreznega okolja za ta račun. Orodje nato prikaže standardni poziv za vpis. | ||||||||||
| 7 |
Ko ste pozvani, vnesite poverilnice za vpis skrbnika Partnerskega središča in nato kliknite Prijava , da omogočite dostop do zahtevanih storitev za hibridno varnost podatkov. | ||||||||||
| 8 |
Na strani Pregled orodja za namestitev kliknite Uvod. | ||||||||||
| 9 |
Na strani Uvoz ISO so na voljo te možnosti:
| ||||||||||
| 10 |
Preverite, ali potrdilo X.509 izpolnjuje zahteve v razdelku Zahteveza potrdilo X.509.
| ||||||||||
| 11 |
Vnesite naslov zbirke podatkov in račun za HDS za dostop do vašega ključnega shrambe podatkov: | ||||||||||
| 12 |
Izberite načinpovezave z zbirko podatkov TLS:
Ko naložite korensko potrdilo (če je potrebno) in kliknete Nadaljuj, orodje za namestitev HDS preskusi povezavo TLS s strežnikom zbirke podatkov. Orodje preveri tudi podpisnika potrdila in ime gostitelja, če je primerno. Če preskus ne uspe, orodje prikaže sporočilo o napaki, ki opisuje težavo. Izberete lahko, ali želite napako prezreti in nadaljevati z nastavitvijo. (Zaradi razlik v povezljivosti lahko vozlišča HDS vzpostavijo povezavo TLS, tudi če je naprava HDS Setup Tool ne more uspešno preizkusiti.) | ||||||||||
| 13 |
Na strani Sistemski dnevniki konfigurirajte strežnik Syslogd: | ||||||||||
| 14 |
(Neobvezno) Privzeto vrednost za nekatere parametre povezave z zbirko podatkov lahko spremenite v naprednih nastavitvah. Na splošno je ta parameter edini, ki ga boste morda želeli spremeniti: | ||||||||||
| 15 |
Kliknite Nadaljuj na zaslonu Ponastavi geslo za storitvene račune. Gesla za storitvene račune imajo devetmesečno življenjsko dobo. Ta zaslon uporabite, ko se gesla bližajo izteku veljavnosti ali jih želite ponastaviti, da razveljavite prejšnje datoteke ISO. | ||||||||||
| 16 |
Kliknite Prenesi datotekoISO. Shranite datoteko na mesto, ki ga je enostavno najti. | ||||||||||
| 17 |
Naredite varnostno kopijo datoteke ISO v lokalnem sistemu. Varnostno kopijo hranite na varnem. Ta datoteka vsebuje glavni šifrirni ključ za vsebino zbirke podatkov. Omejite dostop samo na tiste skrbnike hibridne varnosti podatkov, ki morajo spremeniti konfiguracijo. | ||||||||||
| 18 |
Če želite zaustaviti orodje za namestitev, vnesite |
Kaj storiti naprej
Varnostno kopirajte konfiguracijsko datoteko ISO. Potrebujete ga za ustvarjanje več vozlišč za obnovitev ali za spremembe konfiguracije. Če izgubite vse kopije datoteke ISO, ste izgubili tudi glavni ključ. Obnovitev ključev iz zbirke podatkov PostgreSQL ali Microsoft SQL Server ni mogoča.
Nikoli nimamo kopije tega ključa in ne moremo pomagati, če ga izgubite.
Namestitev OVA gostitelja HDS
| 1 |
Uporabite odjemalca VMware vSphere v računalniku, da se prijavite v navideznega gostitelja ESXi. |
| 2 |
Izberite Datoteka > Uvedi predlogoOVF. |
| 3 |
V čarovniku določite mesto datoteke OVA, ki ste jo prej prenesli, in kliknite Naprej . |
| 4 |
Na strani Izberite ime in mapo vnesite ime navideznega računalnika za vozlišče (na primer »HDS_Node_1«), izberite mesto, kjer je lahko namestitev vozlišča navideznega računalnika, in nato kliknite Naprej. |
| 5 |
Na strani Izberite računalniški vir izberite ciljni računalniški vir in nato kliknite Naprej. Zažene se preverjanje veljavnosti. Ko se konča, se prikažejo podrobnosti predloge. |
| 6 |
Preverite podrobnosti predloge in kliknite Naprej . |
| 7 |
Če ste pozvani, da izberete konfiguracijo vira na strani Konfiguracija , kliknite 4 CPU in nato Naprej . |
| 8 |
Na strani Izberi prostor za shranjevanje kliknite Naprej , da sprejmete privzeto obliko zapisa diska in pravilnik o shrambi v virtualnem računalniku. |
| 9 |
Na strani Izberi omrežja na seznamu vnosov izberite možnost omrežja, da zagotovite želeno povezljivost z virtualnim računalnikom. |
| 10 |
Na strani Prilagajanje predloge konfigurirajte te omrežne nastavitve:
Če želite, lahko preskočite konfiguracijo omrežnih nastavitev in sledite korakom v razdelku Nastavitev hibridnega varnostnega računalniškega računalnika , da konfigurirate nastavitve v konzoli vozlišča. Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 7.0. Ta možnost morda ni na voljo v starejših različicah. |
| 11 |
Z desno tipko miške kliknite vozlišče VM in nato izberite . Programska oprema za hibridno varnost podatkov je nameščena kot gost na gostitelju VM. Zdaj se lahko vpišete v konzolo in konfigurirate vozlišče. Nasveti za odpravljanje težav Morda boste doživeli nekaj minutno zamudo, preden se prikažejo zabojniki vozlišč. Med prvim zagonom, med katerim se ne morete vpisati, se v konzoli prikaže sporočilo požarnega zidu mostu. |
Nastavitev hibridnega varnostnega računalniškega računalnika
S tem postopkom se lahko prvič vpišete v konzolo virtualnega računalnika vozlišča Hybrid Data Security in nastavite poverilnice za vpis. S konzolo lahko konfigurirate tudi omrežne nastavitve za vozlišče, če jih niste konfigurirali v času uvedbe OVA.
| 1 |
V odjemalcu VMware vSphere izberite VM vozlišča Hybrid Data Security in izberite zavihek Konzola . VM se zažene in prikaže se poziv za prijavo. Če se poziv za prijavo ne prikaže, pritisnite tipko Enter.
|
| 2 |
Za vpis in spreminjanje poverilnic uporabite to privzeto uporabniško ime in geslo: Ker se prvič vpišete v VM, morate spremeniti skrbniško geslo. |
| 3 |
Če ste že konfigurirali omrežne nastavitve v razdelku Namestitev gostitelja HDS OVA, preskočite preostanek tega postopka. V nasprotnem primeru v glavnem meniju izberite možnost Uredi konfiguracijo . |
| 4 |
Nastavite statično konfiguracijo z naslovom IP, masko, prehodom in informacijami DNS. Vaše vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt. |
| 5 |
(Neobvezno) Po potrebi spremenite ime gostitelja, domeno ali strežnike NTP, da se ujemajo z vašim omrežnim pravilnikom. Domene ni treba nastaviti tako, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509. |
| 6 |
Shranite konfiguracijo omrežja in znova zaženite VM, da bodo spremembe začele veljati. |
Naložite in namestite konfiguracijski ISO HDS
Preden začnete
Ker je v datoteki ISO glavni ključ, bi moral biti izpostavljen le na podlagi »potrebe po seznanitvi« za dostop do hibridnih varnostnih podatkovnih računalnikov in skrbnikov, ki bodo morda morali narediti spremembe. Prepričajte se, da lahko do shrambe podatkov dostopajo le ti skrbniki.
| 1 |
Naložite datoteko ISO iz računalnika: |
| 2 |
Namestite datoteko ISO: |
Kaj storiti naprej
Če to zahteva vaš pravilnik IT, lahko po želji odstranite datoteko ISO, ko vsa vozlišča prevzamejo spremembe konfiguracije. Za podrobnosti glejte (izbirno) Odstranitev ISO po konfiguraciji HDS.
Konfiguracija vozlišča HDS za integracijo strežnika proxy
Če omrežno okolje zahteva strežnik proxy, s tem postopkom določite vrsto strežnika proxy, ki ga želite integrirati s hibridno varnostjo podatkov. Če izberete pregleden proxy za pregledovanje ali eksplicitni strežnik proxy HTTPS, lahko uporabite vmesnik vozlišča za prenos in namestitev korenskega potrdila. Povezavo proxy lahko preverite tudi iz vmesnika in odpravite morebitne težave.
Preden začnete
-
Glejte Podpora za strežnik proxy za pregled podprtih možnosti strežnika proxy.
| 1 |
V spletni brskalnik vnesite URL |
| 2 |
Pojdite na Trust Store & Proxyin nato izberite možnost:
Sledite naslednjim korakom za pregledno pregledovanje strežnika proxy, eksplicitni proxy HTTP z osnovnim preverjanjem pristnosti ali eksplicitni strežnik proxy HTTPS. |
| 3 |
Kliknite Prenesi korensko potrdilo ali Potrdilokončne entitete in se pomaknite do možnosti Izberite korensko potrdilo za strežnik proxy. Potrdilo je naloženo, vendar še ni nameščeno, ker morate znova zagnati vozlišče, če želite namestiti potrdilo. Kliknite puščico škarnice ob imenu izdajatelja potrdila, če želite pridobiti več podrobnosti, ali kliknite Izbriši , če ste naredili napako in želite znova naložiti datoteko. |
| 4 |
Kliknite Preveri povezavo s strežnikom proxy, da preizkusite omrežno povezljivost med vozliščem in strežnikom proxy. Če preskus povezave ne uspe, se prikaže sporočilo o napaki, ki prikazuje razlog in način odpravljanja težave. Če se prikaže sporočilo, da zunanje razreševanje DNS ni bilo uspešno, vozlišče ni moglo vzpostaviti povezave s strežnikom DNS. Ta pogoj je pričakovan v številnih eksplicitnih konfiguracijah proxyja. Z namestitvijo lahko nadaljujete in vozlišče bo delovalo v načinu blokiranega zunanjega razreševanja DNS. Če menite, da gre za napako, dokončajte ta navodila in nato glejte Izklop načinablokiranega zunanjega razreševanja DNS. |
| 5 |
Ko preskus povezave opravi, za eksplicitni strežnik proxy, nastavljen samo na https, vklopite stikalo na Usmerjanje vseh zahtev https vrat 443/444 iz tega vozlišča prek eksplicitnega strežnika proxy. Ta nastavitev traja 15 sekund, da začne veljati. |
| 6 |
Kliknite Namesti vsa potrdila v shrambo zaupanja (prikaže se za eksplicitni strežnik proxy HTTPS ali pregleden strežnik proxy) ali Znova zaženi ( prikaže se za eksplicitni strežnik proxy HTTP), preberite poziv in nato kliknite Namesti, če ste pripravljeni. Vozlišče se znova zažene v nekaj minutah. |
| 7 |
Ko se vozlišče znova zažene, se po potrebi znova vpišite in nato odprite stran Pregled , da preverite preverjanje povezljivosti in se prepričajte, da so vsi v zelenem stanju. Preverjanje povezave proxy preizkuša samo poddomeno webex.com. Če pride do težav s povezljivostjo, je pogosta težava, da so nekatere domene v oblaku, navedene v navodilih za namestitev, blokirane v strežniku proxy. |
Registracija prvega vozlišča v gruči
Ko registrirate prvo vozlišče, ustvarite gručo, ki ji je vozlišče dodeljeno. Gruča vsebuje eno ali več vozlišč, ki so nameščena za zagotavljanje redundance.
Preden začnete
-
Ko začnete registracijo vozlišča, ga morate dokončati v 60 minutah ali pa morate začeti znova.
-
Prepričajte se, da so vsi blokatorji pojavnih oken v brskalniku onemogočeni ali da dovolite izjemo za admin.webex.com.
| 1 |
Vpišite se v https://admin.webex.com. |
| 2 |
V meniju na levi strani zaslona izberite Storitve. |
| 3 |
V razdelku Storitve v oblaku poiščite kartico Hibridna varnost podatkov in kliknite Nastavi . |
| 4 |
Na strani, ki se odpre, kliknite Dodaj vir. |
| 5 |
V prvo polje Dodajanje kartice vozlišča vnesite ime gruče, ki ji želite dodeliti vozlišče Hibridna varnost podatkov. Priporočamo, da gručo poimenujete glede na to, kje so vozlišča gruče geografsko nameščena. Primeri: "San Francisco" ali "New York" ali "Dallas" |
| 6 |
V drugo polje vnesite notranji naslov IP ali popolnoma kvalificirano ime domene (FQDN) vašega vozlišča in kliknite Dodaj na dnu zaslona. Ta naslov IP ali FQDN se mora ujemati z naslovom IP ali imenom gostitelja in domeno, ki ste jo uporabili v razdelku Nastavitev hibridnega računalniškega računalnikaza varnost podatkov. Prikaže se sporočilo, da lahko vozlišče registrirate v Webex.
|
| 7 |
Kliknite Pojdi na vozlišče. Po nekaj trenutkih ste preusmerjeni na preskuse povezljivosti vozlišč za storitve Webex. Če so vsi preskusi uspešni, se prikaže stran Dovoli dostop do vozlišča za varnost hibridnih podatkov. Tam potrdite, da želite organizaciji Webex podeliti dovoljenja za dostop do vašega vozlišča. |
| 8 |
Potrdite polje Dovoli dostop do vozlišča za varnost hibridnih podatkov in kliknite Nadaljuj. Vaš račun je preverjen in sporočilo »Registracija je dokončana« pomeni, da je vaše vozlišče zdaj registrirano v oblaku Webex.
|
| 9 |
Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Varnost hibridnih podatkov Partnerskega središča. Na strani Hibridna varnost podatkov je na zavihku Viri prikazana nova gruča, ki vsebuje vozlišče, ki ste ga registrirali. Vozlišče bo samodejno preneslo najnovejšo programsko opremo iz oblaka.
|
Ustvarjanje in registracija več vozlišč
Preden začnete
-
Ko začnete registracijo vozlišča, ga morate dokončati v 60 minutah ali pa morate začeti znova.
-
Prepričajte se, da so vsi blokatorji pojavnih oken v brskalniku onemogočeni ali da dovolite izjemo za admin.webex.com.
| 1 |
Ustvarite nov navidezni računalnik iz OVA in ponovite korake v razdelku Namestitev OVAgostitelja HDS. |
| 2 |
Nastavite začetno konfiguracijo v novem virtualnem računalniku in ponovite korake v razdelku Nastavitev hibridnega varnostnega računalnikapodatkov. |
| 3 |
V novem virtualnem računalniku ponovite korake v razdelku Prenos in namestitev ISOkonfiguracije HDS. |
| 4 |
Če nastavljate strežnik proxy za uvedbo, ponovite korake v razdelku Konfiguracija vozlišča HDS za integracijo strežnika proxy, kot je potrebno za novo vozlišče. |
| 5 |
Registrirajte vozlišče. |
Gérer les organisations de locataires sur la sécurité des données hybride multi-locataires
Activer HDS Multi-Tenant sur Partner Hub
Cette tâche permet à tous les utilisateurs des organisations clientes de commencer à utiliser HDS pour les clés de chiffrement sur site et d'autres services de sécurité.
Avant de commencer
Assurez-vous que vous avez terminé la configuration de votre cluster HDS Multi-Tenant avec le nombre de nœuds requis.
| 1 |
Se connecter à https://admin.webex.com. |
| 2 |
Dans le menu à gauche de l’écran, sélectionner Services. |
| 3 |
Dans la section Cloud Services, recherchez Hybrid Data Security et cliquez sur Edit Settings. |
| 4 |
Cliquer sur Activer HDS sur la carte HDS Status . |
Ajouter des organisations de locataires dans Partner Hub
Dans cette tâche, vous attribuez des organisations clientes à votre Cluster hybride de sécurité des données.
| 1 |
Se connecter à https://admin.webex.com. |
| 2 |
Dans le menu à gauche de l’écran, sélectionner Services. |
| 3 |
Dans la section Cloud Services, recherchez Hybrid Data Security et cliquez sur View all. |
| 4 |
Cliquez sur le cluster auquel vous souhaitez affecter un client. |
| 5 |
Accéder à l’onglet Clients affectés . |
| 6 |
Cliquez sur Ajouter des clients. |
| 7 |
Sélectionnez le client que vous souhaitez ajouter dans le menu déroulant. |
| 8 |
Cliquez sur Ajouter, le client sera ajouté au cluster. |
| 9 |
Répétez les étapes 6 à 8 pour ajouter plusieurs clients à votre cluster. |
| 10 |
Cliquez sur Terminé en bas de l’écran une fois que vous avez ajouté les clients. |
Que faire ensuite
Créer des clés principales du client (CMK) à l'aide de l'outil de configuration HDS
Avant de commencer
Affecter les clients au cluster approprié comme détaillé dans Ajouter des organisations de locataires dans Partner Hub. Exécutez l'outil de configuration HDS pour terminer le processus de configuration pour les organisations clients nouvellement ajoutées.
-
L'outil de configuration HDS fonctionne comme un conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les identifiants d'un compte Partner Hub avec tous les droits d'administrateur pour votre organisation.
Si l'outil HDS Setup fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, identifiants) via les variables d'environnement Docker lors de l'activation du conteneur Docker à l'étape 5. Ce tableau donne quelques variables d'environnement possibles :
Opis
Spremenljivka
Serveur mandataire HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS Proxy sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS Proxy avec authentification
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Le fichier de configuration ISO que vous générez contient la clé maître chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous effectuez des changements de configuration, comme ceux-ci :
-
Identifiants de la base de données
-
Mises à jour du certificat
-
Modifications de la politique d'autorisation
-
-
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
Le processus de configuration de la sécurité des données hybride crée un fichier ISO. Vous utilisez ensuite l'ISO pour configurer votre hôte Hybrid Data Security.
| 1 |
Sur la ligne de commande de votre machine, saisissez la commande appropriée pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : Cette étape nettoie les images précédentes de l'outil de configuration HDS. S'il n'y a pas d'images précédentes, il renvoie une erreur que vous pouvez ignorer. |
| 2 |
Pour vous connecter au registre d'images Docker, saisissez : |
| 3 |
A l'invite du mot de passe, saisir ce hachage : |
| 4 |
Téléchargez la dernière image stable pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : |
| 5 |
Lorsque le tirage est terminé, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur fonctionne, vous voyez "Express server listening on port 8080". |
| 6 |
L'outil de configuration ne prend pas en charge la connexion à localhost via http://localhost:8080. Utiliser http://127.0.0.1:8080 pour se connecter à localhost. Utiliser un navigateur Web pour accéder à l'hôte local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L’outil affiche alors l’invite de connexion standard. |
| 7 |
Lorsque vous y êtes invité, entrez vos identifiants de connexion administrateur Partner Hub, puis cliquez sur Se connecter pour autoriser l'accès aux services requis pour la sécurité des données hybrides. |
| 8 |
Sur la page d'aperçu de l'outil de configuration, cliquez sur Démarrer. |
| 9 |
Sur la page ISO Import , cliquez sur Yes. |
| 10 |
Sélectionnez votre fichier ISO dans le navigateur et téléchargez-le. Assurez-vous de la connectivité à votre base de données pour effectuer la gestion CMK. |
| 11 |
Allez dans l’onglet Gestion des CMK des locataires , où vous trouverez les trois façons suivantes de gérer les CMK des locataires.
|
| 12 |
Une fois la création de CMK réussie, le statut dans le tableau passe de gestion de CMK en attente à CMK géré. |
| 13 |
Si la création du CMK échoue, une erreur s'affiche. |
Supprimer les organisations locataires
Avant de commencer
Une fois supprimés, les utilisateurs des organisations clientes ne seront pas en mesure de tirer parti de HDS pour leurs besoins de cryptage et perdront tous les espaces existants. Avant de supprimer les organisations clientes, veuillez contacter votre partenaire Cisco ou votre gestionnaire de compte.
| 1 |
Se connecter à https://admin.webex.com. |
| 2 |
Dans le menu à gauche de l’écran, sélectionner Services. |
| 3 |
Dans la section Cloud Services, recherchez Hybrid Data Security et cliquez sur View all. |
| 4 |
Dans l’onglet Ressources , cliquez sur le cluster dont vous souhaitez supprimer les organisations clientes. |
| 5 |
Dans la page qui s’ouvre, cliquez sur Clients affectés. |
| 6 |
Dans la liste des organisations clientes affichées, cliquez sur ... sur le côté droit de l'organisation cliente que vous souhaitez supprimer et cliquez sur Supprimer du cluster. |
Que faire ensuite
Complétez le processus de retrait en révoquant les CMK des organisations clientes, comme détaillé dans Révoquer les CMK des locataires retirés de HDS.
Révoquer les CMK des locataires retirés du HDS.
Avant de commencer
Retirer les clients du cluster approprié comme détaillé dans Supprimer les organisations locataires. Exécutez l'outil de configuration HDS pour terminer le processus de suppression pour les organisations clientes qui ont été supprimées.
-
L'outil de configuration HDS fonctionne comme un conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les identifiants d'un compte Partner Hub avec tous les droits d'administrateur pour votre organisation.
Si l'outil HDS Setup fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, identifiants) via les variables d'environnement Docker lors de l'activation du conteneur Docker à l'étape 5. Ce tableau donne quelques variables d'environnement possibles :
Opis
Spremenljivka
Serveur mandataire HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS Proxy sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS Proxy avec authentification
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Le fichier de configuration ISO que vous générez contient la clé maître chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous effectuez des changements de configuration, comme ceux-ci :
-
Identifiants de la base de données
-
Mises à jour du certificat
-
Modifications de la politique d'autorisation
-
-
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
Le processus de configuration de la sécurité des données hybride crée un fichier ISO. Vous utilisez ensuite l'ISO pour configurer votre hôte Hybrid Data Security.
| 1 |
Sur la ligne de commande de votre machine, saisissez la commande appropriée pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : Cette étape nettoie les images précédentes de l'outil de configuration HDS. S'il n'y a pas d'images précédentes, il renvoie une erreur que vous pouvez ignorer. |
| 2 |
Pour vous connecter au registre d'images Docker, saisissez : |
| 3 |
A l'invite du mot de passe, saisir ce hachage : |
| 4 |
Téléchargez la dernière image stable pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : |
| 5 |
Lorsque le tirage est terminé, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur fonctionne, vous voyez "Express server listening on port 8080". |
| 6 |
L'outil de configuration ne prend pas en charge la connexion à localhost via http://localhost:8080. Utiliser http://127.0.0.1:8080 pour se connecter à localhost. Utiliser un navigateur Web pour accéder à l'hôte local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L’outil affiche alors l’invite de connexion standard. |
| 7 |
Lorsque vous y êtes invité, entrez vos identifiants de connexion administrateur Partner Hub, puis cliquez sur Se connecter pour autoriser l'accès aux services requis pour la sécurité des données hybrides. |
| 8 |
Sur la page d'aperçu de l'outil de configuration, cliquez sur Démarrer. |
| 9 |
Sur la page ISO Import , cliquez sur Yes. |
| 10 |
Sélectionnez votre fichier ISO dans le navigateur et téléchargez-le. |
| 11 |
Allez dans l’onglet Gestion des CMK des locataires , où vous trouverez les trois façons suivantes de gérer les CMK des locataires.
|
| 12 |
Une fois la révocation de CMK réussie, l'organisation cliente n'apparaîtra plus dans le tableau. |
| 13 |
Si la révocation du CMK échoue, une erreur s'affiche. |
Testez votre déploiement Hybrid Data Security
Testez votre déploiement hybride de sécurité des données
Avant de commencer
-
Configurez votre déploiement Multi-tenant Hybrid Data Security.
-
Assurez-vous d'avoir accès au syslog pour vérifier que les demandes clés passent à votre déploiement de sécurité des données hybride multi-tenant.
| 1 |
Les clés pour un espace donné sont définies par le créateur de l'espace. Connectez-vous à l'application Webex en tant qu'utilisateur de l'organisation client, puis créez un espace. Si vous désactivez le déploiement Hybrid Data Security, le contenu des espaces créés par les utilisateurs n’est plus accessible une fois que les copies des clés de chiffrement mises en cache par le client sont remplacées. |
| 2 |
Envoyer des messages vers le nouvel espace. |
| 3 |
Vérifiez la sortie syslog pour vérifier que les demandes de clés passent à votre déploiement Hybrid Data Security. |
Surveiller l'intégrité de la sécurité des données hybrides
| 1 |
Dans Partner Hub, sélectionnez Services dans le menu à gauche de l’écran. |
| 2 |
Dans la section Cloud Services, recherchez Hybrid Data Security et cliquez sur Edit Settings. La page Hybrid Data Security Settings apparaît.
|
| 3 |
Dans la section Notifications par e-mail, tapez une ou plusieurs adresses e-mail séparées par des virgules et appuyez sur Entrée. |
Gérez votre déploiement HDS
Gérer le déploiement du HDS
Utilisez les tâches décrites ici pour gérer votre déploiement Hybrid Data Security.
Définir le calendrier de mise à niveau du cluster
Pour définir le calendrier de mise à niveau :
| 1 |
Connectez-vous à Partner Hub. |
| 2 |
Dans le menu à gauche de l’écran, sélectionner Services. |
| 3 |
Dans la section Cloud Services, recherchez Hybrid Data Security et cliquez sur Configurer |
| 4 |
Sur la page Hybrid Data Security Resources, sélectionner le cluster. |
| 5 |
Cliquez sur l’onglet Cluster Settings . |
| 6 |
Sur la page Cluster Settings, sous Upgrade Schedule, sélectionnez l'heure et le fuseau horaire pour le planning de mise à niveau. Opomba: Sous le fuseau horaire, la date et l'heure de mise à niveau disponibles suivantes s'affichent. Vous pouvez reporter la mise à niveau au lendemain, si nécessaire, en cliquant sur Reporter de 24 heures. |
Modifier la configuration des nœuds
-
Modification des certificats x.509 en raison de l'expiration ou d'autres raisons.
Nous ne soutenons pas le changement du nom de domaine CN d'un certificat. Le domaine doit correspondre au domaine d'origine utilisé pour enregistrer le cluster.
-
Mise à jour des paramètres de base de données pour passer à une réplique de la base de données PostgreSQL ou Microsoft SQL Server.
Nous ne soutenons pas la migration de données de PostgreSQL vers Microsoft SQL Server, ou le contraire. Pour changer d’environnement de base de données, lancer un nouveau déploiement de la sécurité des données hybride.
-
Créer une nouvelle configuration pour préparer un nouveau centre de données.
De plus, à des fins de sécurité, Hybrid Data Security utilise des mots de passe de compte de service qui ont une durée de vie de neuf mois. Une fois que l'outil de configuration HDS a généré ces mots de passe, vous les déployez sur chacun de vos nœuds HDS dans le fichier de configuration ISO. Lorsque les mots de passe de votre organisation approchent de l'expiration, vous recevez un avis de l'équipe Webex pour réinitialiser le mot de passe de votre compte machine. (L'e-mail comprend le texte, "Utilisez l'API du compte machine pour mettre à jour le mot de passe.") Si vos mots de passe n'ont pas encore expiré, l'outil vous donne deux options :
-
Réinitialisation douce—Les anciens et les nouveaux mots de passe fonctionnent tous les deux pendant 10 jours maximum. Utilisez cette période pour remplacer progressivement le fichier ISO sur les nœuds.
-
Réinitialisation rapide—Les anciens mots de passe cessent immédiatement de fonctionner.
Si vos mots de passe expirent sans réinitialisation, cela affecte votre service HDS, nécessitant une réinitialisation rapide et le remplacement du fichier ISO sur tous les nœuds.
Utilisez cette procédure pour générer un nouveau fichier ISO de configuration et l'appliquer à votre cluster.
Avant de commencer
-
L'outil de configuration HDS fonctionne comme un conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les identifiants d'un compte Partner Hub avec les droits d'administrateur complets du partenaire .
Si l'outil de configuration HDS fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, identifiants) via les variables d'environnement Docker lors de l'affichage du conteneur Docker dans 1.e. Ce tableau donne quelques variables d'environnement possibles :
Opis
Spremenljivka
Serveur mandataire HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS Proxy sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS Proxy avec authentification
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Vous avez besoin d'une copie du fichier ISO de configuration en cours pour générer une nouvelle configuration. L'ISO contient la clé maître chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de l'ISO lorsque vous effectuez des changements de configuration, y compris des identifiants de base de données, des mises à jour de certificats ou des changements à la politique d'autorisation.
| 1 |
A l'aide de Docker sur une machine locale, exécutez l'outil de configuration HDS. |
| 2 |
Si un seul noeud HDS est en cours d’exécution, créez une nouvelle VM de noeud hybride de sécurité des données et enregistrez-la à l’aide du nouveau fichier ISO de configuration. Pour des instructions plus détaillées, voir Créer et enregistrer plus de nœuds. |
| 3 |
Pour les nœuds HDS existants qui exécutent l'ancien fichier de configuration, montez le fichier ISO. Effectuer la procédure suivante sur chaque noeud à tour de rôle, en mettant à jour chaque noeud avant de désactiver le noeud suivant : |
| 4 |
Répétez l'étape 3 pour remplacer la configuration sur chaque noeud restant qui exécute l'ancienne configuration. |
Désactiver le mode de résolution DNS externe bloqué
Lorsque vous enregistrez un noeud ou vérifiez la configuration du serveur mandataire du noeud, le processus teste la recherche DNS et la connectivité au cloud Cisco Webex. Si le serveur DNS du noeud ne peut pas résoudre les noms DNS publics, le noeud passe automatiquement en mode Résolution DNS externe bloquée.
Si vos nœuds sont capables de résoudre les noms DNS publics via des serveurs DNS internes, vous pouvez désactiver ce mode en repassant le test de connexion proxy sur chaque nœud.
Avant de commencer
| 1 |
Dans un navigateur Web, ouvrez l’interface du noeud de sécurité des données hybride (adresse IP/configuration, par exemple, https://192.0.2.0/setup), entrez les identifiants d’administration que vous avez configurés pour le noeud, puis cliquez sur Se connecter. |
| 2 |
Allez dans Aperçu (la page par défaut). Lorsque cette option est activée, Blocked External DNS Resolution est réglée sur Yes. |
| 3 |
Accédez à la page Trust Store & Proxy . |
| 4 |
Cliquez sur Vérifier la connexion du mandataire. Si vous voyez un message disant que la résolution DNS externe n'a pas réussi, le noeud n'a pas pu atteindre le serveur DNS et restera dans ce mode. Sinon, après avoir redémarré le noeud et revenir à la page Aperçu , la résolution DNS externe bloquée doit être réglée sur non. |
Que faire ensuite
Supprimer un noeud
| 1 |
Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi et mettre la machine virtuelle hors tension. |
| 2 |
Supprimer le nœud : |
| 3 |
Dans le client vSphere, supprimer la VM. (Dans le volet de navigation de gauche, faire un clic droit sur la VM et cliquer sur Supprimer.) Si vous ne supprimez pas la VM, pensez à démonter le fichier ISO de configuration. Sans le fichier ISO, vous ne pouvez pas utiliser la VM pour accéder à vos données de sécurité. |
Reprise après sinistre à l'aide du centre de données de secours
Le service le plus critique que votre cluster Hybrid Data Security fournit est la création et le stockage de clés utilisées pour chiffrer les messages et autres contenus stockés dans le cloud Webex. Pour chaque utilisateur de l'organisation affecté à la sécurité des données hybrides, de nouvelles demandes de création de clés sont acheminées vers le cluster. Le cluster est également chargé de renvoyer les clés qu'il a créées à tous les utilisateurs autorisés à les récupérer, par exemple les membres d'un espace de conversation.
Comme le cluster remplit la fonction critique de fournir ces clés, il est impératif que le cluster reste en fonctionnement et que des sauvegardes appropriées soient maintenues. La perte de la base de données Hybrid Data Security ou de la configuration ISO utilisée pour le schéma entraînera une PERTE IRRÉCUPÉRABLE du contenu client. Les pratiques suivantes sont obligatoires pour prévenir une telle perte :
Si une catastrophe entraîne l'indisponibilité du déploiement du HDS dans le centre de données primaire, suivre cette procédure pour basculer manuellement vers le centre de données de secours.
Avant de commencer
| 1 |
Démarrer l’outil de configuration HDS et suivre les étapes mentionnées dans Créer une configuration ISO pour les hôtes HDS. |
| 2 |
Complétez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver. |
| 3 |
Faites une copie de sauvegarde du fichier ISO sur votre système local. Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement maître pour le contenu de la base de données. Restreindre l'accès aux seuls administrateurs Hybrid Data Security qui doivent effectuer des modifications de configuration. |
| 4 |
Dans le volet de navigation gauche du client VMware vSphere, faire un clic droit sur la VM et cliquer sur Modifier les paramètres. |
| 5 |
Cliquez sur Edit Settings >CD/DVD Drive 1 et sélectionnez Datastore ISO File. S'assurer que Connected et Connect at power on sont cochés afin que les modifications de configuration mises à jour puissent prendre effet après le démarrage des nœuds. |
| 6 |
Mettre le noeud HDS sous tension et s'assurer qu'il n'y a pas d'alarmes pendant au moins 15 minutes. |
| 7 |
Enregistrez le nœud dans le hub partenaire. Voir Enregistrer le premier noeud du cluster. |
| 8 |
Répétez le processus pour chaque nœud du centre de données de veille. |
Que faire ensuite
(Optionnel) Démonter ISO après la configuration HDS
La configuration HDS standard fonctionne avec l'ISO monté. Mais, certains clients préfèrent ne pas laisser les fichiers ISO montés en continu. Vous pouvez démonter le fichier ISO après que tous les nœuds HDS aient récupéré la nouvelle configuration.
Vous utilisez toujours les fichiers ISO pour effectuer des changements de configuration. Lorsque vous créez un nouvel ISO ou mettez à jour un ISO via l'outil de configuration, vous devez monter l'ISO mis à jour sur tous vos nœuds HDS. Une fois que tous vos nœuds ont saisi les changements de configuration, vous pouvez à nouveau démonter l'ISO avec cette procédure.
Avant de commencer
Mettez à niveau tous vos nœuds HDS vers la version 2021.01.22.4720 ou ultérieure.
| 1 |
Éteignez un de vos nœuds HDS. |
| 2 |
Dans le vCenter Server Appliance, sélectionnez le noeud HDS. |
| 3 |
Choisissez et décochez Datastore ISO File. |
| 4 |
Mettre le noeud HDS sous tension et s'assurer qu'il n'y a pas d'alarmes pendant au moins 20 minutes. |
| 5 |
Répéter pour chaque noeud HDS à tour de rôle. |
Dépannage de la sécurité des données hybride
Afficher les alertes et dépannage
Un déploiement Hybrid Data Security est considéré comme indisponible si tous les nœuds du cluster sont injoignables, ou si le cluster fonctionne si lentement que cela demande une temporisation. Si les utilisateurs ne peuvent pas rejoindre votre cluster Hybrid Data Security, ils ressentent les symptômes suivants :
-
Impossible de créer de nouveaux espaces (impossible de créer de nouvelles clés)
-
Les messages et les titres d'espace ne sont pas déchiffrés pour :
-
Nouveaux utilisateurs ajoutés à un espace (impossible de récupérer les clés)
-
Utilisateurs existants dans un espace utilisant un nouveau client (impossible de récupérer les clés)
-
-
Les utilisateurs existants dans un espace continueront à fonctionner avec succès tant que leurs clients ont un cache des clés de chiffrement
Il est important que vous surveillez correctement votre cluster Hybrid Data Security et que vous répondiez rapidement à toutes les alertes afin d'éviter toute perturbation du service.
Opozorila
En cas de problème avec la configuration Hybrid Data Security, Partner Hub affiche des alertes à l'administrateur de l'organisation et envoie des e-mails à l'adresse e-mail configurée. Les alertes couvrent de nombreux scénarios courants.
|
Opozori |
Dejanje |
|---|---|
|
Échec d'accès à la base de données locale. |
Vérifier l'absence d'erreurs de base de données ou de problèmes de réseau local. |
|
Défaut de connexion à la base de données locale. |
Vérifier que le serveur de base de données est disponible et que les bons identifiants de compte de service ont été utilisés dans la configuration des nœuds. |
|
Échec de l'accès au service cloud. |
Vérifier que les nœuds peuvent accéder aux serveurs Webex comme spécifié dans Exigences de connectivité externe. |
|
Renouvellement de l’enregistrement des services cloud. |
L'inscription aux services cloud a été abandonnée. Le renouvellement de l'enregistrement est en cours. |
|
L'enregistrement des services dans le cloud a chuté. |
L'inscription aux services cloud est terminée. Le service s'arrête. |
|
Service non encore activé. |
Activer HDS dans Partner Hub. |
|
Le domaine configuré ne correspond pas au certificat du serveur. |
Assurez-vous que votre certificat de serveur correspond au domaine d'activation de service configuré. La cause la plus probable est que le certificat CN a été récemment modifié et qu'il est maintenant différent du certificat CN utilisé lors de la configuration initiale. |
|
Impossible de s'authentifier aux services cloud. |
Vérifier l'exactitude et l'expiration éventuelle des identifiants de compte de service. |
|
Impossible d'ouvrir le fichier keystore local. |
Vérifier l'intégrité et l'exactitude du mot de passe sur le fichier de keystore local. |
|
Le certificat du serveur local est invalide. |
Vérifiez la date d'expiration du certificat du serveur et confirmez qu'il a été émis par une autorité de certification de confiance. |
|
Impossible d'afficher les paramètres. |
Vérifier l'accès au réseau local aux services cloud externes. |
|
Le répertoire /media/configdrive/hds n'existe pas. |
Vérifiez la configuration du montage ISO sur un hôte virtuel. Vérifiez que le fichier ISO existe, qu'il est configuré pour être monté lors du redémarrage et qu'il est monté avec succès. |
|
La configuration de l'organisation du locataire n'est pas terminée pour les orgs ajoutés |
Complétez la configuration en créant des CMK pour les organisations de locataires nouvellement ajoutées à l'aide de l'outil de configuration HDS. |
|
La configuration de l'organisation du locataire n'est pas terminée pour les orgs supprimés |
Terminer la configuration en révoquant les CMK des organisations locataires qui ont été supprimées à l'aide de l'outil de configuration HDS. |
Dépannage de la sécurité des données hybride
| 1 |
Examinez Partner Hub pour toutes les alertes et corrigez tous les éléments que vous y trouvez. Voir l'image ci-dessous pour référence. |
| 2 |
Examinez la sortie du serveur syslog pour l'activité liée au déploiement de la sécurité des données hybride. Filtrer les mots comme « Avertissement » et « Erreur » pour faciliter le dépannage. |
| 3 |
Contact Support Cisco. |
Autres notes
Problèmes connus pour la sécurité des données hybrides
-
Si vous fermez votre cluster Hybrid Data Security (en le supprimant dans Partner Hub ou en fermant tous les nœuds), perdez votre fichier ISO de configuration ou perdez l'accès à la base de données de keystore, les utilisateurs de l'application Webex des organisations clientes ne peuvent plus utiliser les espaces sous leur liste de personnes créés avec des clés de votre KMS. Nous n'avons pas actuellement de solution de contournement ou de correction pour ce problème et vous exhortons à ne pas arrêter vos services HDS une fois qu'ils traitent des comptes utilisateurs actifs.
-
Un client qui a une connexion ECDH existante à un KMS maintient cette connexion pendant une période de temps (probablement une heure).
Utiliser OpenSSL pour générer un fichier PKCS12
Avant de commencer
-
OpenSSL est un outil qui peut être utilisé pour faire le fichier PKCS12 dans le format approprié pour le chargement dans l'outil de configuration HDS. Il y a d'autres façons de le faire, et nous ne soutenons ni ne promouvons une voie par rapport à une autre.
-
Si vous choisissez d'utiliser OpenSSL, nous fournissons cette procédure comme guide pour vous aider à créer un fichier qui répond aux exigences de certificat X.509 dans X.509 Exigences de certificat. Comprenez ces exigences avant de continuer.
-
Installer OpenSSL dans un environnement pris en charge. Voir https://www.openssl.org pour le logiciel et la documentation.
-
Créer une clé privée.
-
Commencez cette procédure lorsque vous recevez le certificat de serveur de votre autorité de certification (CA).
| 1 |
Lorsque vous recevez le certificat de serveur de votre CA, enregistrez-le comme |
| 2 |
Afficher le certificat sous forme de texte et vérifier les détails.
|
| 3 |
Utilisez un éditeur de texte pour créer un fichier bundle de certificats appelé
|
| 4 |
Créer le fichier .p12 avec le nom convivial
|
| 5 |
Vérifiez les détails du certificat du serveur. |
Que faire ensuite
Retourner à Remplir les prérequis pour la sécurité des données hybrides. Vous utiliserez le fichier hdsnode.p12 et le mot de passe que vous lui avez défini dans Créer une configuration ISO pour les hôtes HDS.
Vous pouvez réutiliser ces fichiers pour demander un nouveau certificat lorsque le certificat original expire.
Trafic entre les nœuds HDS et le Cloud
Trafic de collecte de métriques sortantes
Les nœuds Hybrid Data Security envoient certaines métriques au cloud Webex. Il s'agit notamment de métriques système pour le tas max, le tas utilisé, la charge CPU et le nombre de fils ; de métriques sur les fils synchrones et asynchrones ; de métriques sur les alertes impliquant un seuil de connexions de chiffrement, de latence ou une longueur de file d'attente de requêtes ; de métriques sur le magasin de données ; et de métriques de connexions de chiffrement. Les noeuds envoient du matériel de clé chiffré sur un canal hors bande (séparé de la requête).
Trafic entrant
Les nœuds de sécurité des données hybrides reçoivent les types de trafic entrant suivants du cloud Webex :
-
Les demandes de chiffrement des clients, qui sont acheminées par le service de chiffrement
-
Mises à niveau du logiciel du noeud
Configurer les proxies Squid pour la sécurité des données hybrides
Websocket ne peut pas se connecter via Squid Proxy
Les proxys Squid qui inspectent le trafic HTTPS peuvent interférer avec l'établissement de connexions Websocket (wss:) requises par Hybrid Data Security. Ces sections donnent des indications sur la façon de configurer les différentes versions de Squid pour ignorer wss : trafic pour le bon fonctionnement des services.
Squid 4 et 5
Ajouter la on_unsupported_protocol directive à squid.conf :
on_unsupported_protocol tunnel toutCalamar 3.5.27
Nous avons testé avec succès Hybrid Data Security avec les règles suivantes ajoutées à squid.conf. Ces règles sont susceptibles de changer au fur et à mesure que nous développons des fonctionnalités et mettons à jour le cloud Webex.
acl wssMercuryConnection ssl ::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 allInformations nouvelles et modifiées
Informations nouvelles et modifiées
Ce tableau présente les nouvelles fonctionnalités ou fonctionnalités, les modifications apportées au contenu existant et les erreurs majeures qui ont été corrigées dans le Guide de déploiement pour la sécurité des données hybrides multi-locataires.
|
Datum |
Modifications apportées |
|---|---|
|
08 janvier 2025 |
Ajout d'une note dans Effectuer la configuration initiale et télécharger les fichiers d'installation indiquant que cliquer sur Configurer sur la carte HDS dans Partner Hub est une étape importante du processus d'installation. |
|
07 janvier 2025 |
Mises à jour Virtual Host Requirements, Hybrid Data Security Deployment Task Flow et Install the HDS Host OVA pour afficher la nouvelle exigence d'ESXi 7.0. |
|
13 décembre 2024 |
Première publication. |
Désactiver la sécurité des données hybride multi-tenant
Flux des tâches de désactivation HDS multi-tenant
Suivez ces étapes pour désactiver complètement Multi-Tenant HDS.
Avant de commencer
| 1 |
Retirer tous les clients de tous vos clusters, comme indiqué dans Supprimer les organisations locataires. |
| 2 |
Révoquer les CMK de tous les clients, comme mentionné dans Révoquer les CMK des locataires retirés de HDS.. |
| 3 |
Supprimez tous les nœuds de tous vos clusters, comme indiqué dans Supprimer un nœud. |
| 4 |
Supprimez tous vos clusters de Partner Hub en utilisant l'une des deux méthodes suivantes.
|
| 5 |
Cliquer sur l'onglet Paramètres de la page d'aperçu de la sécurité des données hybrides et cliquer sur Désactiver HDS sur la carte HDS Status. |
Commencez avec Multi-Tenant Hybrid Data Security
Aperçu de la sécurité des données hybrides multi-tenant
Depuis le premier jour, la sécurité des données a été l'objectif principal de la conception de l'application Webex. La pierre angulaire de cette sécurité est le chiffrement de contenu de bout en bout, activé par les clients de l'application Webex qui interagissent avec le Key Management Service (KMS). Le KMS est responsable de la création et de la gestion des clés cryptographiques que les clients utilisent pour chiffrer et déchiffrer dynamiquement les messages et les fichiers.
Par défaut, tous les clients de l'application Webex obtiennent un cryptage de bout en bout avec des clés dynamiques stockées dans le KMS cloud, dans le domaine de la sécurité de Cisco. Hybrid Data Security déplace le KMS et d'autres fonctions liées à la sécurité vers votre centre de données d'entreprise, de sorte que personne d'autre que vous ne détient les clés de votre contenu crypté.
Multi-Tenant Hybrid Data Security permet aux organisations de tirer parti de HDS par l'intermédiaire d'un partenaire local de confiance, qui peut agir en tant que fournisseur de services et gérer le chiffrement sur site et d'autres services de sécurité. Cette configuration permet à l'organisation partenaire d'avoir un contrôle complet sur le déploiement et la gestion des clés de chiffrement et garantit que les données utilisateur des organisations clientes sont à l'abri d'un accès externe. Les organisations partenaires mettent en place des instances HDS et créent des clusters HDS au besoin. Chaque instance peut prendre en charge plusieurs organisations clientes contrairement à un déploiement HDS régulier qui est limité à une seule organisation.
Cela permet également aux petites organisations de tirer parti de HDS, car le service de gestion des clés et l'infrastructure de sécurité comme les centres de données sont la propriété du partenaire local de confiance.
Comment Multi-Tenant Hybrid Data Security assure la souveraineté et le contrôle des données
- Le contenu généré par l'utilisateur est protégé contre l'accès externe, comme les fournisseurs de services cloud.
- Les partenaires locaux de confiance gèrent les clés de chiffrement des clients avec lesquels ils ont déjà une relation établie.
- Possibilité de soutien technique local, si fourni par le partenaire.
- Prend en charge le contenu des réunions, des messages et des appels.
Ce document vise à aider les organisations partenaires à mettre en place et à gérer des clients dans le cadre d’un système de sécurité des données hybride multi-tenant.
Rôles dans la sécurité des données hybride multi-tenant
- Administrateur complet partenaire - Peut gérer les paramètres pour tous les clients que le partenaire gère. Lahko tudi dodelijo vloge skrbnika obstoječim uporabnikom v organizaciji in dodelijo točno določene stranke v upravljanje partnerskim administratorjem.
- Administrateur partenaire - Peut gérer les paramètres des clients que l'administrateur a provisionnés ou qui ont été affectés à l'utilisateur.
- Administrateur complet - Administrateur de l'organisation partenaire qui est autorisé à effectuer des tâches telles que modifier les paramètres de l'organisation, gérer les licences et attribuer des rôles.
- Configuration HDS multi-locataires de bout en bout et gestion de toutes les organisations clientes - Droits d'administrateur complet du partenaire et d'administrateur complet requis.
- Gestion des organisations locataires affectées - Droits d’administrateur partenaire et d’administrateur complet requis.
Architecture du domaine de la sécurité
L'architecture cloud de Webex sépare différents types de services en domaines distincts, ou domaines de confiance, comme illustré ci-dessous.
Pour mieux comprendre la sécurité des données hybrides, examinons d'abord ce cas de cloud pur, où Cisco fournit toutes les fonctions dans ses royaumes cloud. Le service d'identité, le seul endroit où les utilisateurs peuvent être directement corrélés à leurs informations personnelles telles que l'adresse e-mail, est logiquement et physiquement séparé du domaine de la sécurité dans le centre de données B. Les deux sont à leur tour séparés du domaine où le contenu crypté est finalement stocké, dans le centre de données C.
Dans ce schéma, le client est l'application Webex fonctionnant sur l'ordinateur portable d'un utilisateur, et s'est authentifié avec le service d'identité. Lorsque l’utilisateur compose un message à envoyer dans un espace, les étapes suivantes ont lieu :
-
Le client établit une connexion sécurisée avec le service de gestion de clés (KMS), puis demande une clé pour chiffrer le message. La connexion sécurisée utilise ECDH, et le KMS chiffre la clé à l'aide d'une clé maître AES-256.
-
Le message est crypté avant de quitter le client. Le client l'envoie au service d'indexation, qui crée des index de recherche chiffrés pour faciliter les recherches futures du contenu.
-
Le message chiffré est envoyé au service conformité pour vérification de la conformité.
-
Le message chiffré est stocké dans le domaine de stockage.
Lorsque vous déployez la sécurité des données hybride, vous déplacez les fonctions du domaine de la sécurité (KMS, indexation et conformité) vers votre centre de données sur site. Les autres services cloud qui composent Webex (y compris l'identité et le stockage de contenu) restent dans les royaumes de Cisco.
Collaboration avec d'autres organisations
Les utilisateurs de votre organisation peuvent utiliser régulièrement Webex App pour collaborer avec des participants externes d'autres organisations. Lorsque l'un de vos utilisateurs demande une clé pour un espace appartenant à votre organisation (parce qu'il a été créé par l'un de vos utilisateurs), votre KMS envoie la clé au client via un canal sécurisé ECDH. Cependant, lorsqu'une autre organisation possède la clé pour l'espace, votre KMS achemine la requête vers le cloud Webex via un canal ECDH séparé pour obtenir la clé du KMS approprié, puis retourne la clé à votre utilisateur sur le canal d'origine.
Le service KMS exécuté sur Org A valide les connexions aux KMS dans d'autres organisations à l'aide de certificats PKI x.509. Voir Préparer votre environnement pour plus de détails sur la génération d'un certificat x.509 à utiliser avec votre déploiement de sécurité des données hybride multi-tenant.
Attentes pour le déploiement de la sécurité des données hybride
Un déploiement Hybrid Data Security nécessite un engagement significatif et une prise de conscience des risques liés à la possession de clés de chiffrement.
Pour déployer la sécurité des données hybride, vous devez fournir :
-
Un centre de données sécurisé dans un pays qui est un emplacement pris en charge pour les plans Cisco Webex Teams.
-
Les équipements, logiciels et accès au réseau décrits dans Préparez votre environnement.
La perte complète de la configuration ISO que vous créez pour Hybrid Data Security ou de la base de données que vous fournissez entraînera la perte des clés. La perte de clé empêche les utilisateurs de déchiffrer le contenu spatial et d'autres données chiffrées dans l'application Webex. Si cela se produit, vous pouvez créer un nouveau déploiement, mais seul le nouveau contenu sera visible. Pour éviter la perte d’accès aux données, vous devez :
-
Gérer la sauvegarde et la récupération de la base de données et de la configuration ISO.
-
Soyez prêt à effectuer une reprise rapide après sinistre en cas de catastrophe, comme une défaillance du disque de base de données ou une catastrophe du centre de données.
Il n'y a pas de mécanisme pour déplacer les clés vers le Cloud après un déploiement HDS.
Processus de configuration de haut niveau
Ce document couvre la configuration et la gestion d’un déploiement Multi-Tenant Hybrid Data Security :
-
Configuration de la sécurité des données hybrides—Cela comprend la préparation de l'infrastructure requise et l'installation du logiciel de sécurité des données hybrides, la construction d'un cluster HDS, l'ajout d'organisations locataires au cluster et la gestion de leurs clés principales clients (CMK). Cela permettra à tous les utilisateurs de vos organisations clientes d'utiliser votre cluster Hybrid Data Security pour les fonctions de sécurité.
Les phases de configuration, d'activation et de gestion sont abordées en détail dans les trois chapitres suivants.
-
Maintenez votre déploiement Hybrid Data Security—Le cloud Webex fournit automatiquement des mises à niveau continues. Votre service informatique peut fournir un support de niveau un pour ce déploiement et engager le support Cisco si nécessaire. Vous pouvez utiliser des notifications à l'écran et configurer des alertes par e-mail dans Partner Hub.
-
Comprendre les alertes courantes, les étapes de dépannage et les problèmes connus—Si vous rencontrez des problèmes lors du déploiement ou de l'utilisation de Hybrid Data Security, le dernier chapitre de ce guide et l'annexe Problèmes connus peuvent vous aider à déterminer et à résoudre le problème.
Modèle hybride de déploiement de la sécurité des données
Au sein de votre centre de données d'entreprise, vous déployez Hybrid Data Security comme un seul groupe de nœuds sur des hôtes virtuels séparés. Les nœuds communiquent avec le cloud Webex via des sockets Web sécurisées et HTTP sécurisées.
Pendant le processus d'installation, nous vous fournissons le fichier OVA pour configurer l'appareil virtuel sur les VM que vous fournissez. Vous utilisez l'outil de configuration HDS pour créer un fichier ISO de configuration de cluster personnalisé que vous montez sur chaque nœud. Le cluster Hybrid Data Security utilise votre serveur Syslogd fourni et la base de données PostgreSQL ou Microsoft SQL Server. (Vous configurez le Syslogd et les détails de connexion de la base de données dans l'outil de configuration HDS.)
Le nombre minimum de nœuds que vous pouvez avoir dans un cluster est de deux. Nous recommandons au moins trois par cluster. Le fait d'avoir plusieurs noeuds garantit que le service n'est pas interrompu lors d'une mise à niveau logicielle ou d'une autre activité de maintenance sur un noeud. (Le cloud Webex ne met à jour qu'un nœud à la fois.)
Tous les noeuds d'un cluster accèdent au même magasin de données clés et à l'activité de journal sur le même serveur syslog. Les nœuds eux-mêmes sont apatrides, et traitent les requêtes clés de façon ronde, comme le veut le cloud.
Les nœuds deviennent actifs lorsque vous les enregistrez dans Partner Hub. Pour mettre hors service un nœud individuel, vous pouvez le désenregistrer, et plus tard le reregister si nécessaire.
Centre de données de secours pour la reprise après sinistre
Pendant le déploiement, vous mettez en place un centre de données de secours sécurisé. En cas de catastrophe du centre de données, vous pouvez manuellement échouer votre déploiement vers le centre de données de secours.
Les bases de données des centres de données actifs et de veille sont synchronisées entre elles ce qui minimisera le temps nécessaire pour effectuer le basculement.
Les nœuds de sécurité des données hybrides actifs doivent toujours être dans le même centre de données que le serveur de base de données actif.
Prise en charge des mandataires
La sécurité des données hybride prend en charge les proxys explicites, transparents et non-inspecteurs. Vous pouvez lier ces proxys à votre déploiement afin que vous puissiez sécuriser et surveiller le trafic de l'entreprise vers le cloud. Vous pouvez utiliser une interface d'administration de plateforme sur les nœuds pour la gestion des certificats et pour vérifier l'état global de la connectivité après avoir configuré le proxy sur les nœuds.
Les nœuds de sécurité des données hybrides prennent en charge les options proxy suivantes :
-
Pas de proxy—La valeur par défaut si vous n'utilisez pas la configuration du nœud HDS Trust Store & Proxy pour intégrer un proxy. Aucune mise à jour du certificat n’est nécessaire.
-
Proxy transparent non inspectant — Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy non inspectant. Aucune mise à jour du certificat n’est nécessaire.
-
Proxy transparent à effet tunnel ou inspection—Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucun changement de configuration HTTP ou HTTPS n'est nécessaire sur les nœuds. Cependant, les nœuds ont besoin d'un certificat racine pour qu'ils fassent confiance au proxy. L'inspection des proxys est généralement utilisée par les TI pour appliquer les politiques sur les sites Web qui peuvent être visités et les types de contenu qui ne sont pas autorisés. Ce type de proxy décrypte tout votre trafic (même HTTPS).
-
Proxy explicite—Avec le proxy explicite, vous indiquez aux nœuds HDS quel serveur proxy et quel schéma d'authentification utiliser. Pour configurer un proxy explicite, il faut saisir les informations suivantes sur chaque nœud :
-
IP/FQDN proxy—Adresse qui peut être utilisée pour atteindre la machine proxy.
-
Port proxy—Numéro de port que le proxy utilise pour écouter le trafic protégé.
-
Protocole proxy—En fonction de ce que votre serveur proxy prend en charge, choisissez entre les protocoles suivants :
-
HTTP — Visualise et contrôle toutes les requêtes que le client envoie.
-
HTTPS — Fournit un canal au serveur. Le client reçoit et valide le certificat du serveur.
-
-
Type d’authentification—Choisissez parmi les types d’authentification suivants :
-
Aucune - Aucune autre authentification n'est requise.
Disponible si vous sélectionnez HTTP ou HTTPS comme protocole proxy.
-
Basique – Utilisé pour qu’un agent utilisateur HTTP fournisse un nom d’utilisateur et un mot de passe lors d’une demande. Utilise l'encodage Base64.
Disponible si vous sélectionnez HTTP ou HTTPS comme protocole proxy.
Nécessite de saisir le nom d'utilisateur et le mot de passe sur chaque nœud.
-
Digest—Permet de confirmer le compte avant d’envoyer des informations sensibles. Applique une fonction de hachage sur le nom d'utilisateur et le mot de passe avant l'envoi sur le réseau.
Disponible uniquement si vous sélectionnez HTTPS comme protocole proxy.
Nécessite de saisir le nom d'utilisateur et le mot de passe sur chaque nœud.
-
-
Exemple de nœuds hybrides de sécurité des données et de proxy
Ce schéma montre un exemple de connexion entre la sécurité des données hybride, le réseau et un proxy. Pour les options de proxy d'inspection transparente et d'inspection explicite HTTPS, le même certificat racine doit être installé sur le proxy et sur les nœuds de sécurité des données hybrides.
Mode de résolution DNS externe bloqué (configurations proxy explicites)
Lorsque vous enregistrez un noeud ou vérifiez la configuration du serveur mandataire du noeud, le processus teste la recherche DNS et la connectivité au cloud Cisco Webex. Dans les déploiements avec des configurations proxy explicites qui ne permettent pas la résolution DNS externe pour les clients internes, si le noeud ne peut pas interroger les serveurs DNS, il passe automatiquement en mode Résolution DNS externe bloquée. Dans ce mode, l'enregistrement des noeuds et d'autres tests de connectivité proxy peuvent être effectués.
Pripravite svoje okolje
Exigences relatives à la sécurité des données hybrides multi-locataires
Exigences de licence Cisco Webex
Pour déployer la sécurité des données hybride multi-tenant :
-
Organisations partenaires : Contactez votre partenaire ou votre gestionnaire de compte Cisco et assurez-vous que la fonctionnalité Multi-Tenant est activée.
-
Organisations de locataires : Vous devez avoir Pro Pack pour Cisco Webex Control Hub. (Voir https://www.cisco.com/go/pro-pack.)
Exigences du bureau Docker
Avant d'installer vos nœuds HDS, vous avez besoin de Docker Desktop pour exécuter un programme de configuration. Docker a récemment mis à jour son modèle de licence. Votre organisation peut avoir besoin d'un abonnement payant pour Docker Desktop. Pour plus de détails, voir le billet de blog de Docker, « Docker met à jour et étend nos abonnements de produits ».
X.509 Exigences en matière de certificats
La chaîne de certificats doit répondre aux exigences suivantes :
|
Zahteva |
Podrobnosti |
|---|---|
|
Par défaut, nous faisons confiance aux CA dans la liste Mozilla (à l’exception de WoSign et StartCom) à https://wiki.mozilla.org/CA:IncludedCAs. |
|
Le CN n'a pas besoin d'être joignable ou d'être un hôte en direct. Nous vous recommandons d’utiliser un nom qui reflète votre organisation, par exemple La NC ne doit pas contenir de * (joker). Le CN est utilisé pour vérifier les nœuds hybrides de sécurité des données aux clients de l'application Webex. Tous les nœuds Hybrid Data Security de votre cluster utilisent le même certificat. Votre KMS s'identifie à l'aide du domaine CN, et non à tout domaine défini dans les champs SAN x.509v3. Une fois que vous avez enregistré un nœud avec ce certificat, nous ne soutenons pas le changement du nom de domaine CN. |
|
Le logiciel KMS ne prend pas en charge les signatures SHA1 pour valider les connexions aux KMS d'autres organisations. |
|
Vous pouvez utiliser un convertisseur comme OpenSSL pour modifier le format de votre certificat. Vous devrez saisir le mot de passe lorsque vous exécuterez l'outil de configuration HDS. |
Le logiciel KMS n'applique pas de contraintes d'utilisation des clés ou d'utilisation des clés étendues. Certaines autorités de certification exigent que des contraintes étendues d'utilisation des clés soient appliquées à chaque certificat, comme l'authentification du serveur. Il est acceptable d'utiliser l'authentification du serveur ou d'autres paramètres.
Exigences de l'hôte virtuel
Les hôtes virtuels que vous allez configurer en tant que nœuds hybrides de sécurité des données dans votre cluster répondent aux exigences suivantes :
-
Au moins deux hôtes séparés (3 recommandés) colocalisés dans le même centre de données sécurisé
-
VMware ESXi 7.0 (ou version ultérieure) installé et en cours d'exécution.
Vous devez mettre à niveau si vous avez une version antérieure d'ESXi.
-
4 vCPUs minimum, 8 Go de mémoire principale, 30 Go d'espace disque dur local par serveur
Exigences du serveur de base de données
Créer une nouvelle base de données pour le stockage des clés. Ne pas utiliser la base de données par défaut. Les applications HDS, une fois installées, créent le schéma de la base de données.
Il y a deux options pour le serveur de base de données. Les exigences pour chacun d'eux sont les suivantes :
|
PostgreSQL |
Microsoft SQL Server |
|---|---|
|
|
|
Minimum 8 vCPU, mémoire principale de 16 Go, espace disque dur suffisant et surveillance pour s'assurer qu'il n'est pas dépassé (2 To recommandé si vous voulez exécuter la base de données pendant une longue période sans avoir besoin d'augmenter le stockage) |
Minimum 8 vCPU, mémoire principale de 16 Go, espace disque dur suffisant et surveillance pour s'assurer qu'il n'est pas dépassé (2 To recommandé si vous voulez exécuter la base de données pendant une longue période sans avoir besoin d'augmenter le stockage) |
Le logiciel HDS installe actuellement les versions de pilotes suivantes pour la communication avec le serveur de base de données :
|
PostgreSQL |
Microsoft SQL Server |
|---|---|
|
Le pilote Postgres JDBC 42.2.5 |
Pilote SQL Server JDBC 4.6 Cette version du pilote prend en charge SQL Server Always On (Always On Failover Cluster Instances et Always On groupes de disponibilité). |
Exigences supplémentaires pour l'authentification Windows contre Microsoft SQL Server
Si vous voulez que les nœuds HDS utilisent l'authentification Windows pour accéder à votre base de données keystore sur Microsoft SQL Server, vous avez besoin de la configuration suivante dans votre environnement :
-
Les nœuds HDS, l'infrastructure Active Directory et MS SQL Server doivent tous être synchronisés avec NTP.
-
Le compte Windows que vous fournissez aux nœuds HDS doit avoir un accès en lecture/écriture à la base de données.
-
Les serveurs DNS que vous fournissez aux nœuds HDS doivent être en mesure de résoudre votre centre de distribution de clés (KDC).
-
Vous pouvez enregistrer l'instance de base de données HDS sur votre Microsoft SQL Server en tant que Service Principal Name (SPN) sur votre Active Directory. Voir Enregistrer un nom principal de service pour Kerberos Connections.
L'outil de configuration HDS, le lanceur HDS et le KMS local doivent tous utiliser l'authentification Windows pour accéder à la base de données du magasin de clés. Ils utilisent les détails de votre configuration ISO pour construire le SPN lors de la demande d'accès avec authentification Kerberos.
Exigences de connectivité externe
Configurez votre pare-feu pour permettre la connectivité suivante pour les applications HDS :
|
Aplikacija |
Protokol |
Vrata |
Direction depuis l'application |
Cilj |
|---|---|---|---|---|
|
Nœuds hybrides de sécurité des données |
TCP |
443 |
HTTPS et WSS sortants |
|
|
Outil de configuration du HDS |
TCP |
443 |
HTTPS sortante |
|
Les nœuds de sécurité des données hybrides fonctionnent avec la traduction d'accès au réseau (NAT) ou derrière un pare-feu, à condition que le NAT ou le pare-feu permettent les connexions sortantes requises vers les destinations de domaine du tableau précédent. Pour les connexions entrant dans les nœuds de sécurité des données hybrides, aucun port ne doit être visible depuis Internet. Au sein de votre data center, les clients ont besoin d'accéder aux nœuds de sécurité des données hybrides sur les ports TCP 443 et 22, à des fins administratives.
Les URL des hôtes d'identité commune (CI) sont spécifiques à une région. Voici les hôtes CI actuels :
|
Regija |
URL de l'hôte d'identité commune |
|---|---|
|
Ameriki |
|
|
Union européenne |
|
|
Kanada |
|
| Singapur |
|
| Združeni Arabski Emirati |
|
Exigences relatives au serveur mandataire
-
Nous soutenons officiellement les solutions proxy suivantes qui peuvent s'intégrer à vos nœuds de sécurité des données hybrides.
-
Proxy transparent – Cisco Web Security Appliance (WSA).
-
Proxy explicite - Squid.
Les proxies squid qui inspectent le trafic HTTPS peuvent interférer avec l'établissement de connexions websocket (wss:). Pour résoudre ce problème, voir Configurer les proxys squid pour la sécurité des données hybrides.
-
-
Nous supportons les combinaisons de types d'authentification suivantes pour les proxys explicites :
-
Pas d'authentification avec HTTP ou HTTPS
-
Authentification de base avec HTTP ou HTTPS
-
Authentification Digest avec HTTPS uniquement
-
-
Pour un proxy d'inspection transparent ou un proxy explicite HTTPS, vous devez avoir une copie du certificat racine du proxy. Les instructions de déploiement de ce guide vous indiquent comment télécharger la copie dans les magasins de confiance des nœuds de sécurité des données hybrides.
-
Le réseau hébergeant les noeuds HDS doit être configuré pour forcer le trafic TCP sortant sur le port 443 à passer par le proxy.
-
Les proxys qui inspectent le trafic Web peuvent interférer avec les connexions de socket Web. Si ce problème se produit, contourner (ne pas inspecter) le trafic vers
wbx2.cometciscospark.comrésoudra le problème.
Remplir les conditions préalables à la sécurité des données hybrides
| 1 |
Assurez-vous que votre organisation partenaire dispose de la fonctionnalité HDS multi-locataire activée et obtenez les identifiants d'un compte avec l'administrateur complet partenaire et les droits d'administrateur complet. Assurez-vous que votre organisation client Webex est activée pour Pro Pack pour Cisco Webex Control Hub. Contactez votre partenaire Cisco ou votre gestionnaire de compte pour obtenir de l'aide dans ce processus. Les organisations clientes ne doivent pas avoir de déploiement HDS existant. |
| 2 |
Choisissez un nom de domaine pour votre déploiement HDS (par exemple, |
| 3 |
Préparez des hôtes virtuels identiques que vous allez configurer comme nœuds hybrides de sécurité des données dans votre cluster. Vous avez besoin d'au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé, qui répondent aux exigences de la Virtual Host Requirements. |
| 4 |
Préparer le serveur de base de données qui servira de magasin de données clés pour le cluster, conformément aux Exigences du serveur de base de données. Le serveur de base de données doit être colocé dans le centre de données sécurisé avec les hôtes virtuels. |
| 5 |
Pour une reprise rapide après sinistre, configurez un environnement de sauvegarde dans un centre de données différent. L'environnement de sauvegarde reflète l'environnement de production des VM et d'un serveur de base de données de sauvegarde. Par exemple, si la production a 3 VM exécutant des noeuds HDS, l'environnement de sauvegarde devrait avoir 3 VM. |
| 6 |
Configurer un hôte syslog pour collecter les journaux des nœuds du cluster. Recueillir son adresse réseau et son port syslog (par défaut UDP 514). |
| 7 |
Créez une politique de sauvegarde sécurisée pour les nœuds Hybrid Data Security, le serveur de base de données et l'hôte syslog. Au minimum, pour éviter les pertes de données irrécupérables, vous devez sauvegarder la base de données et le fichier ISO de configuration généré pour les nœuds Hybrid Data Security. Étant donné que les nœuds hybrides de sécurité des données stockent les clés utilisées pour le chiffrement et le déchiffrement du contenu, le non-maintien d’un déploiement opérationnel entraînera la PERTE IRRÉCUPÉRABLE de ce contenu. Les clients de l'application Webex cachent leurs clés, de sorte qu'une panne peut ne pas être immédiatement perceptible mais deviendra évidente au fil du temps. Bien que les pannes temporaires soient impossibles à prévenir, elles sont récupérables. Cependant, la perte complète (aucune sauvegarde disponible) de la base de données ou du fichier ISO de configuration entraînera des données client irrécupérables. Les opérateurs des nœuds de sécurité des données hybrides sont censés maintenir des sauvegardes fréquentes de la base de données et du fichier ISO de configuration, et être prêts à reconstruire le centre de données hybride de sécurité des données en cas de défaillance catastrophique. |
| 8 |
Assurez-vous que votre configuration de pare-feu permet la connectivité de vos nœuds hybrides de sécurité des données, comme indiqué dans Exigences de connectivité externe. |
| 9 |
Installer Docker ( https://www.docker.com) sur toute machine locale exécutant un système d'exploitation pris en charge (Microsoft Windows 10 Professional ou Enterprise 64-bit, ou Mac OSX Yosemite 10.10.3 ou supérieur) avec un navigateur Web qui peut y accéder à l'adresse http://127.0.0.1:8080. Vous utilisez l'instance Docker pour télécharger et exécuter l'outil de configuration HDS, qui construit les informations de configuration locale pour tous les nœuds de sécurité des données hybrides. Vous pourriez avoir besoin d'une licence Docker Desktop. Voir Exigences du bureau Docker pour plus d'informations. Pour installer et exécuter l'outil de configuration HDS, la machine locale doit avoir la connectivité décrite dans Exigences de connectivité externe. |
| 10 |
Si vous intégrez un proxy avec Hybrid Data Security, assurez-vous qu'il répond aux exigences du serveur proxy. |
Mettre en place un cluster hybride de sécurité des données
Potek opravila uvedbe hibridne varnosti podatkov
| 1 |
Izvedba začetne nastavitve in prenos namestitvenih datotek Prenesite datoteko OVA v lokalni računalnik za poznejšo uporabo. |
| 2 |
Ustvarjanje konfiguracijskega ISO za gostitelje HDS Z orodjem za namestitev HDS ustvarite konfiguracijsko datoteko ISO za vozlišča Hybrid Data Security. |
| 3 |
Ustvarite navidezni računalnik iz datoteke OVA in izvedite začetno konfiguracijo, kot so omrežne nastavitve. Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 7.0. Ta možnost morda ni na voljo v starejših različicah. |
| 4 |
Nastavitev hibridnega varnostnega računalniškega računalnika Vpišite se v konzolo VM in nastavite poverilnice za vpis. Konfigurirajte omrežne nastavitve za vozlišče, če jih niste konfigurirali v času uvedbe OVA. |
| 5 |
Naložite in namestite konfiguracijski ISO HDS Konfigurirajte VM iz konfiguracijske datoteke ISO, ki ste jo ustvarili z orodjem za namestitev HDS. |
| 6 |
Konfiguracija vozlišča HDS za integracijo strežnika proxy Če omrežno okolje zahteva konfiguracijo strežnika proxy, določite vrsto strežnika proxy, ki ga boste uporabili za vozlišče, in po potrebi dodajte potrdilo strežnika proxy v shrambo zaupanja. |
| 7 |
Registracija prvega vozlišča v gruči Registrirajte VM v oblaku Cisco Webex kot vozlišče za hibridno varnost podatkov. |
| 8 |
Ustvarjanje in registracija več vozlišč Dokončajte nastavitev gruče. |
| 9 |
Aktivirajte HDS z več najemniki v središču Partner. Aktivirajte HDS in upravljajte organizacije najemnikov v središču Partner. |
Izvedba začetne nastavitve in prenos namestitvenih datotek
V tem opravilu prenesete datoteko OVA v računalnik (ne v strežnike, ki ste jih nastavili kot vozlišča hibridne varnosti podatkov). To datoteko uporabite pozneje v postopku namestitve.
| 1 |
Vpišite se v središče za partnerje in kliknite Storitve . |
| 2 |
V razdelku Storitve v oblaku poiščite kartico Hibridna varnost podatkov in kliknite Nastavi . Klik na Nastavitev v Partnerskem središču je ključnega pomena za postopek uvajanja. Ne nadaljujte z namestitvijo, ne da bi dokončali ta korak. |
| 3 |
Kliknite Dodaj vir in nato Prenesi . OVA na kartici Namestitev in konfiguracija programske opreme . Starejše različice programskega paketa (OVA) ne bodo združljive z najnovejšimi nadgradnjami hibridne varnosti podatkov. To lahko povzroči težave pri nadgradnji aplikacije. Prenesite najnovejšo različico datoteke OVA. OVA lahko kadar koli prenesete tudi iz razdelka Pomoč . Kliknite Nastavitveza hibridno varnost podatkov. Datoteka OVA se samodejno začne prenašati. Shranite datoteko na mesto v računalniku.
|
| 4 |
Po želji kliknite Ogled vodnika za uvedbo hibridne varnosti podatkov, da preverite, ali je na voljo novejša različica tega priročnika. |
Ustvarjanje konfiguracijskega ISO za gostitelje HDS
Postopek namestitve hibridne varnosti podatkov ustvari datoteko ISO. Nato uporabite ISO za konfiguracijo gostitelja hibridne varnosti podatkov.
Preden začnete
-
Orodje za namestitev HDS deluje kot vsebnik Docker v lokalnem računalniku. Če želite dostopati do njega, zaženite Docker v tem računalniku. Postopek namestitve zahteva poverilnice računa Partnerskega središča s polnimi skrbniškimi pravicami.
Če se orodje za namestitev HDS izvaja za strežnikom proxy v vašem okolju, navedite nastavitve strežnika proxy (strežnik, vrata, poverilnice) prek spremenljivk okolja Dockerja, ko odprete vsebnik Docker v spodnjem koraku . V tej tabeli so navedene nekatere možne okoljske spremenljivke:
Opis
Spremenljivka
HTTP proxy brez preverjanja pristnosti
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS proxy brez preverjanja pristnosti
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP proxy s preverjanjem pristnosti
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy s preverjanjem pristnosti
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Konfiguracijska datoteka ISO, ki jo ustvarite, vsebuje glavni ključ, ki šifrira zbirko podatkov PostgreSQL ali Microsoft SQL Server. Najnovejšo kopijo te datoteke potrebujete vsakič, ko spremenite konfiguracijo, na primer:
-
Poverilnice zbirke podatkov
-
Posodobitve potrdil
-
Spremembe pravilnika o avtorizaciji
-
-
Če nameravate šifrirati povezave zbirke podatkov, nastavite uvajanje PostgreSQL ali SQL Server za TLS.
| 1 |
V ukazni vrstici računalnika vnesite ustrezen ukaz za vaše okolje: V običajnih okoljih: V okoljih FedRAMP: S tem korakom počistite prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete. | ||||||||||
| 2 |
Če se želite vpisati v register slik Dockerja, vnesite to: | ||||||||||
| 3 |
V poziv za geslo vnesite to razpršitev: | ||||||||||
| 4 |
Prenesite najnovejšo stabilno sliko za svoje okolje: V običajnih okoljih: V okoljih FedRAMP: | ||||||||||
| 5 |
Ko je poteza končana, vnesite ustrezen ukaz za vaše okolje:
Ko se vsebnik izvaja, se prikaže »Express server listening on door 8080«. | ||||||||||
| 6 |
Orodje za namestitev ne podpira povezovanja z lokalnim gostiteljem prek http://localhost:8080. Uporabite http://127.0.0.1:8080 za povezavo z lokalnim gostiteljem. S spletnim brskalnikom pojdite na lokalnega gostitelja, Orodje uporabi ta prvi vnos uporabniškega imena za nastavitev ustreznega okolja za ta račun. Orodje nato prikaže standardni poziv za vpis. | ||||||||||
| 7 |
Ko ste pozvani, vnesite poverilnice za vpis skrbnika Partnerskega središča in nato kliknite Prijava , da omogočite dostop do zahtevanih storitev za hibridno varnost podatkov. | ||||||||||
| 8 |
Na strani Pregled orodja za namestitev kliknite Uvod. | ||||||||||
| 9 |
Na strani Uvoz ISO so na voljo te možnosti:
| ||||||||||
| 10 |
Preverite, ali potrdilo X.509 izpolnjuje zahteve v razdelku Zahteveza potrdilo X.509.
| ||||||||||
| 11 |
Vnesite naslov zbirke podatkov in račun za HDS za dostop do vašega ključnega shrambe podatkov: | ||||||||||
| 12 |
Izberite načinpovezave z zbirko podatkov TLS:
Ko naložite korensko potrdilo (če je potrebno) in kliknete Nadaljuj, orodje za namestitev HDS preskusi povezavo TLS s strežnikom zbirke podatkov. Orodje preveri tudi podpisnika potrdila in ime gostitelja, če je primerno. Če preskus ne uspe, orodje prikaže sporočilo o napaki, ki opisuje težavo. Izberete lahko, ali želite napako prezreti in nadaljevati z nastavitvijo. (Zaradi razlik v povezljivosti lahko vozlišča HDS vzpostavijo povezavo TLS, tudi če je naprava HDS Setup Tool ne more uspešno preizkusiti.) | ||||||||||
| 13 |
Na strani Sistemski dnevniki konfigurirajte strežnik Syslogd: | ||||||||||
| 14 |
(Neobvezno) Privzeto vrednost za nekatere parametre povezave z zbirko podatkov lahko spremenite v naprednih nastavitvah. Na splošno je ta parameter edini, ki ga boste morda želeli spremeniti: | ||||||||||
| 15 |
Kliknite Nadaljuj na zaslonu Ponastavi geslo za storitvene račune. Gesla za storitvene račune imajo devetmesečno življenjsko dobo. Ta zaslon uporabite, ko se gesla bližajo izteku veljavnosti ali jih želite ponastaviti, da razveljavite prejšnje datoteke ISO. | ||||||||||
| 16 |
Kliknite Prenesi datotekoISO. Shranite datoteko na mesto, ki ga je enostavno najti. | ||||||||||
| 17 |
Naredite varnostno kopijo datoteke ISO v lokalnem sistemu. Varnostno kopijo hranite na varnem. Ta datoteka vsebuje glavni šifrirni ključ za vsebino zbirke podatkov. Omejite dostop samo na tiste skrbnike hibridne varnosti podatkov, ki morajo spremeniti konfiguracijo. | ||||||||||
| 18 |
Če želite zaustaviti orodje za namestitev, vnesite |
Kaj storiti naprej
Varnostno kopirajte konfiguracijsko datoteko ISO. Potrebujete ga za ustvarjanje več vozlišč za obnovitev ali za spremembe konfiguracije. Če izgubite vse kopije datoteke ISO, ste izgubili tudi glavni ključ. Obnovitev ključev iz zbirke podatkov PostgreSQL ali Microsoft SQL Server ni mogoča.
Nikoli nimamo kopije tega ključa in ne moremo pomagati, če ga izgubite.
Namestitev OVA gostitelja HDS
| 1 |
Uporabite odjemalca VMware vSphere v računalniku, da se prijavite v navideznega gostitelja ESXi. |
| 2 |
Izberite Datoteka > Uvedi predlogoOVF. |
| 3 |
V čarovniku določite mesto datoteke OVA, ki ste jo prej prenesli, in kliknite Naprej . |
| 4 |
Na strani Izberite ime in mapo vnesite ime navideznega računalnika za vozlišče (na primer »HDS_Node_1«), izberite mesto, kjer je lahko namestitev vozlišča navideznega računalnika, in nato kliknite Naprej. |
| 5 |
Na strani Izberite računalniški vir izberite ciljni računalniški vir in nato kliknite Naprej. Zažene se preverjanje veljavnosti. Ko se konča, se prikažejo podrobnosti predloge. |
| 6 |
Preverite podrobnosti predloge in kliknite Naprej . |
| 7 |
Če ste pozvani, da izberete konfiguracijo vira na strani Konfiguracija , kliknite 4 CPU in nato Naprej . |
| 8 |
Na strani Izberi prostor za shranjevanje kliknite Naprej , da sprejmete privzeto obliko zapisa diska in pravilnik o shrambi v virtualnem računalniku. |
| 9 |
Na strani Izberi omrežja na seznamu vnosov izberite možnost omrežja, da zagotovite želeno povezljivost z virtualnim računalnikom. |
| 10 |
Na strani Prilagajanje predloge konfigurirajte te omrežne nastavitve:
Če želite, lahko preskočite konfiguracijo omrežnih nastavitev in sledite korakom v razdelku Nastavitev hibridnega varnostnega računalniškega računalnika , da konfigurirate nastavitve v konzoli vozlišča. Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 7.0. Ta možnost morda ni na voljo v starejših različicah. |
| 11 |
Z desno tipko miške kliknite vozlišče VM in nato izberite . Programska oprema za hibridno varnost podatkov je nameščena kot gost na gostitelju VM. Zdaj se lahko vpišete v konzolo in konfigurirate vozlišče. Nasveti za odpravljanje težav Morda boste doživeli nekaj minutno zamudo, preden se prikažejo zabojniki vozlišč. Med prvim zagonom, med katerim se ne morete vpisati, se v konzoli prikaže sporočilo požarnega zidu mostu. |
Nastavitev hibridnega varnostnega računalniškega računalnika
S tem postopkom se lahko prvič vpišete v konzolo virtualnega računalnika vozlišča Hybrid Data Security in nastavite poverilnice za vpis. S konzolo lahko konfigurirate tudi omrežne nastavitve za vozlišče, če jih niste konfigurirali v času uvedbe OVA.
| 1 |
V odjemalcu VMware vSphere izberite VM vozlišča Hybrid Data Security in izberite zavihek Konzola . VM se zažene in prikaže se poziv za prijavo. Če se poziv za prijavo ne prikaže, pritisnite tipko Enter.
|
| 2 |
Za vpis in spreminjanje poverilnic uporabite to privzeto uporabniško ime in geslo: Ker se prvič vpišete v VM, morate spremeniti skrbniško geslo. |
| 3 |
Če ste že konfigurirali omrežne nastavitve v razdelku Namestitev gostitelja HDS OVA, preskočite preostanek tega postopka. V nasprotnem primeru v glavnem meniju izberite možnost Uredi konfiguracijo . |
| 4 |
Nastavite statično konfiguracijo z naslovom IP, masko, prehodom in informacijami DNS. Vaše vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt. |
| 5 |
(Neobvezno) Po potrebi spremenite ime gostitelja, domeno ali strežnike NTP, da se ujemajo z vašim omrežnim pravilnikom. Domene ni treba nastaviti tako, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509. |
| 6 |
Shranite konfiguracijo omrežja in znova zaženite VM, da bodo spremembe začele veljati. |
Naložite in namestite konfiguracijski ISO HDS
Preden začnete
Ker je v datoteki ISO glavni ključ, bi moral biti izpostavljen le na podlagi »potrebe po seznanitvi« za dostop do hibridnih varnostnih podatkovnih računalnikov in skrbnikov, ki bodo morda morali narediti spremembe. Prepričajte se, da lahko do shrambe podatkov dostopajo le ti skrbniki.
| 1 |
Naložite datoteko ISO iz računalnika: |
| 2 |
Namestite datoteko ISO: |
Kaj storiti naprej
Če to zahteva vaš pravilnik IT, lahko po želji odstranite datoteko ISO, ko vsa vozlišča prevzamejo spremembe konfiguracije. Za podrobnosti glejte (izbirno) Odstranitev ISO po konfiguraciji HDS.
Konfiguracija vozlišča HDS za integracijo strežnika proxy
Če omrežno okolje zahteva strežnik proxy, s tem postopkom določite vrsto strežnika proxy, ki ga želite integrirati s hibridno varnostjo podatkov. Če izberete pregleden proxy za pregledovanje ali eksplicitni strežnik proxy HTTPS, lahko uporabite vmesnik vozlišča za prenos in namestitev korenskega potrdila. Povezavo proxy lahko preverite tudi iz vmesnika in odpravite morebitne težave.
Preden začnete
-
Glejte Podpora za strežnik proxy za pregled podprtih možnosti strežnika proxy.
| 1 |
V spletni brskalnik vnesite URL |
| 2 |
Pojdite na Trust Store & Proxyin nato izberite možnost:
Sledite naslednjim korakom za pregledno pregledovanje strežnika proxy, eksplicitni proxy HTTP z osnovnim preverjanjem pristnosti ali eksplicitni strežnik proxy HTTPS. |
| 3 |
Kliknite Prenesi korensko potrdilo ali Potrdilokončne entitete in se pomaknite do možnosti Izberite korensko potrdilo za strežnik proxy. Potrdilo je naloženo, vendar še ni nameščeno, ker morate znova zagnati vozlišče, če želite namestiti potrdilo. Kliknite puščico škarnice ob imenu izdajatelja potrdila, če želite pridobiti več podrobnosti, ali kliknite Izbriši , če ste naredili napako in želite znova naložiti datoteko. |
| 4 |
Kliknite Preveri povezavo s strežnikom proxy, da preizkusite omrežno povezljivost med vozliščem in strežnikom proxy. Če preskus povezave ne uspe, se prikaže sporočilo o napaki, ki prikazuje razlog in način odpravljanja težave. Če se prikaže sporočilo, da zunanje razreševanje DNS ni bilo uspešno, vozlišče ni moglo vzpostaviti povezave s strežnikom DNS. Ta pogoj je pričakovan v številnih eksplicitnih konfiguracijah proxyja. Z namestitvijo lahko nadaljujete in vozlišče bo delovalo v načinu blokiranega zunanjega razreševanja DNS. Če menite, da gre za napako, dokončajte ta navodila in nato glejte Izklop načinablokiranega zunanjega razreševanja DNS. |
| 5 |
Ko preskus povezave opravi, za eksplicitni strežnik proxy, nastavljen samo na https, vklopite stikalo na Usmerjanje vseh zahtev https vrat 443/444 iz tega vozlišča prek eksplicitnega strežnika proxy. Ta nastavitev traja 15 sekund, da začne veljati. |
| 6 |
Kliknite Namesti vsa potrdila v shrambo zaupanja (prikaže se za eksplicitni strežnik proxy HTTPS ali pregleden strežnik proxy) ali Znova zaženi ( prikaže se za eksplicitni strežnik proxy HTTP), preberite poziv in nato kliknite Namesti, če ste pripravljeni. Vozlišče se znova zažene v nekaj minutah. |
| 7 |
Ko se vozlišče znova zažene, se po potrebi znova vpišite in nato odprite stran Pregled , da preverite preverjanje povezljivosti in se prepričajte, da so vsi v zelenem stanju. Preverjanje povezave proxy preizkuša samo poddomeno webex.com. Če pride do težav s povezljivostjo, je pogosta težava, da so nekatere domene v oblaku, navedene v navodilih za namestitev, blokirane v strežniku proxy. |
Registracija prvega vozlišča v gruči
Ko registrirate prvo vozlišče, ustvarite gručo, ki ji je vozlišče dodeljeno. Gruča vsebuje eno ali več vozlišč, ki so nameščena za zagotavljanje redundance.
Preden začnete
-
Ko začnete registracijo vozlišča, ga morate dokončati v 60 minutah ali pa morate začeti znova.
-
Prepričajte se, da so vsi blokatorji pojavnih oken v brskalniku onemogočeni ali da dovolite izjemo za admin.webex.com.
| 1 |
Vpišite se v https://admin.webex.com. |
| 2 |
V meniju na levi strani zaslona izberite Storitve. |
| 3 |
V razdelku Storitve v oblaku poiščite kartico Hibridna varnost podatkov in kliknite Nastavi . |
| 4 |
Na strani, ki se odpre, kliknite Dodaj vir. |
| 5 |
V prvo polje Dodajanje kartice vozlišča vnesite ime gruče, ki ji želite dodeliti vozlišče Hibridna varnost podatkov. Priporočamo, da gručo poimenujete glede na to, kje so vozlišča gruče geografsko nameščena. Primeri: "San Francisco" ali "New York" ali "Dallas" |
| 6 |
V drugo polje vnesite notranji naslov IP ali popolnoma kvalificirano ime domene (FQDN) vašega vozlišča in kliknite Dodaj na dnu zaslona. Ta naslov IP ali FQDN se mora ujemati z naslovom IP ali imenom gostitelja in domeno, ki ste jo uporabili v razdelku Nastavitev hibridnega računalniškega računalnikaza varnost podatkov. Prikaže se sporočilo, da lahko vozlišče registrirate v Webex.
|
| 7 |
Kliknite Pojdi na vozlišče. Po nekaj trenutkih ste preusmerjeni na preskuse povezljivosti vozlišč za storitve Webex. Če so vsi preskusi uspešni, se prikaže stran Dovoli dostop do vozlišča za varnost hibridnih podatkov. Tam potrdite, da želite organizaciji Webex podeliti dovoljenja za dostop do vašega vozlišča. |
| 8 |
Potrdite polje Dovoli dostop do vozlišča za varnost hibridnih podatkov in kliknite Nadaljuj. Vaš račun je preverjen in sporočilo »Registracija je dokončana« pomeni, da je vaše vozlišče zdaj registrirano v oblaku Webex.
|
| 9 |
Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Varnost hibridnih podatkov Partnerskega središča. Na strani Hibridna varnost podatkov je na zavihku Viri prikazana nova gruča, ki vsebuje vozlišče, ki ste ga registrirali. Vozlišče bo samodejno preneslo najnovejšo programsko opremo iz oblaka.
|
Ustvarjanje in registracija več vozlišč
Preden začnete
-
Ko začnete registracijo vozlišča, ga morate dokončati v 60 minutah ali pa morate začeti znova.
-
Prepričajte se, da so vsi blokatorji pojavnih oken v brskalniku onemogočeni ali da dovolite izjemo za admin.webex.com.
| 1 |
Ustvarite nov navidezni računalnik iz OVA in ponovite korake v razdelku Namestitev OVAgostitelja HDS. |
| 2 |
Nastavite začetno konfiguracijo v novem virtualnem računalniku in ponovite korake v razdelku Nastavitev hibridnega varnostnega računalnikapodatkov. |
| 3 |
V novem virtualnem računalniku ponovite korake v razdelku Prenos in namestitev ISOkonfiguracije HDS. |
| 4 |
Če nastavljate strežnik proxy za uvedbo, ponovite korake v razdelku Konfiguracija vozlišča HDS za integracijo strežnika proxy, kot je potrebno za novo vozlišče. |
| 5 |
Registrirajte vozlišče. |
Gérer les organisations de locataires sur la sécurité des données hybride multi-locataires
Activer HDS Multi-Tenant sur Partner Hub
Cette tâche permet à tous les utilisateurs des organisations clientes de commencer à utiliser HDS pour les clés de chiffrement sur site et d'autres services de sécurité.
Avant de commencer
Assurez-vous que vous avez terminé la configuration de votre cluster HDS Multi-Tenant avec le nombre de nœuds requis.
| 1 |
Se connecter à https://admin.webex.com. |
| 2 |
Dans le menu à gauche de l’écran, sélectionner Services. |
| 3 |
Dans la section Cloud Services, recherchez Hybrid Data Security et cliquez sur Edit Settings. |
| 4 |
Cliquer sur Activer HDS sur la carte HDS Status . |
Ajouter des organisations de locataires dans Partner Hub
Dans cette tâche, vous attribuez des organisations clientes à votre Cluster hybride de sécurité des données.
| 1 |
Se connecter à https://admin.webex.com. |
| 2 |
Dans le menu à gauche de l’écran, sélectionner Services. |
| 3 |
Dans la section Cloud Services, recherchez Hybrid Data Security et cliquez sur View all. |
| 4 |
Cliquez sur le cluster auquel vous souhaitez affecter un client. |
| 5 |
Accéder à l’onglet Clients affectés . |
| 6 |
Cliquez sur Ajouter des clients. |
| 7 |
Sélectionnez le client que vous souhaitez ajouter dans le menu déroulant. |
| 8 |
Cliquez sur Ajouter, le client sera ajouté au cluster. |
| 9 |
Répétez les étapes 6 à 8 pour ajouter plusieurs clients à votre cluster. |
| 10 |
Cliquez sur Terminé en bas de l’écran une fois que vous avez ajouté les clients. |
Que faire ensuite
Créer des clés principales du client (CMK) à l'aide de l'outil de configuration HDS
Avant de commencer
Affecter les clients au cluster approprié comme détaillé dans Ajouter des organisations de locataires dans Partner Hub. Exécutez l'outil de configuration HDS pour terminer le processus de configuration pour les organisations clients nouvellement ajoutées.
-
L'outil de configuration HDS fonctionne comme un conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les identifiants d'un compte Partner Hub avec tous les droits d'administrateur pour votre organisation.
Si l'outil HDS Setup fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, identifiants) via les variables d'environnement Docker lors de l'activation du conteneur Docker à l'étape 5. Ce tableau donne quelques variables d'environnement possibles :
Opis
Spremenljivka
Serveur mandataire HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS Proxy sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS Proxy avec authentification
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Le fichier de configuration ISO que vous générez contient la clé maître chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous effectuez des changements de configuration, comme ceux-ci :
-
Identifiants de la base de données
-
Mises à jour du certificat
-
Modifications de la politique d'autorisation
-
-
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
Le processus de configuration de la sécurité des données hybride crée un fichier ISO. Vous utilisez ensuite l'ISO pour configurer votre hôte Hybrid Data Security.
| 1 |
Sur la ligne de commande de votre machine, saisissez la commande appropriée pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : Cette étape nettoie les images précédentes de l'outil de configuration HDS. S'il n'y a pas d'images précédentes, il renvoie une erreur que vous pouvez ignorer. |
| 2 |
Pour vous connecter au registre d'images Docker, saisissez : |
| 3 |
A l'invite du mot de passe, saisir ce hachage : |
| 4 |
Téléchargez la dernière image stable pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : |
| 5 |
Lorsque le tirage est terminé, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur fonctionne, vous voyez "Express server listening on port 8080". |
| 6 |
L'outil de configuration ne prend pas en charge la connexion à localhost via http://localhost:8080. Utiliser http://127.0.0.1:8080 pour se connecter à localhost. Utiliser un navigateur Web pour accéder à l'hôte local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L’outil affiche alors l’invite de connexion standard. |
| 7 |
Lorsque vous y êtes invité, entrez vos identifiants de connexion administrateur Partner Hub, puis cliquez sur Se connecter pour autoriser l'accès aux services requis pour la sécurité des données hybrides. |
| 8 |
Sur la page d'aperçu de l'outil de configuration, cliquez sur Démarrer. |
| 9 |
Sur la page ISO Import , cliquez sur Yes. |
| 10 |
Sélectionnez votre fichier ISO dans le navigateur et téléchargez-le. Assurez-vous de la connectivité à votre base de données pour effectuer la gestion CMK. |
| 11 |
Allez dans l’onglet Gestion des CMK des locataires , où vous trouverez les trois façons suivantes de gérer les CMK des locataires.
|
| 12 |
Une fois la création de CMK réussie, le statut dans le tableau passe de gestion de CMK en attente à CMK géré. |
| 13 |
Si la création du CMK échoue, une erreur s'affiche. |
Supprimer les organisations locataires
Avant de commencer
Une fois supprimés, les utilisateurs des organisations clientes ne seront pas en mesure de tirer parti de HDS pour leurs besoins de cryptage et perdront tous les espaces existants. Avant de supprimer les organisations clientes, veuillez contacter votre partenaire Cisco ou votre gestionnaire de compte.
| 1 |
Se connecter à https://admin.webex.com. |
| 2 |
Dans le menu à gauche de l’écran, sélectionner Services. |
| 3 |
Dans la section Cloud Services, recherchez Hybrid Data Security et cliquez sur View all. |
| 4 |
Dans l’onglet Ressources , cliquez sur le cluster dont vous souhaitez supprimer les organisations clientes. |
| 5 |
Dans la page qui s’ouvre, cliquez sur Clients affectés. |
| 6 |
Dans la liste des organisations clientes affichées, cliquez sur ... sur le côté droit de l'organisation cliente que vous souhaitez supprimer et cliquez sur Supprimer du cluster. |
Que faire ensuite
Complétez le processus de retrait en révoquant les CMK des organisations clientes, comme détaillé dans Révoquer les CMK des locataires retirés de HDS.
Révoquer les CMK des locataires retirés du HDS.
Avant de commencer
Retirer les clients du cluster approprié comme détaillé dans Supprimer les organisations locataires. Exécutez l'outil de configuration HDS pour terminer le processus de suppression pour les organisations clientes qui ont été supprimées.
-
L'outil de configuration HDS fonctionne comme un conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les identifiants d'un compte Partner Hub avec tous les droits d'administrateur pour votre organisation.
Si l'outil HDS Setup fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, identifiants) via les variables d'environnement Docker lors de l'activation du conteneur Docker à l'étape 5. Ce tableau donne quelques variables d'environnement possibles :
Opis
Spremenljivka
Serveur mandataire HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS Proxy sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS Proxy avec authentification
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Le fichier de configuration ISO que vous générez contient la clé maître chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous effectuez des changements de configuration, comme ceux-ci :
-
Identifiants de la base de données
-
Mises à jour du certificat
-
Modifications de la politique d'autorisation
-
-
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
Le processus de configuration de la sécurité des données hybride crée un fichier ISO. Vous utilisez ensuite l'ISO pour configurer votre hôte Hybrid Data Security.
| 1 |
Sur la ligne de commande de votre machine, saisissez la commande appropriée pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : Cette étape nettoie les images précédentes de l'outil de configuration HDS. S'il n'y a pas d'images précédentes, il renvoie une erreur que vous pouvez ignorer. |
| 2 |
Pour vous connecter au registre d'images Docker, saisissez : |
| 3 |
A l'invite du mot de passe, saisir ce hachage : |
| 4 |
Téléchargez la dernière image stable pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : |
| 5 |
Lorsque le tirage est terminé, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur fonctionne, vous voyez "Express server listening on port 8080". |
| 6 |
L'outil de configuration ne prend pas en charge la connexion à localhost via http://localhost:8080. Utiliser http://127.0.0.1:8080 pour se connecter à localhost. Utiliser un navigateur Web pour accéder à l'hôte local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L’outil affiche alors l’invite de connexion standard. |
| 7 |
Lorsque vous y êtes invité, entrez vos identifiants de connexion administrateur Partner Hub, puis cliquez sur Se connecter pour autoriser l'accès aux services requis pour la sécurité des données hybrides. |
| 8 |
Sur la page d'aperçu de l'outil de configuration, cliquez sur Démarrer. |
| 9 |
Sur la page ISO Import , cliquez sur Yes. |
| 10 |
Sélectionnez votre fichier ISO dans le navigateur et téléchargez-le. |
| 11 |
Allez dans l’onglet Gestion des CMK des locataires , où vous trouverez les trois façons suivantes de gérer les CMK des locataires.
|
| 12 |
Une fois la révocation de CMK réussie, l'organisation cliente n'apparaîtra plus dans le tableau. |
| 13 |
Si la révocation du CMK échoue, une erreur s'affiche. |
Testez votre déploiement Hybrid Data Security
Testez votre déploiement hybride de sécurité des données
Avant de commencer
-
Configurez votre déploiement Multi-tenant Hybrid Data Security.
-
Assurez-vous d'avoir accès au syslog pour vérifier que les demandes clés passent à votre déploiement de sécurité des données hybride multi-tenant.
| 1 |
Les clés pour un espace donné sont définies par le créateur de l'espace. Connectez-vous à l'application Webex en tant qu'utilisateur de l'organisation client, puis créez un espace. Si vous désactivez le déploiement Hybrid Data Security, le contenu des espaces créés par les utilisateurs n’est plus accessible une fois que les copies des clés de chiffrement mises en cache par le client sont remplacées. |
| 2 |
Envoyer des messages vers le nouvel espace. |
| 3 |
Vérifiez la sortie syslog pour vérifier que les demandes de clés passent à votre déploiement Hybrid Data Security. |
Surveiller l'intégrité de la sécurité des données hybrides
| 1 |
Dans Partner Hub, sélectionnez Services dans le menu à gauche de l’écran. |
| 2 |
Dans la section Cloud Services, recherchez Hybrid Data Security et cliquez sur Edit Settings. La page Hybrid Data Security Settings apparaît.
|
| 3 |
Dans la section Notifications par e-mail, tapez une ou plusieurs adresses e-mail séparées par des virgules et appuyez sur Entrée. |
Gérez votre déploiement HDS
Gérer le déploiement du HDS
Utilisez les tâches décrites ici pour gérer votre déploiement Hybrid Data Security.
Définir le calendrier de mise à niveau du cluster
Pour définir le calendrier de mise à niveau :
| 1 |
Connectez-vous à Partner Hub. |
| 2 |
Dans le menu à gauche de l’écran, sélectionner Services. |
| 3 |
Dans la section Cloud Services, recherchez Hybrid Data Security et cliquez sur Configurer |
| 4 |
Sur la page Hybrid Data Security Resources, sélectionner le cluster. |
| 5 |
Cliquez sur l’onglet Cluster Settings . |
| 6 |
Sur la page Cluster Settings, sous Upgrade Schedule, sélectionnez l'heure et le fuseau horaire pour le planning de mise à niveau. Opomba: Sous le fuseau horaire, la date et l'heure de mise à niveau disponibles suivantes s'affichent. Vous pouvez reporter la mise à niveau au lendemain, si nécessaire, en cliquant sur Reporter de 24 heures. |
Modifier la configuration des nœuds
-
Modification des certificats x.509 en raison de l'expiration ou d'autres raisons.
Nous ne soutenons pas le changement du nom de domaine CN d'un certificat. Le domaine doit correspondre au domaine d'origine utilisé pour enregistrer le cluster.
-
Mise à jour des paramètres de base de données pour passer à une réplique de la base de données PostgreSQL ou Microsoft SQL Server.
Nous ne soutenons pas la migration de données de PostgreSQL vers Microsoft SQL Server, ou le contraire. Pour changer d’environnement de base de données, lancer un nouveau déploiement de la sécurité des données hybride.
-
Créer une nouvelle configuration pour préparer un nouveau centre de données.
De plus, à des fins de sécurité, Hybrid Data Security utilise des mots de passe de compte de service qui ont une durée de vie de neuf mois. Une fois que l'outil de configuration HDS a généré ces mots de passe, vous les déployez sur chacun de vos nœuds HDS dans le fichier de configuration ISO. Lorsque les mots de passe de votre organisation approchent de l'expiration, vous recevez un avis de l'équipe Webex pour réinitialiser le mot de passe de votre compte machine. (L'e-mail comprend le texte, "Utilisez l'API du compte machine pour mettre à jour le mot de passe.") Si vos mots de passe n'ont pas encore expiré, l'outil vous donne deux options :
-
Réinitialisation douce—Les anciens et les nouveaux mots de passe fonctionnent tous les deux pendant 10 jours maximum. Utilisez cette période pour remplacer progressivement le fichier ISO sur les nœuds.
-
Réinitialisation rapide—Les anciens mots de passe cessent immédiatement de fonctionner.
Si vos mots de passe expirent sans réinitialisation, cela affecte votre service HDS, nécessitant une réinitialisation rapide et le remplacement du fichier ISO sur tous les nœuds.
Utilisez cette procédure pour générer un nouveau fichier ISO de configuration et l'appliquer à votre cluster.
Avant de commencer
-
L'outil de configuration HDS fonctionne comme un conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les identifiants d'un compte Partner Hub avec les droits d'administrateur complets du partenaire .
Si l'outil de configuration HDS fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, identifiants) via les variables d'environnement Docker lors de l'affichage du conteneur Docker dans 1.e. Ce tableau donne quelques variables d'environnement possibles :
Opis
Spremenljivka
Serveur mandataire HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS Proxy sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS Proxy avec authentification
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Vous avez besoin d'une copie du fichier ISO de configuration en cours pour générer une nouvelle configuration. L'ISO contient la clé maître chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de l'ISO lorsque vous effectuez des changements de configuration, y compris des identifiants de base de données, des mises à jour de certificats ou des changements à la politique d'autorisation.
| 1 |
A l'aide de Docker sur une machine locale, exécutez l'outil de configuration HDS. |
| 2 |
Si un seul noeud HDS est en cours d’exécution, créez une nouvelle VM de noeud hybride de sécurité des données et enregistrez-la à l’aide du nouveau fichier ISO de configuration. Pour des instructions plus détaillées, voir Créer et enregistrer plus de nœuds. |
| 3 |
Pour les nœuds HDS existants qui exécutent l'ancien fichier de configuration, montez le fichier ISO. Effectuer la procédure suivante sur chaque noeud à tour de rôle, en mettant à jour chaque noeud avant de désactiver le noeud suivant : |
| 4 |
Répétez l'étape 3 pour remplacer la configuration sur chaque noeud restant qui exécute l'ancienne configuration. |
Désactiver le mode de résolution DNS externe bloqué
Lorsque vous enregistrez un noeud ou vérifiez la configuration du serveur mandataire du noeud, le processus teste la recherche DNS et la connectivité au cloud Cisco Webex. Si le serveur DNS du noeud ne peut pas résoudre les noms DNS publics, le noeud passe automatiquement en mode Résolution DNS externe bloquée.
Si vos nœuds sont capables de résoudre les noms DNS publics via des serveurs DNS internes, vous pouvez désactiver ce mode en repassant le test de connexion proxy sur chaque nœud.
Avant de commencer
| 1 |
Dans un navigateur Web, ouvrez l’interface du noeud de sécurité des données hybride (adresse IP/configuration, par exemple, https://192.0.2.0/setup), entrez les identifiants d’administration que vous avez configurés pour le noeud, puis cliquez sur Se connecter. |
| 2 |
Allez dans Aperçu (la page par défaut). Lorsque cette option est activée, Blocked External DNS Resolution est réglée sur Yes. |
| 3 |
Accédez à la page Trust Store & Proxy . |
| 4 |
Cliquez sur Vérifier la connexion du mandataire. Si vous voyez un message disant que la résolution DNS externe n'a pas réussi, le noeud n'a pas pu atteindre le serveur DNS et restera dans ce mode. Sinon, après avoir redémarré le noeud et revenir à la page Aperçu , la résolution DNS externe bloquée doit être réglée sur non. |
Que faire ensuite
Supprimer un noeud
| 1 |
Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi et mettre la machine virtuelle hors tension. |
| 2 |
Supprimer le nœud : |
| 3 |
Dans le client vSphere, supprimer la VM. (Dans le volet de navigation de gauche, faire un clic droit sur la VM et cliquer sur Supprimer.) Si vous ne supprimez pas la VM, pensez à démonter le fichier ISO de configuration. Sans le fichier ISO, vous ne pouvez pas utiliser la VM pour accéder à vos données de sécurité. |
Reprise après sinistre à l'aide du centre de données de secours
Le service le plus critique que votre cluster Hybrid Data Security fournit est la création et le stockage de clés utilisées pour chiffrer les messages et autres contenus stockés dans le cloud Webex. Pour chaque utilisateur de l'organisation affecté à la sécurité des données hybrides, de nouvelles demandes de création de clés sont acheminées vers le cluster. Le cluster est également chargé de renvoyer les clés qu'il a créées à tous les utilisateurs autorisés à les récupérer, par exemple les membres d'un espace de conversation.
Comme le cluster remplit la fonction critique de fournir ces clés, il est impératif que le cluster reste en fonctionnement et que des sauvegardes appropriées soient maintenues. La perte de la base de données Hybrid Data Security ou de la configuration ISO utilisée pour le schéma entraînera une PERTE IRRÉCUPÉRABLE du contenu client. Les pratiques suivantes sont obligatoires pour prévenir une telle perte :
Si une catastrophe entraîne l'indisponibilité du déploiement du HDS dans le centre de données primaire, suivre cette procédure pour basculer manuellement vers le centre de données de secours.
Avant de commencer
| 1 |
Démarrer l’outil de configuration HDS et suivre les étapes mentionnées dans Créer une configuration ISO pour les hôtes HDS. |
| 2 |
Complétez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver. |
| 3 |
Faites une copie de sauvegarde du fichier ISO sur votre système local. Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement maître pour le contenu de la base de données. Restreindre l'accès aux seuls administrateurs Hybrid Data Security qui doivent effectuer des modifications de configuration. |
| 4 |
Dans le volet de navigation gauche du client VMware vSphere, faire un clic droit sur la VM et cliquer sur Modifier les paramètres. |
| 5 |
Cliquez sur Edit Settings >CD/DVD Drive 1 et sélectionnez Datastore ISO File. S'assurer que Connected et Connect at power on sont cochés afin que les modifications de configuration mises à jour puissent prendre effet après le démarrage des nœuds. |
| 6 |
Mettre le noeud HDS sous tension et s'assurer qu'il n'y a pas d'alarmes pendant au moins 15 minutes. |
| 7 |
Enregistrez le nœud dans le hub partenaire. Voir Enregistrer le premier noeud du cluster. |
| 8 |
Répétez le processus pour chaque nœud du centre de données de veille. |
Que faire ensuite
(Optionnel) Démonter ISO après la configuration HDS
La configuration HDS standard fonctionne avec l'ISO monté. Mais, certains clients préfèrent ne pas laisser les fichiers ISO montés en continu. Vous pouvez démonter le fichier ISO après que tous les nœuds HDS aient récupéré la nouvelle configuration.
Vous utilisez toujours les fichiers ISO pour effectuer des changements de configuration. Lorsque vous créez un nouvel ISO ou mettez à jour un ISO via l'outil de configuration, vous devez monter l'ISO mis à jour sur tous vos nœuds HDS. Une fois que tous vos nœuds ont saisi les changements de configuration, vous pouvez à nouveau démonter l'ISO avec cette procédure.
Avant de commencer
Mettez à niveau tous vos nœuds HDS vers la version 2021.01.22.4720 ou ultérieure.
| 1 |
Éteignez un de vos nœuds HDS. |
| 2 |
Dans le vCenter Server Appliance, sélectionnez le noeud HDS. |
| 3 |
Choisissez et décochez Datastore ISO File. |
| 4 |
Mettre le noeud HDS sous tension et s'assurer qu'il n'y a pas d'alarmes pendant au moins 20 minutes. |
| 5 |
Répéter pour chaque noeud HDS à tour de rôle. |
Dépannage de la sécurité des données hybride
Afficher les alertes et dépannage
Un déploiement Hybrid Data Security est considéré comme indisponible si tous les nœuds du cluster sont injoignables, ou si le cluster fonctionne si lentement que cela demande une temporisation. Si les utilisateurs ne peuvent pas rejoindre votre cluster Hybrid Data Security, ils ressentent les symptômes suivants :
-
Impossible de créer de nouveaux espaces (impossible de créer de nouvelles clés)
-
Les messages et les titres d'espace ne sont pas déchiffrés pour :
-
Nouveaux utilisateurs ajoutés à un espace (impossible de récupérer les clés)
-
Utilisateurs existants dans un espace utilisant un nouveau client (impossible de récupérer les clés)
-
-
Les utilisateurs existants dans un espace continueront à fonctionner avec succès tant que leurs clients ont un cache des clés de chiffrement
Il est important que vous surveillez correctement votre cluster Hybrid Data Security et que vous répondiez rapidement à toutes les alertes afin d'éviter toute perturbation du service.
Opozorila
En cas de problème avec la configuration Hybrid Data Security, Partner Hub affiche des alertes à l'administrateur de l'organisation et envoie des e-mails à l'adresse e-mail configurée. Les alertes couvrent de nombreux scénarios courants.
|
Opozori |
Dejanje |
|---|---|
|
Échec d'accès à la base de données locale. |
Vérifier l'absence d'erreurs de base de données ou de problèmes de réseau local. |
|
Défaut de connexion à la base de données locale. |
Vérifier que le serveur de base de données est disponible et que les bons identifiants de compte de service ont été utilisés dans la configuration des nœuds. |
|
Échec de l'accès au service cloud. |
Vérifier que les nœuds peuvent accéder aux serveurs Webex comme spécifié dans Exigences de connectivité externe. |
|
Renouvellement de l’enregistrement des services cloud. |
L'inscription aux services cloud a été abandonnée. Le renouvellement de l'enregistrement est en cours. |
|
L'enregistrement des services dans le cloud a chuté. |
L'inscription aux services cloud est terminée. Le service s'arrête. |
|
Service non encore activé. |
Activer HDS dans Partner Hub. |
|
Le domaine configuré ne correspond pas au certificat du serveur. |
Assurez-vous que votre certificat de serveur correspond au domaine d'activation de service configuré. La cause la plus probable est que le certificat CN a été récemment modifié et qu'il est maintenant différent du certificat CN utilisé lors de la configuration initiale. |
|
Impossible de s'authentifier aux services cloud. |
Vérifier l'exactitude et l'expiration éventuelle des identifiants de compte de service. |
|
Impossible d'ouvrir le fichier keystore local. |
Vérifier l'intégrité et l'exactitude du mot de passe sur le fichier de keystore local. |
|
Le certificat du serveur local est invalide. |
Vérifiez la date d'expiration du certificat du serveur et confirmez qu'il a été émis par une autorité de certification de confiance. |
|
Impossible d'afficher les paramètres. |
Vérifier l'accès au réseau local aux services cloud externes. |
|
Le répertoire /media/configdrive/hds n'existe pas. |
Vérifiez la configuration du montage ISO sur un hôte virtuel. Vérifiez que le fichier ISO existe, qu'il est configuré pour être monté lors du redémarrage et qu'il est monté avec succès. |
|
La configuration de l'organisation du locataire n'est pas terminée pour les orgs ajoutés |
Complétez la configuration en créant des CMK pour les organisations de locataires nouvellement ajoutées à l'aide de l'outil de configuration HDS. |
|
La configuration de l'organisation du locataire n'est pas terminée pour les orgs supprimés |
Terminer la configuration en révoquant les CMK des organisations locataires qui ont été supprimées à l'aide de l'outil de configuration HDS. |
Dépannage de la sécurité des données hybride
| 1 |
Examinez Partner Hub pour toutes les alertes et corrigez tous les éléments que vous y trouvez. Voir l'image ci-dessous pour référence. |
| 2 |
Examinez la sortie du serveur syslog pour l'activité liée au déploiement de la sécurité des données hybride. Filtrer les mots comme « Avertissement » et « Erreur » pour faciliter le dépannage. |
| 3 |
Contact Support Cisco. |
Autres notes
Problèmes connus pour la sécurité des données hybrides
-
Si vous fermez votre cluster Hybrid Data Security (en le supprimant dans Partner Hub ou en fermant tous les nœuds), perdez votre fichier ISO de configuration ou perdez l'accès à la base de données de keystore, les utilisateurs de l'application Webex des organisations clientes ne peuvent plus utiliser les espaces sous leur liste de personnes créés avec des clés de votre KMS. Nous n'avons pas actuellement de solution de contournement ou de correction pour ce problème et vous exhortons à ne pas arrêter vos services HDS une fois qu'ils traitent des comptes utilisateurs actifs.
-
Un client qui a une connexion ECDH existante à un KMS maintient cette connexion pendant une période de temps (probablement une heure).
Utiliser OpenSSL pour générer un fichier PKCS12
Avant de commencer
-
OpenSSL est un outil qui peut être utilisé pour faire le fichier PKCS12 dans le format approprié pour le chargement dans l'outil de configuration HDS. Il y a d'autres façons de le faire, et nous ne soutenons ni ne promouvons une voie par rapport à une autre.
-
Si vous choisissez d'utiliser OpenSSL, nous fournissons cette procédure comme guide pour vous aider à créer un fichier qui répond aux exigences de certificat X.509 dans X.509 Exigences de certificat. Comprenez ces exigences avant de continuer.
-
Installer OpenSSL dans un environnement pris en charge. Voir https://www.openssl.org pour le logiciel et la documentation.
-
Créer une clé privée.
-
Commencez cette procédure lorsque vous recevez le certificat de serveur de votre autorité de certification (CA).
| 1 |
Lorsque vous recevez le certificat de serveur de votre CA, enregistrez-le comme |
| 2 |
Afficher le certificat sous forme de texte et vérifier les détails.
|
| 3 |
Utilisez un éditeur de texte pour créer un fichier bundle de certificats appelé
|
| 4 |
Créer le fichier .p12 avec le nom convivial
|
| 5 |
Vérifiez les détails du certificat du serveur. |
Que faire ensuite
Retourner à Remplir les prérequis pour la sécurité des données hybrides. Vous utiliserez le fichier hdsnode.p12 et le mot de passe que vous lui avez défini dans Créer une configuration ISO pour les hôtes HDS.
Vous pouvez réutiliser ces fichiers pour demander un nouveau certificat lorsque le certificat original expire.
Trafic entre les nœuds HDS et le Cloud
Trafic de collecte de métriques sortantes
Les nœuds Hybrid Data Security envoient certaines métriques au cloud Webex. Il s'agit notamment de métriques système pour le tas max, le tas utilisé, la charge CPU et le nombre de fils ; de métriques sur les fils synchrones et asynchrones ; de métriques sur les alertes impliquant un seuil de connexions de chiffrement, de latence ou une longueur de file d'attente de requêtes ; de métriques sur le magasin de données ; et de métriques de connexions de chiffrement. Les noeuds envoient du matériel de clé chiffré sur un canal hors bande (séparé de la requête).
Trafic entrant
Les nœuds de sécurité des données hybrides reçoivent les types de trafic entrant suivants du cloud Webex :
-
Les demandes de chiffrement des clients, qui sont acheminées par le service de chiffrement
-
Mises à niveau du logiciel du noeud
Configurer les proxies Squid pour la sécurité des données hybrides
Websocket ne peut pas se connecter via Squid Proxy
Les proxys Squid qui inspectent le trafic HTTPS peuvent interférer avec l'établissement de connexions Websocket (wss:) requises par Hybrid Data Security. Ces sections donnent des indications sur la façon de configurer les différentes versions de Squid pour ignorer wss : trafic pour le bon fonctionnement des services.
Squid 4 et 5
Ajouter la on_unsupported_protocol directive à squid.conf :
on_unsupported_protocol tunnel toutCalamar 3.5.27
Nous avons testé avec succès Hybrid Data Security avec les règles suivantes ajoutées à squid.conf. Ces règles sont susceptibles de changer au fur et à mesure que nous développons des fonctionnalités et mettons à jour le cloud Webex.
acl wssMercuryConnection ssl ::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 allInformations nouvelles et modifiées
Informations nouvelles et modifiées
Ce tableau présente les nouvelles fonctionnalités ou fonctionnalités, les modifications apportées au contenu existant et les erreurs majeures qui ont été corrigées dans le Guide de déploiement pour la sécurité des données hybrides multi-locataires.
|
Datum |
Modifications apportées |
|---|---|
|
08 janvier 2025 |
Ajout d'une note dans Effectuer la configuration initiale et télécharger les fichiers d'installation indiquant que cliquer sur Configurer sur la carte HDS dans Partner Hub est une étape importante du processus d'installation. |
|
07 janvier 2025 |
Mises à jour Virtual Host Requirements, Hybrid Data Security Deployment Task Flow et Install the HDS Host OVA pour afficher la nouvelle exigence d'ESXi 7.0. |
|
13 décembre 2024 |
Première publication. |
Désactiver la sécurité des données hybride multi-tenant
Flux des tâches de désactivation HDS multi-tenant
Suivez ces étapes pour désactiver complètement Multi-Tenant HDS.
Avant de commencer
| 1 |
Retirer tous les clients de tous vos clusters, comme indiqué dans Supprimer les organisations locataires. |
| 2 |
Révoquer les CMK de tous les clients, comme mentionné dans Révoquer les CMK des locataires retirés de HDS.. |
| 3 |
Supprimez tous les nœuds de tous vos clusters, comme indiqué dans Supprimer un nœud. |
| 4 |
Supprimez tous vos clusters de Partner Hub en utilisant l'une des deux méthodes suivantes.
|
| 5 |
Cliquer sur l'onglet Paramètres de la page d'aperçu de la sécurité des données hybrides et cliquer sur Désactiver HDS sur la carte HDS Status. |
Commencez avec Multi-Tenant Hybrid Data Security
Aperçu de la sécurité des données hybrides multi-tenant
Depuis le premier jour, la sécurité des données a été l'objectif principal de la conception de l'application Webex. La pierre angulaire de cette sécurité est le chiffrement de contenu de bout en bout, activé par les clients de l'application Webex qui interagissent avec le Key Management Service (KMS). Le KMS est responsable de la création et de la gestion des clés cryptographiques que les clients utilisent pour chiffrer et déchiffrer dynamiquement les messages et les fichiers.
Par défaut, tous les clients de l'application Webex obtiennent un cryptage de bout en bout avec des clés dynamiques stockées dans le KMS cloud, dans le domaine de la sécurité de Cisco. Hybrid Data Security déplace le KMS et d'autres fonctions liées à la sécurité vers votre centre de données d'entreprise, de sorte que personne d'autre que vous ne détient les clés de votre contenu crypté.
Multi-Tenant Hybrid Data Security permet aux organisations de tirer parti de HDS par l'intermédiaire d'un partenaire local de confiance, qui peut agir en tant que fournisseur de services et gérer le chiffrement sur site et d'autres services de sécurité. Cette configuration permet à l'organisation partenaire d'avoir un contrôle complet sur le déploiement et la gestion des clés de chiffrement et garantit que les données utilisateur des organisations clientes sont à l'abri d'un accès externe. Les organisations partenaires mettent en place des instances HDS et créent des clusters HDS au besoin. Chaque instance peut prendre en charge plusieurs organisations clientes contrairement à un déploiement HDS régulier qui est limité à une seule organisation.
Cela permet également aux petites organisations de tirer parti de HDS, car le service de gestion des clés et l'infrastructure de sécurité comme les centres de données sont la propriété du partenaire local de confiance.
Comment Multi-Tenant Hybrid Data Security assure la souveraineté et le contrôle des données
- Le contenu généré par l'utilisateur est protégé contre l'accès externe, comme les fournisseurs de services cloud.
- Les partenaires locaux de confiance gèrent les clés de chiffrement des clients avec lesquels ils ont déjà une relation établie.
- Possibilité de soutien technique local, si fourni par le partenaire.
- Prend en charge le contenu des réunions, des messages et des appels.
Ce document vise à aider les organisations partenaires à mettre en place et à gérer des clients dans le cadre d’un système de sécurité des données hybride multi-tenant.
Rôles dans la sécurité des données hybride multi-tenant
- Administrateur complet partenaire - Peut gérer les paramètres pour tous les clients que le partenaire gère. Lahko tudi dodelijo vloge skrbnika obstoječim uporabnikom v organizaciji in dodelijo točno določene stranke v upravljanje partnerskim administratorjem.
- Administrateur partenaire - Peut gérer les paramètres des clients que l'administrateur a provisionnés ou qui ont été affectés à l'utilisateur.
- Administrateur complet - Administrateur de l'organisation partenaire qui est autorisé à effectuer des tâches telles que modifier les paramètres de l'organisation, gérer les licences et attribuer des rôles.
- Configuration HDS multi-locataires de bout en bout et gestion de toutes les organisations clientes - Droits d'administrateur complet du partenaire et d'administrateur complet requis.
- Gestion des organisations locataires affectées - Droits d’administrateur partenaire et d’administrateur complet requis.
Architecture du domaine de la sécurité
L'architecture cloud de Webex sépare différents types de services en domaines distincts, ou domaines de confiance, comme illustré ci-dessous.
Pour mieux comprendre la sécurité des données hybrides, examinons d'abord ce cas de cloud pur, où Cisco fournit toutes les fonctions dans ses royaumes cloud. Le service d'identité, le seul endroit où les utilisateurs peuvent être directement corrélés à leurs informations personnelles telles que l'adresse e-mail, est logiquement et physiquement séparé du domaine de la sécurité dans le centre de données B. Les deux sont à leur tour séparés du domaine où le contenu crypté est finalement stocké, dans le centre de données C.
Dans ce schéma, le client est l'application Webex fonctionnant sur l'ordinateur portable d'un utilisateur, et s'est authentifié avec le service d'identité. Lorsque l’utilisateur compose un message à envoyer dans un espace, les étapes suivantes ont lieu :
-
Le client établit une connexion sécurisée avec le service de gestion de clés (KMS), puis demande une clé pour chiffrer le message. La connexion sécurisée utilise ECDH, et le KMS chiffre la clé à l'aide d'une clé maître AES-256.
-
Le message est crypté avant de quitter le client. Le client l'envoie au service d'indexation, qui crée des index de recherche chiffrés pour faciliter les recherches futures du contenu.
-
Le message chiffré est envoyé au service conformité pour vérification de la conformité.
-
Le message chiffré est stocké dans le domaine de stockage.
Lorsque vous déployez la sécurité des données hybride, vous déplacez les fonctions du domaine de la sécurité (KMS, indexation et conformité) vers votre centre de données sur site. Les autres services cloud qui composent Webex (y compris l'identité et le stockage de contenu) restent dans les royaumes de Cisco.
Collaboration avec d'autres organisations
Les utilisateurs de votre organisation peuvent utiliser régulièrement Webex App pour collaborer avec des participants externes d'autres organisations. Lorsque l'un de vos utilisateurs demande une clé pour un espace appartenant à votre organisation (parce qu'il a été créé par l'un de vos utilisateurs), votre KMS envoie la clé au client via un canal sécurisé ECDH. Cependant, lorsqu'une autre organisation possède la clé pour l'espace, votre KMS achemine la requête vers le cloud Webex via un canal ECDH séparé pour obtenir la clé du KMS approprié, puis retourne la clé à votre utilisateur sur le canal d'origine.
Le service KMS exécuté sur Org A valide les connexions aux KMS dans d'autres organisations à l'aide de certificats PKI x.509. Voir Préparer votre environnement pour plus de détails sur la génération d'un certificat x.509 à utiliser avec votre déploiement de sécurité des données hybride multi-tenant.
Attentes pour le déploiement de la sécurité des données hybride
Un déploiement Hybrid Data Security nécessite un engagement significatif et une prise de conscience des risques liés à la possession de clés de chiffrement.
Pour déployer la sécurité des données hybride, vous devez fournir :
-
Un centre de données sécurisé dans un pays qui est un emplacement pris en charge pour les plans Cisco Webex Teams.
-
Les équipements, logiciels et accès au réseau décrits dans Préparez votre environnement.
La perte complète de la configuration ISO que vous créez pour Hybrid Data Security ou de la base de données que vous fournissez entraînera la perte des clés. La perte de clé empêche les utilisateurs de déchiffrer le contenu spatial et d'autres données chiffrées dans l'application Webex. Si cela se produit, vous pouvez créer un nouveau déploiement, mais seul le nouveau contenu sera visible. Pour éviter la perte d’accès aux données, vous devez :
-
Gérer la sauvegarde et la récupération de la base de données et de la configuration ISO.
-
Soyez prêt à effectuer une reprise rapide après sinistre en cas de catastrophe, comme une défaillance du disque de base de données ou une catastrophe du centre de données.
Il n'y a pas de mécanisme pour déplacer les clés vers le Cloud après un déploiement HDS.
Processus de configuration de haut niveau
Ce document couvre la configuration et la gestion d’un déploiement Multi-Tenant Hybrid Data Security :
-
Configuration de la sécurité des données hybrides—Cela comprend la préparation de l'infrastructure requise et l'installation du logiciel de sécurité des données hybrides, la construction d'un cluster HDS, l'ajout d'organisations locataires au cluster et la gestion de leurs clés principales clients (CMK). Cela permettra à tous les utilisateurs de vos organisations clientes d'utiliser votre cluster Hybrid Data Security pour les fonctions de sécurité.
Les phases de configuration, d'activation et de gestion sont abordées en détail dans les trois chapitres suivants.
-
Maintenez votre déploiement Hybrid Data Security—Le cloud Webex fournit automatiquement des mises à niveau continues. Votre service informatique peut fournir un support de niveau un pour ce déploiement et engager le support Cisco si nécessaire. Vous pouvez utiliser des notifications à l'écran et configurer des alertes par e-mail dans Partner Hub.
-
Comprendre les alertes courantes, les étapes de dépannage et les problèmes connus—Si vous rencontrez des problèmes lors du déploiement ou de l'utilisation de Hybrid Data Security, le dernier chapitre de ce guide et l'annexe Problèmes connus peuvent vous aider à déterminer et à résoudre le problème.
Modèle hybride de déploiement de la sécurité des données
Au sein de votre centre de données d'entreprise, vous déployez Hybrid Data Security comme un seul groupe de nœuds sur des hôtes virtuels séparés. Les nœuds communiquent avec le cloud Webex via des sockets Web sécurisées et HTTP sécurisées.
Pendant le processus d'installation, nous vous fournissons le fichier OVA pour configurer l'appareil virtuel sur les VM que vous fournissez. Vous utilisez l'outil de configuration HDS pour créer un fichier ISO de configuration de cluster personnalisé que vous montez sur chaque nœud. Le cluster Hybrid Data Security utilise votre serveur Syslogd fourni et la base de données PostgreSQL ou Microsoft SQL Server. (Vous configurez le Syslogd et les détails de connexion de la base de données dans l'outil de configuration HDS.)
Le nombre minimum de nœuds que vous pouvez avoir dans un cluster est de deux. Nous recommandons au moins trois par cluster. Le fait d'avoir plusieurs noeuds garantit que le service n'est pas interrompu lors d'une mise à niveau logicielle ou d'une autre activité de maintenance sur un noeud. (Le cloud Webex ne met à jour qu'un nœud à la fois.)
Tous les noeuds d'un cluster accèdent au même magasin de données clés et à l'activité de journal sur le même serveur syslog. Les nœuds eux-mêmes sont apatrides, et traitent les requêtes clés de façon ronde, comme le veut le cloud.
Les nœuds deviennent actifs lorsque vous les enregistrez dans Partner Hub. Pour mettre hors service un nœud individuel, vous pouvez le désenregistrer, et plus tard le reregister si nécessaire.
Centre de données de secours pour la reprise après sinistre
Pendant le déploiement, vous mettez en place un centre de données de secours sécurisé. En cas de catastrophe du centre de données, vous pouvez manuellement échouer votre déploiement vers le centre de données de secours.
Les bases de données des centres de données actifs et de veille sont synchronisées entre elles ce qui minimisera le temps nécessaire pour effectuer le basculement.
Les nœuds de sécurité des données hybrides actifs doivent toujours être dans le même centre de données que le serveur de base de données actif.
Prise en charge des mandataires
La sécurité des données hybride prend en charge les proxys explicites, transparents et non-inspecteurs. Vous pouvez lier ces proxys à votre déploiement afin que vous puissiez sécuriser et surveiller le trafic de l'entreprise vers le cloud. Vous pouvez utiliser une interface d'administration de plateforme sur les nœuds pour la gestion des certificats et pour vérifier l'état global de la connectivité après avoir configuré le proxy sur les nœuds.
Les nœuds de sécurité des données hybrides prennent en charge les options proxy suivantes :
-
Pas de proxy—La valeur par défaut si vous n'utilisez pas la configuration du nœud HDS Trust Store & Proxy pour intégrer un proxy. Aucune mise à jour du certificat n’est nécessaire.
-
Proxy transparent non inspectant — Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy non inspectant. Aucune mise à jour du certificat n’est nécessaire.
-
Proxy transparent à effet tunnel ou inspection—Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucun changement de configuration HTTP ou HTTPS n'est nécessaire sur les nœuds. Cependant, les nœuds ont besoin d'un certificat racine pour qu'ils fassent confiance au proxy. L'inspection des proxys est généralement utilisée par les TI pour appliquer les politiques sur les sites Web qui peuvent être visités et les types de contenu qui ne sont pas autorisés. Ce type de proxy décrypte tout votre trafic (même HTTPS).
-
Proxy explicite—Avec le proxy explicite, vous indiquez aux nœuds HDS quel serveur proxy et quel schéma d'authentification utiliser. Pour configurer un proxy explicite, il faut saisir les informations suivantes sur chaque nœud :
-
IP/FQDN proxy—Adresse qui peut être utilisée pour atteindre la machine proxy.
-
Port proxy—Numéro de port que le proxy utilise pour écouter le trafic protégé.
-
Protocole proxy—En fonction de ce que votre serveur proxy prend en charge, choisissez entre les protocoles suivants :
-
HTTP — Visualise et contrôle toutes les requêtes que le client envoie.
-
HTTPS — Fournit un canal au serveur. Le client reçoit et valide le certificat du serveur.
-
-
Type d’authentification—Choisissez parmi les types d’authentification suivants :
-
Aucune - Aucune autre authentification n'est requise.
Disponible si vous sélectionnez HTTP ou HTTPS comme protocole proxy.
-
Basique – Utilisé pour qu’un agent utilisateur HTTP fournisse un nom d’utilisateur et un mot de passe lors d’une demande. Utilise l'encodage Base64.
Disponible si vous sélectionnez HTTP ou HTTPS comme protocole proxy.
Nécessite de saisir le nom d'utilisateur et le mot de passe sur chaque nœud.
-
Digest—Permet de confirmer le compte avant d’envoyer des informations sensibles. Applique une fonction de hachage sur le nom d'utilisateur et le mot de passe avant l'envoi sur le réseau.
Disponible uniquement si vous sélectionnez HTTPS comme protocole proxy.
Nécessite de saisir le nom d'utilisateur et le mot de passe sur chaque nœud.
-
-
Exemple de nœuds hybrides de sécurité des données et de proxy
Ce schéma montre un exemple de connexion entre la sécurité des données hybride, le réseau et un proxy. Pour les options de proxy d'inspection transparente et d'inspection explicite HTTPS, le même certificat racine doit être installé sur le proxy et sur les nœuds de sécurité des données hybrides.
Mode de résolution DNS externe bloqué (configurations proxy explicites)
Lorsque vous enregistrez un noeud ou vérifiez la configuration du serveur mandataire du noeud, le processus teste la recherche DNS et la connectivité au cloud Cisco Webex. Dans les déploiements avec des configurations proxy explicites qui ne permettent pas la résolution DNS externe pour les clients internes, si le noeud ne peut pas interroger les serveurs DNS, il passe automatiquement en mode Résolution DNS externe bloquée. Dans ce mode, l'enregistrement des noeuds et d'autres tests de connectivité proxy peuvent être effectués.
Pripravite svoje okolje
Exigences relatives à la sécurité des données hybrides multi-locataires
Exigences de licence Cisco Webex
Pour déployer la sécurité des données hybride multi-tenant :
-
Organisations partenaires : Contactez votre partenaire ou votre gestionnaire de compte Cisco et assurez-vous que la fonctionnalité Multi-Tenant est activée.
-
Organisations de locataires : Vous devez avoir Pro Pack pour Cisco Webex Control Hub. (Voir https://www.cisco.com/go/pro-pack.)
Exigences du bureau Docker
Avant d'installer vos nœuds HDS, vous avez besoin de Docker Desktop pour exécuter un programme de configuration. Docker a récemment mis à jour son modèle de licence. Votre organisation peut avoir besoin d'un abonnement payant pour Docker Desktop. Pour plus de détails, voir le billet de blog de Docker, « Docker met à jour et étend nos abonnements de produits ».
X.509 Exigences en matière de certificats
La chaîne de certificats doit répondre aux exigences suivantes :
|
Zahteva |
Podrobnosti |
|---|---|
|
Par défaut, nous faisons confiance aux CA dans la liste Mozilla (à l’exception de WoSign et StartCom) à https://wiki.mozilla.org/CA:IncludedCAs. |
|
Le CN n'a pas besoin d'être joignable ou d'être un hôte en direct. Nous vous recommandons d’utiliser un nom qui reflète votre organisation, par exemple La NC ne doit pas contenir de * (joker). Le CN est utilisé pour vérifier les nœuds hybrides de sécurité des données aux clients de l'application Webex. Tous les nœuds Hybrid Data Security de votre cluster utilisent le même certificat. Votre KMS s'identifie à l'aide du domaine CN, et non à tout domaine défini dans les champs SAN x.509v3. Une fois que vous avez enregistré un nœud avec ce certificat, nous ne soutenons pas le changement du nom de domaine CN. |
|
Le logiciel KMS ne prend pas en charge les signatures SHA1 pour valider les connexions aux KMS d'autres organisations. |
|
Vous pouvez utiliser un convertisseur comme OpenSSL pour modifier le format de votre certificat. Vous devrez saisir le mot de passe lorsque vous exécuterez l'outil de configuration HDS. |
Le logiciel KMS n'applique pas de contraintes d'utilisation des clés ou d'utilisation des clés étendues. Certaines autorités de certification exigent que des contraintes étendues d'utilisation des clés soient appliquées à chaque certificat, comme l'authentification du serveur. Il est acceptable d'utiliser l'authentification du serveur ou d'autres paramètres.
Exigences de l'hôte virtuel
Les hôtes virtuels que vous allez configurer en tant que nœuds hybrides de sécurité des données dans votre cluster répondent aux exigences suivantes :
-
Au moins deux hôtes séparés (3 recommandés) colocalisés dans le même centre de données sécurisé
-
VMware ESXi 7.0 (ou version ultérieure) installé et en cours d'exécution.
Vous devez mettre à niveau si vous avez une version antérieure d'ESXi.
-
4 vCPUs minimum, 8 Go de mémoire principale, 30 Go d'espace disque dur local par serveur
Exigences du serveur de base de données
Créer une nouvelle base de données pour le stockage des clés. Ne pas utiliser la base de données par défaut. Les applications HDS, une fois installées, créent le schéma de la base de données.
Il y a deux options pour le serveur de base de données. Les exigences pour chacun d'eux sont les suivantes :
|
PostgreSQL |
Microsoft SQL Server |
|---|---|
|
|
|
Minimum 8 vCPU, mémoire principale de 16 Go, espace disque dur suffisant et surveillance pour s'assurer qu'il n'est pas dépassé (2 To recommandé si vous voulez exécuter la base de données pendant une longue période sans avoir besoin d'augmenter le stockage) |
Minimum 8 vCPU, mémoire principale de 16 Go, espace disque dur suffisant et surveillance pour s'assurer qu'il n'est pas dépassé (2 To recommandé si vous voulez exécuter la base de données pendant une longue période sans avoir besoin d'augmenter le stockage) |
Le logiciel HDS installe actuellement les versions de pilotes suivantes pour la communication avec le serveur de base de données :
|
PostgreSQL |
Microsoft SQL Server |
|---|---|
|
Le pilote Postgres JDBC 42.2.5 |
Pilote SQL Server JDBC 4.6 Cette version du pilote prend en charge SQL Server Always On (Always On Failover Cluster Instances et Always On groupes de disponibilité). |
Exigences supplémentaires pour l'authentification Windows contre Microsoft SQL Server
Si vous voulez que les nœuds HDS utilisent l'authentification Windows pour accéder à votre base de données keystore sur Microsoft SQL Server, vous avez besoin de la configuration suivante dans votre environnement :
-
Les nœuds HDS, l'infrastructure Active Directory et MS SQL Server doivent tous être synchronisés avec NTP.
-
Le compte Windows que vous fournissez aux nœuds HDS doit avoir un accès en lecture/écriture à la base de données.
-
Les serveurs DNS que vous fournissez aux nœuds HDS doivent être en mesure de résoudre votre centre de distribution de clés (KDC).
-
Vous pouvez enregistrer l'instance de base de données HDS sur votre Microsoft SQL Server en tant que Service Principal Name (SPN) sur votre Active Directory. Voir Enregistrer un nom principal de service pour Kerberos Connections.
L'outil de configuration HDS, le lanceur HDS et le KMS local doivent tous utiliser l'authentification Windows pour accéder à la base de données du magasin de clés. Ils utilisent les détails de votre configuration ISO pour construire le SPN lors de la demande d'accès avec authentification Kerberos.
Exigences de connectivité externe
Configurez votre pare-feu pour permettre la connectivité suivante pour les applications HDS :
|
Aplikacija |
Protokol |
Vrata |
Direction depuis l'application |
Cilj |
|---|---|---|---|---|
|
Nœuds hybrides de sécurité des données |
TCP |
443 |
HTTPS et WSS sortants |
|
|
Outil de configuration du HDS |
TCP |
443 |
HTTPS sortante |
|
Les nœuds de sécurité des données hybrides fonctionnent avec la traduction d'accès au réseau (NAT) ou derrière un pare-feu, à condition que le NAT ou le pare-feu permettent les connexions sortantes requises vers les destinations de domaine du tableau précédent. Pour les connexions entrant dans les nœuds de sécurité des données hybrides, aucun port ne doit être visible depuis Internet. Au sein de votre data center, les clients ont besoin d'accéder aux nœuds de sécurité des données hybrides sur les ports TCP 443 et 22, à des fins administratives.
Les URL des hôtes d'identité commune (CI) sont spécifiques à une région. Voici les hôtes CI actuels :
|
Regija |
URL de l'hôte d'identité commune |
|---|---|
|
Ameriki |
|
|
Union européenne |
|
|
Kanada |
|
| Singapur |
|
| Združeni Arabski Emirati |
|
Exigences relatives au serveur mandataire
-
Nous soutenons officiellement les solutions proxy suivantes qui peuvent s'intégrer à vos nœuds de sécurité des données hybrides.
-
Proxy transparent – Cisco Web Security Appliance (WSA).
-
Proxy explicite - Squid.
Les proxies squid qui inspectent le trafic HTTPS peuvent interférer avec l'établissement de connexions websocket (wss:). Pour résoudre ce problème, voir Configurer les proxys squid pour la sécurité des données hybrides.
-
-
Nous supportons les combinaisons de types d'authentification suivantes pour les proxys explicites :
-
Pas d'authentification avec HTTP ou HTTPS
-
Authentification de base avec HTTP ou HTTPS
-
Authentification Digest avec HTTPS uniquement
-
-
Pour un proxy d'inspection transparent ou un proxy explicite HTTPS, vous devez avoir une copie du certificat racine du proxy. Les instructions de déploiement de ce guide vous indiquent comment télécharger la copie dans les magasins de confiance des nœuds de sécurité des données hybrides.
-
Le réseau hébergeant les noeuds HDS doit être configuré pour forcer le trafic TCP sortant sur le port 443 à passer par le proxy.
-
Les proxys qui inspectent le trafic Web peuvent interférer avec les connexions de socket Web. Si ce problème se produit, contourner (ne pas inspecter) le trafic vers
wbx2.cometciscospark.comrésoudra le problème.
Remplir les conditions préalables à la sécurité des données hybrides
| 1 |
Assurez-vous que votre organisation partenaire dispose de la fonctionnalité HDS multi-locataire activée et obtenez les identifiants d'un compte avec l'administrateur complet partenaire et les droits d'administrateur complet. Assurez-vous que votre organisation client Webex est activée pour Pro Pack pour Cisco Webex Control Hub. Contactez votre partenaire Cisco ou votre gestionnaire de compte pour obtenir de l'aide dans ce processus. Les organisations clientes ne doivent pas avoir de déploiement HDS existant. |
| 2 |
Choisissez un nom de domaine pour votre déploiement HDS (par exemple, |
| 3 |
Préparez des hôtes virtuels identiques que vous allez configurer comme nœuds hybrides de sécurité des données dans votre cluster. Vous avez besoin d'au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé, qui répondent aux exigences de la Virtual Host Requirements. |
| 4 |
Préparer le serveur de base de données qui servira de magasin de données clés pour le cluster, conformément aux Exigences du serveur de base de données. Le serveur de base de données doit être colocé dans le centre de données sécurisé avec les hôtes virtuels. |
| 5 |
Pour une reprise rapide après sinistre, configurez un environnement de sauvegarde dans un centre de données différent. L'environnement de sauvegarde reflète l'environnement de production des VM et d'un serveur de base de données de sauvegarde. Par exemple, si la production a 3 VM exécutant des noeuds HDS, l'environnement de sauvegarde devrait avoir 3 VM. |
| 6 |
Configurer un hôte syslog pour collecter les journaux des nœuds du cluster. Recueillir son adresse réseau et son port syslog (par défaut UDP 514). |
| 7 |
Créez une politique de sauvegarde sécurisée pour les nœuds Hybrid Data Security, le serveur de base de données et l'hôte syslog. Au minimum, pour éviter les pertes de données irrécupérables, vous devez sauvegarder la base de données et le fichier ISO de configuration généré pour les nœuds Hybrid Data Security. Étant donné que les nœuds hybrides de sécurité des données stockent les clés utilisées pour le chiffrement et le déchiffrement du contenu, le non-maintien d’un déploiement opérationnel entraînera la PERTE IRRÉCUPÉRABLE de ce contenu. Les clients de l'application Webex cachent leurs clés, de sorte qu'une panne peut ne pas être immédiatement perceptible mais deviendra évidente au fil du temps. Bien que les pannes temporaires soient impossibles à prévenir, elles sont récupérables. Cependant, la perte complète (aucune sauvegarde disponible) de la base de données ou du fichier ISO de configuration entraînera des données client irrécupérables. Les opérateurs des nœuds de sécurité des données hybrides sont censés maintenir des sauvegardes fréquentes de la base de données et du fichier ISO de configuration, et être prêts à reconstruire le centre de données hybride de sécurité des données en cas de défaillance catastrophique. |
| 8 |
Assurez-vous que votre configuration de pare-feu permet la connectivité de vos nœuds hybrides de sécurité des données, comme indiqué dans Exigences de connectivité externe. |
| 9 |
Installer Docker ( https://www.docker.com) sur toute machine locale exécutant un système d'exploitation pris en charge (Microsoft Windows 10 Professional ou Enterprise 64-bit, ou Mac OSX Yosemite 10.10.3 ou supérieur) avec un navigateur Web qui peut y accéder à l'adresse http://127.0.0.1:8080. Vous utilisez l'instance Docker pour télécharger et exécuter l'outil de configuration HDS, qui construit les informations de configuration locale pour tous les nœuds de sécurité des données hybrides. Vous pourriez avoir besoin d'une licence Docker Desktop. Voir Exigences du bureau Docker pour plus d'informations. Pour installer et exécuter l'outil de configuration HDS, la machine locale doit avoir la connectivité décrite dans Exigences de connectivité externe. |
| 10 |
Si vous intégrez un proxy avec Hybrid Data Security, assurez-vous qu'il répond aux exigences du serveur proxy. |
Mettre en place un cluster hybride de sécurité des données
Potek opravila uvedbe hibridne varnosti podatkov
| 1 |
Izvedba začetne nastavitve in prenos namestitvenih datotek Prenesite datoteko OVA v lokalni računalnik za poznejšo uporabo. |
| 2 |
Ustvarjanje konfiguracijskega ISO za gostitelje HDS Z orodjem za namestitev HDS ustvarite konfiguracijsko datoteko ISO za vozlišča Hybrid Data Security. |
| 3 |
Ustvarite navidezni računalnik iz datoteke OVA in izvedite začetno konfiguracijo, kot so omrežne nastavitve. Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 7.0. Ta možnost morda ni na voljo v starejših različicah. |
| 4 |
Nastavitev hibridnega varnostnega računalniškega računalnika Vpišite se v konzolo VM in nastavite poverilnice za vpis. Konfigurirajte omrežne nastavitve za vozlišče, če jih niste konfigurirali v času uvedbe OVA. |
| 5 |
Naložite in namestite konfiguracijski ISO HDS Konfigurirajte VM iz konfiguracijske datoteke ISO, ki ste jo ustvarili z orodjem za namestitev HDS. |
| 6 |
Konfiguracija vozlišča HDS za integracijo strežnika proxy Če omrežno okolje zahteva konfiguracijo strežnika proxy, določite vrsto strežnika proxy, ki ga boste uporabili za vozlišče, in po potrebi dodajte potrdilo strežnika proxy v shrambo zaupanja. |
| 7 |
Registracija prvega vozlišča v gruči Registrirajte VM v oblaku Cisco Webex kot vozlišče za hibridno varnost podatkov. |
| 8 |
Ustvarjanje in registracija več vozlišč Dokončajte nastavitev gruče. |
| 9 |
Aktivirajte HDS z več najemniki v središču Partner. Aktivirajte HDS in upravljajte organizacije najemnikov v središču Partner. |
Izvedba začetne nastavitve in prenos namestitvenih datotek
V tem opravilu prenesete datoteko OVA v računalnik (ne v strežnike, ki ste jih nastavili kot vozlišča hibridne varnosti podatkov). To datoteko uporabite pozneje v postopku namestitve.
| 1 |
Vpišite se v središče za partnerje in kliknite Storitve . |
| 2 |
V razdelku Storitve v oblaku poiščite kartico Hibridna varnost podatkov in kliknite Nastavi . Klik na Nastavitev v Partnerskem središču je ključnega pomena za postopek uvajanja. Ne nadaljujte z namestitvijo, ne da bi dokončali ta korak. |
| 3 |
Kliknite Dodaj vir in nato Prenesi . OVA na kartici Namestitev in konfiguracija programske opreme . Starejše različice programskega paketa (OVA) ne bodo združljive z najnovejšimi nadgradnjami hibridne varnosti podatkov. To lahko povzroči težave pri nadgradnji aplikacije. Prenesite najnovejšo različico datoteke OVA. OVA lahko kadar koli prenesete tudi iz razdelka Pomoč . Kliknite Nastavitveza hibridno varnost podatkov. Datoteka OVA se samodejno začne prenašati. Shranite datoteko na mesto v računalniku.
|
| 4 |
Po želji kliknite Ogled vodnika za uvedbo hibridne varnosti podatkov, da preverite, ali je na voljo novejša različica tega priročnika. |
Ustvarjanje konfiguracijskega ISO za gostitelje HDS
Postopek namestitve hibridne varnosti podatkov ustvari datoteko ISO. Nato uporabite ISO za konfiguracijo gostitelja hibridne varnosti podatkov.
Preden začnete
-
Orodje za namestitev HDS deluje kot vsebnik Docker v lokalnem računalniku. Če želite dostopati do njega, zaženite Docker v tem računalniku. Postopek namestitve zahteva poverilnice računa Partnerskega središča s polnimi skrbniškimi pravicami.
Če se orodje za namestitev HDS izvaja za strežnikom proxy v vašem okolju, navedite nastavitve strežnika proxy (strežnik, vrata, poverilnice) prek spremenljivk okolja Dockerja, ko odprete vsebnik Docker v spodnjem koraku . V tej tabeli so navedene nekatere možne okoljske spremenljivke:
Opis
Spremenljivka
HTTP proxy brez preverjanja pristnosti
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS proxy brez preverjanja pristnosti
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP proxy s preverjanjem pristnosti
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy s preverjanjem pristnosti
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Konfiguracijska datoteka ISO, ki jo ustvarite, vsebuje glavni ključ, ki šifrira zbirko podatkov PostgreSQL ali Microsoft SQL Server. Najnovejšo kopijo te datoteke potrebujete vsakič, ko spremenite konfiguracijo, na primer:
-
Poverilnice zbirke podatkov
-
Posodobitve potrdil
-
Spremembe pravilnika o avtorizaciji
-
-
Če nameravate šifrirati povezave zbirke podatkov, nastavite uvajanje PostgreSQL ali SQL Server za TLS.
| 1 |
V ukazni vrstici računalnika vnesite ustrezen ukaz za vaše okolje: V običajnih okoljih: V okoljih FedRAMP: S tem korakom počistite prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete. | ||||||||||
| 2 |
Če se želite vpisati v register slik Dockerja, vnesite to: | ||||||||||
| 3 |
V poziv za geslo vnesite to razpršitev: | ||||||||||
| 4 |
Prenesite najnovejšo stabilno sliko za svoje okolje: V običajnih okoljih: V okoljih FedRAMP: | ||||||||||
| 5 |
Ko je poteza končana, vnesite ustrezen ukaz za vaše okolje:
Ko se vsebnik izvaja, se prikaže »Express server listening on door 8080«. | ||||||||||
| 6 |
Orodje za namestitev ne podpira povezovanja z lokalnim gostiteljem prek http://localhost:8080. Uporabite http://127.0.0.1:8080 za povezavo z lokalnim gostiteljem. S spletnim brskalnikom pojdite na lokalnega gostitelja, Orodje uporabi ta prvi vnos uporabniškega imena za nastavitev ustreznega okolja za ta račun. Orodje nato prikaže standardni poziv za vpis. | ||||||||||
| 7 |
Ko ste pozvani, vnesite poverilnice za vpis skrbnika Partnerskega središča in nato kliknite Prijava , da omogočite dostop do zahtevanih storitev za hibridno varnost podatkov. | ||||||||||
| 8 |
Na strani Pregled orodja za namestitev kliknite Uvod. | ||||||||||
| 9 |
Na strani Uvoz ISO so na voljo te možnosti:
| ||||||||||
| 10 |
Preverite, ali potrdilo X.509 izpolnjuje zahteve v razdelku Zahteveza potrdilo X.509.
| ||||||||||
| 11 |
Vnesite naslov zbirke podatkov in račun za HDS za dostop do vašega ključnega shrambe podatkov: | ||||||||||
| 12 |
Izberite načinpovezave z zbirko podatkov TLS:
Ko naložite korensko potrdilo (če je potrebno) in kliknete Nadaljuj, orodje za namestitev HDS preskusi povezavo TLS s strežnikom zbirke podatkov. Orodje preveri tudi podpisnika potrdila in ime gostitelja, če je primerno. Če preskus ne uspe, orodje prikaže sporočilo o napaki, ki opisuje težavo. Izberete lahko, ali želite napako prezreti in nadaljevati z nastavitvijo. (Zaradi razlik v povezljivosti lahko vozlišča HDS vzpostavijo povezavo TLS, tudi če je naprava HDS Setup Tool ne more uspešno preizkusiti.) | ||||||||||
| 13 |
Na strani Sistemski dnevniki konfigurirajte strežnik Syslogd: | ||||||||||
| 14 |
(Neobvezno) Privzeto vrednost za nekatere parametre povezave z zbirko podatkov lahko spremenite v naprednih nastavitvah. Na splošno je ta parameter edini, ki ga boste morda želeli spremeniti: | ||||||||||
| 15 |
Kliknite Nadaljuj na zaslonu Ponastavi geslo za storitvene račune. Gesla za storitvene račune imajo devetmesečno življenjsko dobo. Ta zaslon uporabite, ko se gesla bližajo izteku veljavnosti ali jih želite ponastaviti, da razveljavite prejšnje datoteke ISO. | ||||||||||
| 16 |
Kliknite Prenesi datotekoISO. Shranite datoteko na mesto, ki ga je enostavno najti. | ||||||||||
| 17 |
Naredite varnostno kopijo datoteke ISO v lokalnem sistemu. Varnostno kopijo hranite na varnem. Ta datoteka vsebuje glavni šifrirni ključ za vsebino zbirke podatkov. Omejite dostop samo na tiste skrbnike hibridne varnosti podatkov, ki morajo spremeniti konfiguracijo. | ||||||||||
| 18 |
Če želite zaustaviti orodje za namestitev, vnesite |
Kaj storiti naprej
Varnostno kopirajte konfiguracijsko datoteko ISO. Potrebujete ga za ustvarjanje več vozlišč za obnovitev ali za spremembe konfiguracije. Če izgubite vse kopije datoteke ISO, ste izgubili tudi glavni ključ. Obnovitev ključev iz zbirke podatkov PostgreSQL ali Microsoft SQL Server ni mogoča.
Nikoli nimamo kopije tega ključa in ne moremo pomagati, če ga izgubite.
Namestitev OVA gostitelja HDS
| 1 |
Uporabite odjemalca VMware vSphere v računalniku, da se prijavite v navideznega gostitelja ESXi. |
| 2 |
Izberite Datoteka > Uvedi predlogoOVF. |
| 3 |
V čarovniku določite mesto datoteke OVA, ki ste jo prej prenesli, in kliknite Naprej . |
| 4 |
Na strani Izberite ime in mapo vnesite ime navideznega računalnika za vozlišče (na primer »HDS_Node_1«), izberite mesto, kjer je lahko namestitev vozlišča navideznega računalnika, in nato kliknite Naprej. |
| 5 |
Na strani Izberite računalniški vir izberite ciljni računalniški vir in nato kliknite Naprej. Zažene se preverjanje veljavnosti. Ko se konča, se prikažejo podrobnosti predloge. |
| 6 |
Preverite podrobnosti predloge in kliknite Naprej . |
| 7 |
Če ste pozvani, da izberete konfiguracijo vira na strani Konfiguracija , kliknite 4 CPU in nato Naprej . |
| 8 |
Na strani Izberi prostor za shranjevanje kliknite Naprej , da sprejmete privzeto obliko zapisa diska in pravilnik o shrambi v virtualnem računalniku. |
| 9 |
Na strani Izberi omrežja na seznamu vnosov izberite možnost omrežja, da zagotovite želeno povezljivost z virtualnim računalnikom. |
| 10 |
Na strani Prilagajanje predloge konfigurirajte te omrežne nastavitve:
Če želite, lahko preskočite konfiguracijo omrežnih nastavitev in sledite korakom v razdelku Nastavitev hibridnega varnostnega računalniškega računalnika , da konfigurirate nastavitve v konzoli vozlišča. Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 7.0. Ta možnost morda ni na voljo v starejših različicah. |
| 11 |
Z desno tipko miške kliknite vozlišče VM in nato izberite . Programska oprema za hibridno varnost podatkov je nameščena kot gost na gostitelju VM. Zdaj se lahko vpišete v konzolo in konfigurirate vozlišče. Nasveti za odpravljanje težav Morda boste doživeli nekaj minutno zamudo, preden se prikažejo zabojniki vozlišč. Med prvim zagonom, med katerim se ne morete vpisati, se v konzoli prikaže sporočilo požarnega zidu mostu. |
Nastavitev hibridnega varnostnega računalniškega računalnika
S tem postopkom se lahko prvič vpišete v konzolo virtualnega računalnika vozlišča Hybrid Data Security in nastavite poverilnice za vpis. S konzolo lahko konfigurirate tudi omrežne nastavitve za vozlišče, če jih niste konfigurirali v času uvedbe OVA.
| 1 |
V odjemalcu VMware vSphere izberite VM vozlišča Hybrid Data Security in izberite zavihek Konzola . VM se zažene in prikaže se poziv za prijavo. Če se poziv za prijavo ne prikaže, pritisnite tipko Enter.
|
| 2 |
Za vpis in spreminjanje poverilnic uporabite to privzeto uporabniško ime in geslo: Ker se prvič vpišete v VM, morate spremeniti skrbniško geslo. |
| 3 |
Če ste že konfigurirali omrežne nastavitve v razdelku Namestitev gostitelja HDS OVA, preskočite preostanek tega postopka. V nasprotnem primeru v glavnem meniju izberite možnost Uredi konfiguracijo . |
| 4 |
Nastavite statično konfiguracijo z naslovom IP, masko, prehodom in informacijami DNS. Vaše vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt. |
| 5 |
(Neobvezno) Po potrebi spremenite ime gostitelja, domeno ali strežnike NTP, da se ujemajo z vašim omrežnim pravilnikom. Domene ni treba nastaviti tako, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509. |
| 6 |
Shranite konfiguracijo omrežja in znova zaženite VM, da bodo spremembe začele veljati. |
Naložite in namestite konfiguracijski ISO HDS
Preden začnete
Ker je v datoteki ISO glavni ključ, bi moral biti izpostavljen le na podlagi »potrebe po seznanitvi« za dostop do hibridnih varnostnih podatkovnih računalnikov in skrbnikov, ki bodo morda morali narediti spremembe. Prepričajte se, da lahko do shrambe podatkov dostopajo le ti skrbniki.
| 1 |
Naložite datoteko ISO iz računalnika: |
| 2 |
Namestite datoteko ISO: |
Kaj storiti naprej
Če to zahteva vaš pravilnik IT, lahko po želji odstranite datoteko ISO, ko vsa vozlišča prevzamejo spremembe konfiguracije. Za podrobnosti glejte (izbirno) Odstranitev ISO po konfiguraciji HDS.
Konfiguracija vozlišča HDS za integracijo strežnika proxy
Če omrežno okolje zahteva strežnik proxy, s tem postopkom določite vrsto strežnika proxy, ki ga želite integrirati s hibridno varnostjo podatkov. Če izberete pregleden proxy za pregledovanje ali eksplicitni strežnik proxy HTTPS, lahko uporabite vmesnik vozlišča za prenos in namestitev korenskega potrdila. Povezavo proxy lahko preverite tudi iz vmesnika in odpravite morebitne težave.
Preden začnete
-
Glejte Podpora za strežnik proxy za pregled podprtih možnosti strežnika proxy.
| 1 |
V spletni brskalnik vnesite URL |
| 2 |
Pojdite na Trust Store & Proxyin nato izberite možnost:
Sledite naslednjim korakom za pregledno pregledovanje strežnika proxy, eksplicitni proxy HTTP z osnovnim preverjanjem pristnosti ali eksplicitni strežnik proxy HTTPS. |
| 3 |
Kliknite Prenesi korensko potrdilo ali Potrdilokončne entitete in se pomaknite do možnosti Izberite korensko potrdilo za strežnik proxy. Potrdilo je naloženo, vendar še ni nameščeno, ker morate znova zagnati vozlišče, če želite namestiti potrdilo. Kliknite puščico škarnice ob imenu izdajatelja potrdila, če želite pridobiti več podrobnosti, ali kliknite Izbriši , če ste naredili napako in želite znova naložiti datoteko. |
| 4 |
Kliknite Preveri povezavo s strežnikom proxy, da preizkusite omrežno povezljivost med vozliščem in strežnikom proxy. Če preskus povezave ne uspe, se prikaže sporočilo o napaki, ki prikazuje razlog in način odpravljanja težave. Če se prikaže sporočilo, da zunanje razreševanje DNS ni bilo uspešno, vozlišče ni moglo vzpostaviti povezave s strežnikom DNS. Ta pogoj je pričakovan v številnih eksplicitnih konfiguracijah proxyja. Z namestitvijo lahko nadaljujete in vozlišče bo delovalo v načinu blokiranega zunanjega razreševanja DNS. Če menite, da gre za napako, dokončajte ta navodila in nato glejte Izklop načinablokiranega zunanjega razreševanja DNS. |
| 5 |
Ko preskus povezave opravi, za eksplicitni strežnik proxy, nastavljen samo na https, vklopite stikalo na Usmerjanje vseh zahtev https vrat 443/444 iz tega vozlišča prek eksplicitnega strežnika proxy. Ta nastavitev traja 15 sekund, da začne veljati. |
| 6 |
Kliknite Namesti vsa potrdila v shrambo zaupanja (prikaže se za eksplicitni strežnik proxy HTTPS ali pregleden strežnik proxy) ali Znova zaženi ( prikaže se za eksplicitni strežnik proxy HTTP), preberite poziv in nato kliknite Namesti, če ste pripravljeni. Vozlišče se znova zažene v nekaj minutah. |
| 7 |
Ko se vozlišče znova zažene, se po potrebi znova vpišite in nato odprite stran Pregled , da preverite preverjanje povezljivosti in se prepričajte, da so vsi v zelenem stanju. Preverjanje povezave proxy preizkuša samo poddomeno webex.com. Če pride do težav s povezljivostjo, je pogosta težava, da so nekatere domene v oblaku, navedene v navodilih za namestitev, blokirane v strežniku proxy. |
Registracija prvega vozlišča v gruči
Ko registrirate prvo vozlišče, ustvarite gručo, ki ji je vozlišče dodeljeno. Gruča vsebuje eno ali več vozlišč, ki so nameščena za zagotavljanje redundance.
Preden začnete
-
Ko začnete registracijo vozlišča, ga morate dokončati v 60 minutah ali pa morate začeti znova.
-
Prepričajte se, da so vsi blokatorji pojavnih oken v brskalniku onemogočeni ali da dovolite izjemo za admin.webex.com.
| 1 |
Vpišite se v https://admin.webex.com. |
| 2 |
V meniju na levi strani zaslona izberite Storitve. |
| 3 |
V razdelku Storitve v oblaku poiščite kartico Hibridna varnost podatkov in kliknite Nastavi . |
| 4 |
Na strani, ki se odpre, kliknite Dodaj vir. |
| 5 |
V prvo polje Dodajanje kartice vozlišča vnesite ime gruče, ki ji želite dodeliti vozlišče Hibridna varnost podatkov. Priporočamo, da gručo poimenujete glede na to, kje so vozlišča gruče geografsko nameščena. Primeri: "San Francisco" ali "New York" ali "Dallas" |
| 6 |
V drugo polje vnesite notranji naslov IP ali popolnoma kvalificirano ime domene (FQDN) vašega vozlišča in kliknite Dodaj na dnu zaslona. Ta naslov IP ali FQDN se mora ujemati z naslovom IP ali imenom gostitelja in domeno, ki ste jo uporabili v razdelku Nastavitev hibridnega računalniškega računalnikaza varnost podatkov. Prikaže se sporočilo, da lahko vozlišče registrirate v Webex.
|
| 7 |
Kliknite Pojdi na vozlišče. Po nekaj trenutkih ste preusmerjeni na preskuse povezljivosti vozlišč za storitve Webex. Če so vsi preskusi uspešni, se prikaže stran Dovoli dostop do vozlišča za varnost hibridnih podatkov. Tam potrdite, da želite organizaciji Webex podeliti dovoljenja za dostop do vašega vozlišča. |
| 8 |
Potrdite polje Dovoli dostop do vozlišča za varnost hibridnih podatkov in kliknite Nadaljuj. Vaš račun je preverjen in sporočilo »Registracija je dokončana« pomeni, da je vaše vozlišče zdaj registrirano v oblaku Webex.
|
| 9 |
Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Varnost hibridnih podatkov Partnerskega središča. Na strani Hibridna varnost podatkov je na zavihku Viri prikazana nova gruča, ki vsebuje vozlišče, ki ste ga registrirali. Vozlišče bo samodejno preneslo najnovejšo programsko opremo iz oblaka.
|
Ustvarjanje in registracija več vozlišč
Preden začnete
-
Ko začnete registracijo vozlišča, ga morate dokončati v 60 minutah ali pa morate začeti znova.
-
Prepričajte se, da so vsi blokatorji pojavnih oken v brskalniku onemogočeni ali da dovolite izjemo za admin.webex.com.
| 1 |
Ustvarite nov navidezni računalnik iz OVA in ponovite korake v razdelku Namestitev OVAgostitelja HDS. |
| 2 |
Nastavite začetno konfiguracijo v novem virtualnem računalniku in ponovite korake v razdelku Nastavitev hibridnega varnostnega računalnikapodatkov. |
| 3 |
V novem virtualnem računalniku ponovite korake v razdelku Prenos in namestitev ISOkonfiguracije HDS. |
| 4 |
Če nastavljate strežnik proxy za uvedbo, ponovite korake v razdelku Konfiguracija vozlišča HDS za integracijo strežnika proxy, kot je potrebno za novo vozlišče. |
| 5 |
Registrirajte vozlišče. |
Gérer les organisations de locataires sur la sécurité des données hybride multi-locataires
Activer HDS Multi-Tenant sur Partner Hub
Cette tâche permet à tous les utilisateurs des organisations clientes de commencer à utiliser HDS pour les clés de chiffrement sur site et d'autres services de sécurité.
Avant de commencer
Assurez-vous que vous avez terminé la configuration de votre cluster HDS Multi-Tenant avec le nombre de nœuds requis.
| 1 |
Se connecter à https://admin.webex.com. |
| 2 |
Dans le menu à gauche de l’écran, sélectionner Services. |
| 3 |
Dans la section Cloud Services, recherchez Hybrid Data Security et cliquez sur Edit Settings. |
| 4 |
Cliquer sur Activer HDS sur la carte HDS Status . |
Ajouter des organisations de locataires dans Partner Hub
Dans cette tâche, vous attribuez des organisations clientes à votre Cluster hybride de sécurité des données.
| 1 |
Se connecter à https://admin.webex.com. |
| 2 |
Dans le menu à gauche de l’écran, sélectionner Services. |
| 3 |
Dans la section Cloud Services, recherchez Hybrid Data Security et cliquez sur View all. |
| 4 |
Cliquez sur le cluster auquel vous souhaitez affecter un client. |
| 5 |
Accéder à l’onglet Clients affectés . |
| 6 |
Cliquez sur Ajouter des clients. |
| 7 |
Sélectionnez le client que vous souhaitez ajouter dans le menu déroulant. |
| 8 |
Cliquez sur Ajouter, le client sera ajouté au cluster. |
| 9 |
Répétez les étapes 6 à 8 pour ajouter plusieurs clients à votre cluster. |
| 10 |
Cliquez sur Terminé en bas de l’écran une fois que vous avez ajouté les clients. |
Que faire ensuite
Créer des clés principales du client (CMK) à l'aide de l'outil de configuration HDS
Avant de commencer
Affecter les clients au cluster approprié comme détaillé dans Ajouter des organisations de locataires dans Partner Hub. Exécutez l'outil de configuration HDS pour terminer le processus de configuration pour les organisations clients nouvellement ajoutées.
-
L'outil de configuration HDS fonctionne comme un conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les identifiants d'un compte Partner Hub avec tous les droits d'administrateur pour votre organisation.
Si l'outil HDS Setup fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, identifiants) via les variables d'environnement Docker lors de l'activation du conteneur Docker à l'étape 5. Ce tableau donne quelques variables d'environnement possibles :
Opis
Spremenljivka
Serveur mandataire HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS Proxy sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS Proxy avec authentification
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Le fichier de configuration ISO que vous générez contient la clé maître chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous effectuez des changements de configuration, comme ceux-ci :
-
Identifiants de la base de données
-
Mises à jour du certificat
-
Modifications de la politique d'autorisation
-
-
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
Le processus de configuration de la sécurité des données hybride crée un fichier ISO. Vous utilisez ensuite l'ISO pour configurer votre hôte Hybrid Data Security.
| 1 |
Sur la ligne de commande de votre machine, saisissez la commande appropriée pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : Cette étape nettoie les images précédentes de l'outil de configuration HDS. S'il n'y a pas d'images précédentes, il renvoie une erreur que vous pouvez ignorer. |
| 2 |
Pour vous connecter au registre d'images Docker, saisissez : |
| 3 |
A l'invite du mot de passe, saisir ce hachage : |
| 4 |
Téléchargez la dernière image stable pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : |
| 5 |
Lorsque le tirage est terminé, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur fonctionne, vous voyez "Express server listening on port 8080". |
| 6 |
L'outil de configuration ne prend pas en charge la connexion à localhost via http://localhost:8080. Utiliser http://127.0.0.1:8080 pour se connecter à localhost. Utiliser un navigateur Web pour accéder à l'hôte local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L’outil affiche alors l’invite de connexion standard. |
| 7 |
Lorsque vous y êtes invité, entrez vos identifiants de connexion administrateur Partner Hub, puis cliquez sur Se connecter pour autoriser l'accès aux services requis pour la sécurité des données hybrides. |
| 8 |
Sur la page d'aperçu de l'outil de configuration, cliquez sur Démarrer. |
| 9 |
Sur la page ISO Import , cliquez sur Yes. |
| 10 |
Sélectionnez votre fichier ISO dans le navigateur et téléchargez-le. Assurez-vous de la connectivité à votre base de données pour effectuer la gestion CMK. |
| 11 |
Allez dans l’onglet Gestion des CMK des locataires , où vous trouverez les trois façons suivantes de gérer les CMK des locataires.
|
| 12 |
Une fois la création de CMK réussie, le statut dans le tableau passe de gestion de CMK en attente à CMK géré. |
| 13 |
Si la création du CMK échoue, une erreur s'affiche. |
Supprimer les organisations locataires
Avant de commencer
Une fois supprimés, les utilisateurs des organisations clientes ne seront pas en mesure de tirer parti de HDS pour leurs besoins de cryptage et perdront tous les espaces existants. Avant de supprimer les organisations clientes, veuillez contacter votre partenaire Cisco ou votre gestionnaire de compte.
| 1 |
Se connecter à https://admin.webex.com. |
| 2 |
Dans le menu à gauche de l’écran, sélectionner Services. |
| 3 |
Dans la section Cloud Services, recherchez Hybrid Data Security et cliquez sur View all. |
| 4 |
Dans l’onglet Ressources , cliquez sur le cluster dont vous souhaitez supprimer les organisations clientes. |
| 5 |
Dans la page qui s’ouvre, cliquez sur Clients affectés. |
| 6 |
Dans la liste des organisations clientes affichées, cliquez sur ... sur le côté droit de l'organisation cliente que vous souhaitez supprimer et cliquez sur Supprimer du cluster. |
Que faire ensuite
Complétez le processus de retrait en révoquant les CMK des organisations clientes, comme détaillé dans Révoquer les CMK des locataires retirés de HDS.
Révoquer les CMK des locataires retirés du HDS.
Avant de commencer
Retirer les clients du cluster approprié comme détaillé dans Supprimer les organisations locataires. Exécutez l'outil de configuration HDS pour terminer le processus de suppression pour les organisations clientes qui ont été supprimées.
-
L'outil de configuration HDS fonctionne comme un conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les identifiants d'un compte Partner Hub avec tous les droits d'administrateur pour votre organisation.
Si l'outil HDS Setup fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, identifiants) via les variables d'environnement Docker lors de l'activation du conteneur Docker à l'étape 5. Ce tableau donne quelques variables d'environnement possibles :
Opis
Spremenljivka
Serveur mandataire HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS Proxy sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS Proxy avec authentification
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Le fichier de configuration ISO que vous générez contient la clé maître chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous effectuez des changements de configuration, comme ceux-ci :
-
Identifiants de la base de données
-
Mises à jour du certificat
-
Modifications de la politique d'autorisation
-
-
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
Le processus de configuration de la sécurité des données hybride crée un fichier ISO. Vous utilisez ensuite l'ISO pour configurer votre hôte Hybrid Data Security.
| 1 |
Sur la ligne de commande de votre machine, saisissez la commande appropriée pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : Cette étape nettoie les images précédentes de l'outil de configuration HDS. S'il n'y a pas d'images précédentes, il renvoie une erreur que vous pouvez ignorer. |
| 2 |
Pour vous connecter au registre d'images Docker, saisissez : |
| 3 |
A l'invite du mot de passe, saisir ce hachage : |
| 4 |
Téléchargez la dernière image stable pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : |
| 5 |
Lorsque le tirage est terminé, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur fonctionne, vous voyez "Express server listening on port 8080". |
| 6 |
L'outil de configuration ne prend pas en charge la connexion à localhost via http://localhost:8080. Utiliser http://127.0.0.1:8080 pour se connecter à localhost. Utiliser un navigateur Web pour accéder à l'hôte local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L’outil affiche alors l’invite de connexion standard. |
| 7 |
Lorsque vous y êtes invité, entrez vos identifiants de connexion administrateur Partner Hub, puis cliquez sur Se connecter pour autoriser l'accès aux services requis pour la sécurité des données hybrides. |
| 8 |
Sur la page d'aperçu de l'outil de configuration, cliquez sur Démarrer. |
| 9 |
Sur la page ISO Import , cliquez sur Yes. |
| 10 |
Sélectionnez votre fichier ISO dans le navigateur et téléchargez-le. |
| 11 |
Allez dans l’onglet Gestion des CMK des locataires , où vous trouverez les trois façons suivantes de gérer les CMK des locataires.
|
| 12 |
Une fois la révocation de CMK réussie, l'organisation cliente n'apparaîtra plus dans le tableau. |
| 13 |
Si la révocation du CMK échoue, une erreur s'affiche. |
Testez votre déploiement Hybrid Data Security
Testez votre déploiement hybride de sécurité des données
Avant de commencer
-
Configurez votre déploiement Multi-tenant Hybrid Data Security.
-
Assurez-vous d'avoir accès au syslog pour vérifier que les demandes clés passent à votre déploiement de sécurité des données hybride multi-tenant.
| 1 |
Les clés pour un espace donné sont définies par le créateur de l'espace. Connectez-vous à l'application Webex en tant qu'utilisateur de l'organisation client, puis créez un espace. Si vous désactivez le déploiement Hybrid Data Security, le contenu des espaces créés par les utilisateurs n’est plus accessible une fois que les copies des clés de chiffrement mises en cache par le client sont remplacées. |
| 2 |
Envoyer des messages vers le nouvel espace. |
| 3 |
Vérifiez la sortie syslog pour vérifier que les demandes de clés passent à votre déploiement Hybrid Data Security. |
Surveiller l'intégrité de la sécurité des données hybrides
| 1 |
Dans Partner Hub, sélectionnez Services dans le menu à gauche de l’écran. |
| 2 |
Dans la section Cloud Services, recherchez Hybrid Data Security et cliquez sur Edit Settings. La page Hybrid Data Security Settings apparaît.
|
| 3 |
Dans la section Notifications par e-mail, tapez une ou plusieurs adresses e-mail séparées par des virgules et appuyez sur Entrée. |
Gérez votre déploiement HDS
Gérer le déploiement du HDS
Utilisez les tâches décrites ici pour gérer votre déploiement Hybrid Data Security.
Définir le calendrier de mise à niveau du cluster
Pour définir le calendrier de mise à niveau :
| 1 |
Connectez-vous à Partner Hub. |
| 2 |
Dans le menu à gauche de l’écran, sélectionner Services. |
| 3 |
Dans la section Cloud Services, recherchez Hybrid Data Security et cliquez sur Configurer |
| 4 |
Sur la page Hybrid Data Security Resources, sélectionner le cluster. |
| 5 |
Cliquez sur l’onglet Cluster Settings . |
| 6 |
Sur la page Cluster Settings, sous Upgrade Schedule, sélectionnez l'heure et le fuseau horaire pour le planning de mise à niveau. Opomba: Sous le fuseau horaire, la date et l'heure de mise à niveau disponibles suivantes s'affichent. Vous pouvez reporter la mise à niveau au lendemain, si nécessaire, en cliquant sur Reporter de 24 heures. |
Modifier la configuration des nœuds
-
Modification des certificats x.509 en raison de l'expiration ou d'autres raisons.
Nous ne soutenons pas le changement du nom de domaine CN d'un certificat. Le domaine doit correspondre au domaine d'origine utilisé pour enregistrer le cluster.
-
Mise à jour des paramètres de base de données pour passer à une réplique de la base de données PostgreSQL ou Microsoft SQL Server.
Nous ne soutenons pas la migration de données de PostgreSQL vers Microsoft SQL Server, ou le contraire. Pour changer d’environnement de base de données, lancer un nouveau déploiement de la sécurité des données hybride.
-
Créer une nouvelle configuration pour préparer un nouveau centre de données.
De plus, à des fins de sécurité, Hybrid Data Security utilise des mots de passe de compte de service qui ont une durée de vie de neuf mois. Une fois que l'outil de configuration HDS a généré ces mots de passe, vous les déployez sur chacun de vos nœuds HDS dans le fichier de configuration ISO. Lorsque les mots de passe de votre organisation approchent de l'expiration, vous recevez un avis de l'équipe Webex pour réinitialiser le mot de passe de votre compte machine. (L'e-mail comprend le texte, "Utilisez l'API du compte machine pour mettre à jour le mot de passe.") Si vos mots de passe n'ont pas encore expiré, l'outil vous donne deux options :
-
Réinitialisation douce—Les anciens et les nouveaux mots de passe fonctionnent tous les deux pendant 10 jours maximum. Utilisez cette période pour remplacer progressivement le fichier ISO sur les nœuds.
-
Réinitialisation rapide—Les anciens mots de passe cessent immédiatement de fonctionner.
Si vos mots de passe expirent sans réinitialisation, cela affecte votre service HDS, nécessitant une réinitialisation rapide et le remplacement du fichier ISO sur tous les nœuds.
Utilisez cette procédure pour générer un nouveau fichier ISO de configuration et l'appliquer à votre cluster.
Avant de commencer
-
L'outil de configuration HDS fonctionne comme un conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les identifiants d'un compte Partner Hub avec les droits d'administrateur complets du partenaire .
Si l'outil de configuration HDS fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, identifiants) via les variables d'environnement Docker lors de l'affichage du conteneur Docker dans 1.e. Ce tableau donne quelques variables d'environnement possibles :
Opis
Spremenljivka
Serveur mandataire HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS Proxy sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS Proxy avec authentification
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Vous avez besoin d'une copie du fichier ISO de configuration en cours pour générer une nouvelle configuration. L'ISO contient la clé maître chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de l'ISO lorsque vous effectuez des changements de configuration, y compris des identifiants de base de données, des mises à jour de certificats ou des changements à la politique d'autorisation.
| 1 |
A l'aide de Docker sur une machine locale, exécutez l'outil de configuration HDS. |
| 2 |
Si un seul noeud HDS est en cours d’exécution, créez une nouvelle VM de noeud hybride de sécurité des données et enregistrez-la à l’aide du nouveau fichier ISO de configuration. Pour des instructions plus détaillées, voir Créer et enregistrer plus de nœuds. |
| 3 |
Pour les nœuds HDS existants qui exécutent l'ancien fichier de configuration, montez le fichier ISO. Effectuer la procédure suivante sur chaque noeud à tour de rôle, en mettant à jour chaque noeud avant de désactiver le noeud suivant : |
| 4 |
Répétez l'étape 3 pour remplacer la configuration sur chaque noeud restant qui exécute l'ancienne configuration. |
Désactiver le mode de résolution DNS externe bloqué
Lorsque vous enregistrez un noeud ou vérifiez la configuration du serveur mandataire du noeud, le processus teste la recherche DNS et la connectivité au cloud Cisco Webex. Si le serveur DNS du noeud ne peut pas résoudre les noms DNS publics, le noeud passe automatiquement en mode Résolution DNS externe bloquée.
Si vos nœuds sont capables de résoudre les noms DNS publics via des serveurs DNS internes, vous pouvez désactiver ce mode en repassant le test de connexion proxy sur chaque nœud.
Avant de commencer
| 1 |
Dans un navigateur Web, ouvrez l’interface du noeud de sécurité des données hybride (adresse IP/configuration, par exemple, https://192.0.2.0/setup), entrez les identifiants d’administration que vous avez configurés pour le noeud, puis cliquez sur Se connecter. |
| 2 |
Allez dans Aperçu (la page par défaut). Lorsque cette option est activée, Blocked External DNS Resolution est réglée sur Yes. |
| 3 |
Accédez à la page Trust Store & Proxy . |
| 4 |
Cliquez sur Vérifier la connexion du mandataire. Si vous voyez un message disant que la résolution DNS externe n'a pas réussi, le noeud n'a pas pu atteindre le serveur DNS et restera dans ce mode. Sinon, après avoir redémarré le noeud et revenir à la page Aperçu , la résolution DNS externe bloquée doit être réglée sur non. |
Que faire ensuite
Supprimer un noeud
| 1 |
Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi et mettre la machine virtuelle hors tension. |
| 2 |
Supprimer le nœud : |
| 3 |
Dans le client vSphere, supprimer la VM. (Dans le volet de navigation de gauche, faire un clic droit sur la VM et cliquer sur Supprimer.) Si vous ne supprimez pas la VM, pensez à démonter le fichier ISO de configuration. Sans le fichier ISO, vous ne pouvez pas utiliser la VM pour accéder à vos données de sécurité. |
Reprise après sinistre à l'aide du centre de données de secours
Le service le plus critique que votre cluster Hybrid Data Security fournit est la création et le stockage de clés utilisées pour chiffrer les messages et autres contenus stockés dans le cloud Webex. Pour chaque utilisateur de l'organisation affecté à la sécurité des données hybrides, de nouvelles demandes de création de clés sont acheminées vers le cluster. Le cluster est également chargé de renvoyer les clés qu'il a créées à tous les utilisateurs autorisés à les récupérer, par exemple les membres d'un espace de conversation.
Comme le cluster remplit la fonction critique de fournir ces clés, il est impératif que le cluster reste en fonctionnement et que des sauvegardes appropriées soient maintenues. La perte de la base de données Hybrid Data Security ou de la configuration ISO utilisée pour le schéma entraînera une PERTE IRRÉCUPÉRABLE du contenu client. Les pratiques suivantes sont obligatoires pour prévenir une telle perte :
Si une catastrophe entraîne l'indisponibilité du déploiement du HDS dans le centre de données primaire, suivre cette procédure pour basculer manuellement vers le centre de données de secours.
Avant de commencer
| 1 |
Démarrer l’outil de configuration HDS et suivre les étapes mentionnées dans Créer une configuration ISO pour les hôtes HDS. |
| 2 |
Complétez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver. |
| 3 |
Faites une copie de sauvegarde du fichier ISO sur votre système local. Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement maître pour le contenu de la base de données. Restreindre l'accès aux seuls administrateurs Hybrid Data Security qui doivent effectuer des modifications de configuration. |
| 4 |
Dans le volet de navigation gauche du client VMware vSphere, faire un clic droit sur la VM et cliquer sur Modifier les paramètres. |
| 5 |
Cliquez sur Edit Settings >CD/DVD Drive 1 et sélectionnez Datastore ISO File. S'assurer que Connected et Connect at power on sont cochés afin que les modifications de configuration mises à jour puissent prendre effet après le démarrage des nœuds. |
| 6 |
Mettre le noeud HDS sous tension et s'assurer qu'il n'y a pas d'alarmes pendant au moins 15 minutes. |
| 7 |
Enregistrez le nœud dans le hub partenaire. Voir Enregistrer le premier noeud du cluster. |
| 8 |
Répétez le processus pour chaque nœud du centre de données de veille. |
Que faire ensuite
(Optionnel) Démonter ISO après la configuration HDS
La configuration HDS standard fonctionne avec l'ISO monté. Mais, certains clients préfèrent ne pas laisser les fichiers ISO montés en continu. Vous pouvez démonter le fichier ISO après que tous les nœuds HDS aient récupéré la nouvelle configuration.
Vous utilisez toujours les fichiers ISO pour effectuer des changements de configuration. Lorsque vous créez un nouvel ISO ou mettez à jour un ISO via l'outil de configuration, vous devez monter l'ISO mis à jour sur tous vos nœuds HDS. Une fois que tous vos nœuds ont saisi les changements de configuration, vous pouvez à nouveau démonter l'ISO avec cette procédure.
Avant de commencer
Mettez à niveau tous vos nœuds HDS vers la version 2021.01.22.4720 ou ultérieure.
| 1 |
Éteignez un de vos nœuds HDS. |
| 2 |
Dans le vCenter Server Appliance, sélectionnez le noeud HDS. |
| 3 |
Choisissez et décochez Datastore ISO File. |
| 4 |
Mettre le noeud HDS sous tension et s'assurer qu'il n'y a pas d'alarmes pendant au moins 20 minutes. |
| 5 |
Répéter pour chaque noeud HDS à tour de rôle. |
Dépannage de la sécurité des données hybride
Afficher les alertes et dépannage
Un déploiement Hybrid Data Security est considéré comme indisponible si tous les nœuds du cluster sont injoignables, ou si le cluster fonctionne si lentement que cela demande une temporisation. Si les utilisateurs ne peuvent pas rejoindre votre cluster Hybrid Data Security, ils ressentent les symptômes suivants :
-
Impossible de créer de nouveaux espaces (impossible de créer de nouvelles clés)
-
Les messages et les titres d'espace ne sont pas déchiffrés pour :
-
Nouveaux utilisateurs ajoutés à un espace (impossible de récupérer les clés)
-
Utilisateurs existants dans un espace utilisant un nouveau client (impossible de récupérer les clés)
-
-
Les utilisateurs existants dans un espace continueront à fonctionner avec succès tant que leurs clients ont un cache des clés de chiffrement
Il est important que vous surveillez correctement votre cluster Hybrid Data Security et que vous répondiez rapidement à toutes les alertes afin d'éviter toute perturbation du service.
Opozorila
En cas de problème avec la configuration Hybrid Data Security, Partner Hub affiche des alertes à l'administrateur de l'organisation et envoie des e-mails à l'adresse e-mail configurée. Les alertes couvrent de nombreux scénarios courants.
|
Opozori |
Dejanje |
|---|---|
|
Échec d'accès à la base de données locale. |
Vérifier l'absence d'erreurs de base de données ou de problèmes de réseau local. |
|
Défaut de connexion à la base de données locale. |
Vérifier que le serveur de base de données est disponible et que les bons identifiants de compte de service ont été utilisés dans la configuration des nœuds. |
|
Échec de l'accès au service cloud. |
Vérifier que les nœuds peuvent accéder aux serveurs Webex comme spécifié dans Exigences de connectivité externe. |
|
Renouvellement de l’enregistrement des services cloud. |
L'inscription aux services cloud a été abandonnée. Le renouvellement de l'enregistrement est en cours. |
|
L'enregistrement des services dans le cloud a chuté. |
L'inscription aux services cloud est terminée. Le service s'arrête. |
|
Service non encore activé. |
Activer HDS dans Partner Hub. |
|
Le domaine configuré ne correspond pas au certificat du serveur. |
Assurez-vous que votre certificat de serveur correspond au domaine d'activation de service configuré. La cause la plus probable est que le certificat CN a été récemment modifié et qu'il est maintenant différent du certificat CN utilisé lors de la configuration initiale. |
|
Impossible de s'authentifier aux services cloud. |
Vérifier l'exactitude et l'expiration éventuelle des identifiants de compte de service. |
|
Impossible d'ouvrir le fichier keystore local. |
Vérifier l'intégrité et l'exactitude du mot de passe sur le fichier de keystore local. |
|
Le certificat du serveur local est invalide. |
Vérifiez la date d'expiration du certificat du serveur et confirmez qu'il a été émis par une autorité de certification de confiance. |
|
Impossible d'afficher les paramètres. |
Vérifier l'accès au réseau local aux services cloud externes. |
|
Le répertoire /media/configdrive/hds n'existe pas. |
Vérifiez la configuration du montage ISO sur un hôte virtuel. Vérifiez que le fichier ISO existe, qu'il est configuré pour être monté lors du redémarrage et qu'il est monté avec succès. |
|
La configuration de l'organisation du locataire n'est pas terminée pour les orgs ajoutés |
Complétez la configuration en créant des CMK pour les organisations de locataires nouvellement ajoutées à l'aide de l'outil de configuration HDS. |
|
La configuration de l'organisation du locataire n'est pas terminée pour les orgs supprimés |
Terminer la configuration en révoquant les CMK des organisations locataires qui ont été supprimées à l'aide de l'outil de configuration HDS. |
Dépannage de la sécurité des données hybride
| 1 |
Examinez Partner Hub pour toutes les alertes et corrigez tous les éléments que vous y trouvez. Voir l'image ci-dessous pour référence. |
| 2 |
Examinez la sortie du serveur syslog pour l'activité liée au déploiement de la sécurité des données hybride. Filtrer les mots comme « Avertissement » et « Erreur » pour faciliter le dépannage. |
| 3 |
Contact Support Cisco. |
Autres notes
Problèmes connus pour la sécurité des données hybrides
-
Si vous fermez votre cluster Hybrid Data Security (en le supprimant dans Partner Hub ou en fermant tous les nœuds), perdez votre fichier ISO de configuration ou perdez l'accès à la base de données de keystore, les utilisateurs de l'application Webex des organisations clientes ne peuvent plus utiliser les espaces sous leur liste de personnes créés avec des clés de votre KMS. Nous n'avons pas actuellement de solution de contournement ou de correction pour ce problème et vous exhortons à ne pas arrêter vos services HDS une fois qu'ils traitent des comptes utilisateurs actifs.
-
Un client qui a une connexion ECDH existante à un KMS maintient cette connexion pendant une période de temps (probablement une heure).
Utiliser OpenSSL pour générer un fichier PKCS12
Avant de commencer
-
OpenSSL est un outil qui peut être utilisé pour faire le fichier PKCS12 dans le format approprié pour le chargement dans l'outil de configuration HDS. Il y a d'autres façons de le faire, et nous ne soutenons ni ne promouvons une voie par rapport à une autre.
-
Si vous choisissez d'utiliser OpenSSL, nous fournissons cette procédure comme guide pour vous aider à créer un fichier qui répond aux exigences de certificat X.509 dans X.509 Exigences de certificat. Comprenez ces exigences avant de continuer.
-
Installer OpenSSL dans un environnement pris en charge. Voir https://www.openssl.org pour le logiciel et la documentation.
-
Créer une clé privée.
-
Commencez cette procédure lorsque vous recevez le certificat de serveur de votre autorité de certification (CA).
| 1 |
Lorsque vous recevez le certificat de serveur de votre CA, enregistrez-le comme |
| 2 |
Afficher le certificat sous forme de texte et vérifier les détails.
|
| 3 |
Utilisez un éditeur de texte pour créer un fichier bundle de certificats appelé
|
| 4 |
Créer le fichier .p12 avec le nom convivial
|
| 5 |
Vérifiez les détails du certificat du serveur. |
Que faire ensuite
Retourner à Remplir les prérequis pour la sécurité des données hybrides. Vous utiliserez le fichier hdsnode.p12 et le mot de passe que vous lui avez défini dans Créer une configuration ISO pour les hôtes HDS.
Vous pouvez réutiliser ces fichiers pour demander un nouveau certificat lorsque le certificat original expire.
Trafic entre les nœuds HDS et le Cloud
Trafic de collecte de métriques sortantes
Les nœuds Hybrid Data Security envoient certaines métriques au cloud Webex. Il s'agit notamment de métriques système pour le tas max, le tas utilisé, la charge CPU et le nombre de fils ; de métriques sur les fils synchrones et asynchrones ; de métriques sur les alertes impliquant un seuil de connexions de chiffrement, de latence ou une longueur de file d'attente de requêtes ; de métriques sur le magasin de données ; et de métriques de connexions de chiffrement. Les noeuds envoient du matériel de clé chiffré sur un canal hors bande (séparé de la requête).
Trafic entrant
Les nœuds de sécurité des données hybrides reçoivent les types de trafic entrant suivants du cloud Webex :
-
Les demandes de chiffrement des clients, qui sont acheminées par le service de chiffrement
-
Mises à niveau du logiciel du noeud
Configurer les proxies Squid pour la sécurité des données hybrides
Websocket ne peut pas se connecter via Squid Proxy
Les proxys Squid qui inspectent le trafic HTTPS peuvent interférer avec l'établissement de connexions Websocket (wss:) requises par Hybrid Data Security. Ces sections donnent des indications sur la façon de configurer les différentes versions de Squid pour ignorer wss : trafic pour le bon fonctionnement des services.
Squid 4 et 5
Ajouter la on_unsupported_protocol directive à squid.conf :
on_unsupported_protocol tunnel toutCalamar 3.5.27
Nous avons testé avec succès Hybrid Data Security avec les règles suivantes ajoutées à squid.conf. Ces règles sont susceptibles de changer au fur et à mesure que nous développons des fonctionnalités et mettons à jour le cloud Webex.
acl wssMercuryConnection ssl ::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 allInformations nouvelles et modifiées
Informations nouvelles et modifiées
Ce tableau présente les nouvelles fonctionnalités ou fonctionnalités, les modifications apportées au contenu existant et les erreurs majeures qui ont été corrigées dans le Guide de déploiement pour la sécurité des données hybrides multi-locataires.
|
Datum |
Modifications apportées |
|---|---|
|
15 janvier 2025 |
Ajout des limites de la sécurité des données hybrides multi-locataires. |
|
08 janvier 2025 |
Ajout d'une note dans Effectuer la configuration initiale et télécharger les fichiers d'installation indiquant que cliquer sur Configurer sur la carte HDS dans Partner Hub est une étape importante du processus d'installation. |
|
07 janvier 2025 |
Mises à jour Virtual Host Requirements, Hybrid Data Security Deployment Task Flow et Install the HDS Host OVA pour afficher la nouvelle exigence d'ESXi 7.0. |
|
13 décembre 2024 |
Première publication. |
Désactiver la sécurité des données hybride multi-tenant
Flux des tâches de désactivation HDS multi-tenant
Suivez ces étapes pour désactiver complètement Multi-Tenant HDS.
Avant de commencer
| 1 |
Retirer tous les clients de tous vos clusters, comme indiqué dans Supprimer les organisations locataires. |
| 2 |
Révoquer les CMK de tous les clients, comme mentionné dans Révoquer les CMK des locataires retirés de HDS.. |
| 3 |
Supprimez tous les nœuds de tous vos clusters, comme indiqué dans Supprimer un nœud. |
| 4 |
Supprimez tous vos clusters de Partner Hub en utilisant l'une des deux méthodes suivantes.
|
| 5 |
Cliquer sur l'onglet Paramètres de la page d'aperçu de la sécurité des données hybrides et cliquer sur Désactiver HDS sur la carte HDS Status. |
Commencez avec Multi-Tenant Hybrid Data Security
Aperçu de la sécurité des données hybrides multi-tenant
Depuis le premier jour, la sécurité des données a été l'objectif principal de la conception de l'application Webex. La pierre angulaire de cette sécurité est le chiffrement de contenu de bout en bout, activé par les clients de l'application Webex qui interagissent avec le Key Management Service (KMS). Le KMS est responsable de la création et de la gestion des clés cryptographiques que les clients utilisent pour chiffrer et déchiffrer dynamiquement les messages et les fichiers.
Par défaut, tous les clients de l'application Webex obtiennent un cryptage de bout en bout avec des clés dynamiques stockées dans le KMS cloud, dans le domaine de la sécurité de Cisco. Hybrid Data Security déplace le KMS et d'autres fonctions liées à la sécurité vers votre centre de données d'entreprise, de sorte que personne d'autre que vous ne détient les clés de votre contenu crypté.
Multi-Tenant Hybrid Data Security permet aux organisations de tirer parti de HDS par l'intermédiaire d'un partenaire local de confiance, qui peut agir en tant que fournisseur de services et gérer le chiffrement sur site et d'autres services de sécurité. Cette configuration permet à l'organisation partenaire d'avoir un contrôle complet sur le déploiement et la gestion des clés de chiffrement et garantit que les données utilisateur des organisations clientes sont à l'abri d'un accès externe. Les organisations partenaires mettent en place des instances HDS et créent des clusters HDS au besoin. Chaque instance peut prendre en charge plusieurs organisations clientes contrairement à un déploiement HDS régulier qui est limité à une seule organisation.
Cela permet également aux petites organisations de tirer parti de HDS, car le service de gestion des clés et l'infrastructure de sécurité comme les centres de données sont la propriété du partenaire local de confiance.
Comment Multi-Tenant Hybrid Data Security assure la souveraineté et le contrôle des données
- Le contenu généré par l'utilisateur est protégé contre l'accès externe, comme les fournisseurs de services cloud.
- Les partenaires locaux de confiance gèrent les clés de chiffrement des clients avec lesquels ils ont déjà une relation établie.
- Possibilité de soutien technique local, si fourni par le partenaire.
- Prend en charge le contenu des réunions, des messages et des appels.
Ce document vise à aider les organisations partenaires à mettre en place et à gérer des clients dans le cadre d’un système de sécurité des données hybride multi-tenant.
Limites de la sécurité des données hybride multi-tenant
- Les organisations partenaires ne doivent pas avoir de déploiement HDS existant actif dans Control Hub.
- Les organisations locataires ou clientes qui souhaitent être gérées par un partenaire ne doivent pas avoir de déploiement HDS existant dans Control Hub.
- Une fois le HDS multi-locataire déployé par le partenaire, tous les utilisateurs des organisations clientes ainsi que les utilisateurs de l'organisation partenaire commencent à tirer parti du HDS multi-locataire pour leurs services de cryptage.
L’organisation partenaire et les organisations clientes qu’ils gèrent seront sur le même déploiement HDS multi-locataires.
L’organisation partenaire n’utilisera plus de KMS dans le cloud une fois le HDS multi-tenant déployé.
- Il n'y a pas de mécanisme pour déplacer les clés vers Cloud KMS après un déploiement HDS.
- Actuellement, chaque déploiement HDS multi-tenant ne peut avoir qu'un seul cluster, avec plusieurs nœuds sous celui-ci.
- Les rôles d'administrateur ont certaines limites ; voir la section ci-dessous pour plus de détails.
Rôles dans la sécurité des données hybride multi-tenant
- Administrateur complet partenaire - Peut gérer les paramètres pour tous les clients que le partenaire gère. Lahko tudi dodelijo vloge skrbnika obstoječim uporabnikom v organizaciji in dodelijo točno določene stranke v upravljanje partnerskim administratorjem.
- Administrateur partenaire - Peut gérer les paramètres des clients que l'administrateur a provisionnés ou qui ont été affectés à l'utilisateur.
- Administrateur complet - Administrateur de l'organisation partenaire qui est autorisé à effectuer des tâches telles que modifier les paramètres de l'organisation, gérer les licences et attribuer des rôles.
- Configuration HDS multi-locataires de bout en bout et gestion de toutes les organisations clientes - Droits d'administrateur complet du partenaire et d'administrateur complet requis.
- Gestion des organisations locataires affectées - Droits d’administrateur partenaire et d’administrateur complet requis.
Architecture du domaine de la sécurité
L'architecture cloud de Webex sépare différents types de services en domaines distincts, ou domaines de confiance, comme illustré ci-dessous.
Pour mieux comprendre la sécurité des données hybrides, examinons d'abord ce cas de cloud pur, où Cisco fournit toutes les fonctions dans ses royaumes cloud. Le service d'identité, le seul endroit où les utilisateurs peuvent être directement corrélés à leurs informations personnelles telles que l'adresse e-mail, est logiquement et physiquement séparé du domaine de la sécurité dans le centre de données B. Les deux sont à leur tour séparés du domaine où le contenu crypté est finalement stocké, dans le centre de données C.
Dans ce schéma, le client est l'application Webex fonctionnant sur l'ordinateur portable d'un utilisateur, et s'est authentifié avec le service d'identité. Lorsque l’utilisateur compose un message à envoyer dans un espace, les étapes suivantes ont lieu :
-
Le client établit une connexion sécurisée avec le service de gestion de clés (KMS), puis demande une clé pour chiffrer le message. La connexion sécurisée utilise ECDH, et le KMS chiffre la clé à l'aide d'une clé maître AES-256.
-
Le message est crypté avant de quitter le client. Le client l'envoie au service d'indexation, qui crée des index de recherche chiffrés pour faciliter les recherches futures du contenu.
-
Le message chiffré est envoyé au service conformité pour vérification de la conformité.
-
Le message chiffré est stocké dans le domaine de stockage.
Lorsque vous déployez la sécurité des données hybride, vous déplacez les fonctions du domaine de la sécurité (KMS, indexation et conformité) vers votre centre de données sur site. Les autres services cloud qui composent Webex (y compris l'identité et le stockage de contenu) restent dans les royaumes de Cisco.
Collaboration avec d'autres organisations
Les utilisateurs de votre organisation peuvent utiliser régulièrement Webex App pour collaborer avec des participants externes d'autres organisations. Lorsque l'un de vos utilisateurs demande une clé pour un espace appartenant à votre organisation (parce qu'il a été créé par l'un de vos utilisateurs), votre KMS envoie la clé au client via un canal sécurisé ECDH. Cependant, lorsqu'une autre organisation possède la clé pour l'espace, votre KMS achemine la requête vers le cloud Webex via un canal ECDH séparé pour obtenir la clé du KMS approprié, puis retourne la clé à votre utilisateur sur le canal d'origine.
Le service KMS exécuté sur Org A valide les connexions aux KMS dans d'autres organisations à l'aide de certificats PKI x.509. Voir Préparer votre environnement pour plus de détails sur la génération d'un certificat x.509 à utiliser avec votre déploiement de sécurité des données hybride multi-tenant.
Attentes pour le déploiement de la sécurité des données hybride
Un déploiement Hybrid Data Security nécessite un engagement significatif et une prise de conscience des risques liés à la possession de clés de chiffrement.
Pour déployer la sécurité des données hybride, vous devez fournir :
-
Un centre de données sécurisé dans un pays qui est un emplacement pris en charge pour les plans Cisco Webex Teams.
-
Les équipements, logiciels et accès au réseau décrits dans Préparez votre environnement.
La perte complète de la configuration ISO que vous créez pour Hybrid Data Security ou de la base de données que vous fournissez entraînera la perte des clés. La perte de clé empêche les utilisateurs de déchiffrer le contenu spatial et d'autres données chiffrées dans l'application Webex. Si cela se produit, vous pouvez créer un nouveau déploiement, mais seul le nouveau contenu sera visible. Pour éviter la perte d’accès aux données, vous devez :
-
Gérer la sauvegarde et la récupération de la base de données et de la configuration ISO.
-
Soyez prêt à effectuer une reprise rapide après sinistre en cas de catastrophe, comme une défaillance du disque de base de données ou une catastrophe du centre de données.
Il n'y a pas de mécanisme pour déplacer les clés vers le Cloud après un déploiement HDS.
Processus de configuration de haut niveau
Ce document couvre la configuration et la gestion d’un déploiement Multi-Tenant Hybrid Data Security :
-
Configuration de la sécurité des données hybrides—Cela comprend la préparation de l'infrastructure requise et l'installation du logiciel de sécurité des données hybrides, la construction d'un cluster HDS, l'ajout d'organisations locataires au cluster et la gestion de leurs clés principales clients (CMK). Cela permettra à tous les utilisateurs de vos organisations clientes d'utiliser votre cluster Hybrid Data Security pour les fonctions de sécurité.
Les phases de configuration, d'activation et de gestion sont abordées en détail dans les trois chapitres suivants.
-
Maintenez votre déploiement Hybrid Data Security—Le cloud Webex fournit automatiquement des mises à niveau continues. Votre service informatique peut fournir un support de niveau un pour ce déploiement et engager le support Cisco si nécessaire. Vous pouvez utiliser des notifications à l'écran et configurer des alertes par e-mail dans Partner Hub.
-
Comprendre les alertes courantes, les étapes de dépannage et les problèmes connus—Si vous rencontrez des problèmes lors du déploiement ou de l'utilisation de Hybrid Data Security, le dernier chapitre de ce guide et l'annexe Problèmes connus peuvent vous aider à déterminer et à résoudre le problème.
Modèle hybride de déploiement de la sécurité des données
Au sein de votre centre de données d'entreprise, vous déployez Hybrid Data Security comme un seul groupe de nœuds sur des hôtes virtuels séparés. Les nœuds communiquent avec le cloud Webex via des sockets Web sécurisées et HTTP sécurisées.
Pendant le processus d'installation, nous vous fournissons le fichier OVA pour configurer l'appareil virtuel sur les VM que vous fournissez. Vous utilisez l'outil de configuration HDS pour créer un fichier ISO de configuration de cluster personnalisé que vous montez sur chaque nœud. Le cluster Hybrid Data Security utilise votre serveur Syslogd fourni et la base de données PostgreSQL ou Microsoft SQL Server. (Vous configurez le Syslogd et les détails de connexion de la base de données dans l'outil de configuration HDS.)
Le nombre minimum de nœuds que vous pouvez avoir dans un cluster est de deux. Nous recommandons au moins trois par cluster. Le fait d'avoir plusieurs noeuds garantit que le service n'est pas interrompu lors d'une mise à niveau logicielle ou d'une autre activité de maintenance sur un noeud. (Le cloud Webex ne met à jour qu'un nœud à la fois.)
Tous les noeuds d'un cluster accèdent au même magasin de données clés et à l'activité de journal sur le même serveur syslog. Les nœuds eux-mêmes sont apatrides, et traitent les requêtes clés de façon ronde, comme le veut le cloud.
Les nœuds deviennent actifs lorsque vous les enregistrez dans Partner Hub. Pour mettre hors service un nœud individuel, vous pouvez le désenregistrer, et plus tard le reregister si nécessaire.
Centre de données de secours pour la reprise après sinistre
Pendant le déploiement, vous mettez en place un centre de données de secours sécurisé. En cas de catastrophe du centre de données, vous pouvez manuellement échouer votre déploiement vers le centre de données de secours.
Les bases de données des centres de données actifs et de veille sont synchronisées entre elles ce qui minimisera le temps nécessaire pour effectuer le basculement.
Les nœuds de sécurité des données hybrides actifs doivent toujours être dans le même centre de données que le serveur de base de données actif.
Prise en charge des mandataires
La sécurité des données hybride prend en charge les proxys explicites, transparents et non-inspecteurs. Vous pouvez lier ces proxys à votre déploiement afin que vous puissiez sécuriser et surveiller le trafic de l'entreprise vers le cloud. Vous pouvez utiliser une interface d'administration de plateforme sur les nœuds pour la gestion des certificats et pour vérifier l'état global de la connectivité après avoir configuré le proxy sur les nœuds.
Les nœuds de sécurité des données hybrides prennent en charge les options proxy suivantes :
-
Pas de proxy—La valeur par défaut si vous n'utilisez pas la configuration du nœud HDS Trust Store & Proxy pour intégrer un proxy. Aucune mise à jour du certificat n’est nécessaire.
-
Proxy transparent non inspectant — Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy non inspectant. Aucune mise à jour du certificat n’est nécessaire.
-
Proxy transparent à effet tunnel ou inspection—Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucun changement de configuration HTTP ou HTTPS n'est nécessaire sur les nœuds. Cependant, les nœuds ont besoin d'un certificat racine pour qu'ils fassent confiance au proxy. L'inspection des proxys est généralement utilisée par les TI pour appliquer les politiques sur les sites Web qui peuvent être visités et les types de contenu qui ne sont pas autorisés. Ce type de proxy décrypte tout votre trafic (même HTTPS).
-
Proxy explicite—Avec le proxy explicite, vous indiquez aux nœuds HDS quel serveur proxy et quel schéma d'authentification utiliser. Pour configurer un proxy explicite, il faut saisir les informations suivantes sur chaque nœud :
-
IP/FQDN proxy—Adresse qui peut être utilisée pour atteindre la machine proxy.
-
Port proxy—Numéro de port que le proxy utilise pour écouter le trafic protégé.
-
Protocole proxy—En fonction de ce que votre serveur proxy prend en charge, choisissez entre les protocoles suivants :
-
HTTP — Visualise et contrôle toutes les requêtes que le client envoie.
-
HTTPS — Fournit un canal au serveur. Le client reçoit et valide le certificat du serveur.
-
-
Type d’authentification—Choisissez parmi les types d’authentification suivants :
-
Aucune - Aucune autre authentification n'est requise.
Disponible si vous sélectionnez HTTP ou HTTPS comme protocole proxy.
-
Basique – Utilisé pour qu’un agent utilisateur HTTP fournisse un nom d’utilisateur et un mot de passe lors d’une demande. Utilise l'encodage Base64.
Disponible si vous sélectionnez HTTP ou HTTPS comme protocole proxy.
Nécessite de saisir le nom d'utilisateur et le mot de passe sur chaque nœud.
-
Digest—Permet de confirmer le compte avant d’envoyer des informations sensibles. Applique une fonction de hachage sur le nom d'utilisateur et le mot de passe avant l'envoi sur le réseau.
Disponible uniquement si vous sélectionnez HTTPS comme protocole proxy.
Nécessite de saisir le nom d'utilisateur et le mot de passe sur chaque nœud.
-
-
Exemple de nœuds hybrides de sécurité des données et de proxy
Ce schéma montre un exemple de connexion entre la sécurité des données hybride, le réseau et un proxy. Pour les options de proxy d'inspection transparente et d'inspection explicite HTTPS, le même certificat racine doit être installé sur le proxy et sur les nœuds de sécurité des données hybrides.
Mode de résolution DNS externe bloqué (configurations proxy explicites)
Lorsque vous enregistrez un noeud ou vérifiez la configuration du serveur mandataire du noeud, le processus teste la recherche DNS et la connectivité au cloud Cisco Webex. Dans les déploiements avec des configurations proxy explicites qui ne permettent pas la résolution DNS externe pour les clients internes, si le noeud ne peut pas interroger les serveurs DNS, il passe automatiquement en mode Résolution DNS externe bloquée. Dans ce mode, l'enregistrement des noeuds et d'autres tests de connectivité proxy peuvent être effectués.
Pripravite svoje okolje
Exigences relatives à la sécurité des données hybrides multi-locataires
Exigences de licence Cisco Webex
Pour déployer la sécurité des données hybride multi-tenant :
-
Organisations partenaires : Contactez votre partenaire ou votre gestionnaire de compte Cisco et assurez-vous que la fonctionnalité Multi-Tenant est activée.
-
Organisations de locataires : Vous devez avoir Pro Pack pour Cisco Webex Control Hub. (Voir https://www.cisco.com/go/pro-pack.)
Exigences du bureau Docker
Avant d'installer vos nœuds HDS, vous avez besoin de Docker Desktop pour exécuter un programme de configuration. Docker a récemment mis à jour son modèle de licence. Votre organisation peut avoir besoin d'un abonnement payant pour Docker Desktop. Pour plus de détails, voir le billet de blog de Docker, « Docker met à jour et étend nos abonnements de produits ».
X.509 Exigences en matière de certificats
La chaîne de certificats doit répondre aux exigences suivantes :
|
Zahteva |
Podrobnosti |
|---|---|
|
Par défaut, nous faisons confiance aux CA dans la liste Mozilla (à l’exception de WoSign et StartCom) à https://wiki.mozilla.org/CA:IncludedCAs. |
|
Le CN n'a pas besoin d'être joignable ou d'être un hôte en direct. Nous vous recommandons d’utiliser un nom qui reflète votre organisation, par exemple La NC ne doit pas contenir de * (joker). Le CN est utilisé pour vérifier les nœuds hybrides de sécurité des données aux clients de l'application Webex. Tous les nœuds Hybrid Data Security de votre cluster utilisent le même certificat. Votre KMS s'identifie à l'aide du domaine CN, et non à tout domaine défini dans les champs SAN x.509v3. Une fois que vous avez enregistré un nœud avec ce certificat, nous ne soutenons pas le changement du nom de domaine CN. |
|
Le logiciel KMS ne prend pas en charge les signatures SHA1 pour valider les connexions aux KMS d'autres organisations. |
|
Vous pouvez utiliser un convertisseur comme OpenSSL pour modifier le format de votre certificat. Vous devrez saisir le mot de passe lorsque vous exécuterez l'outil de configuration HDS. |
Le logiciel KMS n'applique pas de contraintes d'utilisation des clés ou d'utilisation des clés étendues. Certaines autorités de certification exigent que des contraintes étendues d'utilisation des clés soient appliquées à chaque certificat, comme l'authentification du serveur. Il est acceptable d'utiliser l'authentification du serveur ou d'autres paramètres.
Exigences de l'hôte virtuel
Les hôtes virtuels que vous allez configurer en tant que nœuds hybrides de sécurité des données dans votre cluster répondent aux exigences suivantes :
-
Au moins deux hôtes séparés (3 recommandés) colocalisés dans le même centre de données sécurisé
-
VMware ESXi 7.0 (ou version ultérieure) installé et en cours d'exécution.
Vous devez mettre à niveau si vous avez une version antérieure d'ESXi.
-
4 vCPUs minimum, 8 Go de mémoire principale, 30 Go d'espace disque dur local par serveur
Exigences du serveur de base de données
Créer une nouvelle base de données pour le stockage des clés. Ne pas utiliser la base de données par défaut. Les applications HDS, une fois installées, créent le schéma de la base de données.
Il y a deux options pour le serveur de base de données. Les exigences pour chacun d'eux sont les suivantes :
|
PostgreSQL |
Microsoft SQL Server |
|---|---|
|
|
|
Minimum 8 vCPU, mémoire principale de 16 Go, espace disque dur suffisant et surveillance pour s'assurer qu'il n'est pas dépassé (2 To recommandé si vous voulez exécuter la base de données pendant une longue période sans avoir besoin d'augmenter le stockage) |
Minimum 8 vCPU, mémoire principale de 16 Go, espace disque dur suffisant et surveillance pour s'assurer qu'il n'est pas dépassé (2 To recommandé si vous voulez exécuter la base de données pendant une longue période sans avoir besoin d'augmenter le stockage) |
Le logiciel HDS installe actuellement les versions de pilotes suivantes pour la communication avec le serveur de base de données :
|
PostgreSQL |
Microsoft SQL Server |
|---|---|
|
Le pilote Postgres JDBC 42.2.5 |
Pilote SQL Server JDBC 4.6 Cette version du pilote prend en charge SQL Server Always On (Always On Failover Cluster Instances et Always On groupes de disponibilité). |
Exigences supplémentaires pour l'authentification Windows contre Microsoft SQL Server
Si vous voulez que les nœuds HDS utilisent l'authentification Windows pour accéder à votre base de données keystore sur Microsoft SQL Server, vous avez besoin de la configuration suivante dans votre environnement :
-
Les nœuds HDS, l'infrastructure Active Directory et MS SQL Server doivent tous être synchronisés avec NTP.
-
Le compte Windows que vous fournissez aux nœuds HDS doit avoir un accès en lecture/écriture à la base de données.
-
Les serveurs DNS que vous fournissez aux nœuds HDS doivent être en mesure de résoudre votre centre de distribution de clés (KDC).
-
Vous pouvez enregistrer l'instance de base de données HDS sur votre Microsoft SQL Server en tant que Service Principal Name (SPN) sur votre Active Directory. Voir Enregistrer un nom principal de service pour Kerberos Connections.
L'outil de configuration HDS, le lanceur HDS et le KMS local doivent tous utiliser l'authentification Windows pour accéder à la base de données du magasin de clés. Ils utilisent les détails de votre configuration ISO pour construire le SPN lors de la demande d'accès avec authentification Kerberos.
Exigences de connectivité externe
Configurez votre pare-feu pour permettre la connectivité suivante pour les applications HDS :
|
Aplikacija |
Protokol |
Vrata |
Direction depuis l'application |
Cilj |
|---|---|---|---|---|
|
Nœuds hybrides de sécurité des données |
TCP |
443 |
HTTPS et WSS sortants |
|
|
Outil de configuration du HDS |
TCP |
443 |
HTTPS sortante |
|
Les nœuds de sécurité des données hybrides fonctionnent avec la traduction d'accès au réseau (NAT) ou derrière un pare-feu, à condition que le NAT ou le pare-feu permettent les connexions sortantes requises vers les destinations de domaine du tableau précédent. Pour les connexions entrant dans les nœuds de sécurité des données hybrides, aucun port ne doit être visible depuis Internet. Au sein de votre data center, les clients ont besoin d'accéder aux nœuds de sécurité des données hybrides sur les ports TCP 443 et 22, à des fins administratives.
Les URL des hôtes d'identité commune (CI) sont spécifiques à une région. Voici les hôtes CI actuels :
|
Regija |
URL de l'hôte d'identité commune |
|---|---|
|
Ameriki |
|
|
Union européenne |
|
|
Kanada |
|
| Singapur |
|
| Združeni Arabski Emirati |
|
Exigences relatives au serveur mandataire
-
Nous soutenons officiellement les solutions proxy suivantes qui peuvent s'intégrer à vos nœuds de sécurité des données hybrides.
-
Proxy transparent – Cisco Web Security Appliance (WSA).
-
Proxy explicite - Squid.
Les proxies squid qui inspectent le trafic HTTPS peuvent interférer avec l'établissement de connexions websocket (wss:). Pour résoudre ce problème, voir Configurer les proxys squid pour la sécurité des données hybrides.
-
-
Nous supportons les combinaisons de types d'authentification suivantes pour les proxys explicites :
-
Pas d'authentification avec HTTP ou HTTPS
-
Authentification de base avec HTTP ou HTTPS
-
Authentification Digest avec HTTPS uniquement
-
-
Pour un proxy d'inspection transparent ou un proxy explicite HTTPS, vous devez avoir une copie du certificat racine du proxy. Les instructions de déploiement de ce guide vous indiquent comment télécharger la copie dans les magasins de confiance des nœuds de sécurité des données hybrides.
-
Le réseau hébergeant les noeuds HDS doit être configuré pour forcer le trafic TCP sortant sur le port 443 à passer par le proxy.
-
Les proxys qui inspectent le trafic Web peuvent interférer avec les connexions de socket Web. Si ce problème se produit, contourner (ne pas inspecter) le trafic vers
wbx2.cometciscospark.comrésoudra le problème.
Remplir les conditions préalables à la sécurité des données hybrides
| 1 |
Assurez-vous que votre organisation partenaire dispose de la fonctionnalité HDS multi-locataire activée et obtenez les identifiants d'un compte avec l'administrateur complet partenaire et les droits d'administrateur complet. Assurez-vous que votre organisation client Webex est activée pour Pro Pack pour Cisco Webex Control Hub. Contactez votre partenaire Cisco ou votre gestionnaire de compte pour obtenir de l'aide dans ce processus. Les organisations clientes ne doivent pas avoir de déploiement HDS existant. |
| 2 |
Choisissez un nom de domaine pour votre déploiement HDS (par exemple, |
| 3 |
Préparez des hôtes virtuels identiques que vous allez configurer comme nœuds hybrides de sécurité des données dans votre cluster. Vous avez besoin d'au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé, qui répondent aux exigences de la Virtual Host Requirements. |
| 4 |
Préparer le serveur de base de données qui servira de magasin de données clés pour le cluster, conformément aux Exigences du serveur de base de données. Le serveur de base de données doit être colocé dans le centre de données sécurisé avec les hôtes virtuels. |
| 5 |
Pour une reprise rapide après sinistre, configurez un environnement de sauvegarde dans un centre de données différent. L'environnement de sauvegarde reflète l'environnement de production des VM et d'un serveur de base de données de sauvegarde. Par exemple, si la production a 3 VM exécutant des noeuds HDS, l'environnement de sauvegarde devrait avoir 3 VM. |
| 6 |
Configurer un hôte syslog pour collecter les journaux des nœuds du cluster. Recueillir son adresse réseau et son port syslog (par défaut UDP 514). |
| 7 |
Créez une politique de sauvegarde sécurisée pour les nœuds Hybrid Data Security, le serveur de base de données et l'hôte syslog. Au minimum, pour éviter les pertes de données irrécupérables, vous devez sauvegarder la base de données et le fichier ISO de configuration généré pour les nœuds Hybrid Data Security. Étant donné que les nœuds hybrides de sécurité des données stockent les clés utilisées pour le chiffrement et le déchiffrement du contenu, le non-maintien d’un déploiement opérationnel entraînera la PERTE IRRÉCUPÉRABLE de ce contenu. Les clients de l'application Webex cachent leurs clés, de sorte qu'une panne peut ne pas être immédiatement perceptible mais deviendra évidente au fil du temps. Bien que les pannes temporaires soient impossibles à prévenir, elles sont récupérables. Cependant, la perte complète (aucune sauvegarde disponible) de la base de données ou du fichier ISO de configuration entraînera des données client irrécupérables. Les opérateurs des nœuds de sécurité des données hybrides sont censés maintenir des sauvegardes fréquentes de la base de données et du fichier ISO de configuration, et être prêts à reconstruire le centre de données hybride de sécurité des données en cas de défaillance catastrophique. |
| 8 |
Assurez-vous que votre configuration de pare-feu permet la connectivité de vos nœuds hybrides de sécurité des données, comme indiqué dans Exigences de connectivité externe. |
| 9 |
Installer Docker ( https://www.docker.com) sur toute machine locale exécutant un système d'exploitation pris en charge (Microsoft Windows 10 Professional ou Enterprise 64-bit, ou Mac OSX Yosemite 10.10.3 ou supérieur) avec un navigateur Web qui peut y accéder à l'adresse http://127.0.0.1:8080. Vous utilisez l'instance Docker pour télécharger et exécuter l'outil de configuration HDS, qui construit les informations de configuration locale pour tous les nœuds de sécurité des données hybrides. Vous pourriez avoir besoin d'une licence Docker Desktop. Voir Exigences du bureau Docker pour plus d'informations. Pour installer et exécuter l'outil de configuration HDS, la machine locale doit avoir la connectivité décrite dans Exigences de connectivité externe. |
| 10 |
Si vous intégrez un proxy avec Hybrid Data Security, assurez-vous qu'il répond aux exigences du serveur proxy. |
Mettre en place un cluster hybride de sécurité des données
Flux des tâches de déploiement de la sécurité des données hybride
| 1 |
Effectuer la configuration initiale et télécharger les fichiers d'installation Téléchargez le fichier OVA sur votre machine locale pour une utilisation ultérieure. |
| 2 |
Créer une configuration ISO pour les hôtes HDS Utiliser l'outil de configuration HDS pour créer un fichier de configuration ISO pour les nœuds hybrides de sécurité des données. |
| 3 |
Créez une machine virtuelle à partir du fichier OVA et effectuez la configuration initiale, comme les paramètres réseau. L'option de configurer les paramètres réseau pendant le déploiement d'OVA a été testée avec ESXi 7.0. L'option peut ne pas être disponible dans les versions précédentes. |
| 4 |
Configurer la VM Hybrid Data Security Connectez-vous à la console VM et définissez les identifiants de connexion. Configurez les paramètres réseau du noeud si vous ne les avez pas configurés au moment du déploiement d'OVA. |
| 5 |
Télécharger et monter la configuration HDS ISO Configurez la VM à partir du fichier de configuration ISO que vous avez créé avec l'outil de configuration HDS. |
| 6 |
Configurer le noeud HDS pour l'intégration de proxy Si l'environnement réseau nécessite une configuration proxy, spécifiez le type de proxy que vous utiliserez pour le noeud, et ajoutez le certificat proxy au magasin de confiance si nécessaire. |
| 7 |
Enregistrer le premier noeud du cluster Enregistrez la VM avec le cloud Cisco Webex en tant que nœud hybride de sécurité des données. |
| 8 |
Créer et enregistrer plus de nœuds Terminer la configuration du cluster. |
| 9 |
Activer Multi-Tenant HDS sur Partner Hub. Activer HDS et gérer les organisations de locataires sur Partner Hub. |
Effectuer la configuration initiale et télécharger les fichiers d'installation
Dans cette tâche, vous téléchargez un fichier OVA sur votre machine (et non sur les serveurs que vous avez configurés en tant que nœuds de sécurité des données hybrides). Vous utilisez ce fichier plus tard dans le processus d'installation.
| 1 |
Connectez-vous à Partner Hub, puis cliquez sur Services. |
| 2 |
Dans la section Cloud Services, recherchez la carte Hybrid Data Security, puis cliquez sur Configurer. Cliquer sur Configurer dans Partner Hub est essentiel pour le processus de déploiement. Ne pas procéder à l'installation sans avoir terminé cette étape. |
| 3 |
Cliquez sur Ajouter une ressource et cliquez sur Télécharger le fichier .OVA sur la carte Installer et configurer le logiciel . Les anciennes versions du progiciel (OVA) ne seront pas compatibles avec les dernières mises à niveau Hybrid Data Security. Cela peut entraîner des problèmes lors de la mise à niveau de l'application. Assurez-vous de télécharger la dernière version du fichier OVA. Vous pouvez également télécharger l’OVA à tout moment depuis la section Aide . Cliquez sur . Le téléchargement du fichier OVA commence automatiquement. Enregistrez le fichier à un emplacement sur votre machine.
|
| 4 |
En option, cliquez sur Voir le guide de déploiement de la sécurité des données hybrides pour vérifier si une version ultérieure de ce guide est disponible. |
Créer une configuration ISO pour les hôtes HDS
Le processus de configuration de la sécurité des données hybride crée un fichier ISO. Vous utilisez ensuite l'ISO pour configurer votre hôte Hybrid Data Security.
Avant de commencer
-
L'outil de configuration HDS fonctionne comme un conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les identifiants d'un compte Partner Hub avec tous les droits d'administrateur.
Si l'outil de configuration HDS fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, identifiants) via les variables d'environnement Docker lors de l'activation du conteneur Docker à l'étape 5 ci-dessous. Ce tableau donne quelques variables d'environnement possibles :
Opis
Spremenljivka
Serveur mandataire HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS Proxy sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS Proxy avec authentification
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Le fichier de configuration ISO que vous générez contient la clé maître chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous effectuez des changements de configuration, comme ceux-ci :
-
Identifiants de la base de données
-
Mises à jour du certificat
-
Modifications de la politique d'autorisation
-
-
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
| 1 |
Sur la ligne de commande de votre machine, saisissez la commande appropriée pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : Cette étape nettoie les images précédentes de l'outil de configuration HDS. S'il n'y a pas d'images précédentes, il renvoie une erreur que vous pouvez ignorer. | ||||||||||
| 2 |
Pour vous connecter au registre d'images Docker, saisissez : | ||||||||||
| 3 |
A l'invite du mot de passe, saisir ce hachage : | ||||||||||
| 4 |
Téléchargez la dernière image stable pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : | ||||||||||
| 5 |
Lorsque le tirage est terminé, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur fonctionne, vous voyez "Express server listening on port 8080". | ||||||||||
| 6 |
L'outil de configuration ne prend pas en charge la connexion à localhost via http://localhost:8080. Utiliser http://127.0.0.1:8080 pour se connecter à localhost. Utiliser un navigateur Web pour accéder à l'hôte local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L’outil affiche alors l’invite de connexion standard. | ||||||||||
| 7 |
Lorsque vous y êtes invité, entrez vos identifiants de connexion administrateur Partner Hub, puis cliquez sur Se connecter pour autoriser l'accès aux services requis pour la sécurité des données hybrides. | ||||||||||
| 8 |
Sur la page d'aperçu de l'outil de configuration, cliquez sur Démarrer. | ||||||||||
| 9 |
Sur la page Import ISO , vous avez les options suivantes :
| ||||||||||
| 10 |
Vérifiez que votre certificat X.509 répond aux exigences du X.509 Exigences du certificat.
| ||||||||||
| 11 |
Saisissez l'adresse de la base de données et le compte de HDS pour accéder à votre magasin de données clé : | ||||||||||
| 12 |
Sélectionner un mode de connexion à la base de données TLS:
Lorsque vous téléchargez le certificat racine (si nécessaire) et cliquez sur Continuer, l’outil de configuration HDS teste la connexion TLS au serveur de base de données. L'outil vérifie également le signataire du certificat et le nom d'hôte, le cas échéant. Si un test échoue, l’outil affiche un message d’erreur décrivant le problème. Vous pouvez choisir d'ignorer l'erreur et de continuer avec la configuration. (En raison de différences de connectivité, les nœuds HDS pourraient être en mesure d'établir la connexion TLS même si la machine HDS Setup Tool ne peut pas la tester avec succès.) | ||||||||||
| 13 |
Sur la page System Logs, configurez votre serveur Syslogd : | ||||||||||
| 14 |
(Facultatif) Vous pouvez modifier la valeur par défaut pour certains paramètres de connexion à la base de données dans Paramètres avancés. Généralement, ce paramètre est le seul que vous pourriez vouloir modifier : | ||||||||||
| 15 |
Cliquez sur Continue sur l’écran Reset Service Accounts Password . Les mots de passe des comptes de service ont une durée de vie de neuf mois. Utilisez cet écran lorsque vos mots de passe sont sur le point d'expiration ou lorsque vous souhaitez les réinitialiser pour invalider les fichiers ISO précédents. | ||||||||||
| 16 |
Cliquez sur Download ISO File. Enregistrez le fichier dans un emplacement facile à trouver. | ||||||||||
| 17 |
Faites une copie de sauvegarde du fichier ISO sur votre système local. Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement maître pour le contenu de la base de données. Restreindre l'accès aux seuls administrateurs Hybrid Data Security qui doivent effectuer des modifications de configuration. | ||||||||||
| 18 |
Pour arrêter l’outil de configuration, taper |
Que faire ensuite
Sauvegarder le fichier ISO de configuration. Vous en avez besoin pour créer plus de nœuds pour la récupération, ou pour faire des changements de configuration. Si vous perdez toutes les copies du fichier ISO, vous avez également perdu la clé principale. Récupérer les clés de votre base de données PostgreSQL ou Microsoft SQL Server n'est pas possible.
Nous n'avons jamais une copie de cette clé et ne pouvons pas vous aider si vous la perdez.
Installer l'OVA hôte HDS
| 1 |
Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi. |
| 2 |
Sélectionner File > Deploy OVF Template. |
| 3 |
Dans l’assistant, spécifiez l’emplacement du fichier OVA que vous avez téléchargé précédemment, puis cliquez sur Suivant. |
| 4 |
Sur la page Sélectionner un nom et un dossier , saisir un Nom de la machine virtuelle pour le noeud (par exemple, "HDS_Node_1"), choisir un emplacement où peut résider le déploiement du noeud de la machine virtuelle, puis cliquer sur Suivant. |
| 5 |
Sur la page Sélectionner une ressource de calcul , choisir la ressource de calcul de destination, puis cliquer sur Suivant. Un contrôle de validation est effectué. Une fois terminé, les détails du modèle apparaissent. |
| 6 |
Vérifiez les détails du modèle, puis cliquez sur Suivant. |
| 7 |
Si vous êtes invité à choisir la configuration des ressources sur la page Configuration , cliquez sur 4 CPU puis sur Suivant. |
| 8 |
Sur la page Select storage , cliquez sur Next pour accepter le format de disque par défaut et la politique de stockage des VM. |
| 9 |
Sur la page Sélectionner les réseaux , choisir l’option réseau dans la liste des entrées pour fournir la connectivité souhaitée à la VM. |
| 10 |
Sur la page Personnaliser le modèle , configurer les paramètres réseau suivants :
Si vous préférez, vous pouvez sauter la configuration des paramètres réseau et suivre les étapes de Configurer la VM hybride de sécurité des données pour configurer les paramètres à partir de la console de noeud. L'option de configurer les paramètres réseau pendant le déploiement d'OVA a été testée avec ESXi 7.0. L'option peut ne pas être disponible dans les versions précédentes. |
| 11 |
Faire un clic droit sur la VM du noeud, puis choisir . Le logiciel de sécurité des données hybride est installé en tant qu'invité sur l'hôte de la VM. Vous êtes maintenant prêt à vous connecter à la console et à configurer le nœud. Conseils de dépannage Il se peut que vous connaissiez un délai de quelques minutes avant que les conteneurs de nœuds ne se présentent. Un message pare-feu passerelle apparaît sur la console lors du premier démarrage, au cours duquel vous ne pouvez pas vous connecter. |
Configurer la VM Hybrid Data Security
Utilisez cette procédure pour vous connecter pour la première fois à la console VM du nœud hybride de sécurité des données et définir les identifiants de connexion. Vous pouvez également utiliser la console pour configurer les paramètres réseau pour le noeud si vous ne les avez pas configurés au moment du déploiement d'OVA.
| 1 |
Dans le client VMware vSphere, sélectionnez votre VM Hybrid Data Security node et sélectionnez l’onglet Console . La VM démarre et une invite de connexion apparaît. Si l’invite de connexion ne s’affiche pas, appuyer sur Entrée.
|
| 2 |
Utilisez l'identifiant et le mot de passe par défaut suivants pour vous connecter et modifier les identifiants : Comme vous vous connectez à votre VM pour la première fois, vous devez modifier le mot de passe administrateur. |
| 3 |
Si vous avez déjà configuré les paramètres réseau dans Installer le HDS Host OVA, ignorez le reste de cette procédure. Sinon, dans le menu principal, sélectionner l’option Modifier la configuration . |
| 4 |
Paramétrer une configuration statique avec les informations d'adresse IP, de masque, de passerelle et DNS. Votre nœud doit avoir une adresse IP interne et un nom DNS. DHCP n'est pas pris en charge. |
| 5 |
(Facultatif) Modifiez le nom d'hôte, le domaine ou le(s) serveur(s) NTP, si nécessaire pour correspondre à votre politique réseau. Vous n'avez pas besoin de définir le domaine correspondant au domaine que vous avez utilisé pour obtenir le certificat X.509. |
| 6 |
Enregistrez la configuration réseau et redémarrez la VM pour que les modifications prennent effet. |
Télécharger et monter la configuration HDS ISO
Avant de commencer
Étant donné que le fichier ISO détient la clé principale, il ne devrait être exposé que sur la base du « besoin d'en connaître », pour l'accès aux VM Hybrid Data Security et aux administrateurs qui pourraient avoir besoin d'apporter des modifications. S'assurer que seuls ces administrateurs peuvent accéder au datastore.
| 1 |
Téléchargez le fichier ISO depuis votre ordinateur : |
| 2 |
Monter le fichier ISO : |
Que faire ensuite
Si votre politique informatique le nécessite, vous pouvez éventuellement démonter le fichier ISO après que tous vos nœuds aient détecté les changements de configuration. Voir (Optionnel) Démonter ISO après la configuration HDS pour plus de détails.
Configurer le noeud HDS pour l'intégration de proxy
Si l'environnement réseau nécessite un proxy, utilisez cette procédure pour spécifier le type de proxy que vous souhaitez intégrer à Hybrid Data Security. Si vous choisissez un proxy d'inspection transparent ou un proxy explicite HTTPS, vous pouvez utiliser l'interface du noeud pour télécharger et installer le certificat racine. Vous pouvez également vérifier la connexion proxy à partir de l'interface, et résoudre tout problème potentiel.
Avant de commencer
-
Voir Prise en charge des proxy pour un aperçu des options de proxy prises en charge.
| 1 |
Saisissez l'URL de configuration du noeud HDS |
| 2 |
Allez dans Trust Store & Proxy, puis choisissez une option :
Suivez les étapes suivantes pour un proxy d'inspection transparent, un proxy explicite HTTP avec authentification de base, ou un proxy explicite HTTPS. |
| 3 |
Cliquez sur Télécharger un certificat racine ou un certificat d'entité finale, puis accédez à un choix du certificat racine pour le mandataire. Le certificat est téléchargé mais pas encore installé car vous devez redémarrer le nœud pour installer le certificat. Cliquez sur la flèche chevron par le nom de l'émetteur du certificat pour obtenir plus de détails ou cliquez sur Supprimer si vous avez commis une erreur et que vous souhaitez recharger le fichier. |
| 4 |
Cliquez sur Vérifier la connexion du serveur mandataire pour tester la connectivité réseau entre le noeud et le serveur mandataire. Si le test de connexion échoue, vous verrez un message d'erreur qui indique la raison et comment vous pouvez corriger le problème. Si vous voyez un message disant que la résolution DNS externe n'a pas réussi, le noeud n'a pas pu atteindre le serveur DNS. Cette condition est attendue dans de nombreuses configurations de proxy explicites. Vous pouvez continuer avec la configuration, et le noeud fonctionnera en mode Résolution DNS externe bloquée. Si vous pensez qu'il s'agit d'une erreur, effectuez ces étapes, puis consultez Désactiver le mode de résolution DNS externe bloqué. |
| 5 |
Une fois le test de connexion réussi, pour le proxy explicite réglé sur https uniquement, activez la bascule sur Acheminer toutes les requêtes https du port 443/444 de ce noeud via le proxy explicite. Ce réglage nécessite 15 secondes pour prendre effet. |
| 6 |
Cliquez sur Installer tous les certificats dans le Trust Store (s'affiche pour un proxy explicite HTTPS ou un proxy d'inspection transparent) ou sur Redémarrer (s'affiche pour un proxy explicite HTTP), lisez l'invite, puis cliquez sur Installer si vous êtes prêt. Le nœud redémarre en quelques minutes. |
| 7 |
Après le redémarrage du noeud, connectez-vous à nouveau si nécessaire, puis ouvrez la page Aperçu pour vérifier les contrôles de connectivité afin de s’assurer qu’ils sont tous en vert. Le contrôle de connexion proxy teste uniquement un sous-domaine de webex.com. S'il y a des problèmes de connectivité, un problème commun est que certains des domaines cloud listés dans les instructions d'installation sont bloqués au niveau du proxy. |
Enregistrer le premier noeud du cluster
Lorsque vous enregistrez votre premier noeud, vous créez un cluster auquel le noeud est affecté. Une grappe contient un ou plusieurs noeuds déployés pour assurer la redondance.
Avant de commencer
-
Une fois que vous commencez l'enregistrement d'un nœud, vous devez le terminer dans les 60 minutes ou vous devez recommencer.
-
Assurez-vous que tous les bloqueurs pop-up de votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.
| 1 |
Se connecter à https://admin.webex.com. |
| 2 |
Dans le menu à gauche de l’écran, sélectionner Services. |
| 3 |
Dans la section Cloud Services, recherchez la carte Hybrid Data Security et cliquez sur Configurer. |
| 4 |
Dans la page qui s’ouvre, cliquez sur Ajouter une ressource. |
| 5 |
Dans le premier champ de la carte Ajouter un noeud , saisissez un nom pour le cluster auquel vous souhaitez affecter votre noeud Hybrid Data Security. Nous vous recommandons de nommer un cluster en fonction de l'emplacement géographique des nœuds du cluster. Exemples : "San Francisco" ou "New York" ou "Dallas" |
| 6 |
Dans le deuxième champ, saisissez l’adresse IP interne ou le nom de domaine entièrement qualifié (FQDN) de votre noeud et cliquez sur Ajouter en bas de l’écran. Cette adresse IP ou FQDN doit correspondre à l'adresse IP ou au nom d'hôte et au domaine que vous avez utilisés dans Configurer la VM hybride de sécurité des données. Un message apparaît indiquant que vous pouvez enregistrer votre nœud sur le Webex.
|
| 7 |
Cliquez sur Aller au noeud. Après quelques instants, vous êtes redirigé vers les tests de connectivité des nœuds pour les services Webex. Si tous les tests sont réussis, la page Allow Access to Hybrid Data Security Node (Autoriser l'accès au noeud de sécurité des données hybride) apparaît. Là, vous confirmez que vous souhaitez donner des autorisations à votre organisation Webex pour accéder à votre nœud. |
| 8 |
Cochez la case Autoriser l'accès à votre noeud hybride de sécurité des données , puis cliquez sur Continuer. Votre compte est validé et le message « Registration Complete » indique que votre nœud est désormais enregistré dans le cloud Webex.
|
| 9 |
Cliquez sur le lien ou fermez l'onglet pour revenir à la page Partner Hub Hybrid Data Security. Sur la page Hybrid Data Security , le nouveau cluster contenant le nœud que vous avez enregistré s’affiche sous l’onglet Ressources . Le nœud télécharge automatiquement les derniers logiciels depuis le cloud.
|
Créer et enregistrer plus de nœuds
Avant de commencer
-
Une fois que vous commencez l'enregistrement d'un nœud, vous devez le terminer dans les 60 minutes ou vous devez recommencer.
-
Assurez-vous que tous les bloqueurs pop-up de votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.
| 1 |
Créer une nouvelle machine virtuelle à partir de l'OVA, en répétant les étapes de Installer l'OVA hôte HDS. |
| 2 |
Configurer la configuration initiale sur la nouvelle VM en répétant les étapes de Configurer la VM hybride de sécurité des données. |
| 3 |
Sur la nouvelle VM, répéter les étapes de Télécharger et monter la configuration HDS ISO. |
| 4 |
Si vous configurez un proxy pour votre déploiement, répétez les étapes de Configurer le noeud HDS pour l'intégration de proxy si nécessaire pour le nouveau noeud. |
| 5 |
Enregistrez le noeud. |
Gérer les organisations de locataires sur la sécurité des données hybride multi-locataires
Activer HDS Multi-Tenant sur Partner Hub
Cette tâche permet à tous les utilisateurs des organisations clientes de commencer à utiliser HDS pour les clés de chiffrement sur site et d'autres services de sécurité.
Avant de commencer
Assurez-vous que vous avez terminé la configuration de votre cluster HDS Multi-Tenant avec le nombre de nœuds requis.
| 1 |
Se connecter à https://admin.webex.com. |
| 2 |
Dans le menu à gauche de l’écran, sélectionner Services. |
| 3 |
Dans la section Cloud Services, recherchez Hybrid Data Security et cliquez sur Edit Settings. |
| 4 |
Cliquer sur Activer HDS sur la carte HDS Status . |
Ajouter des organisations de locataires dans Partner Hub
Dans cette tâche, vous attribuez des organisations clientes à votre Cluster hybride de sécurité des données.
| 1 |
Se connecter à https://admin.webex.com. |
| 2 |
Dans le menu à gauche de l’écran, sélectionner Services. |
| 3 |
Dans la section Cloud Services, recherchez Hybrid Data Security et cliquez sur View all. |
| 4 |
Cliquez sur le cluster auquel vous souhaitez affecter un client. |
| 5 |
Accéder à l’onglet Clients affectés . |
| 6 |
Cliquez sur Ajouter des clients. |
| 7 |
Sélectionnez le client que vous souhaitez ajouter dans le menu déroulant. |
| 8 |
Cliquez sur Ajouter, le client sera ajouté au cluster. |
| 9 |
Répétez les étapes 6 à 8 pour ajouter plusieurs clients à votre cluster. |
| 10 |
Cliquez sur Terminé en bas de l’écran une fois que vous avez ajouté les clients. |
Que faire ensuite
Créer des clés principales du client (CMK) à l'aide de l'outil de configuration HDS
Avant de commencer
Affecter les clients au cluster approprié comme détaillé dans Ajouter des organisations de locataires dans Partner Hub. Exécutez l'outil de configuration HDS pour terminer le processus de configuration pour les organisations clients nouvellement ajoutées.
-
L'outil de configuration HDS fonctionne comme un conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les identifiants d'un compte Partner Hub avec tous les droits d'administrateur pour votre organisation.
Si l'outil HDS Setup fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, identifiants) via les variables d'environnement Docker lors de l'activation du conteneur Docker à l'étape 5. Ce tableau donne quelques variables d'environnement possibles :
Opis
Spremenljivka
Serveur mandataire HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS Proxy sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS Proxy avec authentification
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Le fichier de configuration ISO que vous générez contient la clé maître chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous effectuez des changements de configuration, comme ceux-ci :
-
Identifiants de la base de données
-
Mises à jour du certificat
-
Modifications de la politique d'autorisation
-
-
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
Le processus de configuration de la sécurité des données hybride crée un fichier ISO. Vous utilisez ensuite l'ISO pour configurer votre hôte Hybrid Data Security.
| 1 |
Sur la ligne de commande de votre machine, saisissez la commande appropriée pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : Cette étape nettoie les images précédentes de l'outil de configuration HDS. S'il n'y a pas d'images précédentes, il renvoie une erreur que vous pouvez ignorer. |
| 2 |
Pour vous connecter au registre d'images Docker, saisissez : |
| 3 |
A l'invite du mot de passe, saisir ce hachage : |
| 4 |
Téléchargez la dernière image stable pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : |
| 5 |
Lorsque le tirage est terminé, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur fonctionne, vous voyez "Express server listening on port 8080". |
| 6 |
L'outil de configuration ne prend pas en charge la connexion à localhost via http://localhost:8080. Utiliser http://127.0.0.1:8080 pour se connecter à localhost. Utiliser un navigateur Web pour accéder à l'hôte local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L’outil affiche alors l’invite de connexion standard. |
| 7 |
Lorsque vous y êtes invité, entrez vos identifiants de connexion administrateur Partner Hub, puis cliquez sur Se connecter pour autoriser l'accès aux services requis pour la sécurité des données hybrides. |
| 8 |
Sur la page d'aperçu de l'outil de configuration, cliquez sur Démarrer. |
| 9 |
Sur la page ISO Import , cliquez sur Yes. |
| 10 |
Sélectionnez votre fichier ISO dans le navigateur et téléchargez-le. Assurez-vous de la connectivité à votre base de données pour effectuer la gestion CMK. |
| 11 |
Allez dans l’onglet Gestion des CMK des locataires , où vous trouverez les trois façons suivantes de gérer les CMK des locataires.
|
| 12 |
Une fois la création de CMK réussie, le statut dans le tableau passe de gestion de CMK en attente à CMK géré. |
| 13 |
Si la création du CMK échoue, une erreur s'affiche. |
Supprimer les organisations locataires
Avant de commencer
Une fois supprimés, les utilisateurs des organisations clientes ne seront pas en mesure de tirer parti de HDS pour leurs besoins de cryptage et perdront tous les espaces existants. Avant de supprimer les organisations clientes, veuillez contacter votre partenaire Cisco ou votre gestionnaire de compte.
| 1 |
Se connecter à https://admin.webex.com. |
| 2 |
Dans le menu à gauche de l’écran, sélectionner Services. |
| 3 |
Dans la section Cloud Services, recherchez Hybrid Data Security et cliquez sur View all. |
| 4 |
Dans l’onglet Ressources , cliquez sur le cluster dont vous souhaitez supprimer les organisations clientes. |
| 5 |
Dans la page qui s’ouvre, cliquez sur Clients affectés. |
| 6 |
Dans la liste des organisations clientes affichées, cliquez sur ... sur le côté droit de l'organisation cliente que vous souhaitez supprimer et cliquez sur Supprimer du cluster. |
Que faire ensuite
Complétez le processus de retrait en révoquant les CMK des organisations clientes, comme détaillé dans Révoquer les CMK des locataires retirés de HDS.
Révoquer les CMK des locataires retirés du HDS.
Avant de commencer
Retirer les clients du cluster approprié comme détaillé dans Supprimer les organisations locataires. Exécutez l'outil de configuration HDS pour terminer le processus de suppression pour les organisations clientes qui ont été supprimées.
-
L'outil de configuration HDS fonctionne comme un conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les identifiants d'un compte Partner Hub avec tous les droits d'administrateur pour votre organisation.
Si l'outil HDS Setup fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, identifiants) via les variables d'environnement Docker lors de l'activation du conteneur Docker à l'étape 5. Ce tableau donne quelques variables d'environnement possibles :
Opis
Spremenljivka
Serveur mandataire HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS Proxy sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS Proxy avec authentification
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Le fichier de configuration ISO que vous générez contient la clé maître chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous effectuez des changements de configuration, comme ceux-ci :
-
Identifiants de la base de données
-
Mises à jour du certificat
-
Modifications de la politique d'autorisation
-
-
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
Le processus de configuration de la sécurité des données hybride crée un fichier ISO. Vous utilisez ensuite l'ISO pour configurer votre hôte Hybrid Data Security.
| 1 |
Sur la ligne de commande de votre machine, saisissez la commande appropriée pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : Cette étape nettoie les images précédentes de l'outil de configuration HDS. S'il n'y a pas d'images précédentes, il renvoie une erreur que vous pouvez ignorer. |
| 2 |
Pour vous connecter au registre d'images Docker, saisissez : |
| 3 |
A l'invite du mot de passe, saisir ce hachage : |
| 4 |
Téléchargez la dernière image stable pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : |
| 5 |
Lorsque le tirage est terminé, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur fonctionne, vous voyez "Express server listening on port 8080". |
| 6 |
L'outil de configuration ne prend pas en charge la connexion à localhost via http://localhost:8080. Utiliser http://127.0.0.1:8080 pour se connecter à localhost. Utiliser un navigateur Web pour accéder à l'hôte local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L’outil affiche alors l’invite de connexion standard. |
| 7 |
Lorsque vous y êtes invité, entrez vos identifiants de connexion administrateur Partner Hub, puis cliquez sur Se connecter pour autoriser l'accès aux services requis pour la sécurité des données hybrides. |
| 8 |
Sur la page d'aperçu de l'outil de configuration, cliquez sur Démarrer. |
| 9 |
Sur la page ISO Import , cliquez sur Yes. |
| 10 |
Sélectionnez votre fichier ISO dans le navigateur et téléchargez-le. |
| 11 |
Allez dans l’onglet Gestion des CMK des locataires , où vous trouverez les trois façons suivantes de gérer les CMK des locataires.
|
| 12 |
Une fois la révocation de CMK réussie, l'organisation cliente n'apparaîtra plus dans le tableau. |
| 13 |
Si la révocation du CMK échoue, une erreur s'affiche. |
Testez votre déploiement Hybrid Data Security
Testez votre déploiement hybride de sécurité des données
Avant de commencer
-
Configurez votre déploiement Multi-tenant Hybrid Data Security.
-
Assurez-vous d'avoir accès au syslog pour vérifier que les demandes clés passent à votre déploiement de sécurité des données hybride multi-tenant.
| 1 |
Les clés pour un espace donné sont définies par le créateur de l'espace. Connectez-vous à l'application Webex en tant qu'utilisateur de l'organisation client, puis créez un espace. Si vous désactivez le déploiement Hybrid Data Security, le contenu des espaces créés par les utilisateurs n’est plus accessible une fois que les copies des clés de chiffrement mises en cache par le client sont remplacées. |
| 2 |
Envoyer des messages vers le nouvel espace. |
| 3 |
Vérifiez la sortie syslog pour vérifier que les demandes de clés passent à votre déploiement Hybrid Data Security. |
Surveiller l'intégrité de la sécurité des données hybrides
| 1 |
Dans Partner Hub, sélectionnez Services dans le menu à gauche de l’écran. |
| 2 |
Dans la section Cloud Services, recherchez Hybrid Data Security et cliquez sur Edit Settings. La page Hybrid Data Security Settings apparaît.
|
| 3 |
Dans la section Notifications par e-mail, tapez une ou plusieurs adresses e-mail séparées par des virgules et appuyez sur Entrée. |
Gérez votre déploiement HDS
Gérer le déploiement du HDS
Utilisez les tâches décrites ici pour gérer votre déploiement Hybrid Data Security.
Définir le calendrier de mise à niveau du cluster
Pour définir le calendrier de mise à niveau :
| 1 |
Connectez-vous à Partner Hub. |
| 2 |
Dans le menu à gauche de l’écran, sélectionner Services. |
| 3 |
Dans la section Cloud Services, recherchez Hybrid Data Security et cliquez sur Configurer |
| 4 |
Sur la page Hybrid Data Security Resources, sélectionner le cluster. |
| 5 |
Cliquez sur l’onglet Cluster Settings . |
| 6 |
Sur la page Cluster Settings, sous Upgrade Schedule, sélectionnez l'heure et le fuseau horaire pour le planning de mise à niveau. Opomba: Sous le fuseau horaire, la date et l'heure de mise à niveau disponibles suivantes s'affichent. Vous pouvez reporter la mise à niveau au lendemain, si nécessaire, en cliquant sur Reporter de 24 heures. |
Modifier la configuration des nœuds
-
Modification des certificats x.509 en raison de l'expiration ou d'autres raisons.
Nous ne soutenons pas le changement du nom de domaine CN d'un certificat. Le domaine doit correspondre au domaine d'origine utilisé pour enregistrer le cluster.
-
Mise à jour des paramètres de base de données pour passer à une réplique de la base de données PostgreSQL ou Microsoft SQL Server.
Nous ne soutenons pas la migration de données de PostgreSQL vers Microsoft SQL Server, ou le contraire. Pour changer d’environnement de base de données, lancer un nouveau déploiement de la sécurité des données hybride.
-
Créer une nouvelle configuration pour préparer un nouveau centre de données.
De plus, à des fins de sécurité, Hybrid Data Security utilise des mots de passe de compte de service qui ont une durée de vie de neuf mois. Une fois que l'outil de configuration HDS a généré ces mots de passe, vous les déployez sur chacun de vos nœuds HDS dans le fichier de configuration ISO. Lorsque les mots de passe de votre organisation approchent de l'expiration, vous recevez un avis de l'équipe Webex pour réinitialiser le mot de passe de votre compte machine. (L'e-mail comprend le texte, "Utilisez l'API du compte machine pour mettre à jour le mot de passe.") Si vos mots de passe n'ont pas encore expiré, l'outil vous donne deux options :
-
Réinitialisation douce—Les anciens et les nouveaux mots de passe fonctionnent tous les deux pendant 10 jours maximum. Utilisez cette période pour remplacer progressivement le fichier ISO sur les nœuds.
-
Réinitialisation rapide—Les anciens mots de passe cessent immédiatement de fonctionner.
Si vos mots de passe expirent sans réinitialisation, cela affecte votre service HDS, nécessitant une réinitialisation rapide et le remplacement du fichier ISO sur tous les nœuds.
Utilisez cette procédure pour générer un nouveau fichier ISO de configuration et l'appliquer à votre cluster.
Avant de commencer
-
L'outil de configuration HDS fonctionne comme un conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les identifiants d'un compte Partner Hub avec les droits d'administrateur complets du partenaire .
Si l'outil de configuration HDS fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, identifiants) via les variables d'environnement Docker lors de l'affichage du conteneur Docker dans 1.e. Ce tableau donne quelques variables d'environnement possibles :
Opis
Spremenljivka
Serveur mandataire HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS Proxy sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS Proxy avec authentification
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Vous avez besoin d'une copie du fichier ISO de configuration en cours pour générer une nouvelle configuration. L'ISO contient la clé maître chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de l'ISO lorsque vous effectuez des changements de configuration, y compris des identifiants de base de données, des mises à jour de certificats ou des changements à la politique d'autorisation.
| 1 |
A l'aide de Docker sur une machine locale, exécutez l'outil de configuration HDS. |
| 2 |
Si un seul noeud HDS est en cours d’exécution, créez une nouvelle VM de noeud hybride de sécurité des données et enregistrez-la à l’aide du nouveau fichier ISO de configuration. Pour des instructions plus détaillées, voir Créer et enregistrer plus de nœuds. |
| 3 |
Pour les nœuds HDS existants qui exécutent l'ancien fichier de configuration, montez le fichier ISO. Effectuer la procédure suivante sur chaque noeud à tour de rôle, en mettant à jour chaque noeud avant de désactiver le noeud suivant : |
| 4 |
Répétez l'étape 3 pour remplacer la configuration sur chaque noeud restant qui exécute l'ancienne configuration. |
Désactiver le mode de résolution DNS externe bloqué
Lorsque vous enregistrez un noeud ou vérifiez la configuration du serveur mandataire du noeud, le processus teste la recherche DNS et la connectivité au cloud Cisco Webex. Si le serveur DNS du noeud ne peut pas résoudre les noms DNS publics, le noeud passe automatiquement en mode Résolution DNS externe bloquée.
Si vos nœuds sont capables de résoudre les noms DNS publics via des serveurs DNS internes, vous pouvez désactiver ce mode en repassant le test de connexion proxy sur chaque nœud.
Avant de commencer
| 1 |
Dans un navigateur Web, ouvrez l’interface du noeud de sécurité des données hybride (adresse IP/configuration, par exemple, https://192.0.2.0/setup), entrez les identifiants d’administration que vous avez configurés pour le noeud, puis cliquez sur Se connecter. |
| 2 |
Allez dans Aperçu (la page par défaut). Lorsque cette option est activée, Blocked External DNS Resolution est réglée sur Yes. |
| 3 |
Accédez à la page Trust Store & Proxy . |
| 4 |
Cliquez sur Vérifier la connexion du mandataire. Si vous voyez un message disant que la résolution DNS externe n'a pas réussi, le noeud n'a pas pu atteindre le serveur DNS et restera dans ce mode. Sinon, après avoir redémarré le noeud et revenir à la page Aperçu , la résolution DNS externe bloquée doit être réglée sur non. |
Que faire ensuite
Supprimer un noeud
| 1 |
Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi et mettre la machine virtuelle hors tension. |
| 2 |
Supprimer le nœud : |
| 3 |
Dans le client vSphere, supprimer la VM. (Dans le volet de navigation de gauche, faire un clic droit sur la VM et cliquer sur Supprimer.) Si vous ne supprimez pas la VM, pensez à démonter le fichier ISO de configuration. Sans le fichier ISO, vous ne pouvez pas utiliser la VM pour accéder à vos données de sécurité. |
Reprise après sinistre à l'aide du centre de données de secours
Le service le plus critique que votre cluster Hybrid Data Security fournit est la création et le stockage de clés utilisées pour chiffrer les messages et autres contenus stockés dans le cloud Webex. Pour chaque utilisateur de l'organisation affecté à la sécurité des données hybrides, de nouvelles demandes de création de clés sont acheminées vers le cluster. Le cluster est également chargé de renvoyer les clés qu'il a créées à tous les utilisateurs autorisés à les récupérer, par exemple les membres d'un espace de conversation.
Comme le cluster remplit la fonction critique de fournir ces clés, il est impératif que le cluster reste en fonctionnement et que des sauvegardes appropriées soient maintenues. La perte de la base de données Hybrid Data Security ou de la configuration ISO utilisée pour le schéma entraînera une PERTE IRRÉCUPÉRABLE du contenu client. Les pratiques suivantes sont obligatoires pour prévenir une telle perte :
Si une catastrophe entraîne l'indisponibilité du déploiement du HDS dans le centre de données primaire, suivre cette procédure pour basculer manuellement vers le centre de données de secours.
Avant de commencer
| 1 |
Démarrer l’outil de configuration HDS et suivre les étapes mentionnées dans Créer une configuration ISO pour les hôtes HDS. |
| 2 |
Complétez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver. |
| 3 |
Faites une copie de sauvegarde du fichier ISO sur votre système local. Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement maître pour le contenu de la base de données. Restreindre l'accès aux seuls administrateurs Hybrid Data Security qui doivent effectuer des modifications de configuration. |
| 4 |
Dans le volet de navigation gauche du client VMware vSphere, faire un clic droit sur la VM et cliquer sur Modifier les paramètres. |
| 5 |
Cliquez sur Edit Settings >CD/DVD Drive 1 et sélectionnez Datastore ISO File. S'assurer que Connected et Connect at power on sont cochés afin que les modifications de configuration mises à jour puissent prendre effet après le démarrage des nœuds. |
| 6 |
Mettre le noeud HDS sous tension et s'assurer qu'il n'y a pas d'alarmes pendant au moins 15 minutes. |
| 7 |
Enregistrez le nœud dans le hub partenaire. Voir Enregistrer le premier noeud du cluster. |
| 8 |
Répétez le processus pour chaque nœud du centre de données de veille. |
Que faire ensuite
(Optionnel) Démonter ISO après la configuration HDS
La configuration HDS standard fonctionne avec l'ISO monté. Mais, certains clients préfèrent ne pas laisser les fichiers ISO montés en continu. Vous pouvez démonter le fichier ISO après que tous les nœuds HDS aient récupéré la nouvelle configuration.
Vous utilisez toujours les fichiers ISO pour effectuer des changements de configuration. Lorsque vous créez un nouvel ISO ou mettez à jour un ISO via l'outil de configuration, vous devez monter l'ISO mis à jour sur tous vos nœuds HDS. Une fois que tous vos nœuds ont saisi les changements de configuration, vous pouvez à nouveau démonter l'ISO avec cette procédure.
Avant de commencer
Mettez à niveau tous vos nœuds HDS vers la version 2021.01.22.4720 ou ultérieure.
| 1 |
Éteignez un de vos nœuds HDS. |
| 2 |
Dans le vCenter Server Appliance, sélectionnez le noeud HDS. |
| 3 |
Choisissez et décochez Datastore ISO File. |
| 4 |
Mettre le noeud HDS sous tension et s'assurer qu'il n'y a pas d'alarmes pendant au moins 20 minutes. |
| 5 |
Répéter pour chaque noeud HDS à tour de rôle. |
Dépannage de la sécurité des données hybride
Afficher les alertes et dépannage
Un déploiement Hybrid Data Security est considéré comme indisponible si tous les nœuds du cluster sont injoignables, ou si le cluster fonctionne si lentement que cela demande une temporisation. Si les utilisateurs ne peuvent pas rejoindre votre cluster Hybrid Data Security, ils ressentent les symptômes suivants :
-
Impossible de créer de nouveaux espaces (impossible de créer de nouvelles clés)
-
Les messages et les titres d'espace ne sont pas déchiffrés pour :
-
Nouveaux utilisateurs ajoutés à un espace (impossible de récupérer les clés)
-
Utilisateurs existants dans un espace utilisant un nouveau client (impossible de récupérer les clés)
-
-
Les utilisateurs existants dans un espace continueront à fonctionner avec succès tant que leurs clients ont un cache des clés de chiffrement
Il est important que vous surveillez correctement votre cluster Hybrid Data Security et que vous répondiez rapidement à toutes les alertes afin d'éviter toute perturbation du service.
Opozorila
En cas de problème avec la configuration Hybrid Data Security, Partner Hub affiche des alertes à l'administrateur de l'organisation et envoie des e-mails à l'adresse e-mail configurée. Les alertes couvrent de nombreux scénarios courants.
|
Opozori |
Dejanje |
|---|---|
|
Échec d'accès à la base de données locale. |
Vérifier l'absence d'erreurs de base de données ou de problèmes de réseau local. |
|
Défaut de connexion à la base de données locale. |
Vérifier que le serveur de base de données est disponible et que les bons identifiants de compte de service ont été utilisés dans la configuration des nœuds. |
|
Échec de l'accès au service cloud. |
Vérifier que les nœuds peuvent accéder aux serveurs Webex comme spécifié dans Exigences de connectivité externe. |
|
Renouvellement de l’enregistrement des services cloud. |
L'inscription aux services cloud a été abandonnée. Le renouvellement de l'enregistrement est en cours. |
|
L'enregistrement des services dans le cloud a chuté. |
L'inscription aux services cloud est terminée. Le service s'arrête. |
|
Service non encore activé. |
Activer HDS dans Partner Hub. |
|
Le domaine configuré ne correspond pas au certificat du serveur. |
Assurez-vous que votre certificat de serveur correspond au domaine d'activation de service configuré. La cause la plus probable est que le certificat CN a été récemment modifié et qu'il est maintenant différent du certificat CN utilisé lors de la configuration initiale. |
|
Impossible de s'authentifier aux services cloud. |
Vérifier l'exactitude et l'expiration éventuelle des identifiants de compte de service. |
|
Impossible d'ouvrir le fichier keystore local. |
Vérifier l'intégrité et l'exactitude du mot de passe sur le fichier de keystore local. |
|
Le certificat du serveur local est invalide. |
Vérifiez la date d'expiration du certificat du serveur et confirmez qu'il a été émis par une autorité de certification de confiance. |
|
Impossible d'afficher les paramètres. |
Vérifier l'accès au réseau local aux services cloud externes. |
|
Le répertoire /media/configdrive/hds n'existe pas. |
Vérifiez la configuration du montage ISO sur un hôte virtuel. Vérifiez que le fichier ISO existe, qu'il est configuré pour être monté lors du redémarrage et qu'il est monté avec succès. |
|
La configuration de l'organisation du locataire n'est pas terminée pour les orgs ajoutés |
Complétez la configuration en créant des CMK pour les organisations de locataires nouvellement ajoutées à l'aide de l'outil de configuration HDS. |
|
La configuration de l'organisation du locataire n'est pas terminée pour les orgs supprimés |
Terminer la configuration en révoquant les CMK des organisations locataires qui ont été supprimées à l'aide de l'outil de configuration HDS. |
Dépannage de la sécurité des données hybride
| 1 |
Examinez Partner Hub pour toutes les alertes et corrigez tous les éléments que vous y trouvez. Voir l'image ci-dessous pour référence. |
| 2 |
Examinez la sortie du serveur syslog pour l'activité liée au déploiement de la sécurité des données hybride. Filtrer les mots comme « Avertissement » et « Erreur » pour faciliter le dépannage. |
| 3 |
Contact Support Cisco. |
Autres notes
Problèmes connus pour la sécurité des données hybrides
-
Si vous fermez votre cluster Hybrid Data Security (en le supprimant dans Partner Hub ou en fermant tous les nœuds), perdez votre fichier ISO de configuration ou perdez l'accès à la base de données de keystore, les utilisateurs de l'application Webex des organisations clientes ne peuvent plus utiliser les espaces sous leur liste de personnes créés avec des clés de votre KMS. Nous n'avons pas actuellement de solution de contournement ou de correction pour ce problème et vous exhortons à ne pas arrêter vos services HDS une fois qu'ils traitent des comptes utilisateurs actifs.
-
Un client qui a une connexion ECDH existante à un KMS maintient cette connexion pendant une période de temps (probablement une heure).
Utiliser OpenSSL pour générer un fichier PKCS12
Avant de commencer
-
OpenSSL est un outil qui peut être utilisé pour faire le fichier PKCS12 dans le format approprié pour le chargement dans l'outil de configuration HDS. Il y a d'autres façons de le faire, et nous ne soutenons ni ne promouvons une voie par rapport à une autre.
-
Si vous choisissez d'utiliser OpenSSL, nous fournissons cette procédure comme guide pour vous aider à créer un fichier qui répond aux exigences de certificat X.509 dans X.509 Exigences de certificat. Comprenez ces exigences avant de continuer.
-
Installer OpenSSL dans un environnement pris en charge. Voir https://www.openssl.org pour le logiciel et la documentation.
-
Créer une clé privée.
-
Commencez cette procédure lorsque vous recevez le certificat de serveur de votre autorité de certification (CA).
| 1 |
Lorsque vous recevez le certificat de serveur de votre CA, enregistrez-le comme |
| 2 |
Afficher le certificat sous forme de texte et vérifier les détails.
|
| 3 |
Utilisez un éditeur de texte pour créer un fichier bundle de certificats appelé
|
| 4 |
Créer le fichier .p12 avec le nom convivial
|
| 5 |
Vérifiez les détails du certificat du serveur. |
Que faire ensuite
Retourner à Remplir les prérequis pour la sécurité des données hybrides. Vous utiliserez le fichier hdsnode.p12 et le mot de passe que vous lui avez défini dans Créer une configuration ISO pour les hôtes HDS.
Vous pouvez réutiliser ces fichiers pour demander un nouveau certificat lorsque le certificat original expire.
Trafic entre les nœuds HDS et le Cloud
Trafic de collecte de métriques sortantes
Les nœuds Hybrid Data Security envoient certaines métriques au cloud Webex. Il s'agit notamment de métriques système pour le tas max, le tas utilisé, la charge CPU et le nombre de fils ; de métriques sur les fils synchrones et asynchrones ; de métriques sur les alertes impliquant un seuil de connexions de chiffrement, de latence ou une longueur de file d'attente de requêtes ; de métriques sur le magasin de données ; et de métriques de connexions de chiffrement. Les noeuds envoient du matériel de clé chiffré sur un canal hors bande (séparé de la requête).
Trafic entrant
Les nœuds de sécurité des données hybrides reçoivent les types de trafic entrant suivants du cloud Webex :
-
Les demandes de chiffrement des clients, qui sont acheminées par le service de chiffrement
-
Mises à niveau du logiciel du noeud
Configurer les proxies Squid pour la sécurité des données hybrides
Websocket ne peut pas se connecter via Squid Proxy
Les proxys Squid qui inspectent le trafic HTTPS peuvent interférer avec l'établissement de connexions Websocket (wss:) requises par Hybrid Data Security. Ces sections donnent des indications sur la façon de configurer les différentes versions de Squid pour ignorer wss : trafic pour le bon fonctionnement des services.
Squid 4 et 5
Ajouter la on_unsupported_protocol directive à squid.conf :
on_unsupported_protocol tunnel toutCalamar 3.5.27
Nous avons testé avec succès Hybrid Data Security avec les règles suivantes ajoutées à squid.conf. Ces règles sont susceptibles de changer au fur et à mesure que nous développons des fonctionnalités et mettons à jour le cloud Webex.
acl wssMercuryConnection ssl ::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 allInformations nouvelles et modifiées
Informations nouvelles et modifiées
Ce tableau présente les nouvelles fonctionnalités ou fonctionnalités, les modifications apportées au contenu existant et les erreurs majeures qui ont été corrigées dans le Guide de déploiement pour la sécurité des données hybrides multi-locataires.
|
Datum |
Modifications apportées |
|---|---|
|
30 janvier 2025 |
Ajout de la version 2022 du serveur SQL à la liste des serveurs SQL pris en charge dans Exigences du serveur de base de données. |
|
15 janvier 2025 |
Ajout des limites de la sécurité des données hybrides multi-locataires. |
|
08 janvier 2025 |
Ajout d'une note dans Effectuer la configuration initiale et télécharger les fichiers d'installation indiquant que cliquer sur Configurer sur la carte HDS dans Partner Hub est une étape importante du processus d'installation. |
|
07 janvier 2025 |
Mises à jour Virtual Host Requirements, Hybrid Data Security Deployment Task Flow et Install the HDS Host OVA pour afficher la nouvelle exigence d'ESXi 7.0. |
|
13 décembre 2024 |
Première publication. |
Désactiver la sécurité des données hybride multi-tenant
Flux des tâches de désactivation HDS multi-tenant
Suivez ces étapes pour désactiver complètement Multi-Tenant HDS.
Avant de commencer
| 1 |
Retirer tous les clients de tous vos clusters, comme indiqué dans Supprimer les organisations locataires. |
| 2 |
Révoquer les CMK de tous les clients, comme mentionné dans Révoquer les CMK des locataires retirés de HDS.. |
| 3 |
Supprimez tous les nœuds de tous vos clusters, comme indiqué dans Supprimer un nœud. |
| 4 |
Supprimez tous vos clusters de Partner Hub en utilisant l'une des deux méthodes suivantes.
|
| 5 |
Cliquer sur l'onglet Paramètres de la page d'aperçu de la sécurité des données hybrides et cliquer sur Désactiver HDS sur la carte HDS Status. |
Commencez avec Multi-Tenant Hybrid Data Security
Aperçu de la sécurité des données hybrides multi-tenant
Depuis le premier jour, la sécurité des données a été l'objectif principal de la conception de l'application Webex. La pierre angulaire de cette sécurité est le chiffrement de contenu de bout en bout, activé par les clients de l'application Webex qui interagissent avec le Key Management Service (KMS). Le KMS est responsable de la création et de la gestion des clés cryptographiques que les clients utilisent pour chiffrer et déchiffrer dynamiquement les messages et les fichiers.
Par défaut, tous les clients de l'application Webex obtiennent un cryptage de bout en bout avec des clés dynamiques stockées dans le KMS cloud, dans le domaine de la sécurité de Cisco. Hybrid Data Security déplace le KMS et d'autres fonctions liées à la sécurité vers votre centre de données d'entreprise, de sorte que personne d'autre que vous ne détient les clés de votre contenu crypté.
Multi-Tenant Hybrid Data Security permet aux organisations de tirer parti de HDS par l'intermédiaire d'un partenaire local de confiance, qui peut agir en tant que fournisseur de services et gérer le chiffrement sur site et d'autres services de sécurité. Cette configuration permet à l'organisation partenaire d'avoir un contrôle complet sur le déploiement et la gestion des clés de chiffrement et garantit que les données utilisateur des organisations clientes sont à l'abri d'un accès externe. Les organisations partenaires mettent en place des instances HDS et créent des clusters HDS au besoin. Chaque instance peut prendre en charge plusieurs organisations clientes contrairement à un déploiement HDS régulier qui est limité à une seule organisation.
Cela permet également aux petites organisations de tirer parti de HDS, car le service de gestion des clés et l'infrastructure de sécurité comme les centres de données sont la propriété du partenaire local de confiance.
Comment Multi-Tenant Hybrid Data Security assure la souveraineté et le contrôle des données
- Le contenu généré par l'utilisateur est protégé contre l'accès externe, comme les fournisseurs de services cloud.
- Les partenaires locaux de confiance gèrent les clés de chiffrement des clients avec lesquels ils ont déjà une relation établie.
- Possibilité de soutien technique local, si fourni par le partenaire.
- Prend en charge le contenu des réunions, des messages et des appels.
Ce document vise à aider les organisations partenaires à mettre en place et à gérer des clients dans le cadre d’un système de sécurité des données hybride multi-tenant.
Limites de la sécurité des données hybride multi-tenant
- Les organisations partenaires ne doivent pas avoir de déploiement HDS existant actif dans Control Hub.
- Les organisations locataires ou clientes qui souhaitent être gérées par un partenaire ne doivent pas avoir de déploiement HDS existant dans Control Hub.
- Une fois le HDS multi-locataire déployé par le partenaire, tous les utilisateurs des organisations clientes ainsi que les utilisateurs de l'organisation partenaire commencent à tirer parti du HDS multi-locataire pour leurs services de cryptage.
L’organisation partenaire et les organisations clientes qu’ils gèrent seront sur le même déploiement HDS multi-locataires.
L’organisation partenaire n’utilisera plus de KMS dans le cloud une fois le HDS multi-tenant déployé.
- Il n'y a pas de mécanisme pour déplacer les clés vers Cloud KMS après un déploiement HDS.
- Actuellement, chaque déploiement HDS multi-tenant ne peut avoir qu'un seul cluster, avec plusieurs nœuds sous celui-ci.
- Les rôles d'administrateur ont certaines limites ; voir la section ci-dessous pour plus de détails.
Rôles dans la sécurité des données hybride multi-tenant
- Administrateur complet partenaire - Peut gérer les paramètres pour tous les clients que le partenaire gère. Lahko tudi dodelijo vloge skrbnika obstoječim uporabnikom v organizaciji in dodelijo točno določene stranke v upravljanje partnerskim administratorjem.
- Administrateur partenaire - Peut gérer les paramètres des clients que l'administrateur a provisionnés ou qui ont été affectés à l'utilisateur.
- Administrateur complet - Administrateur de l'organisation partenaire qui est autorisé à effectuer des tâches telles que modifier les paramètres de l'organisation, gérer les licences et attribuer des rôles.
- Configuration HDS multi-locataires de bout en bout et gestion de toutes les organisations clientes - Droits d'administrateur complet du partenaire et d'administrateur complet requis.
- Gestion des organisations locataires affectées - Droits d’administrateur partenaire et d’administrateur complet requis.
Architecture du domaine de la sécurité
L'architecture cloud de Webex sépare différents types de services en domaines distincts, ou domaines de confiance, comme illustré ci-dessous.
Pour mieux comprendre la sécurité des données hybrides, examinons d'abord ce cas de cloud pur, où Cisco fournit toutes les fonctions dans ses royaumes cloud. Le service d'identité, le seul endroit où les utilisateurs peuvent être directement corrélés à leurs informations personnelles telles que l'adresse e-mail, est logiquement et physiquement séparé du domaine de la sécurité dans le centre de données B. Les deux sont à leur tour séparés du domaine où le contenu crypté est finalement stocké, dans le centre de données C.
Dans ce schéma, le client est l'application Webex fonctionnant sur l'ordinateur portable d'un utilisateur, et s'est authentifié avec le service d'identité. Lorsque l’utilisateur compose un message à envoyer dans un espace, les étapes suivantes ont lieu :
-
Le client établit une connexion sécurisée avec le service de gestion de clés (KMS), puis demande une clé pour chiffrer le message. La connexion sécurisée utilise ECDH, et le KMS chiffre la clé à l'aide d'une clé maître AES-256.
-
Le message est crypté avant de quitter le client. Le client l'envoie au service d'indexation, qui crée des index de recherche chiffrés pour faciliter les recherches futures du contenu.
-
Le message chiffré est envoyé au service conformité pour vérification de la conformité.
-
Le message chiffré est stocké dans le domaine de stockage.
Lorsque vous déployez la sécurité des données hybride, vous déplacez les fonctions du domaine de la sécurité (KMS, indexation et conformité) vers votre centre de données sur site. Les autres services cloud qui composent Webex (y compris l'identité et le stockage de contenu) restent dans les royaumes de Cisco.
Collaboration avec d'autres organisations
Les utilisateurs de votre organisation peuvent utiliser régulièrement Webex App pour collaborer avec des participants externes d'autres organisations. Lorsque l'un de vos utilisateurs demande une clé pour un espace appartenant à votre organisation (parce qu'il a été créé par l'un de vos utilisateurs), votre KMS envoie la clé au client via un canal sécurisé ECDH. Cependant, lorsqu'une autre organisation possède la clé pour l'espace, votre KMS achemine la requête vers le cloud Webex via un canal ECDH séparé pour obtenir la clé du KMS approprié, puis retourne la clé à votre utilisateur sur le canal d'origine.
Le service KMS exécuté sur Org A valide les connexions aux KMS dans d'autres organisations à l'aide de certificats PKI x.509. Voir Préparer votre environnement pour plus de détails sur la génération d'un certificat x.509 à utiliser avec votre déploiement de sécurité des données hybride multi-tenant.
Attentes pour le déploiement de la sécurité des données hybride
Un déploiement Hybrid Data Security nécessite un engagement significatif et une prise de conscience des risques liés à la possession de clés de chiffrement.
Pour déployer la sécurité des données hybride, vous devez fournir :
-
Un centre de données sécurisé dans un pays qui est un emplacement pris en charge pour les plans Cisco Webex Teams.
-
Les équipements, logiciels et accès au réseau décrits dans Préparez votre environnement.
La perte complète de la configuration ISO que vous créez pour Hybrid Data Security ou de la base de données que vous fournissez entraînera la perte des clés. La perte de clé empêche les utilisateurs de déchiffrer le contenu spatial et d'autres données chiffrées dans l'application Webex. Si cela se produit, vous pouvez créer un nouveau déploiement, mais seul le nouveau contenu sera visible. Pour éviter la perte d’accès aux données, vous devez :
-
Gérer la sauvegarde et la récupération de la base de données et de la configuration ISO.
-
Soyez prêt à effectuer une reprise rapide après sinistre en cas de catastrophe, comme une défaillance du disque de base de données ou une catastrophe du centre de données.
Il n'y a pas de mécanisme pour déplacer les clés vers le Cloud après un déploiement HDS.
Processus de configuration de haut niveau
Ce document couvre la configuration et la gestion d’un déploiement Multi-Tenant Hybrid Data Security :
-
Configuration de la sécurité des données hybrides—Cela comprend la préparation de l'infrastructure requise et l'installation du logiciel de sécurité des données hybrides, la construction d'un cluster HDS, l'ajout d'organisations locataires au cluster et la gestion de leurs clés principales clients (CMK). Cela permettra à tous les utilisateurs de vos organisations clientes d'utiliser votre cluster Hybrid Data Security pour les fonctions de sécurité.
Les phases de configuration, d'activation et de gestion sont abordées en détail dans les trois chapitres suivants.
-
Maintenez votre déploiement Hybrid Data Security—Le cloud Webex fournit automatiquement des mises à niveau continues. Votre service informatique peut fournir un support de niveau un pour ce déploiement et engager le support Cisco si nécessaire. Vous pouvez utiliser des notifications à l'écran et configurer des alertes par e-mail dans Partner Hub.
-
Comprendre les alertes courantes, les étapes de dépannage et les problèmes connus—Si vous rencontrez des problèmes lors du déploiement ou de l'utilisation de Hybrid Data Security, le dernier chapitre de ce guide et l'annexe Problèmes connus peuvent vous aider à déterminer et à résoudre le problème.
Modèle hybride de déploiement de la sécurité des données
Au sein de votre centre de données d'entreprise, vous déployez Hybrid Data Security comme un seul groupe de nœuds sur des hôtes virtuels séparés. Les nœuds communiquent avec le cloud Webex via des sockets Web sécurisées et HTTP sécurisées.
Pendant le processus d'installation, nous vous fournissons le fichier OVA pour configurer l'appareil virtuel sur les VM que vous fournissez. Vous utilisez l'outil de configuration HDS pour créer un fichier ISO de configuration de cluster personnalisé que vous montez sur chaque nœud. Le cluster Hybrid Data Security utilise votre serveur Syslogd fourni et la base de données PostgreSQL ou Microsoft SQL Server. (Vous configurez le Syslogd et les détails de connexion de la base de données dans l'outil de configuration HDS.)
Le nombre minimum de nœuds que vous pouvez avoir dans un cluster est de deux. Nous recommandons au moins trois par cluster. Le fait d'avoir plusieurs noeuds garantit que le service n'est pas interrompu lors d'une mise à niveau logicielle ou d'une autre activité de maintenance sur un noeud. (Le cloud Webex ne met à jour qu'un nœud à la fois.)
Tous les noeuds d'un cluster accèdent au même magasin de données clés et à l'activité de journal sur le même serveur syslog. Les nœuds eux-mêmes sont apatrides, et traitent les requêtes clés de façon ronde, comme le veut le cloud.
Les nœuds deviennent actifs lorsque vous les enregistrez dans Partner Hub. Pour mettre hors service un nœud individuel, vous pouvez le désenregistrer, et plus tard le reregister si nécessaire.
Centre de données de secours pour la reprise après sinistre
Pendant le déploiement, vous mettez en place un centre de données de secours sécurisé. En cas de catastrophe du centre de données, vous pouvez manuellement échouer votre déploiement vers le centre de données de secours.
Les bases de données des centres de données actifs et de veille sont synchronisées entre elles ce qui minimisera le temps nécessaire pour effectuer le basculement.
Les nœuds de sécurité des données hybrides actifs doivent toujours être dans le même centre de données que le serveur de base de données actif.
Prise en charge des mandataires
La sécurité des données hybride prend en charge les proxys explicites, transparents et non-inspecteurs. Vous pouvez lier ces proxys à votre déploiement afin que vous puissiez sécuriser et surveiller le trafic de l'entreprise vers le cloud. Vous pouvez utiliser une interface d'administration de plateforme sur les nœuds pour la gestion des certificats et pour vérifier l'état global de la connectivité après avoir configuré le proxy sur les nœuds.
Les nœuds de sécurité des données hybrides prennent en charge les options proxy suivantes :
-
Pas de proxy—La valeur par défaut si vous n'utilisez pas la configuration du nœud HDS Trust Store & Proxy pour intégrer un proxy. Aucune mise à jour du certificat n’est nécessaire.
-
Proxy transparent non inspectant — Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy non inspectant. Aucune mise à jour du certificat n’est nécessaire.
-
Proxy transparent à effet tunnel ou inspection—Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucun changement de configuration HTTP ou HTTPS n'est nécessaire sur les nœuds. Cependant, les nœuds ont besoin d'un certificat racine pour qu'ils fassent confiance au proxy. L'inspection des proxys est généralement utilisée par les TI pour appliquer les politiques sur les sites Web qui peuvent être visités et les types de contenu qui ne sont pas autorisés. Ce type de proxy décrypte tout votre trafic (même HTTPS).
-
Proxy explicite—Avec le proxy explicite, vous indiquez aux nœuds HDS quel serveur proxy et quel schéma d'authentification utiliser. Pour configurer un proxy explicite, il faut saisir les informations suivantes sur chaque nœud :
-
IP/FQDN proxy—Adresse qui peut être utilisée pour atteindre la machine proxy.
-
Port proxy—Numéro de port que le proxy utilise pour écouter le trafic protégé.
-
Protocole proxy—En fonction de ce que votre serveur proxy prend en charge, choisissez entre les protocoles suivants :
-
HTTP — Visualise et contrôle toutes les requêtes que le client envoie.
-
HTTPS — Fournit un canal au serveur. Le client reçoit et valide le certificat du serveur.
-
-
Type d’authentification—Choisissez parmi les types d’authentification suivants :
-
Aucune - Aucune autre authentification n'est requise.
Disponible si vous sélectionnez HTTP ou HTTPS comme protocole proxy.
-
Basique – Utilisé pour qu’un agent utilisateur HTTP fournisse un nom d’utilisateur et un mot de passe lors d’une demande. Utilise l'encodage Base64.
Disponible si vous sélectionnez HTTP ou HTTPS comme protocole proxy.
Nécessite de saisir le nom d'utilisateur et le mot de passe sur chaque nœud.
-
Digest—Permet de confirmer le compte avant d’envoyer des informations sensibles. Applique une fonction de hachage sur le nom d'utilisateur et le mot de passe avant l'envoi sur le réseau.
Disponible uniquement si vous sélectionnez HTTPS comme protocole proxy.
Nécessite de saisir le nom d'utilisateur et le mot de passe sur chaque nœud.
-
-
Exemple de nœuds hybrides de sécurité des données et de proxy
Ce schéma montre un exemple de connexion entre la sécurité des données hybride, le réseau et un proxy. Pour les options de proxy d'inspection transparente et d'inspection explicite HTTPS, le même certificat racine doit être installé sur le proxy et sur les nœuds de sécurité des données hybrides.
Mode de résolution DNS externe bloqué (configurations proxy explicites)
Lorsque vous enregistrez un noeud ou vérifiez la configuration du serveur mandataire du noeud, le processus teste la recherche DNS et la connectivité au cloud Cisco Webex. Dans les déploiements avec des configurations proxy explicites qui ne permettent pas la résolution DNS externe pour les clients internes, si le noeud ne peut pas interroger les serveurs DNS, il passe automatiquement en mode Résolution DNS externe bloquée. Dans ce mode, l'enregistrement des noeuds et d'autres tests de connectivité proxy peuvent être effectués.
Pripravite svoje okolje
Exigences relatives à la sécurité des données hybrides multi-locataires
Exigences de licence Cisco Webex
Pour déployer la sécurité des données hybride multi-tenant :
-
Organisations partenaires : Contactez votre partenaire ou votre gestionnaire de compte Cisco et assurez-vous que la fonctionnalité Multi-Tenant est activée.
-
Organisations de locataires : Vous devez avoir Pro Pack pour Cisco Webex Control Hub. (Voir https://www.cisco.com/go/pro-pack.)
Exigences du bureau Docker
Avant d'installer vos nœuds HDS, vous avez besoin de Docker Desktop pour exécuter un programme de configuration. Docker a récemment mis à jour son modèle de licence. Votre organisation peut avoir besoin d'un abonnement payant pour Docker Desktop. Pour plus de détails, voir le billet de blog de Docker, « Docker met à jour et étend nos abonnements de produits ».
X.509 Exigences en matière de certificats
La chaîne de certificats doit répondre aux exigences suivantes :
|
Zahteva |
Podrobnosti |
|---|---|
|
Par défaut, nous faisons confiance aux CA dans la liste Mozilla (à l’exception de WoSign et StartCom) à https://wiki.mozilla.org/CA:IncludedCAs. |
|
Le CN n'a pas besoin d'être joignable ou d'être un hôte en direct. Nous vous recommandons d’utiliser un nom qui reflète votre organisation, par exemple La NC ne doit pas contenir de * (joker). Le CN est utilisé pour vérifier les nœuds hybrides de sécurité des données aux clients de l'application Webex. Tous les nœuds Hybrid Data Security de votre cluster utilisent le même certificat. Votre KMS s'identifie à l'aide du domaine CN, et non à tout domaine défini dans les champs SAN x.509v3. Une fois que vous avez enregistré un nœud avec ce certificat, nous ne soutenons pas le changement du nom de domaine CN. |
|
Le logiciel KMS ne prend pas en charge les signatures SHA1 pour valider les connexions aux KMS d'autres organisations. |
|
Vous pouvez utiliser un convertisseur comme OpenSSL pour modifier le format de votre certificat. Vous devrez saisir le mot de passe lorsque vous exécuterez l'outil de configuration HDS. |
Le logiciel KMS n'applique pas de contraintes d'utilisation des clés ou d'utilisation des clés étendues. Certaines autorités de certification exigent que des contraintes étendues d'utilisation des clés soient appliquées à chaque certificat, comme l'authentification du serveur. Il est acceptable d'utiliser l'authentification du serveur ou d'autres paramètres.
Exigences de l'hôte virtuel
Les hôtes virtuels que vous allez configurer en tant que nœuds hybrides de sécurité des données dans votre cluster répondent aux exigences suivantes :
-
Au moins deux hôtes séparés (3 recommandés) colocalisés dans le même centre de données sécurisé
-
VMware ESXi 7.0 (ou version ultérieure) installé et en cours d'exécution.
Vous devez mettre à niveau si vous avez une version antérieure d'ESXi.
-
4 vCPUs minimum, 8 Go de mémoire principale, 30 Go d'espace disque dur local par serveur
Exigences du serveur de base de données
Créer une nouvelle base de données pour le stockage des clés. Ne pas utiliser la base de données par défaut. Les applications HDS, une fois installées, créent le schéma de la base de données.
Il y a deux options pour le serveur de base de données. Les exigences pour chacun d'eux sont les suivantes :
|
PostgreSQL |
Microsoft SQL Server |
|---|---|
|
|
|
Minimum 8 vCPU, mémoire principale de 16 Go, espace disque dur suffisant et surveillance pour s'assurer qu'il n'est pas dépassé (2 To recommandé si vous voulez exécuter la base de données pendant une longue période sans avoir besoin d'augmenter le stockage) |
Minimum 8 vCPU, mémoire principale de 16 Go, espace disque dur suffisant et surveillance pour s'assurer qu'il n'est pas dépassé (2 To recommandé si vous voulez exécuter la base de données pendant une longue période sans avoir besoin d'augmenter le stockage) |
Le logiciel HDS installe actuellement les versions de pilotes suivantes pour la communication avec le serveur de base de données :
|
PostgreSQL |
Microsoft SQL Server |
|---|---|
|
Le pilote Postgres JDBC 42.2.5 |
Pilote SQL Server JDBC 4.6 Cette version du pilote prend en charge SQL Server Always On (Always On Failover Cluster Instances et Always On groupes de disponibilité). |
Exigences supplémentaires pour l'authentification Windows contre Microsoft SQL Server
Si vous voulez que les nœuds HDS utilisent l'authentification Windows pour accéder à votre base de données keystore sur Microsoft SQL Server, vous avez besoin de la configuration suivante dans votre environnement :
-
Les nœuds HDS, l'infrastructure Active Directory et MS SQL Server doivent tous être synchronisés avec NTP.
-
Le compte Windows que vous fournissez aux nœuds HDS doit avoir un accès en lecture/écriture à la base de données.
-
Les serveurs DNS que vous fournissez aux nœuds HDS doivent être en mesure de résoudre votre centre de distribution de clés (KDC).
-
Vous pouvez enregistrer l'instance de base de données HDS sur votre Microsoft SQL Server en tant que Service Principal Name (SPN) sur votre Active Directory. Voir Enregistrer un nom principal de service pour Kerberos Connections.
L'outil de configuration HDS, le lanceur HDS et le KMS local doivent tous utiliser l'authentification Windows pour accéder à la base de données du magasin de clés. Ils utilisent les détails de votre configuration ISO pour construire le SPN lors de la demande d'accès avec authentification Kerberos.
Exigences de connectivité externe
Configurez votre pare-feu pour permettre la connectivité suivante pour les applications HDS :
|
Aplikacija |
Protokol |
Vrata |
Direction depuis l'application |
Cilj |
|---|---|---|---|---|
|
Nœuds hybrides de sécurité des données |
TCP |
443 |
HTTPS et WSS sortants |
|
|
Outil de configuration du HDS |
TCP |
443 |
HTTPS sortante |
|
Les nœuds de sécurité des données hybrides fonctionnent avec la traduction d'accès au réseau (NAT) ou derrière un pare-feu, à condition que le NAT ou le pare-feu permettent les connexions sortantes requises vers les destinations de domaine du tableau précédent. Pour les connexions entrant dans les nœuds de sécurité des données hybrides, aucun port ne doit être visible depuis Internet. Au sein de votre data center, les clients ont besoin d'accéder aux nœuds de sécurité des données hybrides sur les ports TCP 443 et 22, à des fins administratives.
Les URL des hôtes d'identité commune (CI) sont spécifiques à une région. Voici les hôtes CI actuels :
|
Regija |
URL de l'hôte d'identité commune |
|---|---|
|
Ameriki |
|
|
Union européenne |
|
|
Kanada |
|
| Singapur |
|
| Združeni Arabski Emirati |
|
Exigences relatives au serveur mandataire
-
Nous soutenons officiellement les solutions proxy suivantes qui peuvent s'intégrer à vos nœuds de sécurité des données hybrides.
-
Proxy transparent – Cisco Web Security Appliance (WSA).
-
Proxy explicite - Squid.
Les proxies squid qui inspectent le trafic HTTPS peuvent interférer avec l'établissement de connexions websocket (wss:). Pour résoudre ce problème, voir Configurer les proxys squid pour la sécurité des données hybrides.
-
-
Nous supportons les combinaisons de types d'authentification suivantes pour les proxys explicites :
-
Pas d'authentification avec HTTP ou HTTPS
-
Authentification de base avec HTTP ou HTTPS
-
Authentification Digest avec HTTPS uniquement
-
-
Pour un proxy d'inspection transparent ou un proxy explicite HTTPS, vous devez avoir une copie du certificat racine du proxy. Les instructions de déploiement de ce guide vous indiquent comment télécharger la copie dans les magasins de confiance des nœuds de sécurité des données hybrides.
-
Le réseau hébergeant les noeuds HDS doit être configuré pour forcer le trafic TCP sortant sur le port 443 à passer par le proxy.
-
Les proxys qui inspectent le trafic Web peuvent interférer avec les connexions de socket Web. Si ce problème se produit, contourner (ne pas inspecter) le trafic vers
wbx2.cometciscospark.comrésoudra le problème.
Remplir les conditions préalables à la sécurité des données hybrides
| 1 |
Assurez-vous que votre organisation partenaire dispose de la fonctionnalité HDS multi-locataire activée et obtenez les identifiants d'un compte avec l'administrateur complet partenaire et les droits d'administrateur complet. Assurez-vous que votre organisation client Webex est activée pour Pro Pack pour Cisco Webex Control Hub. Contactez votre partenaire Cisco ou votre gestionnaire de compte pour obtenir de l'aide dans ce processus. Les organisations clientes ne doivent pas avoir de déploiement HDS existant. |
| 2 |
Choisissez un nom de domaine pour votre déploiement HDS (par exemple, |
| 3 |
Préparez des hôtes virtuels identiques que vous allez configurer comme nœuds hybrides de sécurité des données dans votre cluster. Vous avez besoin d'au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé, qui répondent aux exigences de la Virtual Host Requirements. |
| 4 |
Préparer le serveur de base de données qui servira de magasin de données clés pour le cluster, conformément aux Exigences du serveur de base de données. Le serveur de base de données doit être colocé dans le centre de données sécurisé avec les hôtes virtuels. |
| 5 |
Pour une reprise rapide après sinistre, configurez un environnement de sauvegarde dans un centre de données différent. L'environnement de sauvegarde reflète l'environnement de production des VM et d'un serveur de base de données de sauvegarde. Par exemple, si la production a 3 VM exécutant des noeuds HDS, l'environnement de sauvegarde devrait avoir 3 VM. |
| 6 |
Configurer un hôte syslog pour collecter les journaux des nœuds du cluster. Recueillir son adresse réseau et son port syslog (par défaut UDP 514). |
| 7 |
Créez une politique de sauvegarde sécurisée pour les nœuds Hybrid Data Security, le serveur de base de données et l'hôte syslog. Au minimum, pour éviter les pertes de données irrécupérables, vous devez sauvegarder la base de données et le fichier ISO de configuration généré pour les nœuds Hybrid Data Security. Étant donné que les nœuds hybrides de sécurité des données stockent les clés utilisées pour le chiffrement et le déchiffrement du contenu, le non-maintien d’un déploiement opérationnel entraînera la PERTE IRRÉCUPÉRABLE de ce contenu. Les clients de l'application Webex cachent leurs clés, de sorte qu'une panne peut ne pas être immédiatement perceptible mais deviendra évidente au fil du temps. Bien que les pannes temporaires soient impossibles à prévenir, elles sont récupérables. Cependant, la perte complète (aucune sauvegarde disponible) de la base de données ou du fichier ISO de configuration entraînera des données client irrécupérables. Les opérateurs des nœuds de sécurité des données hybrides sont censés maintenir des sauvegardes fréquentes de la base de données et du fichier ISO de configuration, et être prêts à reconstruire le centre de données hybride de sécurité des données en cas de défaillance catastrophique. |
| 8 |
Assurez-vous que votre configuration de pare-feu permet la connectivité de vos nœuds hybrides de sécurité des données, comme indiqué dans Exigences de connectivité externe. |
| 9 |
Installer Docker ( https://www.docker.com) sur toute machine locale exécutant un système d'exploitation pris en charge (Microsoft Windows 10 Professional ou Enterprise 64-bit, ou Mac OSX Yosemite 10.10.3 ou supérieur) avec un navigateur Web qui peut y accéder à l'adresse http://127.0.0.1:8080. Vous utilisez l'instance Docker pour télécharger et exécuter l'outil de configuration HDS, qui construit les informations de configuration locale pour tous les nœuds de sécurité des données hybrides. Vous pourriez avoir besoin d'une licence Docker Desktop. Voir Exigences du bureau Docker pour plus d'informations. Pour installer et exécuter l'outil de configuration HDS, la machine locale doit avoir la connectivité décrite dans Exigences de connectivité externe. |
| 10 |
Si vous intégrez un proxy avec Hybrid Data Security, assurez-vous qu'il répond aux exigences du serveur proxy. |
Mettre en place un cluster hybride de sécurité des données
Flux des tâches de déploiement de la sécurité des données hybride
| 1 |
Effectuer la configuration initiale et télécharger les fichiers d'installation Téléchargez le fichier OVA sur votre machine locale pour une utilisation ultérieure. |
| 2 |
Créer une configuration ISO pour les hôtes HDS Utiliser l'outil de configuration HDS pour créer un fichier de configuration ISO pour les nœuds hybrides de sécurité des données. |
| 3 |
Créez une machine virtuelle à partir du fichier OVA et effectuez la configuration initiale, comme les paramètres réseau. L'option de configurer les paramètres réseau pendant le déploiement d'OVA a été testée avec ESXi 7.0. L'option peut ne pas être disponible dans les versions précédentes. |
| 4 |
Configurer la VM Hybrid Data Security Connectez-vous à la console VM et définissez les identifiants de connexion. Configurez les paramètres réseau du noeud si vous ne les avez pas configurés au moment du déploiement d'OVA. |
| 5 |
Télécharger et monter la configuration HDS ISO Configurez la VM à partir du fichier de configuration ISO que vous avez créé avec l'outil de configuration HDS. |
| 6 |
Configurer le noeud HDS pour l'intégration de proxy Si l'environnement réseau nécessite une configuration proxy, spécifiez le type de proxy que vous utiliserez pour le noeud, et ajoutez le certificat proxy au magasin de confiance si nécessaire. |
| 7 |
Enregistrer le premier noeud du cluster Enregistrez la VM avec le cloud Cisco Webex en tant que nœud hybride de sécurité des données. |
| 8 |
Créer et enregistrer plus de nœuds Terminer la configuration du cluster. |
| 9 |
Activer Multi-Tenant HDS sur Partner Hub. Activer HDS et gérer les organisations de locataires sur Partner Hub. |
Effectuer la configuration initiale et télécharger les fichiers d'installation
Dans cette tâche, vous téléchargez un fichier OVA sur votre machine (et non sur les serveurs que vous avez configurés en tant que nœuds de sécurité des données hybrides). Vous utilisez ce fichier plus tard dans le processus d'installation.
| 1 |
Connectez-vous à Partner Hub, puis cliquez sur Services. |
| 2 |
Dans la section Cloud Services, recherchez la carte Hybrid Data Security, puis cliquez sur Configurer. Cliquer sur Configurer dans Partner Hub est essentiel pour le processus de déploiement. Ne pas procéder à l'installation sans avoir terminé cette étape. |
| 3 |
Cliquez sur Ajouter une ressource et cliquez sur Télécharger le fichier .OVA sur la carte Installer et configurer le logiciel . Les anciennes versions du progiciel (OVA) ne seront pas compatibles avec les dernières mises à niveau Hybrid Data Security. Cela peut entraîner des problèmes lors de la mise à niveau de l'application. Assurez-vous de télécharger la dernière version du fichier OVA. Vous pouvez également télécharger l’OVA à tout moment depuis la section Aide . Cliquez sur . Le téléchargement du fichier OVA commence automatiquement. Enregistrez le fichier à un emplacement sur votre machine.
|
| 4 |
En option, cliquez sur Voir le guide de déploiement de la sécurité des données hybrides pour vérifier si une version ultérieure de ce guide est disponible. |
Créer une configuration ISO pour les hôtes HDS
Le processus de configuration de la sécurité des données hybride crée un fichier ISO. Vous utilisez ensuite l'ISO pour configurer votre hôte Hybrid Data Security.
Avant de commencer
-
L'outil de configuration HDS fonctionne comme un conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les identifiants d'un compte Partner Hub avec tous les droits d'administrateur.
Si l'outil de configuration HDS fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, identifiants) via les variables d'environnement Docker lors de l'activation du conteneur Docker à l'étape 5 ci-dessous. Ce tableau donne quelques variables d'environnement possibles :
Opis
Spremenljivka
Serveur mandataire HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS Proxy sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS Proxy avec authentification
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Le fichier de configuration ISO que vous générez contient la clé maître chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous effectuez des changements de configuration, comme ceux-ci :
-
Identifiants de la base de données
-
Mises à jour du certificat
-
Modifications de la politique d'autorisation
-
-
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
| 1 |
Sur la ligne de commande de votre machine, saisissez la commande appropriée pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : Cette étape nettoie les images précédentes de l'outil de configuration HDS. S'il n'y a pas d'images précédentes, il renvoie une erreur que vous pouvez ignorer. | ||||||||||
| 2 |
Pour vous connecter au registre d'images Docker, saisissez : | ||||||||||
| 3 |
A l'invite du mot de passe, saisir ce hachage : | ||||||||||
| 4 |
Téléchargez la dernière image stable pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : | ||||||||||
| 5 |
Lorsque le tirage est terminé, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur fonctionne, vous voyez "Express server listening on port 8080". | ||||||||||
| 6 |
L'outil de configuration ne prend pas en charge la connexion à localhost via http://localhost:8080. Utiliser http://127.0.0.1:8080 pour se connecter à localhost. Utiliser un navigateur Web pour accéder à l'hôte local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L’outil affiche alors l’invite de connexion standard. | ||||||||||
| 7 |
Lorsque vous y êtes invité, entrez vos identifiants de connexion administrateur Partner Hub, puis cliquez sur Se connecter pour autoriser l'accès aux services requis pour la sécurité des données hybrides. | ||||||||||
| 8 |
Sur la page d'aperçu de l'outil de configuration, cliquez sur Démarrer. | ||||||||||
| 9 |
Sur la page Import ISO , vous avez les options suivantes :
| ||||||||||
| 10 |
Vérifiez que votre certificat X.509 répond aux exigences du X.509 Exigences du certificat.
| ||||||||||
| 11 |
Saisissez l'adresse de la base de données et le compte de HDS pour accéder à votre magasin de données clé : | ||||||||||
| 12 |
Sélectionner un mode de connexion à la base de données TLS:
Lorsque vous téléchargez le certificat racine (si nécessaire) et cliquez sur Continuer, l’outil de configuration HDS teste la connexion TLS au serveur de base de données. L'outil vérifie également le signataire du certificat et le nom d'hôte, le cas échéant. Si un test échoue, l’outil affiche un message d’erreur décrivant le problème. Vous pouvez choisir d'ignorer l'erreur et de continuer avec la configuration. (En raison de différences de connectivité, les nœuds HDS pourraient être en mesure d'établir la connexion TLS même si la machine HDS Setup Tool ne peut pas la tester avec succès.) | ||||||||||
| 13 |
Sur la page System Logs, configurez votre serveur Syslogd : | ||||||||||
| 14 |
(Facultatif) Vous pouvez modifier la valeur par défaut pour certains paramètres de connexion à la base de données dans Paramètres avancés. Généralement, ce paramètre est le seul que vous pourriez vouloir modifier : | ||||||||||
| 15 |
Cliquez sur Continue sur l’écran Reset Service Accounts Password . Les mots de passe des comptes de service ont une durée de vie de neuf mois. Utilisez cet écran lorsque vos mots de passe sont sur le point d'expiration ou lorsque vous souhaitez les réinitialiser pour invalider les fichiers ISO précédents. | ||||||||||
| 16 |
Cliquez sur Download ISO File. Enregistrez le fichier dans un emplacement facile à trouver. | ||||||||||
| 17 |
Faites une copie de sauvegarde du fichier ISO sur votre système local. Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement maître pour le contenu de la base de données. Restreindre l'accès aux seuls administrateurs Hybrid Data Security qui doivent effectuer des modifications de configuration. | ||||||||||
| 18 |
Pour arrêter l’outil de configuration, taper |
Que faire ensuite
Sauvegarder le fichier ISO de configuration. Vous en avez besoin pour créer plus de nœuds pour la récupération, ou pour faire des changements de configuration. Si vous perdez toutes les copies du fichier ISO, vous avez également perdu la clé principale. Récupérer les clés de votre base de données PostgreSQL ou Microsoft SQL Server n'est pas possible.
Nous n'avons jamais une copie de cette clé et ne pouvons pas vous aider si vous la perdez.
Installer l'OVA hôte HDS
| 1 |
Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi. |
| 2 |
Sélectionner File > Deploy OVF Template. |
| 3 |
Dans l’assistant, spécifiez l’emplacement du fichier OVA que vous avez téléchargé précédemment, puis cliquez sur Suivant. |
| 4 |
Sur la page Sélectionner un nom et un dossier , saisir un Nom de la machine virtuelle pour le noeud (par exemple, "HDS_Node_1"), choisir un emplacement où peut résider le déploiement du noeud de la machine virtuelle, puis cliquer sur Suivant. |
| 5 |
Sur la page Sélectionner une ressource de calcul , choisir la ressource de calcul de destination, puis cliquer sur Suivant. Un contrôle de validation est effectué. Une fois terminé, les détails du modèle apparaissent. |
| 6 |
Vérifiez les détails du modèle, puis cliquez sur Suivant. |
| 7 |
Si vous êtes invité à choisir la configuration des ressources sur la page Configuration , cliquez sur 4 CPU puis sur Suivant. |
| 8 |
Sur la page Select storage , cliquez sur Next pour accepter le format de disque par défaut et la politique de stockage des VM. |
| 9 |
Sur la page Sélectionner les réseaux , choisir l’option réseau dans la liste des entrées pour fournir la connectivité souhaitée à la VM. |
| 10 |
Sur la page Personnaliser le modèle , configurer les paramètres réseau suivants :
Si vous préférez, vous pouvez sauter la configuration des paramètres réseau et suivre les étapes de Configurer la VM hybride de sécurité des données pour configurer les paramètres à partir de la console de noeud. L'option de configurer les paramètres réseau pendant le déploiement d'OVA a été testée avec ESXi 7.0. L'option peut ne pas être disponible dans les versions précédentes. |
| 11 |
Faire un clic droit sur la VM du noeud, puis choisir . Le logiciel de sécurité des données hybride est installé en tant qu'invité sur l'hôte de la VM. Vous êtes maintenant prêt à vous connecter à la console et à configurer le nœud. Conseils de dépannage Il se peut que vous connaissiez un délai de quelques minutes avant que les conteneurs de nœuds ne se présentent. Un message pare-feu passerelle apparaît sur la console lors du premier démarrage, au cours duquel vous ne pouvez pas vous connecter. |
Configurer la VM Hybrid Data Security
Utilisez cette procédure pour vous connecter pour la première fois à la console VM du nœud hybride de sécurité des données et définir les identifiants de connexion. Vous pouvez également utiliser la console pour configurer les paramètres réseau pour le noeud si vous ne les avez pas configurés au moment du déploiement d'OVA.
| 1 |
Dans le client VMware vSphere, sélectionnez votre VM Hybrid Data Security node et sélectionnez l’onglet Console . La VM démarre et une invite de connexion apparaît. Si l’invite de connexion ne s’affiche pas, appuyer sur Entrée.
|
| 2 |
Utilisez l'identifiant et le mot de passe par défaut suivants pour vous connecter et modifier les identifiants : Comme vous vous connectez à votre VM pour la première fois, vous devez modifier le mot de passe administrateur. |
| 3 |
Si vous avez déjà configuré les paramètres réseau dans Installer le HDS Host OVA, ignorez le reste de cette procédure. Sinon, dans le menu principal, sélectionner l’option Modifier la configuration . |
| 4 |
Paramétrer une configuration statique avec les informations d'adresse IP, de masque, de passerelle et DNS. Votre nœud doit avoir une adresse IP interne et un nom DNS. DHCP n'est pas pris en charge. |
| 5 |
(Facultatif) Modifiez le nom d'hôte, le domaine ou le(s) serveur(s) NTP, si nécessaire pour correspondre à votre politique réseau. Vous n'avez pas besoin de définir le domaine correspondant au domaine que vous avez utilisé pour obtenir le certificat X.509. |
| 6 |
Enregistrez la configuration réseau et redémarrez la VM pour que les modifications prennent effet. |
Télécharger et monter la configuration HDS ISO
Avant de commencer
Étant donné que le fichier ISO détient la clé principale, il ne devrait être exposé que sur la base du « besoin d'en connaître », pour l'accès aux VM Hybrid Data Security et aux administrateurs qui pourraient avoir besoin d'apporter des modifications. S'assurer que seuls ces administrateurs peuvent accéder au datastore.
| 1 |
Téléchargez le fichier ISO depuis votre ordinateur : |
| 2 |
Monter le fichier ISO : |
Que faire ensuite
Si votre politique informatique le nécessite, vous pouvez éventuellement démonter le fichier ISO après que tous vos nœuds aient détecté les changements de configuration. Voir (Optionnel) Démonter ISO après la configuration HDS pour plus de détails.
Configurer le noeud HDS pour l'intégration de proxy
Si l'environnement réseau nécessite un proxy, utilisez cette procédure pour spécifier le type de proxy que vous souhaitez intégrer à Hybrid Data Security. Si vous choisissez un proxy d'inspection transparent ou un proxy explicite HTTPS, vous pouvez utiliser l'interface du noeud pour télécharger et installer le certificat racine. Vous pouvez également vérifier la connexion proxy à partir de l'interface, et résoudre tout problème potentiel.
Avant de commencer
-
Voir Prise en charge des proxy pour un aperçu des options de proxy prises en charge.
| 1 |
Saisissez l'URL de configuration du noeud HDS |
| 2 |
Allez dans Trust Store & Proxy, puis choisissez une option :
Suivez les étapes suivantes pour un proxy d'inspection transparent, un proxy explicite HTTP avec authentification de base, ou un proxy explicite HTTPS. |
| 3 |
Cliquez sur Télécharger un certificat racine ou un certificat d'entité finale, puis accédez à un choix du certificat racine pour le mandataire. Le certificat est téléchargé mais pas encore installé car vous devez redémarrer le nœud pour installer le certificat. Cliquez sur la flèche chevron par le nom de l'émetteur du certificat pour obtenir plus de détails ou cliquez sur Supprimer si vous avez commis une erreur et que vous souhaitez recharger le fichier. |
| 4 |
Cliquez sur Vérifier la connexion du serveur mandataire pour tester la connectivité réseau entre le noeud et le serveur mandataire. Si le test de connexion échoue, vous verrez un message d'erreur qui indique la raison et comment vous pouvez corriger le problème. Si vous voyez un message disant que la résolution DNS externe n'a pas réussi, le noeud n'a pas pu atteindre le serveur DNS. Cette condition est attendue dans de nombreuses configurations de proxy explicites. Vous pouvez continuer avec la configuration, et le noeud fonctionnera en mode Résolution DNS externe bloquée. Si vous pensez qu'il s'agit d'une erreur, effectuez ces étapes, puis consultez Désactiver le mode de résolution DNS externe bloqué. |
| 5 |
Une fois le test de connexion réussi, pour le proxy explicite réglé sur https uniquement, activez la bascule sur Acheminer toutes les requêtes https du port 443/444 de ce noeud via le proxy explicite. Ce réglage nécessite 15 secondes pour prendre effet. |
| 6 |
Cliquez sur Installer tous les certificats dans le Trust Store (s'affiche pour un proxy explicite HTTPS ou un proxy d'inspection transparent) ou sur Redémarrer (s'affiche pour un proxy explicite HTTP), lisez l'invite, puis cliquez sur Installer si vous êtes prêt. Le nœud redémarre en quelques minutes. |
| 7 |
Après le redémarrage du noeud, connectez-vous à nouveau si nécessaire, puis ouvrez la page Aperçu pour vérifier les contrôles de connectivité afin de s’assurer qu’ils sont tous en vert. Le contrôle de connexion proxy teste uniquement un sous-domaine de webex.com. S'il y a des problèmes de connectivité, un problème commun est que certains des domaines cloud listés dans les instructions d'installation sont bloqués au niveau du proxy. |
Enregistrer le premier noeud du cluster
Lorsque vous enregistrez votre premier noeud, vous créez un cluster auquel le noeud est affecté. Une grappe contient un ou plusieurs noeuds déployés pour assurer la redondance.
Avant de commencer
-
Une fois que vous commencez l'enregistrement d'un nœud, vous devez le terminer dans les 60 minutes ou vous devez recommencer.
-
Assurez-vous que tous les bloqueurs pop-up de votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.
| 1 |
Se connecter à https://admin.webex.com. |
| 2 |
Dans le menu à gauche de l’écran, sélectionner Services. |
| 3 |
Dans la section Cloud Services, recherchez la carte Hybrid Data Security et cliquez sur Configurer. |
| 4 |
Dans la page qui s’ouvre, cliquez sur Ajouter une ressource. |
| 5 |
Dans le premier champ de la carte Ajouter un noeud , saisissez un nom pour le cluster auquel vous souhaitez affecter votre noeud Hybrid Data Security. Nous vous recommandons de nommer un cluster en fonction de l'emplacement géographique des nœuds du cluster. Exemples : "San Francisco" ou "New York" ou "Dallas" |
| 6 |
Dans le deuxième champ, saisissez l’adresse IP interne ou le nom de domaine entièrement qualifié (FQDN) de votre noeud et cliquez sur Ajouter en bas de l’écran. Cette adresse IP ou FQDN doit correspondre à l'adresse IP ou au nom d'hôte et au domaine que vous avez utilisés dans Configurer la VM hybride de sécurité des données. Un message apparaît indiquant que vous pouvez enregistrer votre nœud sur le Webex.
|
| 7 |
Cliquez sur Aller au noeud. Après quelques instants, vous êtes redirigé vers les tests de connectivité des nœuds pour les services Webex. Si tous les tests sont réussis, la page Allow Access to Hybrid Data Security Node (Autoriser l'accès au noeud de sécurité des données hybride) apparaît. Là, vous confirmez que vous souhaitez donner des autorisations à votre organisation Webex pour accéder à votre nœud. |
| 8 |
Cochez la case Autoriser l'accès à votre noeud hybride de sécurité des données , puis cliquez sur Continuer. Votre compte est validé et le message « Registration Complete » indique que votre nœud est désormais enregistré dans le cloud Webex.
|
| 9 |
Cliquez sur le lien ou fermez l'onglet pour revenir à la page Partner Hub Hybrid Data Security. Sur la page Hybrid Data Security , le nouveau cluster contenant le nœud que vous avez enregistré s’affiche sous l’onglet Ressources . Le nœud télécharge automatiquement les derniers logiciels depuis le cloud.
|
Créer et enregistrer plus de nœuds
Avant de commencer
-
Une fois que vous commencez l'enregistrement d'un nœud, vous devez le terminer dans les 60 minutes ou vous devez recommencer.
-
Assurez-vous que tous les bloqueurs pop-up de votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.
| 1 |
Créer une nouvelle machine virtuelle à partir de l'OVA, en répétant les étapes de Installer l'OVA hôte HDS. |
| 2 |
Configurer la configuration initiale sur la nouvelle VM en répétant les étapes de Configurer la VM hybride de sécurité des données. |
| 3 |
Sur la nouvelle VM, répéter les étapes de Télécharger et monter la configuration HDS ISO. |
| 4 |
Si vous configurez un proxy pour votre déploiement, répétez les étapes de Configurer le noeud HDS pour l'intégration de proxy si nécessaire pour le nouveau noeud. |
| 5 |
Enregistrez le noeud. |
Gérer les organisations de locataires sur la sécurité des données hybride multi-locataires
Activer HDS Multi-Tenant sur Partner Hub
Cette tâche permet à tous les utilisateurs des organisations clientes de commencer à utiliser HDS pour les clés de chiffrement sur site et d'autres services de sécurité.
Avant de commencer
Assurez-vous que vous avez terminé la configuration de votre cluster HDS Multi-Tenant avec le nombre de nœuds requis.
| 1 |
Se connecter à https://admin.webex.com. |
| 2 |
Dans le menu à gauche de l’écran, sélectionner Services. |
| 3 |
Dans la section Cloud Services, recherchez Hybrid Data Security et cliquez sur Edit Settings. |
| 4 |
Cliquer sur Activer HDS sur la carte HDS Status . |
Ajouter des organisations de locataires dans Partner Hub
Dans cette tâche, vous attribuez des organisations clientes à votre Cluster hybride de sécurité des données.
| 1 |
Se connecter à https://admin.webex.com. |
| 2 |
Dans le menu à gauche de l’écran, sélectionner Services. |
| 3 |
Dans la section Cloud Services, recherchez Hybrid Data Security et cliquez sur View all. |
| 4 |
Cliquez sur le cluster auquel vous souhaitez affecter un client. |
| 5 |
Accéder à l’onglet Clients affectés . |
| 6 |
Cliquez sur Ajouter des clients. |
| 7 |
Sélectionnez le client que vous souhaitez ajouter dans le menu déroulant. |
| 8 |
Cliquez sur Ajouter, le client sera ajouté au cluster. |
| 9 |
Répétez les étapes 6 à 8 pour ajouter plusieurs clients à votre cluster. |
| 10 |
Cliquez sur Terminé en bas de l’écran une fois que vous avez ajouté les clients. |
Que faire ensuite
Créer des clés principales du client (CMK) à l'aide de l'outil de configuration HDS
Avant de commencer
Affecter les clients au cluster approprié comme détaillé dans Ajouter des organisations de locataires dans Partner Hub. Exécutez l'outil de configuration HDS pour terminer le processus de configuration pour les organisations clients nouvellement ajoutées.
-
L'outil de configuration HDS fonctionne comme un conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les identifiants d'un compte Partner Hub avec tous les droits d'administrateur pour votre organisation.
Si l'outil HDS Setup fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, identifiants) via les variables d'environnement Docker lors de l'activation du conteneur Docker à l'étape 5. Ce tableau donne quelques variables d'environnement possibles :
Opis
Spremenljivka
Serveur mandataire HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS Proxy sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS Proxy avec authentification
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Le fichier de configuration ISO que vous générez contient la clé maître chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous effectuez des changements de configuration, comme ceux-ci :
-
Identifiants de la base de données
-
Mises à jour du certificat
-
Modifications de la politique d'autorisation
-
-
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
Le processus de configuration de la sécurité des données hybride crée un fichier ISO. Vous utilisez ensuite l'ISO pour configurer votre hôte Hybrid Data Security.
| 1 |
Sur la ligne de commande de votre machine, saisissez la commande appropriée pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : Cette étape nettoie les images précédentes de l'outil de configuration HDS. S'il n'y a pas d'images précédentes, il renvoie une erreur que vous pouvez ignorer. |
| 2 |
Pour vous connecter au registre d'images Docker, saisissez : |
| 3 |
A l'invite du mot de passe, saisir ce hachage : |
| 4 |
Téléchargez la dernière image stable pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : |
| 5 |
Lorsque le tirage est terminé, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur fonctionne, vous voyez "Express server listening on port 8080". |
| 6 |
L'outil de configuration ne prend pas en charge la connexion à localhost via http://localhost:8080. Utiliser http://127.0.0.1:8080 pour se connecter à localhost. Utiliser un navigateur Web pour accéder à l'hôte local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L’outil affiche alors l’invite de connexion standard. |
| 7 |
Lorsque vous y êtes invité, entrez vos identifiants de connexion administrateur Partner Hub, puis cliquez sur Se connecter pour autoriser l'accès aux services requis pour la sécurité des données hybrides. |
| 8 |
Sur la page d'aperçu de l'outil de configuration, cliquez sur Démarrer. |
| 9 |
Sur la page ISO Import , cliquez sur Yes. |
| 10 |
Sélectionnez votre fichier ISO dans le navigateur et téléchargez-le. Assurez-vous de la connectivité à votre base de données pour effectuer la gestion CMK. |
| 11 |
Allez dans l’onglet Gestion des CMK des locataires , où vous trouverez les trois façons suivantes de gérer les CMK des locataires.
|
| 12 |
Une fois la création de CMK réussie, le statut dans le tableau passe de gestion de CMK en attente à CMK géré. |
| 13 |
Si la création du CMK échoue, une erreur s'affiche. |
Supprimer les organisations locataires
Avant de commencer
Une fois supprimés, les utilisateurs des organisations clientes ne seront pas en mesure de tirer parti de HDS pour leurs besoins de cryptage et perdront tous les espaces existants. Avant de supprimer les organisations clientes, veuillez contacter votre partenaire Cisco ou votre gestionnaire de compte.
| 1 |
Se connecter à https://admin.webex.com. |
| 2 |
Dans le menu à gauche de l’écran, sélectionner Services. |
| 3 |
Dans la section Cloud Services, recherchez Hybrid Data Security et cliquez sur View all. |
| 4 |
Dans l’onglet Ressources , cliquez sur le cluster dont vous souhaitez supprimer les organisations clientes. |
| 5 |
Dans la page qui s’ouvre, cliquez sur Clients affectés. |
| 6 |
Dans la liste des organisations clientes affichées, cliquez sur ... sur le côté droit de l'organisation cliente que vous souhaitez supprimer et cliquez sur Supprimer du cluster. |
Que faire ensuite
Complétez le processus de retrait en révoquant les CMK des organisations clientes, comme détaillé dans Révoquer les CMK des locataires retirés de HDS.
Révoquer les CMK des locataires retirés du HDS.
Avant de commencer
Retirer les clients du cluster approprié comme détaillé dans Supprimer les organisations locataires. Exécutez l'outil de configuration HDS pour terminer le processus de suppression pour les organisations clientes qui ont été supprimées.
-
L'outil de configuration HDS fonctionne comme un conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les identifiants d'un compte Partner Hub avec tous les droits d'administrateur pour votre organisation.
Si l'outil HDS Setup fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, identifiants) via les variables d'environnement Docker lors de l'activation du conteneur Docker à l'étape 5. Ce tableau donne quelques variables d'environnement possibles :
Opis
Spremenljivka
Serveur mandataire HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS Proxy sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS Proxy avec authentification
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Le fichier de configuration ISO que vous générez contient la clé maître chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous effectuez des changements de configuration, comme ceux-ci :
-
Identifiants de la base de données
-
Mises à jour du certificat
-
Modifications de la politique d'autorisation
-
-
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
Le processus de configuration de la sécurité des données hybride crée un fichier ISO. Vous utilisez ensuite l'ISO pour configurer votre hôte Hybrid Data Security.
| 1 |
Sur la ligne de commande de votre machine, saisissez la commande appropriée pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : Cette étape nettoie les images précédentes de l'outil de configuration HDS. S'il n'y a pas d'images précédentes, il renvoie une erreur que vous pouvez ignorer. |
| 2 |
Pour vous connecter au registre d'images Docker, saisissez : |
| 3 |
A l'invite du mot de passe, saisir ce hachage : |
| 4 |
Téléchargez la dernière image stable pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : |
| 5 |
Lorsque le tirage est terminé, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur fonctionne, vous voyez "Express server listening on port 8080". |
| 6 |
L'outil de configuration ne prend pas en charge la connexion à localhost via http://localhost:8080. Utiliser http://127.0.0.1:8080 pour se connecter à localhost. Utiliser un navigateur Web pour accéder à l'hôte local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L’outil affiche alors l’invite de connexion standard. |
| 7 |
Lorsque vous y êtes invité, entrez vos identifiants de connexion administrateur Partner Hub, puis cliquez sur Se connecter pour autoriser l'accès aux services requis pour la sécurité des données hybrides. |
| 8 |
Sur la page d'aperçu de l'outil de configuration, cliquez sur Démarrer. |
| 9 |
Sur la page ISO Import , cliquez sur Yes. |
| 10 |
Sélectionnez votre fichier ISO dans le navigateur et téléchargez-le. |
| 11 |
Allez dans l’onglet Gestion des CMK des locataires , où vous trouverez les trois façons suivantes de gérer les CMK des locataires.
|
| 12 |
Une fois la révocation de CMK réussie, l'organisation cliente n'apparaîtra plus dans le tableau. |
| 13 |
Si la révocation du CMK échoue, une erreur s'affiche. |
Testez votre déploiement Hybrid Data Security
Testez votre déploiement hybride de sécurité des données
Avant de commencer
-
Configurez votre déploiement Multi-tenant Hybrid Data Security.
-
Assurez-vous d'avoir accès au syslog pour vérifier que les demandes clés passent à votre déploiement de sécurité des données hybride multi-tenant.
| 1 |
Les clés pour un espace donné sont définies par le créateur de l'espace. Connectez-vous à l'application Webex en tant qu'utilisateur de l'organisation client, puis créez un espace. Si vous désactivez le déploiement Hybrid Data Security, le contenu des espaces créés par les utilisateurs n’est plus accessible une fois que les copies des clés de chiffrement mises en cache par le client sont remplacées. |
| 2 |
Envoyer des messages vers le nouvel espace. |
| 3 |
Vérifiez la sortie syslog pour vérifier que les demandes de clés passent à votre déploiement Hybrid Data Security. |
Surveiller l'intégrité de la sécurité des données hybrides
| 1 |
Dans Partner Hub, sélectionnez Services dans le menu à gauche de l’écran. |
| 2 |
Dans la section Cloud Services, recherchez Hybrid Data Security et cliquez sur Edit Settings. La page Hybrid Data Security Settings apparaît.
|
| 3 |
Dans la section Notifications par e-mail, tapez une ou plusieurs adresses e-mail séparées par des virgules et appuyez sur Entrée. |
Gérez votre déploiement HDS
Gérer le déploiement du HDS
Utilisez les tâches décrites ici pour gérer votre déploiement Hybrid Data Security.
Définir le calendrier de mise à niveau du cluster
Pour définir le calendrier de mise à niveau :
| 1 |
Connectez-vous à Partner Hub. |
| 2 |
Dans le menu à gauche de l’écran, sélectionner Services. |
| 3 |
Dans la section Cloud Services, recherchez Hybrid Data Security et cliquez sur Configurer |
| 4 |
Sur la page Hybrid Data Security Resources, sélectionner le cluster. |
| 5 |
Cliquez sur l’onglet Cluster Settings . |
| 6 |
Sur la page Cluster Settings, sous Upgrade Schedule, sélectionnez l'heure et le fuseau horaire pour le planning de mise à niveau. Opomba: Sous le fuseau horaire, la date et l'heure de mise à niveau disponibles suivantes s'affichent. Vous pouvez reporter la mise à niveau au lendemain, si nécessaire, en cliquant sur Reporter de 24 heures. |
Modifier la configuration des nœuds
-
Modification des certificats x.509 en raison de l'expiration ou d'autres raisons.
Nous ne soutenons pas le changement du nom de domaine CN d'un certificat. Le domaine doit correspondre au domaine d'origine utilisé pour enregistrer le cluster.
-
Mise à jour des paramètres de base de données pour passer à une réplique de la base de données PostgreSQL ou Microsoft SQL Server.
Nous ne soutenons pas la migration de données de PostgreSQL vers Microsoft SQL Server, ou le contraire. Pour changer d’environnement de base de données, lancer un nouveau déploiement de la sécurité des données hybride.
-
Créer une nouvelle configuration pour préparer un nouveau centre de données.
De plus, à des fins de sécurité, Hybrid Data Security utilise des mots de passe de compte de service qui ont une durée de vie de neuf mois. Une fois que l'outil de configuration HDS a généré ces mots de passe, vous les déployez sur chacun de vos nœuds HDS dans le fichier de configuration ISO. Lorsque les mots de passe de votre organisation approchent de l'expiration, vous recevez un avis de l'équipe Webex pour réinitialiser le mot de passe de votre compte machine. (L'e-mail comprend le texte, "Utilisez l'API du compte machine pour mettre à jour le mot de passe.") Si vos mots de passe n'ont pas encore expiré, l'outil vous donne deux options :
-
Réinitialisation douce—Les anciens et les nouveaux mots de passe fonctionnent tous les deux pendant 10 jours maximum. Utilisez cette période pour remplacer progressivement le fichier ISO sur les nœuds.
-
Réinitialisation rapide—Les anciens mots de passe cessent immédiatement de fonctionner.
Si vos mots de passe expirent sans réinitialisation, cela affecte votre service HDS, nécessitant une réinitialisation rapide et le remplacement du fichier ISO sur tous les nœuds.
Utilisez cette procédure pour générer un nouveau fichier ISO de configuration et l'appliquer à votre cluster.
Avant de commencer
-
L'outil de configuration HDS fonctionne comme un conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les identifiants d'un compte Partner Hub avec les droits d'administrateur complets du partenaire .
Si l'outil de configuration HDS fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, identifiants) via les variables d'environnement Docker lors de l'affichage du conteneur Docker dans 1.e. Ce tableau donne quelques variables d'environnement possibles :
Opis
Spremenljivka
Serveur mandataire HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS Proxy sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS Proxy avec authentification
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Vous avez besoin d'une copie du fichier ISO de configuration en cours pour générer une nouvelle configuration. L'ISO contient la clé maître chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de l'ISO lorsque vous effectuez des changements de configuration, y compris des identifiants de base de données, des mises à jour de certificats ou des changements à la politique d'autorisation.
| 1 |
A l'aide de Docker sur une machine locale, exécutez l'outil de configuration HDS. |
| 2 |
Si un seul noeud HDS est en cours d’exécution, créez une nouvelle VM de noeud hybride de sécurité des données et enregistrez-la à l’aide du nouveau fichier ISO de configuration. Pour des instructions plus détaillées, voir Créer et enregistrer plus de nœuds. |
| 3 |
Pour les nœuds HDS existants qui exécutent l'ancien fichier de configuration, montez le fichier ISO. Effectuer la procédure suivante sur chaque noeud à tour de rôle, en mettant à jour chaque noeud avant de désactiver le noeud suivant : |
| 4 |
Répétez l'étape 3 pour remplacer la configuration sur chaque noeud restant qui exécute l'ancienne configuration. |
Désactiver le mode de résolution DNS externe bloqué
Lorsque vous enregistrez un noeud ou vérifiez la configuration du serveur mandataire du noeud, le processus teste la recherche DNS et la connectivité au cloud Cisco Webex. Si le serveur DNS du noeud ne peut pas résoudre les noms DNS publics, le noeud passe automatiquement en mode Résolution DNS externe bloquée.
Si vos nœuds sont capables de résoudre les noms DNS publics via des serveurs DNS internes, vous pouvez désactiver ce mode en repassant le test de connexion proxy sur chaque nœud.
Avant de commencer
| 1 |
Dans un navigateur Web, ouvrez l’interface du noeud de sécurité des données hybride (adresse IP/configuration, par exemple, https://192.0.2.0/setup), entrez les identifiants d’administration que vous avez configurés pour le noeud, puis cliquez sur Se connecter. |
| 2 |
Allez dans Aperçu (la page par défaut). Lorsque cette option est activée, Blocked External DNS Resolution est réglée sur Yes. |
| 3 |
Accédez à la page Trust Store & Proxy . |
| 4 |
Cliquez sur Vérifier la connexion du mandataire. Si vous voyez un message disant que la résolution DNS externe n'a pas réussi, le noeud n'a pas pu atteindre le serveur DNS et restera dans ce mode. Sinon, après avoir redémarré le noeud et revenir à la page Aperçu , la résolution DNS externe bloquée doit être réglée sur non. |
Que faire ensuite
Supprimer un noeud
| 1 |
Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi et mettre la machine virtuelle hors tension. |
| 2 |
Supprimer le nœud : |
| 3 |
Dans le client vSphere, supprimer la VM. (Dans le volet de navigation de gauche, faire un clic droit sur la VM et cliquer sur Supprimer.) Si vous ne supprimez pas la VM, pensez à démonter le fichier ISO de configuration. Sans le fichier ISO, vous ne pouvez pas utiliser la VM pour accéder à vos données de sécurité. |
Reprise après sinistre à l'aide du centre de données de secours
Le service le plus critique que votre cluster Hybrid Data Security fournit est la création et le stockage de clés utilisées pour chiffrer les messages et autres contenus stockés dans le cloud Webex. Pour chaque utilisateur de l'organisation affecté à la sécurité des données hybrides, de nouvelles demandes de création de clés sont acheminées vers le cluster. Le cluster est également chargé de renvoyer les clés qu'il a créées à tous les utilisateurs autorisés à les récupérer, par exemple les membres d'un espace de conversation.
Comme le cluster remplit la fonction critique de fournir ces clés, il est impératif que le cluster reste en fonctionnement et que des sauvegardes appropriées soient maintenues. La perte de la base de données Hybrid Data Security ou de la configuration ISO utilisée pour le schéma entraînera une PERTE IRRÉCUPÉRABLE du contenu client. Les pratiques suivantes sont obligatoires pour prévenir une telle perte :
Si une catastrophe entraîne l'indisponibilité du déploiement du HDS dans le centre de données primaire, suivre cette procédure pour basculer manuellement vers le centre de données de secours.
Avant de commencer
| 1 |
Démarrer l’outil de configuration HDS et suivre les étapes mentionnées dans Créer une configuration ISO pour les hôtes HDS. |
| 2 |
Complétez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver. |
| 3 |
Faites une copie de sauvegarde du fichier ISO sur votre système local. Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement maître pour le contenu de la base de données. Restreindre l'accès aux seuls administrateurs Hybrid Data Security qui doivent effectuer des modifications de configuration. |
| 4 |
Dans le volet de navigation gauche du client VMware vSphere, faire un clic droit sur la VM et cliquer sur Modifier les paramètres. |
| 5 |
Cliquez sur Edit Settings >CD/DVD Drive 1 et sélectionnez Datastore ISO File. S'assurer que Connected et Connect at power on sont cochés afin que les modifications de configuration mises à jour puissent prendre effet après le démarrage des nœuds. |
| 6 |
Mettre le noeud HDS sous tension et s'assurer qu'il n'y a pas d'alarmes pendant au moins 15 minutes. |
| 7 |
Enregistrez le nœud dans le hub partenaire. Voir Enregistrer le premier noeud du cluster. |
| 8 |
Répétez le processus pour chaque nœud du centre de données de veille. |
Que faire ensuite
(Optionnel) Démonter ISO après la configuration HDS
La configuration HDS standard fonctionne avec l'ISO monté. Mais, certains clients préfèrent ne pas laisser les fichiers ISO montés en continu. Vous pouvez démonter le fichier ISO après que tous les nœuds HDS aient récupéré la nouvelle configuration.
Vous utilisez toujours les fichiers ISO pour effectuer des changements de configuration. Lorsque vous créez un nouvel ISO ou mettez à jour un ISO via l'outil de configuration, vous devez monter l'ISO mis à jour sur tous vos nœuds HDS. Une fois que tous vos nœuds ont saisi les changements de configuration, vous pouvez à nouveau démonter l'ISO avec cette procédure.
Avant de commencer
Mettez à niveau tous vos nœuds HDS vers la version 2021.01.22.4720 ou ultérieure.
| 1 |
Éteignez un de vos nœuds HDS. |
| 2 |
Dans le vCenter Server Appliance, sélectionnez le noeud HDS. |
| 3 |
Choisissez et décochez Datastore ISO File. |
| 4 |
Mettre le noeud HDS sous tension et s'assurer qu'il n'y a pas d'alarmes pendant au moins 20 minutes. |
| 5 |
Répéter pour chaque noeud HDS à tour de rôle. |
Dépannage de la sécurité des données hybride
Afficher les alertes et dépannage
Un déploiement Hybrid Data Security est considéré comme indisponible si tous les nœuds du cluster sont injoignables, ou si le cluster fonctionne si lentement que cela demande une temporisation. Si les utilisateurs ne peuvent pas rejoindre votre cluster Hybrid Data Security, ils ressentent les symptômes suivants :
-
Impossible de créer de nouveaux espaces (impossible de créer de nouvelles clés)
-
Les messages et les titres d'espace ne sont pas déchiffrés pour :
-
Nouveaux utilisateurs ajoutés à un espace (impossible de récupérer les clés)
-
Utilisateurs existants dans un espace utilisant un nouveau client (impossible de récupérer les clés)
-
-
Les utilisateurs existants dans un espace continueront à fonctionner avec succès tant que leurs clients ont un cache des clés de chiffrement
Il est important que vous surveillez correctement votre cluster Hybrid Data Security et que vous répondiez rapidement à toutes les alertes afin d'éviter toute perturbation du service.
Opozorila
En cas de problème avec la configuration Hybrid Data Security, Partner Hub affiche des alertes à l'administrateur de l'organisation et envoie des e-mails à l'adresse e-mail configurée. Les alertes couvrent de nombreux scénarios courants.
|
Opozori |
Dejanje |
|---|---|
|
Échec d'accès à la base de données locale. |
Vérifier l'absence d'erreurs de base de données ou de problèmes de réseau local. |
|
Défaut de connexion à la base de données locale. |
Vérifier que le serveur de base de données est disponible et que les bons identifiants de compte de service ont été utilisés dans la configuration des nœuds. |
|
Échec de l'accès au service cloud. |
Vérifier que les nœuds peuvent accéder aux serveurs Webex comme spécifié dans Exigences de connectivité externe. |
|
Renouvellement de l’enregistrement des services cloud. |
L'inscription aux services cloud a été abandonnée. Le renouvellement de l'enregistrement est en cours. |
|
L'enregistrement des services dans le cloud a chuté. |
L'inscription aux services cloud est terminée. Le service s'arrête. |
|
Service non encore activé. |
Activer HDS dans Partner Hub. |
|
Le domaine configuré ne correspond pas au certificat du serveur. |
Assurez-vous que votre certificat de serveur correspond au domaine d'activation de service configuré. La cause la plus probable est que le certificat CN a été récemment modifié et qu'il est maintenant différent du certificat CN utilisé lors de la configuration initiale. |
|
Impossible de s'authentifier aux services cloud. |
Vérifier l'exactitude et l'expiration éventuelle des identifiants de compte de service. |
|
Impossible d'ouvrir le fichier keystore local. |
Vérifier l'intégrité et l'exactitude du mot de passe sur le fichier de keystore local. |
|
Le certificat du serveur local est invalide. |
Vérifiez la date d'expiration du certificat du serveur et confirmez qu'il a été émis par une autorité de certification de confiance. |
|
Impossible d'afficher les paramètres. |
Vérifier l'accès au réseau local aux services cloud externes. |
|
Le répertoire /media/configdrive/hds n'existe pas. |
Vérifiez la configuration du montage ISO sur un hôte virtuel. Vérifiez que le fichier ISO existe, qu'il est configuré pour être monté lors du redémarrage et qu'il est monté avec succès. |
|
La configuration de l'organisation du locataire n'est pas terminée pour les orgs ajoutés |
Complétez la configuration en créant des CMK pour les organisations de locataires nouvellement ajoutées à l'aide de l'outil de configuration HDS. |
|
La configuration de l'organisation du locataire n'est pas terminée pour les orgs supprimés |
Terminer la configuration en révoquant les CMK des organisations locataires qui ont été supprimées à l'aide de l'outil de configuration HDS. |
Dépannage de la sécurité des données hybride
| 1 |
Examinez Partner Hub pour toutes les alertes et corrigez tous les éléments que vous y trouvez. Voir l'image ci-dessous pour référence. |
| 2 |
Examinez la sortie du serveur syslog pour l'activité liée au déploiement de la sécurité des données hybride. Filtrer les mots comme « Avertissement » et « Erreur » pour faciliter le dépannage. |
| 3 |
Contact Support Cisco. |
Autres notes
Problèmes connus pour la sécurité des données hybrides
-
Si vous fermez votre cluster Hybrid Data Security (en le supprimant dans Partner Hub ou en fermant tous les nœuds), perdez votre fichier ISO de configuration ou perdez l'accès à la base de données de keystore, les utilisateurs de l'application Webex des organisations clientes ne peuvent plus utiliser les espaces sous leur liste de personnes créés avec des clés de votre KMS. Nous n'avons pas actuellement de solution de contournement ou de correction pour ce problème et vous exhortons à ne pas arrêter vos services HDS une fois qu'ils traitent des comptes utilisateurs actifs.
-
Un client qui a une connexion ECDH existante à un KMS maintient cette connexion pendant une période de temps (probablement une heure).
Utiliser OpenSSL pour générer un fichier PKCS12
Avant de commencer
-
OpenSSL est un outil qui peut être utilisé pour faire le fichier PKCS12 dans le format approprié pour le chargement dans l'outil de configuration HDS. Il y a d'autres façons de le faire, et nous ne soutenons ni ne promouvons une voie par rapport à une autre.
-
Si vous choisissez d'utiliser OpenSSL, nous fournissons cette procédure comme guide pour vous aider à créer un fichier qui répond aux exigences de certificat X.509 dans X.509 Exigences de certificat. Comprenez ces exigences avant de continuer.
-
Installer OpenSSL dans un environnement pris en charge. Voir https://www.openssl.org pour le logiciel et la documentation.
-
Créer une clé privée.
-
Commencez cette procédure lorsque vous recevez le certificat de serveur de votre autorité de certification (CA).
| 1 |
Lorsque vous recevez le certificat de serveur de votre CA, enregistrez-le comme |
| 2 |
Afficher le certificat sous forme de texte et vérifier les détails.
|
| 3 |
Utilisez un éditeur de texte pour créer un fichier bundle de certificats appelé
|
| 4 |
Créer le fichier .p12 avec le nom convivial
|
| 5 |
Vérifiez les détails du certificat du serveur. |
Que faire ensuite
Retourner à Remplir les prérequis pour la sécurité des données hybrides. Vous utiliserez le fichier hdsnode.p12 et le mot de passe que vous lui avez défini dans Créer une configuration ISO pour les hôtes HDS.
Vous pouvez réutiliser ces fichiers pour demander un nouveau certificat lorsque le certificat original expire.
Trafic entre les nœuds HDS et le Cloud
Trafic de collecte de métriques sortantes
Les nœuds Hybrid Data Security envoient certaines métriques au cloud Webex. Il s'agit notamment de métriques système pour le tas max, le tas utilisé, la charge CPU et le nombre de fils ; de métriques sur les fils synchrones et asynchrones ; de métriques sur les alertes impliquant un seuil de connexions de chiffrement, de latence ou une longueur de file d'attente de requêtes ; de métriques sur le magasin de données ; et de métriques de connexions de chiffrement. Les noeuds envoient du matériel de clé chiffré sur un canal hors bande (séparé de la requête).
Trafic entrant
Les nœuds de sécurité des données hybrides reçoivent les types de trafic entrant suivants du cloud Webex :
-
Les demandes de chiffrement des clients, qui sont acheminées par le service de chiffrement
-
Mises à niveau du logiciel du noeud
Configurer les proxies Squid pour la sécurité des données hybrides
Websocket ne peut pas se connecter via Squid Proxy
Les proxys Squid qui inspectent le trafic HTTPS peuvent interférer avec l'établissement de connexions Websocket (wss:) requises par Hybrid Data Security. Ces sections donnent des indications sur la façon de configurer les différentes versions de Squid pour ignorer wss : trafic pour le bon fonctionnement des services.
Squid 4 et 5
Ajouter la on_unsupported_protocol directive à squid.conf :
on_unsupported_protocol tunnel toutCalamar 3.5.27
Nous avons testé avec succès Hybrid Data Security avec les règles suivantes ajoutées à squid.conf. Ces règles sont susceptibles de changer au fur et à mesure que nous développons des fonctionnalités et mettons à jour le cloud Webex.
acl wssMercuryConnection ssl ::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 allInformations nouvelles et modifiées
Informations nouvelles et modifiées
Ce tableau présente les nouvelles fonctionnalités ou fonctionnalités, les modifications apportées au contenu existant et les erreurs majeures qui ont été corrigées dans le Guide de déploiement pour la sécurité des données hybrides multi-locataires.
|
Datum |
Modifications apportées |
|---|---|
|
30 janvier 2025 |
Ajout de la version 2022 du serveur SQL à la liste des serveurs SQL pris en charge dans Exigences du serveur de base de données. |
|
15 janvier 2025 |
Ajout des limites de la sécurité des données hybrides multi-locataires. |
|
08 janvier 2025 |
Ajout d'une note dans Effectuer la configuration initiale et télécharger les fichiers d'installation indiquant que cliquer sur Configurer sur la carte HDS dans Partner Hub est une étape importante du processus d'installation. |
|
07 janvier 2025 |
Mises à jour Virtual Host Requirements, Hybrid Data Security Deployment Task Flow et Install the HDS Host OVA pour afficher la nouvelle exigence d'ESXi 7.0. |
|
13 décembre 2024 |
Première publication. |
Désactiver la sécurité des données hybride multi-tenant
Flux des tâches de désactivation HDS multi-tenant
Suivez ces étapes pour désactiver complètement Multi-Tenant HDS.
Avant de commencer
| 1 |
Retirer tous les clients de tous vos clusters, comme indiqué dans Supprimer les organisations locataires. |
| 2 |
Révoquer les CMK de tous les clients, comme mentionné dans Révoquer les CMK des locataires retirés de HDS.. |
| 3 |
Supprimez tous les nœuds de tous vos clusters, comme indiqué dans Supprimer un nœud. |
| 4 |
Supprimez tous vos clusters de Partner Hub en utilisant l'une des deux méthodes suivantes.
|
| 5 |
Cliquer sur l'onglet Paramètres de la page d'aperçu de la sécurité des données hybrides et cliquer sur Désactiver HDS sur la carte HDS Status. |
Commencez avec Multi-Tenant Hybrid Data Security
Aperçu de la sécurité des données hybrides multi-tenant
Depuis le premier jour, la sécurité des données a été l'objectif principal de la conception de l'application Webex. La pierre angulaire de cette sécurité est le chiffrement de contenu de bout en bout, activé par les clients de l'application Webex qui interagissent avec le Key Management Service (KMS). Le KMS est responsable de la création et de la gestion des clés cryptographiques que les clients utilisent pour chiffrer et déchiffrer dynamiquement les messages et les fichiers.
Par défaut, tous les clients de l'application Webex obtiennent un cryptage de bout en bout avec des clés dynamiques stockées dans le KMS cloud, dans le domaine de la sécurité de Cisco. Hybrid Data Security déplace le KMS et d'autres fonctions liées à la sécurité vers votre centre de données d'entreprise, de sorte que personne d'autre que vous ne détient les clés de votre contenu crypté.
Multi-Tenant Hybrid Data Security permet aux organisations de tirer parti de HDS par l'intermédiaire d'un partenaire local de confiance, qui peut agir en tant que fournisseur de services et gérer le chiffrement sur site et d'autres services de sécurité. Cette configuration permet à l'organisation partenaire d'avoir un contrôle complet sur le déploiement et la gestion des clés de chiffrement et garantit que les données utilisateur des organisations clientes sont à l'abri d'un accès externe. Les organisations partenaires mettent en place des instances HDS et créent des clusters HDS au besoin. Chaque instance peut prendre en charge plusieurs organisations clientes contrairement à un déploiement HDS régulier qui est limité à une seule organisation.
Cela permet également aux petites organisations de tirer parti de HDS, car le service de gestion des clés et l'infrastructure de sécurité comme les centres de données sont la propriété du partenaire local de confiance.
Comment Multi-Tenant Hybrid Data Security assure la souveraineté et le contrôle des données
- Le contenu généré par l'utilisateur est protégé contre l'accès externe, comme les fournisseurs de services cloud.
- Les partenaires locaux de confiance gèrent les clés de chiffrement des clients avec lesquels ils ont déjà une relation établie.
- Possibilité de soutien technique local, si fourni par le partenaire.
- Prend en charge le contenu des réunions, des messages et des appels.
Ce document vise à aider les organisations partenaires à mettre en place et à gérer des clients dans le cadre d’un système de sécurité des données hybride multi-tenant.
Limites de la sécurité des données hybride multi-tenant
- Les organisations partenaires ne doivent pas avoir de déploiement HDS existant actif dans Control Hub.
- Les organisations locataires ou clientes qui souhaitent être gérées par un partenaire ne doivent pas avoir de déploiement HDS existant dans Control Hub.
- Une fois le HDS multi-locataire déployé par le partenaire, tous les utilisateurs des organisations clientes ainsi que les utilisateurs de l'organisation partenaire commencent à tirer parti du HDS multi-locataire pour leurs services de cryptage.
L’organisation partenaire et les organisations clientes qu’ils gèrent seront sur le même déploiement HDS multi-locataires.
L’organisation partenaire n’utilisera plus de KMS dans le cloud une fois le HDS multi-tenant déployé.
- Il n'y a pas de mécanisme pour déplacer les clés vers Cloud KMS après un déploiement HDS.
- Actuellement, chaque déploiement HDS multi-tenant ne peut avoir qu'un seul cluster, avec plusieurs nœuds sous celui-ci.
- Les rôles d'administrateur ont certaines limites ; voir la section ci-dessous pour plus de détails.
Rôles dans la sécurité des données hybride multi-tenant
- Administrateur complet partenaire - Peut gérer les paramètres pour tous les clients que le partenaire gère. Lahko tudi dodelijo vloge skrbnika obstoječim uporabnikom v organizaciji in dodelijo točno določene stranke v upravljanje partnerskim administratorjem.
- Administrateur partenaire - Peut gérer les paramètres des clients que l'administrateur a provisionnés ou qui ont été affectés à l'utilisateur.
- Administrateur complet - Administrateur de l'organisation partenaire qui est autorisé à effectuer des tâches telles que modifier les paramètres de l'organisation, gérer les licences et attribuer des rôles.
- Configuration HDS multi-locataires de bout en bout et gestion de toutes les organisations clientes - Droits d'administrateur complet du partenaire et d'administrateur complet requis.
- Gestion des organisations locataires affectées - Droits d’administrateur partenaire et d’administrateur complet requis.
Architecture du domaine de la sécurité
L'architecture cloud de Webex sépare différents types de services en domaines distincts, ou domaines de confiance, comme illustré ci-dessous.
Pour mieux comprendre la sécurité des données hybrides, examinons d'abord ce cas de cloud pur, où Cisco fournit toutes les fonctions dans ses royaumes cloud. Le service d'identité, le seul endroit où les utilisateurs peuvent être directement corrélés à leurs informations personnelles telles que l'adresse e-mail, est logiquement et physiquement séparé du domaine de la sécurité dans le centre de données B. Les deux sont à leur tour séparés du domaine où le contenu crypté est finalement stocké, dans le centre de données C.
Dans ce schéma, le client est l'application Webex fonctionnant sur l'ordinateur portable d'un utilisateur, et s'est authentifié avec le service d'identité. Lorsque l’utilisateur compose un message à envoyer dans un espace, les étapes suivantes ont lieu :
-
Le client établit une connexion sécurisée avec le service de gestion de clés (KMS), puis demande une clé pour chiffrer le message. La connexion sécurisée utilise ECDH, et le KMS chiffre la clé à l'aide d'une clé maître AES-256.
-
Le message est crypté avant de quitter le client. Le client l'envoie au service d'indexation, qui crée des index de recherche chiffrés pour faciliter les recherches futures du contenu.
-
Le message chiffré est envoyé au service conformité pour vérification de la conformité.
-
Le message chiffré est stocké dans le domaine de stockage.
Lorsque vous déployez la sécurité des données hybride, vous déplacez les fonctions du domaine de la sécurité (KMS, indexation et conformité) vers votre centre de données sur site. Les autres services cloud qui composent Webex (y compris l'identité et le stockage de contenu) restent dans les royaumes de Cisco.
Collaboration avec d'autres organisations
Les utilisateurs de votre organisation peuvent utiliser régulièrement Webex App pour collaborer avec des participants externes d'autres organisations. Lorsque l'un de vos utilisateurs demande une clé pour un espace appartenant à votre organisation (parce qu'il a été créé par l'un de vos utilisateurs), votre KMS envoie la clé au client via un canal sécurisé ECDH. Cependant, lorsqu'une autre organisation possède la clé pour l'espace, votre KMS achemine la requête vers le cloud Webex via un canal ECDH séparé pour obtenir la clé du KMS approprié, puis retourne la clé à votre utilisateur sur le canal d'origine.
Le service KMS exécuté sur Org A valide les connexions aux KMS dans d'autres organisations à l'aide de certificats PKI x.509. Voir Préparer votre environnement pour plus de détails sur la génération d'un certificat x.509 à utiliser avec votre déploiement de sécurité des données hybride multi-tenant.
Attentes pour le déploiement de la sécurité des données hybride
Un déploiement Hybrid Data Security nécessite un engagement significatif et une prise de conscience des risques liés à la possession de clés de chiffrement.
Pour déployer la sécurité des données hybride, vous devez fournir :
-
Un centre de données sécurisé dans un pays qui est un emplacement pris en charge pour les plans Cisco Webex Teams.
-
Les équipements, logiciels et accès au réseau décrits dans Préparez votre environnement.
La perte complète de la configuration ISO que vous créez pour Hybrid Data Security ou de la base de données que vous fournissez entraînera la perte des clés. La perte de clé empêche les utilisateurs de déchiffrer le contenu spatial et d'autres données chiffrées dans l'application Webex. Si cela se produit, vous pouvez créer un nouveau déploiement, mais seul le nouveau contenu sera visible. Pour éviter la perte d’accès aux données, vous devez :
-
Gérer la sauvegarde et la récupération de la base de données et de la configuration ISO.
-
Soyez prêt à effectuer une reprise rapide après sinistre en cas de catastrophe, comme une défaillance du disque de base de données ou une catastrophe du centre de données.
Il n'y a pas de mécanisme pour déplacer les clés vers le Cloud après un déploiement HDS.
Processus de configuration de haut niveau
Ce document couvre la configuration et la gestion d’un déploiement Multi-Tenant Hybrid Data Security :
-
Configuration de la sécurité des données hybrides—Cela comprend la préparation de l'infrastructure requise et l'installation du logiciel de sécurité des données hybrides, la construction d'un cluster HDS, l'ajout d'organisations locataires au cluster et la gestion de leurs clés principales clients (CMK). Cela permettra à tous les utilisateurs de vos organisations clientes d'utiliser votre cluster Hybrid Data Security pour les fonctions de sécurité.
Les phases de configuration, d'activation et de gestion sont abordées en détail dans les trois chapitres suivants.
-
Maintenez votre déploiement Hybrid Data Security—Le cloud Webex fournit automatiquement des mises à niveau continues. Votre service informatique peut fournir un support de niveau un pour ce déploiement et engager le support Cisco si nécessaire. Vous pouvez utiliser des notifications à l'écran et configurer des alertes par e-mail dans Partner Hub.
-
Comprendre les alertes courantes, les étapes de dépannage et les problèmes connus—Si vous rencontrez des problèmes lors du déploiement ou de l'utilisation de Hybrid Data Security, le dernier chapitre de ce guide et l'annexe Problèmes connus peuvent vous aider à déterminer et à résoudre le problème.
Modèle hybride de déploiement de la sécurité des données
Au sein de votre centre de données d'entreprise, vous déployez Hybrid Data Security comme un seul groupe de nœuds sur des hôtes virtuels séparés. Les nœuds communiquent avec le cloud Webex via des sockets Web sécurisées et HTTP sécurisées.
Pendant le processus d'installation, nous vous fournissons le fichier OVA pour configurer l'appareil virtuel sur les VM que vous fournissez. Vous utilisez l'outil de configuration HDS pour créer un fichier ISO de configuration de cluster personnalisé que vous montez sur chaque nœud. Le cluster Hybrid Data Security utilise votre serveur Syslogd fourni et la base de données PostgreSQL ou Microsoft SQL Server. (Vous configurez le Syslogd et les détails de connexion de la base de données dans l'outil de configuration HDS.)
Le nombre minimum de nœuds que vous pouvez avoir dans un cluster est de deux. Nous recommandons au moins trois par cluster. Le fait d'avoir plusieurs noeuds garantit que le service n'est pas interrompu lors d'une mise à niveau logicielle ou d'une autre activité de maintenance sur un noeud. (Le cloud Webex ne met à jour qu'un nœud à la fois.)
Tous les noeuds d'un cluster accèdent au même magasin de données clés et à l'activité de journal sur le même serveur syslog. Les nœuds eux-mêmes sont apatrides, et traitent les requêtes clés de façon ronde, comme le veut le cloud.
Les nœuds deviennent actifs lorsque vous les enregistrez dans Partner Hub. Pour mettre hors service un nœud individuel, vous pouvez le désenregistrer, et plus tard le reregister si nécessaire.
Centre de données de secours pour la reprise après sinistre
Pendant le déploiement, vous mettez en place un centre de données de secours sécurisé. En cas de catastrophe du centre de données, vous pouvez manuellement échouer votre déploiement vers le centre de données de secours.
Les bases de données des centres de données actifs et de veille sont synchronisées entre elles ce qui minimisera le temps nécessaire pour effectuer le basculement.
Les nœuds de sécurité des données hybrides actifs doivent toujours être dans le même centre de données que le serveur de base de données actif.
Prise en charge des mandataires
La sécurité des données hybride prend en charge les proxys explicites, transparents et non-inspecteurs. Vous pouvez lier ces proxys à votre déploiement afin que vous puissiez sécuriser et surveiller le trafic de l'entreprise vers le cloud. Vous pouvez utiliser une interface d'administration de plateforme sur les nœuds pour la gestion des certificats et pour vérifier l'état global de la connectivité après avoir configuré le proxy sur les nœuds.
Les nœuds de sécurité des données hybrides prennent en charge les options proxy suivantes :
-
Pas de proxy—La valeur par défaut si vous n'utilisez pas la configuration du nœud HDS Trust Store & Proxy pour intégrer un proxy. Aucune mise à jour du certificat n’est nécessaire.
-
Proxy transparent non inspectant — Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy non inspectant. Aucune mise à jour du certificat n’est nécessaire.
-
Proxy transparent à effet tunnel ou inspection—Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucun changement de configuration HTTP ou HTTPS n'est nécessaire sur les nœuds. Cependant, les nœuds ont besoin d'un certificat racine pour qu'ils fassent confiance au proxy. L'inspection des proxys est généralement utilisée par les TI pour appliquer les politiques sur les sites Web qui peuvent être visités et les types de contenu qui ne sont pas autorisés. Ce type de proxy décrypte tout votre trafic (même HTTPS).
-
Proxy explicite—Avec le proxy explicite, vous indiquez aux nœuds HDS quel serveur proxy et quel schéma d'authentification utiliser. Pour configurer un proxy explicite, il faut saisir les informations suivantes sur chaque nœud :
-
IP/FQDN proxy—Adresse qui peut être utilisée pour atteindre la machine proxy.
-
Port proxy—Numéro de port que le proxy utilise pour écouter le trafic protégé.
-
Protocole proxy—En fonction de ce que votre serveur proxy prend en charge, choisissez entre les protocoles suivants :
-
HTTP — Visualise et contrôle toutes les requêtes que le client envoie.
-
HTTPS — Fournit un canal au serveur. Le client reçoit et valide le certificat du serveur.
-
-
Type d’authentification—Choisissez parmi les types d’authentification suivants :
-
Aucune - Aucune autre authentification n'est requise.
Disponible si vous sélectionnez HTTP ou HTTPS comme protocole proxy.
-
Basique – Utilisé pour qu’un agent utilisateur HTTP fournisse un nom d’utilisateur et un mot de passe lors d’une demande. Utilise l'encodage Base64.
Disponible si vous sélectionnez HTTP ou HTTPS comme protocole proxy.
Nécessite de saisir le nom d'utilisateur et le mot de passe sur chaque nœud.
-
Digest—Permet de confirmer le compte avant d’envoyer des informations sensibles. Applique une fonction de hachage sur le nom d'utilisateur et le mot de passe avant l'envoi sur le réseau.
Disponible uniquement si vous sélectionnez HTTPS comme protocole proxy.
Nécessite de saisir le nom d'utilisateur et le mot de passe sur chaque nœud.
-
-
Exemple de nœuds hybrides de sécurité des données et de proxy
Ce schéma montre un exemple de connexion entre la sécurité des données hybride, le réseau et un proxy. Pour les options de proxy d'inspection transparente et d'inspection explicite HTTPS, le même certificat racine doit être installé sur le proxy et sur les nœuds de sécurité des données hybrides.
Mode de résolution DNS externe bloqué (configurations proxy explicites)
Lorsque vous enregistrez un noeud ou vérifiez la configuration du serveur mandataire du noeud, le processus teste la recherche DNS et la connectivité au cloud Cisco Webex. Dans les déploiements avec des configurations proxy explicites qui ne permettent pas la résolution DNS externe pour les clients internes, si le noeud ne peut pas interroger les serveurs DNS, il passe automatiquement en mode Résolution DNS externe bloquée. Dans ce mode, l'enregistrement des noeuds et d'autres tests de connectivité proxy peuvent être effectués.
Pripravite svoje okolje
Exigences relatives à la sécurité des données hybrides multi-locataires
Exigences de licence Cisco Webex
Pour déployer la sécurité des données hybride multi-tenant :
-
Organisations partenaires : Contactez votre partenaire ou votre gestionnaire de compte Cisco et assurez-vous que la fonctionnalité Multi-Tenant est activée.
-
Organisations de locataires : Vous devez avoir Pro Pack pour Cisco Webex Control Hub. (Voir https://www.cisco.com/go/pro-pack.)
Exigences du bureau Docker
Avant d'installer vos nœuds HDS, vous avez besoin de Docker Desktop pour exécuter un programme de configuration. Docker a récemment mis à jour son modèle de licence. Votre organisation peut avoir besoin d'un abonnement payant pour Docker Desktop. Pour plus de détails, voir le billet de blog de Docker, « Docker met à jour et étend nos abonnements de produits ».
X.509 Exigences en matière de certificats
La chaîne de certificats doit répondre aux exigences suivantes :
|
Zahteva |
Podrobnosti |
|---|---|
|
Par défaut, nous faisons confiance aux CA dans la liste Mozilla (à l’exception de WoSign et StartCom) à https://wiki.mozilla.org/CA:IncludedCAs. |
|
Le CN n'a pas besoin d'être joignable ou d'être un hôte en direct. Nous vous recommandons d’utiliser un nom qui reflète votre organisation, par exemple La NC ne doit pas contenir de * (joker). Le CN est utilisé pour vérifier les nœuds hybrides de sécurité des données aux clients de l'application Webex. Tous les nœuds Hybrid Data Security de votre cluster utilisent le même certificat. Votre KMS s'identifie à l'aide du domaine CN, et non à tout domaine défini dans les champs SAN x.509v3. Une fois que vous avez enregistré un nœud avec ce certificat, nous ne soutenons pas le changement du nom de domaine CN. |
|
Le logiciel KMS ne prend pas en charge les signatures SHA1 pour valider les connexions aux KMS d'autres organisations. |
|
Vous pouvez utiliser un convertisseur comme OpenSSL pour modifier le format de votre certificat. Vous devrez saisir le mot de passe lorsque vous exécuterez l'outil de configuration HDS. |
Le logiciel KMS n'applique pas de contraintes d'utilisation des clés ou d'utilisation des clés étendues. Certaines autorités de certification exigent que des contraintes étendues d'utilisation des clés soient appliquées à chaque certificat, comme l'authentification du serveur. Il est acceptable d'utiliser l'authentification du serveur ou d'autres paramètres.
Exigences de l'hôte virtuel
Les hôtes virtuels que vous allez configurer en tant que nœuds hybrides de sécurité des données dans votre cluster répondent aux exigences suivantes :
-
Au moins deux hôtes séparés (3 recommandés) colocalisés dans le même centre de données sécurisé
-
VMware ESXi 7.0 (ou version ultérieure) installé et en cours d'exécution.
Vous devez mettre à niveau si vous avez une version antérieure d'ESXi.
-
4 vCPUs minimum, 8 Go de mémoire principale, 30 Go d'espace disque dur local par serveur
Exigences du serveur de base de données
Créer une nouvelle base de données pour le stockage des clés. Ne pas utiliser la base de données par défaut. Les applications HDS, une fois installées, créent le schéma de la base de données.
Il y a deux options pour le serveur de base de données. Les exigences pour chacun d'eux sont les suivantes :
|
PostgreSQL |
Microsoft SQL Server |
|---|---|
|
|
|
Minimum 8 vCPU, mémoire principale de 16 Go, espace disque dur suffisant et surveillance pour s'assurer qu'il n'est pas dépassé (2 To recommandé si vous voulez exécuter la base de données pendant une longue période sans avoir besoin d'augmenter le stockage) |
Minimum 8 vCPU, mémoire principale de 16 Go, espace disque dur suffisant et surveillance pour s'assurer qu'il n'est pas dépassé (2 To recommandé si vous voulez exécuter la base de données pendant une longue période sans avoir besoin d'augmenter le stockage) |
Le logiciel HDS installe actuellement les versions de pilotes suivantes pour la communication avec le serveur de base de données :
|
PostgreSQL |
Microsoft SQL Server |
|---|---|
|
Le pilote Postgres JDBC 42.2.5 |
Pilote SQL Server JDBC 4.6 Cette version du pilote prend en charge SQL Server Always On (Always On Failover Cluster Instances et Always On groupes de disponibilité). |
Exigences supplémentaires pour l'authentification Windows contre Microsoft SQL Server
Si vous voulez que les nœuds HDS utilisent l'authentification Windows pour accéder à votre base de données keystore sur Microsoft SQL Server, vous avez besoin de la configuration suivante dans votre environnement :
-
Les nœuds HDS, l'infrastructure Active Directory et MS SQL Server doivent tous être synchronisés avec NTP.
-
Le compte Windows que vous fournissez aux nœuds HDS doit avoir un accès en lecture/écriture à la base de données.
-
Les serveurs DNS que vous fournissez aux nœuds HDS doivent être en mesure de résoudre votre centre de distribution de clés (KDC).
-
Vous pouvez enregistrer l'instance de base de données HDS sur votre Microsoft SQL Server en tant que Service Principal Name (SPN) sur votre Active Directory. Voir Enregistrer un nom principal de service pour Kerberos Connections.
L'outil de configuration HDS, le lanceur HDS et le KMS local doivent tous utiliser l'authentification Windows pour accéder à la base de données du magasin de clés. Ils utilisent les détails de votre configuration ISO pour construire le SPN lors de la demande d'accès avec authentification Kerberos.
Exigences de connectivité externe
Configurez votre pare-feu pour permettre la connectivité suivante pour les applications HDS :
|
Aplikacija |
Protokol |
Vrata |
Direction depuis l'application |
Cilj |
|---|---|---|---|---|
|
Nœuds hybrides de sécurité des données |
TCP |
443 |
HTTPS et WSS sortants |
|
|
Outil de configuration du HDS |
TCP |
443 |
HTTPS sortante |
|
Les nœuds de sécurité des données hybrides fonctionnent avec la traduction d'accès au réseau (NAT) ou derrière un pare-feu, à condition que le NAT ou le pare-feu permettent les connexions sortantes requises vers les destinations de domaine du tableau précédent. Pour les connexions entrant dans les nœuds de sécurité des données hybrides, aucun port ne doit être visible depuis Internet. Au sein de votre data center, les clients ont besoin d'accéder aux nœuds de sécurité des données hybrides sur les ports TCP 443 et 22, à des fins administratives.
Les URL des hôtes d'identité commune (CI) sont spécifiques à une région. Voici les hôtes CI actuels :
|
Regija |
URL de l'hôte d'identité commune |
|---|---|
|
Ameriki |
|
|
Union européenne |
|
|
Kanada |
|
| Singapur |
|
| Združeni Arabski Emirati |
|
Exigences relatives au serveur mandataire
-
Nous soutenons officiellement les solutions proxy suivantes qui peuvent s'intégrer à vos nœuds de sécurité des données hybrides.
-
Proxy transparent – Cisco Web Security Appliance (WSA).
-
Proxy explicite - Squid.
Les proxies squid qui inspectent le trafic HTTPS peuvent interférer avec l'établissement de connexions websocket (wss:). Pour résoudre ce problème, voir Configurer les proxys squid pour la sécurité des données hybrides.
-
-
Nous supportons les combinaisons de types d'authentification suivantes pour les proxys explicites :
-
Pas d'authentification avec HTTP ou HTTPS
-
Authentification de base avec HTTP ou HTTPS
-
Authentification Digest avec HTTPS uniquement
-
-
Pour un proxy d'inspection transparent ou un proxy explicite HTTPS, vous devez avoir une copie du certificat racine du proxy. Les instructions de déploiement de ce guide vous indiquent comment télécharger la copie dans les magasins de confiance des nœuds de sécurité des données hybrides.
-
Le réseau hébergeant les noeuds HDS doit être configuré pour forcer le trafic TCP sortant sur le port 443 à passer par le proxy.
-
Les proxys qui inspectent le trafic Web peuvent interférer avec les connexions de socket Web. Si ce problème se produit, contourner (ne pas inspecter) le trafic vers
wbx2.cometciscospark.comrésoudra le problème.
Remplir les conditions préalables à la sécurité des données hybrides
| 1 |
Assurez-vous que votre organisation partenaire dispose de la fonctionnalité HDS multi-locataire activée et obtenez les identifiants d'un compte avec l'administrateur complet partenaire et les droits d'administrateur complet. Assurez-vous que votre organisation client Webex est activée pour Pro Pack pour Cisco Webex Control Hub. Contactez votre partenaire Cisco ou votre gestionnaire de compte pour obtenir de l'aide dans ce processus. Les organisations clientes ne doivent pas avoir de déploiement HDS existant. |
| 2 |
Choisissez un nom de domaine pour votre déploiement HDS (par exemple, |
| 3 |
Préparez des hôtes virtuels identiques que vous allez configurer comme nœuds hybrides de sécurité des données dans votre cluster. Vous avez besoin d'au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé, qui répondent aux exigences de la Virtual Host Requirements. |
| 4 |
Préparer le serveur de base de données qui servira de magasin de données clés pour le cluster, conformément aux Exigences du serveur de base de données. Le serveur de base de données doit être colocé dans le centre de données sécurisé avec les hôtes virtuels. |
| 5 |
Pour une reprise rapide après sinistre, configurez un environnement de sauvegarde dans un centre de données différent. L'environnement de sauvegarde reflète l'environnement de production des VM et d'un serveur de base de données de sauvegarde. Par exemple, si la production a 3 VM exécutant des noeuds HDS, l'environnement de sauvegarde devrait avoir 3 VM. |
| 6 |
Configurer un hôte syslog pour collecter les journaux des nœuds du cluster. Recueillir son adresse réseau et son port syslog (par défaut UDP 514). |
| 7 |
Créez une politique de sauvegarde sécurisée pour les nœuds Hybrid Data Security, le serveur de base de données et l'hôte syslog. Au minimum, pour éviter les pertes de données irrécupérables, vous devez sauvegarder la base de données et le fichier ISO de configuration généré pour les nœuds Hybrid Data Security. Étant donné que les nœuds hybrides de sécurité des données stockent les clés utilisées pour le chiffrement et le déchiffrement du contenu, le non-maintien d’un déploiement opérationnel entraînera la PERTE IRRÉCUPÉRABLE de ce contenu. Les clients de l'application Webex cachent leurs clés, de sorte qu'une panne peut ne pas être immédiatement perceptible mais deviendra évidente au fil du temps. Bien que les pannes temporaires soient impossibles à prévenir, elles sont récupérables. Cependant, la perte complète (aucune sauvegarde disponible) de la base de données ou du fichier ISO de configuration entraînera des données client irrécupérables. Les opérateurs des nœuds de sécurité des données hybrides sont censés maintenir des sauvegardes fréquentes de la base de données et du fichier ISO de configuration, et être prêts à reconstruire le centre de données hybride de sécurité des données en cas de défaillance catastrophique. |
| 8 |
Assurez-vous que votre configuration de pare-feu permet la connectivité de vos nœuds hybrides de sécurité des données, comme indiqué dans Exigences de connectivité externe. |
| 9 |
Installer Docker ( https://www.docker.com) sur toute machine locale exécutant un système d'exploitation pris en charge (Microsoft Windows 10 Professional ou Enterprise 64-bit, ou Mac OSX Yosemite 10.10.3 ou supérieur) avec un navigateur Web qui peut y accéder à l'adresse http://127.0.0.1:8080. Vous utilisez l'instance Docker pour télécharger et exécuter l'outil de configuration HDS, qui construit les informations de configuration locale pour tous les nœuds de sécurité des données hybrides. Vous pourriez avoir besoin d'une licence Docker Desktop. Voir Exigences du bureau Docker pour plus d'informations. Pour installer et exécuter l'outil de configuration HDS, la machine locale doit avoir la connectivité décrite dans Exigences de connectivité externe. |
| 10 |
Si vous intégrez un proxy avec Hybrid Data Security, assurez-vous qu'il répond aux exigences du serveur proxy. |
Mettre en place un cluster hybride de sécurité des données
Flux des tâches de déploiement de la sécurité des données hybride
| 1 |
Effectuer la configuration initiale et télécharger les fichiers d'installation Téléchargez le fichier OVA sur votre machine locale pour une utilisation ultérieure. |
| 2 |
Créer une configuration ISO pour les hôtes HDS Utiliser l'outil de configuration HDS pour créer un fichier de configuration ISO pour les nœuds hybrides de sécurité des données. |
| 3 |
Créez une machine virtuelle à partir du fichier OVA et effectuez la configuration initiale, comme les paramètres réseau. L'option de configurer les paramètres réseau pendant le déploiement d'OVA a été testée avec ESXi 7.0. L'option peut ne pas être disponible dans les versions précédentes. |
| 4 |
Configurer la VM Hybrid Data Security Connectez-vous à la console VM et définissez les identifiants de connexion. Configurez les paramètres réseau du noeud si vous ne les avez pas configurés au moment du déploiement d'OVA. |
| 5 |
Télécharger et monter la configuration HDS ISO Configurez la VM à partir du fichier de configuration ISO que vous avez créé avec l'outil de configuration HDS. |
| 6 |
Configurer le noeud HDS pour l'intégration de proxy Si l'environnement réseau nécessite une configuration proxy, spécifiez le type de proxy que vous utiliserez pour le noeud, et ajoutez le certificat proxy au magasin de confiance si nécessaire. |
| 7 |
Enregistrer le premier noeud du cluster Enregistrez la VM avec le cloud Cisco Webex en tant que nœud hybride de sécurité des données. |
| 8 |
Créer et enregistrer plus de nœuds Terminer la configuration du cluster. |
| 9 |
Activer Multi-Tenant HDS sur Partner Hub. Activer HDS et gérer les organisations de locataires sur Partner Hub. |
Effectuer la configuration initiale et télécharger les fichiers d'installation
Dans cette tâche, vous téléchargez un fichier OVA sur votre machine (et non sur les serveurs que vous avez configurés en tant que nœuds de sécurité des données hybrides). Vous utilisez ce fichier plus tard dans le processus d'installation.
| 1 |
Connectez-vous à Partner Hub, puis cliquez sur Services. |
| 2 |
Dans la section Cloud Services, recherchez la carte Hybrid Data Security, puis cliquez sur Configurer. Cliquer sur Configurer dans Partner Hub est essentiel pour le processus de déploiement. Ne pas procéder à l'installation sans avoir terminé cette étape. |
| 3 |
Cliquez sur Ajouter une ressource et cliquez sur Télécharger le fichier .OVA sur la carte Installer et configurer le logiciel . Les anciennes versions du progiciel (OVA) ne seront pas compatibles avec les dernières mises à niveau Hybrid Data Security. Cela peut entraîner des problèmes lors de la mise à niveau de l'application. Assurez-vous de télécharger la dernière version du fichier OVA. Vous pouvez également télécharger l’OVA à tout moment depuis la section Aide . Cliquez sur . Le téléchargement du fichier OVA commence automatiquement. Enregistrez le fichier à un emplacement sur votre machine.
|
| 4 |
En option, cliquez sur Voir le guide de déploiement de la sécurité des données hybrides pour vérifier si une version ultérieure de ce guide est disponible. |
Créer une configuration ISO pour les hôtes HDS
Le processus de configuration de la sécurité des données hybride crée un fichier ISO. Vous utilisez ensuite l'ISO pour configurer votre hôte Hybrid Data Security.
Avant de commencer
-
L'outil de configuration HDS fonctionne comme un conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les identifiants d'un compte Partner Hub avec tous les droits d'administrateur.
Si l'outil de configuration HDS fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, identifiants) via les variables d'environnement Docker lors de l'activation du conteneur Docker à l'étape 5 ci-dessous. Ce tableau donne quelques variables d'environnement possibles :
Opis
Spremenljivka
Serveur mandataire HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS Proxy sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS Proxy avec authentification
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Le fichier de configuration ISO que vous générez contient la clé maître chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous effectuez des changements de configuration, comme ceux-ci :
-
Identifiants de la base de données
-
Mises à jour du certificat
-
Modifications de la politique d'autorisation
-
-
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
| 1 |
Sur la ligne de commande de votre machine, saisissez la commande appropriée pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : Cette étape nettoie les images précédentes de l'outil de configuration HDS. S'il n'y a pas d'images précédentes, il renvoie une erreur que vous pouvez ignorer. | ||||||||||
| 2 |
Pour vous connecter au registre d'images Docker, saisissez : | ||||||||||
| 3 |
A l'invite du mot de passe, saisir ce hachage : | ||||||||||
| 4 |
Téléchargez la dernière image stable pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : | ||||||||||
| 5 |
Lorsque le tirage est terminé, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur fonctionne, vous voyez "Express server listening on port 8080". | ||||||||||
| 6 |
L'outil de configuration ne prend pas en charge la connexion à localhost via http://localhost:8080. Utiliser http://127.0.0.1:8080 pour se connecter à localhost. Utiliser un navigateur Web pour accéder à l'hôte local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L’outil affiche alors l’invite de connexion standard. | ||||||||||
| 7 |
Lorsque vous y êtes invité, entrez vos identifiants de connexion administrateur Partner Hub, puis cliquez sur Se connecter pour autoriser l'accès aux services requis pour la sécurité des données hybrides. | ||||||||||
| 8 |
Sur la page d'aperçu de l'outil de configuration, cliquez sur Démarrer. | ||||||||||
| 9 |
Sur la page Import ISO , vous avez les options suivantes :
| ||||||||||
| 10 |
Vérifiez que votre certificat X.509 répond aux exigences du X.509 Exigences du certificat.
| ||||||||||
| 11 |
Saisissez l'adresse de la base de données et le compte de HDS pour accéder à votre magasin de données clé : | ||||||||||
| 12 |
Sélectionner un mode de connexion à la base de données TLS:
Lorsque vous téléchargez le certificat racine (si nécessaire) et cliquez sur Continuer, l’outil de configuration HDS teste la connexion TLS au serveur de base de données. L'outil vérifie également le signataire du certificat et le nom d'hôte, le cas échéant. Si un test échoue, l’outil affiche un message d’erreur décrivant le problème. Vous pouvez choisir d'ignorer l'erreur et de continuer avec la configuration. (En raison de différences de connectivité, les nœuds HDS pourraient être en mesure d'établir la connexion TLS même si la machine HDS Setup Tool ne peut pas la tester avec succès.) | ||||||||||
| 13 |
Sur la page System Logs, configurez votre serveur Syslogd : | ||||||||||
| 14 |
(Facultatif) Vous pouvez modifier la valeur par défaut pour certains paramètres de connexion à la base de données dans Paramètres avancés. Généralement, ce paramètre est le seul que vous pourriez vouloir modifier : | ||||||||||
| 15 |
Cliquez sur Continue sur l’écran Reset Service Accounts Password . Les mots de passe des comptes de service ont une durée de vie de neuf mois. Utilisez cet écran lorsque vos mots de passe sont sur le point d'expiration ou lorsque vous souhaitez les réinitialiser pour invalider les fichiers ISO précédents. | ||||||||||
| 16 |
Cliquez sur Download ISO File. Enregistrez le fichier dans un emplacement facile à trouver. | ||||||||||
| 17 |
Faites une copie de sauvegarde du fichier ISO sur votre système local. Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement maître pour le contenu de la base de données. Restreindre l'accès aux seuls administrateurs Hybrid Data Security qui doivent effectuer des modifications de configuration. | ||||||||||
| 18 |
Pour arrêter l’outil de configuration, taper |
Que faire ensuite
Sauvegarder le fichier ISO de configuration. Vous en avez besoin pour créer plus de nœuds pour la récupération, ou pour faire des changements de configuration. Si vous perdez toutes les copies du fichier ISO, vous avez également perdu la clé principale. Récupérer les clés de votre base de données PostgreSQL ou Microsoft SQL Server n'est pas possible.
Nous n'avons jamais une copie de cette clé et ne pouvons pas vous aider si vous la perdez.
Installer l'OVA hôte HDS
| 1 |
Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi. |
| 2 |
Sélectionner File > Deploy OVF Template. |
| 3 |
Dans l’assistant, spécifiez l’emplacement du fichier OVA que vous avez téléchargé précédemment, puis cliquez sur Suivant. |
| 4 |
Sur la page Sélectionner un nom et un dossier , saisir un Nom de la machine virtuelle pour le noeud (par exemple, "HDS_Node_1"), choisir un emplacement où peut résider le déploiement du noeud de la machine virtuelle, puis cliquer sur Suivant. |
| 5 |
Sur la page Sélectionner une ressource de calcul , choisir la ressource de calcul de destination, puis cliquer sur Suivant. Un contrôle de validation est effectué. Une fois terminé, les détails du modèle apparaissent. |
| 6 |
Vérifiez les détails du modèle, puis cliquez sur Suivant. |
| 7 |
Si vous êtes invité à choisir la configuration des ressources sur la page Configuration , cliquez sur 4 CPU puis sur Suivant. |
| 8 |
Sur la page Select storage , cliquez sur Next pour accepter le format de disque par défaut et la politique de stockage des VM. |
| 9 |
Sur la page Sélectionner les réseaux , choisir l’option réseau dans la liste des entrées pour fournir la connectivité souhaitée à la VM. |
| 10 |
Sur la page Personnaliser le modèle , configurer les paramètres réseau suivants :
Si vous préférez, vous pouvez sauter la configuration des paramètres réseau et suivre les étapes de Configurer la VM hybride de sécurité des données pour configurer les paramètres à partir de la console de noeud. L'option de configurer les paramètres réseau pendant le déploiement d'OVA a été testée avec ESXi 7.0. L'option peut ne pas être disponible dans les versions précédentes. |
| 11 |
Faire un clic droit sur la VM du noeud, puis choisir . Le logiciel de sécurité des données hybride est installé en tant qu'invité sur l'hôte de la VM. Vous êtes maintenant prêt à vous connecter à la console et à configurer le nœud. Conseils de dépannage Il se peut que vous connaissiez un délai de quelques minutes avant que les conteneurs de nœuds ne se présentent. Un message pare-feu passerelle apparaît sur la console lors du premier démarrage, au cours duquel vous ne pouvez pas vous connecter. |
Configurer la VM Hybrid Data Security
Utilisez cette procédure pour vous connecter pour la première fois à la console VM du nœud hybride de sécurité des données et définir les identifiants de connexion. Vous pouvez également utiliser la console pour configurer les paramètres réseau pour le noeud si vous ne les avez pas configurés au moment du déploiement d'OVA.
| 1 |
Dans le client VMware vSphere, sélectionnez votre VM Hybrid Data Security node et sélectionnez l’onglet Console . La VM démarre et une invite de connexion apparaît. Si l’invite de connexion ne s’affiche pas, appuyer sur Entrée.
|
| 2 |
Utilisez l'identifiant et le mot de passe par défaut suivants pour vous connecter et modifier les identifiants : Comme vous vous connectez à votre VM pour la première fois, vous devez modifier le mot de passe administrateur. |
| 3 |
Si vous avez déjà configuré les paramètres réseau dans Installer le HDS Host OVA, ignorez le reste de cette procédure. Sinon, dans le menu principal, sélectionner l’option Modifier la configuration . |
| 4 |
Paramétrer une configuration statique avec les informations d'adresse IP, de masque, de passerelle et DNS. Votre nœud doit avoir une adresse IP interne et un nom DNS. DHCP n'est pas pris en charge. |
| 5 |
(Facultatif) Modifiez le nom d'hôte, le domaine ou le(s) serveur(s) NTP, si nécessaire pour correspondre à votre politique réseau. Vous n'avez pas besoin de définir le domaine correspondant au domaine que vous avez utilisé pour obtenir le certificat X.509. |
| 6 |
Enregistrez la configuration réseau et redémarrez la VM pour que les modifications prennent effet. |
Télécharger et monter la configuration HDS ISO
Avant de commencer
Étant donné que le fichier ISO détient la clé principale, il ne devrait être exposé que sur la base du « besoin d'en connaître », pour l'accès aux VM Hybrid Data Security et aux administrateurs qui pourraient avoir besoin d'apporter des modifications. S'assurer que seuls ces administrateurs peuvent accéder au datastore.
| 1 |
Téléchargez le fichier ISO depuis votre ordinateur : |
| 2 |
Monter le fichier ISO : |
Que faire ensuite
Si votre politique informatique le nécessite, vous pouvez éventuellement démonter le fichier ISO après que tous vos nœuds aient détecté les changements de configuration. Voir (Optionnel) Démonter ISO après la configuration HDS pour plus de détails.
Configurer le noeud HDS pour l'intégration de proxy
Si l'environnement réseau nécessite un proxy, utilisez cette procédure pour spécifier le type de proxy que vous souhaitez intégrer à Hybrid Data Security. Si vous choisissez un proxy d'inspection transparent ou un proxy explicite HTTPS, vous pouvez utiliser l'interface du noeud pour télécharger et installer le certificat racine. Vous pouvez également vérifier la connexion proxy à partir de l'interface, et résoudre tout problème potentiel.
Avant de commencer
-
Voir Prise en charge des proxy pour un aperçu des options de proxy prises en charge.
| 1 |
Saisissez l'URL de configuration du noeud HDS |
| 2 |
Allez dans Trust Store & Proxy, puis choisissez une option :
Suivez les étapes suivantes pour un proxy d'inspection transparent, un proxy explicite HTTP avec authentification de base, ou un proxy explicite HTTPS. |
| 3 |
Cliquez sur Télécharger un certificat racine ou un certificat d'entité finale, puis accédez à un choix du certificat racine pour le mandataire. Le certificat est téléchargé mais pas encore installé car vous devez redémarrer le nœud pour installer le certificat. Cliquez sur la flèche chevron par le nom de l'émetteur du certificat pour obtenir plus de détails ou cliquez sur Supprimer si vous avez commis une erreur et que vous souhaitez recharger le fichier. |
| 4 |
Cliquez sur Vérifier la connexion du serveur mandataire pour tester la connectivité réseau entre le noeud et le serveur mandataire. Si le test de connexion échoue, vous verrez un message d'erreur qui indique la raison et comment vous pouvez corriger le problème. Si vous voyez un message disant que la résolution DNS externe n'a pas réussi, le noeud n'a pas pu atteindre le serveur DNS. Cette condition est attendue dans de nombreuses configurations de proxy explicites. Vous pouvez continuer avec la configuration, et le noeud fonctionnera en mode Résolution DNS externe bloquée. Si vous pensez qu'il s'agit d'une erreur, effectuez ces étapes, puis consultez Désactiver le mode de résolution DNS externe bloqué. |
| 5 |
Une fois le test de connexion réussi, pour le proxy explicite réglé sur https uniquement, activez la bascule sur Acheminer toutes les requêtes https du port 443/444 de ce noeud via le proxy explicite. Ce réglage nécessite 15 secondes pour prendre effet. |
| 6 |
Cliquez sur Installer tous les certificats dans le Trust Store (s'affiche pour un proxy explicite HTTPS ou un proxy d'inspection transparent) ou sur Redémarrer (s'affiche pour un proxy explicite HTTP), lisez l'invite, puis cliquez sur Installer si vous êtes prêt. Le nœud redémarre en quelques minutes. |
| 7 |
Après le redémarrage du noeud, connectez-vous à nouveau si nécessaire, puis ouvrez la page Aperçu pour vérifier les contrôles de connectivité afin de s’assurer qu’ils sont tous en vert. Le contrôle de connexion proxy teste uniquement un sous-domaine de webex.com. S'il y a des problèmes de connectivité, un problème commun est que certains des domaines cloud listés dans les instructions d'installation sont bloqués au niveau du proxy. |
Enregistrer le premier noeud du cluster
Lorsque vous enregistrez votre premier noeud, vous créez un cluster auquel le noeud est affecté. Une grappe contient un ou plusieurs noeuds déployés pour assurer la redondance.
Avant de commencer
-
Une fois que vous commencez l'enregistrement d'un nœud, vous devez le terminer dans les 60 minutes ou vous devez recommencer.
-
Assurez-vous que tous les bloqueurs pop-up de votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.
| 1 |
Se connecter à https://admin.webex.com. |
| 2 |
Dans le menu à gauche de l’écran, sélectionner Services. |
| 3 |
Dans la section Cloud Services, recherchez la carte Hybrid Data Security et cliquez sur Configurer. |
| 4 |
Dans la page qui s’ouvre, cliquez sur Ajouter une ressource. |
| 5 |
Dans le premier champ de la carte Ajouter un noeud , saisissez un nom pour le cluster auquel vous souhaitez affecter votre noeud Hybrid Data Security. Nous vous recommandons de nommer un cluster en fonction de l'emplacement géographique des nœuds du cluster. Exemples : "San Francisco" ou "New York" ou "Dallas" |
| 6 |
Dans le deuxième champ, saisissez l’adresse IP interne ou le nom de domaine entièrement qualifié (FQDN) de votre noeud et cliquez sur Ajouter en bas de l’écran. Cette adresse IP ou FQDN doit correspondre à l'adresse IP ou au nom d'hôte et au domaine que vous avez utilisés dans Configurer la VM hybride de sécurité des données. Un message apparaît indiquant que vous pouvez enregistrer votre nœud sur le Webex.
|
| 7 |
Cliquez sur Aller au noeud. Après quelques instants, vous êtes redirigé vers les tests de connectivité des nœuds pour les services Webex. Si tous les tests sont réussis, la page Allow Access to Hybrid Data Security Node (Autoriser l'accès au noeud de sécurité des données hybride) apparaît. Là, vous confirmez que vous souhaitez donner des autorisations à votre organisation Webex pour accéder à votre nœud. |
| 8 |
Cochez la case Autoriser l'accès à votre noeud hybride de sécurité des données , puis cliquez sur Continuer. Votre compte est validé et le message « Registration Complete » indique que votre nœud est désormais enregistré dans le cloud Webex.
|
| 9 |
Cliquez sur le lien ou fermez l'onglet pour revenir à la page Partner Hub Hybrid Data Security. Sur la page Hybrid Data Security , le nouveau cluster contenant le nœud que vous avez enregistré s’affiche sous l’onglet Ressources . Le nœud télécharge automatiquement les derniers logiciels depuis le cloud.
|
Créer et enregistrer plus de nœuds
Avant de commencer
-
Une fois que vous commencez l'enregistrement d'un nœud, vous devez le terminer dans les 60 minutes ou vous devez recommencer.
-
Assurez-vous que tous les bloqueurs pop-up de votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.
| 1 |
Créer une nouvelle machine virtuelle à partir de l'OVA, en répétant les étapes de Installer l'OVA hôte HDS. |
| 2 |
Configurer la configuration initiale sur la nouvelle VM en répétant les étapes de Configurer la VM hybride de sécurité des données. |
| 3 |
Sur la nouvelle VM, répéter les étapes de Télécharger et monter la configuration HDS ISO. |
| 4 |
Si vous configurez un proxy pour votre déploiement, répétez les étapes de Configurer le noeud HDS pour l'intégration de proxy si nécessaire pour le nouveau noeud. |
| 5 |
Enregistrez le noeud. |
Gérer les organisations de locataires sur la sécurité des données hybride multi-locataires
Activer HDS Multi-Tenant sur Partner Hub
Cette tâche permet à tous les utilisateurs des organisations clientes de commencer à utiliser HDS pour les clés de chiffrement sur site et d'autres services de sécurité.
Avant de commencer
Assurez-vous que vous avez terminé la configuration de votre cluster HDS Multi-Tenant avec le nombre de nœuds requis.
| 1 |
Se connecter à https://admin.webex.com. |
| 2 |
Dans le menu à gauche de l’écran, sélectionner Services. |
| 3 |
Dans la section Cloud Services, recherchez Hybrid Data Security et cliquez sur Edit Settings. |
| 4 |
Cliquer sur Activer HDS sur la carte HDS Status . |
Ajouter des organisations de locataires dans Partner Hub
Dans cette tâche, vous attribuez des organisations clientes à votre Cluster hybride de sécurité des données.
| 1 |
Se connecter à https://admin.webex.com. |
| 2 |
Dans le menu à gauche de l’écran, sélectionner Services. |
| 3 |
Dans la section Cloud Services, recherchez Hybrid Data Security et cliquez sur View all. |
| 4 |
Cliquez sur le cluster auquel vous souhaitez affecter un client. |
| 5 |
Accéder à l’onglet Clients affectés . |
| 6 |
Cliquez sur Ajouter des clients. |
| 7 |
Sélectionnez le client que vous souhaitez ajouter dans le menu déroulant. |
| 8 |
Cliquez sur Ajouter, le client sera ajouté au cluster. |
| 9 |
Répétez les étapes 6 à 8 pour ajouter plusieurs clients à votre cluster. |
| 10 |
Cliquez sur Terminé en bas de l’écran une fois que vous avez ajouté les clients. |
Que faire ensuite
Créer des clés principales du client (CMK) à l'aide de l'outil de configuration HDS
Avant de commencer
Affecter les clients au cluster approprié comme détaillé dans Ajouter des organisations de locataires dans Partner Hub. Exécutez l'outil de configuration HDS pour terminer le processus de configuration pour les organisations clients nouvellement ajoutées.
-
L'outil de configuration HDS fonctionne comme un conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les identifiants d'un compte Partner Hub avec tous les droits d'administrateur pour votre organisation.
Si l'outil HDS Setup fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, identifiants) via les variables d'environnement Docker lors de l'activation du conteneur Docker à l'étape 5. Ce tableau donne quelques variables d'environnement possibles :
Opis
Spremenljivka
Serveur mandataire HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS Proxy sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS Proxy avec authentification
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Le fichier de configuration ISO que vous générez contient la clé maître chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous effectuez des changements de configuration, comme ceux-ci :
-
Identifiants de la base de données
-
Mises à jour du certificat
-
Modifications de la politique d'autorisation
-
-
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
Le processus de configuration de la sécurité des données hybride crée un fichier ISO. Vous utilisez ensuite l'ISO pour configurer votre hôte Hybrid Data Security.
| 1 |
Sur la ligne de commande de votre machine, saisissez la commande appropriée pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : Cette étape nettoie les images précédentes de l'outil de configuration HDS. S'il n'y a pas d'images précédentes, il renvoie une erreur que vous pouvez ignorer. |
| 2 |
Pour vous connecter au registre d'images Docker, saisissez : |
| 3 |
A l'invite du mot de passe, saisir ce hachage : |
| 4 |
Téléchargez la dernière image stable pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : |
| 5 |
Lorsque le tirage est terminé, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur fonctionne, vous voyez "Express server listening on port 8080". |
| 6 |
L'outil de configuration ne prend pas en charge la connexion à localhost via http://localhost:8080. Utiliser http://127.0.0.1:8080 pour se connecter à localhost. Utiliser un navigateur Web pour accéder à l'hôte local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L’outil affiche alors l’invite de connexion standard. |
| 7 |
Lorsque vous y êtes invité, entrez vos identifiants de connexion administrateur Partner Hub, puis cliquez sur Se connecter pour autoriser l'accès aux services requis pour la sécurité des données hybrides. |
| 8 |
Sur la page d'aperçu de l'outil de configuration, cliquez sur Démarrer. |
| 9 |
Sur la page ISO Import , cliquez sur Yes. |
| 10 |
Sélectionnez votre fichier ISO dans le navigateur et téléchargez-le. Assurez-vous de la connectivité à votre base de données pour effectuer la gestion CMK. |
| 11 |
Allez dans l’onglet Gestion des CMK des locataires , où vous trouverez les trois façons suivantes de gérer les CMK des locataires.
|
| 12 |
Une fois la création de CMK réussie, le statut dans le tableau passe de gestion de CMK en attente à CMK géré. |
| 13 |
Si la création du CMK échoue, une erreur s'affiche. |
Supprimer les organisations locataires
Avant de commencer
Une fois supprimés, les utilisateurs des organisations clientes ne seront pas en mesure de tirer parti de HDS pour leurs besoins de cryptage et perdront tous les espaces existants. Avant de supprimer les organisations clientes, veuillez contacter votre partenaire Cisco ou votre gestionnaire de compte.
| 1 |
Se connecter à https://admin.webex.com. |
| 2 |
Dans le menu à gauche de l’écran, sélectionner Services. |
| 3 |
Dans la section Cloud Services, recherchez Hybrid Data Security et cliquez sur View all. |
| 4 |
Dans l’onglet Ressources , cliquez sur le cluster dont vous souhaitez supprimer les organisations clientes. |
| 5 |
Dans la page qui s’ouvre, cliquez sur Clients affectés. |
| 6 |
Dans la liste des organisations clientes affichées, cliquez sur ... sur le côté droit de l'organisation cliente que vous souhaitez supprimer et cliquez sur Supprimer du cluster. |
Que faire ensuite
Complétez le processus de retrait en révoquant les CMK des organisations clientes, comme détaillé dans Révoquer les CMK des locataires retirés de HDS.
Révoquer les CMK des locataires retirés du HDS.
Avant de commencer
Retirer les clients du cluster approprié comme détaillé dans Supprimer les organisations locataires. Exécutez l'outil de configuration HDS pour terminer le processus de suppression pour les organisations clientes qui ont été supprimées.
-
L'outil de configuration HDS fonctionne comme un conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les identifiants d'un compte Partner Hub avec tous les droits d'administrateur pour votre organisation.
Si l'outil HDS Setup fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, identifiants) via les variables d'environnement Docker lors de l'activation du conteneur Docker à l'étape 5. Ce tableau donne quelques variables d'environnement possibles :
Opis
Spremenljivka
Serveur mandataire HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS Proxy sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS Proxy avec authentification
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Le fichier de configuration ISO que vous générez contient la clé maître chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous effectuez des changements de configuration, comme ceux-ci :
-
Identifiants de la base de données
-
Mises à jour du certificat
-
Modifications de la politique d'autorisation
-
-
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
Le processus de configuration de la sécurité des données hybride crée un fichier ISO. Vous utilisez ensuite l'ISO pour configurer votre hôte Hybrid Data Security.
| 1 |
Sur la ligne de commande de votre machine, saisissez la commande appropriée pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : Cette étape nettoie les images précédentes de l'outil de configuration HDS. S'il n'y a pas d'images précédentes, il renvoie une erreur que vous pouvez ignorer. |
| 2 |
Pour vous connecter au registre d'images Docker, saisissez : |
| 3 |
A l'invite du mot de passe, saisir ce hachage : |
| 4 |
Téléchargez la dernière image stable pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : |
| 5 |
Lorsque le tirage est terminé, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur fonctionne, vous voyez "Express server listening on port 8080". |
| 6 |
L'outil de configuration ne prend pas en charge la connexion à localhost via http://localhost:8080. Utiliser http://127.0.0.1:8080 pour se connecter à localhost. Utiliser un navigateur Web pour accéder à l'hôte local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L’outil affiche alors l’invite de connexion standard. |
| 7 |
Lorsque vous y êtes invité, entrez vos identifiants de connexion administrateur Partner Hub, puis cliquez sur Se connecter pour autoriser l'accès aux services requis pour la sécurité des données hybrides. |
| 8 |
Sur la page d'aperçu de l'outil de configuration, cliquez sur Démarrer. |
| 9 |
Sur la page ISO Import , cliquez sur Yes. |
| 10 |
Sélectionnez votre fichier ISO dans le navigateur et téléchargez-le. |
| 11 |
Allez dans l’onglet Gestion des CMK des locataires , où vous trouverez les trois façons suivantes de gérer les CMK des locataires.
|
| 12 |
Une fois la révocation de CMK réussie, l'organisation cliente n'apparaîtra plus dans le tableau. |
| 13 |
Si la révocation du CMK échoue, une erreur s'affiche. |
Testez votre déploiement Hybrid Data Security
Testez votre déploiement hybride de sécurité des données
Avant de commencer
-
Configurez votre déploiement Multi-tenant Hybrid Data Security.
-
Assurez-vous d'avoir accès au syslog pour vérifier que les demandes clés passent à votre déploiement de sécurité des données hybride multi-tenant.
| 1 |
Les clés pour un espace donné sont définies par le créateur de l'espace. Connectez-vous à l'application Webex en tant qu'utilisateur de l'organisation client, puis créez un espace. Si vous désactivez le déploiement Hybrid Data Security, le contenu des espaces créés par les utilisateurs n’est plus accessible une fois que les copies des clés de chiffrement mises en cache par le client sont remplacées. |
| 2 |
Envoyer des messages vers le nouvel espace. |
| 3 |
Vérifiez la sortie syslog pour vérifier que les demandes de clés passent à votre déploiement Hybrid Data Security. |
Surveiller l'intégrité de la sécurité des données hybrides
| 1 |
Dans Partner Hub, sélectionnez Services dans le menu à gauche de l’écran. |
| 2 |
Dans la section Cloud Services, recherchez Hybrid Data Security et cliquez sur Edit Settings. La page Hybrid Data Security Settings apparaît.
|
| 3 |
Dans la section Notifications par e-mail, tapez une ou plusieurs adresses e-mail séparées par des virgules et appuyez sur Entrée. |
Gérez votre déploiement HDS
Gérer le déploiement du HDS
Utilisez les tâches décrites ici pour gérer votre déploiement Hybrid Data Security.
Définir le calendrier de mise à niveau du cluster
Pour définir le calendrier de mise à niveau :
| 1 |
Connectez-vous à Partner Hub. |
| 2 |
Dans le menu à gauche de l’écran, sélectionner Services. |
| 3 |
Dans la section Cloud Services, recherchez Hybrid Data Security et cliquez sur Configurer |
| 4 |
Sur la page Hybrid Data Security Resources, sélectionner le cluster. |
| 5 |
Cliquez sur l’onglet Cluster Settings . |
| 6 |
Sur la page Cluster Settings, sous Upgrade Schedule, sélectionnez l'heure et le fuseau horaire pour le planning de mise à niveau. Opomba: Sous le fuseau horaire, la date et l'heure de mise à niveau disponibles suivantes s'affichent. Vous pouvez reporter la mise à niveau au lendemain, si nécessaire, en cliquant sur Reporter de 24 heures. |
Modifier la configuration des nœuds
-
Modification des certificats x.509 en raison de l'expiration ou d'autres raisons.
Nous ne soutenons pas le changement du nom de domaine CN d'un certificat. Le domaine doit correspondre au domaine d'origine utilisé pour enregistrer le cluster.
-
Mise à jour des paramètres de base de données pour passer à une réplique de la base de données PostgreSQL ou Microsoft SQL Server.
Nous ne soutenons pas la migration de données de PostgreSQL vers Microsoft SQL Server, ou le contraire. Pour changer d’environnement de base de données, lancer un nouveau déploiement de la sécurité des données hybride.
-
Créer une nouvelle configuration pour préparer un nouveau centre de données.
De plus, à des fins de sécurité, Hybrid Data Security utilise des mots de passe de compte de service qui ont une durée de vie de neuf mois. Une fois que l'outil de configuration HDS a généré ces mots de passe, vous les déployez sur chacun de vos nœuds HDS dans le fichier de configuration ISO. Lorsque les mots de passe de votre organisation approchent de l'expiration, vous recevez un avis de l'équipe Webex pour réinitialiser le mot de passe de votre compte machine. (L'e-mail comprend le texte, "Utilisez l'API du compte machine pour mettre à jour le mot de passe.") Si vos mots de passe n'ont pas encore expiré, l'outil vous donne deux options :
-
Réinitialisation douce—Les anciens et les nouveaux mots de passe fonctionnent tous les deux pendant 10 jours maximum. Utilisez cette période pour remplacer progressivement le fichier ISO sur les nœuds.
-
Réinitialisation rapide—Les anciens mots de passe cessent immédiatement de fonctionner.
Si vos mots de passe expirent sans réinitialisation, cela affecte votre service HDS, nécessitant une réinitialisation rapide et le remplacement du fichier ISO sur tous les nœuds.
Utilisez cette procédure pour générer un nouveau fichier ISO de configuration et l'appliquer à votre cluster.
Avant de commencer
-
L'outil de configuration HDS fonctionne comme un conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les identifiants d'un compte Partner Hub avec les droits d'administrateur complets du partenaire .
Si l'outil de configuration HDS fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, identifiants) via les variables d'environnement Docker lors de l'affichage du conteneur Docker dans 1.e. Ce tableau donne quelques variables d'environnement possibles :
Opis
Spremenljivka
Serveur mandataire HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS Proxy sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS Proxy avec authentification
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Vous avez besoin d'une copie du fichier ISO de configuration en cours pour générer une nouvelle configuration. L'ISO contient la clé maître chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de l'ISO lorsque vous effectuez des changements de configuration, y compris des identifiants de base de données, des mises à jour de certificats ou des changements à la politique d'autorisation.
| 1 |
A l'aide de Docker sur une machine locale, exécutez l'outil de configuration HDS. |
| 2 |
Si un seul noeud HDS est en cours d’exécution, créez une nouvelle VM de noeud hybride de sécurité des données et enregistrez-la à l’aide du nouveau fichier ISO de configuration. Pour des instructions plus détaillées, voir Créer et enregistrer plus de nœuds. |
| 3 |
Pour les nœuds HDS existants qui exécutent l'ancien fichier de configuration, montez le fichier ISO. Effectuer la procédure suivante sur chaque noeud à tour de rôle, en mettant à jour chaque noeud avant de désactiver le noeud suivant : |
| 4 |
Répétez l'étape 3 pour remplacer la configuration sur chaque noeud restant qui exécute l'ancienne configuration. |
Désactiver le mode de résolution DNS externe bloqué
Lorsque vous enregistrez un noeud ou vérifiez la configuration du serveur mandataire du noeud, le processus teste la recherche DNS et la connectivité au cloud Cisco Webex. Si le serveur DNS du noeud ne peut pas résoudre les noms DNS publics, le noeud passe automatiquement en mode Résolution DNS externe bloquée.
Si vos nœuds sont capables de résoudre les noms DNS publics via des serveurs DNS internes, vous pouvez désactiver ce mode en repassant le test de connexion proxy sur chaque nœud.
Avant de commencer
| 1 |
Dans un navigateur Web, ouvrez l’interface du noeud de sécurité des données hybride (adresse IP/configuration, par exemple, https://192.0.2.0/setup), entrez les identifiants d’administration que vous avez configurés pour le noeud, puis cliquez sur Se connecter. |
| 2 |
Allez dans Aperçu (la page par défaut). Lorsque cette option est activée, Blocked External DNS Resolution est réglée sur Yes. |
| 3 |
Accédez à la page Trust Store & Proxy . |
| 4 |
Cliquez sur Vérifier la connexion du mandataire. Si vous voyez un message disant que la résolution DNS externe n'a pas réussi, le noeud n'a pas pu atteindre le serveur DNS et restera dans ce mode. Sinon, après avoir redémarré le noeud et revenir à la page Aperçu , la résolution DNS externe bloquée doit être réglée sur non. |
Que faire ensuite
Supprimer un noeud
| 1 |
Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi et mettre la machine virtuelle hors tension. |
| 2 |
Supprimer le nœud : |
| 3 |
Dans le client vSphere, supprimer la VM. (Dans le volet de navigation de gauche, faire un clic droit sur la VM et cliquer sur Supprimer.) Si vous ne supprimez pas la VM, pensez à démonter le fichier ISO de configuration. Sans le fichier ISO, vous ne pouvez pas utiliser la VM pour accéder à vos données de sécurité. |
Reprise après sinistre à l'aide du centre de données de secours
Le service le plus critique que votre cluster Hybrid Data Security fournit est la création et le stockage de clés utilisées pour chiffrer les messages et autres contenus stockés dans le cloud Webex. Pour chaque utilisateur de l'organisation affecté à la sécurité des données hybrides, de nouvelles demandes de création de clés sont acheminées vers le cluster. Le cluster est également chargé de renvoyer les clés qu'il a créées à tous les utilisateurs autorisés à les récupérer, par exemple les membres d'un espace de conversation.
Comme le cluster remplit la fonction critique de fournir ces clés, il est impératif que le cluster reste en fonctionnement et que des sauvegardes appropriées soient maintenues. La perte de la base de données Hybrid Data Security ou de la configuration ISO utilisée pour le schéma entraînera une PERTE IRRÉCUPÉRABLE du contenu client. Les pratiques suivantes sont obligatoires pour prévenir une telle perte :
Si une catastrophe entraîne l'indisponibilité du déploiement du HDS dans le centre de données primaire, suivre cette procédure pour basculer manuellement vers le centre de données de secours.
Avant de commencer
| 1 |
Démarrer l’outil de configuration HDS et suivre les étapes mentionnées dans Créer une configuration ISO pour les hôtes HDS. |
| 2 |
Complétez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver. |
| 3 |
Faites une copie de sauvegarde du fichier ISO sur votre système local. Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement maître pour le contenu de la base de données. Restreindre l'accès aux seuls administrateurs Hybrid Data Security qui doivent effectuer des modifications de configuration. |
| 4 |
Dans le volet de navigation gauche du client VMware vSphere, faire un clic droit sur la VM et cliquer sur Modifier les paramètres. |
| 5 |
Cliquez sur Edit Settings >CD/DVD Drive 1 et sélectionnez Datastore ISO File. S'assurer que Connected et Connect at power on sont cochés afin que les modifications de configuration mises à jour puissent prendre effet après le démarrage des nœuds. |
| 6 |
Mettre le noeud HDS sous tension et s'assurer qu'il n'y a pas d'alarmes pendant au moins 15 minutes. |
| 7 |
Enregistrez le nœud dans le hub partenaire. Voir Enregistrer le premier noeud du cluster. |
| 8 |
Répétez le processus pour chaque nœud du centre de données de veille. |
Que faire ensuite
(Optionnel) Démonter ISO après la configuration HDS
La configuration HDS standard fonctionne avec l'ISO monté. Mais, certains clients préfèrent ne pas laisser les fichiers ISO montés en continu. Vous pouvez démonter le fichier ISO après que tous les nœuds HDS aient récupéré la nouvelle configuration.
Vous utilisez toujours les fichiers ISO pour effectuer des changements de configuration. Lorsque vous créez un nouvel ISO ou mettez à jour un ISO via l'outil de configuration, vous devez monter l'ISO mis à jour sur tous vos nœuds HDS. Une fois que tous vos nœuds ont saisi les changements de configuration, vous pouvez à nouveau démonter l'ISO avec cette procédure.
Avant de commencer
Mettez à niveau tous vos nœuds HDS vers la version 2021.01.22.4720 ou ultérieure.
| 1 |
Éteignez un de vos nœuds HDS. |
| 2 |
Dans le vCenter Server Appliance, sélectionnez le noeud HDS. |
| 3 |
Choisissez et décochez Datastore ISO File. |
| 4 |
Mettre le noeud HDS sous tension et s'assurer qu'il n'y a pas d'alarmes pendant au moins 20 minutes. |
| 5 |
Répéter pour chaque noeud HDS à tour de rôle. |
Dépannage de la sécurité des données hybride
Afficher les alertes et dépannage
Un déploiement Hybrid Data Security est considéré comme indisponible si tous les nœuds du cluster sont injoignables, ou si le cluster fonctionne si lentement que cela demande une temporisation. Si les utilisateurs ne peuvent pas rejoindre votre cluster Hybrid Data Security, ils ressentent les symptômes suivants :
-
Impossible de créer de nouveaux espaces (impossible de créer de nouvelles clés)
-
Les messages et les titres d'espace ne sont pas déchiffrés pour :
-
Nouveaux utilisateurs ajoutés à un espace (impossible de récupérer les clés)
-
Utilisateurs existants dans un espace utilisant un nouveau client (impossible de récupérer les clés)
-
-
Les utilisateurs existants dans un espace continueront à fonctionner avec succès tant que leurs clients ont un cache des clés de chiffrement
Il est important que vous surveillez correctement votre cluster Hybrid Data Security et que vous répondiez rapidement à toutes les alertes afin d'éviter toute perturbation du service.
Opozorila
En cas de problème avec la configuration Hybrid Data Security, Partner Hub affiche des alertes à l'administrateur de l'organisation et envoie des e-mails à l'adresse e-mail configurée. Les alertes couvrent de nombreux scénarios courants.
|
Opozori |
Dejanje |
|---|---|
|
Échec d'accès à la base de données locale. |
Vérifier l'absence d'erreurs de base de données ou de problèmes de réseau local. |
|
Défaut de connexion à la base de données locale. |
Vérifier que le serveur de base de données est disponible et que les bons identifiants de compte de service ont été utilisés dans la configuration des nœuds. |
|
Échec de l'accès au service cloud. |
Vérifier que les nœuds peuvent accéder aux serveurs Webex comme spécifié dans Exigences de connectivité externe. |
|
Renouvellement de l’enregistrement des services cloud. |
L'inscription aux services cloud a été abandonnée. Le renouvellement de l'enregistrement est en cours. |
|
L'enregistrement des services dans le cloud a chuté. |
L'inscription aux services cloud est terminée. Le service s'arrête. |
|
Service non encore activé. |
Activer HDS dans Partner Hub. |
|
Le domaine configuré ne correspond pas au certificat du serveur. |
Assurez-vous que votre certificat de serveur correspond au domaine d'activation de service configuré. La cause la plus probable est que le certificat CN a été récemment modifié et qu'il est maintenant différent du certificat CN utilisé lors de la configuration initiale. |
|
Impossible de s'authentifier aux services cloud. |
Vérifier l'exactitude et l'expiration éventuelle des identifiants de compte de service. |
|
Impossible d'ouvrir le fichier keystore local. |
Vérifier l'intégrité et l'exactitude du mot de passe sur le fichier de keystore local. |
|
Le certificat du serveur local est invalide. |
Vérifiez la date d'expiration du certificat du serveur et confirmez qu'il a été émis par une autorité de certification de confiance. |
|
Impossible d'afficher les paramètres. |
Vérifier l'accès au réseau local aux services cloud externes. |
|
Le répertoire /media/configdrive/hds n'existe pas. |
Vérifiez la configuration du montage ISO sur un hôte virtuel. Vérifiez que le fichier ISO existe, qu'il est configuré pour être monté lors du redémarrage et qu'il est monté avec succès. |
|
La configuration de l'organisation du locataire n'est pas terminée pour les orgs ajoutés |
Complétez la configuration en créant des CMK pour les organisations de locataires nouvellement ajoutées à l'aide de l'outil de configuration HDS. |
|
La configuration de l'organisation du locataire n'est pas terminée pour les orgs supprimés |
Terminer la configuration en révoquant les CMK des organisations locataires qui ont été supprimées à l'aide de l'outil de configuration HDS. |
Dépannage de la sécurité des données hybride
| 1 |
Examinez Partner Hub pour toutes les alertes et corrigez tous les éléments que vous y trouvez. Voir l'image ci-dessous pour référence. |
| 2 |
Examinez la sortie du serveur syslog pour l'activité liée au déploiement de la sécurité des données hybride. Filtrer les mots comme « Avertissement » et « Erreur » pour faciliter le dépannage. |
| 3 |
Contact Support Cisco. |
Autres notes
Problèmes connus pour la sécurité des données hybrides
-
Si vous fermez votre cluster Hybrid Data Security (en le supprimant dans Partner Hub ou en fermant tous les nœuds), perdez votre fichier ISO de configuration ou perdez l'accès à la base de données de keystore, les utilisateurs de l'application Webex des organisations clientes ne peuvent plus utiliser les espaces sous leur liste de personnes créés avec des clés de votre KMS. Nous n'avons pas actuellement de solution de contournement ou de correction pour ce problème et vous exhortons à ne pas arrêter vos services HDS une fois qu'ils traitent des comptes utilisateurs actifs.
-
Un client qui a une connexion ECDH existante à un KMS maintient cette connexion pendant une période de temps (probablement une heure).
Utiliser OpenSSL pour générer un fichier PKCS12
Avant de commencer
-
OpenSSL est un outil qui peut être utilisé pour faire le fichier PKCS12 dans le format approprié pour le chargement dans l'outil de configuration HDS. Il y a d'autres façons de le faire, et nous ne soutenons ni ne promouvons une voie par rapport à une autre.
-
Si vous choisissez d'utiliser OpenSSL, nous fournissons cette procédure comme guide pour vous aider à créer un fichier qui répond aux exigences de certificat X.509 dans X.509 Exigences de certificat. Comprenez ces exigences avant de continuer.
-
Installer OpenSSL dans un environnement pris en charge. Voir https://www.openssl.org pour le logiciel et la documentation.
-
Créer une clé privée.
-
Commencez cette procédure lorsque vous recevez le certificat de serveur de votre autorité de certification (CA).
| 1 |
Lorsque vous recevez le certificat de serveur de votre CA, enregistrez-le comme |
| 2 |
Afficher le certificat sous forme de texte et vérifier les détails.
|
| 3 |
Utilisez un éditeur de texte pour créer un fichier bundle de certificats appelé
|
| 4 |
Créer le fichier .p12 avec le nom convivial
|
| 5 |
Vérifiez les détails du certificat du serveur. |
Que faire ensuite
Retourner à Remplir les prérequis pour la sécurité des données hybrides. Vous utiliserez le fichier hdsnode.p12 et le mot de passe que vous lui avez défini dans Créer une configuration ISO pour les hôtes HDS.
Vous pouvez réutiliser ces fichiers pour demander un nouveau certificat lorsque le certificat original expire.
Trafic entre les nœuds HDS et le Cloud
Trafic de collecte de métriques sortantes
Les nœuds Hybrid Data Security envoient certaines métriques au cloud Webex. Il s'agit notamment de métriques système pour le tas max, le tas utilisé, la charge CPU et le nombre de fils ; de métriques sur les fils synchrones et asynchrones ; de métriques sur les alertes impliquant un seuil de connexions de chiffrement, de latence ou une longueur de file d'attente de requêtes ; de métriques sur le magasin de données ; et de métriques de connexions de chiffrement. Les noeuds envoient du matériel de clé chiffré sur un canal hors bande (séparé de la requête).
Trafic entrant
Les nœuds de sécurité des données hybrides reçoivent les types de trafic entrant suivants du cloud Webex :
-
Les demandes de chiffrement des clients, qui sont acheminées par le service de chiffrement
-
Mises à niveau du logiciel du noeud
Configurer les proxies Squid pour la sécurité des données hybrides
Websocket ne peut pas se connecter via Squid Proxy
Les proxys Squid qui inspectent le trafic HTTPS peuvent interférer avec l'établissement de connexions Websocket (wss:) requises par Hybrid Data Security. Ces sections donnent des indications sur la façon de configurer les différentes versions de Squid pour ignorer wss : trafic pour le bon fonctionnement des services.
Squid 4 et 5
Ajouter la on_unsupported_protocol directive à squid.conf :
on_unsupported_protocol tunnel toutCalamar 3.5.27
Nous avons testé avec succès Hybrid Data Security avec les règles suivantes ajoutées à squid.conf. Ces règles sont susceptibles de changer au fur et à mesure que nous développons des fonctionnalités et mettons à jour le cloud Webex.
acl wssMercuryConnection ssl ::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 allNove in spremenjene informacije
Nove in spremenjene informacije
V tej tabeli so prikazane nove funkcije ali funkcionalnosti, spremembe obstoječe vsebine in vse večje napake, ki so bile odpravljene v Priročniku za uvajanje za hibridno varnost podatkov z več najemniki.
|
Datum |
Opravljene spremembe |
|---|---|
|
30. januar 2025 |
Dodana različica strežnika SQL 2022 na seznam podprtih strežnikov SQL v zahtevah strežnika zbirke podatkov. |
|
15. januar 2025 |
Dodane omejitve hibridne varnosti podatkov z več najemniki. |
|
08. januar 2025 |
V razdelku Izvedi začetno nastavitev in prenesi namestitvene datoteke je dodana opomba, v kateri je navedeno, da je klik Nastavi na kartici HDS v zvezdišču Partner Hub pomemben korak v postopku namestitve. |
|
07. januar 2025 |
Posodobljene zahteve virtualnega gostitelja, potek opravila uvajanja hibridne varnosti podatkov in Namestite OVA HDS gostitelja za prikaz nove zahteve ESXi 7.0. |
|
13. december 2024 |
Prvič objavljeno. |
Deaktiviraj hibridno varnost podatkov za več najemnikov
Potek opravila deaktivacije HDS z več najemniki
Sledite tem korakom, da popolnoma deaktivirate HDS z več najemniki.
Preden začnete
| 1 |
Odstranite vse stranke iz vseh svojih gruč, kot je navedeno v Odstrani organizacije najemnikov. |
| 2 |
Prekličite CMK vseh strank, kot je navedeno v Prekliči CMK najemnikov, odstranjenih iz HDS.. |
| 3 |
Odstranite vsa vozlišča iz vseh svojih gruč, kot je navedeno v Odstrani vozlišče. |
| 4 |
Izbrišite vse svoje gruče iz Partner Hub z enim od naslednjih dveh načinov.
|
| 5 |
Kliknite zavihek Nastavitve na strani s pregledom hibridne varnosti podatkov in kliknite Deaktiviraj HDS na kartici stanja HDS. |
Začnite s hibridno varnostjo podatkov z več najemniki
Pregled hibridne varnosti podatkov z več najemniki
Od prvega dne dalje je varnost podatkov v središču pozornosti pri oblikovanju aplikacije Webex. Temelj te varnosti je šifriranje vsebine od konca do konca, ki ga omogočajo odjemalci aplikacije Webex, ki komunicirajo s storitvijo upravljanja ključev (KMS). KMS je odgovoren za ustvarjanje in upravljanje kriptografskih ključev, ki jih odjemalci uporabljajo za dinamično šifriranje in dešifriranje sporočil in datotek.
Vse stranke aplikacije Webex privzeto prejmejo šifriranje od konca do konca z dinamičnimi ključi, shranjenimi v KMS v oblaku, na varnostnem področju Cisco. Hibridna varnost podatkov premakne KMS in druge varnostne funkcije v podatkovno središče vašega podjetja, zato nihče ne zadrži ključev svoje šifrirane vsebine.
Hibridna varnost podatkov z več najemniki omogoča organizacijam, da izkoristijo HDS prek zaupanja vrednega lokalnega partnerja, ki lahko deluje kot ponudnik storitev in upravlja šifriranje v podjetju in druge varnostne storitve. Ta nastavitev partnerski organizaciji omogoča popoln nadzor nad uvajanjem in upravljanjem šifrirnih ključev ter zagotavlja, da so uporabniški podatki organizacij strank varni pred zunanjim dostopom. Partnerske organizacije nastavijo primerke HDS in po potrebi ustvarijo gruče HDS. Vsak primerek lahko podpira več organizacij strank, za razliko od običajnega uvajanja HDS, ki je omejen na eno organizacijo.
To omogoča tudi manjšim organizacijam, da izkoristijo HDS, saj so Ključne storitve upravljanja in varnostna infrastruktura, kot so podatkovni centri, v lasti zaupanja vrednega lokalnega partnerja.
Kako hibridna varnost podatkov z več najemniki zagotavlja suverenost podatkov in nadzor nad podatki
- Vsebina, ki jo ustvari uporabnik, je zaščitena pred zunanjim dostopom, kot so ponudniki storitev v oblaku.
- Lokalni zaupanja vredni partnerji upravljajo šifrirne ključe strank, s katerimi že imajo vzpostavljeno razmerje.
- Možnost lokalne tehnične podpore, če jo zagotovi partner.
- Podpira vsebine sestankov, sporočil in klicev.
Ta dokument je namenjen pomoči partnerskim organizacijam pri nastavitvi in upravljanju strank v sistemu hibridne varnosti podatkov z več najemniki.
Omejitve hibridne varnosti podatkov z več najemniki
- Partnerske organizacije ne smejo imeti nobene obstoječe uvajanja HDS, ki je aktivna v zvezdišču Control Hub.
- Organizacije najemnikov ali strank, ki želijo biti upravljane s strani partnerja, ne smejo imeti obstoječe uvajanja HDS v Control Hub.
- Ko partner namesti HDS z več najemniki, vsi uporabniki organizacij strank in uporabniki partnerske organizacije začnejo uporabljati HDS z več najemniki za svoje storitve šifriranja.
Partnerska organizacija in organizacije strank, ki jih upravljajo, bodo na istem uvajanju HDS z več najemniki.
Partnerska organizacija ne bo več uporabljala KMS v oblaku po uvedbi HDS z več najemniki.
- Ni mehanizma za premikanje tipk nazaj v KMS v oblaku po uvedbi HDS.
- Trenutno ima lahko vsako uvajanje HDS z več najemniki samo eno gručo, pod njo pa več vozlišč.
- Vloge skrbnikov imajo določene omejitve; za več podrobnosti si oglejte spodnji razdelek.
Vloge pri hibridni varnosti podatkov z več najemniki
- Glavni skrbnik partnerja – lahko upravlja nastavitve za vse stranke, ki jih upravlja partner. Lahko tudi dodelijo vloge skrbnika obstoječim uporabnikom v organizaciji in dodelijo točno določene stranke v upravljanje partnerskim administratorjem.
- Skrbnik partnerja – Lahko upravlja nastavitve za stranke, ki jih je skrbnik omogočil uporabo ali ki so bile dodeljene uporabniku.
- Glavni skrbnik - skrbnik partnerske organizacije, ki je pooblaščen za izvajanje nalog, kot so spreminjanje nastavitev organizacije, upravljanje licenc in dodeljevanje vlog.
- Nastavitev HDS z več najemniki od konca do konca in upravljanje vseh organizacij strank - potrebne so polne skrbniške pravice partnerja in polne skrbniške pravice.
- Upravljanje dodeljenih organizacij najemnikov - potrebne so pravice skrbnika partnerja in glavnega skrbnika.
Arhitektura varnostnega področja
Arhitektura Webex v oblaku ločuje različne vrste storitev na ločena področja ali zaupanja vredne domene, kot je prikazano spodaj.
Za nadaljnje razumevanje hibridne varnosti podatkov si najprej oglejmo ta čisti primer v oblaku, kjer Cisco zagotavlja vse funkcije na svojih področjih v oblaku. Storitev identitete, edini kraj, kjer se lahko uporabniki neposredno povežejo s svojimi osebnimi podatki, kot je e-poštni naslov, je logično in fizično ločena od varnostnega področja v podatkovnem centru B. Oba sta ločena od področja, kjer je na koncu shranjena šifrirana vsebina, v podatkovnem centru C.
V tem diagramu je odjemalec aplikacija Webex, ki deluje na prenosnem računalniku uporabnika in je preveril pristnost s storitvijo identitete. Ko uporabnik sestavi sporočilo za pošiljanje v prostor, se izvedejo naslednji koraki:
-
Odjemalec vzpostavi varno povezavo s storitvijo upravljanja ključa (KMS) in nato zahteva ključ za šifriranje sporočila. Varna povezava uporablja ECDH, KMS pa šifrira ključ z matičnim ključem AES-256.
-
Sporočilo je šifrirano, preden zapusti odjemalca. Odjemalec ga pošlje storitvi indeksiranja, ki ustvari šifrirane indekse iskanja za pomoč pri prihodnjih iskanjih po vsebini.
-
Šifrirano sporočilo se pošlje službi za skladnost za preverjanje skladnosti.
-
Šifrirano sporočilo je shranjeno na področju shrambe.
Ko uvedete hibridno varnost podatkov, premaknete funkcije varnostnega področja (KMS, indeksiranje in skladnost) v svoje podatkovno središče v podjetju. Druge storitve v oblaku, ki sestavljajo Webex (vključno z identiteto in shranjevanjem vsebine), ostanejo na področjih družbe Cisco.
Sodelovanje z drugimi organizacijami
Uporabniki v vaši organizaciji lahko aplikacijo Webex redno uporabljajo za sodelovanje z zunanjimi udeleženci v drugih organizacijah. Ko eden od vaših uporabnikov zahteva ključ za prostor, ki je v lasti vaše organizacije (ker ga je ustvaril eden od vaših uporabnikov), vaš KMS pošlje ključ odjemalcu prek zaščitenega kanala ECDH. Ko pa je ključ za prostor v drugi organizaciji, vaš KMS preusmeri zahtevo v oblak Webex prek ločenega kanala ECDH, da pridobi ključ od ustreznega KMS, nato pa ključ vrne vašemu uporabniku v prvotnem kanalu.
Storitev KMS, ki deluje na organizaciji A, preveri povezave s KMS v drugih organizacijah z uporabo potrdil PKI x.509. Glejte Priprava okolja za podrobnosti o ustvarjanju potrdila x.509 za uporabo z vašim uvajanjem hibridne varnosti podatkov z več najemniki.
Pričakovanja glede uvajanja hibridne varnosti podatkov
Uvajanje hibridne varnosti podatkov zahteva znatno zavezanost in zavedanje tveganj, ki izhajajo iz lastništva šifrirnih ključev.
Za uvedbo hibridne varnosti podatkov morate zagotoviti:
-
Varno podatkovno središče v državi, ki je podprta lokacija za naročnine Cisco Webex Teams.
-
Oprema, programska oprema in dostop do omrežja, opisani v razdelku Priprava okolja.
Popolna izguba konfiguracije ISO, ki jo gradite za hibridno varnost podatkov, ali zbirke podatkov, ki jo posredujete, bo povzročila izgubo ključev. Izguba ključa uporabnikom prepreči dešifriranje vsebine prostora in drugih šifriranih podatkov v aplikaciji Webex. Če se to zgodi, lahko zgradite novo uvajanje, vendar bo vidna samo nova vsebina. Če se želite izogniti izgubi dostopa do podatkov, morate:
-
Upravljajte varnostno kopiranje in obnovo zbirke podatkov in konfiguracije ISO.
-
Bodite pripravljeni na hitro obnovitev po katastrofi, če pride do katastrofe, kot je napaka diska zbirke podatkov ali katastrofa podatkovnega centra.
Ni mehanizma za premikanje tipk nazaj v oblak po uvedbi HDS.
Postopek nastavitve na visoki ravni
Ta dokument pokriva nastavitev in upravljanje uvajanja hibridne varnosti podatkov z več najemniki:
-
Nastavite hibridno varnost podatkov– To vključuje pripravo potrebne infrastrukture in namestitev programske opreme za hibridno varnost podatkov, izgradnjo gruče HDS, dodajanje organizacij najemnikov v gručo in upravljanje njihovih glavnih ključev strank (CMK). S tem boste vsem uporabnikom v organizacijah strank omogočili uporabo gruče hibridne varnosti podatkov za varnostne funkcije.
Faze nastavitve, aktivacije in upravljanja so podrobno opisane v naslednjih treh poglavjih.
-
Ohranite uvajanje hibridne varnosti podatkov– Oblak Webex samodejno zagotavlja sprotne nadgradnje. Vaš oddelek za IT lahko zagotovi podporo stopnje ena za to uvajanje in po potrebi vključi podporo podjetja Cisco. V Partner Hub lahko uporabite obvestila na zaslonu in nastavite opozorila na podlagi e-pošte.
-
Razumevanje skupnih opozoril, korakov za odpravljanje težav in znanih težav– Če naletite na težave pri uvajanju ali uporabi hibridne varnosti podatkov, vam lahko zadnje poglavje tega priročnika in dodatek Znane težave pomagata ugotoviti in odpraviti težavo.
Model uvajanja hibridne varnosti podatkov
V podatkovnem središču svojega podjetja uvedete hibridno varnost podatkov kot eno gručo vozlišč na ločenih navideznih gostiteljih. Vozlišča komunicirajo z oblakom Webex prek varnih spletnih vtičnikov in varnega HTTP.
Med postopkom namestitve vam nudimo datoteko OVA za nastavitev virtualne naprave na VM, ki jih navedete. S pomočjo orodja za nastavitev HDS ustvarite datoteko ISO konfiguracije gruče po meri, ki jo namestite na vsako vozlišče. Gruča hibridne varnosti podatkov uporablja vaš zagotovljen strežnik Syslogd in PostgreSQL ali Microsoft SQL Server. (V orodju za nastavitev HDS konfigurirate Syslogd in podrobnosti povezave zbirke podatkov.)
Najmanjše število vozlišč, ki jih lahko imate v gruči, je dve. Priporočamo vsaj tri na gručo. Več vozlišč zagotavlja, da storitev ni prekinjena med nadgradnjo programske opreme ali drugo dejavnostjo vzdrževanja v vozlišču. (Oblak Webex naenkrat nadgradi samo eno vozlišče.)
Vsa vozlišča v gruči dostopajo do iste shrambe podatkov ključa in aktivnosti dnevnika do istega strežnika syslog. Vozlišča so brez državljanstva in obravnavajo ključne zahteve v okroglem načinu, kot ga usmerja oblak.
Vozlišča postanejo aktivna, ko jih registrirate v Partner Hub. Če želite določeno vozlišče preklicati, ga lahko odjavite in po potrebi pozneje ponovno registrirate.
Podatkovni center v stanju pripravljenosti za obnovitev po katastrofi
Med uvajanjem nastavite varno podatkovno središče v stanju pripravljenosti. V primeru katastrofe podatkovnega centra lahko ročno onemogočite namestitev v podatkovni center v stanju pripravljenosti.
Zbirke podatkov aktivnih podatkovnih centrov in centrov v stanju pripravljenosti se sinhronizirajo, kar bo zmanjšalo čas, potreben za izvedbo preklopa na drug način.
Aktivna vozlišča hibridne varnosti podatkov morajo biti vedno v istem podatkovnem središču kot aktivni strežnik zbirke podatkov.
Podpora za proxy
Hibridna varnost podatkov podpira eksplicitne, pregledne in nepregledne proxyje. Te proxyje lahko povežete z uvajanjem, da lahko zaščitite in spremljate promet iz podjetja v oblak. Na vozliščih lahko uporabite skrbniški vmesnik platforme za upravljanje potrdil in preverjanje splošnega stanja povezljivosti po nastavitvi proxy na vozliščih.
Vozlišča hibridne varnosti podatkov podpirajo naslednje možnosti proxy:
-
Brez proxy – Privzeto, če ne uporabljate nastavitve vozlišča HDS Trust Store in konfiguracije proxy za integracijo proxy. Posodobitev potrdila ni potrebna.
-
Pregleden proxy, ki ga ne pregledujemo– Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy in ne smejo zahtevati sprememb za delovanje s strežnikom proxy, ki ga ne pregledujemo. Posodobitev potrdila ni potrebna.
-
Pregledno tuneliranje ali pregledovanje proxyja– Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy. Na vozliščih niso potrebne nobene spremembe konfiguracije HTTP ali HTTPS. Vendar vozlišča potrebujejo korensko potrdilo, da lahko zaupajo posredniku. Inšpekcijske proxy običajno uporablja IT za uveljavljanje pravilnikov, na katerih spletnih straneh je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta proxy dešifrira ves vaš promet (tudi HTTPS).
-
Eksplicitni proxy– z eksplicitnim proxy vozliščem HDS poveste, kateri proxy strežnik in shemo preverjanja pristnosti naj uporabijo. Za konfiguracijo izrecnega strežnika proxy morate v vsako vozlišče vnesti naslednje informacije:
-
IP/FQDN proxy– naslov, ki ga lahko uporabite za dostop do naprave proxy.
-
Vrata proxy– številka vrat, ki jih proxy uporablja za poslušanje prepovedanega prometa.
-
Protokol proxy– Glede na to, kaj podpira vaš strežnik proxy, izberite med naslednjimi protokoli:
-
HTTP – Prikaže in nadzoruje vse zahteve, ki jih pošlje odjemalec.
-
HTTPS – zagotavlja kanal strežniku. Odjemalec prejme in potrdi potrdilo strežnika.
-
-
Vrsta preverjanja pristnosti– Izberite med naslednjimi vrstami preverjanja pristnosti:
-
Brez– Dodatno preverjanje pristnosti ni potrebno.
Na voljo, če kot protokol proxy izberete HTTP ali HTTPS.
-
Osnovno– Uporablja se za uporabniški posrednik HTTP za zagotavljanje uporabniškega imena in gesla pri pripravi zahteve. Uporablja kodiranje Base64.
Na voljo, če kot protokol proxy izberete HTTP ali HTTPS.
Od vas zahteva, da vnesete uporabniško ime in geslo v vsako vozlišče.
-
Povzetek– Uporablja se za potrditev računa pred pošiljanjem občutljivih podatkov. Uporabi funkcijo lojtrice na uporabniškem imenu in geslu pred pošiljanjem prek omrežja.
Na voljo samo, če kot protokol proxy izberete HTTPS.
Od vas zahteva, da vnesete uporabniško ime in geslo v vsako vozlišče.
-
-
Primer vozlišč hibridne varnosti podatkov in proxy
Ta diagram prikazuje primer povezave med hibridno varnostjo podatkov, omrežjem in strežnikom proxy. Za pregleden pregled in HTTPS ekspliciten pregled možnosti proxy mora biti isto korensko potrdilo nameščeno na strežniku proxy in vozliščih hibridne varnosti podatkov.
Blokiran način ločljivosti zunanjega DNS (eksplicitne konfiguracije proxy)
Ko registrirate vozlišče ali preverite konfiguracijo proxy vozlišča, proces preskusi iskanje DNS in povezljivost z oblakom Cisco Webex. V uvajanjih z izrecnimi konfiguracijami proxy, ki ne omogočajo zunanje ločljivosti DNS za notranje odjemalce, se vozlišče, če ne more poizvedovati za strežnike DNS, samodejno preklopi v način ločljivosti blokiranega zunanjega DNS. V tem načinu se lahko nadaljujejo registracija vozlišča in drugi preskusi povezljivosti proxy.
Pripravite svoje okolje
Zahteve za hibridno varnost podatkov z več najemniki
Zahteve za licenco Cisco Webex
Če želite uvesti hibridno varnost podatkov z več najemniki:
-
Partnerske organizacije: Obrnite se na svojega partnerja Cisco ali upravitelja računa in poskrbite, da je funkcija za več najemnikov omogočena.
-
Organizacije najemnikov: Imeti morate paket Pro za Cisco Webex Control Hub. (Glej https://www.cisco.com/go/pro-pack.)
Zahteve namizja Docker
Preden namestite vozlišča HDS, za zagon nastavitvenega programa potrebujete Docker Desktop. Docker je nedavno posodobil svoj licenčni model. Vaša organizacija bo morda zahtevala plačljivo naročnino za namizje Docker. Za podrobnosti si oglejte objavo na blogu Docker: "Docker posodablja in razširja naročnine na naše izdelke".
Zahteve za potrdilo X.509
Veriga potrdil mora izpolnjevati naslednje zahteve:
|
Zahteva |
Podrobnosti |
|---|---|
|
Privzeto zaupamo CA-jem na seznamu Mozilla (razen WoSign in StartCom) pri https://wiki.mozilla.org/CA:IncludedCAs. |
|
CN ni nujno dosegljiv ali gostitelj v živo. Priporočamo vam, da uporabite ime, ki odraža vašo organizacijo, na primer CN ne sme vsebovati * (nadomestnega znaka). CN se uporablja za preverjanje vozlišč hibridne varnosti podatkov pri odjemalcih aplikacije Webex. Vsa vozlišča hibridne varnosti podatkov v vaši gruči uporabljajo isto potrdilo. Vaš KMS se identificira z domeno CN in ne z nobeno domeno, ki je določena v poljih SAN x.509v3. Ko ste enkrat registrirali vozlišče s tem potrdilom, ne podpiramo spreminjanja imena domene CN. |
|
Programska oprema KMS ne podpira podpisov SHA1 za potrjevanje povezav s KMS drugih organizacij. |
|
Za spremembo oblike potrdila lahko uporabite pretvornik, kot je OpenSSL. Ko zaženete orodje za nastavitev HDS, boste morali vnesti geslo. |
Programska oprema KMS ne izvršuje uporabe ključa ali razširjenih omejitev uporabe ključa. Nekateri organi za potrdila zahtevajo, da se za vsako potrdilo uporabljajo razširjene omejitve uporabe ključa, kot je preverjanje pristnosti strežnika. V redu je, da uporabite preverjanje pristnosti strežnika ali druge nastavitve.
Zahteve virtualnega gostitelja
Virtualni gostitelji, ki jih boste nastavili kot vozlišča hibridne varnosti podatkov v svoji gruči, imajo naslednje zahteve:
-
Vsaj dva ločena gostitelja (3 priporočeno) sta nameščena v istem varnem podatkovnem središču
-
VMware ESXi 7.0 (ali novejši) nameščen in deluje.
Če imate starejšo različico ESXi, morate nadgraditi.
-
Najmanj 4 vCPU, 8-GB glavnega pomnilnika, 30-GB prostora na trdem disku na strežnik
Zahteve strežnika zbirke podatkov
Ustvarite novo zbirko podatkov za shranjevanje ključa. Ne uporabljajte privzete zbirke podatkov. Aplikacije HDS, ko so nameščene, ustvarijo shemo zbirke podatkov.
Za strežnik zbirke podatkov sta dve možnosti. Zahteve za vsako od njih so naslednje:
|
PostgreSQL |
Microsoft SQL Server |
|---|---|
|
|
|
Najmanj 8 vCPU-jev, 16 GB glavnega pomnilnika, dovolj prostora na trdem disku in spremljanje, ki zagotavlja, da ni presežen (2 TB priporočamo, če želite dolgo časa zagnati zbirko podatkov, ne da bi morali povečati shrambo) |
Najmanj 8 vCPU-jev, 16 GB glavnega pomnilnika, dovolj prostora na trdem disku in spremljanje, ki zagotavlja, da ni presežen (2 TB priporočamo, če želite dolgo časa zagnati zbirko podatkov, ne da bi morali povečati shrambo) |
Programska oprema HDS trenutno namesti naslednje različice gonilnikov za komunikacijo s strežnikom zbirke podatkov:
|
PostgreSQL |
Microsoft SQL Server |
|---|---|
|
Postgres JDBC gonilnik 42.2.5 |
SQL Server gonilnik JDBC 4.6 Ta različica gonilnika podpira strežnik SQL Server Always Vklopljen (Vedno vklopljeni primerki gruče in Vedno vklopljeni skupine razpoložljivosti). |
Dodatne zahteve za preverjanje pristnosti sistema Windows v strežniku Microsoft SQL Server
Če želite, da vozlišča HDS uporabljajo preverjanje pristnosti sistema Windows za dostop do zbirke podatkov tipkovnice v strežniku Microsoft SQL Server, morate v svojem okolju izvesti naslednjo konfiguracijo:
-
Vozlišča HDS, infrastruktura Active Directory in MS SQL Server morajo biti sinhronizirani z NTP.
-
Račun Windows, ki ga zagotovite vozliščem HDS, mora imeti dostop za branje/pisanje do zbirke podatkov.
-
Strežniki DNS, ki jih zagotovite vozliščem HDS, morajo biti sposobni razrešiti vaš center za porazdelitev ključev (KDC).
-
Primerek zbirke podatkov HDS lahko registrirate v svojem strežniku Microsoft SQL Server kot glavno ime storitve (SPN) v svojem Active Directory. Glejte Registriraj glavno ime storitve za povezave Kerberos.
Orodje za nastavitev HDS, zaganjalnik HDS in lokalni KMS morajo za dostop do zbirke podatkov keystore uporabiti preverjanje pristnosti sistema Windows. Podatke iz vaše konfiguracije ISO uporabijo za izgradnjo SPN, ko zaprosijo za dostop s preverjanjem pristnosti Kerberos.
Zahteve za zunanjo povezljivost
Konfigurirajte požarni zid, da omogočite naslednjo povezljivost za aplikacije HDS:
|
Aplikacija |
Protokol |
Vrata |
Smer iz aplikacije |
Cilj |
|---|---|---|---|---|
|
Vozlišča hibridne varnosti podatkov |
TCP |
443 |
Odhodni HTTPS in WSS |
|
|
Orodje za nastavitev HDS |
TCP |
443 |
Odhodni HTTPS |
|
Vozlišča hibridne varnosti podatkov delujejo s prevodom za dostop do omrežja (NAT) ali za požarnim zidom, če NAT ali požarni zid omogoča zahtevane odhodne povezave s cilji domene v prejšnji tabeli. Za dohodne povezave do vozlišč hibridne varnosti podatkov ne smejo biti vidna nobena vrata z interneta. V vašem podatkovnem središču odjemalci potrebujejo dostop do vozlišč hibridne varnosti podatkov na vratih TCP 443 in 22 za upravne namene.
URL-ji za gostitelje Common Identity (CI) so specifični za regijo. To so trenutni gostitelji CI:
|
Regija |
URL-ji pogostih gostiteljev identitete |
|---|---|
|
Ameriki |
|
|
Evropska unija |
|
|
Kanada |
|
| Singapur |
|
| Združeni Arabski Emirati |
|
Zahteve strežnika proxy
-
Uradno podpiramo naslednje proxy rešitve, ki se lahko integrirajo z vašimi vozlišči hibridne varnosti podatkov.
-
Pregleden proxy – Cisco Web Security Appliance (WSA).
-
Eksplicitni proxy – Ligenj.
Proxyji ligenja, ki pregledujejo promet HTTPS, lahko motijo vzpostavitev povezav websocket (wss:). Če želite delati pri tej težavi, glejte Konfiguriraj proxyje za hibridno varnost podatkov.
-
-
Za eksplicitne proxyje podpiramo naslednje kombinacije vrst preverjanja pristnosti:
-
Ni preverjanja pristnosti s HTTP ali HTTPS
-
Osnovno preverjanje pristnosti s HTTP ali HTTPS
-
Povzemi preverjanje pristnosti samo s HTTPS
-
-
Za pregleden proxy za preverjanje ali eksplicitni proxy HTTPS morate imeti kopijo korenskega potrdila proxy. V navodilih za uvajanje v tem priročniku boste izvedeli, kako naložiti kopijo v shrambe zaupanja vozlišč hibridne varnosti podatkov.
-
Omrežje, ki gosti vozlišča HDS, mora biti konfigurirano tako, da prisili odhodni promet TCP na vratih 443 za usmerjanje prek proxy.
-
Proxyji, ki pregledujejo spletni promet, lahko motijo povezave spletnih vtičnic. Če pride do te težave, bo težava odpravljena z izogibanjem (ne inšpekcijskim pregledom) prometa na spletnem mestu
wbx2.cominciscospark.com.
Dokončajte predpogoje za hibridno varnost podatkov
| 1 |
Prepričajte se, da ima vaša partnerska organizacija omogočeno funkcijo HDS z več najemniki, in pridobite poverilnice za račun s polnim skrbnikom partnerja in pravicami s polnimi skrbniškimi pravicami. Prepričajte se, da je organizacija vaše stranke Webex omogočena za paket Pro za Cisco Webex Control Hub. Za pomoč pri tem postopku se obrnite na svojega partnerja Cisco ali skrbnika računa. Organizacije strank ne smejo imeti obstoječe uvajanja HDS. |
| 2 |
Izberite ime domene za uvajanje HDS (na primer |
| 3 |
Pripravite enake navidezne gostitelje, ki jih boste nastavili kot vozlišča hibridne varnosti podatkov v svoji gruči. Potrebujete vsaj dva ločena gostitelja (3 priporočeno), ki sta nameščena v istem varnem podatkovnem središču in izpolnjujeta zahteve iz zahtev virtualnega gostitelja. |
| 4 |
Pripravite strežnik zbirke podatkov, ki bo deloval kot shramba ključnih podatkov za gručo v skladu z zahtevami strežnika zbirke podatkov. Strežnik zbirke podatkov mora biti nameščen v varnem podatkovnem središču z navideznimi gostitelji. |
| 5 |
Za hitro obnovitev po katastrofi nastavite okolje za varnostne kopije v drugem podatkovnem središču. Varnostno okolje zrcali proizvodno okolje VM-jev in strežnik za varnostno zbirko podatkov. Če ima na primer proizvodnja 3 VM, ki poganjajo vozlišča HDS, mora okolje za varnostne kopije imeti 3 VM. |
| 6 |
Nastavite gostitelja syslog za zbiranje dnevnikov iz vozlišč v gruči. Zberite naslov omrežja in vrata syslog (privzeto je UDP 514). |
| 7 |
Ustvarite varen pravilnik za varnostne kopije za vozlišča hibridne varnosti podatkov, strežnik zbirke podatkov in gostitelja syslog. Vsaj za preprečitev nepopravljive izgube podatkov morate varnostno kopirati zbirko podatkov in konfiguracijsko datoteko ISO, ustvarjeno za vozlišča hibridne varnosti podatkov. Ker vozlišča hibridne varnosti podatkov shranijo ključe, ki se uporabljajo za šifriranje in dešifriranje vsebine, bo nevzdrževanje operativne uvajanja povzročilo NEPOPRAVLJIVO IZGUBO te vsebine. Odjemalci aplikacije Webex skrivajo svoje ključe, zato izpad morda ne bo takoj opazen, temveč bo opazen skozi čas. Čeprav začasnih izpadov ni mogoče preprečiti, jih je mogoče obnoviti. Vendar pa bo popolna izguba (varnostne kopije niso na voljo) podatkovne zbirke ali konfiguracijske datoteke ISO povzročila, da podatkov strank ni mogoče razveljaviti. Od operaterjev vozlišč hibridne varnosti podatkov se pričakuje, da bodo pogosto vzdrževali varnostne kopije zbirke podatkov in konfiguracijske datoteke ISO ter bodo pripravljeni obnoviti podatkovno središče za hibridno varnost podatkov, če pride do katastrofalne napake. |
| 8 |
Vaša konfiguracija požarnega zidu mora omogočati povezljivost za vaša vozlišča hibridne varnosti podatkov, kot je opisano v Zahtevah za zunanjo povezljivost. |
| 9 |
Namestite Docker ( https://www.docker.com) na kateri koli lokalni stroj, ki uporablja podprt OS (Microsoft Windows 10 Professional ali 64-bitni Enterprise ali Mac OSX Yosemite 10.10.3 ali novejši) s spletnim brskalnikom, ki ima dostop do njega na http://127.0.0.1:8080. Primerek Docker uporabite za prenos in zagon orodja za nastavitev HDS, ki gradi lokalne informacije konfiguracije za vsa vozlišča hibridne varnosti podatkov. Morda boste potrebovali licenco za namizje Docker. Za več informacij glejte zahteve za namizje Docker . Za namestitev in zagon orodja za nastavitev HDS mora imeti lokalni stroj povezljivost, ki je opisana v Zahtevah za zunanjo povezljivost. |
| 10 |
Če integrirate proxy s hibridno varnostjo podatkov, se prepričajte, da izpolnjuje zahteve strežnika proxy. |
Nastavi gručo hibridne varnosti podatkov
Potek opravila uvajanja hibridne varnosti podatkov
| 1 |
Izvedite začetno nastavitev in prenesite namestitvene datoteke Prenesite datoteko OVA v lokalni stroj za uporabo v prihodnosti. |
| 2 |
Ustvarite konfiguracijski ISO za gostitelje HDS S pomočjo orodja za nastavitev HDS ustvarite konfiguracijsko datoteko ISO za vozlišča hibridne varnosti podatkov. |
| 3 |
Ustvarite navidezni stroj iz datoteke OVA in izvedite začetno konfiguracijo, na primer nastavitve omrežja. Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 7.0. Možnost morda ni na voljo v starejših različicah. |
| 4 |
Nastavi VM hibridne varnosti podatkov Vpišite se v konzolo VM in nastavite poverilnice za vpis. Konfigurirajte nastavitve omrežja za vozlišče, če jih niste konfigurirali v času uvajanja OVA. |
| 5 |
Naloži in priklopi ISO konfiguracije HDS Konfigurirajte VM iz konfiguracijske datoteke ISO, ki ste jo ustvarili z orodjem za nastavitev HDS. |
| 6 |
Konfigurirajte vozlišče HDS za integracijo proxy Če omrežno okolje zahteva konfiguracijo proxy, navedite vrsto proxy, ki ga boste uporabili za vozlišče, in po potrebi dodajte potrdilo proxy v shrambo zaupanja. |
| 7 |
Registrirajte prvo vozlišče v gruči Registrirajte VM z oblakom Cisco Webex kot vozlišče hibridne varnosti podatkov. |
| 8 |
Ustvarite in registrirajte več vozlišč Dokončajte nastavitev gruče. |
| 9 |
Aktivirajte HDS z več najemniki v Partner Hub. Aktivirajte HDS in upravljajte organizacije najemnikov v Partner Hub. |
Izvedite začetno nastavitev in prenesite namestitvene datoteke
V tem opravilu prenesete datoteko OVA v svoj stroj (ne v strežnike, ki ste jih nastavili kot vozlišča hibridne varnosti podatkov). To datoteko boste uporabili pozneje v postopku namestitve.
| 1 |
Vpišite se v Partner Hub in nato kliknite Storitve. |
| 2 |
V razdelku Storitve v oblaku poiščite kartico hibridne varnosti podatkov in nato kliknite Nastavi. Klik na možnost Nastavitev v Partner Hub je bistvenega pomena za postopek uvajanja. Ne nadaljujte z namestitvijo, ne da bi dokončali ta korak. |
| 3 |
Kliknite Dodaj vir in kliknite Prenesi datoteko .OVA na kartici Namestitev in konfiguracija programske opreme . Starejše različice programskega paketa (OVA) ne bodo združljive z najnovejšimi nadgradnjami hibridne varnosti podatkov. Zaradi tega lahko pride do težav med nadgradnjo aplikacije. Prepričajte se, da prenesete najnovejšo različico datoteke OVA. OVA lahko kadar koli prenesete tudi iz razdelka Pomoč . Kliknite . Datoteka OVA se samodejno začne prenašati. Shranite datoteko na lokacijo v svojem stroju.
|
| 4 |
Izbirno kliknite Ogled priročnika za uvajanje hibridne varnosti podatkov , da preverite, ali je na voljo poznejša različica tega priročnika. |
Ustvarite konfiguracijski ISO za gostitelje HDS
Postopek nastavitve hibridne varnosti podatkov ustvari datoteko ISO. Nato uporabite ISO, da konfigurirate gostitelja hibridne varnosti podatkov.
Preden začnete
-
Orodje za nastavitev HDS se uporablja kot vsebnik Docker na lokalnem računalniku. Če želite dostopati, zaženite Docker na tem stroju. Postopek nastavitve zahteva poverilnice računa Partner Hub s polnimi skrbniškimi pravicami.
Če orodje za nastavitev HDS deluje za proxy v vašem okolju, zagotovite nastavitve proxy (strežnik, vrata, poverilnice) prek spremenljivk okolja Docker, ko dvignete vsebnik Docker v koraku 5 spodaj. The list of possible environment variables:
Opis
Spremenljivka
Proxy HTTP brez preverjanja pristnosti
GLOBALNI_POSREDNIK_HTTP_PROXY=http://STREŽNIK_IP:VRATAProxy HTTPS brez preverjanja pristnosti
GLOBALNI_POSREDNIK_HTTPS_PROXY=http://STREŽNIK_IP:VRATAProxy HTTP s preverjanjem pristnosti
GLOBALNI_POSREDNIK_HTTP_PROXY=http://USERNAME:PASSWORD@STREŽNIK_IP:VRATAProxy HTTPS s preverjanjem pristnosti
GLOBALNI_POSREDNIK_HTTPS_PROXY=http://USERNAME:PASSWORD@STREŽNIK_IP:PORT -
Konfiguracijska datoteka ISO, ki jo ustvarite, vsebuje matični ključ, ki šifrira zbirko podatkov PostgreSQL ali Microsoft SQL Server. Najnovejšo kopijo te datoteke potrebujete, kadar opravite spremembe konfiguracije, kot so:
-
Poverilnice zbirke podatkov
-
Posodobitve potrdila
-
Spremembe pravilnika o pooblastitvi
-
-
Če nameravate šifrirati povezave zbirk podatkov, nastavite uvajanje PostgreSQL ali SQL Server za TLS.
| 1 |
V ukazni vrstici vašega računalnika vnesite ustrezen ukaz za vaše okolje: V rednih okoljih: V okoljih FedRAMP: Ta korak počisti prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete. | ||||||||||
| 2 |
Če se želite vpisati v register slik Docker, vnesite naslednje: | ||||||||||
| 3 |
Ob pozivu k geslu vnesite to hash: | ||||||||||
| 4 |
Prenesite najnovejšo stabilno sliko za svoje okolje: V rednih okoljih: V okoljih FedRAMP: | ||||||||||
| 5 |
Ko je vlečenje končano, vnesite ustrezen ukaz za vaše okolje:
Ko vsebnik deluje, vidite »Strežnik Express posluša vrata 8080«. | ||||||||||
| 6 |
Orodje za nastavitev ne podpira povezave z krajevnim gostiteljem prek http://localhost:8080. Uporabite http://127.0.0.1:8080 za povezavo z lokalnim gostiteljem. S spletnim brskalnikom pojdite na lokalnega gostitelja Orodje uporablja ta prvi vnos uporabniškega imena za nastavitev ustreznega okolja za ta račun. Orodje nato prikaže standardni poziv za vpis. | ||||||||||
| 7 |
Ob pozivu vnesite poverilnice za vpis skrbnika Partner Hub in nato kliknite Prijava , da omogočite dostop do zahtevanih storitev za hibridno varnost podatkov. | ||||||||||
| 8 |
Na strani s pregledom orodja za nastavitev kliknite Začni. | ||||||||||
| 9 |
Na strani Uvoz ISO imate naslednje možnosti:
| ||||||||||
| 10 |
Preverite, ali vaše potrdilo X.509 izpolnjuje zahteve iz zahtev za potrdilo X.509.
| ||||||||||
| 11 |
Vnesite naslov zbirke podatkov in račun za HDS za dostop do svojega ključa podatkov: | ||||||||||
| 12 |
Izberite način povezave zbirke podatkov TLS:
Ko naložite korensko potrdilo (če je potrebno) in kliknete Nadaljuj, orodje za nastavitev HDS preskusi povezavo TLS s strežnikom zbirke podatkov. Orodje preveri tudi podpisnika potrdila in ime gostitelja, če je primerno. Če preskus ne uspe, orodje prikaže sporočilo o napaki, ki opisuje težavo. Izberete lahko, da prezrete napako, in nadaljujete z nastavitvijo. (Zaradi razlik v povezljivosti lahko vozlišča HDS vzpostavijo povezavo TLS, tudi če je stroj za nastavitev orodja HDS ne more uspešno preskusiti.) | ||||||||||
| 13 |
Na strani Sistemski dnevniki konfigurirajte strežnik Syslogd: | ||||||||||
| 14 |
(Izbirno) Privzeto vrednost za nekatere parametre povezave zbirke podatkov lahko spremenite v dodatnih nastavitvah. Na splošno je ta parameter edina, ki bi jo morda želeli spremeniti: | ||||||||||
| 15 |
Kliknite Nadaljuj na zaslonu Ponastavi geslo računov storitev . Gesla za storitvene račune imajo devetmesečno življenjsko dobo. Ta zaslon uporabite, ko se bliža poteku vaših gesel ali jih želite ponastaviti, da razveljavite prejšnje datoteke ISO. | ||||||||||
| 16 |
Kliknite Prenesi datoteko ISO. Shranite datoteko na lokacijo, ki jo je enostavno najti. | ||||||||||
| 17 |
Naredite varnostno kopijo datoteke ISO v lokalnem sistemu. Varnostno kopijo ohranite varno. Ta datoteka vsebuje matični šifrirni ključ za vsebino zbirke podatkov. Omejite dostop samo na skrbnike hibridne varnosti podatkov, ki morajo opraviti spremembe konfiguracije. | ||||||||||
| 18 |
Če želite izklopiti orodje za nastavitev, vnesite |
Kaj storiti naslednje
Varnostno kopirajte konfiguracijsko datoteko ISO. Potrebujete ga, če želite ustvariti več vozlišč za obnovitev ali opraviti spremembe konfiguracije. Če izgubite vse kopije datoteke ISO, ste izgubili tudi matični ključ. Obnovitev ključev iz vaše zbirke podatkov PostgreSQL ali Microsoft SQL Server ni mogoča.
Nikoli nimamo kopije tega ključa in ne moremo pomagati, če ga izgubite.
Namestite OVA gostitelja HDS
| 1 |
Uporabite odjemalca VMware vSphere na svojem računalniku za prijavo v virtualni gostitelj ESXi. |
| 2 |
Izberite Datoteka > Uvedi predlogo OVF. |
| 3 |
V čarovniku določite lokacijo datoteke OVA, ki ste jo prej prenesli, in nato kliknite Naprej. |
| 4 |
Na strani Izberi ime in mapo vnesite ime navideznega stroja za vozlišče (na primer "HDS_Node_1"), izberite lokacijo, kjer lahko biva uvajanje vozlišča navideznega stroja, in nato kliknite Naprej. |
| 5 |
Na strani Izberite vir izračuna izberite ciljni vir za izračun in nato kliknite Naprej. Izvaja se preverjanje veljavnosti. Ko je končano, se prikažejo podrobnosti predloge. |
| 6 |
Preverite podrobnosti predloge in nato kliknite Naprej. |
| 7 |
Če ste pozvani, da izberete konfiguracijo vira na strani Konfiguracija , kliknite 4 CPU in nato kliknite Naprej. |
| 8 |
Na strani Izberi shrambo kliknite Naprej , da sprejmete privzeto obliko zapisa diska in pravilnik za shranjevanje VM. |
| 9 |
Na strani Izberi omrežja izberite možnost omrežja s seznama vnosov, da zagotovite želeno povezljivost z VM. |
| 10 |
Na strani Prilagodi predlogo konfigurirajte naslednje nastavitve omrežja:
Po želji lahko preskočite konfiguracijo nastavitev omrežja in sledite korakom v Nastavitev VM hibridne varnosti podatkov , da konfigurirate nastavitve iz konzole vozlišča. Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 7.0. Možnost morda ni na voljo v starejših različicah. |
| 11 |
Z desno tipko miške kliknite vozlišče VM in nato izberite . Programska oprema za hibridno varnost podatkov je nameščena kot gost na gostitelju VM. Zdaj ste se pripravljeni vpisati v konzolo in konfigurirati vozlišče. Nasveti za odpravljanje težav Morda bo prišlo do nekaj minut zamude, preden se prikažejo posode za vozlišče. Med prvim zagonom se na konzoli prikaže sporočilo požarnega zidu mostu, med katerim se ne morete vpisati. |
Nastavi VM hibridne varnosti podatkov
Ta postopek uporabite za prvi vpis v konzolo VM vozlišča hibridne varnosti podatkov in nastavite poverilnice za vpis. Konzolo lahko uporabite tudi za konfiguracijo omrežnih nastavitev za vozlišče, če jih niste konfigurirali v času uvajanja OVA.
| 1 |
V odjemalcu VMware vSphere izberite svoje vozlišče hibridne varnosti podatkov VM in izberite zavihek Konzola . VM se začne in pojavi se poziv za prijavo. Če se poziv za prijavo ne prikaže, pritisnite Enter.
|
| 2 |
Za vpis in spreminjanje poverilnic uporabite naslednje privzeto prijavo in geslo: Ker se prvič vpisujete v svoj VM, boste morali spremeniti geslo skrbnika. |
| 3 |
Če ste nastavitve omrežja že konfigurirali v razdelku Namesti OVA HDS gostitelja, preskočite preostanek postopka. V nasprotnem primeru v glavnem meniju izberite možnost Uredi konfiguracijo . |
| 4 |
Nastavite statično konfiguracijo z naslovom IP, masko, prehodom in informacijami DNS. Vaše vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt. |
| 5 |
(Izbirno) Spremenite ime gostitelja, domeno ali strežnik/-e NTP, če je to potrebno, da se ujema z vašim pravilnikom omrežja. Domene vam ni treba nastaviti tako, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509. |
| 6 |
Shranite konfiguracijo omrežja in znova zaženite VM, da bodo spremembe veljale. |
Naloži in priklopi ISO konfiguracije HDS
Preden začnete
Ker datoteka ISO vsebuje matični ključ, jo je treba izpostaviti le na podlagi potrebe po seznanitvi, za dostop do VM-jev za hibridno varnost podatkov in vseh skrbnikov, ki bodo morda morali opraviti spremembe. Zagotovite, da imajo dostop do shrambe podatkov samo tisti skrbniki.
| 1 |
Naložite datoteko ISO s svojega računalnika: |
| 2 |
Priklopi datoteko ISO: |
Kaj storiti naslednje
Če to zahteva vaš pravilnik za IT, lahko po izbiri odklopite datoteko ISO, ko vsa vaša vozlišča prevzamejo spremembe konfiguracije. Za več podrobnosti glejte (izbirno) možnost Odklopi priklop ISO po konfiguraciji HDS.
Konfigurirajte vozlišče HDS za integracijo proxy
Če omrežno okolje zahteva proxy, uporabite ta postopek, da določite vrsto proxy, ki ga želite integrirati s hibridno varnostjo podatkov. Če izberete pregleden proxy za pregledovanje ali eksplicitni proxy HTTPS, lahko uporabite vmesnik vozlišča za nalaganje in namestitev korenskega potrdila. Prav tako lahko preverite povezavo proxy iz vmesnika in odpravite morebitne težave.
Preden začnete
-
Glejte Podpora proxy za pregled podprtih možnosti proxy.
| 1 |
Vnesite URL za nastavitev vozlišča HDS |
| 2 |
Pojdite v Shrambo zaupanja in proxy in nato izberite možnost:
Sledite naslednjim korakom za pregleden proxy za preverjanje, za eksplicitni proxy HTTP z osnovnim preverjanjem pristnosti ali za eksplicitni proxy HTTPS. |
| 3 |
Kliknite Naloži korensko potrdilo ali potrdilo končnega subjekta, nato pa se pomaknite do izbire korenskega potrdila za proxy. Potrdilo je naloženo, vendar še ni nameščeno, ker morate za namestitev potrdila znova zagnati vozlišče. Kliknite puščico chevron ob imenu izdajatelja potrdila, če želite več podrobnosti, ali kliknite Izbriši , če ste naredili napako in želite znova naložiti datoteko. |
| 4 |
Kliknite Preveri povezavo proxy , če želite preskusiti omrežno povezljivost med vozliščem in strežnikom proxy. Če preskus povezave ni uspešen, boste videli sporočilo o napaki, ki prikazuje razlog in način, kako lahko odpravite težavo. Če vidite sporočilo, da zunanja ločljivost DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS. Ta pogoj je pričakovan v številnih eksplicitnih konfiguracijah proxy. Lahko nadaljujete z nastavitvijo in vozlišče bo delovalo v blokiranem načinu ločljivosti DNS. Če menite, da je to napaka, dokončajte te korake in si oglejte možnost Izklopi blokiran način ločljivosti zunanjega DNS. |
| 5 |
Ko je preskus povezave uspešno izveden, za eksplicitni proxy, ki je nastavljen samo na https, vklopite preklop, da Preusmerite vse zahteve vrat 443/444 https iz tega vozlišča prek eksplicitnega proxy. Ta nastavitev začne veljati po 15 sekundah. |
| 6 |
Kliknite Namesti vsa potrdila v shrambo zaupanja (na voljo je za eksplicitni proxy HTTPS ali pregleden proxy za preverjanje) ali Ponovni zagon (na voljo je za eksplicitni proxy HTTP), preberite poziv in nato kliknite Namesti , če ste pripravljeni. Vozlišče se ponovno zažene v nekaj minutah. |
| 7 |
Po ponovnem zagonu vozlišča se po potrebi znova vpišite in nato odprite stran Pregled , da preverite preverjanja povezljivosti, da se prepričate, da so vsi v zelenem stanju. Preverjanje povezave s strežnikom proxy preskusi samo poddomeno webex.com. Če imate težave s povezljivostjo, je pogosta težava v tem, da so nekatere domene v oblaku, navedene v navodilih za namestitev, blokirane na strežniku proxy. |
Registrirajte prvo vozlišče v gruči
Ko registrirate svoje prvo vozlišče, ustvarite gručo, ki ji je dodeljeno vozlišče. Gruča vsebuje eno ali več vozlišč, nameščenih za zagotavljanje redundance.
Preden začnete
-
Ko začnete registrirati vozlišče, ga morate dokončati v 60 minutah ali pa morate začeti znova.
-
Prepričajte se, da so vsi pojavni blokatorji v vašem brskalniku onemogočeni ali da dovolite izjemo za admin.webex.com.
| 1 |
Vpišite se v https://admin.webex.com. |
| 2 |
V meniju na levi strani zaslona izberite Storitve. |
| 3 |
V razdelku Storitve v oblaku poiščite kartico hibridne varnosti podatkov in kliknite Nastavi. |
| 4 |
Na strani, ki se odpre, kliknite Dodaj vir. |
| 5 |
V prvem polju Dodaj kartico vozlišča vnesite ime za gručo, ki jo želite dodeliti svoje vozlišče hibridne varnosti podatkov. Priporočamo vam, da poimenujete gručo glede na to, kje so vozlišča gruče geografsko. Primeri: "San Francisco" ali "New York" ali "Dallas" |
| 6 |
V drugem polju vnesite interni naslov IP ali popolnoma določeno ime domene (FQDN) svojega vozlišča in kliknite Dodaj na dnu zaslona. Ta naslov IP ali FQDN se mora ujemati z naslovom IP ali imenom gostitelja in domeno, ki ste jo uporabili v razdelku Nastavitev VM hibridne varnosti podatkov. Prikaže se sporočilo, da lahko registrirate svoje vozlišče v Webex.
|
| 7 |
Kliknite Pojdi na vozlišče. Čez nekaj trenutkov boste preusmerjeni na preskuse povezljivosti vozlišča za storitve Webex. Če so vsi preskusi uspešni, se prikaže stran Dovoli dostop do vozlišča hibridne varnosti podatkov. Tam potrdite, da želite svoji organizaciji Webex podeliti dovoljenja za dostop do vašega vozlišča. |
| 8 |
Označite potrditveno polje Dovoli dostop do svojega vozlišča hibridne varnosti podatkov in nato kliknite Nadaljuj. Vaš račun je preverjen in sporočilo "Dokončaj registracijo" navaja, da je vaše vozlišče zdaj registrirano v oblaku Webex.
|
| 9 |
Kliknite povezavo ali zaprite zavihek, da se vrnete na stran s hibridno varnostjo podatkov Partner Hub. Na strani Hibridna varnost podatkov je nova gruča, ki vsebuje vozlišče, ki ste ga registrirali, prikazana v zavihku Viri . Vozlišče bo samodejno preneslo najnovejšo programsko opremo iz oblaka.
|
Ustvarite in registrirajte več vozlišč
Preden začnete
-
Ko začnete registrirati vozlišče, ga morate dokončati v 60 minutah ali pa morate začeti znova.
-
Prepričajte se, da so vsi pojavni blokatorji v vašem brskalniku onemogočeni ali da dovolite izjemo za admin.webex.com.
| 1 |
Ustvarite nov navidezni stroj iz OVA in ponovite korake v Namestitev OVA gostitelja HDS. |
| 2 |
Nastavite začetno konfiguracijo na novem VM in ponovite korake v Nastavi VM hibridne varnosti podatkov. |
| 3 |
V novem VM ponovite korake v Naloži in namesti ISO konfiguracije HDS. |
| 4 |
Če nastavljate proxy za svoje uvajanje, ponovite korake v Konfiguriraj vozlišče HDS za integracijo proxy , kot je potrebno za novo vozlišče. |
| 5 |
Registrirajte vozlišče. |
Upravljanje organizacij najemnikov na hibridni varnosti podatkov z več najemniki
Aktivirajte HDS z več najemniki v Partner Hub
To opravilo zagotavlja, da lahko vsi uporabniki organizacij strank začnejo uporabljati HDS za šifrirne ključe v podjetju in druge varnostne storitve.
Preden začnete
Prepričajte se, da ste dokončali nastavitev gruče HDS z več najemniki z zahtevanim številom vozlišč.
| 1 |
Vpišite se v https://admin.webex.com. |
| 2 |
V meniju na levi strani zaslona izberite Storitve. |
| 3 |
V razdelku Storitve v oblaku poiščite hibridno varnost podatkov in kliknite Uredi nastavitve. |
| 4 |
Kliknite Aktiviraj HDS na kartici stanja HDS . |
Dodaj organizacije najemnikov v Partner Hub
V tem opravilu dodelite organizacije strank svoji gruči hibridne varnosti podatkov.
| 1 |
Vpišite se v https://admin.webex.com. |
| 2 |
V meniju na levi strani zaslona izberite Storitve. |
| 3 |
V razdelku Storitve v oblaku poiščite hibridno varnost podatkov in kliknite Ogled vseh. |
| 4 |
Kliknite gručo, ki ji želite dodeliti stranko. |
| 5 |
Pojdite v zavihek Dodeljene stranke . |
| 6 |
Kliknite Dodaj stranke. |
| 7 |
Izberite stranko, ki jo želite dodati v spustnem meniju. |
| 8 |
Kliknite Dodaj, stranka bo dodana v gručo. |
| 9 |
Ponovite korake 6 do 8, če želite v svojo gručo dodati več strank. |
| 10 |
Kliknite Končano na dnu zaslona, ko dodate stranke. |
Kaj storiti naslednje
Ustvarite glavne ključe stranke (CMK) z orodjem za nastavitev HDS
Preden začnete
Dodelite stranke ustrezni gruči, kot je podrobno opisano v Dodaj organizacije najemnikov v Partner Hub. Zaženite orodje za nastavitev HDS, da dokončate postopek nastavitve za na novo dodane organizacije strank.
-
Orodje za nastavitev HDS se uporablja kot vsebnik Docker na lokalnem računalniku. Če želite dostopati, zaženite Docker na tem stroju. Postopek nastavitve zahteva poverilnice računa Partner Hub s polnimi skrbniškimi pravicami za vašo organizacijo.
Če orodje za nastavitev HDS deluje za proxy v vašem okolju, zagotovite nastavitve proxy (strežnik, vrata, poverilnice) prek spremenljivk okolja Docker, ko dvignete vsebnik Docker v koraku 5. The list of possible environment variables:
Opis
Spremenljivka
Proxy HTTP brez preverjanja pristnosti
GLOBALNI_POSREDNIK_HTTP_PROXY=http://STREŽNIK_IP:VRATAProxy HTTPS brez preverjanja pristnosti
GLOBALNI_POSREDNIK_HTTPS_PROXY=http://STREŽNIK_IP:VRATAProxy HTTP s preverjanjem pristnosti
GLOBALNI_POSREDNIK_HTTP_PROXY=http://USERNAME:PASSWORD@STREŽNIK_IP:VRATAProxy HTTPS s preverjanjem pristnosti
GLOBALNI_POSREDNIK_HTTPS_PROXY=http://USERNAME:PASSWORD@STREŽNIK_IP:PORT -
Konfiguracijska datoteka ISO, ki jo ustvarite, vsebuje matični ključ, ki šifrira zbirko podatkov PostgreSQL ali Microsoft SQL Server. Najnovejšo kopijo te datoteke potrebujete, kadar opravite spremembe konfiguracije, kot so:
-
Poverilnice zbirke podatkov
-
Posodobitve potrdila
-
Spremembe pravilnika o pooblastitvi
-
-
Če nameravate šifrirati povezave zbirk podatkov, nastavite uvajanje PostgreSQL ali SQL Server za TLS.
Postopek nastavitve hibridne varnosti podatkov ustvari datoteko ISO. Nato uporabite ISO, da konfigurirate gostitelja hibridne varnosti podatkov.
| 1 |
V ukazni vrstici vašega računalnika vnesite ustrezen ukaz za vaše okolje: V rednih okoljih: V okoljih FedRAMP: Ta korak počisti prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete. |
| 2 |
Če se želite vpisati v register slik Docker, vnesite naslednje: |
| 3 |
Ob pozivu k geslu vnesite to hash: |
| 4 |
Prenesite najnovejšo stabilno sliko za svoje okolje: V rednih okoljih: V okoljih FedRAMP: |
| 5 |
Ko je vlečenje končano, vnesite ustrezen ukaz za vaše okolje:
Ko vsebnik deluje, vidite »Strežnik Express posluša vrata 8080«. |
| 6 |
Orodje za nastavitev ne podpira povezave z krajevnim gostiteljem prek http://localhost:8080. Uporabite http://127.0.0.1:8080 za povezavo z lokalnim gostiteljem. S spletnim brskalnikom pojdite na lokalnega gostitelja Orodje uporablja ta prvi vnos uporabniškega imena za nastavitev ustreznega okolja za ta račun. Orodje nato prikaže standardni poziv za vpis. |
| 7 |
Ob pozivu vnesite poverilnice za vpis skrbnika Partner Hub in nato kliknite Prijava , da omogočite dostop do zahtevanih storitev za hibridno varnost podatkov. |
| 8 |
Na strani s pregledom orodja za nastavitev kliknite Začni. |
| 9 |
Na strani Uvoz ISO kliknite Da. |
| 10 |
Izberite datoteko ISO v brskalniku in jo naložite. Za izvajanje upravljanja CMK zagotovite povezljivost s svojo zbirko podatkov. |
| 11 |
Pojdite v zavihek Upravljanje CMK najemnika , kjer boste našli naslednje tri načine upravljanja CMK najemnika.
|
| 12 |
Ko je ustvarjanje CMK uspešno, se bo stanje v tabeli spremenilo iz upravljanja CMK na čakanju v upravljanje CMK. |
| 13 |
Če ustvarjanje CMK ni uspešno, bo prikazana napaka. |
Odstrani organizacije najemnikov
Preden začnete
Ko je enkrat odstranjen, uporabniki organizacij strank ne bodo mogli izkoristiti HDS za svoje potrebe šifriranja in bodo izgubili vse obstoječe prostore. Preden odstranite organizacije strank, se obrnite na svojega partnerja Cisco ali skrbnika računa.
| 1 |
Vpišite se v https://admin.webex.com. |
| 2 |
V meniju na levi strani zaslona izberite Storitve. |
| 3 |
V razdelku Storitve v oblaku poiščite hibridno varnost podatkov in kliknite Ogled vseh. |
| 4 |
V zavihku Viri kliknite gručo, iz katere želite odstraniti organizacije strank. |
| 5 |
Na strani, ki se odpre, kliknite Dodeljene stranke. |
| 6 |
Na seznamu organizacij strank, ki se prikaže, kliknite ... na desni strani organizacije stranke, ki jo želite odstraniti, in kliknite Odstrani iz gruče. |
Kaj storiti naslednje
Dokončajte postopek odstranitve z razveljavitvijo CMK organizacij strank, kot je podrobno opisano v Prekliči CMK najemnikov, odstranjenih iz HDS.
Prekličite CMK najemnikov, odstranjenih iz HDS.
Preden začnete
Odstranite stranke iz ustrezne gruče, kot je podrobno opisano v Odstrani organizacije najemnikov. Zaženite orodje za nastavitev HDS, da dokončate postopek odstranitve za organizacije strank, ki so bile odstranjene.
-
Orodje za nastavitev HDS se uporablja kot vsebnik Docker na lokalnem računalniku. Če želite dostopati, zaženite Docker na tem stroju. Postopek nastavitve zahteva poverilnice računa Partner Hub s polnimi skrbniškimi pravicami za vašo organizacijo.
Če orodje za nastavitev HDS deluje za proxy v vašem okolju, zagotovite nastavitve proxy (strežnik, vrata, poverilnice) prek spremenljivk okolja Docker, ko dvignete vsebnik Docker v koraku 5. The list of possible environment variables:
Opis
Spremenljivka
Proxy HTTP brez preverjanja pristnosti
GLOBALNI_POSREDNIK_HTTP_PROXY=http://STREŽNIK_IP:VRATAProxy HTTPS brez preverjanja pristnosti
GLOBALNI_POSREDNIK_HTTPS_PROXY=http://STREŽNIK_IP:VRATAProxy HTTP s preverjanjem pristnosti
GLOBALNI_POSREDNIK_HTTP_PROXY=http://USERNAME:PASSWORD@STREŽNIK_IP:VRATAProxy HTTPS s preverjanjem pristnosti
GLOBALNI_POSREDNIK_HTTPS_PROXY=http://USERNAME:PASSWORD@STREŽNIK_IP:PORT -
Konfiguracijska datoteka ISO, ki jo ustvarite, vsebuje matični ključ, ki šifrira zbirko podatkov PostgreSQL ali Microsoft SQL Server. Najnovejšo kopijo te datoteke potrebujete, kadar opravite spremembe konfiguracije, kot so:
-
Poverilnice zbirke podatkov
-
Posodobitve potrdila
-
Spremembe pravilnika o pooblastitvi
-
-
Če nameravate šifrirati povezave zbirk podatkov, nastavite uvajanje PostgreSQL ali SQL Server za TLS.
Postopek nastavitve hibridne varnosti podatkov ustvari datoteko ISO. Nato uporabite ISO, da konfigurirate gostitelja hibridne varnosti podatkov.
| 1 |
V ukazni vrstici vašega računalnika vnesite ustrezen ukaz za vaše okolje: V rednih okoljih: V okoljih FedRAMP: Ta korak počisti prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete. |
| 2 |
Če se želite vpisati v register slik Docker, vnesite naslednje: |
| 3 |
Ob pozivu k geslu vnesite to hash: |
| 4 |
Prenesite najnovejšo stabilno sliko za svoje okolje: V rednih okoljih: V okoljih FedRAMP: |
| 5 |
Ko je vlečenje končano, vnesite ustrezen ukaz za vaše okolje:
Ko vsebnik deluje, vidite »Strežnik Express posluša vrata 8080«. |
| 6 |
Orodje za nastavitev ne podpira povezave z krajevnim gostiteljem prek http://localhost:8080. Uporabite http://127.0.0.1:8080 za povezavo z lokalnim gostiteljem. S spletnim brskalnikom pojdite na lokalnega gostitelja Orodje uporablja ta prvi vnos uporabniškega imena za nastavitev ustreznega okolja za ta račun. Orodje nato prikaže standardni poziv za vpis. |
| 7 |
Ob pozivu vnesite poverilnice za vpis skrbnika Partner Hub in nato kliknite Prijava , da omogočite dostop do zahtevanih storitev za hibridno varnost podatkov. |
| 8 |
Na strani s pregledom orodja za nastavitev kliknite Začni. |
| 9 |
Na strani Uvoz ISO kliknite Da. |
| 10 |
Izberite datoteko ISO v brskalniku in jo naložite. |
| 11 |
Pojdite v zavihek Upravljanje CMK najemnika , kjer boste našli naslednje tri načine upravljanja CMK najemnika.
|
| 12 |
Ko je razveljavitev CMK uspešna, organizacija stranke ne bo več prikazana v tabeli. |
| 13 |
Če razveljavitev CMK ni uspešna, bo prikazana napaka. |
Preizkusite uvajanje hibridne varnosti podatkov
Preizkusite uvajanje hibridne varnosti podatkov
Preden začnete
-
Nastavite uvajanje hibridne varnosti podatkov z več najemniki.
-
Zagotovite, da imate dostop do syslog, da preverite, ali se ključne zahteve prenašajo v vaše uvajanje hibridne varnosti podatkov z več najemniki.
| 1 |
Tipke za dani prostor nastavi ustvarjalec prostora. Vpišite se v aplikacijo Webex kot eden od uporabnikov organizacije stranke in nato ustvarite prostor. Če deaktivirate uvajanje hibridne varnosti podatkov, vsebina v prostorih, ki jih ustvarijo uporabniki, po zamenjavi kopij šifrirnih ključev v predpomnilniku odjemalca ne bo več dostopna. |
| 2 |
Pošljite sporočila v nov prostor. |
| 3 |
Oglejte si izhod syslog, da preverite, ali ključne zahteve prehajajo v vaše uvajanje hibridne varnosti podatkov. |
Spremljaj zdravje hibridne varnosti podatkov
| 1 |
V zvezdišču Partner Hub v meniju na levi strani zaslona izberite Storitve . |
| 2 |
V razdelku Storitve v oblaku poiščite hibridno varnost podatkov in kliknite Uredi nastavitve. Prikaže se stran z nastavitvami hibridne varnosti podatkov.
|
| 3 |
V razdelku E-poštna obvestila vnesite enega ali več e-poštnih naslovov, ločenih z vejicami, in pritisnite Enter. |
Upravljajte svojo uvajanje HDS
Upravljanje uvajanja HDS
Uporabite tukaj opisana opravila za upravljanje uvajanja hibridne varnosti podatkov.
Nastavi razpored nadgradnje gruče
Če želite nastaviti razpored nadgradnje:
| 1 |
Vpišite se v Partner Hub. |
| 2 |
V meniju na levi strani zaslona izberite Storitve. |
| 3 |
V razdelku Storitve v oblaku poiščite hibridno varnost podatkov in kliknite Nastavi |
| 4 |
Na strani Viri hibridne varnosti podatkov izberite gručo. |
| 5 |
Kliknite zavihek Nastavitve gruče . |
| 6 |
Na strani Nastavitve gruče v razdelku Razpored nadgradnje izberite čas in časovni pas za razpored nadgradnje. Opomba: V časovnem pasu sta prikazana naslednja razpoložljiva datum in ura nadgradnje. Nadgradnjo lahko po potrebi prestavite na naslednji dan, tako da kliknete Preloži za 24 ur. |
Spremeni konfiguracijo vozlišča
-
Spreminjanje potrdil x.509 zaradi poteka ali drugih razlogov.
Ne podpiramo spreminjanja imena domene CN potrdila. Domena se mora ujemati z izvirno domeno, ki je bila uporabljena za registracijo gruče.
-
Posodabljanje nastavitev zbirke podatkov za spremembo v kopijo zbirke podatkov PostgreSQL ali Microsoft SQL Server.
Ne podpiramo selitve podatkov iz PostgreSQL v Microsoft SQL Server ali obratno. Če želite preklopiti okolje zbirke podatkov, začnite novo uvajanje hibridne varnosti podatkov.
-
Ustvarjanje nove konfiguracije za pripravo novega podatkovnega središča.
Hibridna varnost podatkov za varnostne namene uporablja tudi gesla storitvenih računov, ki trajajo devet mesecev. Ko orodje za nastavitev HDS ustvari ta gesla, jih namestite v vsako od vaših vozlišč HDS v konfiguracijski datoteki ISO. Ko se bliža preteku gesel vaše organizacije, boste od ekipe Webex prejeli obvestilo o ponastavitvi gesla za vaš strojni račun. (E-poštno sporočilo vključuje besedilo »Uporabite API strojnega računa za posodobitev gesla«) Če vaša gesla še niso potekla, vam orodje ponuja dve možnosti:
-
Mehka ponastavitev– Tako stara kot nova gesla delujeta do 10 dni. Uporabite to obdobje za postopno zamenjavo datoteke ISO na vozliščih.
-
Težka ponastavitev– Stara gesla takoj prenehajo delovati.
Če vaša gesla potečejo brez ponastavitve, to vpliva na vašo storitev HDS, kar zahteva takojšnjo trdo ponastavitev in zamenjavo datoteke ISO na vseh vozliščih.
S tem postopkom ustvarite novo datoteko ISO konfiguracije in jo uporabite v svoji gruči.
Preden začnete
-
Orodje za nastavitev HDS se uporablja kot vsebnik Docker na lokalnem računalniku. Če želite dostopati, zaženite Docker na tem stroju. Postopek nastavitve zahteva poverilnice računa Partner Hub s skrbniškimi pravicami partnerja .
Če se orodje za nastavitev HDS v vašem okolju uporablja za proxy, zagotovite nastavitve proxy (strežnik, vrata, poverilnice) prek spremenljivk okolja Docker, ko nastavite vsebnik Docker v 1.e. The list of possible environment variables:
Opis
Spremenljivka
Proxy HTTP brez preverjanja pristnosti
GLOBALNI_POSREDNIK_HTTP_PROXY=http://STREŽNIK_IP:VRATAProxy HTTPS brez preverjanja pristnosti
GLOBALNI_POSREDNIK_HTTPS_PROXY=http://STREŽNIK_IP:VRATAProxy HTTP s preverjanjem pristnosti
GLOBALNI_POSREDNIK_HTTP_PROXY=http://USERNAME:PASSWORD@STREŽNIK_IP:VRATAProxy HTTPS s preverjanjem pristnosti
GLOBALNI_POSREDNIK_HTTPS_PROXY=http://USERNAME:PASSWORD@STREŽNIK_IP:PORT -
Za ustvarjanje nove konfiguracije potrebujete kopijo datoteke ISO trenutne konfiguracije. ISO vsebuje glavni ključ, ki šifrira zbirko podatkov PostgreSQL ali Microsoft SQL Server. Ko opravite spremembe konfiguracije, vključno s poverilnicami zbirke podatkov, posodobitvami potrdil ali spremembami pravilnika pooblastitve, potrebujete ISO.
| 1 |
Če uporabljate Docker na lokalnem računalniku, zaženite orodje za nastavitev HDS. |
| 2 |
Če deluje samo eno vozlišče HDS, ustvarite novo vozlišče hibridne varnosti podatkov VM in ga registrirajte z novo konfiguracijsko datoteko ISO. Za podrobnejša navodila glejte Ustvari in registriraj več vozlišč. |
| 3 |
Za obstoječa vozlišča HDS, ki poganjajo starejšo konfiguracijsko datoteko, namestite datoteko ISO. V zameno izvedite naslednji postopek na vsakem vozlišču in posodobite vsako vozlišče, preden izklopite naslednje vozlišče: |
| 4 |
Ponovite 3. korak, da zamenjate konfiguracijo na vsakem preostalem vozlišču, ki izvaja staro konfiguracijo. |
Izklopite blokiran način ločljivosti zunanjega DNS
Ko registrirate vozlišče ali preverite konfiguracijo proxy vozlišča, proces preskusi iskanje DNS in povezljivost z oblakom Cisco Webex. Če strežnik DNS vozlišča ne more razrešiti javnih imen DNS, se vozlišče samodejno preklopi v blokiran način ločljivosti zunanjega DNS.
Če lahko vaša vozlišča razrešijo javna imena DNS prek notranjih strežnikov DNS, lahko ta način izklopite tako, da znova zaženete preskus povezave proxy na vsakem vozlišču.
Preden začnete
| 1 |
V spletnem brskalniku odprite vmesnik vozlišča hibridne varnosti podatkov (naslov/nastavitev IP, na primer https://192.0.2.0/setup), vnesite skrbniške poverilnice, ki ste jih nastavili za vozlišče, in nato kliknite Vpis. |
| 2 |
Pojdite v zavihek Pregled (privzeta stran). Ko je omogočena, je blokirana zunanja ločljivost DNS nastavljena na Da. |
| 3 |
Pojdite na stran Trgovina zaupanja in proxy . |
| 4 |
Kliknite Preveri povezavo proxy. Če vidite sporočilo, da zunanja ločljivost DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS in bo ostalo v tem načinu. V nasprotnem primeru bo po ponovnem zagonu vozlišča in vrnitvi na stran Pregled blokirana zunanja ločljivost DNS nastavljena na »Ne«. |
Kaj storiti naslednje
Odstrani vozlišče
| 1 |
Uporabite odjemalca VMware vSphere na svojem računalniku, da se prijavite v virtualni gostitelj ESXi in izklopite navidezni stroj. |
| 2 |
Odstrani vozlišče: |
| 3 |
v odjemalcu vSphere izbrišite VM. (V levem podoknu za krmarjenje z desno tipko miške kliknite VM in kliknite Izbriši.) Če ne izbrišete VM, ne pozabite odklopiti konfiguracijske datoteke ISO. Brez datoteke ISO ne morete uporabiti VM za dostop do svojih varnostnih podatkov. |
Obnovitev po katastrofi z uporabo podatkovnega središča v stanju pripravljenosti
Najbolj kritična storitev, ki jo zagotavlja vaša gruča za hibridno varnost podatkov, je ustvarjanje in shranjevanje ključev, ki se uporabljajo za šifriranje sporočil in druge vsebine, shranjene v oblaku Webex. Za vsakega uporabnika znotraj organizacije, ki je dodeljen hibridni varnosti podatkov, so nove zahteve za ustvarjanje ključa usmerjene v gručo. Gruča je odgovorna tudi za vrnitev ustvarjenih ključev kateremu koli uporabniku, ki je pooblaščen za njihovo pridobivanje, na primer članom prostora za pogovor.
Ker gruča opravlja kritično funkcijo zagotavljanja teh ključev, je nujno, da gruča še naprej teče in da se ohranijo ustrezne varnostne kopije. Izguba zbirke podatkov o hibridni varnosti podatkov ali konfiguracije ISO, ki se uporablja za shemo, bo povzročila NEPOPRAVLJIVO IZGUBO vsebine stranke. Za preprečitev take izgube so obvezne naslednje prakse:
Če nesreča povzroči, da uvajanje HDS v primarnem podatkovnem središču ni na voljo, sledite temu postopku in ročno preklopite na podatkovni center v stanju pripravljenosti.
Preden začnete
| 1 |
Zaženite orodje za nastavitev HDS in sledite korakom, navedenim v Ustvari konfiguracijo ISO za gostitelje HDS. |
| 2 |
Dokončajte postopek konfiguracije in shranite datoteko ISO na lokacijo, ki jo je enostavno najti. |
| 3 |
Naredite varnostno kopijo datoteke ISO v lokalnem sistemu. Varnostno kopijo ohranite varno. Ta datoteka vsebuje matični šifrirni ključ za vsebino zbirke podatkov. Omejite dostop samo na skrbnike hibridne varnosti podatkov, ki morajo opraviti spremembe konfiguracije. |
| 4 |
V levem podoknu za krmarjenje odjemalca VMware vSphere z desno tipko miške kliknite VM in kliknite Uredi nastavitve. |
| 5 |
Kliknite Uredi nastavitve >Pogon CD/DVD 1 in izberite Datoteka ISO shrambe podatkov. Preverite, ali sta možnost Connected in Connect at power označena, da lahko posodobljene spremembe konfiguracije začnejo veljati po zagonu vozlišč. |
| 6 |
Vklopite vozlišče HDS in poskrbite, da vsaj 15 minut ni alarmov. |
| 7 |
Registrirajte vozlišče v Partner Hub. Glejte Registrirajte prvo vozlišče v gruči. |
| 8 |
Ponovite postopek za vsako vozlišče v podatkovnem središču v stanju pripravljenosti. |
Kaj storiti naslednje
(Izbirno) Odklopite ISO po konfiguraciji HDS
Standardna konfiguracija HDS deluje z nameščenim ISO. Vendar pa nekatere stranke raje ne pustijo datotek ISO stalno nameščenih. Ko bodo vsa vozlišča HDS prevzela novo konfiguracijo, lahko odklopite datoteko ISO.
Za spremembo konfiguracije še vedno uporabljate datoteke ISO. Ko ustvarite nov ISO ali posodobite ISO prek orodja za nastavitev, morate posodobljen ISO namestiti na vsa vozlišča HDS. Ko vsa vaša vozlišča prevzamejo spremembe konfiguracije, lahko s tem postopkom znova odklopite ISO.
Preden začnete
Nadgradite vsa svoja vozlišča HDS na različico 2021.01.22.4720 ali novejšo.
| 1 |
Izklopite eno od vozlišč HDS. |
| 2 |
V napravi strežnika vCenter izberite vozlišče HDS. |
| 3 |
Izberite in počistite Datoteka ISO podatkovne zbirke. |
| 4 |
Vklopite vozlišče HDS in zagotovite, da ni alarmov vsaj 20 minut. |
| 5 |
Nato ponovite za vsako vozlišče HDS. |
Odpravljanje težav s hibridno varnostjo podatkov
Ogled opozoril in odpravljanje težav
Uvajanje hibridne varnosti podatkov se šteje za nerazpoložljivo, če so vsa vozlišča v gruči nedosegljiva ali če gruča deluje tako počasi, da zahteva časovno omejitev. Če uporabniki ne morejo doseči gruče hibridne varnosti podatkov, imajo naslednje simptome:
-
Novih prostorov ni mogoče ustvariti (novih ključev ni mogoče ustvariti)
-
Sporočil in naslovov prostorov ni bilo mogoče dešifrirati za:
-
Novi uporabniki, dodani v prostor (ni mogoče pridobiti tipk)
-
Obstoječi uporabniki v prostoru, ki uporabljajo novega odjemalca (ni mogoče pridobiti ključev)
-
-
Obstoječi uporabniki v prostoru bodo še naprej uspešno delovali, dokler imajo njihovi odjemalci predpomnilnik šifrirnih ključev.
Pomembno je, da ustrezno spremljate svojo gručo hibridne varnosti podatkov in se takoj odzovete na morebitna opozorila, da se izognete motnjam storitev.
Opozorila
Če imate težave z nastavitvijo hibridne varnosti podatkov, Partner Hub prikaže opozorila skrbniku organizacije in pošlje e-poštna sporočila na konfiguriran e-poštni naslov. Opozorila zajemajo številne skupne scenarije.
|
Opozori |
Dejanje |
|---|---|
|
Napaka pri dostopu do lokalne zbirke podatkov. |
Preverite napake zbirke podatkov ali težave z lokalnim omrežjem. |
|
Napaka v povezavi z lokalno zbirko podatkov. |
Preverite, ali je strežnik zbirke podatkov na voljo in ali so bile v konfiguraciji vozlišča uporabljene prave poverilnice storitvenega računa. |
|
Napaka pri dostopu do storitev v oblaku. |
Preverite, ali imajo vozlišča dostop do strežnikov Webex, kot je določeno v zahtevah za zunanjo povezljivost. |
|
Obnovitev registracije storitve v oblaku. |
Registracija v storitve v oblaku je bila prekinjena. Podaljšanje registracije je v teku. |
|
Registracija storitve v oblaku je bila prekinjena. |
Registracija v storitve v oblaku je bila prekinjena. Storitev se izklaplja. |
|
Storitev še ni aktivirana. |
Aktivirajte HDS v Partner Hub. |
|
Konfigurirana domena se ne ujema s strežniškim potrdilom. |
Vaše strežniško potrdilo se mora ujemati s konfigurirano domeno za aktiviranje storitve. Najverjetnejši vzrok je, da je bil certifikat CN nedavno spremenjen in se zdaj razlikuje od CN, ki je bil uporabljen med začetno nastavitvijo. |
|
Pristnosti storitev v oblaku ni bilo mogoče preveriti. |
Preverite točnost in možen potek poverilnic storitvenega računa. |
|
Odpiranje lokalne datoteke s tipkovnico ni uspelo. |
Preverite integriteto in točnost gesla v lokalni datoteki s tipkovnico. |
|
Potrdilo lokalnega strežnika ni veljavno. |
Preverite datum poteka potrdila strežnika in potrdite, da ga je izdal zaupanja vreden Certificate Authority. |
|
Ni mogoče objaviti metrike. |
Preverite dostop lokalnega omrežja do zunanjih storitev v oblaku. |
|
/media/configdrive/hds directory ne obstaja. |
Preverite konfiguracijo priklopa ISO na navideznem gostitelju. Preverite, ali datoteka ISO obstaja, ali je konfigurirana za ponovni zagon in ali se uspešno priklopi. |
|
Nastavitev organizacije najemnika ni dokončana za dodane organizacije |
Dokončajte nastavitev z ustvarjanjem CMK za na novo dodane organizacije najemnikov z orodjem za nastavitev HDS. |
|
Nastavitev organizacije najemnika ni dokončana za odstranjene organizacije |
Dokončajte nastavitev z razveljavitvijo CMK organizacij najemnikov, ki so bile odstranjene z orodjem za nastavitev HDS. |
Odpravljanje težav s hibridno varnostjo podatkov
| 1 |
Preglejte Partner Hub glede morebitnih opozoril in popravite morebitne elemente, ki jih najdete tam. Oglejte si spodnjo sliko za referenco. |
| 2 |
Preglejte izhod strežnika syslog za dejavnost iz uvajanja hibridne varnosti podatkov. Filtrirajte za besede, kot sta »Opozorilo« in »Napaka«, da pomagate pri odpravljanju težav. |
| 3 |
Stopite v stik s podporo podjetja Cisco. |
Druge opombe
Znane težave za hibridno varnost podatkov
-
Če zaprete gručo hibridne varnosti podatkov (tako, da jo izbrišete v Partner Hub ali zaprete vsa vozlišča), izgubite konfiguracijsko datoteko ISO ali izgubite dostop do zbirke podatkov shrambe tipk, uporabniki aplikacije Webex v organizacijah strank ne morejo več uporabljati prostorov na svojem seznamu oseb, ki so bili ustvarjeni s ključi iz vašega KMS. Trenutno nimamo opravka ali rešitve za to težavo in vas pozivamo, da ne zaustavite storitev HDS, ko obravnavajo aktivne uporabniške račune.
-
Odjemalec, ki ima obstoječo povezavo ECDH s KMS, to povezavo vzdržuje za nekaj časa (verjetno eno uro).
Uporabite OpenSSL za ustvarjanje datoteke PKCS12
Preden začnete
-
OpenSSL je eno orodje, ki ga lahko uporabimo za izdelavo datoteke PKCS12 v ustrezni obliki za nalaganje v orodju za nastavitev HDS. Obstajajo tudi drugi načini za to in ne podpiramo ali promoviramo enega preko drugega.
-
Če se odločite za uporabo OpenSSL, vam ta postopek ponujamo kot vodilo za ustvarjanje datoteke, ki izpolnjuje zahteve za potrdilo X.509 v zahtevah za potrdila X.509. Preden nadaljujete, razumete te zahteve.
-
Namestite OpenSSL v podprtem okolju. Glejte https://www.openssl.org programsko opremo in dokumentacijo.
-
Ustvarite zasebni ključ.
-
Ta postopek začnite, ko prejmete strežniško potrdilo od svojega Certificate Authority (CA).
| 1 |
Ko prejmete strežniško potrdilo od svojega CA, ga shranite kot |
| 2 |
Prikaži potrdilo kot besedilo in preverite podrobnosti.
|
| 3 |
Z urejevalnikom besedila ustvarite datoteko paketa potrdil, imenovano
|
| 4 |
Ustvarite datoteko .p12 s prijateljskim imenom
|
| 5 |
Preverite podrobnosti potrdila strežnika. |
Kaj storiti naslednje
Vrnite se, da dokončate predpogoje za hibridno varnost podatkov. Uporabili boste datoteko hdsnode.p12 in geslo, ki ste ga zanjo nastavili, v razdelku Ustvari konfiguracijo ISO za gostitelje HDS.
Te datoteke lahko znova uporabite, da zahtevate novo potrdilo, ko poteče prvotno potrdilo.
Promet med vozlišči HDS in oblakom
Promet zbiranja metrik odhodnega prometa
Vozlišča hibridne varnosti podatkov pošiljajo določene metrike v oblak Webex. Te vključujejo metrike sistema za največ kupe, uporabljeno kupe, obremenitev CPU in število niti; metrike o sinhroniziranih in asinhronih niti; metrike o opozorilih, ki vključujejo prag šifrirnih povezav, zakasnitve ali dolžine čakalne vrste za zahtevo; metrike o shrambi podatkov in metrike šifrirnih povezav. Vozlišča pošiljajo šifrirano gradivo s ključem prek kanala zunaj skupine (ločenega od zahteve).
Dohodni promet
Vozlišča hibridne varnosti podatkov prejmejo naslednje vrste dohodnega prometa iz oblaka Webex:
-
Zahteve za šifriranje od odjemalcev, ki jih usmerja šifrirna storitev
-
Nadgradnje programske opreme vozlišča
Konfigurirajte proxyje Squid za hibridno varnost podatkov
Websocket Se Ni Mogoče Povezati Prek Proxy Ligenja
Proxyji ligenja, ki pregledujejo promet HTTPS, lahko motijo vzpostavitev povezav websocket (wss:), ki jih zahteva hibridna varnost podatkov. Ta poglavja vsebujejo navodila, kako konfigurirati različne različice ligenja, da ignorira wss: promet za pravilno delovanje storitev.
Ligenj 4 in 5
Dodajte on_unsupported_protocol direktivo na squid.conf:
on_unsupported_protocol predor vseLigenj 3.5.27
Hibridno varnost podatkov smo uspešno preizkusili z naslednjimi pravili, ki so bila dodana squid.conf. Ta pravila se lahko spremenijo z razvojem funkcij in posodobitvijo oblaka Webex.
wssMercuryConnection ssl::Mercury server_name_regex -povezava ssl_bump splice wssMercuryConnection acl korak1 at_step SslBump1 acl korak2 at_step SslBump2 acl korak3 at_step SslBump3 ssl_bump pokukati korak1 vse ssl_bump stare korak2 vse ssl_bump bump3 vseNove in spremenjene informacije
Nove in spremenjene informacije
V tej tabeli so prikazane nove funkcije ali funkcionalnosti, spremembe obstoječe vsebine in vse večje napake, ki so bile odpravljene v Priročniku za uvajanje za hibridno varnost podatkov z več najemniki.
|
Datum |
Opravljene spremembe |
|---|---|
|
04. marec 2025 |
|
|
30. januar 2025 |
Dodana različica strežnika SQL 2022 na seznam podprtih strežnikov SQL v zahtevah strežnika zbirke podatkov. |
|
15. januar 2025 |
Dodane omejitve hibridne varnosti podatkov z več najemniki. |
|
08. januar 2025 |
V razdelku Izvedi začetno nastavitev in prenesi namestitvene datoteke je dodana opomba, v kateri je navedeno, da je klik Nastavi na kartici HDS v zvezdišču Partner Hub pomemben korak v postopku namestitve. |
|
07. januar 2025 |
Posodobljene zahteve virtualnega gostitelja, potek opravila uvajanja hibridne varnosti podatkov in Namestite OVA HDS gostitelja za prikaz nove zahteve ESXi 7.0. |
|
13. december 2024 |
Prvič objavljeno. |
Deaktiviraj hibridno varnost podatkov za več najemnikov
Potek opravila deaktivacije HDS z več najemniki
Sledite tem korakom, da popolnoma deaktivirate HDS z več najemniki.
Preden začnete
| 1 |
Odstranite vse stranke iz vseh svojih gruč, kot je navedeno v Odstrani organizacije najemnikov. |
| 2 |
Prekličite CMK vseh strank, kot je navedeno v Prekliči CMK najemnikov, odstranjenih iz HDS.. |
| 3 |
Odstranite vsa vozlišča iz vseh svojih gruč, kot je navedeno v Odstrani vozlišče. |
| 4 |
Izbrišite vse svoje gruče iz Partner Hub z enim od naslednjih dveh načinov.
|
| 5 |
Kliknite zavihek Nastavitve na strani s pregledom hibridne varnosti podatkov in kliknite Deaktiviraj HDS na kartici stanja HDS. |
Začnite s hibridno varnostjo podatkov z več najemniki
Pregled hibridne varnosti podatkov z več najemniki
Od prvega dne dalje je varnost podatkov v središču pozornosti pri oblikovanju aplikacije Webex. Temelj te varnosti je šifriranje vsebine od konca do konca, ki ga omogočajo odjemalci aplikacije Webex, ki komunicirajo s storitvijo upravljanja ključev (KMS). KMS je odgovoren za ustvarjanje in upravljanje kriptografskih ključev, ki jih odjemalci uporabljajo za dinamično šifriranje in dešifriranje sporočil in datotek.
Vse stranke aplikacije Webex privzeto prejmejo šifriranje od konca do konca z dinamičnimi ključi, shranjenimi v KMS v oblaku, na varnostnem področju Cisco. Hibridna varnost podatkov premakne KMS in druge varnostne funkcije v podatkovno središče vašega podjetja, zato nihče ne zadrži ključev svoje šifrirane vsebine.
Hibridna varnost podatkov z več najemniki omogoča organizacijam, da izkoristijo HDS prek zaupanja vrednega lokalnega partnerja, ki lahko deluje kot ponudnik storitev in upravlja šifriranje v podjetju in druge varnostne storitve. Ta nastavitev partnerski organizaciji omogoča popoln nadzor nad uvajanjem in upravljanjem šifrirnih ključev ter zagotavlja, da so uporabniški podatki organizacij strank varni pred zunanjim dostopom. Partnerske organizacije nastavijo primerke HDS in po potrebi ustvarijo gruče HDS. Vsak primerek lahko podpira več organizacij strank, za razliko od običajnega uvajanja HDS, ki je omejen na eno organizacijo.
To omogoča tudi manjšim organizacijam, da izkoristijo HDS, saj so Ključne storitve upravljanja in varnostna infrastruktura, kot so podatkovni centri, v lasti zaupanja vrednega lokalnega partnerja.
Kako hibridna varnost podatkov z več najemniki zagotavlja suverenost podatkov in nadzor nad podatki
- Vsebina, ki jo ustvari uporabnik, je zaščitena pred zunanjim dostopom, kot so ponudniki storitev v oblaku.
- Lokalni zaupanja vredni partnerji upravljajo šifrirne ključe strank, s katerimi že imajo vzpostavljeno razmerje.
- Možnost lokalne tehnične podpore, če jo zagotovi partner.
- Podpira vsebine sestankov, sporočil in klicev.
Ta dokument je namenjen pomoči partnerskim organizacijam pri nastavitvi in upravljanju strank v sistemu hibridne varnosti podatkov z več najemniki.
Omejitve hibridne varnosti podatkov z več najemniki
- Partnerske organizacije ne smejo imeti nobene obstoječe uvajanja HDS, ki je aktivna v zvezdišču Control Hub.
- Organizacije najemnikov ali strank, ki želijo biti upravljane s strani partnerja, ne smejo imeti obstoječe uvajanja HDS v Control Hub.
- Ko partner namesti HDS z več najemniki, vsi uporabniki organizacij strank in uporabniki partnerske organizacije začnejo uporabljati HDS z več najemniki za svoje storitve šifriranja.
Partnerska organizacija in organizacije strank, ki jih upravljajo, bodo na istem uvajanju HDS z več najemniki.
Partnerska organizacija ne bo več uporabljala KMS v oblaku po uvedbi HDS z več najemniki.
- Ni mehanizma za premikanje tipk nazaj v KMS v oblaku po uvedbi HDS.
- Trenutno ima lahko vsako uvajanje HDS z več najemniki samo eno gručo, pod njo pa več vozlišč.
- Vloge skrbnikov imajo določene omejitve; za več podrobnosti si oglejte spodnji razdelek.
Vloge pri hibridni varnosti podatkov z več najemniki
- Glavni skrbnik partnerja – lahko upravlja nastavitve za vse stranke, ki jih upravlja partner. Lahko tudi dodelijo vloge skrbnika obstoječim uporabnikom v organizaciji in dodelijo točno določene stranke v upravljanje partnerskim administratorjem.
- Skrbnik partnerja – Lahko upravlja nastavitve za stranke, ki jih je skrbnik omogočil uporabo ali ki so bile dodeljene uporabniku.
- Glavni skrbnik - skrbnik partnerske organizacije, ki je pooblaščen za izvajanje nalog, kot so spreminjanje nastavitev organizacije, upravljanje licenc in dodeljevanje vlog.
- Nastavitev HDS z več najemniki od konca do konca in upravljanje vseh organizacij strank - potrebne so polne skrbniške pravice partnerja in polne skrbniške pravice.
- Upravljanje dodeljenih organizacij najemnikov - potrebne so pravice skrbnika partnerja in glavnega skrbnika.
Arhitektura varnostnega področja
Arhitektura Webex v oblaku ločuje različne vrste storitev na ločena področja ali zaupanja vredne domene, kot je prikazano spodaj.
Za nadaljnje razumevanje hibridne varnosti podatkov si najprej oglejmo ta čisti primer v oblaku, kjer Cisco zagotavlja vse funkcije na svojih področjih v oblaku. Storitev identitete, edini kraj, kjer se lahko uporabniki neposredno povežejo s svojimi osebnimi podatki, kot je e-poštni naslov, je logično in fizično ločena od varnostnega področja v podatkovnem centru B. Oba sta ločena od področja, kjer je na koncu shranjena šifrirana vsebina, v podatkovnem centru C.
V tem diagramu je odjemalec aplikacija Webex, ki deluje na prenosnem računalniku uporabnika in je preveril pristnost s storitvijo identitete. Ko uporabnik sestavi sporočilo za pošiljanje v prostor, se izvedejo naslednji koraki:
-
Odjemalec vzpostavi varno povezavo s storitvijo upravljanja ključa (KMS) in nato zahteva ključ za šifriranje sporočila. Varna povezava uporablja ECDH, KMS pa šifrira ključ z matičnim ključem AES-256.
-
Sporočilo je šifrirano, preden zapusti odjemalca. Odjemalec ga pošlje storitvi indeksiranja, ki ustvari šifrirane indekse iskanja za pomoč pri prihodnjih iskanjih po vsebini.
-
Šifrirano sporočilo se pošlje službi za skladnost za preverjanje skladnosti.
-
Šifrirano sporočilo je shranjeno na področju shrambe.
Ko uvedete hibridno varnost podatkov, premaknete funkcije varnostnega področja (KMS, indeksiranje in skladnost) v svoje podatkovno središče v podjetju. Druge storitve v oblaku, ki sestavljajo Webex (vključno z identiteto in shranjevanjem vsebine), ostanejo na področjih družbe Cisco.
Sodelovanje z drugimi organizacijami
Uporabniki v vaši organizaciji lahko aplikacijo Webex redno uporabljajo za sodelovanje z zunanjimi udeleženci v drugih organizacijah. Ko eden od vaših uporabnikov zahteva ključ za prostor, ki je v lasti vaše organizacije (ker ga je ustvaril eden od vaših uporabnikov), vaš KMS pošlje ključ odjemalcu prek zaščitenega kanala ECDH. Ko pa je ključ za prostor v drugi organizaciji, vaš KMS preusmeri zahtevo v oblak Webex prek ločenega kanala ECDH, da pridobi ključ od ustreznega KMS, nato pa ključ vrne vašemu uporabniku v prvotnem kanalu.
Storitev KMS, ki deluje na organizaciji A, preveri povezave s KMS v drugih organizacijah z uporabo potrdil PKI x.509. Glejte Priprava okolja za podrobnosti o ustvarjanju potrdila x.509 za uporabo z vašim uvajanjem hibridne varnosti podatkov z več najemniki.
Pričakovanja glede uvajanja hibridne varnosti podatkov
Uvajanje hibridne varnosti podatkov zahteva znatno zavezanost in zavedanje tveganj, ki izhajajo iz lastništva šifrirnih ključev.
Za uvedbo hibridne varnosti podatkov morate zagotoviti:
-
Varno podatkovno središče v državi, ki je podprta lokacija za naročnine Cisco Webex Teams.
-
Oprema, programska oprema in dostop do omrežja, opisani v razdelku Priprava okolja.
Popolna izguba konfiguracije ISO, ki jo gradite za hibridno varnost podatkov, ali zbirke podatkov, ki jo posredujete, bo povzročila izgubo ključev. Izguba ključa uporabnikom prepreči dešifriranje vsebine prostora in drugih šifriranih podatkov v aplikaciji Webex. Če se to zgodi, lahko zgradite novo uvajanje, vendar bo vidna samo nova vsebina. Če se želite izogniti izgubi dostopa do podatkov, morate:
-
Upravljajte varnostno kopiranje in obnovo zbirke podatkov in konfiguracije ISO.
-
Bodite pripravljeni na hitro obnovitev po katastrofi, če pride do katastrofe, kot je napaka diska zbirke podatkov ali katastrofa podatkovnega centra.
Ni mehanizma za premikanje tipk nazaj v oblak po uvedbi HDS.
Postopek nastavitve na visoki ravni
Ta dokument pokriva nastavitev in upravljanje uvajanja hibridne varnosti podatkov z več najemniki:
-
Nastavite hibridno varnost podatkov– To vključuje pripravo potrebne infrastrukture in namestitev programske opreme za hibridno varnost podatkov, izgradnjo gruče HDS, dodajanje organizacij najemnikov v gručo in upravljanje njihovih glavnih ključev strank (CMK). S tem boste vsem uporabnikom v organizacijah strank omogočili uporabo gruče hibridne varnosti podatkov za varnostne funkcije.
Faze nastavitve, aktivacije in upravljanja so podrobno opisane v naslednjih treh poglavjih.
-
Ohranite uvajanje hibridne varnosti podatkov– Oblak Webex samodejno zagotavlja sprotne nadgradnje. Vaš oddelek za IT lahko zagotovi podporo stopnje ena za to uvajanje in po potrebi vključi podporo podjetja Cisco. V Partner Hub lahko uporabite obvestila na zaslonu in nastavite opozorila na podlagi e-pošte.
-
Razumevanje skupnih opozoril, korakov za odpravljanje težav in znanih težav– Če naletite na težave pri uvajanju ali uporabi hibridne varnosti podatkov, vam lahko zadnje poglavje tega priročnika in dodatek Znane težave pomagata ugotoviti in odpraviti težavo.
Model uvajanja hibridne varnosti podatkov
V podatkovnem središču svojega podjetja uvedete hibridno varnost podatkov kot eno gručo vozlišč na ločenih navideznih gostiteljih. Vozlišča komunicirajo z oblakom Webex prek varnih spletnih vtičnikov in varnega HTTP.
Med postopkom namestitve vam nudimo datoteko OVA za nastavitev virtualne naprave na VM, ki jih navedete. S pomočjo orodja za nastavitev HDS ustvarite datoteko ISO konfiguracije gruče po meri, ki jo namestite na vsako vozlišče. Gruča hibridne varnosti podatkov uporablja vaš zagotovljen strežnik Syslogd in PostgreSQL ali Microsoft SQL Server. (V orodju za nastavitev HDS konfigurirate Syslogd in podrobnosti povezave zbirke podatkov.)
Najmanjše število vozlišč, ki jih lahko imate v gruči, je dve. Priporočamo vsaj tri na gručo. Več vozlišč zagotavlja, da storitev ni prekinjena med nadgradnjo programske opreme ali drugo dejavnostjo vzdrževanja v vozlišču. (Oblak Webex naenkrat nadgradi samo eno vozlišče.)
Vsa vozlišča v gruči dostopajo do iste shrambe podatkov ključa in aktivnosti dnevnika do istega strežnika syslog. Vozlišča so brez državljanstva in obravnavajo ključne zahteve v okroglem načinu, kot ga usmerja oblak.
Vozlišča postanejo aktivna, ko jih registrirate v Partner Hub. Če želite določeno vozlišče preklicati, ga lahko odjavite in po potrebi pozneje ponovno registrirate.
Podatkovni center v stanju pripravljenosti za obnovitev po katastrofi
Med uvajanjem nastavite varno podatkovno središče v stanju pripravljenosti. V primeru katastrofe podatkovnega centra lahko ročno onemogočite namestitev v podatkovni center v stanju pripravljenosti.
Zbirke podatkov aktivnih podatkovnih centrov in centrov v stanju pripravljenosti se sinhronizirajo, kar bo zmanjšalo čas, potreben za izvedbo preklopa na drug način.
Aktivna vozlišča hibridne varnosti podatkov morajo biti vedno v istem podatkovnem središču kot aktivni strežnik zbirke podatkov.
Podpora za proxy
Hibridna varnost podatkov podpira eksplicitne, pregledne in nepregledne proxyje. Te proxyje lahko povežete z uvajanjem, da lahko zaščitite in spremljate promet iz podjetja v oblak. Na vozliščih lahko uporabite skrbniški vmesnik platforme za upravljanje potrdil in preverjanje splošnega stanja povezljivosti po nastavitvi proxy na vozliščih.
Vozlišča hibridne varnosti podatkov podpirajo naslednje možnosti proxy:
-
Brez proxy – Privzeto, če ne uporabljate nastavitve vozlišča HDS Trust Store in konfiguracije proxy za integracijo proxy. Posodobitev potrdila ni potrebna.
-
Pregleden proxy, ki ga ne pregledujemo– Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy in ne smejo zahtevati sprememb za delovanje s strežnikom proxy, ki ga ne pregledujemo. Posodobitev potrdila ni potrebna.
-
Pregledno tuneliranje ali pregledovanje proxyja– Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy. Na vozliščih niso potrebne nobene spremembe konfiguracije HTTP ali HTTPS. Vendar vozlišča potrebujejo korensko potrdilo, da lahko zaupajo posredniku. Inšpekcijske proxy običajno uporablja IT za uveljavljanje pravilnikov, na katerih spletnih straneh je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta proxy dešifrira ves vaš promet (tudi HTTPS).
-
Eksplicitni proxy– z eksplicitnim proxy vozliščem HDS poveste, kateri proxy strežnik in shemo preverjanja pristnosti naj uporabijo. Za konfiguracijo izrecnega strežnika proxy morate v vsako vozlišče vnesti naslednje informacije:
-
IP/FQDN proxy– naslov, ki ga lahko uporabite za dostop do naprave proxy.
-
Vrata proxy– številka vrat, ki jih proxy uporablja za poslušanje prepovedanega prometa.
-
Protokol proxy– Glede na to, kaj podpira vaš strežnik proxy, izberite med naslednjimi protokoli:
-
HTTP – Prikaže in nadzoruje vse zahteve, ki jih pošlje odjemalec.
-
HTTPS – zagotavlja kanal strežniku. Odjemalec prejme in potrdi potrdilo strežnika.
-
-
Vrsta preverjanja pristnosti– Izberite med naslednjimi vrstami preverjanja pristnosti:
-
Brez– Dodatno preverjanje pristnosti ni potrebno.
Na voljo, če kot protokol proxy izberete HTTP ali HTTPS.
-
Osnovno– Uporablja se za uporabniški posrednik HTTP za zagotavljanje uporabniškega imena in gesla pri pripravi zahteve. Uporablja kodiranje Base64.
Na voljo, če kot protokol proxy izberete HTTP ali HTTPS.
Od vas zahteva, da vnesete uporabniško ime in geslo v vsako vozlišče.
-
Povzetek– Uporablja se za potrditev računa pred pošiljanjem občutljivih podatkov. Uporabi funkcijo lojtrice na uporabniškem imenu in geslu pred pošiljanjem prek omrežja.
Na voljo samo, če kot protokol proxy izberete HTTPS.
Od vas zahteva, da vnesete uporabniško ime in geslo v vsako vozlišče.
-
-
Primer vozlišč hibridne varnosti podatkov in proxy
Ta diagram prikazuje primer povezave med hibridno varnostjo podatkov, omrežjem in strežnikom proxy. Za pregleden pregled in HTTPS ekspliciten pregled možnosti proxy mora biti isto korensko potrdilo nameščeno na strežniku proxy in vozliščih hibridne varnosti podatkov.
Blokiran način ločljivosti zunanjega DNS (eksplicitne konfiguracije proxy)
Ko registrirate vozlišče ali preverite konfiguracijo proxy vozlišča, proces preskusi iskanje DNS in povezljivost z oblakom Cisco Webex. V uvajanjih z izrecnimi konfiguracijami proxy, ki ne omogočajo zunanje ločljivosti DNS za notranje odjemalce, se vozlišče, če ne more poizvedovati za strežnike DNS, samodejno preklopi v način ločljivosti blokiranega zunanjega DNS. V tem načinu se lahko nadaljujejo registracija vozlišča in drugi preskusi povezljivosti proxy.
Pripravite svoje okolje
Zahteve za hibridno varnost podatkov z več najemniki
Zahteve za licenco Cisco Webex
Če želite uvesti hibridno varnost podatkov z več najemniki:
-
Partnerske organizacije: Obrnite se na svojega partnerja Cisco ali upravitelja računa in poskrbite, da je funkcija za več najemnikov omogočena.
-
Organizacije najemnikov: Imeti morate paket Pro za Cisco Webex Control Hub. (Glej https://www.cisco.com/go/pro-pack.)
Zahteve namizja Docker
Preden namestite vozlišča HDS, za zagon nastavitvenega programa potrebujete Docker Desktop. Docker je nedavno posodobil svoj licenčni model. Vaša organizacija bo morda zahtevala plačljivo naročnino za namizje Docker. Za podrobnosti si oglejte objavo na blogu Docker: "Docker posodablja in razširja naročnine na naše izdelke".
Stranke brez licence za namizje Docker lahko za zagon, upravljanje in ustvarjanje zabojnikov uporabljajo odprtokodno orodje za upravljanje zabojnikov, kot je Podman Desktop. Za več podrobnosti si oglejte Zaženi orodje za nastavitev HDS z uporabo namizja Podman .
Zahteve za potrdilo X.509
Veriga potrdil mora izpolnjevati naslednje zahteve:
|
Zahteva |
Podrobnosti |
|---|---|
|
Privzeto zaupamo CA-jem na seznamu Mozilla (razen WoSign in StartCom) pri https://wiki.mozilla.org/CA:IncludedCAs. |
|
CN ni nujno dosegljiv ali gostitelj v živo. Priporočamo vam, da uporabite ime, ki na primer odraža vašo organizacijo CN ne sme vsebovati * (nadomestnega znaka). CN se uporablja za preverjanje vozlišč hibridne varnosti podatkov pri odjemalcih aplikacije Webex. Vsa vozlišča hibridne varnosti podatkov v vaši gruči uporabljajo isto potrdilo. Vaš KMS se identificira z domeno CN in ne z nobeno domeno, ki je določena v poljih SAN x.509v3. Ko ste enkrat registrirali vozlišče s tem potrdilom, ne podpiramo spreminjanja imena domene CN. |
|
Programska oprema KMS ne podpira podpisov SHA1 za potrjevanje povezav s KMS drugih organizacij. |
|
Za spremembo oblike potrdila lahko uporabite pretvornik, kot je OpenSSL. Ko zaženete orodje za nastavitev HDS, boste morali vnesti geslo. |
Programska oprema KMS ne izvršuje uporabe ključa ali razširjenih omejitev uporabe ključa. Nekateri organi za potrdila zahtevajo, da se za vsako potrdilo uporabljajo razširjene omejitve uporabe ključa, kot je preverjanje pristnosti strežnika. V redu je, da uporabite preverjanje pristnosti strežnika ali druge nastavitve.
Zahteve virtualnega gostitelja
Virtualni gostitelji, ki jih boste nastavili kot vozlišča hibridne varnosti podatkov v svoji gruči, imajo naslednje zahteve:
-
Vsaj dva ločena gostitelja (3 priporočeno) sta nameščena v istem varnem podatkovnem središču
-
VMware ESXi 7.0 (ali novejši) nameščen in deluje.
Če imate starejšo različico ESXi, morate nadgraditi.
-
Najmanj 4 vCPU, 8-GB glavnega pomnilnika, 30-GB prostora na trdem disku na strežnik
Zahteve strežnika zbirke podatkov
Ustvarite novo zbirko podatkov za shranjevanje ključa. Ne uporabljajte privzete zbirke podatkov. Aplikacije HDS, ko so nameščene, ustvarijo shemo zbirke podatkov.
Za strežnik zbirke podatkov sta dve možnosti. Zahteve za vsako od njih so naslednje:
|
PostgreSQL |
Microsoft SQL Server |
|---|---|
|
|
|
Najmanj 8 vCPU-jev, 16 GB glavnega pomnilnika, dovolj prostora na trdem disku in spremljanje, ki zagotavlja, da ni presežen (2 TB priporočamo, če želite dolgo časa zagnati zbirko podatkov, ne da bi morali povečati shrambo) |
Najmanj 8 vCPU-jev, 16 GB glavnega pomnilnika, dovolj prostora na trdem disku in spremljanje, ki zagotavlja, da ni presežen (2 TB priporočamo, če želite dolgo časa zagnati zbirko podatkov, ne da bi morali povečati shrambo) |
Programska oprema HDS trenutno namesti naslednje različice gonilnikov za komunikacijo s strežnikom zbirke podatkov:
|
PostgreSQL |
Microsoft SQL Server |
|---|---|
|
Postgres JDBC gonilnik 42.2.5 |
SQL Server gonilnik JDBC 4.6 Ta različica gonilnika podpira strežnik SQL Server Always Vklopljen (Vedno vklopljeni primerki gruče in Vedno vklopljeni skupine razpoložljivosti). |
Dodatne zahteve za preverjanje pristnosti sistema Windows v strežniku Microsoft SQL Server
Če želite, da vozlišča HDS uporabljajo preverjanje pristnosti sistema Windows za dostop do zbirke podatkov tipkovnice v strežniku Microsoft SQL Server, morate v svojem okolju izvesti naslednjo konfiguracijo:
-
Vozlišča HDS, infrastruktura Active Directory in MS SQL Server morajo biti sinhronizirani z NTP.
-
Račun Windows, ki ga zagotovite vozliščem HDS, mora imeti dostop za branje/pisanje do zbirke podatkov.
-
Strežniki DNS, ki jih zagotovite vozliščem HDS, morajo biti sposobni razrešiti vaš center za porazdelitev ključev (KDC).
-
Primerek zbirke podatkov HDS lahko registrirate v svojem strežniku Microsoft SQL Server kot glavno ime storitve (SPN) v svojem Active Directory. Glejte Registriraj glavno ime storitve za povezave Kerberos.
Orodje za nastavitev HDS, zaganjalnik HDS in lokalni KMS morajo za dostop do zbirke podatkov keystore uporabiti preverjanje pristnosti sistema Windows. Podatke iz vaše konfiguracije ISO uporabijo za izgradnjo SPN, ko zaprosijo za dostop s preverjanjem pristnosti Kerberos.
Zahteve za zunanjo povezljivost
Konfigurirajte požarni zid, da omogočite naslednjo povezljivost za aplikacije HDS:
|
Aplikacija |
Protokol |
Vrata |
Smer iz aplikacije |
Cilj |
|---|---|---|---|---|
|
Vozlišča hibridne varnosti podatkov |
TCP |
443 |
Odhodni HTTPS in WSS |
|
|
Orodje za nastavitev HDS |
TCP |
443 |
Odhodni HTTPS |
|
Vozlišča hibridne varnosti podatkov delujejo s prevodom za dostop do omrežja (NAT) ali za požarnim zidom, če NAT ali požarni zid omogoča zahtevane odhodne povezave s cilji domene v prejšnji tabeli. Za dohodne povezave do vozlišč hibridne varnosti podatkov ne smejo biti vidna nobena vrata z interneta. V vašem podatkovnem središču odjemalci potrebujejo dostop do vozlišč hibridne varnosti podatkov na vratih TCP 443 in 22 za upravne namene.
URL-ji za gostitelje Common Identity (CI) so specifični za regijo. To so trenutni gostitelji CI:
|
Regija |
URL-ji pogostih gostiteljev identitete |
|---|---|
|
Ameriki |
|
|
Evropska unija |
|
|
Kanada |
|
| Singapur |
|
| Združeni Arabski Emirati |
|
Zahteve strežnika proxy
-
Uradno podpiramo naslednje proxy rešitve, ki se lahko integrirajo z vašimi vozlišči hibridne varnosti podatkov.
-
Pregleden proxy – Cisco Web Security Appliance (WSA).
-
Eksplicitni proxy – Ligenj.
Proxyji ligenja, ki pregledujejo promet HTTPS, lahko motijo vzpostavitev povezav websocket (wss:). Če želite delati pri tej težavi, glejte Konfiguriraj proxyje za hibridno varnost podatkov.
-
-
Za eksplicitne proxyje podpiramo naslednje kombinacije vrst preverjanja pristnosti:
-
Ni preverjanja pristnosti s HTTP ali HTTPS
-
Osnovno preverjanje pristnosti s HTTP ali HTTPS
-
Povzemi preverjanje pristnosti samo s HTTPS
-
-
Za pregleden proxy za preverjanje ali eksplicitni proxy HTTPS morate imeti kopijo korenskega potrdila proxy. V navodilih za uvajanje v tem priročniku boste izvedeli, kako naložiti kopijo v shrambe zaupanja vozlišč hibridne varnosti podatkov.
-
Omrežje, ki gosti vozlišča HDS, mora biti konfigurirano tako, da prisili odhodni promet TCP na vratih 443 za usmerjanje prek proxy.
-
Proxyji, ki pregledujejo spletni promet, lahko motijo povezave spletnih vtičnic. Če pride do te težave, zaobidete (ne pregledujete) promet
wbx2.cominciscospark.comjo boste rešili.
Dokončajte predpogoje za hibridno varnost podatkov
| 1 |
Prepričajte se, da ima vaša partnerska organizacija omogočeno funkcijo HDS z več najemniki, in pridobite poverilnice za račun s polnim skrbnikom partnerja in pravicami s polnimi skrbniškimi pravicami. Prepričajte se, da je organizacija vaše stranke Webex omogočena za paket Pro za Cisco Webex Control Hub. Za pomoč pri tem postopku se obrnite na svojega partnerja Cisco ali skrbnika računa. Organizacije strank ne smejo imeti obstoječe uvajanja HDS. |
| 2 |
Izberite ime domene za uvajanje HDS (na primer |
| 3 |
Pripravite enake navidezne gostitelje, ki jih boste nastavili kot vozlišča hibridne varnosti podatkov v svoji gruči. Potrebujete vsaj dva ločena gostitelja (3 priporočeno), ki sta nameščena v istem varnem podatkovnem središču in izpolnjujeta zahteve iz zahtev virtualnega gostitelja. |
| 4 |
Pripravite strežnik zbirke podatkov, ki bo deloval kot shramba ključnih podatkov za gručo v skladu z zahtevami strežnika zbirke podatkov. Strežnik zbirke podatkov mora biti nameščen v varnem podatkovnem središču z navideznimi gostitelji. |
| 5 |
Za hitro obnovitev po katastrofi nastavite okolje za varnostne kopije v drugem podatkovnem središču. Varnostno okolje zrcali proizvodno okolje VM-jev in strežnik za varnostno zbirko podatkov. Če ima na primer proizvodnja 3 VM, ki poganjajo vozlišča HDS, mora okolje za varnostne kopije imeti 3 VM. |
| 6 |
Nastavite gostitelja syslog za zbiranje dnevnikov iz vozlišč v gruči. Zberite naslov omrežja in vrata syslog (privzeto je UDP 514). |
| 7 |
Ustvarite varen pravilnik za varnostne kopije za vozlišča hibridne varnosti podatkov, strežnik zbirke podatkov in gostitelja syslog. Vsaj za preprečitev nepopravljive izgube podatkov morate varnostno kopirati zbirko podatkov in konfiguracijsko datoteko ISO, ustvarjeno za vozlišča hibridne varnosti podatkov. Ker vozlišča hibridne varnosti podatkov shranijo ključe, ki se uporabljajo za šifriranje in dešifriranje vsebine, bo nevzdrževanje operativne uvajanja povzročilo NEPOPRAVLJIVO IZGUBO te vsebine. Odjemalci aplikacije Webex skrivajo svoje ključe, zato izpad morda ne bo takoj opazen, temveč bo opazen skozi čas. Čeprav začasnih izpadov ni mogoče preprečiti, jih je mogoče obnoviti. Vendar pa bo popolna izguba (varnostne kopije niso na voljo) podatkovne zbirke ali konfiguracijske datoteke ISO povzročila, da podatkov strank ni mogoče razveljaviti. Od operaterjev vozlišč hibridne varnosti podatkov se pričakuje, da bodo pogosto vzdrževali varnostne kopije zbirke podatkov in konfiguracijske datoteke ISO ter bodo pripravljeni obnoviti podatkovno središče za hibridno varnost podatkov, če pride do katastrofalne napake. |
| 8 |
Vaša konfiguracija požarnega zidu mora omogočati povezljivost za vaša vozlišča hibridne varnosti podatkov, kot je opisano v Zahtevah za zunanjo povezljivost. |
| 9 |
Namestite Docker ( https://www.docker.com) na kateri koli lokalni stroj, ki uporablja podprt OS (Microsoft Windows 10 Professional ali 64-bitni Enterprise ali Mac OSX Yosemite 10.10.3 ali novejši) s spletnim brskalnikom, ki ima dostop do njega na http://127.0.0.1:8080. Primerek Docker uporabite za prenos in zagon orodja za nastavitev HDS, ki gradi lokalne informacije konfiguracije za vsa vozlišča hibridne varnosti podatkov. Morda boste potrebovali licenco za namizje Docker. Za več informacij glejte zahteve za namizje Docker . Za namestitev in zagon orodja za nastavitev HDS mora imeti lokalni stroj povezljivost, ki je opisana v Zahtevah za zunanjo povezljivost. |
| 10 |
Če integrirate proxy s hibridno varnostjo podatkov, se prepričajte, da izpolnjuje zahteve strežnika proxy. |
Nastavi gručo hibridne varnosti podatkov
Potek opravila uvajanja hibridne varnosti podatkov
| 1 |
Izvedite začetno nastavitev in prenesite namestitvene datoteke Prenesite datoteko OVA v lokalni stroj za uporabo v prihodnosti. |
| 2 |
Ustvarite konfiguracijski ISO za gostitelje HDS S pomočjo orodja za nastavitev HDS ustvarite konfiguracijsko datoteko ISO za vozlišča hibridne varnosti podatkov. |
| 3 |
Ustvarite navidezni stroj iz datoteke OVA in izvedite začetno konfiguracijo, na primer nastavitve omrežja. Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 7.0. Možnost morda ni na voljo v starejših različicah. |
| 4 |
Nastavi VM hibridne varnosti podatkov Vpišite se v konzolo VM in nastavite poverilnice za vpis. Konfigurirajte nastavitve omrežja za vozlišče, če jih niste konfigurirali v času uvajanja OVA. |
| 5 |
Naloži in priklopi ISO konfiguracije HDS Konfigurirajte VM iz konfiguracijske datoteke ISO, ki ste jo ustvarili z orodjem za nastavitev HDS. |
| 6 |
Konfigurirajte vozlišče HDS za integracijo proxy Če omrežno okolje zahteva konfiguracijo proxy, navedite vrsto proxy, ki ga boste uporabili za vozlišče, in po potrebi dodajte potrdilo proxy v shrambo zaupanja. |
| 7 |
Registrirajte prvo vozlišče v gruči Registrirajte VM z oblakom Cisco Webex kot vozlišče hibridne varnosti podatkov. |
| 8 |
Ustvarite in registrirajte več vozlišč Dokončajte nastavitev gruče. |
| 9 |
Aktivirajte HDS z več najemniki v Partner Hub. Aktivirajte HDS in upravljajte organizacije najemnikov v Partner Hub. |
Izvedite začetno nastavitev in prenesite namestitvene datoteke
V tem opravilu prenesete datoteko OVA v svoj stroj (ne v strežnike, ki ste jih nastavili kot vozlišča hibridne varnosti podatkov). To datoteko boste uporabili pozneje v postopku namestitve.
| 1 |
Vpišite se v Partner Hub in nato kliknite Storitve. |
| 2 |
V razdelku Storitve v oblaku poiščite kartico hibridne varnosti podatkov in nato kliknite Nastavi. Klik na možnost Nastavitev v Partner Hub je bistvenega pomena za postopek uvajanja. Ne nadaljujte z namestitvijo, ne da bi dokončali ta korak. |
| 3 |
Kliknite Dodaj vir in kliknite Prenesi datoteko .OVA na kartici Namestitev in konfiguracija programske opreme . Starejše različice programskega paketa (OVA) ne bodo združljive z najnovejšimi nadgradnjami hibridne varnosti podatkov. Zaradi tega lahko pride do težav med nadgradnjo aplikacije. Prepričajte se, da prenesete najnovejšo različico datoteke OVA. OVA lahko kadar koli prenesete tudi iz razdelka Pomoč . Kliknite . Datoteka OVA se samodejno začne prenašati. Shranite datoteko na lokacijo v svojem stroju.
|
| 4 |
Izbirno kliknite Ogled priročnika za uvajanje hibridne varnosti podatkov , da preverite, ali je na voljo poznejša različica tega priročnika. |
Ustvarite konfiguracijski ISO za gostitelje HDS
Postopek nastavitve hibridne varnosti podatkov ustvari datoteko ISO. Nato uporabite ISO, da konfigurirate gostitelja hibridne varnosti podatkov.
Preden začnete
-
Orodje za nastavitev HDS se uporablja kot vsebnik Docker na lokalnem računalniku. Če želite dostopati, zaženite Docker na tem stroju. Postopek nastavitve zahteva poverilnice računa Partner Hub s polnimi skrbniškimi pravicami.
Če nimate licence za namizje Docker, lahko uporabite namizje Podman za zagon orodja za nastavitev HDS za korake od 1 do 5 v spodnjem postopku. Za več podrobnosti si oglejte Zaženi orodje za nastavitev HDS z uporabo namizja Podman .
Če orodje za nastavitev HDS deluje za proxy v vašem okolju, zagotovite nastavitve proxy (strežnik, vrata, poverilnice) prek spremenljivk okolja Docker, ko dvignete vsebnik Docker v koraku 5 spodaj. The list of possible environment variables:
Opis
Spremenljivka
Proxy HTTP brez preverjanja pristnosti
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS brez preverjanja pristnosti
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP s preverjanjem pristnosti
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS s preverjanjem pristnosti
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Konfiguracijska datoteka ISO, ki jo ustvarite, vsebuje matični ključ, ki šifrira zbirko podatkov PostgreSQL ali Microsoft SQL Server. Najnovejšo kopijo te datoteke potrebujete, kadar opravite spremembe konfiguracije, kot so:
-
Poverilnice zbirke podatkov
-
Posodobitve potrdila
-
Spremembe pravilnika o pooblastitvi
-
-
Če nameravate šifrirati povezave zbirk podatkov, nastavite uvajanje PostgreSQL ali SQL Server za TLS.
| 1 |
V ukazni vrstici vašega računalnika vnesite ustrezen ukaz za vaše okolje: V rednih okoljih: V okoljih FedRAMP: Ta korak počisti prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete. | ||||||||||
| 2 |
Če se želite vpisati v register slik Docker, vnesite naslednje: | ||||||||||
| 3 |
Ob pozivu k geslu vnesite to hash: | ||||||||||
| 4 |
Prenesite najnovejšo stabilno sliko za svoje okolje: V rednih okoljih: V okoljih FedRAMP: | ||||||||||
| 5 |
Ko je vlečenje končano, vnesite ustrezen ukaz za vaše okolje:
Ko vsebnik deluje, vidite »Strežnik Express posluša vrata 8080«. | ||||||||||
| 6 |
Orodje za nastavitev ne podpira povezave z krajevnim gostiteljem prek http://localhost:8080. Uporabite http://127.0.0.1:8080 za povezavo z lokalnim gostiteljem. S spletnim brskalnikom pojdite na lokalnega gostitelja Orodje uporablja ta prvi vnos uporabniškega imena za nastavitev ustreznega okolja za ta račun. Orodje nato prikaže standardni poziv za vpis. | ||||||||||
| 7 |
Ob pozivu vnesite poverilnice za vpis skrbnika Partner Hub in nato kliknite Prijava , da omogočite dostop do zahtevanih storitev za hibridno varnost podatkov. | ||||||||||
| 8 |
Na strani s pregledom orodja za nastavitev kliknite Začni. | ||||||||||
| 9 |
Na strani Uvoz ISO imate naslednje možnosti:
| ||||||||||
| 10 |
Preverite, ali vaše potrdilo X.509 izpolnjuje zahteve iz zahtev za potrdilo X.509.
| ||||||||||
| 11 |
Vnesite naslov zbirke podatkov in račun za HDS za dostop do svojega ključa podatkov: | ||||||||||
| 12 |
Izberite način povezave zbirke podatkov TLS:
Ko naložite korensko potrdilo (če je potrebno) in kliknete Nadaljuj, orodje za nastavitev HDS preskusi povezavo TLS s strežnikom zbirke podatkov. Orodje preveri tudi podpisnika potrdila in ime gostitelja, če je primerno. Če preskus ne uspe, orodje prikaže sporočilo o napaki, ki opisuje težavo. Izberete lahko, da prezrete napako, in nadaljujete z nastavitvijo. (Zaradi razlik v povezljivosti lahko vozlišča HDS vzpostavijo povezavo TLS, tudi če je stroj za nastavitev orodja HDS ne more uspešno preskusiti.) | ||||||||||
| 13 |
Na strani Sistemski dnevniki konfigurirajte strežnik Syslogd: | ||||||||||
| 14 |
(Izbirno) Privzeto vrednost za nekatere parametre povezave zbirke podatkov lahko spremenite v dodatnih nastavitvah. Na splošno je ta parameter edina, ki bi jo morda želeli spremeniti: | ||||||||||
| 15 |
Kliknite Nadaljuj na zaslonu Ponastavi geslo računov storitev . Gesla za storitvene račune imajo devetmesečno življenjsko dobo. Ta zaslon uporabite, ko se bliža poteku vaših gesel ali jih želite ponastaviti, da razveljavite prejšnje datoteke ISO. | ||||||||||
| 16 |
Kliknite Prenesi datoteko ISO. Shranite datoteko na lokacijo, ki jo je enostavno najti. | ||||||||||
| 17 |
Naredite varnostno kopijo datoteke ISO v lokalnem sistemu. Varnostno kopijo ohranite varno. Ta datoteka vsebuje matični šifrirni ključ za vsebino zbirke podatkov. Omejite dostop samo na skrbnike hibridne varnosti podatkov, ki morajo opraviti spremembe konfiguracije. | ||||||||||
| 18 |
Če želite izklopiti orodje za nastavitev, vnesite |
Kaj storiti naslednje
Varnostno kopirajte konfiguracijsko datoteko ISO. Potrebujete ga, če želite ustvariti več vozlišč za obnovitev ali opraviti spremembe konfiguracije. Če izgubite vse kopije datoteke ISO, ste izgubili tudi matični ključ. Obnovitev ključev iz vaše zbirke podatkov PostgreSQL ali Microsoft SQL Server ni mogoča.
Nikoli nimamo kopije tega ključa in ne moremo pomagati, če ga izgubite.
Namestite OVA gostitelja HDS
| 1 |
Uporabite odjemalca VMware vSphere na svojem računalniku za prijavo v virtualni gostitelj ESXi. |
| 2 |
Izberite Datoteka > Uvedi predlogo OVF. |
| 3 |
V čarovniku določite lokacijo datoteke OVA, ki ste jo prej prenesli, in nato kliknite Naprej. |
| 4 |
Na strani Izberi ime in mapo vnesite ime navideznega stroja za vozlišče (na primer "HDS_Node_1"), izberite lokacijo, kjer lahko biva uvajanje vozlišča navideznega stroja, in nato kliknite Naprej. |
| 5 |
Na strani Izberite vir izračuna izberite ciljni vir za izračun in nato kliknite Naprej. Izvaja se preverjanje veljavnosti. Ko je končano, se prikažejo podrobnosti predloge. |
| 6 |
Preverite podrobnosti predloge in nato kliknite Naprej. |
| 7 |
Če ste pozvani, da izberete konfiguracijo vira na strani Konfiguracija , kliknite 4 CPU in nato kliknite Naprej. |
| 8 |
Na strani Izberi shrambo kliknite Naprej , da sprejmete privzeto obliko zapisa diska in pravilnik za shranjevanje VM. |
| 9 |
Na strani Izberi omrežja izberite možnost omrežja s seznama vnosov, da zagotovite želeno povezljivost z VM. |
| 10 |
Na strani Prilagodi predlogo konfigurirajte naslednje nastavitve omrežja:
Po želji lahko preskočite konfiguracijo nastavitev omrežja in sledite korakom v Nastavitev VM hibridne varnosti podatkov , da konfigurirate nastavitve iz konzole vozlišča. Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 7.0. Možnost morda ni na voljo v starejših različicah. |
| 11 |
Z desno tipko miške kliknite vozlišče VM in nato izberite . Programska oprema za hibridno varnost podatkov je nameščena kot gost na gostitelju VM. Zdaj ste se pripravljeni vpisati v konzolo in konfigurirati vozlišče. Nasveti za odpravljanje težav Morda bo prišlo do nekaj minut zamude, preden se prikažejo posode za vozlišče. Med prvim zagonom se na konzoli prikaže sporočilo požarnega zidu mostu, med katerim se ne morete vpisati. |
Nastavi VM hibridne varnosti podatkov
Ta postopek uporabite za prvi vpis v konzolo VM vozlišča hibridne varnosti podatkov in nastavite poverilnice za vpis. Konzolo lahko uporabite tudi za konfiguracijo omrežnih nastavitev za vozlišče, če jih niste konfigurirali v času uvajanja OVA.
| 1 |
V odjemalcu VMware vSphere izberite svoje vozlišče hibridne varnosti podatkov VM in izberite zavihek Konzola . VM se začne in pojavi se poziv za prijavo. Če se poziv za prijavo ne prikaže, pritisnite Enter.
|
| 2 |
Za vpis in spreminjanje poverilnic uporabite naslednje privzeto prijavo in geslo: Ker se prvič vpisujete v svoj VM, boste morali spremeniti geslo skrbnika. |
| 3 |
Če ste nastavitve omrežja že konfigurirali v razdelku Namesti OVA HDS gostitelja, preskočite preostanek postopka. V nasprotnem primeru v glavnem meniju izberite možnost Uredi konfiguracijo . |
| 4 |
Nastavite statično konfiguracijo z naslovom IP, masko, prehodom in informacijami DNS. Vaše vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt. |
| 5 |
(Izbirno) Spremenite ime gostitelja, domeno ali strežnik/-e NTP, če je to potrebno, da se ujema z vašim pravilnikom omrežja. Domene vam ni treba nastaviti tako, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509. |
| 6 |
Shranite konfiguracijo omrežja in znova zaženite VM, da bodo spremembe veljale. |
Naloži in priklopi ISO konfiguracije HDS
Preden začnete
Ker datoteka ISO vsebuje matični ključ, jo je treba izpostaviti le na podlagi potrebe po seznanitvi, za dostop do VM-jev za hibridno varnost podatkov in vseh skrbnikov, ki bodo morda morali opraviti spremembe. Zagotovite, da imajo dostop do shrambe podatkov samo tisti skrbniki.
| 1 |
Naložite datoteko ISO s svojega računalnika: |
| 2 |
Priklopi datoteko ISO: |
Kaj storiti naslednje
Če to zahteva vaš pravilnik za IT, lahko po izbiri odklopite datoteko ISO, ko vsa vaša vozlišča prevzemajo spremembe konfiguracije. Za več podrobnosti glejte (izbirno) možnost Odklopi priklop ISO po konfiguraciji HDS.
Konfigurirajte vozlišče HDS za integracijo proxy
Če omrežno okolje zahteva proxy, uporabite ta postopek, da določite vrsto proxy, ki ga želite integrirati s hibridno varnostjo podatkov. Če izberete pregleden proxy za pregledovanje ali eksplicitni proxy HTTPS, lahko uporabite vmesnik vozlišča za nalaganje in namestitev korenskega potrdila. Prav tako lahko preverite povezavo proxy iz vmesnika in odpravite morebitne težave.
Preden začnete
-
Glejte Podpora proxy za pregled podprtih možnosti proxy.
| 1 |
Vnesite URL nastavitve vozlišča HDS |
| 2 |
Pojdite v Shrambo zaupanja in proxy in nato izberite možnost:
Sledite naslednjim korakom za pregleden proxy za preverjanje, za eksplicitni proxy HTTP z osnovnim preverjanjem pristnosti ali za eksplicitni proxy HTTPS. |
| 3 |
Kliknite Naloži korensko potrdilo ali potrdilo končnega subjekta, nato pa se pomaknite do izbire korenskega potrdila za proxy. Potrdilo je naloženo, vendar še ni nameščeno, ker morate za namestitev potrdila znova zagnati vozlišče. Kliknite puščico chevron ob imenu izdajatelja potrdila, če želite več podrobnosti, ali kliknite Izbriši , če ste naredili napako in želite znova naložiti datoteko. |
| 4 |
Kliknite Preveri povezavo proxy , če želite preskusiti omrežno povezljivost med vozliščem in strežnikom proxy. Če preskus povezave ni uspešen, boste videli sporočilo o napaki, ki prikazuje razlog in način, kako lahko odpravite težavo. Če vidite sporočilo, da zunanja ločljivost DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS. Ta pogoj je pričakovan v številnih eksplicitnih konfiguracijah proxy. Lahko nadaljujete z nastavitvijo in vozlišče bo delovalo v blokiranem načinu ločljivosti DNS. Če menite, da je to napaka, dokončajte te korake in si oglejte možnost Izklopi blokiran način ločljivosti zunanjega DNS. |
| 5 |
Ko je preskus povezave uspešno izveden, za eksplicitni proxy, ki je nastavljen samo na https, vklopite preklop, da Preusmerite vse zahteve vrat 443/444 https iz tega vozlišča prek eksplicitnega proxy. Ta nastavitev začne veljati po 15 sekundah. |
| 6 |
Kliknite Namesti vsa potrdila v shrambo zaupanja (na voljo je za eksplicitni proxy HTTPS ali pregleden proxy za preverjanje) ali Ponovni zagon (na voljo je za eksplicitni proxy HTTP), preberite poziv in nato kliknite Namesti , če ste pripravljeni. Vozlišče se ponovno zažene v nekaj minutah. |
| 7 |
Po ponovnem zagonu vozlišča se po potrebi znova vpišite in nato odprite stran Pregled , da preverite preverjanja povezljivosti, da se prepričate, da so vsi v zelenem stanju. Preverjanje povezave s strežnikom proxy preskusi samo poddomeno webex.com. Če imate težave s povezljivostjo, je pogosta težava v tem, da so nekatere domene v oblaku, navedene v navodilih za namestitev, blokirane na strežniku proxy. |
Registrirajte prvo vozlišče v gruči
Ko registrirate svoje prvo vozlišče, ustvarite gručo, ki ji je dodeljeno vozlišče. Gruča vsebuje eno ali več vozlišč, nameščenih za zagotavljanje redundance.
Preden začnete
-
Ko začnete registrirati vozlišče, ga morate dokončati v 60 minutah ali pa morate začeti znova.
-
Prepričajte se, da so vsi pojavni blokatorji v vašem brskalniku onemogočeni ali da dovolite izjemo za admin.webex.com.
| 1 |
Vpišite se v https://admin.webex.com. |
| 2 |
V meniju na levi strani zaslona izberite Storitve. |
| 3 |
V razdelku Storitve v oblaku poiščite kartico hibridne varnosti podatkov in kliknite Nastavi. |
| 4 |
Na strani, ki se odpre, kliknite Dodaj vir. |
| 5 |
V prvem polju Dodaj kartico vozlišča vnesite ime za gručo, ki jo želite dodeliti svoje vozlišče hibridne varnosti podatkov. Priporočamo vam, da poimenujete gručo glede na to, kje so vozlišča gruče geografsko. Primeri: "San Francisco" ali "New York" ali "Dallas" |
| 6 |
V drugem polju vnesite interni naslov IP ali popolnoma določeno ime domene (FQDN) svojega vozlišča in kliknite Dodaj na dnu zaslona. Ta naslov IP ali FQDN se mora ujemati z naslovom IP ali imenom gostitelja in domeno, ki ste jo uporabili v razdelku Nastavitev VM hibridne varnosti podatkov. Prikaže se sporočilo, da lahko registrirate svoje vozlišče v Webex.
|
| 7 |
Kliknite Pojdi na vozlišče. Čez nekaj trenutkov boste preusmerjeni na preskuse povezljivosti vozlišča za storitve Webex. Če so vsi preskusi uspešni, se prikaže stran Dovoli dostop do vozlišča hibridne varnosti podatkov. Tam potrdite, da želite svoji organizaciji Webex podeliti dovoljenja za dostop do vašega vozlišča. |
| 8 |
Označite potrditveno polje Dovoli dostop do svojega vozlišča hibridne varnosti podatkov in nato kliknite Nadaljuj. Vaš račun je preverjen in sporočilo "Dokončaj registracijo" navaja, da je vaše vozlišče zdaj registrirano v oblaku Webex.
|
| 9 |
Kliknite povezavo ali zaprite zavihek, da se vrnete na stran s hibridno varnostjo podatkov Partner Hub. Na strani Hibridna varnost podatkov je nova gruča, ki vsebuje vozlišče, ki ste ga registrirali, prikazana v zavihku Viri . Vozlišče bo samodejno preneslo najnovejšo programsko opremo iz oblaka.
|
Ustvarite in registrirajte več vozlišč
Preden začnete
-
Ko začnete registrirati vozlišče, ga morate dokončati v 60 minutah ali pa morate začeti znova.
-
Prepričajte se, da so vsi pojavni blokatorji v vašem brskalniku onemogočeni ali da dovolite izjemo za admin.webex.com.
| 1 |
Ustvarite nov navidezni stroj iz OVA in ponovite korake v Namestitev OVA gostitelja HDS. |
| 2 |
Nastavite začetno konfiguracijo na novem VM in ponovite korake v Nastavi VM hibridne varnosti podatkov. |
| 3 |
V novem VM ponovite korake v Naloži in namesti ISO konfiguracije HDS. |
| 4 |
Če nastavljate proxy za svoje uvajanje, ponovite korake v Konfiguriraj vozlišče HDS za integracijo proxy , kot je potrebno za novo vozlišče. |
| 5 |
Registrirajte vozlišče. |
Upravljanje organizacij najemnikov na hibridni varnosti podatkov z več najemniki
Aktivirajte HDS z več najemniki v Partner Hub
To opravilo zagotavlja, da lahko vsi uporabniki organizacij strank začnejo uporabljati HDS za šifrirne ključe v podjetju in druge varnostne storitve.
Preden začnete
Prepričajte se, da ste dokončali nastavitev gruče HDS z več najemniki z zahtevanim številom vozlišč.
| 1 |
Vpišite se v https://admin.webex.com. |
| 2 |
V meniju na levi strani zaslona izberite Storitve. |
| 3 |
V razdelku Storitve v oblaku poiščite hibridno varnost podatkov in kliknite Uredi nastavitve. |
| 4 |
Kliknite Aktiviraj HDS na kartici stanja HDS . |
Dodaj organizacije najemnikov v Partner Hub
V tem opravilu dodelite organizacije strank svoji gruči hibridne varnosti podatkov.
| 1 |
Vpišite se v https://admin.webex.com. |
| 2 |
V meniju na levi strani zaslona izberite Storitve. |
| 3 |
V razdelku Storitve v oblaku poiščite hibridno varnost podatkov in kliknite Ogled vseh. |
| 4 |
Kliknite gručo, ki ji želite dodeliti stranko. |
| 5 |
Pojdite v zavihek Dodeljene stranke . |
| 6 |
Kliknite Dodaj stranke. |
| 7 |
Izberite stranko, ki jo želite dodati v spustnem meniju. |
| 8 |
Kliknite Dodaj, stranka bo dodana v gručo. |
| 9 |
Ponovite korake 6 do 8, če želite v svojo gručo dodati več strank. |
| 10 |
Kliknite Končano na dnu zaslona, ko dodate stranke. |
Kaj storiti naslednje
Ustvarite glavne ključe stranke (CMK) z orodjem za nastavitev HDS
Preden začnete
Dodelite stranke ustrezni gruči, kot je podrobno opisano v Dodaj organizacije najemnikov v Partner Hub. Zaženite orodje za nastavitev HDS, da dokončate postopek nastavitve za na novo dodane organizacije strank.
-
Orodje za nastavitev HDS se uporablja kot vsebnik Docker na lokalnem računalniku. Če želite dostopati, zaženite Docker na tem stroju. Postopek nastavitve zahteva poverilnice računa Partner Hub s polnimi skrbniškimi pravicami za vašo organizacijo.
Če orodje za nastavitev HDS deluje za proxy v vašem okolju, zagotovite nastavitve proxy (strežnik, vrata, poverilnice) prek spremenljivk okolja Docker, ko dvignete vsebnik Docker v koraku 5. The list of possible environment variables:
Opis
Spremenljivka
Proxy HTTP brez preverjanja pristnosti
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS brez preverjanja pristnosti
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP s preverjanjem pristnosti
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS s preverjanjem pristnosti
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Konfiguracijska datoteka ISO, ki jo ustvarite, vsebuje matični ključ, ki šifrira zbirko podatkov PostgreSQL ali Microsoft SQL Server. Najnovejšo kopijo te datoteke potrebujete, kadar opravite spremembe konfiguracije, kot so:
-
Poverilnice zbirke podatkov
-
Posodobitve potrdila
-
Spremembe pravilnika o pooblastitvi
-
-
Če nameravate šifrirati povezave zbirk podatkov, nastavite uvajanje PostgreSQL ali SQL Server za TLS.
Postopek nastavitve hibridne varnosti podatkov ustvari datoteko ISO. Nato uporabite ISO, da konfigurirate gostitelja hibridne varnosti podatkov.
| 1 |
V ukazni vrstici vašega računalnika vnesite ustrezen ukaz za vaše okolje: V rednih okoljih: V okoljih FedRAMP: Ta korak počisti prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete. |
| 2 |
Če se želite vpisati v register slik Docker, vnesite naslednje: |
| 3 |
Ob pozivu k geslu vnesite to hash: |
| 4 |
Prenesite najnovejšo stabilno sliko za svoje okolje: V rednih okoljih: V okoljih FedRAMP: |
| 5 |
Ko je vlečenje končano, vnesite ustrezen ukaz za vaše okolje:
Ko vsebnik deluje, vidite »Strežnik Express posluša vrata 8080«. |
| 6 |
Orodje za nastavitev ne podpira povezave z krajevnim gostiteljem prek http://localhost:8080. Uporabite http://127.0.0.1:8080 za povezavo z lokalnim gostiteljem. S spletnim brskalnikom pojdite na lokalnega gostitelja Orodje uporablja ta prvi vnos uporabniškega imena za nastavitev ustreznega okolja za ta račun. Orodje nato prikaže standardni poziv za vpis. |
| 7 |
Ob pozivu vnesite poverilnice za vpis skrbnika Partner Hub in nato kliknite Prijava , da omogočite dostop do zahtevanih storitev za hibridno varnost podatkov. |
| 8 |
Na strani s pregledom orodja za nastavitev kliknite Začni. |
| 9 |
Na strani Uvoz ISO kliknite Da. |
| 10 |
Izberite datoteko ISO v brskalniku in jo naložite. Za izvajanje upravljanja CMK zagotovite povezljivost s svojo zbirko podatkov. |
| 11 |
Pojdite v zavihek Upravljanje CMK najemnika , kjer boste našli naslednje tri načine upravljanja CMK najemnika.
|
| 12 |
Ko je ustvarjanje CMK uspešno, se bo stanje v tabeli spremenilo iz upravljanja CMK na čakanju v upravljan CMK. |
| 13 |
Če ustvarjanje CMK ni uspešno, bo prikazana napaka. |
Odstrani organizacije najemnikov
Preden začnete
Ko je enkrat odstranjen, uporabniki organizacij strank ne bodo mogli izkoristiti HDS za svoje potrebe šifriranja in bodo izgubili vse obstoječe prostore. Preden odstranite organizacije strank, se obrnite na svojega partnerja Cisco ali skrbnika računa.
| 1 |
Vpišite se v https://admin.webex.com. |
| 2 |
V meniju na levi strani zaslona izberite Storitve. |
| 3 |
V razdelku Storitve v oblaku poiščite hibridno varnost podatkov in kliknite Ogled vseh. |
| 4 |
V zavihku Viri kliknite gručo, iz katere želite odstraniti organizacije strank. |
| 5 |
Na strani, ki se odpre, kliknite Dodeljene stranke. |
| 6 |
Na seznamu organizacij strank, ki se prikaže, kliknite ... na desni strani organizacije stranke, ki jo želite odstraniti, in kliknite Odstrani iz gruče. |
Kaj storiti naslednje
Dokončajte postopek odstranitve z razveljavitvijo CMK organizacij strank, kot je podrobno opisano v Prekliči CMK najemnikov, odstranjenih iz HDS.
Prekličite CMK najemnikov, odstranjenih iz HDS.
Preden začnete
Odstranite stranke iz ustrezne gruče, kot je podrobno opisano v Odstrani organizacije najemnikov. Zaženite orodje za nastavitev HDS, da dokončate postopek odstranitve za organizacije strank, ki so bile odstranjene.
-
Orodje za nastavitev HDS se uporablja kot vsebnik Docker na lokalnem računalniku. Če želite dostopati, zaženite Docker na tem stroju. Postopek nastavitve zahteva poverilnice računa Partner Hub s polnimi skrbniškimi pravicami za vašo organizacijo.
Če orodje za nastavitev HDS deluje za proxy v vašem okolju, zagotovite nastavitve proxy (strežnik, vrata, poverilnice) prek spremenljivk okolja Docker, ko dvignete vsebnik Docker v koraku 5. The list of possible environment variables:
Opis
Spremenljivka
Proxy HTTP brez preverjanja pristnosti
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS brez preverjanja pristnosti
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP s preverjanjem pristnosti
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS s preverjanjem pristnosti
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Konfiguracijska datoteka ISO, ki jo ustvarite, vsebuje matični ključ, ki šifrira zbirko podatkov PostgreSQL ali Microsoft SQL Server. Najnovejšo kopijo te datoteke potrebujete, kadar opravite spremembe konfiguracije, kot so:
-
Poverilnice zbirke podatkov
-
Posodobitve potrdila
-
Spremembe pravilnika o pooblastitvi
-
-
Če nameravate šifrirati povezave zbirk podatkov, nastavite uvajanje PostgreSQL ali SQL Server za TLS.
Postopek nastavitve hibridne varnosti podatkov ustvari datoteko ISO. Nato uporabite ISO, da konfigurirate gostitelja hibridne varnosti podatkov.
| 1 |
V ukazni vrstici vašega računalnika vnesite ustrezen ukaz za vaše okolje: V rednih okoljih: V okoljih FedRAMP: Ta korak počisti prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete. |
| 2 |
Če se želite vpisati v register slik Docker, vnesite naslednje: |
| 3 |
Ob pozivu k geslu vnesite to hash: |
| 4 |
Prenesite najnovejšo stabilno sliko za svoje okolje: V rednih okoljih: V okoljih FedRAMP: |
| 5 |
Ko je vlečenje končano, vnesite ustrezen ukaz za vaše okolje:
Ko vsebnik deluje, vidite »Strežnik Express posluša vrata 8080«. |
| 6 |
Orodje za nastavitev ne podpira povezave z krajevnim gostiteljem prek http://localhost:8080. Uporabite http://127.0.0.1:8080 za povezavo z lokalnim gostiteljem. S spletnim brskalnikom pojdite na lokalnega gostitelja Orodje uporablja ta prvi vnos uporabniškega imena za nastavitev ustreznega okolja za ta račun. Orodje nato prikaže standardni poziv za vpis. |
| 7 |
Ob pozivu vnesite poverilnice za vpis skrbnika Partner Hub in nato kliknite Prijava , da omogočite dostop do zahtevanih storitev za hibridno varnost podatkov. |
| 8 |
Na strani s pregledom orodja za nastavitev kliknite Začni. |
| 9 |
Na strani Uvoz ISO kliknite Da. |
| 10 |
Izberite datoteko ISO v brskalniku in jo naložite. |
| 11 |
Pojdite v zavihek Upravljanje CMK najemnika , kjer boste našli naslednje tri načine upravljanja CMK najemnika.
|
| 12 |
Ko je razveljavitev CMK uspešna, organizacija stranke ne bo več prikazana v tabeli. |
| 13 |
Če razveljavitev CMK ni uspešna, bo prikazana napaka. |
Preizkusite uvajanje hibridne varnosti podatkov
Preizkusite uvajanje hibridne varnosti podatkov
Preden začnete
-
Nastavite uvajanje hibridne varnosti podatkov z več najemniki.
-
Zagotovite, da imate dostop do syslog, da preverite, ali se ključne zahteve prenašajo v vaše uvajanje hibridne varnosti podatkov z več najemniki.
| 1 |
Tipke za dani prostor nastavi ustvarjalec prostora. Vpišite se v aplikacijo Webex kot eden od uporabnikov organizacije stranke in nato ustvarite prostor. Če deaktivirate uvajanje hibridne varnosti podatkov, vsebina v prostorih, ki jih ustvarijo uporabniki, po zamenjavi kopij šifrirnih ključev v predpomnilniku odjemalca ne bo več dostopna. |
| 2 |
Pošljite sporočila v nov prostor. |
| 3 |
Oglejte si izhod syslog, da preverite, ali ključne zahteve prehajajo v vaše uvajanje hibridne varnosti podatkov. |
Spremljaj zdravje hibridne varnosti podatkov
| 1 |
V zvezdišču Partner Hub v meniju na levi strani zaslona izberite Storitve . |
| 2 |
V razdelku Storitve v oblaku poiščite hibridno varnost podatkov in kliknite Uredi nastavitve. Prikaže se stran z nastavitvami hibridne varnosti podatkov.
|
| 3 |
V razdelku E-poštna obvestila vnesite enega ali več e-poštnih naslovov, ločenih z vejicami, in pritisnite Enter. |
Upravljajte svojo uvajanje HDS
Upravljanje uvajanja HDS
Uporabite tukaj opisana opravila za upravljanje uvajanja hibridne varnosti podatkov.
Nastavi razpored nadgradnje gruče
Če želite nastaviti razpored nadgradnje:
| 1 |
Vpišite se v Partner Hub. |
| 2 |
V meniju na levi strani zaslona izberite Storitve. |
| 3 |
V razdelku Storitve v oblaku poiščite hibridno varnost podatkov in kliknite Nastavi |
| 4 |
Na strani Viri hibridne varnosti podatkov izberite gručo. |
| 5 |
Kliknite zavihek Nastavitve gruče . |
| 6 |
Na strani Nastavitve gruče v razdelku Razpored nadgradnje izberite čas in časovni pas za razpored nadgradnje. Opomba: V časovnem pasu sta prikazana naslednja razpoložljiva datum in ura nadgradnje. Nadgradnjo lahko po potrebi prestavite na naslednji dan, tako da kliknete Preloži za 24 ur. |
Spremeni konfiguracijo vozlišča
-
Spreminjanje potrdil x.509 zaradi poteka ali drugih razlogov.
Ne podpiramo spreminjanja imena domene CN potrdila. Domena se mora ujemati z izvirno domeno, ki je bila uporabljena za registracijo gruče.
-
Posodabljanje nastavitev zbirke podatkov za spremembo v kopijo zbirke podatkov PostgreSQL ali Microsoft SQL Server.
Ne podpiramo selitve podatkov iz PostgreSQL v Microsoft SQL Server ali obratno. Če želite preklopiti okolje zbirke podatkov, začnite novo uvajanje hibridne varnosti podatkov.
-
Ustvarjanje nove konfiguracije za pripravo novega podatkovnega središča.
Hibridna varnost podatkov za varnostne namene uporablja tudi gesla storitvenih računov, ki trajajo devet mesecev. Ko orodje za nastavitev HDS ustvari ta gesla, jih namestite v vsako od vaših vozlišč HDS v konfiguracijski datoteki ISO. Ko se bliža preteku gesel vaše organizacije, boste od ekipe Webex prejeli obvestilo o ponastavitvi gesla za vaš strojni račun. (E-poštno sporočilo vključuje besedilo »Uporabite API strojnega računa za posodobitev gesla«) Če vaša gesla še niso potekla, vam orodje ponuja dve možnosti:
-
Mehka ponastavitev– Tako stara kot nova gesla delujeta do 10 dni. Uporabite to obdobje za postopno zamenjavo datoteke ISO na vozliščih.
-
Težka ponastavitev– Stara gesla takoj prenehajo delovati.
Če vaša gesla potečejo brez ponastavitve, to vpliva na vašo storitev HDS, kar zahteva takojšnjo trdo ponastavitev in zamenjavo datoteke ISO na vseh vozliščih.
S tem postopkom ustvarite novo datoteko ISO konfiguracije in jo uporabite v svoji gruči.
Preden začnete
-
Orodje za nastavitev HDS se uporablja kot vsebnik Docker na lokalnem računalniku. Če želite dostopati, zaženite Docker na tem stroju. Postopek nastavitve zahteva poverilnice računa Partner Hub s skrbniškimi pravicami partnerja .
Če nimate licence za namizje Docker, lahko uporabite namizje Podman za zagon orodja za nastavitev HDS za korake od 1.a do 1.e v spodnjem postopku. Za več podrobnosti si oglejte Zaženi orodje za nastavitev HDS z uporabo namizja Podman .
Če se orodje za nastavitev HDS v vašem okolju uporablja za proxy, zagotovite nastavitve proxy (strežnik, vrata, poverilnice) prek spremenljivk okolja Docker, ko nastavite vsebnik Docker v 1.e. The list of possible environment variables:
Opis
Spremenljivka
Proxy HTTP brez preverjanja pristnosti
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS brez preverjanja pristnosti
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP s preverjanjem pristnosti
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS s preverjanjem pristnosti
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Za ustvarjanje nove konfiguracije potrebujete kopijo datoteke ISO trenutne konfiguracije. ISO vsebuje glavni ključ, ki šifrira zbirko podatkov PostgreSQL ali Microsoft SQL Server. Ko opravite spremembe konfiguracije, vključno s poverilnicami zbirke podatkov, posodobitvami potrdil ali spremembami pravilnika pooblastitve, potrebujete ISO.
| 1 |
Če uporabljate Docker na lokalnem računalniku, zaženite orodje za nastavitev HDS. |
| 2 |
Če deluje samo eno vozlišče HDS, ustvarite novo vozlišče hibridne varnosti podatkov VM in ga registrirajte z novo konfiguracijsko datoteko ISO. Za podrobnejša navodila glejte Ustvari in registriraj več vozlišč. |
| 3 |
Za obstoječa vozlišča HDS, ki poganjajo starejšo konfiguracijsko datoteko, namestite datoteko ISO. V zameno izvedite naslednji postopek na vsakem vozlišču in posodobite vsako vozlišče, preden izklopite naslednje vozlišče: |
| 4 |
Ponovite 3. korak, da zamenjate konfiguracijo na vsakem preostalem vozlišču, ki izvaja staro konfiguracijo. |
Izklopite blokiran način ločljivosti zunanjega DNS
Ko registrirate vozlišče ali preverite konfiguracijo proxy vozlišča, proces preskusi iskanje DNS in povezljivost z oblakom Cisco Webex. Če strežnik DNS vozlišča ne more razrešiti javnih imen DNS, se vozlišče samodejno preklopi v blokiran način ločljivosti zunanjega DNS.
Če lahko vaša vozlišča razrešijo javna imena DNS prek notranjih strežnikov DNS, lahko ta način izklopite tako, da znova zaženete preskus povezave proxy na vsakem vozlišču.
Preden začnete
| 1 |
V spletnem brskalniku odprite vmesnik vozlišča hibridne varnosti podatkov (naslov/nastavitev IP, na primer https://192.0.2.0/setup), vnesite skrbniške poverilnice, ki ste jih nastavili za vozlišče, in nato kliknite Vpis. |
| 2 |
Pojdite v zavihek Pregled (privzeta stran). Ko je omogočena, je blokirana zunanja ločljivost DNS nastavljena na Da. |
| 3 |
Pojdite na stran Trgovina zaupanja in proxy . |
| 4 |
Kliknite Preveri povezavo proxy. Če vidite sporočilo, da zunanja ločljivost DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS in bo ostalo v tem načinu. V nasprotnem primeru bo po ponovnem zagonu vozlišča in vrnitvi na stran Pregled blokirana zunanja ločljivost DNS nastavljena na »Ne«. |
Kaj storiti naslednje
Odstrani vozlišče
| 1 |
Uporabite odjemalca VMware vSphere na svojem računalniku, da se prijavite v virtualni gostitelj ESXi in izklopite navidezni stroj. |
| 2 |
Odstrani vozlišče: |
| 3 |
v odjemalcu vSphere izbrišite VM. (V levem podoknu za krmarjenje z desno tipko miške kliknite VM in kliknite Izbriši.) Če ne izbrišete VM, ne pozabite odklopiti konfiguracijske datoteke ISO. Brez datoteke ISO ne morete uporabiti VM za dostop do svojih varnostnih podatkov. |
Obnovitev po katastrofi z uporabo podatkovnega središča v stanju pripravljenosti
Najbolj kritična storitev, ki jo zagotavlja vaša gruča za hibridno varnost podatkov, je ustvarjanje in shranjevanje ključev, ki se uporabljajo za šifriranje sporočil in druge vsebine, shranjene v oblaku Webex. Za vsakega uporabnika znotraj organizacije, ki je dodeljen hibridni varnosti podatkov, so nove zahteve za ustvarjanje ključa usmerjene v gručo. Gruča je odgovorna tudi za vrnitev ustvarjenih ključev kateremu koli uporabniku, ki je pooblaščen za njihovo pridobivanje, na primer članom prostora za pogovor.
Ker gruča opravlja kritično funkcijo zagotavljanja teh ključev, je nujno, da gruča še naprej teče in da se ohranijo ustrezne varnostne kopije. Izguba zbirke podatkov o hibridni varnosti podatkov ali konfiguracije ISO, ki se uporablja za shemo, bo povzročila NEPOPRAVLJIVO IZGUBO vsebine stranke. Za preprečitev take izgube so obvezne naslednje prakse:
Če nesreča povzroči, da uvajanje HDS v primarnem podatkovnem središču ni na voljo, sledite temu postopku in ročno preklopite na podatkovni center v stanju pripravljenosti.
Preden začnete
| 1 |
Zaženite orodje za nastavitev HDS in sledite korakom, navedenim v Ustvari konfiguracijo ISO za gostitelje HDS. |
| 2 |
Dokončajte postopek konfiguracije in shranite datoteko ISO na lokacijo, ki jo je enostavno najti. |
| 3 |
Naredite varnostno kopijo datoteke ISO v lokalnem sistemu. Varnostno kopijo ohranite varno. Ta datoteka vsebuje matični šifrirni ključ za vsebino zbirke podatkov. Omejite dostop samo na skrbnike hibridne varnosti podatkov, ki morajo opraviti spremembe konfiguracije. |
| 4 |
V levem podoknu za krmarjenje odjemalca VMware vSphere z desno tipko miške kliknite VM in kliknite Uredi nastavitve. |
| 5 |
Kliknite Uredi nastavitve >Pogon CD/DVD 1 in izberite Datoteka ISO shrambe podatkov. Preverite, ali sta možnost Connected in Connect at power označena, da lahko posodobljene spremembe konfiguracije začnejo veljati po zagonu vozlišč. |
| 6 |
Vklopite vozlišče HDS in poskrbite, da vsaj 15 minut ni alarmov. |
| 7 |
Registrirajte vozlišče v Partner Hub. Glejte Registrirajte prvo vozlišče v gruči. |
| 8 |
Ponovite postopek za vsako vozlišče v podatkovnem središču v stanju pripravljenosti. |
Kaj storiti naslednje
(Izbirno) Odklopite ISO po konfiguraciji HDS
Standardna konfiguracija HDS deluje z nameščenim ISO. Vendar pa nekatere stranke raje ne pustijo datotek ISO stalno nameščenih. Ko bodo vsa vozlišča HDS prevzela novo konfiguracijo, lahko odklopite datoteko ISO.
Za spremembo konfiguracije še vedno uporabljate datoteke ISO. Ko ustvarite nov ISO ali posodobite ISO prek orodja za nastavitev, morate posodobljen ISO namestiti na vsa vozlišča HDS. Ko vsa vaša vozlišča prevzamejo spremembe konfiguracije, lahko s tem postopkom znova odklopite ISO.
Preden začnete
Nadgradite vsa svoja vozlišča HDS na različico 2021.01.22.4720 ali novejšo.
| 1 |
Izklopite eno od vozlišč HDS. |
| 2 |
V napravi strežnika vCenter izberite vozlišče HDS. |
| 3 |
Izberite in počistite Datoteka ISO podatkovne zbirke. |
| 4 |
Vklopite vozlišče HDS in zagotovite, da ni alarmov vsaj 20 minut. |
| 5 |
Nato ponovite za vsako vozlišče HDS. |
Odpravljanje težav s hibridno varnostjo podatkov
Ogled opozoril in odpravljanje težav
Uvajanje hibridne varnosti podatkov se šteje za nerazpoložljivo, če so vsa vozlišča v gruči nedosegljiva ali če gruča deluje tako počasi, da zahteva časovno omejitev. Če uporabniki ne morejo doseči gruče hibridne varnosti podatkov, imajo naslednje simptome:
-
Novih prostorov ni mogoče ustvariti (novih ključev ni mogoče ustvariti)
-
Sporočil in naslovov prostorov ni bilo mogoče dešifrirati za:
-
Novi uporabniki, dodani v prostor (ni mogoče pridobiti tipk)
-
Obstoječi uporabniki v prostoru, ki uporabljajo novega odjemalca (ni mogoče pridobiti ključev)
-
-
Obstoječi uporabniki v prostoru bodo še naprej uspešno delovali, dokler imajo njihovi odjemalci predpomnilnik šifrirnih ključev.
Pomembno je, da ustrezno spremljate svojo gručo hibridne varnosti podatkov in se takoj odzovete na morebitna opozorila, da se izognete motnjam storitev.
Opozorila
Če imate težave z nastavitvijo hibridne varnosti podatkov, Partner Hub prikaže opozorila skrbniku organizacije in pošlje e-poštna sporočila na konfiguriran e-poštni naslov. Opozorila zajemajo številne skupne scenarije.
|
Opozori |
Dejanje |
|---|---|
|
Napaka pri dostopu do lokalne zbirke podatkov. |
Preverite napake zbirke podatkov ali težave z lokalnim omrežjem. |
|
Napaka v povezavi z lokalno zbirko podatkov. |
Preverite, ali je strežnik zbirke podatkov na voljo in ali so bile v konfiguraciji vozlišča uporabljene prave poverilnice storitvenega računa. |
|
Napaka pri dostopu do storitev v oblaku. |
Preverite, ali imajo vozlišča dostop do strežnikov Webex, kot je določeno v zahtevah za zunanjo povezljivost. |
|
Obnovitev registracije storitve v oblaku. |
Registracija v storitve v oblaku je bila prekinjena. Podaljšanje registracije je v teku. |
|
Registracija storitve v oblaku je bila prekinjena. |
Registracija v storitve v oblaku je bila prekinjena. Storitev se izklaplja. |
|
Storitev še ni aktivirana. |
Aktivirajte HDS v Partner Hub. |
|
Konfigurirana domena se ne ujema s strežniškim potrdilom. |
Vaše strežniško potrdilo se mora ujemati s konfigurirano domeno za aktiviranje storitve. Najverjetnejši vzrok je, da je bil certifikat CN nedavno spremenjen in se zdaj razlikuje od CN, ki je bil uporabljen med začetno nastavitvijo. |
|
Pristnosti storitev v oblaku ni bilo mogoče preveriti. |
Preverite točnost in možen potek poverilnic storitvenega računa. |
|
Odpiranje lokalne datoteke s tipkovnico ni uspelo. |
Preverite integriteto in točnost gesla v lokalni datoteki s tipkovnico. |
|
Potrdilo lokalnega strežnika ni veljavno. |
Preverite datum poteka potrdila strežnika in potrdite, da ga je izdal zaupanja vreden Certificate Authority. |
|
Ni mogoče objaviti metrike. |
Preverite dostop lokalnega omrežja do zunanjih storitev v oblaku. |
|
/media/configdrive/hds directory ne obstaja. |
Preverite konfiguracijo priklopa ISO na navideznem gostitelju. Preverite, ali datoteka ISO obstaja, ali je konfigurirana za ponovni zagon in ali se uspešno priklopi. |
|
Nastavitev organizacije najemnika ni dokončana za dodane organizacije |
Dokončajte nastavitev z ustvarjanjem CMK za na novo dodane organizacije najemnikov z orodjem za nastavitev HDS. |
|
Nastavitev organizacije najemnika ni dokončana za odstranjene organizacije |
Dokončajte nastavitev z razveljavitvijo CMK organizacij najemnikov, ki so bile odstranjene z orodjem za nastavitev HDS. |
Odpravljanje težav s hibridno varnostjo podatkov
| 1 |
Preglejte Partner Hub glede morebitnih opozoril in popravite morebitne elemente, ki jih najdete tam. Oglejte si spodnjo sliko za referenco. |
| 2 |
Preglejte izhod strežnika syslog za dejavnost iz uvajanja hibridne varnosti podatkov. Filtrirajte za besede, kot sta »Opozorilo« in »Napaka«, da pomagate pri odpravljanju težav. |
| 3 |
Stopite v stik s podporo podjetja Cisco. |
Druge opombe
Znane težave za hibridno varnost podatkov
-
Če zaprete gručo hibridne varnosti podatkov (tako, da jo izbrišete v Partner Hub ali zaprete vsa vozlišča), izgubite konfiguracijsko datoteko ISO ali izgubite dostop do zbirke podatkov shrambe tipk, uporabniki aplikacije Webex v organizacijah strank ne morejo več uporabljati prostorov na svojem seznamu oseb, ki so bili ustvarjeni s ključi iz vašega KMS. Trenutno nimamo opravka ali rešitve za to težavo in vas pozivamo, da ne zaustavite storitev HDS, ko obravnavajo aktivne uporabniške račune.
-
Odjemalec, ki ima obstoječo povezavo ECDH s KMS, to povezavo vzdržuje za nekaj časa (verjetno eno uro).
Zaženi orodje za nastavitev HDS z namizjem Podman
Podman je prosto in odprtokodno orodje za upravljanje zabojnikov, ki ponuja način delovanja, upravljanja in ustvarjanja zabojnikov. Namizje Podman lahko prenesete z https://podman-desktop.io/downloads.
-
Orodje za nastavitev HDS se uporablja kot vsebnik Docker na lokalnem računalniku. Če želite dostopati do nje, prenesite in zaženite Podman na tej napravi. Postopek nastavitve zahteva poverilnice računa Control Hub s polnimi skrbniškimi pravicami za vašo organizacijo.
Če orodje za nastavitev HDS deluje za proxy v vašem okolju, zagotovite nastavitve proxy (strežnik, vrata, poverilnice) prek spremenljivk okolja Docker, ko dvignete vsebnik Docker v 5. koraku. The list of possible environment variables:
Opis
Spremenljivka
Proxy HTTP brez preverjanja pristnosti
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS brez preverjanja pristnosti
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP s preverjanjem pristnosti
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS s preverjanjem pristnosti
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Konfiguracijska datoteka ISO, ki jo ustvarite, vsebuje matični ključ, ki šifrira zbirko podatkov PostgreSQL ali Microsoft SQL Server. Najnovejšo kopijo te datoteke potrebujete, kadar opravite spremembe konfiguracije, kot so:
-
Poverilnice zbirke podatkov
-
Posodobitve potrdila
-
Spremembe pravilnika o pooblastitvi
-
-
Če nameravate šifrirati povezave zbirk podatkov, nastavite uvajanje PostgreSQL ali SQL Server za TLS.
Postopek nastavitve hibridne varnosti podatkov ustvari datoteko ISO. Nato uporabite ISO, da konfigurirate gostitelja hibridne varnosti podatkov.
| 1 |
V ukazni vrstici vašega računalnika vnesite ustrezen ukaz za vaše okolje: V rednih okoljih: V okoljih FedRAMP: Ta korak počisti prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete. |
| 2 |
Če se želite vpisati v register slik Docker, vnesite naslednje: |
| 3 |
Ob pozivu k geslu vnesite to hash: |
| 4 |
Prenesite najnovejšo stabilno sliko za svoje okolje: V rednih okoljih: V okoljih FedRAMP: |
| 5 |
Ko je vlečenje končano, vnesite ustrezen ukaz za vaše okolje:
Ko vsebnik deluje, vidite »Strežnik Express posluša vrata 8080«. |
Kaj storiti naslednje
Uporabite OpenSSL za ustvarjanje datoteke PKCS12
Preden začnete
-
OpenSSL je eno orodje, ki ga lahko uporabimo za izdelavo datoteke PKCS12 v ustrezni obliki za nalaganje v orodju za nastavitev HDS. Obstajajo tudi drugi načini za to in ne podpiramo ali promoviramo enega preko drugega.
-
Če se odločite za uporabo OpenSSL, vam ta postopek ponujamo kot vodilo za ustvarjanje datoteke, ki izpolnjuje zahteve za potrdilo X.509 v zahtevah za potrdila X.509. Preden nadaljujete, razumete te zahteve.
-
Namestite OpenSSL v podprtem okolju. Glejte https://www.openssl.org programsko opremo in dokumentacijo.
-
Ustvarite zasebni ključ.
-
Ta postopek začnite, ko prejmete strežniško potrdilo od svojega Certificate Authority (CA).
| 1 |
Ko prejmete strežniško potrdilo od svojega CA, ga shranite kot |
| 2 |
Prikaži potrdilo kot besedilo in preverite podrobnosti.
|
| 3 |
Z urejevalnikom besedila ustvarite datoteko s paketom potrdil, imenovano
|
| 4 |
Ustvarite datoteko .p12 s prijateljskim imenom
|
| 5 |
Preverite podrobnosti potrdila strežnika. |
Kaj storiti naslednje
Vrnite se, da dokončate predpogoje za hibridno varnost podatkov. Uporabili boste hdsnode.p12 datoteko in geslo, ki ste ga zanjo nastavili v razdelku Ustvari konfiguracijo ISO za gostitelje HDS.
Te datoteke lahko znova uporabite, da zahtevate novo potrdilo, ko poteče prvotno potrdilo.
Promet med vozlišči HDS in oblakom
Promet zbiranja metrik odhodnega prometa
Vozlišča hibridne varnosti podatkov pošiljajo določene metrike v oblak Webex. Te vključujejo metrike sistema za največ kupe, uporabljeno kupe, obremenitev CPU in število niti; metrike o sinhroniziranih in asinhronih niti; metrike o opozorilih, ki vključujejo prag šifrirnih povezav, zakasnitve ali dolžine čakalne vrste za zahtevo; metrike o shrambi podatkov in metrike šifrirnih povezav. Vozlišča pošiljajo šifrirano gradivo s ključem prek kanala zunaj skupine (ločenega od zahteve).
Dohodni promet
Vozlišča hibridne varnosti podatkov prejmejo naslednje vrste dohodnega prometa iz oblaka Webex:
-
Zahteve za šifriranje od odjemalcev, ki jih usmerja šifrirna storitev
-
Nadgradnje programske opreme vozlišča
Konfigurirajte proxyje Squid za hibridno varnost podatkov
Websocket Se Ni Mogoče Povezati Prek Proxy Ligenja
Proxyji ligenja, ki pregledujejo promet HTTPS, lahko motijo vzpostavitev websocket (wss:) povezav, ki jih zahteva hibridna varnost podatkov. Ta poglavja dajejo smernice o tem, kako konfigurirati različne različice ligenja, da ne upoštevajo wss: prometa za pravilno delovanje storitev.
Ligenj 4 in 5
Dodajte on_unsupported_protocol direktivo na squid.conf:
on_unsupported_protocol tunnel allLigenj 3.5.27
Hibridno varnost podatkov smo uspešno preizkusili z naslednjimi pravili, dodanimi squid.conf. Ta pravila se lahko spremenijo z razvojem funkcij in posodobitvijo oblaka Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allNove in spremenjene informacije
Nove in spremenjene informacije
Ta tabela zajema nove funkcije ali funkcionalnosti, spremembe obstoječe vsebine in vse večje napake, ki so bile odpravljene v Vodniku za uvajanje večnajemniške hibridne varnosti podatkov.
|
Datum |
Spremembe |
|---|---|
|
8. maj 2025 |
|
| 4. marec 2025 |
|
|
30. januar 2025 |
Na seznam podprtih strežnikov SQL v Zahteve strežnika baz podatkovje bil dodan strežnik SQL različice 2022. |
|
15. januar 2025 |
Dodane omejitve večnajemniške hibridne varnosti podatkov. |
|
8. januar 2025 |
V razdelku Izvedite začetno nastavitev in prenesite namestitvene datoteke je bila dodana opomba, da je klik na Nastavi na kartici HDS v središču za partnerje pomemben korak namestitvenega postopka. |
|
7. januar 2025 |
Posodobljene zahteve za virtualni gostitelj, potek opravil uvajanja hibridne varnosti podatkovin namestitev OVA za gostitelja HDS so prikazane za prikaz novih zahtev ESXi 7.0. |
|
13. decembra 2024 |
Prvič objavljeno. |
Deaktiviranje hibridne varnosti podatkov za več najemnikov
Potek opravila deaktivacije večnajemniškega HDS
Za popolno deaktivacijo storitve Multi-Tenant HDS sledite tem korakom.
Preden začnete
| 1 |
Odstranite vse stranke iz vseh gruč, kot je omenjeno v Odstranjevanje organizacij najemnikov. |
| 2 |
Prekličite CMK-je vseh strank, kot je omenjeno v Prekličite CMK-je najemnikov, odstranjenih iz HDS.. |
| 3 |
Odstranite vsa vozlišča iz vseh gruč, kot je omenjeno v Odstranjevanje vozlišča. |
| 4 |
Izbrišite vse svoje gruče iz središča za partnerje z eno od naslednjih dveh metod.
|
| 5 |
Na strani s pregledom hibridne varnosti podatkov kliknite zavihek Nastavitve in na kartici Stanje HDS kliknite Deaktiviraj HDS. |
Začnite z večnajemniško hibridno varnostjo podatkov
Pregled varnosti hibridnih podatkov za več najemnikov
Pri oblikovanju aplikacije Webex je bila varnost podatkov že od prvega dne v središču pozornosti. Temelj te varnosti je celovito šifriranje vsebine, ki ga omogočajo odjemalci aplikacije Webex, ki komunicirajo s storitvijo upravljanja ključev (KMS). KMS je odgovoren za ustvarjanje in upravljanje kriptografskih ključev, ki jih odjemalci uporabljajo za dinamično šifriranje in dešifriranje sporočil in datotek.
Privzeto imajo vsi uporabniki aplikacije Webex na voljo celovito šifriranje z dinamičnimi ključi, shranjenimi v oblačnem KMS-ju v varnostnem področju Cisco. Hibridna varnost podatkov premakne KMS in druge varnostne funkcije v podatkovni center vašega podjetja, tako da nihče drug kot vi nima ključev do vaše šifrirane vsebine.
Večnajemniška hibridna varnost podatkov organizacijam omogoča, da izkoristijo HDS prek zaupanja vrednega lokalnega partnerja, ki lahko deluje kot ponudnik storitev in upravlja lokalno šifriranje in druge varnostne storitve. Ta nastavitev omogoča partnerski organizaciji popoln nadzor nad uvajanjem in upravljanjem šifrirnih ključev ter zagotavlja, da so uporabniški podatki strankinih organizacij varni pred zunanjim dostopom. Partnerske organizacije nastavijo instance HDS in po potrebi ustvarijo gruče HDS. Vsaka instanca lahko podpira več organizacij strank, za razliko od običajne uvedbe HDS, ki je omejena na eno samo organizacijo.
To omogoča tudi manjšim organizacijam, da izkoristijo HDS, saj so storitve upravljanja ključev in varnostna infrastruktura, kot so podatkovni centri, v lasti zaupanja vrednega lokalnega partnerja.
Kako večnajemniška hibridna varnost podatkov zagotavlja suverenost in nadzor nad podatki
- Vsebina, ki jo ustvarijo uporabniki, je zaščitena pred zunanjim dostopom, kot so ponudniki storitev v oblaku.
- Lokalni zaupanja vredni partnerji upravljajo šifrirne ključe strank, s katerimi že imajo vzpostavljen odnos.
- Možnost lokalne tehnične podpore, če jo nudi partner.
- Podpira vsebino za sestanke, sporočanje in klicanje.
Ta dokument je namenjen pomoči partnerskim organizacijam pri vzpostavitvi in upravljanju strank v okviru hibridnega sistema za varnost podatkov z več najemniki.
Omejitve večnajemniške hibridne varnosti podatkov
- Partnerske organizacije ne smejo imeti nobene obstoječe aktivne uvedbe HDS v Control Hubu.
- Najemniki ali organizacije strank, ki želijo, da jih upravlja partner, ne smejo imeti obstoječe uvedbe HDS v Control Hubu.
- Ko partner uvede rešitev Multi-Tenant HDS, jo začnejo uporabljati vsi uporabniki strankinih organizacij in tudi uporabniki partnerske organizacije za svoje storitve šifriranja.
Partnerska organizacija in organizacije strank, ki jih upravljajo, bodo v isti večnajemniški uvedbi HDS.
Partnerska organizacija po uvedbi storitve Multi-Tenant HDS ne bo več uporabljala storitve KMS v oblaku.
- Po uvedbi HDS ni mehanizma za prenos ključev nazaj v Cloud KMS.
- Trenutno ima lahko vsaka večnajemniška uvedba HDS samo eno gručo z več vozlišči pod njo.
- Vloge skrbnika imajo določene omejitve; za podrobnosti glejte spodnji razdelek.
Vloge v hibridni varnosti podatkov za več najemnikov
- Polnopravni skrbnik partnerja - Lahko upravlja nastavitve za vse stranke, ki jih partner upravlja. Lahko tudi dodelijo vloge skrbnika obstoječim uporabnikom v organizaciji in dodelijo točno določene stranke v upravljanje partnerskim administratorjem.
- Skrbnik partnerja – Lahko upravlja nastavitve za stranke, ki jih je skrbnik omogočil ali ki so bile dodeljene uporabniku.
- Polnopravni skrbnik - Skrbnik partnerske organizacije, ki je pooblaščen za izvajanje nalog, kot so spreminjanje nastavitev organizacije, upravljanje licenc in dodeljevanje vlog.
- Celovita namestitev in upravljanje večnajemniškega HDS za vse organizacije strank - Zahtevani so partnerjevi skrbniški pravici s polnimi skrbniškimi pravicami.
- Upravljanje dodeljenih organizacij najemnikov - Zahtevan je skrbnik partnerja in polne skrbniške pravice.
Arhitektura varnostnega področja
Arhitektura oblaka Webex ločuje različne vrste storitev v ločena področja ali domene zaupanja, kot je prikazano spodaj.
Za boljše razumevanje hibridne varnosti podatkov si najprej poglejmo ta čisti primer oblaka, kjer Cisco zagotavlja vse funkcije v svojih oblačnih področjih. Storitev identitete, edino mesto, kjer so uporabniki lahko neposredno povezani s svojimi osebnimi podatki, kot je e-poštni naslov, je logično in fizično ločena od varnostnega področja v podatkovnem centru B. Oboje je ločeno od področja, kjer je končno shranjena šifrirana vsebina, v podatkovnem centru C.
Na tem diagramu je odjemalec aplikacija Webex, ki se izvaja na uporabnikovem prenosniku in je overjena s storitvijo identitete. Ko uporabnik sestavi sporočilo za pošiljanje v prostor, se izvedejo naslednji koraki:
-
Odjemalec vzpostavi varno povezavo s storitvijo za upravljanje ključev (KMS) in nato zahteva ključ za šifriranje sporočila. Varna povezava uporablja ECDH, KMS pa šifrira ključ z glavnim ključem AES-256.
-
Sporočilo je šifrirano, preden zapusti odjemalca. Odjemalec ga pošlje storitvi indeksiranja, ki ustvari šifrirane iskalne indekse, ki pomagajo pri prihodnjih iskanjih vsebine.
-
Šifrirano sporočilo se pošlje službi za skladnost s predpisi za preverjanje skladnosti.
-
Šifrirano sporočilo je shranjeno v shrambi.
Ko uvedete hibridno varnost podatkov, premaknete funkcije varnostnega področja (KMS, indeksiranje in skladnost) v svoj lokalni podatkovni center. Druge storitve v oblaku, ki sestavljajo Webex (vključno s shranjevanjem identitete in vsebine), ostajajo v Ciscovi domeni.
Sodelovanje z drugimi organizacijami
Uporabniki v vaši organizaciji lahko redno uporabljajo aplikacijo Webex za sodelovanje z zunanjimi udeleženci v drugih organizacijah. Ko eden od vaših uporabnikov zahteva ključ za prostor, ki je v lasti vaše organizacije (ker ga je ustvaril eden od vaših uporabnikov), vaš KMS pošlje ključ odjemalcu prek zaščitenega kanala ECDH. Ko pa je ključ za prostor lastnica druge organizacije, vaš KMS zahtevo prek ločenega kanala ECDH usmeri v oblak Webex, da pridobi ključ od ustreznega KMS-a, nato pa ga vrne vašemu uporabniku prek prvotnega kanala.
Storitev KMS, ki se izvaja v organizaciji A, preverja povezave s KMS-ji v drugih organizacijah z uporabo potrdil PKI x.509. Za podrobnosti o ustvarjanju potrdila x.509 za uporabo z uvedbo hibridne varnosti podatkov za več najemnikov glejte Priprava okolja.
Pričakovanja glede uvajanja hibridne varnosti podatkov
Uvedba hibridne varnosti podatkov zahteva veliko predanosti in zavedanje tveganj, ki so povezana z lastništvom šifrirnih ključev.
Za uvedbo hibridne varnosti podatkov morate zagotoviti:
-
Varen podatkovni center v državi, ki je podprta lokacija za pakete Cisco Webex Teams.
-
Oprema, programska oprema in dostop do omrežja, opisani v Pripravite svoje okolje.
Popolna izguba konfiguracijske datoteke ISO, ki jo zgradite za Hybrid Data Security, ali baze podatkov, ki jo zagotovite, bo povzročila izgubo ključev. Izguba ključa uporabnikom preprečuje dešifriranje vsebine prostora in drugih šifriranih podatkov v aplikaciji Webex. Če se to zgodi, lahko zgradite novo uvajanje, vendar bo vidna le nova vsebina. Da bi se izognili izgubi dostopa do podatkov, morate:
-
Upravljajte varnostno kopiranje in obnovitev baze podatkov ter konfiguracijske datoteke ISO.
-
Bodite pripravljeni na hitro okrevanje po katastrofi, če pride do katastrofe, kot je okvara diska baze podatkov ali katastrofa podatkovnega centra.
Po uvedbi HDS ni mehanizma za prenos ključev nazaj v oblak.
Postopek nastavitve na visoki ravni
Ta dokument zajema nastavitev in upravljanje uvedbe hibridne varnosti podatkov za več najemnikov:
-
Nastavitev hibridne varnosti podatkov– To vključuje pripravo potrebne infrastrukture in namestitev programske opreme za hibridno varnost podatkov, izgradnjo grozda HDS, dodajanje najemniških organizacij v grozd in upravljanje njihovih glavnih ključev strank (CMK). To bo vsem uporabnikom vaših strank omogočilo uporabo vaše hibridne gruče za varnost podatkov za varnostne funkcije.
Faze nastavitve, aktivacije in upravljanja so podrobno obravnavane v naslednjih treh poglavjih.
-
Vzdržujte svojo uvedbo hibridne varnosti podatkov– Oblak Webex samodejno zagotavlja stalne nadgradnje. Vaš IT oddelek lahko za to uvedbo zagotovi podporo prve stopnje in po potrebi vključi podporo Cisco. V središču za partnerje lahko uporabljate obvestila na zaslonu in nastavite e-poštna opozorila.
-
Razumevanje pogostih opozoril, korakov za odpravljanje težav in znanih težav– Če naletite na težave pri uvajanju ali uporabi Hybrid Data Security, vam lahko zadnje poglavje tega priročnika in dodatek Znane težave pomagata ugotoviti in odpraviti težavo.
Hibridni model uvajanja varnosti podatkov
Znotraj podatkovnega centra podjetja namestite hibridno varnost podatkov kot eno samo gručo vozlišč na ločenih virtualnih gostiteljih. Vozlišča komunicirajo z oblakom Webex prek varnih spletnih vtičnic in varnega HTTP-ja.
Med namestitvijo vam zagotovimo datoteko OVA za nastavitev virtualne naprave na navideznih strojih, ki jih zagotovite. Z orodjem za nastavitev HDS ustvarite datoteko ISO s konfiguracijo gruče po meri, ki jo namestite na vsako vozlišče. Gruča hibridne varnosti podatkov uporablja vaš strežnik Syslogd in bazo podatkov PostgreSQL ali Microsoft SQL Server. (Podrobnosti o povezavi Syslogd in baze podatkov konfigurirate v orodju za nastavitev HDS.)
Najmanjše število vozlišč, ki jih lahko imate v gruči, je dve. Priporočamo vsaj tri na gručo. Več vozlišč zagotavlja, da storitev ni prekinjena med nadgradnjo programske opreme ali drugimi vzdrževalnimi dejavnostmi na vozlišču. (Webexov oblak nadgradi samo eno vozlišče naenkrat.)
Vsa vozlišča v gruči dostopajo do istega shrambe ključnih podatkov in beležijo dejavnosti na istem strežniku syslog. Vozlišča sama so brez stanja in obravnavajo ključne zahteve krožno, kot jih naroči oblak.
Vozlišča postanejo aktivna, ko jih registrirate v središču za partnerje. Če želite posamezno vozlišče izklopiti iz uporabe, ga lahko odregistrirate in ga po potrebi pozneje ponovno registrirate.
Rezervni podatkovni center za obnovo po katastrofi
Med uvajanjem nastavite varen rezervni podatkovni center. V primeru katastrofe v podatkovnem centru lahko ročno preusmerite uvedbo v rezervni podatkovni center.
Podatkovne baze aktivnih in rezervnih podatkovnih centrov so med seboj sinhronizirane, kar bo skrajšalo čas, potreben za izvedbo preklopa na rezervni način.
Aktivna vozlišča Hybrid Data Security morajo biti vedno v istem podatkovnem centru kot aktivni strežnik baze podatkov.
Podpora za posrednike
Hibridna varnost podatkov podpira eksplicitne, pregledne inšpekcijske in neinšpekcijske posrednike. Te posredniške strežnike lahko povežete s svojo uvedbo, da lahko zavarujete in spremljate promet iz podjetja v oblak. Za upravljanje potrdil in preverjanje splošnega stanja povezljivosti lahko na vozliščih uporabite skrbniški vmesnik platforme.
Vozlišča Hybrid Data Security podpirajo naslednje možnosti proxyja:
-
Brez proxyja– Privzeta nastavitev, če ne uporabljate shrambe zaupanja za nastavitev vozlišča HDS & Konfiguracija proxyja za integracijo proxyja. Posodobitev potrdila ni potrebna.
-
Transparentni nenadzorovani proxy— Vozlišča niso konfigurirana za uporabo določenega naslova proxy strežnika in ne bi smela zahtevati nobenih sprememb za delo z nenadzorovanim proxyjem. Posodobitev potrdila ni potrebna.
-
Transparentno tuneliranje ali pregledovanje proxyja— Vozlišča niso konfigurirana za uporabo določenega naslova proxy strežnika. Na vozliščih ni potrebno spreminjati konfiguracije HTTP ali HTTPS. Vendar pa vozlišča potrebujejo korensko potrdilo, da lahko zaupajo posredniku. Pregledovanje posredniških strežnikov običajno uporablja IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta proxyja dešifrira ves vaš promet (tudi HTTPS).
-
Eksplicitni proxy– Z eksplicitnim proxyjem vozlišči HDS poveste, kateri proxy strežnik in shemo preverjanja pristnosti naj uporabijo. Če želite konfigurirati eksplicitni proxy, morate na vsakem vozlišču vnesti naslednje podatke:
-
Proksi IP/FQDN—Naslov, ki ga je mogoče uporabiti za dostop do posredniškega računalnika.
-
Vrata posredniškega strežnika– Številka vrat, ki jih posredniški strežnik uporablja za poslušanje prometa prek posredniškega strežnika.
-
Protokol proxy– Glede na to, kaj podpira vaš proxy strežnik, izberite med naslednjimi protokoli:
-
HTTP – Pregleduje in nadzoruje vse zahteve, ki jih pošlje odjemalec.
-
HTTPS – Zagotavlja kanal strežniku. Odjemalec prejme in potrdi potrdilo strežnika.
-
-
Vrsta preverjanja pristnosti– Izberite med naslednjimi vrstami preverjanja pristnosti:
-
Brez— Nadaljnja overitev ni potrebna.
Na voljo, če kot protokol proxy izberete HTTP ali HTTPS.
-
Osnovno– Uporablja se za uporabniški agent HTTP, ki pri oddaji zahteve posreduje uporabniško ime in geslo. Uporablja kodiranje Base64.
Na voljo, če kot protokol proxy izberete HTTP ali HTTPS.
Zahteva, da na vsakem vozlišču vnesete uporabniško ime in geslo.
-
Povzetek– Uporablja se za potrditev računa pred pošiljanjem občutljivih podatkov. Pred pošiljanjem prek omrežja na uporabniško ime in geslo uporabi zgoščevalno funkcijo.
Na voljo samo, če kot protokol proxy izberete HTTPS.
Zahteva, da na vsakem vozlišču vnesete uporabniško ime in geslo.
-
-
Primer hibridnih vozlišč za varnost podatkov in posredniškega strežnika
Ta diagram prikazuje primer povezave med hibridno varnostjo podatkov, omrežjem in posredniškim strežnikom. Za možnosti preglednega inšpekcijskega pregleda in eksplicitnega inšpekcijskega pregleda HTTPS mora biti na posredniškem strežniku in vozliščih Hybrid Data Security nameščeno isto korensko potrdilo.
Način blokiranega zunanjega ločevanja DNS-a (eksplicitne konfiguracije proxyja)
Ko registrirate vozlišče ali preverite konfiguracijo proxyja vozlišča, postopek preizkusi iskanje DNS in povezljivost z oblakom Cisco Webex. V uvedbah z eksplicitnimi konfiguracijami proxyja, ki ne dovoljujejo zunanjega razreševanja DNS za notranje odjemalce, če vozlišče ne more poizvedovati strežnikov DNS, samodejno preklopi v način blokiranega zunanjega razreševanja DNS. V tem načinu se lahko nadaljuje registracija vozlišč in drugi testi povezljivosti posredniškega strežnika.
Pripravite svoje okolje
Zahteve za varnost hibridnih podatkov za več najemnikov
Zahteve za licenco Cisco Webex
Za uvedbo hibridne varnosti podatkov za več najemnikov:
-
Partnerske organizacije: Obrnite se na svojega Ciscovega partnerja ali vodjo računa in se prepričajte, da je funkcija za več najemnikov omogočena.
-
Organizacije najemnikov: Za Cisco Webex Control Hub morate imeti Pro Pack. (Glej https://www.cisco.com/go/pro-pack.)
Zahteve Docker Desktop
Preden namestite vozlišča HDS, potrebujete Docker Desktop za zagon namestitvenega programa. Docker je pred kratkim posodobil svoj model licenciranja. Vaša organizacija morda zahteva plačljivo naročnino za Docker Desktop. Za podrobnosti glejte objavo v spletnem dnevniku Docker » Docker posodablja in podaljšuje naročnine na naše izdelke«.
Stranke brez licence Docker Desktop lahko za zagon, upravljanje in ustvarjanje vsebnikov uporabljajo orodje za upravljanje vsebnikov z odprto kodo, kot je Podman Desktop. Za podrobnosti glejte Zaženite orodje za namestitev HDS z uporabo Podman Desktop.
Zahteve za potrdilo X.509
Veriga potrdil mora izpolnjevati naslednje zahteve:
|
Zahteva |
Podrobnosti |
|---|---|
|
Privzeto zaupamo overiteljem potrdil na seznamu Mozille (z izjemo WoSign in StartCom) na https://wiki.mozilla.org/CA:IncludedCAs. |
|
Ni nujno, da je CN dosegljiv ali aktiven gostitelj. Priporočamo, da uporabite ime, ki odraža vašo organizacijo, na primer CN ne sme vsebovati * (nadomestni znak). CN se uporablja za preverjanje vozlišč hibridne varnosti podatkov za odjemalce aplikacije Webex. Vsa vozlišča Hybrid Data Security v vašem gruči uporabljajo isto potrdilo. Vaš KMS se identificira z domeno CN, ne z domeno, ki je definirana v poljih SAN x.509v3. Ko registrirate vozlišče s tem potrdilom, ne podpiramo spreminjanja imena domene CN. |
|
Programska oprema KMS ne podpira podpisov SHA1 za preverjanje povezav s KMS-ji drugih organizacij. |
|
Za spremembo oblike potrdila lahko uporabite pretvornik, kot je OpenSSL. Ko zaženete orodje za nastavitev HDS, boste morali vnesti geslo. |
Programska oprema KMS ne vsiljuje uporabe ključev ali razširjenih omejitev uporabe ključev. Nekateri overitelji potrdil zahtevajo, da se za vsako potrdilo uporabijo razširjene omejitve uporabe ključev, na primer preverjanje pristnosti strežnika. V redu je uporabiti preverjanje pristnosti strežnika ali druge nastavitve.
Zahteve za virtualni gostitelj
Virtualni gostitelji, ki jih boste nastavili kot vozlišča Hybrid Data Security v svojem gruči, imajo naslednje zahteve:
-
Vsaj dva ločena gostitelja (priporočljivo 3), ki sta nameščena v istem varnem podatkovnem centru
-
Nameščen in delujoč VMware ESXi 7.0 ali 8.0.
Če imate starejšo različico ESXi, morate nadgraditi.
-
Najmanj 4 virtualne procesorje (vCPU), 8 GB glavnega pomnilnika, 30 GB prostora na lokalnem trdem disku na strežnik
Zahteve strežnika baz podatkov
Ustvarite novo bazo podatkov za shranjevanje ključev. Ne uporabljajte privzete baze podatkov. Aplikacije HDS ob namestitvi ustvarijo shemo baze podatkov.
Za strežnik baz podatkov obstajata dve možnosti. Zahteve za vsakega so naslednje:
|
PostgreSQL |
Microsoft SQL Server |
|---|---|
|
|
|
Najmanj 8 virtualnih procesorjev (vCPU), 16 GB glavnega pomnilnika, dovolj prostora na trdem disku in spremljanje, da se zagotovi, da ta prostor ni presežen (priporočeno 2 TB, če želite bazo podatkov uporabljati dlje časa, ne da bi morali povečati prostor za shranjevanje). |
Najmanj 8 virtualnih procesorjev (vCPU), 16 GB glavnega pomnilnika, dovolj prostora na trdem disku in spremljanje, da se zagotovi, da ta prostor ni presežen (priporočeno 2 TB, če želite bazo podatkov uporabljati dlje časa, ne da bi morali povečati prostor za shranjevanje). |
Programska oprema HDS trenutno namešča naslednje različice gonilnikov za komunikacijo s strežnikom baze podatkov:
|
PostgreSQL |
Microsoft SQL Server |
|---|---|
|
Gonilnik Postgres JDBC 42.2.5 |
Gonilnik JDBC za SQL Server 4.6 Ta različica gonilnika podpira SQL Server Always On ( primerke gruče Always On Failover in skupine razpoložljivosti Always On). |
Dodatne zahteve za preverjanje pristnosti sistema Windows v strežniku Microsoft SQL Server
Če želite, da vozlišča HDS uporabljajo preverjanje pristnosti sistema Windows za dostop do vaše baze podatkov shrambe ključev v strežniku Microsoft SQL Server, potem potrebujete v svojem okolju naslednjo konfiguracijo:
-
Vozlišča HDS, infrastruktura Active Directory in MS SQL Server morajo biti sinhronizirani z NTP.
-
Račun Windows, ki ga zagotovite vozliščem HDS, mora imeti read/write dostop do baze podatkov.
-
Strežniki DNS, ki jih zagotavljate vozliščem HDS, morajo biti sposobni razrešiti vaš center za distribucijo ključev (KDC).
-
Primerek baze podatkov HDS lahko v strežniku Microsoft SQL Server registrirate kot ime glavne storitve (SPN) v imeniku Active Directory. Glejte Registracija imena glavnega strežnika za povezave Kerberos.
Orodje za namestitev HDS, zaganjalnik HDS in lokalni KMS morajo za dostop do baze podatkov shrambe ključev uporabljati preverjanje pristnosti sistema Windows. Podrobnosti iz vaše konfiguracije ISO uporabijo za izdelavo SPN-ja, ko zahtevajo dostop z overjanjem Kerberos.
Zahteve za zunanjo povezljivost
Konfigurirajte požarni zid tako, da bo aplikacijam HDS omogočil naslednjo povezljivost:
|
Aplikacija |
Protokol |
Vrata |
Navodila iz aplikacije |
Cilj |
|---|---|---|---|---|
|
Hibridna vozlišča za varnost podatkov |
TCP |
443 |
Odhodni HTTPS in WSS |
|
|
Orodje za nastavitev HDS |
TCP |
443 |
Odhodni HTTPS |
|
Vozlišča Hybrid Data Security delujejo s prevajanjem omrežnega dostopa (NAT) ali za požarnim zidom, če NAT ali požarni zid dovoljuje zahtevane odhodne povezave do ciljnih domen v prejšnji tabeli. Za povezave, ki vodijo do vozlišč Hybrid Data Security, iz interneta ne smejo biti vidna nobena vrata. Znotraj vašega podatkovnega centra potrebujejo odjemalci dostop do vozlišč Hybrid Data Security na vratih TCP 443 in 22 za administrativne namene.
URL-ji za gostitelje skupne identitete (CI) so odvisni od regije. To so trenutni gostitelji CI:
|
Regija |
URL-ji skupnega gostitelja identitete |
|---|---|
|
Ameriki |
|
|
Evropska unija |
|
|
Kanada |
|
| Singapur |
|
| Združeni Arabski Emirati |
|
Zahteve proxy strežnika
-
Uradno podpiramo naslednje rešitve proxy, ki se lahko integrirajo z vašimi vozlišči Hybrid Data Security.
-
Transparentni posredniški strežnik – Cisco Web Security Appliance (WSA).
-
Eksplicitni posrednik – Squid.
Proxyji Squid, ki pregledujejo promet HTTPS, lahko motijo vzpostavitev spletne vtičnice (wss:) povezave. Če želite to težavo obiti, glejte Konfiguriranje proxyjev Squid za hibridno varnost podatkov.
-
-
Za eksplicitne posredniške strežnike podpiramo naslednje kombinacije vrst preverjanja pristnosti:
-
Brez preverjanja pristnosti s HTTP ali HTTPS
-
Osnovno preverjanje pristnosti s HTTP ali HTTPS
-
Preverjanje pristnosti samo s HTTPS
-
-
Za pregleden inšpekcijski proxy ali proxy z eksplicitnim HTTPS-jem morate imeti kopijo korenskega potrdila proxyja. Navodila za uvajanje v tem priročniku vam povedo, kako naložite kopijo v shrambe zaupanja vozlišč Hybrid Data Security.
-
Omrežje, ki gosti vozlišča HDS, mora biti konfigurirano tako, da odhodni promet TCP na vratih 443 vsili usmerjanje prek posredniškega strežnika.
-
Proxyji, ki pregledujejo spletni promet, lahko motijo povezave spletnih vtičnic. Če se pojavi ta težava, jo bo rešilo obhod (nepregledovanje) prometa do
wbx2.cominciscospark.com.
Izpolnite predpogoje za hibridno varnost podatkov
| 1 |
Prepričajte se, da ima vaša partnerska organizacija omogočeno funkcijo Multi-Tenant HDS in pridobite poverilnice računa s partnerskimi polnimi skrbniškimi pravicami in polnimi skrbniškimi pravicami. Prepričajte se, da je vaša organizacija strank Webex omogočena za paket Pro Pack za Cisco Webex Control Hub. Za pomoč pri tem postopku se obrnite na svojega Ciscovega partnerja ali vodjo računa. Organizacije strank ne smejo imeti nobene obstoječe uvedbe HDS. |
| 2 |
Izberite ime domene za uvedbo HDS (na primer |
| 3 |
Pripravite identične virtualne gostitelje, ki jih boste nastavili kot vozlišča Hybrid Data Security v svojem gruči. Potrebujete vsaj dva ločena gostitelja (priporočljivo 3), ki sta nameščena v istem varnem podatkovnem centru in izpolnjujeta zahteve v Zahteve za virtualni gostitelj. |
| 4 |
Pripravite strežnik baz podatkov, ki bo deloval kot shramba ključnih podatkov za gručo, v skladu z zahtevami strežnika baz podatkov. Strežnik baze podatkov mora biti nameščen v varnem podatkovnem centru skupaj z virtualnimi gostitelji. |
| 5 |
Za hitro okrevanje po katastrofi nastavite varnostno kopiranje v drugem podatkovnem centru. Varnostno okolje zrcali produkcijsko okolje navideznih strojev in varnostnega strežnika baze podatkov. Na primer, če ima produkcija 3 navidezne računalnike, na katerih se izvajajo vozlišča HDS, mora imeti tudi varnostno kopiranje 3 navidezne računalnike. |
| 6 |
Nastavite gostitelja sistemskega dnevnika za zbiranje dnevnikov iz vozlišč v gruči. Zberite njegov omrežni naslov in vrata sistemskega dnevnika (privzeto je UDP 514). |
| 7 |
Ustvarite varno politiko varnostnega kopiranja za vozlišča Hybrid Data Security, strežnik baz podatkov in gostitelja syslog. Da preprečite nepopravljivo izgubo podatkov, morate vsaj varnostno kopirati bazo podatkov in konfiguracijsko datoteko ISO, ustvarjeno za vozlišča Hybrid Data Security. Ker vozlišča hibridne varnosti podatkov shranjujejo ključe, ki se uporabljajo za šifriranje in dešifriranje vsebine, bo neupoštevanje operativne uvedbe povzročilo NEPOVZROČLJIVO IZGUBO te vsebine. Odjemalci aplikacij Webex shranjujejo svoje ključe v predpomnilnik, zato izpad morda ne bo takoj opazen, vendar bo postal očiten sčasoma. Čeprav se začasnih izpadov ni mogoče izogniti, so lahko popravljivi. Vendar pa popolna izguba (brez razpoložljivih varnostnih kopij) baze podatkov ali konfiguracijske datoteke ISO povzroči, da podatkov o strankah ne bo mogoče obnoviti. Od upravljavcev vozlišč Hybrid Data Security se pričakuje, da bodo vzdrževali pogoste varnostne kopije baze podatkov in konfiguracijske datoteke ISO ter bili pripravljeni na obnovo podatkovnega centra Hybrid Data Security, če pride do katastrofalne okvare. |
| 8 |
Zagotovite, da konfiguracija vašega požarnega zidu omogoča povezljivost za vozlišča Hybrid Data Security, kot je opisano v Zahteve za zunanjo povezljivost. |
| 9 |
Namestite Docker ( https://www.docker.com) na kateri koli lokalni računalnik s podprtim operacijskim sistemom (Microsoft Windows 10 Professional ali Enterprise 64-bit ali Mac OSX Yosemite 10.10.3 ali novejši) s spletnim brskalnikom, ki do njega lahko dostopa na http://127.0.0.1:8080. Z instanco Docker prenesete in zaženete orodje HDS Setup Tool, ki gradi lokalne konfiguracijske podatke za vsa vozlišča Hybrid Data Security. Morda boste potrebovali licenco Docker Desktop. Za več informacij glejte Zahteve za Docker Desktop. Za namestitev in zagon orodja HDS Setup Tool mora imeti lokalni računalnik povezljivost, opisano v Zahteve za zunanjo povezljivost. |
| 10 |
Če integrirate proxy s Hybrid Data Security, se prepričajte, da izpolnjuje zahteve za proxy strežnik. |
Nastavitev hibridnega grozda za varnost podatkov
Potek naloge uvajanja hibridne varnosti podatkov
| 1 |
Izvedite začetno namestitev in prenesite namestitvene datoteke Prenesite datoteko OVA na svoj lokalni računalnik za kasnejšo uporabo. |
| 2 |
Ustvarite konfiguracijsko datoteko ISO za gostitelje HDS Z orodjem za nastavitev HDS ustvarite konfiguracijsko datoteko ISO za vozlišča Hybrid Data Security. |
| 3 |
Ustvarite virtualni stroj iz datoteke OVA in izvedite začetno konfiguracijo, kot so omrežne nastavitve. Možnost konfiguriranja omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 7.0 in 8.0. Možnost morda ni na voljo v starejših različicah. |
| 4 |
Nastavitev hibridnega navideznega računalnika za varnost podatkov Prijavite se v konzolo navideznega računalnika in nastavite prijavne podatke. Konfigurirajte omrežne nastavitve za vozlišče, če jih niste konfigurirali ob uvedbi OVA. |
| 5 |
Naložite in namestite datoteko ISO s konfiguracijo HDS Konfigurirajte VM iz konfiguracijske datoteke ISO, ki ste jo ustvarili z orodjem HDS Setup Tool. |
| 6 |
Konfigurirajte vozlišče HDS za integracijo proxyja Če omrežno okolje zahteva konfiguracijo posredniškega strežnika, določite vrsto posredniškega strežnika, ki ga boste uporabili za vozlišče, in po potrebi dodajte potrdilo posredniškega strežnika v shrambo zaupanja vrednih strežnikov. |
| 7 |
Registrirajte prvo vozlišče v gruči Registrirajte virtualni stroj v oblaku Cisco Webex kot vozlišče Hybrid Data Security. |
| 8 |
Ustvarite in registrirajte več vozlišč Dokončajte nastavitev gruče. |
| 9 |
Aktivirajte večnajemniški HDS v središču za partnerje. Aktivirajte HDS in upravljajte organizacije najemnikov v središču za partnerje. |
Izvedite začetno namestitev in prenesite namestitvene datoteke
Pri tej nalogi prenesete datoteko OVA na svoj računalnik (ne na strežnike, ki ste jih nastavili kot vozlišča Hybrid Data Security). To datoteko uporabite kasneje med namestitvenim postopkom.
| 1 |
Prijavite se v središče za partnerje in nato kliknite Storitve. |
| 2 |
V razdelku Storitve v oblaku poiščite kartico Varnost hibridnih podatkov in nato kliknite Nastavi. Klik na Nastavi v središču za partnerje je ključnega pomena za postopek uvajanja. Ne nadaljujte z namestitvijo, ne da bi dokončali ta korak. |
| 3 |
Kliknite Dodaj vir in nato na kartici Namestitev in konfiguracija programske opreme kliknite [ Prenesi datoteko .OVA. Starejše različice programskega paketa (OVA) ne bodo združljive z najnovejšimi nadgradnjami Hybrid Data Security. To lahko povzroči težave med nadgradnjo aplikacije. Prepričajte se, da prenesete najnovejšo različico datoteke OVA. OVA lahko kadar koli prenesete tudi iz razdelka Pomoč. Kliknite . Datoteka OVA se bo samodejno začela prenašati. Shranite datoteko na mesto v računalniku.
|
| 4 |
Po želji kliknite Oglejte si vodnik za uvajanje hibridne varnosti podatkov, da preverite, ali je na voljo novejša različica tega vodnika. |
Ustvarite konfiguracijsko datoteko ISO za gostitelje HDS
Postopek namestitve hibridne varnosti podatkov ustvari datoteko ISO. Nato z datoteko ISO konfigurirate gostitelja Hybrid Data Security.
Preden začnete
-
Orodje za nastavitev HDS se izvaja kot vsebnik Docker na lokalnem računalniku. Za dostop do njega zaženite Docker na tem računalniku. Za postopek namestitve so potrebne poverilnice računa Partner Hub s polnimi skrbniškimi pravicami.
Če nimate licence za Docker Desktop, lahko za zagon orodja HDS Setup za korake od 1 do 5 v spodnjem postopku uporabite Podman Desktop. Za podrobnosti glejte Zaženite orodje za namestitev HDS z uporabo Podman Desktop.
Če orodje za nastavitev HDS v vašem okolju deluje za posredniškim strežnikom, navedite nastavitve posredniškega strežnika (strežnik, vrata, poverilnice) prek okoljskih spremenljivk Docker, ko v koraku 5 spodaj odprete vsebnik Docker. Ta tabela prikazuje nekaj možnih okoljskih spremenljivk:
Opis
Spremenljivka
HTTP posredniški strežnik brez preverjanja pristnosti
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS brez preverjanja pristnosti
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP posredniški strežnik z overjanjem
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS posredniški strežnik z overjanjem
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Konfiguracijska datoteka ISO, ki jo ustvarite, vsebuje glavni ključ, ki šifrira bazo podatkov PostgreSQL ali Microsoft SQL Server. Najnovejšo kopijo te datoteke potrebujete vsakič, ko spreminjate konfiguracijo, kot so te:
-
Poverilnice baze podatkov
-
Posodobitve potrdil
-
Spremembe pravilnika o avtorizaciji
-
-
Če nameravate šifrirati povezave z zbirko podatkov, nastavite uvedbo PostgreSQL ali SQL Server za TLS.
| 1 |
V ukazno vrstico računalnika vnesite ustrezen ukaz za vaše okolje: V običajnih okoljih: V okoljih FedRAMP: Ta korak počisti prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete. | ||||||||||
| 2 |
Za prijavo v register slik Docker vnesite naslednje: | ||||||||||
| 3 |
Ob pozivu za geslo vnesite ta zgoščeni kod: | ||||||||||
| 4 |
Prenesite najnovejšo stabilno sliko za svoje okolje: V običajnih okoljih: V okoljih FedRAMP: | ||||||||||
| 5 |
Ko je vlečenje končano, vnesite ustrezen ukaz za vaše okolje:
Ko se vsebnik izvaja, se prikaže sporočilo »Strežnik Express posluša na vratih 8080«. | ||||||||||
| 6 |
Orodje za namestitev ne podpira povezave z lokalnim gostiteljem prek http://localhost:8080. Za povezavo z lokalnim gostiteljem uporabite http://127.0.0.1:8080. Z spletnim brskalnikom pojdite na localhost, Orodje uporabi ta prvi vnos uporabniškega imena za nastavitev ustreznega okolja za ta račun. Orodje nato prikaže standardni poziv za prijavo. | ||||||||||
| 7 |
Ko ste pozvani, vnesite svoje skrbniške prijavne podatke za Partner Hub in nato kliknite Prijava, da omogočite dostop do zahtevanih storitev za hibridno varnost podatkov. | ||||||||||
| 8 |
Na strani s pregledom orodja za nastavitev kliknite Začni. | ||||||||||
| 9 |
Na strani Uvoz ISO imate te možnosti:
| ||||||||||
| 10 |
Preverite, ali vaše potrdilo X.509 izpolnjuje zahteve v Zahteve za potrdilo X.509.
| ||||||||||
| 11 |
Vnesite naslov baze podatkov in račun, da bo HDS dostopal do shrambe ključnih podatkov: | ||||||||||
| 12 |
Izberite način povezave z zbirko podatkov TLS:
Ko naložite korensko potrdilo (če je potrebno) in kliknete Nadaljuj, orodje za nastavitev HDS preizkusi povezavo TLS s strežnikom baze podatkov. Orodje preveri tudi podpisnika potrdila in ime gostitelja, če je to primerno. Če test ne uspe, orodje prikaže sporočilo o napaki, ki opisuje težavo. Izberete lahko, ali želite napako prezreti in nadaljevati z nastavitvijo. (Zaradi razlik v povezljivosti bodo vozlišča HDS morda lahko vzpostavila povezavo TLS, tudi če naprava z orodjem za nastavitev HDS tega ne more uspešno preizkusiti.) | ||||||||||
| 13 |
Na strani Sistemski dnevniki konfigurirajte strežnik Syslogd: | ||||||||||
| 14 |
(Neobvezno) Privzeto vrednost za nekatere parametre povezave z zbirko podatkov lahko spremenite v Napredne nastavitve. Na splošno je ta parameter edini, ki ga boste morda želeli spremeniti: | ||||||||||
| 15 |
Kliknite Nadaljuj na zaslonu Ponastavi geslo za račune storitev. Gesla za storitvene račune imajo devetmesečno življenjsko dobo. Ta zaslon uporabite, ko se bliža datum poteka veljavnosti vaših gesel ali ko jih želite ponastaviti, da razveljavite prejšnje datoteke ISO. | ||||||||||
| 16 |
Kliknite Prenesi datoteko ISO. Datoteko shranite na mesto, ki ga je enostavno najti. | ||||||||||
| 17 |
Naredite varnostno kopijo datoteke ISO v lokalnem sistemu. Varnostno kopijo hranite varno. Ta datoteka vsebuje glavni šifrirni ključ za vsebino baze podatkov. Dostop omejite le na tiste skrbnike hibridne varnosti podatkov, ki bi morali spreminjati konfiguracijo. | ||||||||||
| 18 |
Če želite zapreti orodje za namestitev, vnesite |
Kaj storiti naprej
Varnostno kopirajte konfiguracijsko datoteko ISO. Potrebujete ga za ustvarjanje več vozlišč za obnovitev ali za spreminjanje konfiguracije. Če izgubite vse kopije datoteke ISO, ste izgubili tudi glavni ključ. Obnovitev ključev iz baze podatkov PostgreSQL ali Microsoft SQL Server ni mogoča.
Nikoli nimamo kopije tega ključa in vam ne moremo pomagati, če ga izgubite.
Namestitev OVA gostitelja HDS
| 1 |
Za prijavo v virtualni gostitelj ESXi uporabite odjemalca VMware vSphere v računalniku. |
| 2 |
Izberite Datoteka > Namestitev predloge OVF. |
| 3 |
V čarovniku določite lokacijo datoteke OVA, ki ste jo prej prenesli, in nato kliknite Naprej. |
| 4 |
Na strani Izberite ime in mapo vnesite ime navideznega stroja za vozlišče (na primer »HDS_Node_1«), izberite lokacijo, kjer se lahko nahaja uvedba vozlišča navideznega stroja, in nato kliknite Naprej. |
| 5 |
Na strani Izberite računalniški vir izberite ciljni računalniški vir in nato kliknite Naprej. Izvaja se preverjanje veljavnosti. Ko je končano, se prikažejo podrobnosti predloge. |
| 6 |
Preverite podrobnosti predloge in nato kliknite Naprej. |
| 7 |
Če vas sistem pozove, da na strani Konfiguracija izberete konfiguracijo virov, kliknite 4 CPU in nato kliknite Naprej. |
| 8 |
Na strani Izberi shrambo kliknite Naprej, da sprejmete privzeto obliko diska in pravilnik o shrambi navideznega stroja. |
| 9 |
Na strani Izberi omrežja izberite možnost omrežja s seznama vnosov, da zagotovite želeno povezljivost z navideznim računalnikom. |
| 10 |
Na strani Prilagodi predlogo konfigurirajte naslednje omrežne nastavitve:
Če želite, lahko preskočite konfiguracijo omrežnih nastavitev in sledite korakom v Nastavitev navideznega računalnika za varnost hibridnih podatkov za konfiguracijo nastavitev iz konzole vozlišča. Možnost konfiguriranja omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 7.0 in 8.0. Možnost morda ni na voljo v starejših različicah. |
| 11 |
Z desno tipko miške kliknite vozlišče VM in nato izberite . Programska oprema Hybrid Data Security je nameščena kot gost na gostitelju navideznega računalnika. Zdaj ste pripravljeni na prijavo v konzolo in konfiguracijo vozlišča. Nasveti za odpravljanje težav Preden se naložijo vsebniki vozlišč, lahko pride do nekajminutne zakasnitve. Med prvim zagonom se na konzoli prikaže sporočilo o požarnem zidu mostu, med katerim se ne morete prijaviti. |
Nastavitev hibridnega navideznega računalnika za varnost podatkov
S tem postopkom se prvič prijavite v konzolo navideznega računalnika vozlišča Hybrid Data Security in nastavite poverilnice za prijavo. Konzolo lahko uporabite tudi za konfiguracijo omrežnih nastavitev za vozlišče, če jih niste konfigurirali ob uvedbi OVA.
| 1 |
V odjemalcu VMware vSphere izberite svoj navidezni stroj vozlišča Hybrid Data Security in izberite zavihek Console. Navidezni računalnik se zažene in prikaže se poziv za prijavo. Če se poziv za prijavo ne prikaže, pritisnite Enter.
|
| 2 |
Za prijavo in spreminjanje poverilnic uporabite naslednje privzeto prijavo in geslo: Ker se prvič prijavljate v svoj navidezni računalnik, morate spremeniti skrbniško geslo. |
| 3 |
Če ste omrežne nastavitve že konfigurirali v Namestitev OVA gostitelja HDS, preskočite preostanek tega postopka. Sicer pa v glavnem meniju izberite možnost Uredi konfiguracijo. |
| 4 |
Nastavite statično konfiguracijo z IP-naslovom, masko, prehodom in podatki o DNS-u. Vaše vozlišče mora imeti notranji IP-naslov in DNS-ime. DHCP ni podprt. |
| 5 |
(Neobvezno) Po potrebi spremenite ime gostitelja, domeno ali strežnik(e) NTP, da se ujemajo z vašo omrežno politiko. Domene ni treba nastaviti tako, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509. |
| 6 |
Shranite omrežno konfiguracijo in znova zaženite navidezni računalnik, da bodo spremembe začele veljati. |
Naložite in namestite datoteko ISO s konfiguracijo HDS
Preden začnete
Ker datoteka ISO vsebuje glavni ključ, jo je treba razkriti le na podlagi potrebe po seznanitvi, za dostop do nje s strani navideznih računalnikov Hybrid Data Security in vseh skrbnikov, ki bi morda morali izvesti spremembe. Prepričajte se, da lahko do podatkovnega skladišča dostopajo samo ti skrbniki.
| 1 |
Naložite datoteko ISO iz računalnika: |
| 2 |
Pripnite datoteko ISO: |
Kaj storiti naprej
Če vaša politika IT to zahteva, lahko po želji odklopite datoteko ISO, ko vsa vaša vozlišča prevzamejo spremembe konfiguracije. Za podrobnosti glejte (neobvezno) Odmontiranje ISO po konfiguraciji HDS.
Konfigurirajte vozlišče HDS za integracijo proxyja
Če omrežno okolje zahteva posredniški strežnik, s tem postopkom določite vrsto posredniškega strežnika, ki ga želite integrirati s Hybrid Data Security. Če izberete prozoren inšpekcijski proxy ali eksplicitni proxy HTTPS, lahko za nalaganje in namestitev korenskega potrdila uporabite vmesnik vozlišča. Povezavo s proxyjem lahko preverite tudi prek vmesnika in odpravite morebitne težave.
Preden začnete
-
Za pregled podprtih možnosti proxyja glejte Podpora za proxy.
| 1 |
V spletni brskalnik vnesite URL za nastavitev vozlišča HDS |
| 2 |
Pojdi na Zaupanja vredno trgovino & Proxyin nato izberite možnost:
Za pregleden inšpekcijski proxy, proxy z eksplicitnim HTTP-jem z osnovnim preverjanjem pristnosti ali proxy z eksplicitnim HTTPS-jem sledite naslednjim korakom. |
| 3 |
Kliknite Naloži korensko potrdilo ali potrdilo končne entitetein se nato pomaknite do izbire korenskega potrdila za posredniški strežnik. Potrdilo je naloženo, vendar še ni nameščeno, ker morate za namestitev potrdila znova zagnati vozlišče. Za več podrobnosti kliknite puščico v obliki puščice poleg imena izdajatelja potrdila ali kliknite Izbriši, če ste naredili napako in želite datoteko znova naložiti. |
| 4 |
Kliknite Preveri povezavo s proxyjem, da preizkusite omrežno povezljivost med vozliščem in proxyjem. Če preizkus povezave ne uspe, se prikaže sporočilo o napaki, ki prikazuje razlog in kako lahko težavo odpravite. Če se prikaže sporočilo, da zunanje razreševanje DNS ni bilo uspešno, vozlišče ni moglo doseči strežnika DNS. Ta pogoj je pričakovan v mnogih eksplicitnih konfiguracijah proxyja. Z nastavitvijo lahko nadaljujete in vozlišče bo delovalo v načinu blokiranega zunanjega ločevanja DNS-a. Če menite, da gre za napako, dokončajte te korake in si nato oglejte Izklop načina blokiranega zunanjega razreševanja DNS-a. |
| 5 |
Ko je test povezave uspešen, za eksplicitni proxy, nastavljen samo na https, vklopite stikalo na Usmeritev vseh vrat 443/444 https zahteve iz tega vozlišča prek eksplicitnega proxyja. Ta nastavitev začne veljati v 15 sekundah. |
| 6 |
Kliknite Namesti vsa potrdila v shrambo zaupanja (prikaže se za eksplicitni proxy HTTPS ali prozoren inšpekcijski proxy) ali Ponovni zagon (prikaže se za eksplicitni proxy HTTP), preberite poziv in nato kliknite Namesti, če ste pripravljeni. Vozlišče se ponovno zažene v nekaj minutah. |
| 7 |
Ko se vozlišče znova zažene, se po potrebi znova prijavite in nato odprite stran Pregled, da preverite preverjanja povezljivosti in se prepričate, da so vsa stanja zelena. Preverjanje povezave s proxyjem testira samo poddomeno webex.com. Če pride do težav s povezljivostjo, je pogosta težava, da so nekatere domene v oblaku, navedene v navodilih za namestitev, blokirane na strežniku proxy. |
Registrirajte prvo vozlišče v gruči
Ko registrirate prvo vozlišče, ustvarite gručo, ki ji je vozlišče dodeljeno. Grozd vsebuje eno ali več vozlišč, nameščenih za zagotavljanje redundance.
Preden začnete
-
Ko začnete z registracijo vozlišča, jo morate dokončati v 60 minutah ali pa začeti znova.
-
Prepričajte se, da so v brskalniku onemogočeni vsi blokatorji pojavnih oken ali da dovolite izjemo za admin.webex.com.
| 1 |
Prijavite se v https://admin.webex.com. |
| 2 |
V meniju na levi strani zaslona izberite Storitve. |
| 3 |
V razdelku Storitve v oblaku poiščite kartico Hibridna varnost podatkov in kliknite Nastavi. |
| 4 |
Na strani, ki se odpre, kliknite Dodaj vir. |
| 5 |
V prvo polje kartice Dodaj vozlišče vnesite ime gruče, ki ji želite dodeliti vozlišče Hybrid Data Security. Priporočamo, da gručo poimenujete glede na geografsko lokacijo vozlišč gruče. Primeri: »San Francisco« ali »New York« ali »Dallas« |
| 6 |
V drugo polje vnesite interni IP-naslov ali polno kvalificirano ime domene (FQDN) vašega vozlišča in na dnu zaslona kliknite Dodaj. Ta naslov IP ali FQDN se mora ujemati z naslovom IP ali imenom gostitelja in domeno, ki ste jo uporabili v Nastavitev navideznega računalnika za varnost hibridnih podatkov. Prikaže se sporočilo, ki označuje, da lahko registrirate svoje vozlišče v Webexu.
|
| 7 |
Kliknite Pojdi na vozlišče. Čez nekaj trenutkov boste preusmerjeni na teste povezljivosti vozlišč za storitve Webex. Če so vsi testi uspešni, se prikaže stran Dovoli dostop do hibridnega vozlišča za varnost podatkov. Tam potrdite, da želite svoji organizaciji Webex podeliti dovoljenja za dostop do vašega vozlišča. |
| 8 |
Označite potrditveno polje Dovoli dostop do vašega hibridnega vozlišča za varnost podatkov in nato kliknite Nadaljuj. Vaš račun je potrjen in sporočilo »Registracija je končana« pomeni, da je vaše vozlišče zdaj registrirano v oblaku Webex.
|
| 9 |
Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Varnost hibridnih podatkov v središču za partnerje. Na strani Varnost hibridnih podatkov je pod zavihkom Viri prikazana nova gruča, ki vsebuje vozlišče, ki ste ga registrirali. Vozlišče bo samodejno preneslo najnovejšo programsko opremo iz oblaka.
|
Ustvarite in registrirajte več vozlišč
Preden začnete
-
Ko začnete z registracijo vozlišča, jo morate dokončati v 60 minutah ali pa začeti znova.
-
Prepričajte se, da so v brskalniku onemogočeni vsi blokatorji pojavnih oken ali da dovolite izjemo za admin.webex.com.
| 1 |
Ustvarite nov virtualni stroj iz OVA in ponovite korake v Namestitev OVA gostitelja HDS. |
| 2 |
Nastavite začetno konfiguracijo na novem navideznem računalniku in ponovite korake v Nastavitev navideznega računalnika za hibridno varnost podatkov. |
| 3 |
Na novem navideznem računalniku ponovite korake v Nalaganje in priklop datoteke ISO konfiguracije HDS. |
| 4 |
Če za svojo uvedbo nastavljate posredniški strežnik, po potrebi ponovite korake v razdelku Konfigurirajte vozlišče HDS za integracijo posredniškega strežnika za novo vozlišče. |
| 5 |
Registrirajte vozlišče. |
Upravljanje organizacij najemnikov v večnajemniški hibridni varnosti podatkov
Aktivirajte večnajemniški HDS v središču za partnerje
Ta naloga zagotavlja, da lahko vsi uporabniki strankinih organizacij začnejo uporabljati HDS za lokalne šifrirne ključe in druge varnostne storitve.
Preden začnete
Prepričajte se, da ste dokončali nastavitev gruče Multi-Tenant HDS z zahtevanim številom vozlišč.
| 1 |
Prijavite se v https://admin.webex.com. |
| 2 |
V meniju na levi strani zaslona izberite Storitve. |
| 3 |
V razdelku Storitve v oblaku poiščite možnost Varnost hibridnih podatkov in kliknite Uredi nastavitve. |
| 4 |
Kliknite Aktiviraj HDS na kartici Stanje HDS. |
Dodajanje organizacij najemnikov v središču za partnerje
V tej nalogi dodelite organizacije strank svoji hibridni gruči za varnost podatkov.
| 1 |
Prijavite se v https://admin.webex.com. |
| 2 |
V meniju na levi strani zaslona izberite Storitve. |
| 3 |
V razdelku Storitve v oblaku poiščite možnost Varnost hibridnih podatkov in kliknite Prikaži vse. |
| 4 |
Kliknite gručo, ki ji želite dodeliti stranko. |
| 5 |
Pojdite na zavihek Dodeljene stranke. |
| 6 |
Kliknite Dodaj stranke. |
| 7 |
V spustnem meniju izberite stranko, ki jo želite dodati. |
| 8 |
Kliknite Dodajin stranka bo dodana v gručo. |
| 9 |
Za dodajanje več strank v gručo ponovite korake od 6 do 8. |
| 10 |
Ko dodate stranke, kliknite Končano na dnu zaslona. |
Kaj storiti naprej
Ustvarjanje glavnih ključev strank (CMK) z orodjem za nastavitev HDS
Preden začnete
Dodelite stranke ustrezni gruči, kot je podrobno opisano v Dodajanje organizacij najemnikov v središču za partnerje. Za dokončanje postopka nastavitve za novo dodane organizacije strank zaženite orodje za namestitev HDS.
-
Orodje za nastavitev HDS se izvaja kot vsebnik Docker na lokalnem računalniku. Za dostop do njega zaženite Docker na tem računalniku. Za postopek nastavitve so potrebne poverilnice računa Partner Hub s polnimi skrbniškimi pravicami za vašo organizacijo.
Če orodje za nastavitev HDS v vašem okolju deluje za posredniškim strežnikom, navedite nastavitve posredniškega strežnika (strežnik, vrata, poverilnice) prek okoljskih spremenljivk Docker, ko v koraku 5odprete vsebnik Docker. Ta tabela prikazuje nekaj možnih okoljskih spremenljivk:
Opis
Spremenljivka
HTTP posredniški strežnik brez preverjanja pristnosti
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS brez preverjanja pristnosti
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP posredniški strežnik z overjanjem
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS posredniški strežnik z overjanjem
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Konfiguracijska datoteka ISO, ki jo ustvarite, vsebuje glavni ključ, ki šifrira bazo podatkov PostgreSQL ali Microsoft SQL Server. Najnovejšo kopijo te datoteke potrebujete vsakič, ko spreminjate konfiguracijo, kot so te:
-
Poverilnice baze podatkov
-
Posodobitve potrdil
-
Spremembe pravilnika o avtorizaciji
-
-
Če nameravate šifrirati povezave z zbirko podatkov, nastavite uvedbo PostgreSQL ali SQL Server za TLS.
Postopek namestitve hibridne varnosti podatkov ustvari datoteko ISO. Nato z datoteko ISO konfigurirate gostitelja Hybrid Data Security.
| 1 |
V ukazno vrstico računalnika vnesite ustrezen ukaz za vaše okolje: V običajnih okoljih: V okoljih FedRAMP: Ta korak počisti prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete. |
| 2 |
Za prijavo v register slik Docker vnesite naslednje: |
| 3 |
Ob pozivu za geslo vnesite ta zgoščeni kod: |
| 4 |
Prenesite najnovejšo stabilno sliko za svoje okolje: V običajnih okoljih: V okoljih FedRAMP: |
| 5 |
Ko je vlečenje končano, vnesite ustrezen ukaz za vaše okolje:
Ko se vsebnik izvaja, se prikaže sporočilo »Strežnik Express posluša na vratih 8080«. |
| 6 |
Orodje za namestitev ne podpira povezave z lokalnim gostiteljem prek http://localhost:8080. Za povezavo z lokalnim gostiteljem uporabite http://127.0.0.1:8080. Z spletnim brskalnikom pojdite na localhost, Orodje uporabi ta prvi vnos uporabniškega imena za nastavitev ustreznega okolja za ta račun. Orodje nato prikaže standardni poziv za prijavo. |
| 7 |
Ko ste pozvani, vnesite svoje skrbniške prijavne podatke za Partner Hub in nato kliknite Prijava, da omogočite dostop do zahtevanih storitev za hibridno varnost podatkov. |
| 8 |
Na strani s pregledom orodja za nastavitev kliknite Začni. |
| 9 |
Na strani Uvoz ISO kliknite Da. |
| 10 |
V brskalniku izberite datoteko ISO in jo naložite. Zagotovite povezljivost z vašo bazo podatkov za upravljanje CMK. |
| 11 |
Pojdite na zavihek Upravljanje CMK najemnikov, kjer boste našli naslednje tri načine za upravljanje CMK najemnikov.
|
| 12 |
Ko je ustvarjanje CMK uspešno, se bo stanje v tabeli spremenilo iz upravljanje CMK v teku v upravljano s CMK. |
| 13 |
Če ustvarjanje CMK ni uspešno, se prikaže napaka. |
Odstranite organizacije najemnikov
Preden začnete
Ko bo odstranjen, uporabniki organizacij strank ne bodo mogli uporabljati HDS za svoje potrebe šifriranja in bodo izgubili vse obstoječe prostore. Preden odstranite organizacije strank, se obrnite na svojega Ciscovega partnerja ali vodjo računa.
| 1 |
Prijavite se v https://admin.webex.com. |
| 2 |
V meniju na levi strani zaslona izberite Storitve. |
| 3 |
V razdelku Storitve v oblaku poiščite možnost Varnost hibridnih podatkov in kliknite Prikaži vse. |
| 4 |
Na zavihku Viri kliknite gručo, iz katere želite odstraniti organizacije strank. |
| 5 |
Na strani, ki se odpre, kliknite Dodeljene stranke. |
| 6 |
Na seznamu prikazanih organizacij strank kliknite ... na desni strani organizacije stranke, ki jo želite odstraniti, in nato kliknite Odstrani iz gruče. |
Kaj storiti naprej
Postopek odstranitve dokončajte tako, da prekličete CMK-je organizacij strank, kot je podrobno opisano v Preklic CMK-jev najemnikov, odstranjenih iz HDS.
Prekliči CMK-je najemnikov, odstranjenih iz HDS.
Preden začnete
Odstranite stranke iz ustrezne gruče, kot je podrobno opisano v Odstranjevanje organizacij najemnikov. Za dokončanje postopka odstranitve odstranjenih organizacij strank zaženite orodje HDS Setup.
-
Orodje za nastavitev HDS se izvaja kot vsebnik Docker na lokalnem računalniku. Za dostop do njega zaženite Docker na tem računalniku. Za postopek nastavitve so potrebne poverilnice računa Partner Hub s polnimi skrbniškimi pravicami za vašo organizacijo.
Če orodje za nastavitev HDS v vašem okolju deluje za posredniškim strežnikom, navedite nastavitve posredniškega strežnika (strežnik, vrata, poverilnice) prek okoljskih spremenljivk Docker, ko v koraku 5odprete vsebnik Docker. Ta tabela prikazuje nekaj možnih okoljskih spremenljivk:
Opis
Spremenljivka
HTTP posredniški strežnik brez preverjanja pristnosti
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS brez preverjanja pristnosti
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP posredniški strežnik z overjanjem
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS posredniški strežnik z overjanjem
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Konfiguracijska datoteka ISO, ki jo ustvarite, vsebuje glavni ključ, ki šifrira bazo podatkov PostgreSQL ali Microsoft SQL Server. Najnovejšo kopijo te datoteke potrebujete vsakič, ko spreminjate konfiguracijo, kot so te:
-
Poverilnice baze podatkov
-
Posodobitve potrdil
-
Spremembe pravilnika o avtorizaciji
-
-
Če nameravate šifrirati povezave z zbirko podatkov, nastavite uvedbo PostgreSQL ali SQL Server za TLS.
Postopek namestitve hibridne varnosti podatkov ustvari datoteko ISO. Nato z datoteko ISO konfigurirate gostitelja Hybrid Data Security.
| 1 |
V ukazno vrstico računalnika vnesite ustrezen ukaz za vaše okolje: V običajnih okoljih: V okoljih FedRAMP: Ta korak počisti prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete. |
| 2 |
Za prijavo v register slik Docker vnesite naslednje: |
| 3 |
Ob pozivu za geslo vnesite ta zgoščeni kod: |
| 4 |
Prenesite najnovejšo stabilno sliko za svoje okolje: V običajnih okoljih: V okoljih FedRAMP: |
| 5 |
Ko je vlečenje končano, vnesite ustrezen ukaz za vaše okolje:
Ko se vsebnik izvaja, se prikaže sporočilo »Strežnik Express posluša na vratih 8080«. |
| 6 |
Orodje za namestitev ne podpira povezave z lokalnim gostiteljem prek http://localhost:8080. Za povezavo z lokalnim gostiteljem uporabite http://127.0.0.1:8080. Z spletnim brskalnikom pojdite na localhost, Orodje uporabi ta prvi vnos uporabniškega imena za nastavitev ustreznega okolja za ta račun. Orodje nato prikaže standardni poziv za prijavo. |
| 7 |
Ko ste pozvani, vnesite svoje skrbniške prijavne podatke za Partner Hub in nato kliknite Prijava, da omogočite dostop do zahtevanih storitev za hibridno varnost podatkov. |
| 8 |
Na strani s pregledom orodja za nastavitev kliknite Začni. |
| 9 |
Na strani Uvoz ISO kliknite Da. |
| 10 |
V brskalniku izberite datoteko ISO in jo naložite. |
| 11 |
Pojdite na zavihek Upravljanje CMK najemnikov, kjer boste našli naslednje tri načine za upravljanje CMK najemnikov.
|
| 12 |
Ko je preklic CMK uspešen, se organizacija stranke ne bo več prikazovala v tabeli. |
| 13 |
Če preklic CMK ni uspešen, se prikaže napaka. |
Preizkusite svojo uvedbo hibridne varnosti podatkov
Preizkusite svojo hibridno uvedbo varnosti podatkov
Preden začnete
-
Nastavite svojo uvedbo hibridne varnosti podatkov za več najemnikov.
-
Prepričajte se, da imate dostop do sistemskega dnevnika, da preverite, ali se ključne zahteve posredujejo vaši uvedbi večnajemniške hibridne varnosti podatkov.
| 1 |
Ključe za določen prostor nastavi ustvarjalec prostora. Prijavite se v aplikacijo Webex kot eden od uporabnikov organizacije stranke in nato ustvarite prostor. Če deaktivirate uvedbo hibridne varnosti podatkov, vsebina v prostorih, ki jih ustvarijo uporabniki, ni več dostopna, ko so kopije šifrirnih ključev, shranjene v predpomnilniku odjemalca, zamenjane. |
| 2 |
Pošljite sporočila v nov prostor. |
| 3 |
Preverite izhod sistemskega dnevnika, da se prepričate, da se ključne zahteve posredujejo vaši uvedbi hibridne varnosti podatkov. Če uporabnik novo dodane organizacije stranke izvede kakršno koli dejanje, se bo ID organizacije prikazal v dnevnikih, kar je mogoče uporabiti za preverjanje, ali organizacija uporablja večnajemniško storitev HDS. Preverite vrednost |
Spremljanje stanja hibridne varnosti podatkov
| 1 |
V Partner Hubv meniju na levi strani zaslona izberite Storitve. |
| 2 |
V razdelku Storitve v oblaku poiščite možnost Varnost hibridnih podatkov in kliknite Uredi nastavitve. Prikaže se stran z nastavitvami hibridne varnosti podatkov.
|
| 3 |
V razdelku Obvestila po e-pošti vnesite enega ali več e-poštnih naslovov, ločenih z vejicami, in pritisnite Enter. |
Upravljajte svojo uvedbo HDS
Upravljanje uvajanja HDS
Za upravljanje uvedbe hibridne varnosti podatkov uporabite tukaj opisana opravila.
Nastavitev urnika nadgradnje gruče
Če želite nastaviti urnik nadgradnje:
| 1 |
Prijavite se v središče za partnerje. |
| 2 |
V meniju na levi strani zaslona izberite Storitve. |
| 3 |
V razdelku Storitve v oblaku poiščite Hibridna varnost podatkov in kliknite Nastavi |
| 4 |
Na strani Hibridni viri za varnost podatkov izberite gručo. |
| 5 |
Kliknite zavihek Nastavitve gruče. |
| 6 |
Na strani Nastavitve gruče v razdelku Urnik nadgradnje izberite čas in časovni pas za urnik nadgradnje. Opomba: Pod časovnim pasom sta prikazana datum in ura naslednje razpoložljive nadgradnje. Nadgradnjo lahko po potrebi preložite na naslednji dan s klikom na Preloži za 24 ur. |
Spremenite konfiguracijo vozlišča
-
Spreminjanje potrdil x.509 zaradi poteka veljavnosti ali drugih razlogov.
Spreminjanje imena domene CN potrdila ni podprto. Domena se mora ujemati z izvirno domeno, ki je bila uporabljena za registracijo gruče.
-
Posodabljanje nastavitev baze podatkov za spremembo na repliko baze podatkov PostgreSQL ali Microsoft SQL Server.
Ne podpiramo selitve podatkov iz PostgreSQL v Microsoft SQL Server ali obratno. Če želite preklopiti okolje baze podatkov, začnite novo uvajanje hibridne varnosti podatkov.
-
Ustvarjanje nove konfiguracije za pripravo novega podatkovnega centra.
Zaradi varnosti Hybrid Data Security uporablja tudi gesla za račune storitev, ki imajo devetmesečno življenjsko dobo. Ko orodje za nastavitev HDS ustvari ta gesla, jih namestite na vsako od vozlišč HDS v konfiguracijski datoteki ISO. Ko se gesel vaše organizacije bliža koncu veljavnosti, boste od ekipe Webex prejeli obvestilo, da morate ponastaviti geslo za svoj račun. (E-poštno sporočilo vsebuje besedilo »Za posodobitev gesla uporabite API računa računalnika.«) Če vaša gesla še niso potekla, vam orodje ponudi dve možnosti:
-
Mehka ponastavitev– Staro in novo geslo delujeta do 10 dni. To obdobje uporabite za postopno zamenjavo datoteke ISO na vozliščih.
-
Trda ponastavitev– Stara gesla takoj prenehajo delovati.
Če vaša gesla potečejo brez ponastavitve, to vpliva na vašo storitev HDS, saj zahteva takojšnjo strojno ponastavitev in zamenjavo datoteke ISO na vseh vozliščih.
S tem postopkom ustvarite novo konfiguracijsko datoteko ISO in jo uporabite v gruči.
Preden začnete
-
Orodje za nastavitev HDS se izvaja kot vsebnik Docker na lokalnem računalniku. Za dostop do njega zaženite Docker na tem računalniku. Za postopek nastavitve so potrebne poverilnice računa Partner Hub s polnimi skrbniškimi pravicami partnerja.
Če nimate licence za Docker Desktop, lahko za zagon orodja HDS Setup za korake od 1.a do 1.e v spodnjem postopku uporabite Podman Desktop. Za podrobnosti glejte Zaženite orodje za namestitev HDS z uporabo Podman Desktop.
Če orodje za nastavitev HDS v vašem okolju deluje za posredniškim strežnikom, navedite nastavitve posredniškega strežnika (strežnik, vrata, poverilnice) prek okoljskih spremenljivk Docker, ko odprete vsebnik Docker v 1.e. Ta tabela prikazuje nekaj možnih okoljskih spremenljivk:
Opis
Spremenljivka
HTTP posredniški strežnik brez preverjanja pristnosti
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS brez preverjanja pristnosti
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP posredniški strežnik z overjanjem
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS posredniški strežnik z overjanjem
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Za ustvarjanje nove konfiguracije potrebujete kopijo trenutne konfiguracijske datoteke ISO. ISO vsebuje glavni ključ, ki šifrira bazo podatkov PostgreSQL ali Microsoft SQL Server. Datoteko ISO potrebujete, ko spreminjate konfiguracijo, vključno s poverilnicami baze podatkov, posodobitvami potrdil ali spremembami pravilnika o avtorizaciji.
| 1 |
Z uporabo Dockerja na lokalnem računalniku zaženite orodje za nastavitev HDS. |
| 2 |
Če imate delujoče samo eno vozlišče HDS, ustvarite nov navidezni računalnik vozlišča Hybrid Data Security in ga registrirajte z novo konfiguracijsko datoteko ISO. Za podrobnejša navodila glejte Ustvarjanje in registracija več vozlišč. |
| 3 |
Za obstoječa vozlišča HDS, ki izvajajo starejšo konfiguracijsko datoteko, namestite datoteko ISO. Naslednji postopek izvedite na vsakem vozlišču po vrsti in posodobite vsako vozlišče, preden izklopite naslednje vozlišče: |
| 4 |
Ponovite 3. korak, da zamenjate konfiguracijo na vsakem preostalem vozlišču, ki izvaja staro konfiguracijo. |
Izklopi način blokiranega zunanjega razreševanja DNS-a
Ko registrirate vozlišče ali preverite konfiguracijo proxyja vozlišča, postopek preizkusi iskanje DNS in povezljivost z oblakom Cisco Webex. Če strežnik DNS vozlišča ne more razrešiti javnih imen DNS, vozlišče samodejno preklopi v način blokiranega zunanjega razreševanja DNS.
Če vaša vozlišča lahko razrešujejo javna imena DNS prek notranjih strežnikov DNS, lahko ta način izklopite tako, da na vsakem vozlišču znova zaženete preizkus povezave s proxyjem.
Preden začnete
| 1 |
V spletnem brskalniku odprite vmesnik vozlišča Hybrid Data Security (IP address/setup, na primer, https://192.0.2.0/setup), vnesite skrbniške poverilnice, ki ste jih nastavili za vozlišče, in nato kliknite Prijava. |
| 2 |
Pojdite na Pregled (privzeta stran). Ko je omogočeno, je možnost Blokirano zunanje ločljivost DNS nastavljena na Da. |
| 3 |
Pojdite v trgovino zaupanja vrednih predmetov & Proxy. stran. |
| 4 |
Kliknite Preveri povezavo s proxyjem. Če se prikaže sporočilo, da zunanje razreševanje DNS ni bilo uspešno, vozlišče ni moglo doseči strežnika DNS in bo ostalo v tem načinu. V nasprotnem primeru mora biti po ponovnem zagonu vozlišča in vrnitvi na stran Pregled možnost Blokirano zunanje ločljivost DNS nastavljena na ne. |
Kaj storiti naprej
Odstrani vozlišče
| 1 |
Z odjemalcem VMware vSphere v računalniku se prijavite v virtualni gostitelj ESXi in izklopite virtualni stroj. |
| 2 |
Odstranite vozlišče: |
| 3 |
V odjemalcu vSphere izbrišite navidezni stroj. (V levem podoknu za krmarjenje z desno tipko miške kliknite na navidezni računalnik in nato kliknite Izbriši.) Če ne izbrišete navideznega računalnika, ne pozabite odklopiti konfiguracijske datoteke ISO. Brez datoteke ISO ne morete uporabljati navideznega računalnika za dostop do svojih varnostnih podatkov. |
Obnova po katastrofi z uporabo podatkovnega centra v stanju pripravljenosti
Najpomembnejša storitev, ki jo zagotavlja vaš hibridni grozd za varnost podatkov, je ustvarjanje in shranjevanje ključev, ki se uporabljajo za šifriranje sporočil in druge vsebine, shranjene v oblaku Webex. Za vsakega uporabnika v organizaciji, ki je dodeljen hibridni varnosti podatkov, se nove zahteve za ustvarjanje ključev usmerijo v gručo. Gruča je odgovorna tudi za vračilo ključev, ki jih je ustvarila, vsem uporabnikom, ki so pooblaščeni za njihov pridobitev, na primer članom pogovornega prostora.
Ker gruča opravlja ključno funkcijo zagotavljanja teh ključev, je nujno, da gruča ostane delujoča in da se vzdržujejo ustrezne varnostne kopije. Izguba baze podatkov Hybrid Data Security ali konfiguracijske datoteke ISO, ki se uporablja za shemo, bo povzročila NEPOVRATNO IZGUBO vsebine strank. Za preprečevanje takšne izgube so obvezne naslednje prakse:
Če zaradi katastrofe namestitev HDS v primarnem podatkovnem centru ni na voljo, sledite temu postopku za ročni preklop na rezervni podatkovni center.
Preden začnete
| 1 |
Zaženite orodje za namestitev HDS in sledite korakom, omenjenim v Ustvarjanje konfiguracijske datoteke ISO za gostitelje HDS. |
| 2 |
Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga je enostavno najti. |
| 3 |
Naredite varnostno kopijo datoteke ISO v lokalnem sistemu. Varnostno kopijo hranite varno. Ta datoteka vsebuje glavni šifrirni ključ za vsebino baze podatkov. Dostop omejite le na tiste skrbnike hibridne varnosti podatkov, ki bi morali spreminjati konfiguracijo. |
| 4 |
V levem podoknu za navigacijo odjemalca VMware vSphere z desno tipko miške kliknite na virtualni stroj in nato kliknite Uredi nastavitve. |
| 5 |
Kliknite Uredi nastavitve >CD/DVD Pogon 1 in izberite Datoteka ISO shrambe podatkov. Prepričajte se, da sta polji Povezano in Poveži se ob vklopu označeni, da lahko posodobljene spremembe konfiguracije začnejo veljati po zagonu vozlišč. |
| 6 |
Vklopite vozlišče HDS in se prepričajte, da vsaj 15 minut ni alarmov. |
| 7 |
Registrirajte vozlišče v središču za partnerje. Glejte Registrirajte prvo vozlišče v gruči. |
| 8 |
Postopek ponovite za vsako vozlišče v rezervnem podatkovnem centru. |
Kaj storiti naprej
(Neobvezno) Odmontirajte ISO po konfiguraciji HDS
Standardna konfiguracija HDS deluje z nameščeno ISO-pogonsko enoto. Vendar pa nekatere stranke raje ne puščajo datotek ISO neprekinjeno nameščenih. Datoteko ISO lahko odklopite, ko vsa vozlišča HDS prevzamejo novo konfiguracijo.
Datoteke ISO še vedno uporabljate za spreminjanje konfiguracije. Ko ustvarite nov ISO ali posodobite ISO prek orodja za nastavitev, morate posodobljeni ISO namestiti na vsa vozlišča HDS. Ko vsa vaša vozlišča prevzamejo spremembe konfiguracije, lahko s tem postopkom znova odklopite ISO.
Preden začnete
Nadgradite vsa vozlišča HDS na različico 2021.01.22.4720 ali novejšo.
| 1 |
Zaustavite eno od svojih vozlišč HDS. |
| 2 |
V strežniški napravi vCenter izberite vozlišče HDS. |
| 3 |
Izberite in počistite polje Datoteka ISO shrambe podatkov. |
| 4 |
Vklopite vozlišče HDS in se prepričajte, da vsaj 20 minut ni nobenih alarmov. |
| 5 |
Ponovite za vsako vozlišče HDS po vrsti. |
Odpravljanje težav z varnostjo hibridnih podatkov
Ogled opozoril in odpravljanje težav
Uvedba hibridne varnosti podatkov se šteje za nedostopno, če so vsa vozlišča v gruči nedosegljiva ali če gruča deluje tako počasi, da zahteva časovno omejitev. Če uporabniki ne morejo doseči vaše gruče Hybrid Data Security, se pojavijo naslednji simptomi:
-
Novih prostorov ni mogoče ustvariti (ni mogoče ustvariti novih ključev)
-
Sporočila in naslovi prostorov se ne dešifrirajo za:
-
V prostor so bili dodani novi uporabniki (ključev ni mogoče pridobiti)
-
Obstoječi uporabniki v prostoru, ki uporabljajo novega odjemalca (ni mogoče pridobiti ključev)
-
-
Obstoječi uporabniki v prostoru bodo še naprej uspešno delovali, dokler imajo njihovi odjemalci predpomnilnik šifrirnih ključev.
Pomembno je, da pravilno spremljate svojo gručo hibridne varnosti podatkov in pravočasno obravnavate morebitna opozorila, da preprečite motnje v storitvi.
Opozorila
Če pride do težave z nastavitvijo hibridne varnosti podatkov, središče za partnerje prikaže opozorila skrbniku organizacije in pošlje e-pošto na konfiguriran e-poštni naslov. Opozorila zajemajo številne pogoste scenarije.
|
Opozori |
Dejanje |
|---|---|
|
Napaka pri dostopu do lokalne baze podatkov. |
Preverite morebitne napake v zbirki podatkov ali težave z lokalnim omrežjem. |
|
Napaka povezave z lokalno bazo podatkov. |
Preverite, ali je strežnik baze podatkov na voljo in ali so bile pri konfiguraciji vozlišča uporabljene pravilne poverilnice storitvenega računa. |
|
Napaka pri dostopu do storitve v oblaku. |
Preverite, ali lahko vozlišča dostopajo do strežnikov Webex, kot je določeno v Zahteve za zunanjo povezljivost. |
|
Podaljšanje registracije storitve v oblaku. |
Registracija za storitve v oblaku je bila zavržena. Podaljšanje registracije je v teku. |
|
Registracija storitve v oblaku je bila prekinjena. |
Registracija za storitve v oblaku je bila prekinjena. Storitev se ukinja. |
|
Storitev še ni aktivirana. |
Aktivirajte HDS v središču za partnerje. |
|
Konfigurirana domena se ne ujema s potrdilom strežnika. |
Prepričajte se, da se potrdilo vašega strežnika ujema s konfigurirano domeno za aktivacijo storitve. Najverjetnejši vzrok je, da je bila CN potrdila nedavno spremenjena in se zdaj razlikuje od CN-ja, ki je bil uporabljen med začetno nastavitvijo. |
|
Preverjanje pristnosti v storitvah v oblaku ni uspelo. |
Preverite točnost in morebitno veljavnost poverilnic za račun storitve. |
|
Odpiranje lokalne datoteke shrambe ključev ni uspelo. |
Preverite celovitost in točnost gesla v lokalni datoteki shrambe ključev. |
|
Potrdilo lokalnega strežnika je neveljavno. |
Preverite datum poteka veljavnosti potrdila strežnika in se prepričajte, da ga je izdal zaupanja vreden overitelj potrdil. |
|
Objava meritev ni mogoča. |
Preverite dostop lokalnega omrežja do zunanjih storitev v oblaku. |
|
/media/configdrive/hds Imenik ne obstaja. |
Preverite konfiguracijo priklopa ISO na virtualnem gostitelju. Preverite, ali datoteka ISO obstaja, ali je konfigurirana za priklop ob ponovnem zagonu in ali se uspešno priklopi. |
|
Nastavitev organizacije najemnika ni dokončana za dodane organizacije |
Dokončajte nastavitev tako, da ustvarite CMK-je za novo dodane organizacije najemnikov z orodjem HDS Setup Tool. |
|
Nastavitev organizacije najemnika ni dokončana za odstranjene organizacije |
Dokončajte namestitev tako, da prekličete CMK-je najemniških organizacij, ki so bili odstranjeni z orodjem HDS Setup Tool. |
Odpravljanje težav z varnostjo hibridnih podatkov
| 1 |
Preverite središče za partnerje za morebitna opozorila in odpravite morebitne napake, ki jih tam najdete. Za referenco si oglejte spodnjo sliko. |
| 2 |
Preglejte izhod strežnika syslog za aktivnost iz uvedbe hibridne varnosti podatkov. Za lažje odpravljanje težav uporabite filtriranje besed, kot sta »Opozorilo« in »Napaka«. |
| 3 |
Obrnite se na podporo Cisco. |
Druge opombe
Znane težave z varnostjo hibridnih podatkov
-
Če zaustavite gručo Hybrid Data Security (tako, da jo izbrišete v Partner Hubu ali zaustavite vsa vozlišča), izgubite konfiguracijsko datoteko ISO ali izgubite dostop do baze podatkov shrambe ključev, uporabniki aplikacije Webex v organizacijah strank ne morejo več uporabljati prostorov na svojem seznamu oseb, ki so bili ustvarjeni s ključi iz vašega sistema za upravljanje ključev. Trenutno nimamo rešitve ali popravka za to težavo in vas pozivamo, da ne izklapljate storitev HDS, ko te obdelujejo aktivne uporabniške račune.
-
Odjemalec, ki ima obstoječo povezavo ECDH s KMS, vzdržuje to povezavo določen čas (verjetno eno uro).
Zaženite orodje za namestitev HDS s programom Podman Desktop
Podman je brezplačno in odprtokodno orodje za upravljanje vsebnikov, ki omogoča zagon, upravljanje in ustvarjanje vsebnikov. Podman Desktop lahko prenesete z https://podman-desktop.io/downloads.
-
Orodje za nastavitev HDS se izvaja kot vsebnik Docker na lokalnem računalniku. Za dostop do njega prenesite in zaženite Podman na tem računalniku. Za postopek namestitve so potrebne poverilnice računa Control Hub s polnimi skrbniškimi pravicami za vašo organizacijo.
Če orodje za nastavitev HDS v vašem okolju deluje za posredniškim strežnikom, navedite nastavitve posredniškega strežnika (strežnik, vrata, poverilnice) prek okoljskih spremenljivk Docker, ko v 5. koraku odprete vsebnik Docker. Ta tabela prikazuje nekaj možnih okoljskih spremenljivk:
Opis
Spremenljivka
HTTP posredniški strežnik brez preverjanja pristnosti
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS brez preverjanja pristnosti
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP posredniški strežnik z overjanjem
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS posredniški strežnik z overjanjem
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Konfiguracijska datoteka ISO, ki jo ustvarite, vsebuje glavni ključ, ki šifrira bazo podatkov PostgreSQL ali Microsoft SQL Server. Najnovejšo kopijo te datoteke potrebujete vsakič, ko spreminjate konfiguracijo, kot so te:
-
Poverilnice baze podatkov
-
Posodobitve potrdil
-
Spremembe pravilnika o avtorizaciji
-
-
Če nameravate šifrirati povezave z zbirko podatkov, nastavite uvedbo PostgreSQL ali SQL Server za TLS.
Postopek namestitve hibridne varnosti podatkov ustvari datoteko ISO. Nato z datoteko ISO konfigurirate gostitelja Hybrid Data Security.
| 1 |
V ukazno vrstico računalnika vnesite ustrezen ukaz za vaše okolje: V običajnih okoljih: V okoljih FedRAMP: Ta korak počisti prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete. |
| 2 |
Za prijavo v register slik Docker vnesite naslednje: |
| 3 |
Ob pozivu za geslo vnesite ta zgoščeni kod: |
| 4 |
Prenesite najnovejšo stabilno sliko za svoje okolje: V običajnih okoljih: V okoljih FedRAMP: |
| 5 |
Ko je vlečenje končano, vnesite ustrezen ukaz za vaše okolje:
Ko se vsebnik izvaja, se prikaže sporočilo »Strežnik Express posluša na vratih 8080«. |
Kaj storiti naprej
Premaknite obstoječo uvedbo sistema HDS za enega najemnika partnerske organizacije v središču Control Hub v nastavitev sistema HDS za več najemnikov v središču Partner Hub.
Pretvorba iz obstoječe enonajemniške uvedbe HDS partnerske organizacije, ki se upravlja v Control Hub, v večnajemniško uvedbo HDS, ki se upravlja v Partner Hub, vključuje predvsem deaktiviranje storitve HDS v Control Hub, odjavo vozlišč in brisanje gruče. Nato se lahko prijavite v Partner Hub, registrirate vozlišča, aktivirate Multi-Tenant HDS in dodate stranke v svojo gručo.
Izraz »enojni najemnik« se preprosto nanaša na obstoječo uvedbo HDS v Control Hubu.
Deaktivirajte HDS, odregistrirajte vozlišča in izbrišite gručo v Control Hubu
| 1 |
Prijava v Nadzorno središče. V levem podoknu kliknite Hibrid. Na kartici Hibridna varnost podatkov kliknite Uredi nastavitve. |
| 2 |
Na strani z nastavitvami se pomaknite navzdol do razdelka Deaktiviraj in kliknite Deaktiviraj. |
| 3 |
Po deaktivaciji kliknite na zavihek Viri. |
| 4 |
Na strani Viri so navedene gruče v vaši uvedbi HDS. S klikom na gručo se odpre stran z vsemi vozlišči v tej gruči. |
| 5 |
Kliknite ... na desni in nato kliknite Odregistriraj vozlišče. Postopek ponovite za vsa vozlišča v gruči. |
| 6 |
Če ima vaša namestitev več gruč, ponavljajte 4. in 5. korak, dokler niso vsa vozlišča odregistrirana. |
| 7 |
Kliknite Nastavitve gruče > Odstrani. |
| 8 |
Kliknite Potrdi odstranitev, da odregistrirate gručo. |
| 9 |
Postopek ponovite za vse gruče v vaši uvedbi HDS. Po deaktivaciji HDS, odjavi vozlišč in odstranitvi gruč bo na dnu kartice Hybrid Data Service v nadzornem središču prikazano sporočilo Namestitev ni končana. |
Aktivirajte večnajemniški HDS za partnersko organizacijo v središču za partnerje in dodajte stranke
Preden začnete
Vsi predpogoji, omenjeni v Zahteve za varnost podatkov hibridnih večnajemnikov. Poleg tega zagotovite, da se med selitvijo na večnajemniški HDS uporablja ista baza podatkov in potrdila.
| 1 |
Prijava v partnersko središče. V levem podoknu kliknite Storitve. Za konfiguracijo vozlišč uporabite isto datoteko ISO iz prejšnje uvedbe HDS. To bo zagotovilo, da bodo sporočila in vsebina, ki so jih ustvarili uporabniki v prejšnji obstoječi uvedbi HDS, še vedno dostopna v novi večnajemniški nastavitvi. |
| 2 |
V razdelku Storitve v oblaku poiščite kartico Hibridna varnost podatkov in kliknite Nastavi. |
| 3 |
Na strani, ki se odpre, kliknite Dodaj vir. |
| 4 |
V prvo polje kartice Dodaj vozlišče vnesite ime gruče, ki ji želite dodeliti vozlišče Hybrid Data Security. Priporočamo, da gručo poimenujete glede na geografsko lokacijo vozlišč gruče. Primeri: »San Francisco« ali »New York« ali »Dallas« |
| 5 |
V drugo polje vnesite interni IP-naslov ali polno kvalificirano ime domene (FQDN) vašega vozlišča in na dnu zaslona kliknite Dodaj. Ta naslov IP ali FQDN se mora ujemati z naslovom IP ali imenom gostitelja in domeno, ki ste jo uporabili v Nastavitev navideznega računalnika za varnost hibridnih podatkov. Prikaže se sporočilo, ki označuje, da lahko registrirate svoje vozlišče v Webexu.
|
| 6 |
Kliknite Pojdi na vozlišče. Čez nekaj trenutkov boste preusmerjeni na teste povezljivosti vozlišč za storitve Webex. Če so vsi testi uspešni, se prikaže stran Dovoli dostop do hibridnega vozlišča za varnost podatkov. Tam potrdite, da želite svoji organizaciji Webex podeliti dovoljenja za dostop do vašega vozlišča. |
| 7 |
Označite potrditveno polje Dovoli dostop do vašega hibridnega vozlišča za varnost podatkov in nato kliknite Nadaljuj. Vaš račun je potrjen in sporočilo »Registracija je končana« pomeni, da je vaše vozlišče zdaj registrirano v oblaku Webex. Na strani Varnost hibridnih podatkov je pod zavihkom Viri prikazana nova gruča, ki vsebuje vozlišče, ki ste ga registrirali. Vozlišče bo samodejno preneslo najnovejšo programsko opremo iz oblaka.
|
| 8 |
Pojdite na zavihek Nastavitve in na kartici Stanje HDS kliknite Aktiviraj. Na dnu zaslona se bo prikazalo sporočiloAktiviran HDS.
|
| 9 |
V razdelku Virikliknite na novo ustvarjeno gručo. |
| 10 |
Na strani, ki se odpre, kliknite zavihek Dodeljene stranke. |
| 11 |
Kliknite Dodaj stranke. |
| 12 |
V spustnem meniju izberite stranko, ki jo želite dodati. |
| 13 |
Kliknite Dodajin stranka bo dodana v gručo. |
| 14 |
Za dodajanje več strank v gručo ponovite korake od 11 do 13. |
| 15 |
Ko dodate stranke, kliknite Končano na dnu zaslona. |
Kaj storiti naprej
Uporaba OpenSSL za ustvarjanje datoteke PKCS12
Preden začnete
-
OpenSSL je orodje, ki ga je mogoče uporabiti za pripravo datoteke PKCS12 v pravilni obliki za nalaganje v orodje za nastavitev HDS. Obstajajo tudi drugi načini za to in mi ne podpiramo ali promoviramo enega načina pred drugim.
-
Če se odločite za uporabo OpenSSL, vam ta postopek ponujamo kot smernice, ki vam bodo pomagale ustvariti datoteko, ki izpolnjuje zahteve za potrdilo X.509 v Zahteve za potrdilo X.509. Preden nadaljujete, se seznanite s temi zahtevami.
-
Namestite OpenSSL v podprto okolje. Za programsko opremo in dokumentacijo glejte https://www.openssl.org.
-
Ustvarite zasebni ključ.
-
Ta postopek začnite, ko od overitelja potrdil (CA) prejmete potrdilo strežnika.
| 1 |
Ko od overitelja potrdil prejmete strežniško potrdilo, ga shranite kot |
| 2 |
Prikažite potrdilo kot besedilo in preverite podrobnosti.
|
| 3 |
Z urejevalnikom besedil ustvarite datoteko svežnja potrdil z imenom
|
| 4 |
Ustvarite datoteko .p12 s prijaznim imenom
|
| 5 |
Preverite podrobnosti potrdila strežnika. |
Kaj storiti naprej
Nazaj na Izpolnite predpogoje za hibridno varnost podatkov. Datoteko hdsnode.p12 in geslo, ki ste ga zanjo nastavili, boste uporabili v Ustvarjanje konfiguracijske datoteke ISO za gostitelje HDS.
Te datoteke lahko ponovno uporabite za zahtevo novega potrdila, ko izvirno potrdilo poteče.
Promet med vozlišči HDS in oblakom
Promet zbiranja odhodnih meritev
Vozlišča Hybrid Data Security pošiljajo določene metrike v oblak Webex. Sem spadajo sistemske metrike za največjo možno količino kopice, uporabljeno kopico, obremenitev procesorja in število niti; metrike sinhronih in asinhronih niti; metrike opozoril, ki vključujejo prag šifriranih povezav, zakasnitev ali dolžino čakalne vrste zahtev; metrike shrambe podatkov; in metrike šifriranih povezav. Vozlišča pošiljajo šifrirano ključno gradivo prek kanala zunaj pasu (ločenega od zahteve).
Dohodni promet
Vozlišča Hybrid Data Security prejemajo naslednje vrste vhodnega prometa iz oblaka Webex:
-
Zahteve za šifriranje odjemalcev, ki jih usmerja storitev šifriranja
-
Nadgradnje programske opreme vozlišča
Konfigurirajte Squid proxyje za hibridno varnost podatkov
Websocket se ne more povezati prek proxyja Squid
Proxyji Squid, ki pregledujejo promet HTTPS, lahko motijo vzpostavljanje povezav websocket (wss:), ki jih zahteva Hybrid Data Security. Ti razdelki dajejo navodila o tem, kako konfigurirati različne različice Squida, da prezrejo wss: promet za pravilno delovanje storitev.
Lignji 4 in 5
Dodajte direktivo on_unsupported_protocol v squid.conf:
on_unsupported_protocol tunnel allLignji 3.5.27
Uspešno smo preizkusili hibridno varnost podatkov z naslednjimi pravili, dodanimi v squid.conf. Ta pravila se lahko spremenijo, ko razvijamo funkcije in posodabljamo oblak Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
