- Početak
- /
- Članak
U ovom člankuNove i promenjene informacije
Datum | Napravljene promene | ||
|---|---|---|---|
20. oktobar 2023. |
| ||
Avgust 07, 2023. |
| ||
23. maj 2023. |
| ||
06. decembar 2022. |
| ||
23. novembar 2022. |
| ||
13.11.2021. | Docker Desktop mora da pokrene program za podešavanje da biste mogli da instalirate HDS čvorove. Pogledajte zahteve za docker radnu površinu. | ||
24.04.2021. | Imajte u vidu to da možete ponovo da koristite datoteku privatnog ključa i da CSR zatražite drugi sertifikat. Detaljnije informacije potražite u članku Upotreba openSSL za generisanje PKCS12 datoteke . | ||
| 30. april 2021. | Promenjen je VM za prostor na lokalnom čvrstom disku na 30 GB. Detaljnije informacije potražite u zahtevima virtuelnog organizatora. | ||
24. februar, 2021. | Alatka za podešavanje HDS-a sada može da radi iza proxy servera. Detalje potražite u članku Kreiranje ISO za HDS organizatore . | ||
2. februar, 2021. | HDS sada može da radi bez postavljene ISO datoteke. Detaljnije informacije potražite u članku (opcionalno) uklanjanje ISO nakon HDS konfiguracije . | ||
11. januar 2021. | Dodate su informacije o alatki za podešavanje HDS-a i proxy serverima za kreiranje ISO za HDS organizatore. | ||
13.11.2020. | Ažurirano preuzimanje instalacionih datoteka. | ||
8. oktobar 2020. | Ažurirano kreiranje konfiguracije za ISO za HDS organizatore i promenu konfiguracije čvora pomoću komandi za FedRAMP okruženja. | ||
14.04.2020. | Ažurirano je kreiranje konfiguracije ISO za HDS organizatore i promenu konfiguracije čvora promenama u procesu prijavljivanja. | ||
5. avgust, 2020. | Ažurirano testirajte primenu hibridne bezbednosti podataka za promene u porukama evidencije. Ažurirani su zahtevi virtuelnog organizatora kako bi se maksimalni broj uklonili organizatori. | ||
16. jun, 2020. | Ažurirano je uklanjanje čvora za promene u korisničkom interfejsu platforme Control Hub. | ||
4. jun, 2020. | Ažurirano je kreiranje konfiguracije ISO za HDS organizatore za promene u naprednih podešavanja koje možete podesiti. | ||
29. maj, 2020. | Ažurirano kreiranje konfiguracije ISO za HDS organizatore koji će pokazati da takođe možete da koristite TLS sa SQL bazama podataka servera, promenama korisničkog interfejsa i drugim pojašnjenja. | ||
5. maj, 2020. | Ažurirani su zahtevi virtuelnog organizatora kako bi se prikazao novi zahtev za ESXi 6.5. | ||
21. april 2020. | Ažurirani su zahtevi za spoljne mogućnosti povezivanja sa hostovima kompanije New Americas CI. | ||
1. aprila 2020. | Ažurirani su zahtevi za spoljnu povezanost sa informacijama o regionalnim CI organizatorima. | ||
| 20. februar, 2020. | Ažurirano kreiranje konfiguracije ISO za HDS organizatore informacijama o novom opcionalnom ekranu za napredna podešavanja u alatki za podešavanje HDS-a. | ||
| 4. februar 2020. | Ažurirani zahtevi proxy servera. | ||
| 16. decembar 2019. | Pojašnjeno je zahtev da režim DNS spoljne rezolucije radi u zahtevima proxy servera. | ||
| 19.11.2019. | Dodate informacije o blokiranim spoljnim DNS u sledećim odeljcima: | ||
8.11.2019. | Sada možete da konfigurišete podešavanja mreže za čvor dok primenjujete OVA, a ne kasnije. Ažurirani su sledeći odeljci na odgovarajući način:
| ||
6. septembar 2019. | Dodat je SQL server standarda u zahteve servera baze podataka. | ||
| 29. avgusta 2019. | Dodato je konfigurisanje lignja proxy servera za dodatak za hibridnu bezbednost podataka sa uputstvima za konfigurisanje proxy servera za lignje kako bi se zanemario websocket saobraćaj radi pravilnog rada. | ||
| 20. avgust, 2019. | Dodati su i ažurirani odeljci za pokrivanje proxy podrške za komunikacije čvora hibridne bezbednosti podataka sa Webex oblakom. Da biste pristupili samo sadržaju podrške za proxy za postojeću primenu, pogledajte članak pomoći proxy podrške za hibridnu bezbednost podataka i članak pomoći Webex Video Mesh . | ||
| 13. jun 2019. | Probna verzija je ažurirana na tok zadatka proizvodnje sa podsetnikom za sinhronizaciju HdsTrialGroup grupni objekat pre pokretanja probne verzije ako vaša organizacija koristi sinhronizaciju direktorijuma. | ||
| 6. mart 2019. |
| ||
| 28. februara 2019. |
| ||
| 26. februar 2019. |
| ||
24. januar, 2019. |
| ||
| 5. novembar 2018. |
| ||
| 19. oktobar 2018. |
| ||
Jul 31, 2018 |
| ||
| 21. maj 2018. | Promenjena terminologija da odražava rebrendiranje Cisco Sparka:
| ||
| 11. april 2018. |
| ||
| 22. februar, 2018. |
| ||
| 15. februara 2018. |
| ||
| 18. januara 2018. |
| ||
2. novembar 2017. |
| ||
Avgust 18, 2017 | Prvo objavljeno |
Pregled hibridne bezbednosti podataka
Od 1. dana bezbednost podataka je primarni fokus u dizajnu aplikacije Webex. Kamen temeljac ove bezbednosti je potpuno šifrovanje sadržaja, koje omogućavaju klijenti Webex aplikacije koji obavljaju interakciju sa uslugom upravljanja ključevima (KMS). KMS je odgovoran za kreiranje i upravljanje kriptografskim ključevima koje klijenti koriste za dinamički šifrovanje i dešifrovanje poruka i datoteka.
Podrazumevano, svi kupci aplikacije Webex dobijaju potpuno šifrovanje pomoću dinamičkih ključeva uskladištenih u KMS-u u oblaku, u Cisco bezbednosnom području. Hibridna bezbednost podataka premešta KMS i druge funkcije povezane sa bezbednošću u vaš podaci preduzeća centar, tako da niko osim vas ne zadržava ključeve svog šifrovanog sadržaja.
Arhitektura bezbednosnog područja
Arhitektura Webex oblaka odvaja različite tipove usluge u zasebna područja ili pouzdane domene, kao što je opisano ispod.
Da biste dodatno razumeli hibridnu bezbednost podataka, hajde da pogledamo ovaj čisti slučaj u oblaku gde Cisco obezbeđuje sve funkcije u svom području oblaka. Usluga identiteta, jedino mesto gde korisnici mogu direktno da se povežu sa ličnim podacima kao što su e-adresa, logično i fizičko se odvaja od bezbednosnog područja u centar za podatke B. Oba se zamenjuju odvojeno od područja gde se šifrovani sadržaj konačno skladišti u centar za podatke C.
Na ovom dijagramu, klijent je aplikacija Webex pokrenuta na laptop računaru korisnika i potvrdio identitet pomoću usluge identiteta. Kada korisnik sastavi poruku za slanje u prostor, izvršite sledeće korake:
Klijent uspostavlja funkciju bezbedna veza uslugom upravljanja ključevima (KMS), a zatim traži ključ za šifrovanje poruke. Ova bezbedna veza koristi ECDH, a KMS šifruje ključ pomoću AES-256 glavni ključ.
Poruka je šifrovana pre nego što napusti klijent. Klijent je šalje usluzi indeksa, koja kreira šifrovane indekse pretrage kako bi pomogla u budućim pretraživanjima sadržaja.
Šifrovana poruka se šalje usluzi usklađenosti radi provere usklađenosti.
Šifrovana poruka se čuva u području skladišta.
Kada primenite hibridnu bezbednost podataka, premestite funkcije bezbednosnog područja (KMS, indeksiranje i usaglašenost) na u objektu centar za podatke. Ostale usluge u oblaku koje sačinju Webex (uključujući identitet i skladištenje sadržaja) ostaju u Područjima kompanije Cisco.
Saradnja sa drugim organizacijama
Korisnici u vašoj organizaciji mogu redovno da koriste aplikaciju Webex za saradnju sa spoljnim učesnicima u drugim organizacijama. Kada jedan od korisnika zatraži ključ za prostor u vlasništvu vaše organizacije (jer ga je kreirao jedan od korisnika) VAŠ KMS šalje ključ klijentu preko ECDH bezbednog kanala. Međutim, kada druga organizacija poseduje ključ za prostor, vaš KMS usmerava zahtev do Webex oblaka putem zasebnog ECDH kanala da bi dobili ključ iz odgovarajućih KMS-a, a zatim vraća ključ korisniku na originalnom kanalu.
KMS usluga pokrenuta u okviru Org A proverava veze sa KMS-ovima u drugim organizacijama koristeći PKI sertifikate x.509. Pogledajte odeljak Pripremite svoje okruženje za detalje o generisanju sertifikata x.509 koji će se koristiti sa primenom hibridne bezbednosti podataka.
Očekivanja za primenu hibridne bezbednosti podataka
Primena hibridne bezbednosti podataka zahteva značajnu posvećenost kupaca i svesnost o rizicima koji dolaze sa sopstvenim ključevima za šifrovanje.
Da biste primenili hibridnu bezbednost podataka, morate da navedite:
Bezbedna centar za podatke u zemlji koja je podržana lokacija za Cisco Webex Teams planove.
Pristup opremi, softveru i mreži opisan u pripremi okruženja.
Dovršen gubitak konfiguracije ISO koju ste izgradili za hibridnu bezbednost podataka ili bazu podataka koju naveli dovešću do gubitka ključeva. Gubitak ključa sprečava korisnike da dešifruje sadržaj prostora i druge šifrovane podatke u aplikaciji Webex. Ako se to desi, možete da napravite novu primenu, ali će samo novi sadržaj biti vidljiv. Da biste izbegli gubitak pristupa podacima, morate:
Upravljajte rezervnim kopijama i oporavkom baze podataka i konfiguracijama ISO.
Budite spremni da izvršite brze oporavljanje nakon katastrofe ako dođe do katastrofe, kao što je neuspeh diska baze podataka ili centar za podatke katastrofa.
 | Ne postoji mehanizam za premeštanje ključeva u oblak nakon HDS primene. |
Proces podešavanja visokog nivoa
Ovaj dokument pokriva podešavanje i upravljanje primenom hibridne bezbednosti podataka:
Podešavanje hibridne bezbednosti podataka – To uključuje pripremu potrebne infrastrukture i instaliranje softvera hibridne bezbednosti podataka, testiranje primene sa podskupom korisnika u probnom režimu i, kada se testiranje završi, prelazi na proizvodnju. Ovim putem će cela organizacija da koristi vaš klaster za hibridnu bezbednost podataka za bezbednosne funkcije.
Faze podešavanja, probne verzije i produkcijske faze su detaljno pokrivene u naredna tri poglavlja.
Održavajte primenu hibridne bezbednosti podataka – Webex oblak automatski obezbeđuje tekuće nadogradnje. Vaše IT odeljenje može da pruži jednu podršku za ovu primenu i da se angažuje Cisco podrška po potrebi. Obaveštenja na ekranu možete da koristite i podesiti upozorenja zasnovana na e-poruci na platformi Control Hub.
Razumevanje uobičajenih upozorenja, koraka rešavanja problema i poznatih problema – Ako naiđete na problem prilikom primene ili korišćenja hibridne bezbednosti podataka, poslednje poglavlje ovog vodiča i aplikacije Poznati problemi mogu vam pomoći da odredite i rešite problem.
Model primene hibridne bezbednosti podataka
U okviru podaci preduzeća centra primenjujete hibridnu bezbednost podataka kao jedan klaster čvorova na zasebnim virtuelnim organizatorima. Čvorovi komuniciraju sa Webex oblakom putem bezbednih veb-priključaka i bezbednog HTTP-a.
Tokom procesa instalacije obezbeđujemo vam OVA datoteku za podesiti virtuelni uređaj na VM-ovima koje pružate. Alatku za podešavanje HDS-a koristite da biste kreirali prilagođenu konfiguraciju klastera ISO koju montirate na svaki čvor. Klaster hibridne bezbednosti podataka koristi obezbeđeni Syslogd server i PostgreSQL ili Microsoft SQL server bazu podataka. (Detalje o Syslogd-u i vezi sa bazom podataka konfigurišete u alatki za podešavanje HDS-a.)
Minimalni broj čvorova koje možete da imate u klasteru je dva. Preporučujemo da ih ima najmanje tri, a možete da ih imate do pet. Ako imate više čvorova, osigurava se da se usluga ne prekida tokom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor u isto vreme.)
Svi čvorovi u klasteru pristupaju istom skladištu podataka ključa i aktivnost evidencije istom serveru syslog. Sami čvorovi su bez države i obrađuju zahteve u okruglo-robin stilu, kao što je režirao oblak.
Čvorovi postaju aktivni kada ih registrujete na portalu Control Hub. Da biste pojedinačni čvor odjavili iz funkcije, možete ga odjaviti i kasnije ponovo registracijiti po potrebi.
Podržavamo samo jedan klaster po organizaciji.
Probni režim hibridne bezbednosti podataka
Nakon podešavanja primene hibridne bezbednosti podataka, prvo pokušajte sa skupom pilot korisnika. Tokom probnog perioda ovi korisnici koriste u objektu domen hibridne bezbednosti podataka za ključeve za šifrovanje i druge usluge bezbednosnog područja. Ostali korisnici i dalje koriste područje bezbednosti oblaka.
Ako odlučite da ne nastavite sa primenom tokom probne verzije i deaktivirate uslugu, pilot korisnici i svi korisnici sa kojima su ostvarili interakciju kreiranjem novih prostora tokom probnog perioda izgubiće pristup porukama i sadržaju. Oni će videti "Ova poruka se ne može dešifrovanje" u aplikaciji Webex.
Ako ste zadovoljni da primena funkcioniše dobro za probne korisnike i spremni ste da proširite hibridnu bezbednost podataka na sve svoje korisnike, prebacite primenu na proizvodnju. Pilot korisnici i dalje imaju pristup ključevima koji su se koristili tokom probne verzije. Međutim, ne možete se uvek pomerati između proizvodnog režima i originalne probne verzije. Ako morate da deaktivirate uslugu, na primer da biste izvršili oporavljanje nakon katastrofe, kada ponovo aktivirate morate da pokrenete novu probnu verziju i da podesiti skup pilot korisnika za novu probnu verziju pre nego što se vratite u proizvodni režim. Bez obzira na to da li korisnici zadržavaju pristup podacima u ovom trenutku, zavisi od toga da li ste uspešno održali rezervne kopije ključa skladištenje podataka i ISO datoteka sa konfiguracijom za čvorove za hibridnu bezbednost podataka u klasteru.
Centar podataka u pripravnosti za oporavak od katastrofe
Tokom primene, možete podesiti u bezbednom centar za podatke. U slučaju centar za podatke katastrofe, možete ručno da ne uspete da izvršite raspoređivanje u režimu centar za podatke.
Baze podataka aktivnih i u stanju pripravnosti centara podataka su u sinhronizaciji jedan sa drugim, što će umanjiti vreme potrebno za izvršavanje neuspeha. Datoteka ISO u režimu centar za podatke ažurira se dodatnim konfiguracijama koje obezbeđuju da čvorovi budu registrovani u organizaciji, ali neće upravljati saobraćajem. Zbog toga čvorovi u režimu centar za podatke uvek ostanu ažurirani sa najnovijom verzijom HDS softvera.
| Aktivni čvorovi za hibridnu bezbednost podataka moraju uvek biti u centar za podatke kao i aktivni server baze podataka. |
Podešavanje centra podataka u pripravnosti za oporavak od katastrofe
Sledite dolenavedene korake da biste ISO datoteku u režimu centar za podatke:
Pre nego što počnete
Prostor u centar za podatke bi trebalo da preslika proizvodno okruženje VMs i rezervnu PostgreSQL ili Microsoft SQL server bazu podataka. Na primer, ako proizvodnja ima 3 VMS koji imaju HDS čvorove, rezervno okruženje bi trebalo da ima 3 VMS. (Pregled ovog modela neuspešnog pokretanja potražite u centru podataka u 3 VMS.)
Uverite se da je sinhronizacija baze podataka omogućena između baze podataka aktivnih i pasivnih čvorova klastera.
| 1 | Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiranje ISO za HDS organizatore.
| ||
| 2 | Nakon što konfigurišete Syslogd server, kliknite na opciju " Napredna podešavanja" | ||
| 3 | Na stranici "Napredna podešavanja " dodajte konfiguraciju u nastavku da biste postavili čvor u pasivan režim. U ovom režimu će čvor biti registrovan za organizaciju i povezan na oblak, ali neće upravljati nikakvim saobraćajem.
| ||
| 4 | Dovršite proces konfiguracije i sačuvajte datoteku ISO na lokaciji koju je lako pronaći. | ||
| 5 | Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu. Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije. | ||
| 6 | U levom navigacionom panelu VMware vSphere klijenta možete desni klik na VM i kliknite na "Uredi podešavanja". | ||
| 7 | Kliknite na "Uredi >CD/DVD disk jedinicu 1 " i izaberite stavku Skladište ISO podataka.
| ||
| 8 | Uključite HDS čvor i uverite se da nema alarma najmanje 15 minuta. | ||
| 9 | Ponovite proces za svaki čvor u režimu centar za podatke.
|
Šta je sledeće
Nakon konfigurisanja passiveMode u datoteci ISO i sačuvati je, možete da kreirate još jednu kopiju datoteke ISO datoteku bez passiveMode konfiguracija i čuvanje na bezbednoj lokaciji. Ova kopija datoteke ISO datoteke bez passiveMode konfigurisana funkcija može pomoći u brzom procesu preuzimanja tokom oporavljanje nakon katastrofe. Pogledajte " Oporavak od katastrofe" koristeći centar podataka u pripravnosti za detaljan postupak preuzimanja.
Proxy podrška
Hibridna bezbednost podataka podržava eksplicitnu, prozirnu inspekciju i proxy servere koji se ne pregledaju. Ove proxy servere možete da vežete za raspoređivanje kako biste mogli da bezbedno i nadgledate saobraćaj od preduzeća do oblaka. Možete da koristite interfejs administratora platforme na čvorovima za upravljanje sertifikatima i da proverite ukupni status povezanosti nakon što podesite proxy server na čvorovima.
Čvorovi za hibridnu bezbednost podataka podržavaju sledeće opcije proxy servera:
Nema proxy servera – podrazumevano ako ne koristite podešavanje HDS čvora Pouzdano skladište i proxy servera za integraciju proxy servera. Nije potrebno ažuriranje sertifikata.
Prozirni proxy server koji ne pregleda – čvorovi nisu konfigurisani da koriste određenu proksi server adresu i ne bi trebalo da zahtevaju nikakve promene za rad sa proxy serverom koji ne pregleda. Nije potrebno ažuriranje sertifikata.
Prozirno prolazno prolaze ili protok proxy servera – čvorovi nisu konfigurisani za korišćenje određene proksi server adrese. Na čvorovima nisu potrebne promene HTTP ili HTTPS konfiguracije. Međutim, čvorovima je potreban korenski sertifikat tako da imaju poverenja u proxy server. IT sistemi obično koriste inspekciju za primenu smernica preko kojih mogu da se posećuju veb-lokacije i koje vrste sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifrova sav vaš saobraćaj (čak i HTTPS).
Eksplicitni proxy server – sa eksplicitnim proxy serverom govorite HDS čvorovima koje proksi server i šemom potvrde identiteta da koriste. Da biste konfigurisali eksplicitni proxy server, morate uneti sledeće informacije u svaki čvor:
Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy računaru.
Proxy port – A broj priključka proxy servera koristi za slušanje proksi saobraćaja.
Proxy protokol – u zavisnosti od toga šta proksi server podržava, izaberite između sledećih protokola:
HTTP – Pregleda i kontroliše sve zahteve koje klijent šalje.
HTTPS – Obezbeđuje kanal za server. Klijent prima i proverava valjanost sertifikata servera.
vrsta autentifikacije – Izaberite jedan od sledećih tipova potvrde identiteta:
Nijedna – nije potrebna dodatna potvrda identiteta.
Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.
Osnovna – koristi se za HTTP korisničkog agenta za navedite korisničko ime i lozinku prilikom upućivanje zahteva. Koristi Base64 kodiranje.
Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.
Zahteva da unesete korisničko ime i lozinku u svaki čvor.
Digest – koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje funkciju hash-a na korisničko ime i lozinku pre slanja preko mreže.
Dostupno samo ako izaberete HTTPS kao proxy protokol.
Zahteva da unesete korisničko ime i lozinku u svaki čvor.
Primer čvorova za hibridnu bezbednost podataka i proxy servera
Ovaj dijagram prikazuje primer veze između hibridne bezbednosti podataka, mreže i proxy servera. Za prozirnu inspekciju i HTTPS eksplicitnu inspekciju opcija proxy korenski sertifikat se mora instalirati na proxy serveru i na čvorovima za hibridnu bezbednost podataka.
Blokirani spoljni DNS rezolucije (eksplicitne konfiguracije proxy servera)
Kada registrujete čvor ili proverite konfiguraciju proxy servera čvora, proces testira DNS pronalaženja i mogućnosti povezivanja sa Cisco Webex oblakom. U primenama sa eksplicitnim konfiguracijama proxy servera koje ne dozvoljavaju spoljnu DNS za interne klijente, ako čvor ne može da upitu na DNS servere, automatski prelazi u režim blokirane spoljne DNS rezolucije. U ovom režimu mogu da se nastave testovi registracije čvora i drugih testova mogućnosti povezivanja sa proxy serverom.
Zahtevi za hibridnu bezbednost podataka
Cisco Webex licence
Da biste primenili hibridnu bezbednost podataka:
Morate imati Pro Pack za Cisco Webex Control Hub. (Pogledajte https://www.cisco.com/go/pro-pack.)
Zahtevi za docker radnu površinu
Da biste instalirali HDS čvorove, treba vam Docker Desktop da biste pokrenuli program za podešavanje. Docker je nedavno ažurirao svoj model licenciranja. Vaša organizacija možda zahteva plaćenu pretplatu za Docker Desktop. Više detalja potražite u postu docker bloga, " Docker ažurira i proširi pretplate na naše proizvode".
X.509 zahtevi za sertifikat
Organizator lanac sertifikata ispuni sledeće uslove:
Uslov | Detalji |
|---|---|
| Podrazumevano verujemo CA-ovima na Mozilla listi (sa izuzetkom WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs. |
| CN ne mora da bude dostupan ili organizator uživo. Preporučujemo da koristite ime koje odražava vašu organizaciju, na primer, CN ne sme da sadrži * (džoker). CN se koristi za potvrdu čvorova hibridne bezbednosti podataka klijentima aplikacije Webex. Svi čvorovi za hibridnu bezbednost podataka u klasteru koriste isti sertifikat. Vaš KMS se identifikuje pomoću CN domena, a ne bilo kog domena definisanog u poljima x.509v3 SAN. Nakon što registrujte čvor sa ovim sertifikatu, ne podržavamo promenu CN naziv domena. Izaberite domen koji može da se primeni i na probnu verziju i na produkcijske primene. |
| KMS softver ne podržava SHA1 potpise za proveru valjanosti veza sa KMS-ovima drugih organizacija. |
| Za promenu formata certifikata možete da koristite konvertor kao što je OpenSSL. Moraćete da unesete lozinku kada pokrenete alatku za podešavanje HDS-a. |
KMS softver ne nameće ograničenja korišćenja ključa ili proširena ograničenja korišćenja ključa. Neki autoriteti za izdavanje sertifikata zahtevaju da se proširena ograničenja korišćenja ključa primenjuju na svaki sertifikat, kao što je potvrda identiteta servera. U redu je da koristite potvrdu identiteta servera ili druga podešavanja.
Zahtevi virtuelnog organizatora
Virtuelni domaćini koje ćete podesiti kao čvorove hibridne bezbednosti podataka u svom klasteru imaju sledeće zahteve:
Najmanje dva odvojena organizatora (3 preporučena) u istom bezbednom centar za podatke
VMware ESXi 6.5 (ili noviji) je instaliran i pokrenut.
Morate da nadogradite ako imate raniju verziju ESXi-a.
Najmanje 4 vCPU, 8 GB glavne memorije, 30 GB lokalnog čvrstog prostora po serveru
Zahtevi servera baze podataka
| Kreirajte novu bazu podataka za skladištenje ključeva. Nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada je instalirana, kreirajte šemu baze podataka. |
Postoje dve opcije za ovu server baze podataka. Zahtevi za svakog su sledeći:
PostgresqL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Najmanje 8 vCUs, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje kako bi se osiguralo da nije prekoračena (preporučuje se 2-TB ako želite da baza podataka dugo radi, a da ne morate da povećavate skladište) | Najmanje 8 vCUs, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje kako bi se osiguralo da nije prekoračena (preporučuje se 2-TB ako želite da baza podataka dugo radi, a da ne morate da povećavate skladište) |
HDS softver trenutno instalira sledeće verzije upravljačkog programa za komunikaciju sa server baze podataka:
PostgresqL | Microsoft SQL Server |
|---|---|
Postgres JDBC upravljački program 42.2.5 | SQL JDBC upravljački program servera 4.6 Ova verzija upravljačkog programa podržava SQL server uvek uključen ( Uvek uključene instance neuspešnog klastera i Grupe dostupnosti uvek uključene). |
Dodatni zahtevi za Windows potvrdu identiteta u SQL Microsoft serveru
Ako želite da HDS čvorovi koriste Windows potvrdu identiteta da bi dobili pristup bazi podataka ključeva na Microsoft SQL serveru, potrebna vam je sledeća konfiguracija u vašem okruženju:
HDS čvorovi, Active Directory infrastruktura i MS SQL server moraju da se sinhronizuju sa NTP.
Windows nalog koji napišete HDS čvorovima mora da ima pristup za čitanje/pisanje baze podataka.
Serveri DNS koje dostavite HDS čvorovima moraju da budu u mogućnosti da razreše centar za distribuciju ključa (KDC).
Možete registrovati instancu HDS baze podataka na Microsoft SQL serveru kao glavno ime usluge (SPN) na Active Directory. Pogledajte članak Registrovanje glavnog imena usluge za Kerberos veze.
Alatka za podešavanje HDS, HDS pokretanje i lokalni KMS moraju da koriste Windows potvrdu identiteta za pristup bazi podataka ključeva. Oni koriste detalje iz vaše konfiguracije ISO za konstrukciju SPN-a kada zahtevaju pristup pomoću Kerberos potvrde identiteta.
Zahtevi za spoljno povezivanje
Konfigurišite zaštitni zid da biste omogućili sledeće mogućnosti povezivanja za HDS aplikacije:
Aplikacija | Protokol | Port | Smer iz aplikacije | Odredište |
|---|---|---|---|---|
Čvorovi za hibridnu bezbednost podataka | TCP | 443 | Odlazni HTTPS i WSS |
|
Alatka za podešavanje HDS-a | TCP | 443 | Odlazni HTTPS |
|
| Čvorovi za hibridnu bezbednost podataka rade sa prevodom pristupa mreži (NAT) ili iza zaštitnog zida, sve dok NAT ili zaštitni zid omogućavaju potrebne odlazne veze sa odredištima domena u pređašnje tabeli. Za veze koje ide do čvorova za hibridnu bezbednost podataka, nijedan port ne bi trebalo da bude vidljiv sa interneta. U okviru vaših centar za podatke, klijentima je potreban pristup čvorovima hibridne bezbednosti podataka na TCP portovima 443 i 22, u administrativne svrhe. |
URL adrese za hostove zajedničkog identiteta (CI) su specifične za region. Ovo su trenutni CI organizatori:
Regiona | URL adrese organizatora zajedničkog identiteta |
|---|---|
Amerike |
|
Evropska unija |
|
Kanada |
|
Zahtevi proxy servera
Zvanično podržavamo sledeća proxy rešenja koja mogu da se integriše sa vašim čvorovima za hibridnu bezbednost podataka.
Prozirni proxy— Cisco uređaj za veb-bezbednost (WSA).
Eksplicitni proxy server – lignja.
Proxy proxy serveri koji pregledaju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a (wss:) Veze. Da biste rešili ovaj problem, pogledajte članak Konfigurisanje lignje proxy servera za hibridnu bezbednost podataka.
Podržavamo sledeće kombinacije tipa potvrde identiteta za eksplicitne proxy servere:
Nema potvrde identiteta sa HTTP ili HTTPS-om
Osnovna potvrda identiteta sa HTTP ili HTTPS-om
Digest potvrda identiteta samo SA HTTPS-om
Za prozirni proxy server za inspekciju ili HTTPS eksplicitni proxy server, morate da imate kopiju proxy servera za korenski sertifikat. Uputstvo za primenu u ovom vodiču vam govori kako da otpremite kopiju u pouzdana skladišta čvorova hibridne bezbednosti podataka.
Mrežno hostovanje HDS čvorova mora biti konfigurisano da nametne odlazne TCP saobraćaju na portu 443 da bi se usmerio preko proxy servera.
Proxy korisnici koji pregledaju veb-saobraćaj mogu da ometaju veze veb-priključka. Ako dođe do ovog problema, zaobiđite saobraćaj (ne pregledajući) na
wbx2.comiciscospark.comće rešiti problem.
Ispunite preduslove za hibridnu bezbednost podataka
| 1 | Uverite se da je Webex organizacija omogućena za Pro Pack za Cisco Webex Control Hub i nabavite akreditive naloga sa punim pravima administratora organizacije. Obratite se Cisco partneru ili menadžeru naloga za pomoć u ovom procesu. | ||
| 2 | Odaberite naziv domena za HDS primenu (na primer, | ||
| 3 | Pripremite identične virtuelne organizatore koje ćete podesiti kao čvorove za hibridnu bezbednost podataka u svom klasteru. Potrebna su vam najmanje dva zasebna organizatora (3 preporučena) u istom bezbednom centar za podatke koji ispunjavaju zahteve u zahtevima virtuelnih organizatora. | ||
| 4 | Pripremite server baze podataka koji će delovati kao ključ za skladištenje podataka za klaster, u skladu sa zahtevima servera baze podataka. Organizatori server baze podataka buduконфигурисани у чекању centar za podatke virtuelnim organizatorima. | ||
| 5 | Za brze oporavljanje nakon katastrofe, podesiti rezervno okruženje u drugom centar za podatke. Rezervno okruženje preslikava proizvodno okruženje VMs i rezervne server baze podataka. Na primer, ako proizvodnja ima 3 VMS koji imaju HDS čvorove, rezervno okruženje bi trebalo da ima 3 VMS. | ||
| 6 | Podesite organizatora syslog za prikupljanje evidencija iz čvorova u klasteru. Prikupite mrežna adresa i syslog port (podrazumevano je UDP 514). | ||
| 7 | Kreirajte bezbednu politiku pravljenja rezervnih kopija za čvorove hibridne bezbednosti podataka, server baze podataka i organizatora sistemskog sistema. U minimumu, da biste sprečili nepoplaćivanje gubitka podataka, morate da napravite pozadinu baze podataka i datoteku ISO konfiguracije koja je generisana za čvorove hibridne bezbednosti podataka.
Klijenti aplikacije Webex keše svoje ključeve, tako da pre prekida rada možda neće biti odmah primetnljiv, ali će vremenom postati vidljivi. Iako je nemoguжe sprečiti privremene prekšiljanje, mogu se oporavljati. Međutim, potpuni gubitak (nema dostupnih rezervnih kopija) baze podataka ili datoteka ISO konfiguracije doveže do nepoplatnih podataka o kupcima. Operateri čvorova za hibridnu bezbednost podataka očekuju da zadrže česta rezervna kopija baze podataka i datoteke ISO konfiguracije i spremni su da ponovo izradite alatku za hibridnu bezbednost centar za podatke ako dođe do katastrofalnog neuspeha. | ||
| 8 | Uverite se da konfiguracija zaštitnog zida omogućava povezivanje za čvorove hibridne bezbednosti podataka kao što je navedeno u zahtevima spoljne povezanosti. | ||
| 9 | Instalirajte Docker ( https://www.docker.com) na bilo kom lokalnom računaru sa podržanim OS-om (Microsoft Windows 10 Profesionalni ili Enterprise 64-bitni ili Mac OSX Yosemite 10.10.3 ili noviji) sa veb-pregledačem koji može da mu pristupi na http://127.0.0.1:8080. Instancu Docker koristite za preuzimanje i pokretanje alatke za podešavanje HDS-a koja gradi lokalne informacije o konfiguraciji za sve čvorove hibridne bezbednosti podataka. Možda će vašoj organizaciji biti potrebna Licenca za Docker Desktop. Više informacija potražite u zahtevima docker radne površine. Da biste instalirali i pokrenuli alatku za podešavanje HDS-a, lokalni računar mora da ima ojačenu povezanost u zahtevima za spoljno povezivanje. | ||
| 10 | Ako integrišete proxy server sa hibridnom zaštitom podataka, uverite se da ispunjava zahteve proxy servera. | ||
| 11 | Ako vaša organizacija koristi sinhronizaciju direktorijuma, kreirajte grupu u Active Directory pozvali
|
Tok zadatka primene hibridne bezbednosti podataka
Pre nego što počnete
| 1 |
Preuzmite OVA datoteku na svoj lokalni računar za kasnije korišćenje. | ||
| 2 | Kreiranje konfiguracije ISO za HDS organizatore Koristite alatku za podešavanje HDS-a da biste ISO datoteka sa konfiguracijom za čvorove hibridne bezbednosti podataka. | ||
| 3 |
Kreirajte virtuelna mašina iz OVA datoteke i izvršite početnu konfiguraciju, kao što je podešavanja mreže.
| ||
| 4 | Podešavanje funkcije hibridne bezbednosti podataka VM Prijavite se na VM konzolu i podesite akreditive za prijavljivanje. Konfigurišite podešavanja mreže za čvor ako ih niste konfigurisali u vreme primene OVA. | ||
| 5 |
Konfigurišite VM na ISO datoteka sa konfiguracijom koju ste kreirali pomoću alatke za podešavanje HDS-a. | ||
| 6 | Konfigurisanje HDS čvora za integraciju proxy servera Ako mrežno okruženje zahteva konfiguraciju proxy servera, navedite tip proxy servera koji ćete koristiti za čvor i po potrebi dodati proxy sertifikat u skladište pouzdanosti. | ||
| 7 | Registrujte prvi čvor u klasteru Registrujte VM na Cisco Webex oblak kao čvor za hibridnu bezbednost podataka. | ||
| 8 | Kreirajte i registrujte više čvorova Dovršite podešavanje klastera. | ||
| 9 | Pokrenite probnu verziju i premestite se u proizvodnju (sledeće poglavlje) Dok ne započnete probnu verziju, vaši čvorovi generišu alarm koji ukazuje na to da usluga još uvek nije aktivirana. |
Preuzmi instalacione datoteke
| 1 | Prijavite se u , https://admin.webex.coma zatim kliknite na "Usluge". | ||||
| 2 | U odeljku Hibridne usluge pronađite karticu hibridna bezbednost podataka, a zatim kliknite na " Podesi". Ako je kartica onemogućena ili je ne vidite, obratite se timu za naloge ili partneroj organizaciji. Dajte im svoj broj naloga i zatražite da omoguće svojoj organizaciji hibridnu bezbednost podataka. Da biste pronašli broj naloga, kliknite na zupčanici u gornjem desnom uglu, pored imena organizacije.
| ||||
| 3 | Izaberite " Ne" da biste naznačili da još uvek podesiti čvor, a zatim kliknite na "Dalje ". OVA datoteka automatski počinje da preuzima. Sačuvajte datoteku na lokaciji na računaru.
| ||||
| 4 | Opcionalno, kliknite na uputstvo za primenu da biste proverili da li postoji novija verzija ovog vodiča. |
Kreiranje konfiguracije ISO za HDS organizatore
Proces podešavanja hibridne bezbednosti podataka kreira datoteku ISO datoteke. Zatim koristite ovu ISO da biste konfigurisali organizatora za hibridnu bezbednost podataka.
Pre nego što počnete
Alatka za podešavanje HDS-a radi kao docker kontejner na lokalnom računaru. Da biste mu pristupili, pokrenite "Docker" na tom računaru. Proces podešavanja zahteva akreditive za Control Hub nalog sa punim administratorskih prava za vašu organizaciju.
Ako alatka za podešavanje HDS radi iza proxy servera u vašem okruženju, obezbedite postavke proxy servera (server, port, akreditivi) kroz Promenljive Docker okruženja kada u koraku 5 unesite docker kontejner . Ova tabela daje neke moguće promenljive okruženja:
Opis
Promenljiva
HTTP Proxy bez potvrde identiteta
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS proxy bez potvrde identiteta
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy sa potvrdom identiteta
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy sa potvrdom identiteta
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTDatoteka za ISO koju generišete sadrži glavni ključ za šifrovanje PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada promenite konfiguraciju, kao što su ove:
Akreditivi baze podataka
Ažuriranja sertifikata
Promene smernica autorizacije
Ako planirate da šifrujete veze sa bazom podataka, podesiti PostgreSQL ili SQL primenu servera za TLS.
| 1 | Na komandnoj liniji računara unesite odgovarajuću komandu za svoje okruženje: U redovnim okruženjima: U FedRAMP okruženjima:
| ||||||||||||
| 2 | Da biste se prijavili u registar slika dokolice, unesite sledeće: | ||||||||||||
| 3 | Na upit za lozinku unesite ovaj hash: | ||||||||||||
| 4 | Preuzmite najnoviju stabilnu sliku za svoje okruženje: U redovnim okruženjima: U FedRAMP okruženjima: | ||||||||||||
| 5 | Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:
Kada je kontejner pokrenut, vidite "Express server sluša na portu 8080." | ||||||||||||
| 6 |
Koristite veb-pregledač za pristup lokalnom organizatoru, Alatka koristi ovaj prvi unos korisničkog imena da bi postavila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje. | ||||||||||||
| 7 | Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora kupca na portalu Control Hub, a zatim kliknite na "Prijavi se" da biste dozvolili pristup potrebnim uslugama za hibridnu bezbednost podataka. | ||||||||||||
| 8 | Na stranici "Pregled alatke za podešavanje" kliknite na "Prvi koraci". | ||||||||||||
| 9 | Na stranici za ISO uvoz imate sledeće opcije:
| ||||||||||||
| 10 | Proverite da li vaš X.509 sertifikat ispunjava zahteve u X.509 zahtevima sertifikata.
| ||||||||||||
| 11 | Unesite adresu baze podataka i nalog za HDS da biste pristupili usluzi podataka ključa: | ||||||||||||
| 12 | Izaberite TLS režima povezivanja baze podataka:
Kada otpremite korenski sertifikat (ako je potrebno) i kliknete na "Nastavi", alatka za podešavanje HDS-a testira TLS vezu sa server baze podataka. Alatka takođe potvrđuje potpisivanje sertifikata i ime hosta, ako je primenljivo. Ako test ne uspe, alatka prikazuje alatku poruka o grešci koja opisuje problem. Možete da odaberete da li želite da zanemarite grešku i nastavite sa podešavanjem. (Zbog razlika u mogućnosti povezivanja, HDS čvorovi će možda moći da uspostave vezu TLS čak i ako mašina alatke za podešavanje HDS-a ne može uspešno da je testira.) | ||||||||||||
| 13 | Na stranici "Sistemske evidencije" konfigurišite Syslogd server: | ||||||||||||
| 14 | (Opcionalno) U napredna podešavanja možete podrazumevana vrednost za neke parametre veze sa bazom podataka. Generalno, ovaj parametar je jedini koji želite da promenite: | ||||||||||||
| 15 | Kliknite na "Nastavi " na ekranu "Resetuj lozinku za naloge za usluge ". Lozinke naloga za usluge imaju životni vek od devet meseci. Koristite ovaj ekran kada lozinke ističe ili želite da ih resetujete kako biste poništili prethodne ISO datoteke. | ||||||||||||
| 16 | Kliknite na "Preuzmi ISO datoteku". Sačuvajte datoteku na lokaciji koju je lako pronaći. | ||||||||||||
| 17 | Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu. Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije. | ||||||||||||
| 18 | Da biste isključili alatku za podešavanje, otkucajte |
Šta je sledeće
Napravite napravite pozadinu datoteke ISO konfiguracije. Potrebno je da kreirate više čvorova za oporavak ili da biste uneli promene konfiguracije. Ako izgubite sve kopije datoteke ISO, izgubili ste i glavni ključ. Spasavanje ključeva iz PostgreSQL ili Microsoft SQL servera baze podataka nije moguće.
| Nikada nemamo kopiju ovog ključa i ne možemo da odolimo ako ga izgubite. |
Instaliraj HDS host OVA
| 1 | Koristite VMware vSphere klijent na računaru da biste se prijavili u ESXi virtuelnog organizatora. | ||||||
| 2 | Izaberite datoteku > primeni OVF šablon. | ||||||
| 3 | U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli, a zatim kliknite na "Dalje " . | ||||||
| 4 | Na stranici Izbor imena i fascikle unesite ime virtuelne mašine za čvor (na primer, "HDS_Node_1"), odaberite lokaciju na kojoj može da se virtuelna mašina primena čvora,a zatim kliknite na "Dalje". | ||||||
| 5 | Na stranici "Izaberite izračunaj resurs" odaberite odredišni resurs za izračunavanje, a zatim kliknite na "Dalje". Pokrenuta je provera valjanosti. Kada se završi, pojavljuju se detalji obrasca. | ||||||
| 6 | Proverite detalje obrasca, a zatim kliknite na "Dalje ". | ||||||
| 7 | Ako od vas zatraže da odaberete konfiguraciju resursa na stranici konfiguracija,kliknite na CPU, a zatim kliknite na "Dalje". | ||||||
| 8 | Na stranici "Izbor skladišta" kliknite na "Dalje" da biste prihvatili podrazumevani format diska i VM smernice za skladištenje. | ||||||
| 9 | Na stranici Izbor mreža izaberite opciju mreže sa liste unosa da biste obezbedili željenu povezanost sa VM. | ||||||
| 10 | Na stranici Prilagođavanje šablona konfigurišite sledeće podešavanja mreže:
Ako je poželjno, možete preskočiti konfiguraciju mrežnih podešavanja i slediti korake u odeljku Podešavanje hibridne bezbednosti VM da biste konfigurisali podešavanja sa konzole čvora.
| ||||||
| 11 | Kliknite desnim tasterom miša na čvor VM, a zatim izaberite stavku . Softver za hibridnu bezbednost podataka je instaliran kao gost na VM organizatoru. Sada ste spremni da prijaviti se konzolu i konfigurišete čvor. Saveti za rešavanje problema Može doći do kašnjenja nekoliko minuta pre nego što se zadrže kontejneri čvora. Poruka zaštitnog zida mosta se pojavljuje na konzoli tokom prvog pokretanja sistema, tokom koje ne možete da prijaviti se. |
Podešavanje funkcije hibridne bezbednosti podataka VM
Prvi put koristite ovu proceduru da biste prijaviti se na čvor za hibridnu bezbednost podataka VM konzolu i podesili akreditive za prijavljivanje. Konzolu možete da koristite da biste konfigurisali podešavanja mreže za čvor ako ih niste konfigurisali u vreme primene OVA.
| 1 | U VMware vSphere klijentu izaberite svoj čvor za hibridnu bezbednost podataka VM i izaberite karticu "Konzola". Datoteka VM se pokreće i pojavljuje se odzivnik za prijavljivanje. Ako se upit za prijavljivanje ne prikaže, pritisnite Enter.
|
| 2 | Koristite sledeću podrazumevanu lozinku za prijaviti se i promenite akreditive: Pošto se po prvi put VM prijavite na sastanak, morate da promenite lozinku administratora. |
| 3 | Ako ste već konfigurisali podešavanja mreže u instalaciji HDS host OVA, preskočite ostatak ove procedure. U suprotnom, u glavni meni izaberite opciju Uredi konfiguraciju . |
| 4 | Podesite statičnu konfiguraciju sa IP adresa, Mask, mrežnim prolazom i DNS informacijama. Vaš čvor bi trebalo da ima interno IP adresa i DNS ime. DHCP nije podržano. |
| 5 | (Opcionalno) Promenite ime hosta, domen ili NTP server(e) ako je potrebno da se podudara sa smernicama vaše mreže. Ne morate da podesite domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata. |
| 6 | Sačuvajte mrežna konfiguracija i ponovo pokrenite VM biste promene stupile na snagu. |
Otpremite i postavite HDS ISO
Pre nego što počnete
Budući da ISO datoteka ima glavni ključ, ona bi trebalo da bude izložena samo na osnovu "mora da se zna", radi pristupa VM-ova za hibridnu bezbednost podataka i bilo kog administratora koji će možda morati da unesu promene. Uverite se da samo ti administratori mogu da pristupe skladištu podataka.
| 1 | Otpremite datoteku ISO sa računara: |
| 2 | Postavite ISO datoteku: |
Šta je sledeće
Ako vaše IT smernice zahtevaju, možete opcionalno da uklonite ISO datoteku nakon što svi čvorovi preuzmu promene konfiguracije. Detaljnije informacije potražite u članku (opcionalno) uklanjanje ISO nakon HDS konfiguracije .
Konfigurisanje HDS čvora za integraciju proxy servera
Ako mrežno okruženje zahteva proxy server, koristite ovaj postupak da biste odredili tip proxy servera koji želite da se integrišete sa hibridnom zaštitom podataka. Ako odaberete prozirni proxy server za inspekciju ili HTTPS eksplicitni proxy server, možete da koristite interfejs čvora za otpremanje i instaliranje korenski sertifikat. Takođe možete da proverite proxy vezu iz interfejsa i rešite sve potencijalne probleme.
Pre nego što počnete
Pogledajte proxy podršku za pregled podržanih opcija proxy servera.
| 1 | Unesite podešavanje HDS URL |
| 2 | Idite u Prodavnicu pouzdanosti i proxy server, a zatim odaberite neku opciju:
Sledite sledeće korake za prozirni proxy server za inspekciju, HTTP eksplicitni proxy sa osnovnom potvrdom identiteta ili HTTPS eksplicitni proxy server. |
| 3 | Kliknite na otpremi vrhovni sertifikat ili sertifikat krajnjih entiteta, a zatim se krećite do biranja korenski sertifikat za proxy servera. Sertifikat je otpremljen, ali još uvek nije instaliran jer morate ponovo pokrenuti čvor da biste instalirali sertifikat. Kliknite na strelicu ševron po imenu izdaoca sertifikata da biste dobili više detalja ili kliknite na "Izbriši" ako ste napravili grešku i želite ponovo da otpremite datoteku. |
| 4 | Kliknite na dugme "Proveri vezu proxy servera" da biste povezivanje na mrežu između čvora i proxy servera. Ako test veze ne uspe, videćete poruka o grešci koja prikazuje razlog i način na koji možete ispraviti problem. Ako vidite poruku u koju se kaže da spoljna DNS rezolucija nije bila uspešna, čvor nije mogao da doseže DNS server. Ovo stanje se očekuje u mnogim eksplicitnih konfiguracija proxy servera. Možete da nastavite sa podešavanjem, a čvor će funkcionisati u režimu blokirane spoljne DNS rezolucije. Ako mislite da je u pitanju greška, dovršite ove korake, a zatim pogledajte članak Isključivanje blokiranog spoljnog DNS rezolucije. |
| 5 | Nakon što probni test veze prođe, za eksplicitni proksi postavljen samo na https, uključite preklopno dugme da biste usmerili sve portove 443/444 https zahteva ovog čvora preko eksplicitnog proxy servera. Ovo podešavanje zahteva 15 sekundi da stupi na snagu. |
| 6 | Kliknite na "Instaliraj sve sertifikate u prodavnicu pouzdanosti" (pojavljuje se za HTTPS eksplicitni proxy server ili prozirni proxy za inspekciju) ili ponovo pokreni (pojavljuje se za HTTP explicit proxy), pročitajte upit, a zatim kliknite na "Instaliraj" ako ste spremni. Čvor se ponovo pokrenuti u roku od nekoliko minuta. |
| 7 | Kada se čvor ponovo pokrene, prijaviti se ponovo po potrebi, a zatim otvorite stranicu Pregled da biste proverili provere mogućnosti povezivanja kako biste se uverili da su svi u zelenom statusu. Proverom proksi veze testira se samo poddomen webex.com. Ako postoje problemi sa mogućnostima povezivanja, uobičajeni problem je što se neki od domena u oblaku navedeni u uputstvima za instaliranje blokiraju na proxy serveru. |
Registrujte prvi čvor u klasteru
Kada registrujete svoj prvi čvor, kreirate klaster kojem je dodeljen čvor. Klaster sadrži jedan ili više čvorova primenjenih da bi se obezbedila redundantnost.
Pre nego što počnete
Kada započnete registraciju čvora, morate ga završiti u roku od 60 minuta ili morate da počnete iz početka.
Uverite se da su svi blokatori iskačućih prozora u pregledaču onemogućeni ili da dozvoljavate izuzetke od admin.webex.com.
| 1 | Prijavite se u https://admin.webex.com. |
| 2 | U meniju sa leve strane ekrana izaberite "Usluge ". |
| 3 | U odeljku Hibridne usluge pronađite hibridnu bezbednost podataka i kliknite na " Podesi". Pojaviće se stranica "Registruj čvor za hibridnu bezbednost podataka".
|
| 4 | Izaberite " Da" da biste naznačili podesiti čvor i spremni ste da ga registrujete, a zatim kliknite na "Dalje ". |
| 5 | U prvo polje unesite ime klastera kom želite da dodelite svoj čvor za hibridnu bezbednost podataka. Preporučujemo da klaster imenujete na osnovu toga gde se geografski nalaze čvorovi klastera. Primeri: "San Francisko" ili "Njujork" ili "Dalas" |
| 6 | U drugo polje unesite internu IP adresa ili potpuno kvalifikovani naziv domena (FQDN) čvora i kliknite na "Dalje ". Ovaj IP adresa ili FQDN treba da se podudara sa IP adresa imenom hosta i domenom koji ste koristili u opciji Podešavanje hibridne bezbednosti VM. Pojaviće se poruka koja ukazuje na to da možete da registrujete svoj čvor u aplikaciji Webex.
|
| 7 | Kliknite na "Idi u čvor". |
| 8 | Kliknite na " Nastavi" u poruka upozorenja. Nakon nekoliko trenutaka, preusmereni ste na testove mogućnosti povezivanja sa čvorom za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica "Dozvoli pristup čvoru hibridne bezbednosti podataka". Tamo potvrđ možete da potvrdite da želite da date dozvole vašoj Webex organizaciji za pristup vašem čvoru.
|
| 9 | Izaberite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na "Nastavi ". Vaš nalog je potvrđen, a poruka "Registracija završena" ukazuje na to da je vaš čvor sada registrovan na Webex oblaku.
|
| 10 | Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka na portalu Control Hub. Na stranici za hibridnu bezbednost podataka prikazuje se novi klaster koji sadrži čvor koji ste registrovali. Čvor će automatski preuzeti najnoviji softver iz oblaka.
|
Kreirajte i registrujte više čvorova
| U ovom trenutku rezervni VM-oporavljanje nakon katastrofe koje ste kreirali u opciji "Ispuni preduslove za hibridnu bezbednost podataka" su organizatori u pripravnosti koji se koriste samo u oporavljanje nakon katastrofe; nisu registrovani u sistemu do tada. Više detalja potražite u članku " Oporavak od katastrofe" pomoću centra podataka u režimu pripravnosti. |
Pre nego što počnete
Kada započnete registraciju čvora, morate ga završiti u roku od 60 minuta ili morate da počnete iz početka.
Uverite se da su svi blokatori iskačućih prozora u pregledaču onemogućeni ili da dozvoljavate izuzetke od admin.webex.com.
| 1 | Kreirajte novu virtuelna mašina iz OVA, ponavljajući korake u vašoj instalaciji HDS Host OVA. |
| 2 | Podesite početnu konfiguraciju na novom uređaju VM ponavljajući korake u odeljku Podešavanje hibridne bezbednosti VM. |
| 3 | Na novoj stranici VM ponovite korake u opciji Otpremanje i montiranje HDS ISO. |
| 4 | Ako podešate proxy server za primenu, ponovite korake u podešavanju HDS čvora za proxy integraciju po potrebi za novi čvor. |
| 5 | Registrujte čvor. Vaš čvor je registrovan. Imajte na umu da dok ne započnete probnu verziju, vaši čvorovi generišu alarm koji ukazuje na to da usluga još uvek nije aktivirana.
|
Šta je sledeće
Probna verzija do toka zadatka proizvodnje
Nakon što podesiti klaster hibridne bezbednosti podataka, možete da pokrenete pilot, dodate korisnike u njega i počnete da ga koristite za testiranje i potvrdu primene u okviru pripreme za prelaženje na proizvodnju.
Pre nego što počnete
| 1 | Ako je primenljivo, sinhronizujte Ako vaša organizacija koristi sinhronizaciju direktorijuma za korisnike, morate da izaberete |
| 2 |
Pokrenite probnu verziju. Dok ne izvršite ovaj zadatak, čvorovi generišu alarm koji ukazuje na to da usluga još nije aktivirana. |
| 3 | Testirajte primenu hibridne bezbednosti podataka Proverite da li zahtevi za ključ ustupa vašem primeni hibridne bezbednosti podataka. |
| 4 | Nadgledanje ispravne hibridne bezbednosti podataka Proverite status i podesiti obaveštenja putem e-pošte za alarme. |
| 5 | |
| 6 | Završite probnu fazu sa jednom od sledećih radnji: |
Aktiviraj probnu verziju
Pre nego što počnete
Ako vaša organizacija koristi sinhronizaciju direktorijuma za korisnike, morate da izaberete HdsTrialGroup grupni objekat za sinhronizaciju sa oblakom pre nego što pokrenete probnu verziju za svoju organizaciju. Uputstva potražite u uputstvo za primenu za Cisco sinhronizator direktorijuma.
| 1 | Prijavite se u , https://admin.webex.coma zatim izaberite "Usluge". |
| 2 | U okviru hibridne bezbednosti podataka kliknite na "Podešavanja". |
| 3 | U odeljku Status usluge kliknite na "Pokreni probnu verziju". Status usluge se menja u probni režim.
|
| 4 | Kliknite na "Dodaj korisnike " i unesite e-adresa jednog ili više korisnika da biste upravljali pilotiranjem pomoću čvorova za hibridnu bezbednost podataka za usluge šifrovanja i indeksacije. (Ako vaša organizacija koristi sinhronizaciju direktorijuma, koristite Active Directory upravljajte probnom grupom, |
Testirajte primenu hibridne bezbednosti podataka
Pre nego što počnete
Podesite primenu hibridne bezbednosti podataka.
Aktivirajte probnu verziju i dodajte nekoliko probnih korisnika.
Uverite se da imate pristup sistemu syslog da biste proverili da li se ključni zahtevi prenose na vaše primene hibridne bezbednosti podataka.
| 1 | Tastere za dati prostor postavlja kreator prostora. Prijavite se u aplikaciju Webex kao jedan od pilot korisnika, a zatim kreirajte prostor i pozovite najmanje jednog korisnika pilota i jednog korisnika koji nije pilot.
| ||
| 2 | Pošaljite poruke u novi prostor. | ||
| 3 | Proverite izlaz Syslog-a da biste proverili da li se zahtevi za ključ prenose na vaše primene hibridne bezbednosti podataka. |
Nadgledanje ispravne hibridne bezbednosti podataka
| 1 | U kontrolnom čvorištu izaberite stavku Usluge iz menija sa leve strane ekrana. |
| 2 | U odeljku Hibridne usluge pronađite hibridnu bezbednost podataka i kliknite na "Podešavanja". Pojaviće se stranica "Podešavanja hibridne bezbednosti podataka".
|
| 3 | U odeljku Obaveštenja e-poštom unesite jednu ili više e-adresa odvojenih zarezima i pritisnite Enter. |
Dodavanje ili uklanjanje korisnika iz probne verzije
Ako uklonite korisnika iz probne verzije, klijent korisnika će zatražiti ključeve i kreiranje ključa iz oblaka KMS-a umesto kmS-a. Ako je klijentu potreban ključ koji se čuva u vašem KMS-u, KMS u oblaku će ga preuzeti u ime korisnika.
Ako vaša organizacija koristi sinhronizaciju direktorijuma, koristite Active Directory (umesto ove procedure) za upravljanje probnom grupom, HdsTrialGroup; možete da prikažete članove grupe na portalu Control Hub, ali ih ne možete dodati ili ukloniti.
| 1 | Prijavite se u Control Hub, a zatim izaberite Usluge. |
| 2 | U okviru hibridne bezbednosti podataka kliknite na "Podešavanja". |
| 3 | U odeljku Probni režim oblasti statusa usluge kliknite na "Dodaj korisnike" ili kliknite na "Prikaži i uredi" da biste uklonili korisnike iz probne verzije. |
| 4 | Unesite e-adresa jednog ili više korisnika koje želite da dodate ili kliknite na X na korisnički ID da uklonite korisnika iz probne verzije. Zatim kliknite na dugme Sačuvaj. |
Premesti sa probne verzije na proizvodnju
| 1 | Prijavite se u Control Hub, a zatim izaberite Usluge. |
| 2 | U okviru hibridne bezbednosti podataka kliknite na "Podešavanja". |
| 3 | U odeljku "Status usluge" kliknite na "Premesti u proizvodnju". |
| 4 | Potvrdite da želite da premestite sve korisnike na proizvodnju. |
Završite probnu verziju bez premeštanja na proizvodnju
| 1 | Prijavite se u Control Hub, a zatim izaberite Usluge. |
| 2 | U okviru hibridne bezbednosti podataka kliknite na "Podešavanja". |
| 3 | U odeljku "Deaktiviraj" kliknite na " Deaktiviraj". |
| 4 | Potvrdite da želite da deaktivirate uslugu i završite probnu verziju. |
Upravljaj HDS primenom
Koristite zadatke opisane ovde da biste upravljali primenom hibridne bezbednosti podataka.
Podesi raspored nadogradnje klastera
Da biste podesili raspored nadogradnje:
| 1 | Prijavite se na Control Hub. |
| 2 | Na stranici "Pregled", u okviru hibridnih usluga izaberite hibridnu bezbednost podataka. |
| 3 | Na stranici Resursi za hibridnu bezbednost podataka izaberite klaster. |
| 4 | Na tabli "Pregled" sa desne strane, u okviru "Podešavanja klastera" izaberite ime klastera. |
| 5 | Na stranici "Podešavanja", u okviru "Nadogradnja", izaberite vremenska zona izaberite vreme i vreme nadogradnje za raspored nadogradnje. Napomena: U okviru vremenska zona, prikazuje se sledeća dostupna datum i vreme nadogradnje. Nadogradnju možete da odložite za sledeći dan, ako je potrebno, klikom na "Odloži ". |
Promena konfiguracije čvora
Promena sertifikata x.509 zbog isteka ili iz drugih razloga.
Ne podržavamo promenu CN naziv domena certifikata. Domen mora da se podudara sa originalnim domenom koji se koristi za registraciju klastera.
Ažuriranje podešavanja baze podataka za promenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.
Ne podržavamo migraciju podataka iz PostgreSQL na drugi Microsoft SQL Server ili na suprotni način. Da biste zamenili okruženje baze podataka, pokrenite novo raspoređivanje hibridne bezbednosti podataka.
Kreiranje nove konfiguracije za pripremanje novog centar za podatke.
Takođe, iz bezbednosnih razloga, hibridna bezbednost podataka koristi lozinke nalog za usluge koje imaju devetomesečni vek trajanja. Nakon što alatka za podešavanje HDS-a generiše ove lozinke, primenite ih na svaki od HDS čvorova u ISO datoteci konfiguracije. Kada lozinke vaše organizacije uskoro isteku, dobićete obaveštenje Webex iz tima da resetujete lozinku za vaš mašinski nalog. (E-poruka uključuje tekst, "Koristite API mašinskog naloga da ažurirate lozinku.") Ako vaše lozinke još nisu istekle, alatka vam daje dve opcije:
Softverno resetovanje – stare i nove lozinke rade do 10 dana. Koristite ovaj period da biste postepeno zamenili ISO datoteku na čvorovima.
Teško resetovanje – stare lozinke odmah prestaje da rade.
Ako vaše lozinke ističu bez resetovanja, to utiče na HDS uslugu, zahtevajući neposredno čvrsto resetovanje i zamenu ISO datoteke na svim čvorovima.
Koristite ovu proceduru da biste generisali novu ISO datoteku za konfiguraciju i primenili je na svoj klaster.
Pre nego što počnete
Alatka za podešavanje HDS-a radi kao docker kontejner na lokalnom računaru. Da biste mu pristupili, pokrenite "Docker" na tom računaru. Proces podešavanja zahteva akreditive za Control Hub nalog sa punim administratorskih prava za vašu organizaciju.
Ako alatka za podešavanje HDS radi iza proxy servera u vašem okruženju, obezbedite postavke proxy servera (server, port, akreditivi) kroz Promenljive Docker okruženja kada uvodite docker kontejner u 1,e. Ova tabela daje neke moguće promenljive okruženja:
Opis
Promenljiva
HTTP Proxy bez potvrde identiteta
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS proxy bez potvrde identiteta
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy sa potvrdom identiteta
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy sa potvrdom identiteta
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTPotrebna vam je kopija trenutne ISO datoteke za konfiguraciju da biste generisli novu konfiguraciju. Ova ISO sadrži glavni ključ za šifrovanje PostgreSQL ili Microsoft SQL servera. Potreban vam je ISO kada menjate konfiguracije, uključujući akreditive baze podataka, ažuriranja sertifikata ili promene politike autorizacije.
| 1 | Ako koristite Docker na lokalnoj mašini, pokrenite alatku za podešavanje HDS-a.
| ||||||
| 2 | Ako imate samo jedan HDS čvor, kreirajte novi čvor za hibridnu bezbednost podataka VM i registrujte ga koristeći novu ISO datoteku za konfiguraciju. Detaljnije informacije potražite u članku Kreiranje i registracija još čvorova. | ||||||
| 3 | Za postojeće HDS čvorove koji rade sa starijim datoteka sa konfiguracijom, postavite ISO datoteku. Obavite sledeći postupak na svakom čvoru prilikom uključivanja, ažuriranja svakog čvora pre isključivanja sledećeg čvora: | ||||||
| 4 | Ponovite korak 3 da biste zamenili konfiguraciju na svakom preostalom čvoru koji radi sa starom konfiguracijom. |
Isključi blokirani režim spoljne DNS rezolucije
Kada registrujete čvor ili proverite konfiguraciju proxy servera čvora, proces testira DNS pronalaženja i mogućnosti povezivanja sa Cisco Webex oblakom. Ako funkcije čvora ne DNS server razreše javna imena DNS, čvor automatski prelazi u režim blokirane spoljne DNS rezolucije.
Ako vaši čvorovi mogu da reše javna imena DNS internim DNS serverima, možete da isključite ovaj režim ponovnim ponovnim testiranjem proksi veze na svakom čvoru.
Pre nego što počnete
| 1 | U veb-pregledaču otvorite interfejs čvora za hibridnu bezbednost podataka (IP adresa/podešavanje, na primer, https://192.0.2.0/setup), unesite akreditive administratora koje ste podesiti za čvor, a zatim kliknite na "Prijavi se". |
| 2 | Idite na pregled (podrazumevana stranica). Kada je omogućena, blokirana spoljna DNS rezolucija je podešena na "Da ". |
| 3 | Idite na stranicu Prodavnica pouzdanosti i proxy servera. |
| 4 | Kliknite na " Proveri vezu proxy servera". Ako vidite poruku u koju se kaže da spoljna DNS rezolucija nije bila uspešna, čvor nije mogao da doseže dolaznu DNS server i ostaće u ovom režimu. U suprotnom, nakon što ponovo pokrenete čvor i vratite se na stranicu "Pregled", blokirana spoljna DNS rezolucija treba da bude podešena na "ne". |
Šta je sledeće
Uklanjanje čvora
| 1 | Koristite VMware vSphere klijent na računaru da biste se prijavili u ESXi virtuelnog organizatora i isključili virtuelna mašina. |
| 2 | Uklonite čvor: |
| 3 | U vSphere klijentu izbrišite VM. (U levom oknu za navigaciju, desni klik na VM i kliknite Izbriši.) Ako ne izbrišete datoteku VM, ne zaboravite da ponovo uključite zvuk ISO datoteke. Bez datoteke ISO, ne možete da koristite datoteku VM pristupite bezbednosnim podacima. |
Oporavak od katastrofe pomoću centra podataka u pripravnosti
Najkritičnija usluga koju pruža vaš klaster za hibridnu bezbednost podataka je kreiranje i skladištenje ključeva koji se koriste za šifrovanje poruka i drugog sadržaja uskladištenog u Webex oblaku. Za svakog korisnika u organizaciji koji je dodeljen za hibridnu bezbednost podataka, novi zahtevi za kreiranje ključa se usmeravaju na klaster. Klaster je takođe odgovoran za vraćanje ključeva koje je kreirano svim korisnicima ovlašćenim da ih preuzmu, na primer, članovi prostora za razgovor.
Pošto klaster obavlja kritičnu funkciju obezbeđivanja ovih ključeva, važno je da klaster ostane pokrenut i da se održavaju odgovarajuća rezervna kopija. Gubitak baze podataka hibridne bezbednosti podataka ili konfiguracije ISO koja se koristi za šemu dovešće do NEPOPLAĆENOG GUBITKA sadržaja kupca. Sledeće prakse su obavezne da bi se sprečio takav gubitak:
Ako katastrofa dovede do toga da primena HDS-a u primarnoj centar za podatke postane nedostupna, sledite ovu proceduru da biste ručno prešli u režim centar za podatke.
| 1 | Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiranje ISO za HDS organizatore. | ||
| 2 | Nakon što konfigurišete Syslogd server, kliknite na opciju " Napredna podešavanja" | ||
| 3 | Na stranici " Napredna podešavanja " dodajte konfiguraciju ispod ili uklonite
| ||
| 4 | Dovršite proces konfiguracije i sačuvajte datoteku ISO na lokaciji koju je lako pronaći. | ||
| 5 | Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu. Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije. | ||
| 6 | U levom navigacionom panelu VMware vSphere klijenta možete desni klik na VM i kliknite na "Uredi podešavanja". | ||
| 7 | Kliknite na "Uredi >CD/DVD disk jedinicu 1 " i izaberite stavku Skladište ISO podataka.
| ||
| 8 | Uključite HDS čvor i uverite se da nema alarma najmanje 15 minuta. | ||
| 9 | Ponovite proces za svaki čvor u režimu centar za podatke.
|
Šta je sledeće
(Opcionalno) Isključi zvuk ISO nakon HDS konfiguracije
Standardna HDS konfiguracija radi sa ISO postavljenim. Međutim, neki kupci radije ne napuštaju ISO datoteke neprekidno montirane. Datoteku za ISO možete ponovo da uključite nakon što svi HDS čvorovi preuzmu novu konfiguraciju.
I dalje koristite datoteke ISO da biste uneli promene konfiguracije. Kada kreirate novu ISO ili ažurirate ISO putem alatke za podešavanje, morate da postavite ažurirane ISO na sve HDS čvorove. Kada svi čvorovi prihvate promene konfiguracije, možete ponovo da uključite zvuk ISO sa ovom procedurom.
Pre nego što počnete
Nadogradite sve HDS čvorove na verziju 2021.01.22.4720 ili noviju.
| 1 | Isključite jedan od HDS čvorova. |
| 2 | U vCenter uređaju servera izaberite HDS čvor. |
| 3 | Izaberite disk jedinici" i opozovite izbor stavke u ISO datoteci. |
| 4 | Uključite HDS čvor i uverite se da nema alarma najmanje 20 minuta. |
| 5 | Za svaki HDS čvor za redom ponovite. |
Prikaži upozorenja i rešavanje problema
Primena hibridne bezbednosti podataka smatra se nedostupnim ako su svi čvorovi u klasteru nedostupni ili klaster sporo radi da zahteva istek vremena. Ako korisnici ne mogu da stignu do vašeg klastera hibridne bezbednosti podataka, iskuse sledeće simptome:
Nije moguće kreirati nove prostore (nije moguće kreirati nove ključeve)
Dešifrovanje poruka i naslova prostora nije uspelo za:
Novi korisnici dodati u prostor (nije moguće preuzeti ključeve)
Postojeći korisnici u prostoru koji koriste novi klijent (nije moguće preuzeti ključeve)
Postojeći korisnici u prostoru će nastaviti da funkcionišu uspešno sve dok njihovi klijenti imaju keš ključeva za šifrovanje
Važno je da pravilno nadgledate svoj klaster hibridne bezbednosti podataka i da na odgovarajući način odgovorite na sva upozorenja kako biste izbegli prekid usluge.
Upozorenja
Ako postoji problem sa podešavanjem hibridne bezbednosti podataka, Control Hub prikazuje upozorenja administratoru organizacije i šalje e-poruke konfigurisanim e-adresa. Upozorenja pokrivaju mnogo uobičajenih scenarija.
Upozorenje | Radnja |
|---|---|
Neuspešan pristup lokalnoj bazi podataka. |
Proverite da li ima grešaka u bazi podataka ili problema sa lokalnom mrežom. |
Lokalni broj neuspešno povezivanje. |
Proverite da server baze podataka je dostupan i da nalog za usluge akreditivi korišćeni u konfiguraciji čvorova. |
Neuspešan pristup usluzi u oblaku. |
Proverite da li čvorovi mogu da pristupe Webex serverima kao što je navedeno u zahtevima za spoljno povezivanje. |
Obnavlja se registracija usluge u oblaku. |
Registracija za usluge u oblaku je odbačena. Obnova registracije je u toku. |
Registracija usluge u oblaku je odbačena. |
Registracija za usluge u oblaku je prekinuta. Usluga se iskljućuje. |
Usluga još uvek nije aktivirana. |
Aktivirajte probnu verziju ili završite sa premeštanjem probne verzije na proizvodnju. |
Konfigurisani domen se ne podudara sertifikat servera. |
Uverite se da sertifikat servera se podudara sa konfigurisanim domenom za aktivaciju usluge. Najverovatniji uzrok je to što je CN sertifikata nedavno promenjen i sada se razlikuje od CN-a koji je korišćen tokom početnog podešavanja. |
Potvrda identiteta za usluge u oblaku nije uspela. |
Proverite tačnost i mogući istek nalog za usluge akreditivi. |
Otvaranje datoteke lokalnog ključeva nije uspelo. |
Proverite da li postoji tačnost integriteta i lozinke u datoteci lokalnog ključeva. |
Lokalna sertifikat servera nevažeća. |
Proverite sertifikat servera na datum isteka i potvrdite da ga je izdao pouzdani Certificate Authority. |
Objavljivanje pokazatelja nije moguće. |
Proverite pristup lokalne mreže spoljnim uslugama oblaka. |
/media/configdrive/hds direktorijum ne postoji. |
Proverite konfiguraciju ISO na virtuelnog organizatora. Proverite da ISO datoteka postoji, da je podešena za montiranje na ponovno pokretanje i da li se uspešno montava. |
Rešavanje problema sa hibridnom zaštitom podataka
| 1 | Pregledajte Control Hub za sva upozorenja i ispravite sve stavke koje tamo pronađete. |
| 2 | Pregledajte izlaz Syslog servera za aktivnost iz primene hibridne bezbednosti podataka. |
| 3 | Obratite se Cisco podrška. |
Poznati problemi za hibridnu bezbednost podataka
Ako isključite klaster hibridne bezbednosti podataka (brisanjem na portalu Control Hub ili isključivanje svih čvorova), izgubite datoteku za ISO konfiguracije ili izgubite pristup bazi podataka ključeva, korisnici aplikacije Webex više neće moći da koriste prostore na listi "Osobe" koji su kreirani pomoću ključeva iz vašeg KMS-a. Ovo se odnosi i na probnu verziju i na proizvodne primene. Trenutno nemamo rešenje ili rešenje za ovaj problem i pozivamo vas da ne isključite HDS usluge nakon što rukuju aktivnim korisničkim nalozima.
Klijent koji ima postojeću ECDH vezu sa KMS-om održava tu vezu određeno vreme (verovatno jedan sat). Kada korisnik postane član probne verzije hibridne bezbednosti podataka, klijent korisnika nastavlja da koristi postojeću ECDH vezu sve dok istekne vreme. Osim toga, korisnik može da odjaviti se ponovo u aplikaciju Webex kako bi ažurirao lokaciju koju aplikacija kontaktira za ključeve za šifrovanje.
Isto ponašanje se dešava kada premestite probnu verziju na proizvodnju za organizaciju. Svi korisnici koji nisu probni sa postojećim ECDH vezama sa prethodnim bezbednosnim uslugama podataka nastaviće da koriste te usluge dok se ponovo ne pregovara o ECDH vezi (kroz vremensko ograničenje ili odjavljivanjem i ponovnom prijavama).
Koristite OpenSSL za generisanje PKCS12 datoteke
Pre nego što počnete
OpenSSL je jedna alatka koja se može koristiti za podešavanje PKCS12 datoteke u odgovarajućem formatu za učitavanje u alatki za podešavanje HDS-a. Postoje i drugi načini da se to uradi, a ne podržavamo i ne promovišemo ga na neki drugi način.
Ako odaberete da koristite OpenSSL, pružamo ovu proceduru kao smernicu da vam pomognemo da kreirate datoteku koja ispunjava zahteve sertifikata X.509 u zahtevima za sertifikate X.509. Razumejte te zahteve pre nego što nastavite.
Instalirajte OpenSSL u podržanom okruženju. Pogledajte https://www.openssl.org softver i dokumentaciju.
Kreirajte privatni ključ.
Pokrenite ovu proceduru kada dobijete sertifikat servera od svog Certificate Authority (CA).
| 1 | Kada primite sertifikat servera iz CA, sačuvajte ga kao |
| 2 | Prikažite sertifikat kao tekst i potvrdite detalje.
|
| 3 | Koristite uređivač teksta da biste kreirali datoteku sa paketom sertifikata koja se zove
|
| 4 | Kreiraj .p12 datoteku sa prijateljskim imenom
|
| 5 | Proverite detalje sertifikat servera. |
Šta je sledeće
Vratite se da biste ispunili preduslove za hibridnu bezbednost podataka. Koristićete hdsnode.p12 lozinku koju ste postavili , u odeljku Kreiranje konfiguracije ISO za HDS organizatore.
| Ove datoteke možete ponovo da koristite da biste zatražili novi sertifikat kada originalni sertifikat istekne. |
Saobraćaj između HDS čvorova i oblaka
Saobraćaj za prikupljanje odlaznih pokazatelja
Čvorovi za hibridnu bezbednost podataka šalju određene pokazatelje Webex oblaku. U njih spadaju sistemski pokazatelji za maksimum grupe, upotrebu grupe, CPU učitavanje i broj konverzacije; pokazatelji za sinhrone i asinhrone konverzacije; metrika za upozorenja koja uključuju prag veza za šifrovanje, kašnjenje ili dužinu reda za čekanje zahteva; pokazatelji u skladištu podataka; metrika za šifrovanje veze. Čvorovi šalju materijal za šifrovani ključ preko kanala van opsega (odvojeno od zahteva).
Dolazni saobraćaj
Čvorovi za hibridnu bezbednost podataka dobijaju sledeće tipove dolaznog saobraćaja iz Webex oblaka:
Zahtevi za šifrovanje od klijenata, koje usmerava usluga šifrovanja
Nadograđuje se na softver čvora
Konfigurisanje lignja proxy servera za hibridnu bezbednost podataka
Websocket ne može da se poveže preko proxy servera lignje
Proxy proxy serveri koji pregledaju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a ( wss:) veza koje zahteva hibridna bezbednost podataka. Ovi odeljci daju uputstva kako da konfigurišete različite verzije Lignje za zanemarivanje wss: saobraćaj za pravilan rad usluga.
Lignje 4 i 5
Dodajte datoteku on_unsupported_protocol direktivu za squid.conf:
on_unsupported_protocol tunnel allLignje 3,5.27
Uspešno smo testirali hibridnu bezbednost podataka sa sledećim pravilima dodatim u squid.conf. Ova pravila podležu promeni dok razvijamo funkcije i ažuriramo Webex oblak.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allNove i promenjene informacije
Datum | Napravljene promene | ||
|---|---|---|---|
20. oktobar 2023. |
| ||
Avgust 07, 2023. |
| ||
23. maj 2023. |
| ||
06. decembar 2022. |
| ||
23. novembar 2022. |
| ||
13.11.2021. | Docker Desktop mora da pokrene program za podešavanje da biste mogli da instalirate HDS čvorove. Pogledajte zahteve za docker radnu površinu. | ||
24.04.2021. | Imajte u vidu to da možete ponovo da koristite datoteku privatnog ključa i da CSR zatražite drugi sertifikat. Detaljnije informacije potražite u članku Upotreba openSSL za generisanje PKCS12 datoteke . | ||
| 30. april 2021. | Promenjen je VM za prostor na lokalnom čvrstom disku na 30 GB. Detaljnije informacije potražite u zahtevima virtuelnog organizatora. | ||
24. februar, 2021. | Alatka za podešavanje HDS-a sada može da radi iza proxy servera. Detalje potražite u članku Kreiranje ISO za HDS organizatore . | ||
2. februar, 2021. | HDS sada može da radi bez postavljene ISO datoteke. Detaljnije informacije potražite u članku (opcionalno) uklanjanje ISO nakon HDS konfiguracije . | ||
11. januar 2021. | Dodate su informacije o alatki za podešavanje HDS-a i proxy serverima za kreiranje ISO za HDS organizatore. | ||
13.11.2020. | Ažurirano preuzimanje instalacionih datoteka. | ||
8. oktobar 2020. | Ažurirano kreiranje konfiguracije za ISO za HDS organizatore i promenu konfiguracije čvora pomoću komandi za FedRAMP okruženja. | ||
14.04.2020. | Ažurirano je kreiranje konfiguracije ISO za HDS organizatore i promenu konfiguracije čvora promenama u procesu prijavljivanja. | ||
5. avgust, 2020. | Ažurirano testirajte primenu hibridne bezbednosti podataka za promene u porukama evidencije. Ažurirani su zahtevi virtuelnog organizatora kako bi se maksimalni broj uklonili organizatori. | ||
16. jun, 2020. | Ažurirano je uklanjanje čvora za promene u korisničkom interfejsu platforme Control Hub. | ||
4. jun, 2020. | Ažurirano je kreiranje konfiguracije ISO za HDS organizatore za promene u naprednih podešavanja koje možete podesiti. | ||
29. maj, 2020. | Ažurirano kreiranje konfiguracije ISO za HDS organizatore koji će pokazati da takođe možete da koristite TLS sa SQL bazama podataka servera, promenama korisničkog interfejsa i drugim pojašnjenja. | ||
5. maj, 2020. | Ažurirani su zahtevi virtuelnog organizatora kako bi se prikazao novi zahtev za ESXi 6.5. | ||
21. april 2020. | Ažurirani su zahtevi za spoljne mogućnosti povezivanja sa hostovima kompanije New Americas CI. | ||
1. aprila 2020. | Ažurirani su zahtevi za spoljnu povezanost sa informacijama o regionalnim CI organizatorima. | ||
| 20. februar, 2020. | Ažurirano kreiranje konfiguracije ISO za HDS organizatore informacijama o novom opcionalnom ekranu za napredna podešavanja u alatki za podešavanje HDS-a. | ||
| 4. februar 2020. | Ažurirani zahtevi proxy servera. | ||
| 16. decembar 2019. | Pojašnjeno je zahtev da režim DNS spoljne rezolucije radi u zahtevima proxy servera. | ||
| 19.11.2019. | Dodate informacije o blokiranim spoljnim DNS u sledećim odeljcima: | ||
8.11.2019. | Sada možete da konfigurišete podešavanja mreže za čvor dok primenjujete OVA, a ne kasnije. Ažurirani su sledeći odeljci na odgovarajući način:
| ||
6. septembar 2019. | Dodat je SQL server standarda u zahteve servera baze podataka. | ||
| 29. avgusta 2019. | Dodato je konfigurisanje lignja proxy servera za dodatak za hibridnu bezbednost podataka sa uputstvima za konfigurisanje proxy servera za lignje kako bi se zanemario websocket saobraćaj radi pravilnog rada. | ||
| 20. avgust, 2019. | Dodati su i ažurirani odeljci za pokrivanje proxy podrške za komunikacije čvora hibridne bezbednosti podataka sa Webex oblakom. Da biste pristupili samo sadržaju podrške za proxy za postojeću primenu, pogledajte članak pomoći proxy podrške za hibridnu bezbednost podataka i članak pomoći Webex Video Mesh . | ||
| 13. jun 2019. | Probna verzija je ažurirana na tok zadatka proizvodnje sa podsetnikom za sinhronizaciju HdsTrialGroup grupni objekat pre pokretanja probne verzije ako vaša organizacija koristi sinhronizaciju direktorijuma. | ||
| 6. mart 2019. |
| ||
| 28. februara 2019. |
| ||
| 26. februar 2019. |
| ||
24. januar, 2019. |
| ||
| 5. novembar 2018. |
| ||
| 19. oktobar 2018. |
| ||
Jul 31, 2018 |
| ||
| 21. maj 2018. | Promenjena terminologija da odražava rebrendiranje Cisco Sparka:
| ||
| 11. april 2018. |
| ||
| 22. februar, 2018. |
| ||
| 15. februara 2018. |
| ||
| 18. januara 2018. |
| ||
2. novembar 2017. |
| ||
Avgust 18, 2017 | Prvo objavljeno |
Pregled hibridne bezbednosti podataka
Od 1. dana bezbednost podataka je primarni fokus u dizajnu aplikacije Webex. Kamen temeljac ove bezbednosti je potpuno šifrovanje sadržaja, koje omogućavaju klijenti Webex aplikacije koji obavljaju interakciju sa uslugom upravljanja ključevima (KMS). KMS je odgovoran za kreiranje i upravljanje kriptografskim ključevima koje klijenti koriste za dinamički šifrovanje i dešifrovanje poruka i datoteka.
Podrazumevano, svi kupci aplikacije Webex dobijaju potpuno šifrovanje pomoću dinamičkih ključeva uskladištenih u KMS-u u oblaku, u Cisco bezbednosnom području. Hibridna bezbednost podataka premešta KMS i druge funkcije povezane sa bezbednošću u vaš podaci preduzeća centar, tako da niko osim vas ne zadržava ključeve svog šifrovanog sadržaja.
Arhitektura bezbednosnog područja
Arhitektura Webex oblaka odvaja različite tipove usluge u zasebna područja ili pouzdane domene, kao što je opisano ispod.
Da biste dodatno razumeli hibridnu bezbednost podataka, hajde da pogledamo ovaj čisti slučaj u oblaku gde Cisco obezbeđuje sve funkcije u svom području oblaka. Usluga identiteta, jedino mesto gde korisnici mogu direktno da se povežu sa ličnim podacima kao što su e-adresa, logično i fizičko se odvaja od bezbednosnog područja u centar za podatke B. Oba se zamenjuju odvojeno od područja gde se šifrovani sadržaj konačno skladišti u centar za podatke C.
Na ovom dijagramu, klijent je aplikacija Webex pokrenuta na laptop računaru korisnika i potvrdio identitet pomoću usluge identiteta. Kada korisnik sastavi poruku za slanje u prostor, izvršite sledeće korake:
Klijent uspostavlja funkciju bezbedna veza uslugom upravljanja ključevima (KMS), a zatim traži ključ za šifrovanje poruke. Ova bezbedna veza koristi ECDH, a KMS šifruje ključ pomoću AES-256 glavni ključ.
Poruka je šifrovana pre nego što napusti klijent. Klijent je šalje usluzi indeksa, koja kreira šifrovane indekse pretrage kako bi pomogla u budućim pretraživanjima sadržaja.
Šifrovana poruka se šalje usluzi usklađenosti radi provere usklađenosti.
Šifrovana poruka se čuva u području skladišta.
Kada primenite hibridnu bezbednost podataka, premestite funkcije bezbednosnog područja (KMS, indeksiranje i usaglašenost) na u objektu centar za podatke. Ostale usluge u oblaku koje sačinju Webex (uključujući identitet i skladištenje sadržaja) ostaju u Područjima kompanije Cisco.
Saradnja sa drugim organizacijama
Korisnici u vašoj organizaciji mogu redovno da koriste aplikaciju Webex za saradnju sa spoljnim učesnicima u drugim organizacijama. Kada jedan od korisnika zatraži ključ za prostor u vlasništvu vaše organizacije (jer ga je kreirao jedan od korisnika) VAŠ KMS šalje ključ klijentu preko ECDH bezbednog kanala. Međutim, kada druga organizacija poseduje ključ za prostor, vaš KMS usmerava zahtev do Webex oblaka putem zasebnog ECDH kanala da bi dobili ključ iz odgovarajućih KMS-a, a zatim vraća ključ korisniku na originalnom kanalu.
KMS usluga pokrenuta u okviru Org A proverava veze sa KMS-ovima u drugim organizacijama koristeći PKI sertifikate x.509. Pogledajte odeljak Pripremite svoje okruženje za detalje o generisanju sertifikata x.509 koji će se koristiti sa primenom hibridne bezbednosti podataka.
Očekivanja za primenu hibridne bezbednosti podataka
Primena hibridne bezbednosti podataka zahteva značajnu posvećenost kupaca i svesnost o rizicima koji dolaze sa sopstvenim ključevima za šifrovanje.
Da biste primenili hibridnu bezbednost podataka, morate da navedite:
Bezbedna centar za podatke u zemlji koja je podržana lokacija za Cisco Webex Teams planove.
Pristup opremi, softveru i mreži opisan u pripremi okruženja.
Dovršen gubitak konfiguracije ISO koju ste izgradili za hibridnu bezbednost podataka ili bazu podataka koju naveli dovešću do gubitka ključeva. Gubitak ključa sprečava korisnike da dešifruje sadržaj prostora i druge šifrovane podatke u aplikaciji Webex. Ako se to desi, možete da napravite novu primenu, ali će samo novi sadržaj biti vidljiv. Da biste izbegli gubitak pristupa podacima, morate:
Upravljajte rezervnim kopijama i oporavkom baze podataka i konfiguracijama ISO.
Budite spremni da izvršite brze oporavljanje nakon katastrofe ako dođe do katastrofe, kao što je neuspeh diska baze podataka ili centar za podatke katastrofa.
| Ne postoji mehanizam za premeštanje ključeva u oblak nakon HDS primene. |
Proces podešavanja visokog nivoa
Ovaj dokument pokriva podešavanje i upravljanje primenom hibridne bezbednosti podataka:
Podešavanje hibridne bezbednosti podataka – To uključuje pripremu potrebne infrastrukture i instaliranje softvera hibridne bezbednosti podataka, testiranje primene sa podskupom korisnika u probnom režimu i, kada se testiranje završi, prelazi na proizvodnju. Ovim putem će cela organizacija da koristi vaš klaster za hibridnu bezbednost podataka za bezbednosne funkcije.
Faze podešavanja, probne verzije i produkcijske faze su detaljno pokrivene u naredna tri poglavlja.
Održavajte primenu hibridne bezbednosti podataka – Webex oblak automatski obezbeđuje tekuće nadogradnje. Vaše IT odeljenje može da pruži jednu podršku za ovu primenu i da se angažuje Cisco podrška po potrebi. Obaveštenja na ekranu možete da koristite i podesiti upozorenja zasnovana na e-poruci na platformi Control Hub.
Razumevanje uobičajenih upozorenja, koraka rešavanja problema i poznatih problema – Ako naiđete na problem prilikom primene ili korišćenja hibridne bezbednosti podataka, poslednje poglavlje ovog vodiča i aplikacije Poznati problemi mogu vam pomoći da odredite i rešite problem.
Model primene hibridne bezbednosti podataka
U okviru podaci preduzeća centra primenjujete hibridnu bezbednost podataka kao jedan klaster čvorova na zasebnim virtuelnim organizatorima. Čvorovi komuniciraju sa Webex oblakom putem bezbednih veb-priključaka i bezbednog HTTP-a.
Tokom procesa instalacije obezbeđujemo vam OVA datoteku za podesiti virtuelni uređaj na VM-ovima koje pružate. Alatku za podešavanje HDS-a koristite da biste kreirali prilagođenu konfiguraciju klastera ISO koju montirate na svaki čvor. Klaster hibridne bezbednosti podataka koristi obezbeđeni Syslogd server i PostgreSQL ili Microsoft SQL server bazu podataka. (Detalje o Syslogd-u i vezi sa bazom podataka konfigurišete u alatki za podešavanje HDS-a.)
Minimalni broj čvorova koje možete da imate u klasteru je dva. Preporučujemo da ih ima najmanje tri, a možete da ih imate do pet. Ako imate više čvorova, osigurava se da se usluga ne prekida tokom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor u isto vreme.)
Svi čvorovi u klasteru pristupaju istom skladištu podataka ključa i aktivnost evidencije istom serveru syslog. Sami čvorovi su bez države i obrađuju zahteve u okruglo-robin stilu, kao što je režirao oblak.
Čvorovi postaju aktivni kada ih registrujete na portalu Control Hub. Da biste pojedinačni čvor odjavili iz funkcije, možete ga odjaviti i kasnije ponovo registracijiti po potrebi.
Podržavamo samo jedan klaster po organizaciji.
Probni režim hibridne bezbednosti podataka
Nakon podešavanja primene hibridne bezbednosti podataka, prvo pokušajte sa skupom pilot korisnika. Tokom probnog perioda ovi korisnici koriste u objektu domen hibridne bezbednosti podataka za ključeve za šifrovanje i druge usluge bezbednosnog područja. Ostali korisnici i dalje koriste područje bezbednosti oblaka.
Ako odlučite da ne nastavite sa primenom tokom probne verzije i deaktivirate uslugu, pilot korisnici i svi korisnici sa kojima su ostvarili interakciju kreiranjem novih prostora tokom probnog perioda izgubiće pristup porukama i sadržaju. Oni će videti "Ova poruka se ne može dešifrovanje" u aplikaciji Webex.
Ako ste zadovoljni da primena funkcioniše dobro za probne korisnike i spremni ste da proširite hibridnu bezbednost podataka na sve svoje korisnike, prebacite primenu na proizvodnju. Pilot korisnici i dalje imaju pristup ključevima koji su se koristili tokom probne verzije. Međutim, ne možete se uvek pomerati između proizvodnog režima i originalne probne verzije. Ako morate da deaktivirate uslugu, na primer da biste izvršili oporavljanje nakon katastrofe, kada ponovo aktivirate morate da pokrenete novu probnu verziju i da podesiti skup pilot korisnika za novu probnu verziju pre nego što se vratite u proizvodni režim. Bez obzira na to da li korisnici zadržavaju pristup podacima u ovom trenutku, zavisi od toga da li ste uspešno održali rezervne kopije ključa skladištenje podataka i ISO datoteka sa konfiguracijom za čvorove za hibridnu bezbednost podataka u klasteru.
Centar podataka u pripravnosti za oporavak od katastrofe
Tokom primene, možete podesiti u bezbednom centar za podatke. U slučaju centar za podatke katastrofe, možete ručno da ne uspete da izvršite raspoređivanje u režimu centar za podatke.
Baze podataka aktivnih i u stanju pripravnosti centara podataka su u sinhronizaciji jedan sa drugim, što će umanjiti vreme potrebno za izvršavanje neuspeha. Datoteka ISO u režimu centar za podatke ažurira se dodatnim konfiguracijama koje obezbeđuju da čvorovi budu registrovani u organizaciji, ali neće upravljati saobraćajem. Zbog toga čvorovi u režimu centar za podatke uvek ostanu ažurirani sa najnovijom verzijom HDS softvera.
| Aktivni čvorovi za hibridnu bezbednost podataka moraju uvek biti u centar za podatke kao i aktivni server baze podataka. |
Podešavanje centra podataka u pripravnosti za oporavak od katastrofe
Sledite dolenavedene korake da biste ISO datoteku u režimu centar za podatke:
Pre nego što počnete
Prostor u centar za podatke bi trebalo da preslika proizvodno okruženje VMs i rezervnu PostgreSQL ili Microsoft SQL server bazu podataka. Na primer, ako proizvodnja ima 3 VMS koji imaju HDS čvorove, rezervno okruženje bi trebalo da ima 3 VMS. (Pregled ovog modela neuspešnog pokretanja potražite u centru podataka u 3 VMS.)
Uverite se da je sinhronizacija baze podataka omogućena između baze podataka aktivnih i pasivnih čvorova klastera.
| 1 | Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiranje ISO za HDS organizatore.
| ||
| 2 | Nakon što konfigurišete Syslogd server, kliknite na opciju " Napredna podešavanja" | ||
| 3 | Na stranici "Napredna podešavanja " dodajte konfiguraciju u nastavku da biste postavili čvor u pasivan režim. U ovom režimu će čvor biti registrovan za organizaciju i povezan na oblak, ali neće upravljati nikakvim saobraćajem.
| ||
| 4 | Dovršite proces konfiguracije i sačuvajte datoteku ISO na lokaciji koju je lako pronaći. | ||
| 5 | Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu. Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije. | ||
| 6 | U levom navigacionom panelu VMware vSphere klijenta možete desni klik na VM i kliknite na "Uredi podešavanja". | ||
| 7 | Kliknite na "Uredi >CD/DVD disk jedinicu 1 " i izaberite stavku Skladište ISO podataka.
| ||
| 8 | Uključite HDS čvor i uverite se da nema alarma najmanje 15 minuta. | ||
| 9 | Ponovite proces za svaki čvor u režimu centar za podatke.
|
Šta je sledeće
Nakon konfigurisanja passiveMode u datoteci ISO i sačuvati je, možete da kreirate još jednu kopiju datoteke ISO datoteku bez passiveMode konfiguracija i čuvanje na bezbednoj lokaciji. Ova kopija datoteke ISO datoteke bez passiveMode konfigurisana funkcija može pomoći u brzom procesu preuzimanja tokom oporavljanje nakon katastrofe. Pogledajte " Oporavak od katastrofe" koristeći centar podataka u pripravnosti za detaljan postupak preuzimanja.
Proxy podrška
Hibridna bezbednost podataka podržava eksplicitnu, prozirnu inspekciju i proxy servere koji se ne pregledaju. Ove proxy servere možete da vežete za raspoređivanje kako biste mogli da bezbedno i nadgledate saobraćaj od preduzeća do oblaka. Možete da koristite interfejs administratora platforme na čvorovima za upravljanje sertifikatima i da proverite ukupni status povezanosti nakon što podesite proxy server na čvorovima.
Čvorovi za hibridnu bezbednost podataka podržavaju sledeće opcije proxy servera:
Nema proxy servera – podrazumevano ako ne koristite podešavanje HDS čvora Pouzdano skladište i proxy servera za integraciju proxy servera. Nije potrebno ažuriranje sertifikata.
Prozirni proxy server koji ne pregleda – čvorovi nisu konfigurisani da koriste određenu proksi server adresu i ne bi trebalo da zahtevaju nikakve promene za rad sa proxy serverom koji ne pregleda. Nije potrebno ažuriranje sertifikata.
Prozirno prolazno prolaze ili protok proxy servera – čvorovi nisu konfigurisani za korišćenje određene proksi server adrese. Na čvorovima nisu potrebne promene HTTP ili HTTPS konfiguracije. Međutim, čvorovima je potreban korenski sertifikat tako da imaju poverenja u proxy server. IT sistemi obično koriste inspekciju za primenu smernica preko kojih mogu da se posećuju veb-lokacije i koje vrste sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifrova sav vaš saobraćaj (čak i HTTPS).
Eksplicitni proxy server – sa eksplicitnim proxy serverom govorite HDS čvorovima koje proksi server i šemom potvrde identiteta da koriste. Da biste konfigurisali eksplicitni proxy server, morate uneti sledeće informacije u svaki čvor:
Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy računaru.
Proxy port – A broj priključka proxy servera koristi za slušanje proksi saobraćaja.
Proxy protokol – u zavisnosti od toga šta proksi server podržava, izaberite između sledećih protokola:
HTTP – Pregleda i kontroliše sve zahteve koje klijent šalje.
HTTPS – Obezbeđuje kanal za server. Klijent prima i proverava valjanost sertifikata servera.
vrsta autentifikacije – Izaberite jedan od sledećih tipova potvrde identiteta:
Nijedna – nije potrebna dodatna potvrda identiteta.
Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.
Osnovna – koristi se za HTTP korisničkog agenta za navedite korisničko ime i lozinku prilikom upućivanje zahteva. Koristi Base64 kodiranje.
Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.
Zahteva da unesete korisničko ime i lozinku u svaki čvor.
Digest – koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje funkciju hash-a na korisničko ime i lozinku pre slanja preko mreže.
Dostupno samo ako izaberete HTTPS kao proxy protokol.
Zahteva da unesete korisničko ime i lozinku u svaki čvor.
Primer čvorova za hibridnu bezbednost podataka i proxy servera
Ovaj dijagram prikazuje primer veze između hibridne bezbednosti podataka, mreže i proxy servera. Za prozirnu inspekciju i HTTPS eksplicitnu inspekciju opcija proxy korenski sertifikat se mora instalirati na proxy serveru i na čvorovima za hibridnu bezbednost podataka.
Blokirani spoljni DNS rezolucije (eksplicitne konfiguracije proxy servera)
Kada registrujete čvor ili proverite konfiguraciju proxy servera čvora, proces testira DNS pronalaženja i mogućnosti povezivanja sa Cisco Webex oblakom. U primenama sa eksplicitnim konfiguracijama proxy servera koje ne dozvoljavaju spoljnu DNS za interne klijente, ako čvor ne može da upitu na DNS servere, automatski prelazi u režim blokirane spoljne DNS rezolucije. U ovom režimu mogu da se nastave testovi registracije čvora i drugih testova mogućnosti povezivanja sa proxy serverom.
Zahtevi za hibridnu bezbednost podataka
Cisco Webex licence
Da biste primenili hibridnu bezbednost podataka:
Morate imati Pro Pack za Cisco Webex Control Hub. (Pogledajte https://www.cisco.com/go/pro-pack.)
Zahtevi za docker radnu površinu
Da biste instalirali HDS čvorove, treba vam Docker Desktop da biste pokrenuli program za podešavanje. Docker je nedavno ažurirao svoj model licenciranja. Vaša organizacija možda zahteva plaćenu pretplatu za Docker Desktop. Više detalja potražite u postu docker bloga, " Docker ažurira i proširi pretplate na naše proizvode".
X.509 zahtevi za sertifikat
Organizator lanac sertifikata ispuni sledeće uslove:
Uslov | Detalji |
|---|---|
| Podrazumevano verujemo CA-ovima na Mozilla listi (sa izuzetkom WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs. |
| CN ne mora da bude dostupan ili organizator uživo. Preporučujemo da koristite ime koje odražava vašu organizaciju, na primer, CN ne sme da sadrži * (džoker). CN se koristi za potvrdu čvorova hibridne bezbednosti podataka klijentima aplikacije Webex. Svi čvorovi za hibridnu bezbednost podataka u klasteru koriste isti sertifikat. Vaš KMS se identifikuje pomoću CN domena, a ne bilo kog domena definisanog u poljima x.509v3 SAN. Nakon što registrujte čvor sa ovim sertifikatu, ne podržavamo promenu CN naziv domena. Izaberite domen koji može da se primeni i na probnu verziju i na produkcijske primene. |
| KMS softver ne podržava SHA1 potpise za proveru valjanosti veza sa KMS-ovima drugih organizacija. |
| Za promenu formata certifikata možete da koristite konvertor kao što je OpenSSL. Moraćete da unesete lozinku kada pokrenete alatku za podešavanje HDS-a. |
KMS softver ne nameće ograničenja korišćenja ključa ili proširena ograničenja korišćenja ključa. Neki autoriteti za izdavanje sertifikata zahtevaju da se proširena ograničenja korišćenja ključa primenjuju na svaki sertifikat, kao što je potvrda identiteta servera. U redu je da koristite potvrdu identiteta servera ili druga podešavanja.
Zahtevi virtuelnog organizatora
Virtuelni domaćini koje ćete podesiti kao čvorove hibridne bezbednosti podataka u svom klasteru imaju sledeće zahteve:
Najmanje dva odvojena organizatora (3 preporučena) u istom bezbednom centar za podatke
VMware ESXi 6.5 (ili noviji) je instaliran i pokrenut.
Morate da nadogradite ako imate raniju verziju ESXi-a.
Najmanje 4 vCPU, 8 GB glavne memorije, 30 GB lokalnog čvrstog prostora po serveru
Zahtevi servera baze podataka
| Kreirajte novu bazu podataka za skladištenje ključeva. Nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada je instalirana, kreirajte šemu baze podataka. |
Postoje dve opcije za ovu server baze podataka. Zahtevi za svakog su sledeći:
PostgresqL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Najmanje 8 vCUs, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje kako bi se osiguralo da nije prekoračena (preporučuje se 2-TB ako želite da baza podataka dugo radi, a da ne morate da povećavate skladište) | Najmanje 8 vCUs, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje kako bi se osiguralo da nije prekoračena (preporučuje se 2-TB ako želite da baza podataka dugo radi, a da ne morate da povećavate skladište) |
HDS softver trenutno instalira sledeće verzije upravljačkog programa za komunikaciju sa server baze podataka:
PostgresqL | Microsoft SQL Server |
|---|---|
Postgres JDBC upravljački program 42.2.5 | SQL JDBC upravljački program servera 4.6 Ova verzija upravljačkog programa podržava SQL server uvek uključen ( Uvek uključene instance neuspešnog klastera i Grupe dostupnosti uvek uključene). |
Dodatni zahtevi za Windows potvrdu identiteta u SQL Microsoft serveru
Ako želite da HDS čvorovi koriste Windows potvrdu identiteta da bi dobili pristup bazi podataka ključeva na Microsoft SQL serveru, potrebna vam je sledeća konfiguracija u vašem okruženju:
HDS čvorovi, Active Directory infrastruktura i MS SQL server moraju da se sinhronizuju sa NTP.
Windows nalog koji napišete HDS čvorovima mora da ima pristup za čitanje/pisanje baze podataka.
Serveri DNS koje dostavite HDS čvorovima moraju da budu u mogućnosti da razreše centar za distribuciju ključa (KDC).
Možete registrovati instancu HDS baze podataka na Microsoft SQL serveru kao glavno ime usluge (SPN) na Active Directory. Pogledajte članak Registrovanje glavnog imena usluge za Kerberos veze.
Alatka za podešavanje HDS, HDS pokretanje i lokalni KMS moraju da koriste Windows potvrdu identiteta za pristup bazi podataka ključeva. Oni koriste detalje iz vaše konfiguracije ISO za konstrukciju SPN-a kada zahtevaju pristup pomoću Kerberos potvrde identiteta.
Zahtevi za spoljno povezivanje
Konfigurišite zaštitni zid da biste omogućili sledeće mogućnosti povezivanja za HDS aplikacije:
Aplikacija | Protokol | Port | Smer iz aplikacije | Odredište |
|---|---|---|---|---|
Čvorovi za hibridnu bezbednost podataka | TCP | 443 | Odlazni HTTPS i WSS |
|
Alatka za podešavanje HDS-a | TCP | 443 | Odlazni HTTPS |
|
| Čvorovi za hibridnu bezbednost podataka rade sa prevodom pristupa mreži (NAT) ili iza zaštitnog zida, sve dok NAT ili zaštitni zid omogućavaju potrebne odlazne veze sa odredištima domena u pređašnje tabeli. Za veze koje ide do čvorova za hibridnu bezbednost podataka, nijedan port ne bi trebalo da bude vidljiv sa interneta. U okviru vaših centar za podatke, klijentima je potreban pristup čvorovima hibridne bezbednosti podataka na TCP portovima 443 i 22, u administrativne svrhe. |
URL adrese za hostove zajedničkog identiteta (CI) su specifične za region. Ovo su trenutni CI organizatori:
Regiona | URL adrese organizatora zajedničkog identiteta |
|---|---|
Amerike |
|
Evropska unija |
|
Kanada |
|
Zahtevi proxy servera
Zvanično podržavamo sledeća proxy rešenja koja mogu da se integriše sa vašim čvorovima za hibridnu bezbednost podataka.
Prozirni proxy— Cisco uređaj za veb-bezbednost (WSA).
Eksplicitni proxy server – lignja.
Proxy proxy serveri koji pregledaju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a (wss:) Veze. Da biste rešili ovaj problem, pogledajte članak Konfigurisanje lignje proxy servera za hibridnu bezbednost podataka.
Podržavamo sledeće kombinacije tipa potvrde identiteta za eksplicitne proxy servere:
Nema potvrde identiteta sa HTTP ili HTTPS-om
Osnovna potvrda identiteta sa HTTP ili HTTPS-om
Digest potvrda identiteta samo SA HTTPS-om
Za prozirni proxy server za inspekciju ili HTTPS eksplicitni proxy server, morate da imate kopiju proxy servera za korenski sertifikat. Uputstvo za primenu u ovom vodiču vam govori kako da otpremite kopiju u pouzdana skladišta čvorova hibridne bezbednosti podataka.
Mrežno hostovanje HDS čvorova mora biti konfigurisano da nametne odlazne TCP saobraćaju na portu 443 da bi se usmerio preko proxy servera.
Proxy korisnici koji pregledaju veb-saobraćaj mogu da ometaju veze veb-priključka. Ako dođe do ovog problema, zaobiđite saobraćaj (ne pregledajući) na
wbx2.comiciscospark.comće rešiti problem.
Ispunite preduslove za hibridnu bezbednost podataka
| 1 | Uverite se da je Webex organizacija omogućena za Pro Pack za Cisco Webex Control Hub i nabavite akreditive naloga sa punim pravima administratora organizacije. Obratite se Cisco partneru ili menadžeru naloga za pomoć u ovom procesu. | ||
| 2 | Odaberite naziv domena za HDS primenu (na primer, | ||
| 3 | Pripremite identične virtuelne organizatore koje ćete podesiti kao čvorove za hibridnu bezbednost podataka u svom klasteru. Potrebna su vam najmanje dva zasebna organizatora (3 preporučena) u istom bezbednom centar za podatke koji ispunjavaju zahteve u zahtevima virtuelnih organizatora. | ||
| 4 | Pripremite server baze podataka koji će delovati kao ključ za skladištenje podataka za klaster, u skladu sa zahtevima servera baze podataka. Organizatori server baze podataka buduконфигурисани у чекању centar za podatke virtuelnim organizatorima. | ||
| 5 | Za brze oporavljanje nakon katastrofe, podesiti rezervno okruženje u drugom centar za podatke. Rezervno okruženje preslikava proizvodno okruženje VMs i rezervne server baze podataka. Na primer, ako proizvodnja ima 3 VMS koji imaju HDS čvorove, rezervno okruženje bi trebalo da ima 3 VMS. | ||
| 6 | Podesite organizatora syslog za prikupljanje evidencija iz čvorova u klasteru. Prikupite mrežna adresa i syslog port (podrazumevano je UDP 514). | ||
| 7 | Kreirajte bezbednu politiku pravljenja rezervnih kopija za čvorove hibridne bezbednosti podataka, server baze podataka i organizatora sistemskog sistema. U minimumu, da biste sprečili nepoplaćivanje gubitka podataka, morate da napravite pozadinu baze podataka i datoteku ISO konfiguracije koja je generisana za čvorove hibridne bezbednosti podataka.
Klijenti aplikacije Webex keše svoje ključeve, tako da pre prekida rada možda neće biti odmah primetnljiv, ali će vremenom postati vidljivi. Iako je nemoguжe sprečiti privremene prekšiljanje, mogu se oporavljati. Međutim, potpuni gubitak (nema dostupnih rezervnih kopija) baze podataka ili datoteka ISO konfiguracije doveže do nepoplatnih podataka o kupcima. Operateri čvorova za hibridnu bezbednost podataka očekuju da zadrže česta rezervna kopija baze podataka i datoteke ISO konfiguracije i spremni su da ponovo izradite alatku za hibridnu bezbednost centar za podatke ako dođe do katastrofalnog neuspeha. | ||
| 8 | Uverite se da konfiguracija zaštitnog zida omogućava povezivanje za čvorove hibridne bezbednosti podataka kao što je navedeno u zahtevima spoljne povezanosti. | ||
| 9 | Instalirajte Docker ( https://www.docker.com) na bilo kom lokalnom računaru sa podržanim OS-om (Microsoft Windows 10 Profesionalni ili Enterprise 64-bitni ili Mac OSX Yosemite 10.10.3 ili noviji) sa veb-pregledačem koji može da mu pristupi na http://127.0.0.1:8080. Instancu Docker koristite za preuzimanje i pokretanje alatke za podešavanje HDS-a koja gradi lokalne informacije o konfiguraciji za sve čvorove hibridne bezbednosti podataka. Možda će vašoj organizaciji biti potrebna Licenca za Docker Desktop. Više informacija potražite u zahtevima docker radne površine. Da biste instalirali i pokrenuli alatku za podešavanje HDS-a, lokalni računar mora da ima ojačenu povezanost u zahtevima za spoljno povezivanje. | ||
| 10 | Ako integrišete proxy server sa hibridnom zaštitom podataka, uverite se da ispunjava zahteve proxy servera. | ||
| 11 | Ako vaša organizacija koristi sinhronizaciju direktorijuma, kreirajte grupu u Active Directory pozvali
|
Tok zadatka primene hibridne bezbednosti podataka
Pre nego što počnete
| 1 |
Preuzmite OVA datoteku na svoj lokalni računar za kasnije korišćenje. | ||
| 2 | Kreiranje konfiguracije ISO za HDS organizatore Koristite alatku za podešavanje HDS-a da biste ISO datoteka sa konfiguracijom za čvorove hibridne bezbednosti podataka. | ||
| 3 |
Kreirajte virtuelna mašina iz OVA datoteke i izvršite početnu konfiguraciju, kao što je podešavanja mreže.
| ||
| 4 | Podešavanje funkcije hibridne bezbednosti podataka VM Prijavite se na VM konzolu i podesite akreditive za prijavljivanje. Konfigurišite podešavanja mreže za čvor ako ih niste konfigurisali u vreme primene OVA. | ||
| 5 |
Konfigurišite VM na ISO datoteka sa konfiguracijom koju ste kreirali pomoću alatke za podešavanje HDS-a. | ||
| 6 | Konfigurisanje HDS čvora za integraciju proxy servera Ako mrežno okruženje zahteva konfiguraciju proxy servera, navedite tip proxy servera koji ćete koristiti za čvor i po potrebi dodati proxy sertifikat u skladište pouzdanosti. | ||
| 7 | Registrujte prvi čvor u klasteru Registrujte VM na Cisco Webex oblak kao čvor za hibridnu bezbednost podataka. | ||
| 8 | Kreirajte i registrujte više čvorova Dovršite podešavanje klastera. | ||
| 9 | Pokrenite probnu verziju i premestite se u proizvodnju (sledeće poglavlje) Dok ne započnete probnu verziju, vaši čvorovi generišu alarm koji ukazuje na to da usluga još uvek nije aktivirana. |
Preuzmi instalacione datoteke
| 1 | Prijavite se u , https://admin.webex.coma zatim kliknite na "Usluge". | ||||
| 2 | U odeljku Hibridne usluge pronađite karticu hibridna bezbednost podataka, a zatim kliknite na " Podesi". Ako je kartica onemogućena ili je ne vidite, obratite se timu za naloge ili partneroj organizaciji. Dajte im svoj broj naloga i zatražite da omoguće svojoj organizaciji hibridnu bezbednost podataka. Da biste pronašli broj naloga, kliknite na zupčanici u gornjem desnom uglu, pored imena organizacije.
| ||||
| 3 | Izaberite " Ne" da biste naznačili da još uvek podesiti čvor, a zatim kliknite na "Dalje ". OVA datoteka automatski počinje da preuzima. Sačuvajte datoteku na lokaciji na računaru.
| ||||
| 4 | Opcionalno, kliknite na uputstvo za primenu da biste proverili da li postoji novija verzija ovog vodiča. |
Kreiranje konfiguracije ISO za HDS organizatore
Proces podešavanja hibridne bezbednosti podataka kreira datoteku ISO datoteke. Zatim koristite ovu ISO da biste konfigurisali organizatora za hibridnu bezbednost podataka.
Pre nego što počnete
Alatka za podešavanje HDS-a radi kao docker kontejner na lokalnom računaru. Da biste mu pristupili, pokrenite "Docker" na tom računaru. Proces podešavanja zahteva akreditive za Control Hub nalog sa punim administratorskih prava za vašu organizaciju.
Ako alatka za podešavanje HDS radi iza proxy servera u vašem okruženju, obezbedite postavke proxy servera (server, port, akreditivi) kroz Promenljive Docker okruženja kada u koraku 5 unesite docker kontejner . Ova tabela daje neke moguće promenljive okruženja:
Opis
Promenljiva
HTTP Proxy bez potvrde identiteta
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS proxy bez potvrde identiteta
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy sa potvrdom identiteta
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy sa potvrdom identiteta
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTDatoteka za ISO koju generišete sadrži glavni ključ za šifrovanje PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada promenite konfiguraciju, kao što su ove:
Akreditivi baze podataka
Ažuriranja sertifikata
Promene smernica autorizacije
Ako planirate da šifrujete veze sa bazom podataka, podesiti PostgreSQL ili SQL primenu servera za TLS.
| 1 | Na komandnoj liniji računara unesite odgovarajuću komandu za svoje okruženje: U redovnim okruženjima: U FedRAMP okruženjima:
| ||||||||||||
| 2 | Da biste se prijavili u registar slika dokolice, unesite sledeće: | ||||||||||||
| 3 | Na upit za lozinku unesite ovaj hash: | ||||||||||||
| 4 | Preuzmite najnoviju stabilnu sliku za svoje okruženje: U redovnim okruženjima: U FedRAMP okruženjima: | ||||||||||||
| 5 | Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:
Kada je kontejner pokrenut, vidite "Express server sluša na portu 8080." | ||||||||||||
| 6 |
Koristite veb-pregledač za pristup lokalnom organizatoru, Alatka koristi ovaj prvi unos korisničkog imena da bi postavila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje. | ||||||||||||
| 7 | Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora kupca na portalu Control Hub, a zatim kliknite na "Prijavi se" da biste dozvolili pristup potrebnim uslugama za hibridnu bezbednost podataka. | ||||||||||||
| 8 | Na stranici "Pregled alatke za podešavanje" kliknite na "Prvi koraci". | ||||||||||||
| 9 | Na stranici za ISO uvoz imate sledeće opcije:
| ||||||||||||
| 10 | Proverite da li vaš X.509 sertifikat ispunjava zahteve u X.509 zahtevima sertifikata.
| ||||||||||||
| 11 | Unesite adresu baze podataka i nalog za HDS da biste pristupili usluzi podataka ključa: | ||||||||||||
| 12 | Izaberite TLS režima povezivanja baze podataka:
Kada otpremite korenski sertifikat (ako je potrebno) i kliknete na "Nastavi", alatka za podešavanje HDS-a testira TLS vezu sa server baze podataka. Alatka takođe potvrđuje potpisivanje sertifikata i ime hosta, ako je primenljivo. Ako test ne uspe, alatka prikazuje alatku poruka o grešci koja opisuje problem. Možete da odaberete da li želite da zanemarite grešku i nastavite sa podešavanjem. (Zbog razlika u mogućnosti povezivanja, HDS čvorovi će možda moći da uspostave vezu TLS čak i ako mašina alatke za podešavanje HDS-a ne može uspešno da je testira.) | ||||||||||||
| 13 | Na stranici "Sistemske evidencije" konfigurišite Syslogd server: | ||||||||||||
| 14 | (Opcionalno) U napredna podešavanja možete podrazumevana vrednost za neke parametre veze sa bazom podataka. Generalno, ovaj parametar je jedini koji želite da promenite: | ||||||||||||
| 15 | Kliknite na "Nastavi " na ekranu "Resetuj lozinku za naloge za usluge ". Lozinke naloga za usluge imaju životni vek od devet meseci. Koristite ovaj ekran kada lozinke ističe ili želite da ih resetujete kako biste poništili prethodne ISO datoteke. | ||||||||||||
| 16 | Kliknite na "Preuzmi ISO datoteku". Sačuvajte datoteku na lokaciji koju je lako pronaći. | ||||||||||||
| 17 | Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu. Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije. | ||||||||||||
| 18 | Da biste isključili alatku za podešavanje, otkucajte |
Šta je sledeće
Napravite napravite pozadinu datoteke ISO konfiguracije. Potrebno je da kreirate više čvorova za oporavak ili da biste uneli promene konfiguracije. Ako izgubite sve kopije datoteke ISO, izgubili ste i glavni ključ. Spasavanje ključeva iz PostgreSQL ili Microsoft SQL servera baze podataka nije moguće.
| Nikada nemamo kopiju ovog ključa i ne možemo da odolimo ako ga izgubite. |
Instaliraj HDS host OVA
| 1 | Koristite VMware vSphere klijent na računaru da biste se prijavili u ESXi virtuelnog organizatora. | ||||||
| 2 | Izaberite datoteku > primeni OVF šablon. | ||||||
| 3 | U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli, a zatim kliknite na "Dalje " . | ||||||
| 4 | Na stranici Izbor imena i fascikle unesite ime virtuelne mašine za čvor (na primer, "HDS_Node_1"), odaberite lokaciju na kojoj može da se virtuelna mašina primena čvora,a zatim kliknite na "Dalje". | ||||||
| 5 | Na stranici "Izaberite izračunaj resurs" odaberite odredišni resurs za izračunavanje, a zatim kliknite na "Dalje". Pokrenuta je provera valjanosti. Kada se završi, pojavljuju se detalji obrasca. | ||||||
| 6 | Proverite detalje obrasca, a zatim kliknite na "Dalje ". | ||||||
| 7 | Ako od vas zatraže da odaberete konfiguraciju resursa na stranici konfiguracija,kliknite na CPU, a zatim kliknite na "Dalje". | ||||||
| 8 | Na stranici "Izbor skladišta" kliknite na "Dalje" da biste prihvatili podrazumevani format diska i VM smernice za skladištenje. | ||||||
| 9 | Na stranici Izbor mreža izaberite opciju mreže sa liste unosa da biste obezbedili željenu povezanost sa VM. | ||||||
| 10 | Na stranici Prilagođavanje šablona konfigurišite sledeće podešavanja mreže:
Ako je poželjno, možete preskočiti konfiguraciju mrežnih podešavanja i slediti korake u odeljku Podešavanje hibridne bezbednosti VM da biste konfigurisali podešavanja sa konzole čvora.
| ||||||
| 11 | Kliknite desnim tasterom miša na čvor VM, a zatim izaberite stavku . Softver za hibridnu bezbednost podataka je instaliran kao gost na VM organizatoru. Sada ste spremni da prijaviti se konzolu i konfigurišete čvor. Saveti za rešavanje problema Može doći do kašnjenja nekoliko minuta pre nego što se zadrže kontejneri čvora. Poruka zaštitnog zida mosta se pojavljuje na konzoli tokom prvog pokretanja sistema, tokom koje ne možete da prijaviti se. |
Podešavanje funkcije hibridne bezbednosti podataka VM
Prvi put koristite ovu proceduru da biste prijaviti se na čvor za hibridnu bezbednost podataka VM konzolu i podesili akreditive za prijavljivanje. Konzolu možete da koristite da biste konfigurisali podešavanja mreže za čvor ako ih niste konfigurisali u vreme primene OVA.
| 1 | U VMware vSphere klijentu izaberite svoj čvor za hibridnu bezbednost podataka VM i izaberite karticu "Konzola". Datoteka VM se pokreće i pojavljuje se odzivnik za prijavljivanje. Ako se upit za prijavljivanje ne prikaže, pritisnite Enter.
|
| 2 | Koristite sledeću podrazumevanu lozinku za prijaviti se i promenite akreditive: Pošto se po prvi put VM prijavite na sastanak, morate da promenite lozinku administratora. |
| 3 | Ako ste već konfigurisali podešavanja mreže u instalaciji HDS host OVA, preskočite ostatak ove procedure. U suprotnom, u glavni meni izaberite opciju Uredi konfiguraciju . |
| 4 | Podesite statičnu konfiguraciju sa IP adresa, Mask, mrežnim prolazom i DNS informacijama. Vaš čvor bi trebalo da ima interno IP adresa i DNS ime. DHCP nije podržano. |
| 5 | (Opcionalno) Promenite ime hosta, domen ili NTP server(e) ako je potrebno da se podudara sa smernicama vaše mreže. Ne morate da podesite domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata. |
| 6 | Sačuvajte mrežna konfiguracija i ponovo pokrenite VM biste promene stupile na snagu. |
Otpremite i postavite HDS ISO
Pre nego što počnete
Budući da ISO datoteka ima glavni ključ, ona bi trebalo da bude izložena samo na osnovu "mora da se zna", radi pristupa VM-ova za hibridnu bezbednost podataka i bilo kog administratora koji će možda morati da unesu promene. Uverite se da samo ti administratori mogu da pristupe skladištu podataka.
| 1 | Otpremite datoteku ISO sa računara: |
| 2 | Postavite ISO datoteku: |
Šta je sledeće
Ako vaše IT smernice zahtevaju, možete opcionalno da uklonite ISO datoteku nakon što svi čvorovi preuzmu promene konfiguracije. Detaljnije informacije potražite u članku (opcionalno) uklanjanje ISO nakon HDS konfiguracije .
Konfigurisanje HDS čvora za integraciju proxy servera
Ako mrežno okruženje zahteva proxy server, koristite ovaj postupak da biste odredili tip proxy servera koji želite da se integrišete sa hibridnom zaštitom podataka. Ako odaberete prozirni proxy server za inspekciju ili HTTPS eksplicitni proxy server, možete da koristite interfejs čvora za otpremanje i instaliranje korenski sertifikat. Takođe možete da proverite proxy vezu iz interfejsa i rešite sve potencijalne probleme.
Pre nego što počnete
Pogledajte proxy podršku za pregled podržanih opcija proxy servera.
| 1 | Unesite podešavanje HDS URL |
| 2 | Idite u Prodavnicu pouzdanosti i proxy server, a zatim odaberite neku opciju:
Sledite sledeće korake za prozirni proxy server za inspekciju, HTTP eksplicitni proxy sa osnovnom potvrdom identiteta ili HTTPS eksplicitni proxy server. |
| 3 | Kliknite na otpremi vrhovni sertifikat ili sertifikat krajnjih entiteta, a zatim se krećite do biranja korenski sertifikat za proxy servera. Sertifikat je otpremljen, ali još uvek nije instaliran jer morate ponovo pokrenuti čvor da biste instalirali sertifikat. Kliknite na strelicu ševron po imenu izdaoca sertifikata da biste dobili više detalja ili kliknite na "Izbriši" ako ste napravili grešku i želite ponovo da otpremite datoteku. |
| 4 | Kliknite na dugme "Proveri vezu proxy servera" da biste povezivanje na mrežu između čvora i proxy servera. Ako test veze ne uspe, videćete poruka o grešci koja prikazuje razlog i način na koji možete ispraviti problem. Ako vidite poruku u koju se kaže da spoljna DNS rezolucija nije bila uspešna, čvor nije mogao da doseže DNS server. Ovo stanje se očekuje u mnogim eksplicitnih konfiguracija proxy servera. Možete da nastavite sa podešavanjem, a čvor će funkcionisati u režimu blokirane spoljne DNS rezolucije. Ako mislite da je u pitanju greška, dovršite ove korake, a zatim pogledajte članak Isključivanje blokiranog spoljnog DNS rezolucije. |
| 5 | Nakon što probni test veze prođe, za eksplicitni proksi postavljen samo na https, uključite preklopno dugme da biste usmerili sve portove 443/444 https zahteva ovog čvora preko eksplicitnog proxy servera. Ovo podešavanje zahteva 15 sekundi da stupi na snagu. |
| 6 | Kliknite na "Instaliraj sve sertifikate u prodavnicu pouzdanosti" (pojavljuje se za HTTPS eksplicitni proxy server ili prozirni proxy za inspekciju) ili ponovo pokreni (pojavljuje se za HTTP explicit proxy), pročitajte upit, a zatim kliknite na "Instaliraj" ako ste spremni. Čvor se ponovo pokrenuti u roku od nekoliko minuta. |
| 7 | Kada se čvor ponovo pokrene, prijaviti se ponovo po potrebi, a zatim otvorite stranicu Pregled da biste proverili provere mogućnosti povezivanja kako biste se uverili da su svi u zelenom statusu. Proverom proksi veze testira se samo poddomen webex.com. Ako postoje problemi sa mogućnostima povezivanja, uobičajeni problem je što se neki od domena u oblaku navedeni u uputstvima za instaliranje blokiraju na proxy serveru. |
Registrujte prvi čvor u klasteru
Kada registrujete svoj prvi čvor, kreirate klaster kojem je dodeljen čvor. Klaster sadrži jedan ili više čvorova primenjenih da bi se obezbedila redundantnost.
Pre nego što počnete
Kada započnete registraciju čvora, morate ga završiti u roku od 60 minuta ili morate da počnete iz početka.
Uverite se da su svi blokatori iskačućih prozora u pregledaču onemogućeni ili da dozvoljavate izuzetke od admin.webex.com.
| 1 | Prijavite se u https://admin.webex.com. |
| 2 | U meniju sa leve strane ekrana izaberite "Usluge ". |
| 3 | U odeljku Hibridne usluge pronađite hibridnu bezbednost podataka i kliknite na " Podesi". Pojaviće se stranica "Registruj čvor za hibridnu bezbednost podataka".
|
| 4 | Izaberite " Da" da biste naznačili podesiti čvor i spremni ste da ga registrujete, a zatim kliknite na "Dalje ". |
| 5 | U prvo polje unesite ime klastera kom želite da dodelite svoj čvor za hibridnu bezbednost podataka. Preporučujemo da klaster imenujete na osnovu toga gde se geografski nalaze čvorovi klastera. Primeri: "San Francisko" ili "Njujork" ili "Dalas" |
| 6 | U drugo polje unesite internu IP adresa ili potpuno kvalifikovani naziv domena (FQDN) čvora i kliknite na "Dalje ". Ovaj IP adresa ili FQDN treba da se podudara sa IP adresa imenom hosta i domenom koji ste koristili u opciji Podešavanje hibridne bezbednosti VM. Pojaviće se poruka koja ukazuje na to da možete da registrujete svoj čvor u aplikaciji Webex.
|
| 7 | Kliknite na "Idi u čvor". |
| 8 | Kliknite na " Nastavi" u poruka upozorenja. Nakon nekoliko trenutaka, preusmereni ste na testove mogućnosti povezivanja sa čvorom za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica "Dozvoli pristup čvoru hibridne bezbednosti podataka". Tamo potvrđ možete da potvrdite da želite da date dozvole vašoj Webex organizaciji za pristup vašem čvoru.
|
| 9 | Izaberite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na "Nastavi ". Vaš nalog je potvrđen, a poruka "Registracija završena" ukazuje na to da je vaš čvor sada registrovan na Webex oblaku.
|
| 10 | Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka na portalu Control Hub. Na stranici za hibridnu bezbednost podataka prikazuje se novi klaster koji sadrži čvor koji ste registrovali. Čvor će automatski preuzeti najnoviji softver iz oblaka.
|
Kreirajte i registrujte više čvorova
| U ovom trenutku rezervni VM-oporavljanje nakon katastrofe koje ste kreirali u opciji "Ispuni preduslove za hibridnu bezbednost podataka" su organizatori u pripravnosti koji se koriste samo u oporavljanje nakon katastrofe; nisu registrovani u sistemu do tada. Više detalja potražite u članku " Oporavak od katastrofe" pomoću centra podataka u režimu pripravnosti. |
Pre nego što počnete
Kada započnete registraciju čvora, morate ga završiti u roku od 60 minuta ili morate da počnete iz početka.
Uverite se da su svi blokatori iskačućih prozora u pregledaču onemogućeni ili da dozvoljavate izuzetke od admin.webex.com.
| 1 | Kreirajte novu virtuelna mašina iz OVA, ponavljajući korake u vašoj instalaciji HDS Host OVA. |
| 2 | Podesite početnu konfiguraciju na novom uređaju VM ponavljajući korake u odeljku Podešavanje hibridne bezbednosti VM. |
| 3 | Na novoj stranici VM ponovite korake u opciji Otpremanje i montiranje HDS ISO. |
| 4 | Ako podešate proxy server za primenu, ponovite korake u podešavanju HDS čvora za proxy integraciju po potrebi za novi čvor. |
| 5 | Registrujte čvor. Vaš čvor je registrovan. Imajte na umu da dok ne započnete probnu verziju, vaši čvorovi generišu alarm koji ukazuje na to da usluga još uvek nije aktivirana.
|
Šta je sledeće
Probna verzija do toka zadatka proizvodnje
Nakon što podesiti klaster hibridne bezbednosti podataka, možete da pokrenete pilot, dodate korisnike u njega i počnete da ga koristite za testiranje i potvrdu primene u okviru pripreme za prelaženje na proizvodnju.
Pre nego što počnete
| 1 | Ako je primenljivo, sinhronizujte Ako vaša organizacija koristi sinhronizaciju direktorijuma za korisnike, morate da izaberete |
| 2 |
Pokrenite probnu verziju. Dok ne izvršite ovaj zadatak, čvorovi generišu alarm koji ukazuje na to da usluga još nije aktivirana. |
| 3 | Testirajte primenu hibridne bezbednosti podataka Proverite da li zahtevi za ključ ustupa vašem primeni hibridne bezbednosti podataka. |
| 4 | Nadgledanje ispravne hibridne bezbednosti podataka Proverite status i podesiti obaveštenja putem e-pošte za alarme. |
| 5 | |
| 6 | Završite probnu fazu sa jednom od sledećih radnji: |
Aktiviraj probnu verziju
Pre nego što počnete
Ako vaša organizacija koristi sinhronizaciju direktorijuma za korisnike, morate da izaberete HdsTrialGroup grupni objekat za sinhronizaciju sa oblakom pre nego što pokrenete probnu verziju za svoju organizaciju. Uputstva potražite u uputstvo za primenu za Cisco sinhronizator direktorijuma.
| 1 | Prijavite se u , https://admin.webex.coma zatim izaberite "Usluge". |
| 2 | U okviru hibridne bezbednosti podataka kliknite na "Podešavanja". |
| 3 | U odeljku Status usluge kliknite na "Pokreni probnu verziju". Status usluge se menja u probni režim.
|
| 4 | Kliknite na "Dodaj korisnike " i unesite e-adresa jednog ili više korisnika da biste upravljali pilotiranjem pomoću čvorova za hibridnu bezbednost podataka za usluge šifrovanja i indeksacije. (Ako vaša organizacija koristi sinhronizaciju direktorijuma, koristite Active Directory upravljajte probnom grupom, |
Testirajte primenu hibridne bezbednosti podataka
Pre nego što počnete
Podesite primenu hibridne bezbednosti podataka.
Aktivirajte probnu verziju i dodajte nekoliko probnih korisnika.
Uverite se da imate pristup sistemu syslog da biste proverili da li se ključni zahtevi prenose na vaše primene hibridne bezbednosti podataka.
| 1 | Tastere za dati prostor postavlja kreator prostora. Prijavite se u aplikaciju Webex kao jedan od pilot korisnika, a zatim kreirajte prostor i pozovite najmanje jednog korisnika pilota i jednog korisnika koji nije pilot.
| ||
| 2 | Pošaljite poruke u novi prostor. | ||
| 3 | Proverite izlaz Syslog-a da biste proverili da li se zahtevi za ključ prenose na vaše primene hibridne bezbednosti podataka. |
Nadgledanje ispravne hibridne bezbednosti podataka
| 1 | U kontrolnom čvorištu izaberite stavku Usluge iz menija sa leve strane ekrana. |
| 2 | U odeljku Hibridne usluge pronađite hibridnu bezbednost podataka i kliknite na "Podešavanja". Pojaviće se stranica "Podešavanja hibridne bezbednosti podataka".
|
| 3 | U odeljku Obaveštenja e-poštom unesite jednu ili više e-adresa odvojenih zarezima i pritisnite Enter. |
Dodavanje ili uklanjanje korisnika iz probne verzije
Ako uklonite korisnika iz probne verzije, klijent korisnika će zatražiti ključeve i kreiranje ključa iz oblaka KMS-a umesto kmS-a. Ako je klijentu potreban ključ koji se čuva u vašem KMS-u, KMS u oblaku će ga preuzeti u ime korisnika.
Ako vaša organizacija koristi sinhronizaciju direktorijuma, koristite Active Directory (umesto ove procedure) za upravljanje probnom grupom, HdsTrialGroup; možete da prikažete članove grupe na portalu Control Hub, ali ih ne možete dodati ili ukloniti.
| 1 | Prijavite se u Control Hub, a zatim izaberite Usluge. |
| 2 | U okviru hibridne bezbednosti podataka kliknite na "Podešavanja". |
| 3 | U odeljku Probni režim oblasti statusa usluge kliknite na "Dodaj korisnike" ili kliknite na "Prikaži i uredi" da biste uklonili korisnike iz probne verzije. |
| 4 | Unesite e-adresa jednog ili više korisnika koje želite da dodate ili kliknite na X na korisnički ID da uklonite korisnika iz probne verzije. Zatim kliknite na dugme Sačuvaj. |
Premesti sa probne verzije na proizvodnju
| 1 | Prijavite se u Control Hub, a zatim izaberite Usluge. |
| 2 | U okviru hibridne bezbednosti podataka kliknite na "Podešavanja". |
| 3 | U odeljku "Status usluge" kliknite na "Premesti u proizvodnju". |
| 4 | Potvrdite da želite da premestite sve korisnike na proizvodnju. |
Završite probnu verziju bez premeštanja na proizvodnju
| 1 | Prijavite se u Control Hub, a zatim izaberite Usluge. |
| 2 | U okviru hibridne bezbednosti podataka kliknite na "Podešavanja". |
| 3 | U odeljku "Deaktiviraj" kliknite na " Deaktiviraj". |
| 4 | Potvrdite da želite da deaktivirate uslugu i završite probnu verziju. |
Upravljaj HDS primenom
Koristite zadatke opisane ovde da biste upravljali primenom hibridne bezbednosti podataka.
Podesi raspored nadogradnje klastera
Da biste podesili raspored nadogradnje:
| 1 | Prijavite se na Control Hub. |
| 2 | Na stranici "Pregled", u okviru hibridnih usluga izaberite hibridnu bezbednost podataka. |
| 3 | Na stranici Resursi za hibridnu bezbednost podataka izaberite klaster. |
| 4 | Na tabli "Pregled" sa desne strane, u okviru "Podešavanja klastera" izaberite ime klastera. |
| 5 | Na stranici "Podešavanja", u okviru "Nadogradnja", izaberite vremenska zona izaberite vreme i vreme nadogradnje za raspored nadogradnje. Napomena: U okviru vremenska zona, prikazuje se sledeća dostupna datum i vreme nadogradnje. Nadogradnju možete da odložite za sledeći dan, ako je potrebno, klikom na "Odloži ". |
Promena konfiguracije čvora
Promena sertifikata x.509 zbog isteka ili iz drugih razloga.
Ne podržavamo promenu CN naziv domena certifikata. Domen mora da se podudara sa originalnim domenom koji se koristi za registraciju klastera.
Ažuriranje podešavanja baze podataka za promenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.
Ne podržavamo migraciju podataka iz PostgreSQL na drugi Microsoft SQL Server ili na suprotni način. Da biste zamenili okruženje baze podataka, pokrenite novo raspoređivanje hibridne bezbednosti podataka.
Kreiranje nove konfiguracije za pripremanje novog centar za podatke.
Takođe, iz bezbednosnih razloga, hibridna bezbednost podataka koristi lozinke nalog za usluge koje imaju devetomesečni vek trajanja. Nakon što alatka za podešavanje HDS-a generiše ove lozinke, primenite ih na svaki od HDS čvorova u ISO datoteci konfiguracije. Kada lozinke vaše organizacije uskoro isteku, dobićete obaveštenje Webex iz tima da resetujete lozinku za vaš mašinski nalog. (E-poruka uključuje tekst, "Koristite API mašinskog naloga da ažurirate lozinku.") Ako vaše lozinke još nisu istekle, alatka vam daje dve opcije:
Softverno resetovanje – stare i nove lozinke rade do 10 dana. Koristite ovaj period da biste postepeno zamenili ISO datoteku na čvorovima.
Teško resetovanje – stare lozinke odmah prestaje da rade.
Ako vaše lozinke ističu bez resetovanja, to utiče na HDS uslugu, zahtevajući neposredno čvrsto resetovanje i zamenu ISO datoteke na svim čvorovima.
Koristite ovu proceduru da biste generisali novu ISO datoteku za konfiguraciju i primenili je na svoj klaster.
Pre nego što počnete
Alatka za podešavanje HDS-a radi kao docker kontejner na lokalnom računaru. Da biste mu pristupili, pokrenite "Docker" na tom računaru. Proces podešavanja zahteva akreditive za Control Hub nalog sa punim administratorskih prava za vašu organizaciju.
Ako alatka za podešavanje HDS radi iza proxy servera u vašem okruženju, obezbedite postavke proxy servera (server, port, akreditivi) kroz Promenljive Docker okruženja kada uvodite docker kontejner u 1,e. Ova tabela daje neke moguće promenljive okruženja:
Opis
Promenljiva
HTTP Proxy bez potvrde identiteta
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS proxy bez potvrde identiteta
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy sa potvrdom identiteta
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy sa potvrdom identiteta
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTPotrebna vam je kopija trenutne ISO datoteke za konfiguraciju da biste generisli novu konfiguraciju. Ova ISO sadrži glavni ključ za šifrovanje PostgreSQL ili Microsoft SQL servera. Potreban vam je ISO kada menjate konfiguracije, uključujući akreditive baze podataka, ažuriranja sertifikata ili promene politike autorizacije.
| 1 | Ako koristite Docker na lokalnoj mašini, pokrenite alatku za podešavanje HDS-a.
| ||||||
| 2 | Ako imate samo jedan HDS čvor, kreirajte novi čvor za hibridnu bezbednost podataka VM i registrujte ga koristeći novu ISO datoteku za konfiguraciju. Detaljnije informacije potražite u članku Kreiranje i registracija još čvorova. | ||||||
| 3 | Za postojeće HDS čvorove koji rade sa starijim datoteka sa konfiguracijom, postavite ISO datoteku. Obavite sledeći postupak na svakom čvoru prilikom uključivanja, ažuriranja svakog čvora pre isključivanja sledećeg čvora: | ||||||
| 4 | Ponovite korak 3 da biste zamenili konfiguraciju na svakom preostalom čvoru koji radi sa starom konfiguracijom. |
Isključi blokirani režim spoljne DNS rezolucije
Kada registrujete čvor ili proverite konfiguraciju proxy servera čvora, proces testira DNS pronalaženja i mogućnosti povezivanja sa Cisco Webex oblakom. Ako funkcije čvora ne DNS server razreše javna imena DNS, čvor automatski prelazi u režim blokirane spoljne DNS rezolucije.
Ako vaši čvorovi mogu da reše javna imena DNS internim DNS serverima, možete da isključite ovaj režim ponovnim ponovnim testiranjem proksi veze na svakom čvoru.
Pre nego što počnete
| 1 | U veb-pregledaču otvorite interfejs čvora za hibridnu bezbednost podataka (IP adresa/podešavanje, na primer, https://192.0.2.0/setup), unesite akreditive administratora koje ste podesiti za čvor, a zatim kliknite na "Prijavi se". |
| 2 | Idite na pregled (podrazumevana stranica). Kada je omogućena, blokirana spoljna DNS rezolucija je podešena na "Da ". |
| 3 | Idite na stranicu Prodavnica pouzdanosti i proxy servera. |
| 4 | Kliknite na " Proveri vezu proxy servera". Ako vidite poruku u koju se kaže da spoljna DNS rezolucija nije bila uspešna, čvor nije mogao da doseže dolaznu DNS server i ostaće u ovom režimu. U suprotnom, nakon što ponovo pokrenete čvor i vratite se na stranicu "Pregled", blokirana spoljna DNS rezolucija treba da bude podešena na "ne". |
Šta je sledeće
Uklanjanje čvora
| 1 | Koristite VMware vSphere klijent na računaru da biste se prijavili u ESXi virtuelnog organizatora i isključili virtuelna mašina. |
| 2 | Uklonite čvor: |
| 3 | U vSphere klijentu izbrišite VM. (U levom oknu za navigaciju, desni klik na VM i kliknite Izbriši.) Ako ne izbrišete datoteku VM, ne zaboravite da ponovo uključite zvuk ISO datoteke. Bez datoteke ISO, ne možete da koristite datoteku VM pristupite bezbednosnim podacima. |
Oporavak od katastrofe pomoću centra podataka u pripravnosti
Najkritičnija usluga koju pruža vaš klaster za hibridnu bezbednost podataka je kreiranje i skladištenje ključeva koji se koriste za šifrovanje poruka i drugog sadržaja uskladištenog u Webex oblaku. Za svakog korisnika u organizaciji koji je dodeljen za hibridnu bezbednost podataka, novi zahtevi za kreiranje ključa se usmeravaju na klaster. Klaster je takođe odgovoran za vraćanje ključeva koje je kreirano svim korisnicima ovlašćenim da ih preuzmu, na primer, članovi prostora za razgovor.
Pošto klaster obavlja kritičnu funkciju obezbeđivanja ovih ključeva, važno je da klaster ostane pokrenut i da se održavaju odgovarajuća rezervna kopija. Gubitak baze podataka hibridne bezbednosti podataka ili konfiguracije ISO koja se koristi za šemu dovešće do NEPOPLAĆENOG GUBITKA sadržaja kupca. Sledeće prakse su obavezne da bi se sprečio takav gubitak:
Ako katastrofa dovede do toga da primena HDS-a u primarnoj centar za podatke postane nedostupna, sledite ovu proceduru da biste ručno prešli u režim centar za podatke.
| 1 | Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiranje ISO za HDS organizatore. | ||
| 2 | Nakon što konfigurišete Syslogd server, kliknite na opciju " Napredna podešavanja" | ||
| 3 | Na stranici " Napredna podešavanja " dodajte konfiguraciju ispod ili uklonite
| ||
| 4 | Dovršite proces konfiguracije i sačuvajte datoteku ISO na lokaciji koju je lako pronaći. | ||
| 5 | Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu. Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije. | ||
| 6 | U levom navigacionom panelu VMware vSphere klijenta možete desni klik na VM i kliknite na "Uredi podešavanja". | ||
| 7 | Kliknite na "Uredi >CD/DVD disk jedinicu 1 " i izaberite stavku Skladište ISO podataka.
| ||
| 8 | Uključite HDS čvor i uverite se da nema alarma najmanje 15 minuta. | ||
| 9 | Ponovite proces za svaki čvor u režimu centar za podatke.
|
Šta je sledeće
(Opcionalno) Isključi zvuk ISO nakon HDS konfiguracije
Standardna HDS konfiguracija radi sa ISO postavljenim. Međutim, neki kupci radije ne napuštaju ISO datoteke neprekidno montirane. Datoteku za ISO možete ponovo da uključite nakon što svi HDS čvorovi preuzmu novu konfiguraciju.
I dalje koristite datoteke ISO da biste uneli promene konfiguracije. Kada kreirate novu ISO ili ažurirate ISO putem alatke za podešavanje, morate da postavite ažurirane ISO na sve HDS čvorove. Kada svi čvorovi prihvate promene konfiguracije, možete ponovo da uključite zvuk ISO sa ovom procedurom.
Pre nego što počnete
Nadogradite sve HDS čvorove na verziju 2021.01.22.4720 ili noviju.
| 1 | Isključite jedan od HDS čvorova. |
| 2 | U vCenter uređaju servera izaberite HDS čvor. |
| 3 | Izaberite disk jedinici" i opozovite izbor stavke u ISO datoteci. |
| 4 | Uključite HDS čvor i uverite se da nema alarma najmanje 20 minuta. |
| 5 | Za svaki HDS čvor za redom ponovite. |
Prikaži upozorenja i rešavanje problema
Primena hibridne bezbednosti podataka smatra se nedostupnim ako su svi čvorovi u klasteru nedostupni ili klaster sporo radi da zahteva istek vremena. Ako korisnici ne mogu da stignu do vašeg klastera hibridne bezbednosti podataka, iskuse sledeće simptome:
Nije moguće kreirati nove prostore (nije moguće kreirati nove ključeve)
Dešifrovanje poruka i naslova prostora nije uspelo za:
Novi korisnici dodati u prostor (nije moguće preuzeti ključeve)
Postojeći korisnici u prostoru koji koriste novi klijent (nije moguće preuzeti ključeve)
Postojeći korisnici u prostoru će nastaviti da funkcionišu uspešno sve dok njihovi klijenti imaju keš ključeva za šifrovanje
Važno je da pravilno nadgledate svoj klaster hibridne bezbednosti podataka i da na odgovarajući način odgovorite na sva upozorenja kako biste izbegli prekid usluge.
Upozorenja
Ako postoji problem sa podešavanjem hibridne bezbednosti podataka, Control Hub prikazuje upozorenja administratoru organizacije i šalje e-poruke konfigurisanim e-adresa. Upozorenja pokrivaju mnogo uobičajenih scenarija.
Upozorenje | Radnja |
|---|---|
Neuspešan pristup lokalnoj bazi podataka. |
Proverite da li ima grešaka u bazi podataka ili problema sa lokalnom mrežom. |
Lokalni broj neuspešno povezivanje. |
Proverite da server baze podataka je dostupan i da nalog za usluge akreditivi korišćeni u konfiguraciji čvorova. |
Neuspešan pristup usluzi u oblaku. |
Proverite da li čvorovi mogu da pristupe Webex serverima kao što je navedeno u zahtevima za spoljno povezivanje. |
Obnavlja se registracija usluge u oblaku. |
Registracija za usluge u oblaku je odbačena. Obnova registracije je u toku. |
Registracija usluge u oblaku je odbačena. |
Registracija za usluge u oblaku je prekinuta. Usluga se iskljućuje. |
Usluga još uvek nije aktivirana. |
Aktivirajte probnu verziju ili završite sa premeštanjem probne verzije na proizvodnju. |
Konfigurisani domen se ne podudara sertifikat servera. |
Uverite se da sertifikat servera se podudara sa konfigurisanim domenom za aktivaciju usluge. Najverovatniji uzrok je to što je CN sertifikata nedavno promenjen i sada se razlikuje od CN-a koji je korišćen tokom početnog podešavanja. |
Potvrda identiteta za usluge u oblaku nije uspela. |
Proverite tačnost i mogući istek nalog za usluge akreditivi. |
Otvaranje datoteke lokalnog ključeva nije uspelo. |
Proverite da li postoji tačnost integriteta i lozinke u datoteci lokalnog ključeva. |
Lokalna sertifikat servera nevažeća. |
Proverite sertifikat servera na datum isteka i potvrdite da ga je izdao pouzdani Certificate Authority. |
Objavljivanje pokazatelja nije moguće. |
Proverite pristup lokalne mreže spoljnim uslugama oblaka. |
/media/configdrive/hds direktorijum ne postoji. |
Proverite konfiguraciju ISO na virtuelnog organizatora. Proverite da ISO datoteka postoji, da je podešena za montiranje na ponovno pokretanje i da li se uspešno montava. |
Rešavanje problema sa hibridnom zaštitom podataka
| 1 | Pregledajte Control Hub za sva upozorenja i ispravite sve stavke koje tamo pronađete. |
| 2 | Pregledajte izlaz Syslog servera za aktivnost iz primene hibridne bezbednosti podataka. |
| 3 | Obratite se Cisco podrška. |
Poznati problemi za hibridnu bezbednost podataka
Ako isključite klaster hibridne bezbednosti podataka (brisanjem na portalu Control Hub ili isključivanje svih čvorova), izgubite datoteku za ISO konfiguracije ili izgubite pristup bazi podataka ključeva, korisnici aplikacije Webex više neće moći da koriste prostore na listi "Osobe" koji su kreirani pomoću ključeva iz vašeg KMS-a. Ovo se odnosi i na probnu verziju i na proizvodne primene. Trenutno nemamo rešenje ili rešenje za ovaj problem i pozivamo vas da ne isključite HDS usluge nakon što rukuju aktivnim korisničkim nalozima.
Klijent koji ima postojeću ECDH vezu sa KMS-om održava tu vezu određeno vreme (verovatno jedan sat). Kada korisnik postane član probne verzije hibridne bezbednosti podataka, klijent korisnika nastavlja da koristi postojeću ECDH vezu sve dok istekne vreme. Osim toga, korisnik može da odjaviti se ponovo u aplikaciju Webex kako bi ažurirao lokaciju koju aplikacija kontaktira za ključeve za šifrovanje.
Isto ponašanje se dešava kada premestite probnu verziju na proizvodnju za organizaciju. Svi korisnici koji nisu probni sa postojećim ECDH vezama sa prethodnim bezbednosnim uslugama podataka nastaviće da koriste te usluge dok se ponovo ne pregovara o ECDH vezi (kroz vremensko ograničenje ili odjavljivanjem i ponovnom prijavama).
Koristite OpenSSL za generisanje PKCS12 datoteke
Pre nego što počnete
OpenSSL je jedna alatka koja se može koristiti za podešavanje PKCS12 datoteke u odgovarajućem formatu za učitavanje u alatki za podešavanje HDS-a. Postoje i drugi načini da se to uradi, a ne podržavamo i ne promovišemo ga na neki drugi način.
Ako odaberete da koristite OpenSSL, pružamo ovu proceduru kao smernicu da vam pomognemo da kreirate datoteku koja ispunjava zahteve sertifikata X.509 u zahtevima za sertifikate X.509. Razumejte te zahteve pre nego što nastavite.
Instalirajte OpenSSL u podržanom okruženju. Pogledajte https://www.openssl.org softver i dokumentaciju.
Kreirajte privatni ključ.
Pokrenite ovu proceduru kada dobijete sertifikat servera od svog Certificate Authority (CA).
| 1 | Kada primite sertifikat servera iz CA, sačuvajte ga kao |
| 2 | Prikažite sertifikat kao tekst i potvrdite detalje.
|
| 3 | Koristite uređivač teksta da biste kreirali datoteku sa paketom sertifikata koja se zove
|
| 4 | Kreiraj .p12 datoteku sa prijateljskim imenom
|
| 5 | Proverite detalje sertifikat servera. |
Šta je sledeće
Vratite se da biste ispunili preduslove za hibridnu bezbednost podataka. Koristićete hdsnode.p12 lozinku koju ste postavili , u odeljku Kreiranje konfiguracije ISO za HDS organizatore.
| Ove datoteke možete ponovo da koristite da biste zatražili novi sertifikat kada originalni sertifikat istekne. |
Saobraćaj između HDS čvorova i oblaka
Saobraćaj za prikupljanje odlaznih pokazatelja
Čvorovi za hibridnu bezbednost podataka šalju određene pokazatelje Webex oblaku. U njih spadaju sistemski pokazatelji za maksimum grupe, upotrebu grupe, CPU učitavanje i broj konverzacije; pokazatelji za sinhrone i asinhrone konverzacije; metrika za upozorenja koja uključuju prag veza za šifrovanje, kašnjenje ili dužinu reda za čekanje zahteva; pokazatelji u skladištu podataka; metrika za šifrovanje veze. Čvorovi šalju materijal za šifrovani ključ preko kanala van opsega (odvojeno od zahteva).
Dolazni saobraćaj
Čvorovi za hibridnu bezbednost podataka dobijaju sledeće tipove dolaznog saobraćaja iz Webex oblaka:
Zahtevi za šifrovanje od klijenata, koje usmerava usluga šifrovanja
Nadograđuje se na softver čvora
Konfigurisanje lignja proxy servera za hibridnu bezbednost podataka
Websocket ne može da se poveže preko proxy servera lignje
Proxy proxy serveri koji pregledaju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a ( wss:) veza koje zahteva hibridna bezbednost podataka. Ovi odeljci daju uputstva kako da konfigurišete različite verzije Lignje za zanemarivanje wss: saobraćaj za pravilan rad usluga.
Lignje 4 i 5
Dodajte datoteku on_unsupported_protocol direktivu za squid.conf:
on_unsupported_protocol tunnel allLignje 3,5.27
Uspešno smo testirali hibridnu bezbednost podataka sa sledećim pravilima dodatim u squid.conf. Ova pravila podležu promeni dok razvijamo funkcije i ažuriramo Webex oblak.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allNove i promenjene informacije
Datum | Napravljene promene | ||
|---|---|---|---|
20. oktobar 2023. |
| ||
Avgust 07, 2023. |
| ||
23. maj 2023. |
| ||
06. decembar 2022. |
| ||
23. novembar 2022. |
| ||
13.11.2021. | Docker Desktop mora da pokrene program za podešavanje da biste mogli da instalirate HDS čvorove. Pogledajte zahteve za docker radnu površinu. | ||
24.04.2021. | Imajte u vidu to da možete ponovo da koristite datoteku privatnog ključa i da CSR zatražite drugi sertifikat. Detaljnije informacije potražite u članku Upotreba openSSL za generisanje PKCS12 datoteke . | ||
| 30. april 2021. | Promenjen je VM za prostor na lokalnom čvrstom disku na 30 GB. Detaljnije informacije potražite u zahtevima virtuelnog organizatora. | ||
24. februar, 2021. | Alatka za podešavanje HDS-a sada može da radi iza proxy servera. Detalje potražite u članku Kreiranje ISO za HDS organizatore . | ||
2. februar, 2021. | HDS sada može da radi bez postavljene ISO datoteke. Detaljnije informacije potražite u članku (opcionalno) uklanjanje ISO nakon HDS konfiguracije . | ||
11. januar 2021. | Dodate su informacije o alatki za podešavanje HDS-a i proxy serverima za kreiranje ISO za HDS organizatore. | ||
13.11.2020. | Ažurirano preuzimanje instalacionih datoteka. | ||
8. oktobar 2020. | Ažurirano kreiranje konfiguracije za ISO za HDS organizatore i promenu konfiguracije čvora pomoću komandi za FedRAMP okruženja. | ||
14.04.2020. | Ažurirano je kreiranje konfiguracije ISO za HDS organizatore i promenu konfiguracije čvora promenama u procesu prijavljivanja. | ||
5. avgust, 2020. | Ažurirano testirajte primenu hibridne bezbednosti podataka za promene u porukama evidencije. Ažurirani su zahtevi virtuelnog organizatora kako bi se maksimalni broj uklonili organizatori. | ||
16. jun, 2020. | Ažurirano je uklanjanje čvora za promene u korisničkom interfejsu platforme Control Hub. | ||
4. jun, 2020. | Ažurirano je kreiranje konfiguracije ISO za HDS organizatore za promene u naprednih podešavanja koje možete podesiti. | ||
29. maj, 2020. | Ažurirano kreiranje konfiguracije ISO za HDS organizatore koji će pokazati da takođe možete da koristite TLS sa SQL bazama podataka servera, promenama korisničkog interfejsa i drugim pojašnjenja. | ||
5. maj, 2020. | Ažurirani su zahtevi virtuelnog organizatora kako bi se prikazao novi zahtev za ESXi 6.5. | ||
21. april 2020. | Ažurirani su zahtevi za spoljne mogućnosti povezivanja sa hostovima kompanije New Americas CI. | ||
1. aprila 2020. | Ažurirani su zahtevi za spoljnu povezanost sa informacijama o regionalnim CI organizatorima. | ||
| 20. februar, 2020. | Ažurirano kreiranje konfiguracije ISO za HDS organizatore informacijama o novom opcionalnom ekranu za napredna podešavanja u alatki za podešavanje HDS-a. | ||
| 4. februar 2020. | Ažurirani zahtevi proxy servera. | ||
| 16. decembar 2019. | Pojašnjeno je zahtev da režim DNS spoljne rezolucije radi u zahtevima proxy servera. | ||
| 19.11.2019. | Dodate informacije o blokiranim spoljnim DNS u sledećim odeljcima: | ||
8.11.2019. | Sada možete da konfigurišete podešavanja mreže za čvor dok primenjujete OVA, a ne kasnije. Ažurirani su sledeći odeljci na odgovarajući način:
| ||
6. septembar 2019. | Dodat je SQL server standarda u zahteve servera baze podataka. | ||
| 29. avgusta 2019. | Dodato je konfigurisanje lignja proxy servera za dodatak za hibridnu bezbednost podataka sa uputstvima za konfigurisanje proxy servera za lignje kako bi se zanemario websocket saobraćaj radi pravilnog rada. | ||
| 20. avgust, 2019. | Dodati su i ažurirani odeljci za pokrivanje proxy podrške za komunikacije čvora hibridne bezbednosti podataka sa Webex oblakom. Da biste pristupili samo sadržaju podrške za proxy za postojeću primenu, pogledajte članak pomoći proxy podrške za hibridnu bezbednost podataka i članak pomoći Webex Video Mesh . | ||
| 13. jun 2019. | Probna verzija je ažurirana na tok zadatka proizvodnje sa podsetnikom za sinhronizaciju HdsTrialGroup grupni objekat pre pokretanja probne verzije ako vaša organizacija koristi sinhronizaciju direktorijuma. | ||
| 6. mart 2019. |
| ||
| 28. februara 2019. |
| ||
| 26. februar 2019. |
| ||
24. januar, 2019. |
| ||
| 5. novembar 2018. |
| ||
| 19. oktobar 2018. |
| ||
Jul 31, 2018 |
| ||
| 21. maj 2018. | Promenjena terminologija da odražava rebrendiranje Cisco Sparka:
| ||
| 11. april 2018. |
| ||
| 22. februar, 2018. |
| ||
| 15. februara 2018. |
| ||
| 18. januara 2018. |
| ||
2. novembar 2017. |
| ||
Avgust 18, 2017 | Prvo objavljeno |
Pregled hibridne bezbednosti podataka
Od 1. dana bezbednost podataka je primarni fokus u dizajnu aplikacije Webex. Kamen temeljac ove bezbednosti je potpuno šifrovanje sadržaja, koje omogućavaju klijenti Webex aplikacije koji obavljaju interakciju sa uslugom upravljanja ključevima (KMS). KMS je odgovoran za kreiranje i upravljanje kriptografskim ključevima koje klijenti koriste za dinamički šifrovanje i dešifrovanje poruka i datoteka.
Podrazumevano, svi kupci aplikacije Webex dobijaju potpuno šifrovanje pomoću dinamičkih ključeva uskladištenih u KMS-u u oblaku, u Cisco bezbednosnom području. Hibridna bezbednost podataka premešta KMS i druge funkcije povezane sa bezbednošću u vaš podaci preduzeća centar, tako da niko osim vas ne zadržava ključeve svog šifrovanog sadržaja.
Arhitektura bezbednosnog područja
Arhitektura Webex oblaka odvaja različite tipove usluge u zasebna područja ili pouzdane domene, kao što je opisano ispod.
Da biste dodatno razumeli hibridnu bezbednost podataka, hajde da pogledamo ovaj čisti slučaj u oblaku gde Cisco obezbeđuje sve funkcije u svom području oblaka. Usluga identiteta, jedino mesto gde korisnici mogu direktno da se povežu sa ličnim podacima kao što su e-adresa, logično i fizičko se odvaja od bezbednosnog područja u centar za podatke B. Oba se zamenjuju odvojeno od područja gde se šifrovani sadržaj konačno skladišti u centar za podatke C.
Na ovom dijagramu, klijent je aplikacija Webex pokrenuta na laptop računaru korisnika i potvrdio identitet pomoću usluge identiteta. Kada korisnik sastavi poruku za slanje u prostor, izvršite sledeće korake:
Klijent uspostavlja funkciju bezbedna veza uslugom upravljanja ključevima (KMS), a zatim traži ključ za šifrovanje poruke. Ova bezbedna veza koristi ECDH, a KMS šifruje ključ pomoću AES-256 glavni ključ.
Poruka je šifrovana pre nego što napusti klijent. Klijent je šalje usluzi indeksa, koja kreira šifrovane indekse pretrage kako bi pomogla u budućim pretraživanjima sadržaja.
Šifrovana poruka se šalje usluzi usklađenosti radi provere usklađenosti.
Šifrovana poruka se čuva u području skladišta.
Kada primenite hibridnu bezbednost podataka, premestite funkcije bezbednosnog područja (KMS, indeksiranje i usaglašenost) na u objektu centar za podatke. Ostale usluge u oblaku koje sačinju Webex (uključujući identitet i skladištenje sadržaja) ostaju u Područjima kompanije Cisco.
Saradnja sa drugim organizacijama
Korisnici u vašoj organizaciji mogu redovno da koriste aplikaciju Webex za saradnju sa spoljnim učesnicima u drugim organizacijama. Kada jedan od korisnika zatraži ključ za prostor u vlasništvu vaše organizacije (jer ga je kreirao jedan od korisnika) VAŠ KMS šalje ključ klijentu preko ECDH bezbednog kanala. Međutim, kada druga organizacija poseduje ključ za prostor, vaš KMS usmerava zahtev do Webex oblaka putem zasebnog ECDH kanala da bi dobili ključ iz odgovarajućih KMS-a, a zatim vraća ključ korisniku na originalnom kanalu.
KMS usluga pokrenuta u okviru Org A proverava veze sa KMS-ovima u drugim organizacijama koristeći PKI sertifikate x.509. Pogledajte odeljak Pripremite svoje okruženje za detalje o generisanju sertifikata x.509 koji će se koristiti sa primenom hibridne bezbednosti podataka.
Očekivanja za primenu hibridne bezbednosti podataka
Primena hibridne bezbednosti podataka zahteva značajnu posvećenost kupaca i svesnost o rizicima koji dolaze sa sopstvenim ključevima za šifrovanje.
Da biste primenili hibridnu bezbednost podataka, morate da navedite:
Bezbedna centar za podatke u zemlji koja je podržana lokacija za Cisco Webex Teams planove.
Pristup opremi, softveru i mreži opisan u pripremi okruženja.
Dovršen gubitak konfiguracije ISO koju ste izgradili za hibridnu bezbednost podataka ili bazu podataka koju naveli dovešću do gubitka ključeva. Gubitak ključa sprečava korisnike da dešifruje sadržaj prostora i druge šifrovane podatke u aplikaciji Webex. Ako se to desi, možete da napravite novu primenu, ali će samo novi sadržaj biti vidljiv. Da biste izbegli gubitak pristupa podacima, morate:
Upravljajte rezervnim kopijama i oporavkom baze podataka i konfiguracijama ISO.
Budite spremni da izvršite brze oporavljanje nakon katastrofe ako dođe do katastrofe, kao što je neuspeh diska baze podataka ili centar za podatke katastrofa.
| Ne postoji mehanizam za premeštanje ključeva u oblak nakon HDS primene. |
Proces podešavanja visokog nivoa
Ovaj dokument pokriva podešavanje i upravljanje primenom hibridne bezbednosti podataka:
Podešavanje hibridne bezbednosti podataka – To uključuje pripremu potrebne infrastrukture i instaliranje softvera hibridne bezbednosti podataka, testiranje primene sa podskupom korisnika u probnom režimu i, kada se testiranje završi, prelazi na proizvodnju. Ovim putem će cela organizacija da koristi vaš klaster za hibridnu bezbednost podataka za bezbednosne funkcije.
Faze podešavanja, probne verzije i produkcijske faze su detaljno pokrivene u naredna tri poglavlja.
Održavajte primenu hibridne bezbednosti podataka – Webex oblak automatski obezbeđuje tekuće nadogradnje. Vaše IT odeljenje može da pruži jednu podršku za ovu primenu i da se angažuje Cisco podrška po potrebi. Obaveštenja na ekranu možete da koristite i podesiti upozorenja zasnovana na e-poruci na platformi Control Hub.
Razumevanje uobičajenih upozorenja, koraka rešavanja problema i poznatih problema – Ako naiđete na problem prilikom primene ili korišćenja hibridne bezbednosti podataka, poslednje poglavlje ovog vodiča i aplikacije Poznati problemi mogu vam pomoći da odredite i rešite problem.
Model primene hibridne bezbednosti podataka
U okviru podaci preduzeća centra primenjujete hibridnu bezbednost podataka kao jedan klaster čvorova na zasebnim virtuelnim organizatorima. Čvorovi komuniciraju sa Webex oblakom putem bezbednih veb-priključaka i bezbednog HTTP-a.
Tokom procesa instalacije obezbeđujemo vam OVA datoteku za podesiti virtuelni uređaj na VM-ovima koje pružate. Alatku za podešavanje HDS-a koristite da biste kreirali prilagođenu konfiguraciju klastera ISO koju montirate na svaki čvor. Klaster hibridne bezbednosti podataka koristi obezbeđeni Syslogd server i PostgreSQL ili Microsoft SQL server bazu podataka. (Detalje o Syslogd-u i vezi sa bazom podataka konfigurišete u alatki za podešavanje HDS-a.)
Minimalni broj čvorova koje možete da imate u klasteru je dva. Preporučujemo da ih ima najmanje tri, a možete da ih imate do pet. Ako imate više čvorova, osigurava se da se usluga ne prekida tokom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor u isto vreme.)
Svi čvorovi u klasteru pristupaju istom skladištu podataka ključa i aktivnost evidencije istom serveru syslog. Sami čvorovi su bez države i obrađuju zahteve u okruglo-robin stilu, kao što je režirao oblak.
Čvorovi postaju aktivni kada ih registrujete na portalu Control Hub. Da biste pojedinačni čvor odjavili iz funkcije, možete ga odjaviti i kasnije ponovo registracijiti po potrebi.
Podržavamo samo jedan klaster po organizaciji.
Probni režim hibridne bezbednosti podataka
Nakon podešavanja primene hibridne bezbednosti podataka, prvo pokušajte sa skupom pilot korisnika. Tokom probnog perioda ovi korisnici koriste u objektu domen hibridne bezbednosti podataka za ključeve za šifrovanje i druge usluge bezbednosnog područja. Ostali korisnici i dalje koriste područje bezbednosti oblaka.
Ako odlučite da ne nastavite sa primenom tokom probne verzije i deaktivirate uslugu, pilot korisnici i svi korisnici sa kojima su ostvarili interakciju kreiranjem novih prostora tokom probnog perioda izgubiće pristup porukama i sadržaju. Oni će videti "Ova poruka se ne može dešifrovanje" u aplikaciji Webex.
Ako ste zadovoljni da primena funkcioniše dobro za probne korisnike i spremni ste da proširite hibridnu bezbednost podataka na sve svoje korisnike, prebacite primenu na proizvodnju. Pilot korisnici i dalje imaju pristup ključevima koji su se koristili tokom probne verzije. Međutim, ne možete se uvek pomerati između proizvodnog režima i originalne probne verzije. Ako morate da deaktivirate uslugu, na primer da biste izvršili oporavljanje nakon katastrofe, kada ponovo aktivirate morate da pokrenete novu probnu verziju i da podesiti skup pilot korisnika za novu probnu verziju pre nego što se vratite u proizvodni režim. Bez obzira na to da li korisnici zadržavaju pristup podacima u ovom trenutku, zavisi od toga da li ste uspešno održali rezervne kopije ključa skladištenje podataka i ISO datoteka sa konfiguracijom za čvorove za hibridnu bezbednost podataka u klasteru.
Centar podataka u pripravnosti za oporavak od katastrofe
Tokom primene, možete podesiti u bezbednom centar za podatke. U slučaju centar za podatke katastrofe, možete ručno da ne uspete da izvršite raspoređivanje u režimu centar za podatke.
Baze podataka aktivnih i u stanju pripravnosti centara podataka su u sinhronizaciji jedan sa drugim, što će umanjiti vreme potrebno za izvršavanje neuspeha. Datoteka ISO u režimu centar za podatke ažurira se dodatnim konfiguracijama koje obezbeđuju da čvorovi budu registrovani u organizaciji, ali neće upravljati saobraćajem. Zbog toga čvorovi u režimu centar za podatke uvek ostanu ažurirani sa najnovijom verzijom HDS softvera.
| Aktivni čvorovi za hibridnu bezbednost podataka moraju uvek biti u centar za podatke kao i aktivni server baze podataka. |
Podešavanje centra podataka u pripravnosti za oporavak od katastrofe
Sledite dolenavedene korake da biste ISO datoteku u režimu centar za podatke:
Pre nego što počnete
Prostor u centar za podatke bi trebalo da preslika proizvodno okruženje VMs i rezervnu PostgreSQL ili Microsoft SQL server bazu podataka. Na primer, ako proizvodnja ima 3 VMS koji imaju HDS čvorove, rezervno okruženje bi trebalo da ima 3 VMS. (Pregled ovog modela neuspešnog pokretanja potražite u centru podataka u 3 VMS.)
Uverite se da je sinhronizacija baze podataka omogućena između baze podataka aktivnih i pasivnih čvorova klastera.
| 1 | Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiranje ISO za HDS organizatore.
| ||
| 2 | Nakon što konfigurišete Syslogd server, kliknite na opciju " Napredna podešavanja" | ||
| 3 | Na stranici "Napredna podešavanja " dodajte konfiguraciju u nastavku da biste postavili čvor u pasivan režim. U ovom režimu će čvor biti registrovan za organizaciju i povezan na oblak, ali neće upravljati nikakvim saobraćajem.
| ||
| 4 | Dovršite proces konfiguracije i sačuvajte datoteku ISO na lokaciji koju je lako pronaći. | ||
| 5 | Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu. Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije. | ||
| 6 | U levom navigacionom panelu VMware vSphere klijenta možete desni klik na VM i kliknite na "Uredi podešavanja". | ||
| 7 | Kliknite na "Uredi >CD/DVD disk jedinicu 1 " i izaberite stavku Skladište ISO podataka.
| ||
| 8 | Uključite HDS čvor i uverite se da nema alarma najmanje 15 minuta. | ||
| 9 | Ponovite proces za svaki čvor u režimu centar za podatke.
|
Šta je sledeće
Nakon konfigurisanja passiveMode u datoteci ISO i sačuvati je, možete da kreirate još jednu kopiju datoteke ISO datoteku bez passiveMode konfiguracija i čuvanje na bezbednoj lokaciji. Ova kopija datoteke ISO datoteke bez passiveMode konfigurisana funkcija može pomoći u brzom procesu preuzimanja tokom oporavljanje nakon katastrofe. Pogledajte " Oporavak od katastrofe" koristeći centar podataka u pripravnosti za detaljan postupak preuzimanja.
Proxy podrška
Hibridna bezbednost podataka podržava eksplicitnu, prozirnu inspekciju i proxy servere koji se ne pregledaju. Ove proxy servere možete da vežete za raspoređivanje kako biste mogli da bezbedno i nadgledate saobraćaj od preduzeća do oblaka. Možete da koristite interfejs administratora platforme na čvorovima za upravljanje sertifikatima i da proverite ukupni status povezanosti nakon što podesite proxy server na čvorovima.
Čvorovi za hibridnu bezbednost podataka podržavaju sledeće opcije proxy servera:
Nema proxy servera – podrazumevano ako ne koristite podešavanje HDS čvora Pouzdano skladište i proxy servera za integraciju proxy servera. Nije potrebno ažuriranje sertifikata.
Prozirni proxy server koji ne pregleda – čvorovi nisu konfigurisani da koriste određenu proksi server adresu i ne bi trebalo da zahtevaju nikakve promene za rad sa proxy serverom koji ne pregleda. Nije potrebno ažuriranje sertifikata.
Prozirno prolazno prolaze ili protok proxy servera – čvorovi nisu konfigurisani za korišćenje određene proksi server adrese. Na čvorovima nisu potrebne promene HTTP ili HTTPS konfiguracije. Međutim, čvorovima je potreban korenski sertifikat tako da imaju poverenja u proxy server. IT sistemi obično koriste inspekciju za primenu smernica preko kojih mogu da se posećuju veb-lokacije i koje vrste sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifrova sav vaš saobraćaj (čak i HTTPS).
Eksplicitni proxy server – sa eksplicitnim proxy serverom govorite HDS čvorovima koje proksi server i šemom potvrde identiteta da koriste. Da biste konfigurisali eksplicitni proxy server, morate uneti sledeće informacije u svaki čvor:
Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy računaru.
Proxy port – A broj priključka proxy servera koristi za slušanje proksi saobraćaja.
Proxy protokol – u zavisnosti od toga šta proksi server podržava, izaberite između sledećih protokola:
HTTP – Pregleda i kontroliše sve zahteve koje klijent šalje.
HTTPS – Obezbeđuje kanal za server. Klijent prima i proverava valjanost sertifikata servera.
vrsta autentifikacije – Izaberite jedan od sledećih tipova potvrde identiteta:
Nijedna – nije potrebna dodatna potvrda identiteta.
Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.
Osnovna – koristi se za HTTP korisničkog agenta za navedite korisničko ime i lozinku prilikom upućivanje zahteva. Koristi Base64 kodiranje.
Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.
Zahteva da unesete korisničko ime i lozinku u svaki čvor.
Digest – koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje funkciju hash-a na korisničko ime i lozinku pre slanja preko mreže.
Dostupno samo ako izaberete HTTPS kao proxy protokol.
Zahteva da unesete korisničko ime i lozinku u svaki čvor.
Primer čvorova za hibridnu bezbednost podataka i proxy servera
Ovaj dijagram prikazuje primer veze između hibridne bezbednosti podataka, mreže i proxy servera. Za prozirnu inspekciju i HTTPS eksplicitnu inspekciju opcija proxy korenski sertifikat se mora instalirati na proxy serveru i na čvorovima za hibridnu bezbednost podataka.
Blokirani spoljni DNS rezolucije (eksplicitne konfiguracije proxy servera)
Kada registrujete čvor ili proverite konfiguraciju proxy servera čvora, proces testira DNS pronalaženja i mogućnosti povezivanja sa Cisco Webex oblakom. U primenama sa eksplicitnim konfiguracijama proxy servera koje ne dozvoljavaju spoljnu DNS za interne klijente, ako čvor ne može da upitu na DNS servere, automatski prelazi u režim blokirane spoljne DNS rezolucije. U ovom režimu mogu da se nastave testovi registracije čvora i drugih testova mogućnosti povezivanja sa proxy serverom.
Zahtevi za hibridnu bezbednost podataka
Cisco Webex licence
Da biste primenili hibridnu bezbednost podataka:
Morate imati Pro Pack za Cisco Webex Control Hub. (Pogledajte https://www.cisco.com/go/pro-pack.)
Zahtevi za docker radnu površinu
Da biste instalirali HDS čvorove, treba vam Docker Desktop da biste pokrenuli program za podešavanje. Docker je nedavno ažurirao svoj model licenciranja. Vaša organizacija možda zahteva plaćenu pretplatu za Docker Desktop. Više detalja potražite u postu docker bloga, " Docker ažurira i proširi pretplate na naše proizvode".
X.509 zahtevi za sertifikat
Organizator lanac sertifikata ispuni sledeće uslove:
Uslov | Detalji |
|---|---|
| Podrazumevano verujemo CA-ovima na Mozilla listi (sa izuzetkom WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs. |
| CN ne mora da bude dostupan ili organizator uživo. Preporučujemo da koristite ime koje odražava vašu organizaciju, na primer, CN ne sme da sadrži * (džoker). CN se koristi za potvrdu čvorova hibridne bezbednosti podataka klijentima aplikacije Webex. Svi čvorovi za hibridnu bezbednost podataka u klasteru koriste isti sertifikat. Vaš KMS se identifikuje pomoću CN domena, a ne bilo kog domena definisanog u poljima x.509v3 SAN. Nakon što registrujte čvor sa ovim sertifikatu, ne podržavamo promenu CN naziv domena. Izaberite domen koji može da se primeni i na probnu verziju i na produkcijske primene. |
| KMS softver ne podržava SHA1 potpise za proveru valjanosti veza sa KMS-ovima drugih organizacija. |
| Za promenu formata certifikata možete da koristite konvertor kao što je OpenSSL. Moraćete da unesete lozinku kada pokrenete alatku za podešavanje HDS-a. |
KMS softver ne nameće ograničenja korišćenja ključa ili proširena ograničenja korišćenja ključa. Neki autoriteti za izdavanje sertifikata zahtevaju da se proširena ograničenja korišćenja ključa primenjuju na svaki sertifikat, kao što je potvrda identiteta servera. U redu je da koristite potvrdu identiteta servera ili druga podešavanja.
Zahtevi virtuelnog organizatora
Virtuelni domaćini koje ćete podesiti kao čvorove hibridne bezbednosti podataka u svom klasteru imaju sledeće zahteve:
Najmanje dva odvojena organizatora (3 preporučena) u istom bezbednom centar za podatke
VMware ESXi 6.5 (ili noviji) je instaliran i pokrenut.
Morate da nadogradite ako imate raniju verziju ESXi-a.
Najmanje 4 vCPU, 8 GB glavne memorije, 30 GB lokalnog čvrstog prostora po serveru
Zahtevi servera baze podataka
| Kreirajte novu bazu podataka za skladištenje ključeva. Nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada je instalirana, kreirajte šemu baze podataka. |
Postoje dve opcije za ovu server baze podataka. Zahtevi za svakog su sledeći:
PostgresqL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Najmanje 8 vCUs, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje kako bi se osiguralo da nije prekoračena (preporučuje se 2-TB ako želite da baza podataka dugo radi, a da ne morate da povećavate skladište) | Najmanje 8 vCUs, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje kako bi se osiguralo da nije prekoračena (preporučuje se 2-TB ako želite da baza podataka dugo radi, a da ne morate da povećavate skladište) |
HDS softver trenutno instalira sledeće verzije upravljačkog programa za komunikaciju sa server baze podataka:
PostgresqL | Microsoft SQL Server |
|---|---|
Postgres JDBC upravljački program 42.2.5 | SQL JDBC upravljački program servera 4.6 Ova verzija upravljačkog programa podržava SQL server uvek uključen ( Uvek uključene instance neuspešnog klastera i Grupe dostupnosti uvek uključene). |
Dodatni zahtevi za Windows potvrdu identiteta u SQL Microsoft serveru
Ako želite da HDS čvorovi koriste Windows potvrdu identiteta da bi dobili pristup bazi podataka ključeva na Microsoft SQL serveru, potrebna vam je sledeća konfiguracija u vašem okruženju:
HDS čvorovi, Active Directory infrastruktura i MS SQL server moraju da se sinhronizuju sa NTP.
Windows nalog koji napišete HDS čvorovima mora da ima pristup za čitanje/pisanje baze podataka.
Serveri DNS koje dostavite HDS čvorovima moraju da budu u mogućnosti da razreše centar za distribuciju ključa (KDC).
Možete registrovati instancu HDS baze podataka na Microsoft SQL serveru kao glavno ime usluge (SPN) na Active Directory. Pogledajte članak Registrovanje glavnog imena usluge za Kerberos veze.
Alatka za podešavanje HDS, HDS pokretanje i lokalni KMS moraju da koriste Windows potvrdu identiteta za pristup bazi podataka ključeva. Oni koriste detalje iz vaše konfiguracije ISO za konstrukciju SPN-a kada zahtevaju pristup pomoću Kerberos potvrde identiteta.
Zahtevi za spoljno povezivanje
Konfigurišite zaštitni zid da biste omogućili sledeće mogućnosti povezivanja za HDS aplikacije:
Aplikacija | Protokol | Port | Smer iz aplikacije | Odredište |
|---|---|---|---|---|
Čvorovi za hibridnu bezbednost podataka | TCP | 443 | Odlazni HTTPS i WSS |
|
Alatka za podešavanje HDS-a | TCP | 443 | Odlazni HTTPS |
|
| Čvorovi za hibridnu bezbednost podataka rade sa prevodom pristupa mreži (NAT) ili iza zaštitnog zida, sve dok NAT ili zaštitni zid omogućavaju potrebne odlazne veze sa odredištima domena u pređašnje tabeli. Za veze koje ide do čvorova za hibridnu bezbednost podataka, nijedan port ne bi trebalo da bude vidljiv sa interneta. U okviru vaših centar za podatke, klijentima je potreban pristup čvorovima hibridne bezbednosti podataka na TCP portovima 443 i 22, u administrativne svrhe. |
URL adrese za hostove zajedničkog identiteta (CI) su specifične za region. Ovo su trenutni CI organizatori:
Regiona | URL adrese organizatora zajedničkog identiteta |
|---|---|
Amerike |
|
Evropska unija |
|
Kanada |
|
Zahtevi proxy servera
Zvanično podržavamo sledeća proxy rešenja koja mogu da se integriše sa vašim čvorovima za hibridnu bezbednost podataka.
Prozirni proxy— Cisco uređaj za veb-bezbednost (WSA).
Eksplicitni proxy server – lignja.
Proxy proxy serveri koji pregledaju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a (wss:) Veze. Da biste rešili ovaj problem, pogledajte članak Konfigurisanje lignje proxy servera za hibridnu bezbednost podataka.
Podržavamo sledeće kombinacije tipa potvrde identiteta za eksplicitne proxy servere:
Nema potvrde identiteta sa HTTP ili HTTPS-om
Osnovna potvrda identiteta sa HTTP ili HTTPS-om
Digest potvrda identiteta samo SA HTTPS-om
Za prozirni proxy server za inspekciju ili HTTPS eksplicitni proxy server, morate da imate kopiju proxy servera za korenski sertifikat. Uputstvo za primenu u ovom vodiču vam govori kako da otpremite kopiju u pouzdana skladišta čvorova hibridne bezbednosti podataka.
Mrežno hostovanje HDS čvorova mora biti konfigurisano da nametne odlazne TCP saobraćaju na portu 443 da bi se usmerio preko proxy servera.
Proxy korisnici koji pregledaju veb-saobraćaj mogu da ometaju veze veb-priključka. Ako dođe do ovog problema, zaobiđite saobraćaj (ne pregledajući) na
wbx2.comiciscospark.comće rešiti problem.
Ispunite preduslove za hibridnu bezbednost podataka
| 1 | Uverite se da je Webex organizacija omogućena za Pro Pack za Cisco Webex Control Hub i nabavite akreditive naloga sa punim pravima administratora organizacije. Obratite se Cisco partneru ili menadžeru naloga za pomoć u ovom procesu. | ||
| 2 | Odaberite naziv domena za HDS primenu (na primer, | ||
| 3 | Pripremite identične virtuelne organizatore koje ćete podesiti kao čvorove za hibridnu bezbednost podataka u svom klasteru. Potrebna su vam najmanje dva zasebna organizatora (3 preporučena) u istom bezbednom centar za podatke koji ispunjavaju zahteve u zahtevima virtuelnih organizatora. | ||
| 4 | Pripremite server baze podataka koji će delovati kao ključ za skladištenje podataka za klaster, u skladu sa zahtevima servera baze podataka. Organizatori server baze podataka buduконфигурисани у чекању centar za podatke virtuelnim organizatorima. | ||
| 5 | Za brze oporavljanje nakon katastrofe, podesiti rezervno okruženje u drugom centar za podatke. Rezervno okruženje preslikava proizvodno okruženje VMs i rezervne server baze podataka. Na primer, ako proizvodnja ima 3 VMS koji imaju HDS čvorove, rezervno okruženje bi trebalo da ima 3 VMS. | ||
| 6 | Podesite organizatora syslog za prikupljanje evidencija iz čvorova u klasteru. Prikupite mrežna adresa i syslog port (podrazumevano je UDP 514). | ||
| 7 | Kreirajte bezbednu politiku pravljenja rezervnih kopija za čvorove hibridne bezbednosti podataka, server baze podataka i organizatora sistemskog sistema. U minimumu, da biste sprečili nepoplaćivanje gubitka podataka, morate da napravite pozadinu baze podataka i datoteku ISO konfiguracije koja je generisana za čvorove hibridne bezbednosti podataka.
Klijenti aplikacije Webex keše svoje ključeve, tako da pre prekida rada možda neće biti odmah primetnljiv, ali će vremenom postati vidljivi. Iako je nemoguжe sprečiti privremene prekšiljanje, mogu se oporavljati. Međutim, potpuni gubitak (nema dostupnih rezervnih kopija) baze podataka ili datoteka ISO konfiguracije doveže do nepoplatnih podataka o kupcima. Operateri čvorova za hibridnu bezbednost podataka očekuju da zadrže česta rezervna kopija baze podataka i datoteke ISO konfiguracije i spremni su da ponovo izradite alatku za hibridnu bezbednost centar za podatke ako dođe do katastrofalnog neuspeha. | ||
| 8 | Uverite se da konfiguracija zaštitnog zida omogućava povezivanje za čvorove hibridne bezbednosti podataka kao što je navedeno u zahtevima spoljne povezanosti. | ||
| 9 | Instalirajte Docker ( https://www.docker.com) na bilo kom lokalnom računaru sa podržanim OS-om (Microsoft Windows 10 Profesionalni ili Enterprise 64-bitni ili Mac OSX Yosemite 10.10.3 ili noviji) sa veb-pregledačem koji može da mu pristupi na http://127.0.0.1:8080. Instancu Docker koristite za preuzimanje i pokretanje alatke za podešavanje HDS-a koja gradi lokalne informacije o konfiguraciji za sve čvorove hibridne bezbednosti podataka. Možda će vašoj organizaciji biti potrebna Licenca za Docker Desktop. Više informacija potražite u zahtevima docker radne površine. Da biste instalirali i pokrenuli alatku za podešavanje HDS-a, lokalni računar mora da ima ojačenu povezanost u zahtevima za spoljno povezivanje. | ||
| 10 | Ako integrišete proxy server sa hibridnom zaštitom podataka, uverite se da ispunjava zahteve proxy servera. | ||
| 11 | Ako vaša organizacija koristi sinhronizaciju direktorijuma, kreirajte grupu u Active Directory pozvali
|
Tok zadatka primene hibridne bezbednosti podataka
Pre nego što počnete
| 1 |
Preuzmite OVA datoteku na svoj lokalni računar za kasnije korišćenje. | ||
| 2 | Kreiranje konfiguracije ISO za HDS organizatore Koristite alatku za podešavanje HDS-a da biste ISO datoteka sa konfiguracijom za čvorove hibridne bezbednosti podataka. | ||
| 3 |
Kreirajte virtuelna mašina iz OVA datoteke i izvršite početnu konfiguraciju, kao što je podešavanja mreže.
| ||
| 4 | Podešavanje funkcije hibridne bezbednosti podataka VM Prijavite se na VM konzolu i podesite akreditive za prijavljivanje. Konfigurišite podešavanja mreže za čvor ako ih niste konfigurisali u vreme primene OVA. | ||
| 5 |
Konfigurišite VM na ISO datoteka sa konfiguracijom koju ste kreirali pomoću alatke za podešavanje HDS-a. | ||
| 6 | Konfigurisanje HDS čvora za integraciju proxy servera Ako mrežno okruženje zahteva konfiguraciju proxy servera, navedite tip proxy servera koji ćete koristiti za čvor i po potrebi dodati proxy sertifikat u skladište pouzdanosti. | ||
| 7 | Registrujte prvi čvor u klasteru Registrujte VM na Cisco Webex oblak kao čvor za hibridnu bezbednost podataka. | ||
| 8 | Kreirajte i registrujte više čvorova Dovršite podešavanje klastera. | ||
| 9 | Pokrenite probnu verziju i premestite se u proizvodnju (sledeće poglavlje) Dok ne započnete probnu verziju, vaši čvorovi generišu alarm koji ukazuje na to da usluga još uvek nije aktivirana. |
Preuzmi instalacione datoteke
| 1 | Prijavite se u , https://admin.webex.coma zatim kliknite na "Usluge". | ||||
| 2 | U odeljku Hibridne usluge pronađite karticu hibridna bezbednost podataka, a zatim kliknite na " Podesi". Ako je kartica onemogućena ili je ne vidite, obratite se timu za naloge ili partneroj organizaciji. Dajte im svoj broj naloga i zatražite da omoguće svojoj organizaciji hibridnu bezbednost podataka. Da biste pronašli broj naloga, kliknite na zupčanici u gornjem desnom uglu, pored imena organizacije.
| ||||
| 3 | Izaberite " Ne" da biste naznačili da još uvek podesiti čvor, a zatim kliknite na "Dalje ". OVA datoteka automatski počinje da preuzima. Sačuvajte datoteku na lokaciji na računaru.
| ||||
| 4 | Opcionalno, kliknite na uputstvo za primenu da biste proverili da li postoji novija verzija ovog vodiča. |
Kreiranje konfiguracije ISO za HDS organizatore
Proces podešavanja hibridne bezbednosti podataka kreira datoteku ISO datoteke. Zatim koristite ovu ISO da biste konfigurisali organizatora za hibridnu bezbednost podataka.
Pre nego što počnete
Alatka za podešavanje HDS-a radi kao docker kontejner na lokalnom računaru. Da biste mu pristupili, pokrenite "Docker" na tom računaru. Proces podešavanja zahteva akreditive za Control Hub nalog sa punim administratorskih prava za vašu organizaciju.
Ako alatka za podešavanje HDS radi iza proxy servera u vašem okruženju, obezbedite postavke proxy servera (server, port, akreditivi) kroz Promenljive Docker okruženja kada u koraku 5 unesite docker kontejner . Ova tabela daje neke moguće promenljive okruženja:
Opis
Promenljiva
HTTP Proxy bez potvrde identiteta
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS proxy bez potvrde identiteta
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy sa potvrdom identiteta
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy sa potvrdom identiteta
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTDatoteka za ISO koju generišete sadrži glavni ključ za šifrovanje PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada promenite konfiguraciju, kao što su ove:
Akreditivi baze podataka
Ažuriranja sertifikata
Promene smernica autorizacije
Ako planirate da šifrujete veze sa bazom podataka, podesiti PostgreSQL ili SQL primenu servera za TLS.
| 1 | Na komandnoj liniji računara unesite odgovarajuću komandu za svoje okruženje: U redovnim okruženjima: U FedRAMP okruženjima:
| ||||||||||||
| 2 | Da biste se prijavili u registar slika dokolice, unesite sledeće: | ||||||||||||
| 3 | Na upit za lozinku unesite ovaj hash: | ||||||||||||
| 4 | Preuzmite najnoviju stabilnu sliku za svoje okruženje: U redovnim okruženjima: U FedRAMP okruženjima: | ||||||||||||
| 5 | Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:
Kada je kontejner pokrenut, vidite "Express server sluša na portu 8080." | ||||||||||||
| 6 |
Koristite veb-pregledač za pristup lokalnom organizatoru, Alatka koristi ovaj prvi unos korisničkog imena da bi postavila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje. | ||||||||||||
| 7 | Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora kupca na portalu Control Hub, a zatim kliknite na "Prijavi se" da biste dozvolili pristup potrebnim uslugama za hibridnu bezbednost podataka. | ||||||||||||
| 8 | Na stranici "Pregled alatke za podešavanje" kliknite na "Prvi koraci". | ||||||||||||
| 9 | Na stranici za ISO uvoz imate sledeće opcije:
| ||||||||||||
| 10 | Proverite da li vaš X.509 sertifikat ispunjava zahteve u X.509 zahtevima sertifikata.
| ||||||||||||
| 11 | Unesite adresu baze podataka i nalog za HDS da biste pristupili usluzi podataka ključa: | ||||||||||||
| 12 | Izaberite TLS režima povezivanja baze podataka:
Kada otpremite korenski sertifikat (ako je potrebno) i kliknete na "Nastavi", alatka za podešavanje HDS-a testira TLS vezu sa server baze podataka. Alatka takođe potvrđuje potpisivanje sertifikata i ime hosta, ako je primenljivo. Ako test ne uspe, alatka prikazuje alatku poruka o grešci koja opisuje problem. Možete da odaberete da li želite da zanemarite grešku i nastavite sa podešavanjem. (Zbog razlika u mogućnosti povezivanja, HDS čvorovi će možda moći da uspostave vezu TLS čak i ako mašina alatke za podešavanje HDS-a ne može uspešno da je testira.) | ||||||||||||
| 13 | Na stranici "Sistemske evidencije" konfigurišite Syslogd server: | ||||||||||||
| 14 | (Opcionalno) U napredna podešavanja možete podrazumevana vrednost za neke parametre veze sa bazom podataka. Generalno, ovaj parametar je jedini koji želite da promenite: | ||||||||||||
| 15 | Kliknite na "Nastavi " na ekranu "Resetuj lozinku za naloge za usluge ". Lozinke naloga za usluge imaju životni vek od devet meseci. Koristite ovaj ekran kada lozinke ističe ili želite da ih resetujete kako biste poništili prethodne ISO datoteke. | ||||||||||||
| 16 | Kliknite na "Preuzmi ISO datoteku". Sačuvajte datoteku na lokaciji koju je lako pronaći. | ||||||||||||
| 17 | Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu. Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije. | ||||||||||||
| 18 | Da biste isključili alatku za podešavanje, otkucajte |
Šta je sledeće
Napravite napravite pozadinu datoteke ISO konfiguracije. Potrebno je da kreirate više čvorova za oporavak ili da biste uneli promene konfiguracije. Ako izgubite sve kopije datoteke ISO, izgubili ste i glavni ključ. Spasavanje ključeva iz PostgreSQL ili Microsoft SQL servera baze podataka nije moguće.
| Nikada nemamo kopiju ovog ključa i ne možemo da odolimo ako ga izgubite. |
Instaliraj HDS host OVA
| 1 | Koristite VMware vSphere klijent na računaru da biste se prijavili u ESXi virtuelnog organizatora. | ||||||
| 2 | Izaberite datoteku > primeni OVF šablon. | ||||||
| 3 | U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli, a zatim kliknite na "Dalje " . | ||||||
| 4 | Na stranici Izbor imena i fascikle unesite ime virtuelne mašine za čvor (na primer, "HDS_Node_1"), odaberite lokaciju na kojoj može da se virtuelna mašina primena čvora,a zatim kliknite na "Dalje". | ||||||
| 5 | Na stranici "Izaberite izračunaj resurs" odaberite odredišni resurs za izračunavanje, a zatim kliknite na "Dalje". Pokrenuta je provera valjanosti. Kada se završi, pojavljuju se detalji obrasca. | ||||||
| 6 | Proverite detalje obrasca, a zatim kliknite na "Dalje ". | ||||||
| 7 | Ako od vas zatraže da odaberete konfiguraciju resursa na stranici konfiguracija,kliknite na CPU, a zatim kliknite na "Dalje". | ||||||
| 8 | Na stranici "Izbor skladišta" kliknite na "Dalje" da biste prihvatili podrazumevani format diska i VM smernice za skladištenje. | ||||||
| 9 | Na stranici Izbor mreža izaberite opciju mreže sa liste unosa da biste obezbedili željenu povezanost sa VM. | ||||||
| 10 | Na stranici Prilagođavanje šablona konfigurišite sledeće podešavanja mreže:
Ako je poželjno, možete preskočiti konfiguraciju mrežnih podešavanja i slediti korake u odeljku Podešavanje hibridne bezbednosti VM da biste konfigurisali podešavanja sa konzole čvora.
| ||||||
| 11 | Kliknite desnim tasterom miša na čvor VM, a zatim izaberite stavku . Softver za hibridnu bezbednost podataka je instaliran kao gost na VM organizatoru. Sada ste spremni da prijaviti se konzolu i konfigurišete čvor. Saveti za rešavanje problema Može doći do kašnjenja nekoliko minuta pre nego što se zadrže kontejneri čvora. Poruka zaštitnog zida mosta se pojavljuje na konzoli tokom prvog pokretanja sistema, tokom koje ne možete da prijaviti se. |
Podešavanje funkcije hibridne bezbednosti podataka VM
Prvi put koristite ovu proceduru da biste prijaviti se na čvor za hibridnu bezbednost podataka VM konzolu i podesili akreditive za prijavljivanje. Konzolu možete da koristite da biste konfigurisali podešavanja mreže za čvor ako ih niste konfigurisali u vreme primene OVA.
| 1 | U VMware vSphere klijentu izaberite svoj čvor za hibridnu bezbednost podataka VM i izaberite karticu "Konzola". Datoteka VM se pokreće i pojavljuje se odzivnik za prijavljivanje. Ako se upit za prijavljivanje ne prikaže, pritisnite Enter.
|
| 2 | Koristite sledeću podrazumevanu lozinku za prijaviti se i promenite akreditive: Pošto se po prvi put VM prijavite na sastanak, morate da promenite lozinku administratora. |
| 3 | Ako ste već konfigurisali podešavanja mreže u instalaciji HDS host OVA, preskočite ostatak ove procedure. U suprotnom, u glavni meni izaberite opciju Uredi konfiguraciju . |
| 4 | Podesite statičnu konfiguraciju sa IP adresa, Mask, mrežnim prolazom i DNS informacijama. Vaš čvor bi trebalo da ima interno IP adresa i DNS ime. DHCP nije podržano. |
| 5 | (Opcionalno) Promenite ime hosta, domen ili NTP server(e) ako je potrebno da se podudara sa smernicama vaše mreže. Ne morate da podesite domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata. |
| 6 | Sačuvajte mrežna konfiguracija i ponovo pokrenite VM biste promene stupile na snagu. |
Otpremite i postavite HDS ISO
Pre nego što počnete
Budući da ISO datoteka ima glavni ključ, ona bi trebalo da bude izložena samo na osnovu "mora da se zna", radi pristupa VM-ova za hibridnu bezbednost podataka i bilo kog administratora koji će možda morati da unesu promene. Uverite se da samo ti administratori mogu da pristupe skladištu podataka.
| 1 | Otpremite datoteku ISO sa računara: |
| 2 | Postavite ISO datoteku: |
Šta je sledeće
Ako vaše IT smernice zahtevaju, možete opcionalno da uklonite ISO datoteku nakon što svi čvorovi preuzmu promene konfiguracije. Detaljnije informacije potražite u članku (opcionalno) uklanjanje ISO nakon HDS konfiguracije .
Konfigurisanje HDS čvora za integraciju proxy servera
Ako mrežno okruženje zahteva proxy server, koristite ovaj postupak da biste odredili tip proxy servera koji želite da se integrišete sa hibridnom zaštitom podataka. Ako odaberete prozirni proxy server za inspekciju ili HTTPS eksplicitni proxy server, možete da koristite interfejs čvora za otpremanje i instaliranje korenski sertifikat. Takođe možete da proverite proxy vezu iz interfejsa i rešite sve potencijalne probleme.
Pre nego što počnete
Pogledajte proxy podršku za pregled podržanih opcija proxy servera.
| 1 | Unesite podešavanje HDS URL |
| 2 | Idite u Prodavnicu pouzdanosti i proxy server, a zatim odaberite neku opciju:
Sledite sledeće korake za prozirni proxy server za inspekciju, HTTP eksplicitni proxy sa osnovnom potvrdom identiteta ili HTTPS eksplicitni proxy server. |
| 3 | Kliknite na otpremi vrhovni sertifikat ili sertifikat krajnjih entiteta, a zatim se krećite do biranja korenski sertifikat za proxy servera. Sertifikat je otpremljen, ali još uvek nije instaliran jer morate ponovo pokrenuti čvor da biste instalirali sertifikat. Kliknite na strelicu ševron po imenu izdaoca sertifikata da biste dobili više detalja ili kliknite na "Izbriši" ako ste napravili grešku i želite ponovo da otpremite datoteku. |
| 4 | Kliknite na dugme "Proveri vezu proxy servera" da biste povezivanje na mrežu između čvora i proxy servera. Ako test veze ne uspe, videćete poruka o grešci koja prikazuje razlog i način na koji možete ispraviti problem. Ako vidite poruku u koju se kaže da spoljna DNS rezolucija nije bila uspešna, čvor nije mogao da doseže DNS server. Ovo stanje se očekuje u mnogim eksplicitnih konfiguracija proxy servera. Možete da nastavite sa podešavanjem, a čvor će funkcionisati u režimu blokirane spoljne DNS rezolucije. Ako mislite da je u pitanju greška, dovršite ove korake, a zatim pogledajte članak Isključivanje blokiranog spoljnog DNS rezolucije. |
| 5 | Nakon što probni test veze prođe, za eksplicitni proksi postavljen samo na https, uključite preklopno dugme da biste usmerili sve portove 443/444 https zahteva ovog čvora preko eksplicitnog proxy servera. Ovo podešavanje zahteva 15 sekundi da stupi na snagu. |
| 6 | Kliknite na "Instaliraj sve sertifikate u prodavnicu pouzdanosti" (pojavljuje se za HTTPS eksplicitni proxy server ili prozirni proxy za inspekciju) ili ponovo pokreni (pojavljuje se za HTTP explicit proxy), pročitajte upit, a zatim kliknite na "Instaliraj" ako ste spremni. Čvor se ponovo pokrenuti u roku od nekoliko minuta. |
| 7 | Kada se čvor ponovo pokrene, prijaviti se ponovo po potrebi, a zatim otvorite stranicu Pregled da biste proverili provere mogućnosti povezivanja kako biste se uverili da su svi u zelenom statusu. Proverom proksi veze testira se samo poddomen webex.com. Ako postoje problemi sa mogućnostima povezivanja, uobičajeni problem je što se neki od domena u oblaku navedeni u uputstvima za instaliranje blokiraju na proxy serveru. |
Registrujte prvi čvor u klasteru
Kada registrujete svoj prvi čvor, kreirate klaster kojem je dodeljen čvor. Klaster sadrži jedan ili više čvorova primenjenih da bi se obezbedila redundantnost.
Pre nego što počnete
Kada započnete registraciju čvora, morate ga završiti u roku od 60 minuta ili morate da počnete iz početka.
Uverite se da su svi blokatori iskačućih prozora u pregledaču onemogućeni ili da dozvoljavate izuzetke od admin.webex.com.
| 1 | Prijavite se u https://admin.webex.com. |
| 2 | U meniju sa leve strane ekrana izaberite "Usluge ". |
| 3 | U odeljku Hibridne usluge pronađite hibridnu bezbednost podataka i kliknite na " Podesi". Pojaviće se stranica "Registruj čvor za hibridnu bezbednost podataka".
|
| 4 | Izaberite " Da" da biste naznačili podesiti čvor i spremni ste da ga registrujete, a zatim kliknite na "Dalje ". |
| 5 | U prvo polje unesite ime klastera kom želite da dodelite svoj čvor za hibridnu bezbednost podataka. Preporučujemo da klaster imenujete na osnovu toga gde se geografski nalaze čvorovi klastera. Primeri: "San Francisko" ili "Njujork" ili "Dalas" |
| 6 | U drugo polje unesite internu IP adresa ili potpuno kvalifikovani naziv domena (FQDN) čvora i kliknite na "Dalje ". Ovaj IP adresa ili FQDN treba da se podudara sa IP adresa imenom hosta i domenom koji ste koristili u opciji Podešavanje hibridne bezbednosti VM. Pojaviće se poruka koja ukazuje na to da možete da registrujete svoj čvor u aplikaciji Webex.
|
| 7 | Kliknite na "Idi u čvor". |
| 8 | Kliknite na " Nastavi" u poruka upozorenja. Nakon nekoliko trenutaka, preusmereni ste na testove mogućnosti povezivanja sa čvorom za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica "Dozvoli pristup čvoru hibridne bezbednosti podataka". Tamo potvrđ možete da potvrdite da želite da date dozvole vašoj Webex organizaciji za pristup vašem čvoru.
|
| 9 | Izaberite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na "Nastavi ". Vaš nalog je potvrđen, a poruka "Registracija završena" ukazuje na to da je vaš čvor sada registrovan na Webex oblaku.
|
| 10 | Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka na portalu Control Hub. Na stranici za hibridnu bezbednost podataka prikazuje se novi klaster koji sadrži čvor koji ste registrovali. Čvor će automatski preuzeti najnoviji softver iz oblaka.
|
Kreirajte i registrujte više čvorova
| U ovom trenutku rezervni VM-oporavljanje nakon katastrofe koje ste kreirali u opciji "Ispuni preduslove za hibridnu bezbednost podataka" su organizatori u pripravnosti koji se koriste samo u oporavljanje nakon katastrofe; nisu registrovani u sistemu do tada. Više detalja potražite u članku " Oporavak od katastrofe" pomoću centra podataka u režimu pripravnosti. |
Pre nego što počnete
Kada započnete registraciju čvora, morate ga završiti u roku od 60 minuta ili morate da počnete iz početka.
Uverite se da su svi blokatori iskačućih prozora u pregledaču onemogućeni ili da dozvoljavate izuzetke od admin.webex.com.
| 1 | Kreirajte novu virtuelna mašina iz OVA, ponavljajući korake u vašoj instalaciji HDS Host OVA. |
| 2 | Podesite početnu konfiguraciju na novom uređaju VM ponavljajući korake u odeljku Podešavanje hibridne bezbednosti VM. |
| 3 | Na novoj stranici VM ponovite korake u opciji Otpremanje i montiranje HDS ISO. |
| 4 | Ako podešate proxy server za primenu, ponovite korake u podešavanju HDS čvora za proxy integraciju po potrebi za novi čvor. |
| 5 | Registrujte čvor. Vaš čvor je registrovan. Imajte na umu da dok ne započnete probnu verziju, vaši čvorovi generišu alarm koji ukazuje na to da usluga još uvek nije aktivirana.
|
Šta je sledeće
Probna verzija do toka zadatka proizvodnje
Nakon što podesiti klaster hibridne bezbednosti podataka, možete da pokrenete pilot, dodate korisnike u njega i počnete da ga koristite za testiranje i potvrdu primene u okviru pripreme za prelaženje na proizvodnju.
Pre nego što počnete
| 1 | Ako je primenljivo, sinhronizujte Ako vaša organizacija koristi sinhronizaciju direktorijuma za korisnike, morate da izaberete |
| 2 |
Pokrenite probnu verziju. Dok ne izvršite ovaj zadatak, čvorovi generišu alarm koji ukazuje na to da usluga još nije aktivirana. |
| 3 | Testirajte primenu hibridne bezbednosti podataka Proverite da li zahtevi za ključ ustupa vašem primeni hibridne bezbednosti podataka. |
| 4 | Nadgledanje ispravne hibridne bezbednosti podataka Proverite status i podesiti obaveštenja putem e-pošte za alarme. |
| 5 | |
| 6 | Završite probnu fazu sa jednom od sledećih radnji: |
Aktiviraj probnu verziju
Pre nego što počnete
Ako vaša organizacija koristi sinhronizaciju direktorijuma za korisnike, morate da izaberete HdsTrialGroup grupni objekat za sinhronizaciju sa oblakom pre nego što pokrenete probnu verziju za svoju organizaciju. Uputstva potražite u uputstvo za primenu za Cisco sinhronizator direktorijuma.
| 1 | Prijavite se u , https://admin.webex.coma zatim izaberite "Usluge". |
| 2 | U okviru hibridne bezbednosti podataka kliknite na "Podešavanja". |
| 3 | U odeljku Status usluge kliknite na "Pokreni probnu verziju". Status usluge se menja u probni režim.
|
| 4 | Kliknite na "Dodaj korisnike " i unesite e-adresa jednog ili više korisnika da biste upravljali pilotiranjem pomoću čvorova za hibridnu bezbednost podataka za usluge šifrovanja i indeksacije. (Ako vaša organizacija koristi sinhronizaciju direktorijuma, koristite Active Directory upravljajte probnom grupom, |
Testirajte primenu hibridne bezbednosti podataka
Pre nego što počnete
Podesite primenu hibridne bezbednosti podataka.
Aktivirajte probnu verziju i dodajte nekoliko probnih korisnika.
Uverite se da imate pristup sistemu syslog da biste proverili da li se ključni zahtevi prenose na vaše primene hibridne bezbednosti podataka.
| 1 | Tastere za dati prostor postavlja kreator prostora. Prijavite se u aplikaciju Webex kao jedan od pilot korisnika, a zatim kreirajte prostor i pozovite najmanje jednog korisnika pilota i jednog korisnika koji nije pilot.
| ||
| 2 | Pošaljite poruke u novi prostor. | ||
| 3 | Proverite izlaz Syslog-a da biste proverili da li se zahtevi za ključ prenose na vaše primene hibridne bezbednosti podataka. |
Nadgledanje ispravne hibridne bezbednosti podataka
| 1 | U kontrolnom čvorištu izaberite stavku Usluge iz menija sa leve strane ekrana. |
| 2 | U odeljku Hibridne usluge pronađite hibridnu bezbednost podataka i kliknite na "Podešavanja". Pojaviće se stranica "Podešavanja hibridne bezbednosti podataka".
|
| 3 | U odeljku Obaveštenja e-poštom unesite jednu ili više e-adresa odvojenih zarezima i pritisnite Enter. |
Dodavanje ili uklanjanje korisnika iz probne verzije
Ako uklonite korisnika iz probne verzije, klijent korisnika će zatražiti ključeve i kreiranje ključa iz oblaka KMS-a umesto kmS-a. Ako je klijentu potreban ključ koji se čuva u vašem KMS-u, KMS u oblaku će ga preuzeti u ime korisnika.
Ako vaša organizacija koristi sinhronizaciju direktorijuma, koristite Active Directory (umesto ove procedure) za upravljanje probnom grupom, HdsTrialGroup; možete da prikažete članove grupe na portalu Control Hub, ali ih ne možete dodati ili ukloniti.
| 1 | Prijavite se u Control Hub, a zatim izaberite Usluge. |
| 2 | U okviru hibridne bezbednosti podataka kliknite na "Podešavanja". |
| 3 | U odeljku Probni režim oblasti statusa usluge kliknite na "Dodaj korisnike" ili kliknite na "Prikaži i uredi" da biste uklonili korisnike iz probne verzije. |
| 4 | Unesite e-adresa jednog ili više korisnika koje želite da dodate ili kliknite na X na korisnički ID da uklonite korisnika iz probne verzije. Zatim kliknite na dugme Sačuvaj. |
Premesti sa probne verzije na proizvodnju
| 1 | Prijavite se u Control Hub, a zatim izaberite Usluge. |
| 2 | U okviru hibridne bezbednosti podataka kliknite na "Podešavanja". |
| 3 | U odeljku "Status usluge" kliknite na "Premesti u proizvodnju". |
| 4 | Potvrdite da želite da premestite sve korisnike na proizvodnju. |
Završite probnu verziju bez premeštanja na proizvodnju
| 1 | Prijavite se u Control Hub, a zatim izaberite Usluge. |
| 2 | U okviru hibridne bezbednosti podataka kliknite na "Podešavanja". |
| 3 | U odeljku "Deaktiviraj" kliknite na " Deaktiviraj". |
| 4 | Potvrdite da želite da deaktivirate uslugu i završite probnu verziju. |
Upravljaj HDS primenom
Koristite zadatke opisane ovde da biste upravljali primenom hibridne bezbednosti podataka.
Podesi raspored nadogradnje klastera
Da biste podesili raspored nadogradnje:
| 1 | Prijavite se na Control Hub. |
| 2 | Na stranici "Pregled", u okviru hibridnih usluga izaberite hibridnu bezbednost podataka. |
| 3 | Na stranici Resursi za hibridnu bezbednost podataka izaberite klaster. |
| 4 | Na tabli "Pregled" sa desne strane, u okviru "Podešavanja klastera" izaberite ime klastera. |
| 5 | Na stranici "Podešavanja", u okviru "Nadogradnja", izaberite vremenska zona izaberite vreme i vreme nadogradnje za raspored nadogradnje. Napomena: U okviru vremenska zona, prikazuje se sledeća dostupna datum i vreme nadogradnje. Nadogradnju možete da odložite za sledeći dan, ako je potrebno, klikom na "Odloži ". |
Promena konfiguracije čvora
Promena sertifikata x.509 zbog isteka ili iz drugih razloga.
Ne podržavamo promenu CN naziv domena certifikata. Domen mora da se podudara sa originalnim domenom koji se koristi za registraciju klastera.
Ažuriranje podešavanja baze podataka za promenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.
Ne podržavamo migraciju podataka iz PostgreSQL na drugi Microsoft SQL Server ili na suprotni način. Da biste zamenili okruženje baze podataka, pokrenite novo raspoređivanje hibridne bezbednosti podataka.
Kreiranje nove konfiguracije za pripremanje novog centar za podatke.
Takođe, iz bezbednosnih razloga, hibridna bezbednost podataka koristi lozinke nalog za usluge koje imaju devetomesečni vek trajanja. Nakon što alatka za podešavanje HDS-a generiše ove lozinke, primenite ih na svaki od HDS čvorova u ISO datoteci konfiguracije. Kada lozinke vaše organizacije uskoro isteku, dobićete obaveštenje Webex iz tima da resetujete lozinku za vaš mašinski nalog. (E-poruka uključuje tekst, "Koristite API mašinskog naloga da ažurirate lozinku.") Ako vaše lozinke još nisu istekle, alatka vam daje dve opcije:
Softverno resetovanje – stare i nove lozinke rade do 10 dana. Koristite ovaj period da biste postepeno zamenili ISO datoteku na čvorovima.
Teško resetovanje – stare lozinke odmah prestaje da rade.
Ako vaše lozinke ističu bez resetovanja, to utiče na HDS uslugu, zahtevajući neposredno čvrsto resetovanje i zamenu ISO datoteke na svim čvorovima.
Koristite ovu proceduru da biste generisali novu ISO datoteku za konfiguraciju i primenili je na svoj klaster.
Pre nego što počnete
Alatka za podešavanje HDS-a radi kao docker kontejner na lokalnom računaru. Da biste mu pristupili, pokrenite "Docker" na tom računaru. Proces podešavanja zahteva akreditive za Control Hub nalog sa punim administratorskih prava za vašu organizaciju.
Ako alatka za podešavanje HDS radi iza proxy servera u vašem okruženju, obezbedite postavke proxy servera (server, port, akreditivi) kroz Promenljive Docker okruženja kada uvodite docker kontejner u 1,e. Ova tabela daje neke moguće promenljive okruženja:
Opis
Promenljiva
HTTP Proxy bez potvrde identiteta
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS proxy bez potvrde identiteta
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy sa potvrdom identiteta
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy sa potvrdom identiteta
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTPotrebna vam je kopija trenutne ISO datoteke za konfiguraciju da biste generisli novu konfiguraciju. Ova ISO sadrži glavni ključ za šifrovanje PostgreSQL ili Microsoft SQL servera. Potreban vam je ISO kada menjate konfiguracije, uključujući akreditive baze podataka, ažuriranja sertifikata ili promene politike autorizacije.
| 1 | Ako koristite Docker na lokalnoj mašini, pokrenite alatku za podešavanje HDS-a.
| ||||||
| 2 | Ako imate samo jedan HDS čvor, kreirajte novi čvor za hibridnu bezbednost podataka VM i registrujte ga koristeći novu ISO datoteku za konfiguraciju. Detaljnije informacije potražite u članku Kreiranje i registracija još čvorova. | ||||||
| 3 | Za postojeće HDS čvorove koji rade sa starijim datoteka sa konfiguracijom, postavite ISO datoteku. Obavite sledeći postupak na svakom čvoru prilikom uključivanja, ažuriranja svakog čvora pre isključivanja sledećeg čvora: | ||||||
| 4 | Ponovite korak 3 da biste zamenili konfiguraciju na svakom preostalom čvoru koji radi sa starom konfiguracijom. |
Isključi blokirani režim spoljne DNS rezolucije
Kada registrujete čvor ili proverite konfiguraciju proxy servera čvora, proces testira DNS pronalaženja i mogućnosti povezivanja sa Cisco Webex oblakom. Ako funkcije čvora ne DNS server razreše javna imena DNS, čvor automatski prelazi u režim blokirane spoljne DNS rezolucije.
Ako vaši čvorovi mogu da reše javna imena DNS internim DNS serverima, možete da isključite ovaj režim ponovnim ponovnim testiranjem proksi veze na svakom čvoru.
Pre nego što počnete
| 1 | U veb-pregledaču otvorite interfejs čvora za hibridnu bezbednost podataka (IP adresa/podešavanje, na primer, https://192.0.2.0/setup), unesite akreditive administratora koje ste podesiti za čvor, a zatim kliknite na "Prijavi se". |
| 2 | Idite na pregled (podrazumevana stranica). Kada je omogućena, blokirana spoljna DNS rezolucija je podešena na "Da ". |
| 3 | Idite na stranicu Prodavnica pouzdanosti i proxy servera. |
| 4 | Kliknite na " Proveri vezu proxy servera". Ako vidite poruku u koju se kaže da spoljna DNS rezolucija nije bila uspešna, čvor nije mogao da doseže dolaznu DNS server i ostaće u ovom režimu. U suprotnom, nakon što ponovo pokrenete čvor i vratite se na stranicu "Pregled", blokirana spoljna DNS rezolucija treba da bude podešena na "ne". |
Šta je sledeće
Uklanjanje čvora
| 1 | Koristite VMware vSphere klijent na računaru da biste se prijavili u ESXi virtuelnog organizatora i isključili virtuelna mašina. |
| 2 | Uklonite čvor: |
| 3 | U vSphere klijentu izbrišite VM. (U levom oknu za navigaciju, desni klik na VM i kliknite Izbriši.) Ako ne izbrišete datoteku VM, ne zaboravite da ponovo uključite zvuk ISO datoteke. Bez datoteke ISO, ne možete da koristite datoteku VM pristupite bezbednosnim podacima. |
Oporavak od katastrofe pomoću centra podataka u pripravnosti
Najkritičnija usluga koju pruža vaš klaster za hibridnu bezbednost podataka je kreiranje i skladištenje ključeva koji se koriste za šifrovanje poruka i drugog sadržaja uskladištenog u Webex oblaku. Za svakog korisnika u organizaciji koji je dodeljen za hibridnu bezbednost podataka, novi zahtevi za kreiranje ključa se usmeravaju na klaster. Klaster je takođe odgovoran za vraćanje ključeva koje je kreirano svim korisnicima ovlašćenim da ih preuzmu, na primer, članovi prostora za razgovor.
Pošto klaster obavlja kritičnu funkciju obezbeđivanja ovih ključeva, važno je da klaster ostane pokrenut i da se održavaju odgovarajuća rezervna kopija. Gubitak baze podataka hibridne bezbednosti podataka ili konfiguracije ISO koja se koristi za šemu dovešće do NEPOPLAĆENOG GUBITKA sadržaja kupca. Sledeće prakse su obavezne da bi se sprečio takav gubitak:
Ako katastrofa dovede do toga da primena HDS-a u primarnoj centar za podatke postane nedostupna, sledite ovu proceduru da biste ručno prešli u režim centar za podatke.
| 1 | Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiranje ISO za HDS organizatore. | ||
| 2 | Nakon što konfigurišete Syslogd server, kliknite na opciju " Napredna podešavanja" | ||
| 3 | Na stranici " Napredna podešavanja " dodajte konfiguraciju ispod ili uklonite
| ||
| 4 | Dovršite proces konfiguracije i sačuvajte datoteku ISO na lokaciji koju je lako pronaći. | ||
| 5 | Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu. Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije. | ||
| 6 | U levom navigacionom panelu VMware vSphere klijenta možete desni klik na VM i kliknite na "Uredi podešavanja". | ||
| 7 | Kliknite na "Uredi >CD/DVD disk jedinicu 1 " i izaberite stavku Skladište ISO podataka.
| ||
| 8 | Uključite HDS čvor i uverite se da nema alarma najmanje 15 minuta. | ||
| 9 | Ponovite proces za svaki čvor u režimu centar za podatke.
|
Šta je sledeće
(Opcionalno) Isključi zvuk ISO nakon HDS konfiguracije
Standardna HDS konfiguracija radi sa ISO postavljenim. Međutim, neki kupci radije ne napuštaju ISO datoteke neprekidno montirane. Datoteku za ISO možete ponovo da uključite nakon što svi HDS čvorovi preuzmu novu konfiguraciju.
I dalje koristite datoteke ISO da biste uneli promene konfiguracije. Kada kreirate novu ISO ili ažurirate ISO putem alatke za podešavanje, morate da postavite ažurirane ISO na sve HDS čvorove. Kada svi čvorovi prihvate promene konfiguracije, možete ponovo da uključite zvuk ISO sa ovom procedurom.
Pre nego što počnete
Nadogradite sve HDS čvorove na verziju 2021.01.22.4720 ili noviju.
| 1 | Isključite jedan od HDS čvorova. |
| 2 | U vCenter uređaju servera izaberite HDS čvor. |
| 3 | Izaberite disk jedinici" i opozovite izbor stavke u ISO datoteci. |
| 4 | Uključite HDS čvor i uverite se da nema alarma najmanje 20 minuta. |
| 5 | Za svaki HDS čvor za redom ponovite. |
Prikaži upozorenja i rešavanje problema
Primena hibridne bezbednosti podataka smatra se nedostupnim ako su svi čvorovi u klasteru nedostupni ili klaster sporo radi da zahteva istek vremena. Ako korisnici ne mogu da stignu do vašeg klastera hibridne bezbednosti podataka, iskuse sledeće simptome:
Nije moguće kreirati nove prostore (nije moguće kreirati nove ključeve)
Dešifrovanje poruka i naslova prostora nije uspelo za:
Novi korisnici dodati u prostor (nije moguće preuzeti ključeve)
Postojeći korisnici u prostoru koji koriste novi klijent (nije moguće preuzeti ključeve)
Postojeći korisnici u prostoru će nastaviti da funkcionišu uspešno sve dok njihovi klijenti imaju keš ključeva za šifrovanje
Važno je da pravilno nadgledate svoj klaster hibridne bezbednosti podataka i da na odgovarajući način odgovorite na sva upozorenja kako biste izbegli prekid usluge.
Upozorenja
Ako postoji problem sa podešavanjem hibridne bezbednosti podataka, Control Hub prikazuje upozorenja administratoru organizacije i šalje e-poruke konfigurisanim e-adresa. Upozorenja pokrivaju mnogo uobičajenih scenarija.
Upozorenje | Radnja |
|---|---|
Neuspešan pristup lokalnoj bazi podataka. |
Proverite da li ima grešaka u bazi podataka ili problema sa lokalnom mrežom. |
Lokalni broj neuspešno povezivanje. |
Proverite da server baze podataka je dostupan i da nalog za usluge akreditivi korišćeni u konfiguraciji čvorova. |
Neuspešan pristup usluzi u oblaku. |
Proverite da li čvorovi mogu da pristupe Webex serverima kao što je navedeno u zahtevima za spoljno povezivanje. |
Obnavlja se registracija usluge u oblaku. |
Registracija za usluge u oblaku je odbačena. Obnova registracije je u toku. |
Registracija usluge u oblaku je odbačena. |
Registracija za usluge u oblaku je prekinuta. Usluga se iskljućuje. |
Usluga još uvek nije aktivirana. |
Aktivirajte probnu verziju ili završite sa premeštanjem probne verzije na proizvodnju. |
Konfigurisani domen se ne podudara sertifikat servera. |
Uverite se da sertifikat servera se podudara sa konfigurisanim domenom za aktivaciju usluge. Najverovatniji uzrok je to što je CN sertifikata nedavno promenjen i sada se razlikuje od CN-a koji je korišćen tokom početnog podešavanja. |
Potvrda identiteta za usluge u oblaku nije uspela. |
Proverite tačnost i mogući istek nalog za usluge akreditivi. |
Otvaranje datoteke lokalnog ključeva nije uspelo. |
Proverite da li postoji tačnost integriteta i lozinke u datoteci lokalnog ključeva. |
Lokalna sertifikat servera nevažeća. |
Proverite sertifikat servera na datum isteka i potvrdite da ga je izdao pouzdani Certificate Authority. |
Objavljivanje pokazatelja nije moguće. |
Proverite pristup lokalne mreže spoljnim uslugama oblaka. |
/media/configdrive/hds direktorijum ne postoji. |
Proverite konfiguraciju ISO na virtuelnog organizatora. Proverite da ISO datoteka postoji, da je podešena za montiranje na ponovno pokretanje i da li se uspešno montava. |
Rešavanje problema sa hibridnom zaštitom podataka
| 1 | Pregledajte Control Hub za sva upozorenja i ispravite sve stavke koje tamo pronađete. |
| 2 | Pregledajte izlaz Syslog servera za aktivnost iz primene hibridne bezbednosti podataka. |
| 3 | Obratite se Cisco podrška. |
Poznati problemi za hibridnu bezbednost podataka
Ako isključite klaster hibridne bezbednosti podataka (brisanjem na portalu Control Hub ili isključivanje svih čvorova), izgubite datoteku za ISO konfiguracije ili izgubite pristup bazi podataka ključeva, korisnici aplikacije Webex više neće moći da koriste prostore na listi "Osobe" koji su kreirani pomoću ključeva iz vašeg KMS-a. Ovo se odnosi i na probnu verziju i na proizvodne primene. Trenutno nemamo rešenje ili rešenje za ovaj problem i pozivamo vas da ne isključite HDS usluge nakon što rukuju aktivnim korisničkim nalozima.
Klijent koji ima postojeću ECDH vezu sa KMS-om održava tu vezu određeno vreme (verovatno jedan sat). Kada korisnik postane član probne verzije hibridne bezbednosti podataka, klijent korisnika nastavlja da koristi postojeću ECDH vezu sve dok istekne vreme. Osim toga, korisnik može da odjaviti se ponovo u aplikaciju Webex kako bi ažurirao lokaciju koju aplikacija kontaktira za ključeve za šifrovanje.
Isto ponašanje se dešava kada premestite probnu verziju na proizvodnju za organizaciju. Svi korisnici koji nisu probni sa postojećim ECDH vezama sa prethodnim bezbednosnim uslugama podataka nastaviće da koriste te usluge dok se ponovo ne pregovara o ECDH vezi (kroz vremensko ograničenje ili odjavljivanjem i ponovnom prijavama).
Koristite OpenSSL za generisanje PKCS12 datoteke
Pre nego što počnete
OpenSSL je jedna alatka koja se može koristiti za podešavanje PKCS12 datoteke u odgovarajućem formatu za učitavanje u alatki za podešavanje HDS-a. Postoje i drugi načini da se to uradi, a ne podržavamo i ne promovišemo ga na neki drugi način.
Ako odaberete da koristite OpenSSL, pružamo ovu proceduru kao smernicu da vam pomognemo da kreirate datoteku koja ispunjava zahteve sertifikata X.509 u zahtevima za sertifikate X.509. Razumejte te zahteve pre nego što nastavite.
Instalirajte OpenSSL u podržanom okruženju. Pogledajte https://www.openssl.org softver i dokumentaciju.
Kreirajte privatni ključ.
Pokrenite ovu proceduru kada dobijete sertifikat servera od svog Certificate Authority (CA).
| 1 | Kada primite sertifikat servera iz CA, sačuvajte ga kao |
| 2 | Prikažite sertifikat kao tekst i potvrdite detalje.
|
| 3 | Koristite uređivač teksta da biste kreirali datoteku sa paketom sertifikata koja se zove
|
| 4 | Kreiraj .p12 datoteku sa prijateljskim imenom
|
| 5 | Proverite detalje sertifikat servera. |
Šta je sledeće
Vratite se da biste ispunili preduslove za hibridnu bezbednost podataka. Koristićete hdsnode.p12 lozinku koju ste postavili , u odeljku Kreiranje konfiguracije ISO za HDS organizatore.
| Ove datoteke možete ponovo da koristite da biste zatražili novi sertifikat kada originalni sertifikat istekne. |
Saobraćaj između HDS čvorova i oblaka
Saobraćaj za prikupljanje odlaznih pokazatelja
Čvorovi za hibridnu bezbednost podataka šalju određene pokazatelje Webex oblaku. U njih spadaju sistemski pokazatelji za maksimum grupe, upotrebu grupe, CPU učitavanje i broj konverzacije; pokazatelji za sinhrone i asinhrone konverzacije; metrika za upozorenja koja uključuju prag veza za šifrovanje, kašnjenje ili dužinu reda za čekanje zahteva; pokazatelji u skladištu podataka; metrika za šifrovanje veze. Čvorovi šalju materijal za šifrovani ključ preko kanala van opsega (odvojeno od zahteva).
Dolazni saobraćaj
Čvorovi za hibridnu bezbednost podataka dobijaju sledeće tipove dolaznog saobraćaja iz Webex oblaka:
Zahtevi za šifrovanje od klijenata, koje usmerava usluga šifrovanja
Nadograđuje se na softver čvora
Konfigurisanje lignja proxy servera za hibridnu bezbednost podataka
Websocket ne može da se poveže preko proxy servera lignje
Proxy proxy serveri koji pregledaju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a ( wss:) veza koje zahteva hibridna bezbednost podataka. Ovi odeljci daju uputstva kako da konfigurišete različite verzije Lignje za zanemarivanje wss: saobraćaj za pravilan rad usluga.
Lignje 4 i 5
Dodajte datoteku on_unsupported_protocol direktivu za squid.conf:
on_unsupported_protocol tunnel allLignje 3,5.27
Uspešno smo testirali hibridnu bezbednost podataka sa sledećim pravilima dodatim u squid.conf. Ova pravila podležu promeni dok razvijamo funkcije i ažuriramo Webex oblak.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allNove i promenjene informacije
Datum | Napravljene promene | ||
|---|---|---|---|
20. oktobar 2023. |
| ||
Avgust 07, 2023. |
| ||
23. maj 2023. |
| ||
06. decembar 2022. |
| ||
23. novembar 2022. |
| ||
13.11.2021. | Docker Desktop mora da pokrene program za podešavanje da biste mogli da instalirate HDS čvorove. Pogledajte zahteve za docker radnu površinu. | ||
24.04.2021. | Imajte u vidu to da možete ponovo da koristite datoteku privatnog ključa i da CSR zatražite drugi sertifikat. Detaljnije informacije potražite u članku Upotreba openSSL za generisanje PKCS12 datoteke . | ||
| 30. april 2021. | Promenjen je VM za prostor na lokalnom čvrstom disku na 30 GB. Detaljnije informacije potražite u zahtevima virtuelnog organizatora. | ||
24. februar, 2021. | Alatka za podešavanje HDS-a sada može da radi iza proxy servera. Detalje potražite u članku Kreiranje ISO za HDS organizatore . | ||
2. februar, 2021. | HDS sada može da radi bez postavljene ISO datoteke. Detaljnije informacije potražite u članku (opcionalno) uklanjanje ISO nakon HDS konfiguracije . | ||
11. januar 2021. | Dodate su informacije o alatki za podešavanje HDS-a i proxy serverima za kreiranje ISO za HDS organizatore. | ||
13.11.2020. | Ažurirano preuzimanje instalacionih datoteka. | ||
8. oktobar 2020. | Ažurirano kreiranje konfiguracije za ISO za HDS organizatore i promenu konfiguracije čvora pomoću komandi za FedRAMP okruženja. | ||
14.04.2020. | Ažurirano je kreiranje konfiguracije ISO za HDS organizatore i promenu konfiguracije čvora promenama u procesu prijavljivanja. | ||
5. avgust, 2020. | Ažurirano testirajte primenu hibridne bezbednosti podataka za promene u porukama evidencije. Ažurirani su zahtevi virtuelnog organizatora kako bi se maksimalni broj uklonili organizatori. | ||
16. jun, 2020. | Ažurirano je uklanjanje čvora za promene u korisničkom interfejsu platforme Control Hub. | ||
4. jun, 2020. | Ažurirano je kreiranje konfiguracije ISO za HDS organizatore za promene u naprednih podešavanja koje možete podesiti. | ||
29. maj, 2020. | Ažurirano kreiranje konfiguracije ISO za HDS organizatore koji će pokazati da takođe možete da koristite TLS sa SQL bazama podataka servera, promenama korisničkog interfejsa i drugim pojašnjenja. | ||
5. maj, 2020. | Ažurirani su zahtevi virtuelnog organizatora kako bi se prikazao novi zahtev za ESXi 6.5. | ||
21. april 2020. | Ažurirani su zahtevi za spoljne mogućnosti povezivanja sa hostovima kompanije New Americas CI. | ||
1. aprila 2020. | Ažurirani su zahtevi za spoljnu povezanost sa informacijama o regionalnim CI organizatorima. | ||
| 20. februar, 2020. | Ažurirano kreiranje konfiguracije ISO za HDS organizatore informacijama o novom opcionalnom ekranu za napredna podešavanja u alatki za podešavanje HDS-a. | ||
| 4. februar 2020. | Ažurirani zahtevi proxy servera. | ||
| 16. decembar 2019. | Pojašnjeno je zahtev da režim DNS spoljne rezolucije radi u zahtevima proxy servera. | ||
| 19.11.2019. | Dodate informacije o blokiranim spoljnim DNS u sledećim odeljcima: | ||
8.11.2019. | Sada možete da konfigurišete podešavanja mreže za čvor dok primenjujete OVA, a ne kasnije. Ažurirani su sledeći odeljci na odgovarajući način:
| ||
6. septembar 2019. | Dodat je SQL server standarda u zahteve servera baze podataka. | ||
| 29. avgusta 2019. | Dodato je konfigurisanje lignja proxy servera za dodatak za hibridnu bezbednost podataka sa uputstvima za konfigurisanje proxy servera za lignje kako bi se zanemario websocket saobraćaj radi pravilnog rada. | ||
| 20. avgust, 2019. | Dodati su i ažurirani odeljci za pokrivanje proxy podrške za komunikacije čvora hibridne bezbednosti podataka sa Webex oblakom. Da biste pristupili samo sadržaju podrške za proxy za postojeću primenu, pogledajte članak pomoći proxy podrške za hibridnu bezbednost podataka i članak pomoći Webex Video Mesh . | ||
| 13. jun 2019. | Probna verzija je ažurirana na tok zadatka proizvodnje sa podsetnikom za sinhronizaciju HdsTrialGroup grupni objekat pre pokretanja probne verzije ako vaša organizacija koristi sinhronizaciju direktorijuma. | ||
| 6. mart 2019. |
| ||
| 28. februara 2019. |
| ||
| 26. februar 2019. |
| ||
24. januar, 2019. |
| ||
| 5. novembar 2018. |
| ||
| 19. oktobar 2018. |
| ||
Jul 31, 2018 |
| ||
| 21. maj 2018. | Promenjena terminologija da odražava rebrendiranje Cisco Sparka:
| ||
| 11. april 2018. |
| ||
| 22. februar, 2018. |
| ||
| 15. februara 2018. |
| ||
| 18. januara 2018. |
| ||
2. novembar 2017. |
| ||
Avgust 18, 2017 | Prvo objavljeno |
Pregled hibridne bezbednosti podataka
Od 1. dana bezbednost podataka je primarni fokus u dizajnu aplikacije Webex. Kamen temeljac ove bezbednosti je potpuno šifrovanje sadržaja, koje omogućavaju klijenti Webex aplikacije koji obavljaju interakciju sa uslugom upravljanja ključevima (KMS). KMS je odgovoran za kreiranje i upravljanje kriptografskim ključevima koje klijenti koriste za dinamički šifrovanje i dešifrovanje poruka i datoteka.
Podrazumevano, svi kupci aplikacije Webex dobijaju potpuno šifrovanje pomoću dinamičkih ključeva uskladištenih u KMS-u u oblaku, u Cisco bezbednosnom području. Hibridna bezbednost podataka premešta KMS i druge funkcije povezane sa bezbednošću u vaš podaci preduzeća centar, tako da niko osim vas ne zadržava ključeve svog šifrovanog sadržaja.
Arhitektura bezbednosnog područja
Arhitektura Webex oblaka odvaja različite tipove usluge u zasebna područja ili pouzdane domene, kao što je opisano ispod.
Da biste dodatno razumeli hibridnu bezbednost podataka, hajde da pogledamo ovaj čisti slučaj u oblaku gde Cisco obezbeđuje sve funkcije u svom području oblaka. Usluga identiteta, jedino mesto gde korisnici mogu direktno da se povežu sa ličnim podacima kao što su e-adresa, logično i fizičko se odvaja od bezbednosnog područja u centar za podatke B. Oba se zamenjuju odvojeno od područja gde se šifrovani sadržaj konačno skladišti u centar za podatke C.
Na ovom dijagramu, klijent je aplikacija Webex pokrenuta na laptop računaru korisnika i potvrdio identitet pomoću usluge identiteta. Kada korisnik sastavi poruku za slanje u prostor, izvršite sledeće korake:
Klijent uspostavlja funkciju bezbedna veza uslugom upravljanja ključevima (KMS), a zatim traži ključ za šifrovanje poruke. Ova bezbedna veza koristi ECDH, a KMS šifruje ključ pomoću AES-256 glavni ključ.
Poruka je šifrovana pre nego što napusti klijent. Klijent je šalje usluzi indeksa, koja kreira šifrovane indekse pretrage kako bi pomogla u budućim pretraživanjima sadržaja.
Šifrovana poruka se šalje usluzi usklađenosti radi provere usklađenosti.
Šifrovana poruka se čuva u području skladišta.
Kada primenite hibridnu bezbednost podataka, premestite funkcije bezbednosnog područja (KMS, indeksiranje i usaglašenost) na u objektu centar za podatke. Ostale usluge u oblaku koje sačinju Webex (uključujući identitet i skladištenje sadržaja) ostaju u Područjima kompanije Cisco.
Saradnja sa drugim organizacijama
Korisnici u vašoj organizaciji mogu redovno da koriste aplikaciju Webex za saradnju sa spoljnim učesnicima u drugim organizacijama. Kada jedan od korisnika zatraži ključ za prostor u vlasništvu vaše organizacije (jer ga je kreirao jedan od korisnika) VAŠ KMS šalje ključ klijentu preko ECDH bezbednog kanala. Međutim, kada druga organizacija poseduje ključ za prostor, vaš KMS usmerava zahtev do Webex oblaka putem zasebnog ECDH kanala da bi dobili ključ iz odgovarajućih KMS-a, a zatim vraća ključ korisniku na originalnom kanalu.
KMS usluga pokrenuta u okviru Org A proverava veze sa KMS-ovima u drugim organizacijama koristeći PKI sertifikate x.509. Pogledajte odeljak Pripremite svoje okruženje za detalje o generisanju sertifikata x.509 koji će se koristiti sa primenom hibridne bezbednosti podataka.
Očekivanja za primenu hibridne bezbednosti podataka
Primena hibridne bezbednosti podataka zahteva značajnu posvećenost kupaca i svesnost o rizicima koji dolaze sa sopstvenim ključevima za šifrovanje.
Da biste primenili hibridnu bezbednost podataka, morate da navedite:
Bezbedna centar za podatke u zemlji koja je podržana lokacija za Cisco Webex Teams planove.
Pristup opremi, softveru i mreži opisan u pripremi okruženja.
Dovršen gubitak konfiguracije ISO koju ste izgradili za hibridnu bezbednost podataka ili bazu podataka koju naveli dovešću do gubitka ključeva. Gubitak ključa sprečava korisnike da dešifruje sadržaj prostora i druge šifrovane podatke u aplikaciji Webex. Ako se to desi, možete da napravite novu primenu, ali će samo novi sadržaj biti vidljiv. Da biste izbegli gubitak pristupa podacima, morate:
Upravljajte rezervnim kopijama i oporavkom baze podataka i konfiguracijama ISO.
Budite spremni da izvršite brze oporavljanje nakon katastrofe ako dođe do katastrofe, kao što je neuspeh diska baze podataka ili centar za podatke katastrofa.
| Ne postoji mehanizam za premeštanje ključeva u oblak nakon HDS primene. |
Proces podešavanja visokog nivoa
Ovaj dokument pokriva podešavanje i upravljanje primenom hibridne bezbednosti podataka:
Podešavanje hibridne bezbednosti podataka – To uključuje pripremu potrebne infrastrukture i instaliranje softvera hibridne bezbednosti podataka, testiranje primene sa podskupom korisnika u probnom režimu i, kada se testiranje završi, prelazi na proizvodnju. Ovim putem će cela organizacija da koristi vaš klaster za hibridnu bezbednost podataka za bezbednosne funkcije.
Faze podešavanja, probne verzije i produkcijske faze su detaljno pokrivene u naredna tri poglavlja.
Održavajte primenu hibridne bezbednosti podataka – Webex oblak automatski obezbeđuje tekuće nadogradnje. Vaše IT odeljenje može da pruži jednu podršku za ovu primenu i da se angažuje Cisco podrška po potrebi. Obaveštenja na ekranu možete da koristite i podesiti upozorenja zasnovana na e-poruci na platformi Control Hub.
Razumevanje uobičajenih upozorenja, koraka rešavanja problema i poznatih problema – Ako naiđete na problem prilikom primene ili korišćenja hibridne bezbednosti podataka, poslednje poglavlje ovog vodiča i aplikacije Poznati problemi mogu vam pomoći da odredite i rešite problem.
Model primene hibridne bezbednosti podataka
U okviru podaci preduzeća centra primenjujete hibridnu bezbednost podataka kao jedan klaster čvorova na zasebnim virtuelnim organizatorima. Čvorovi komuniciraju sa Webex oblakom putem bezbednih veb-priključaka i bezbednog HTTP-a.
Tokom procesa instalacije obezbeđujemo vam OVA datoteku za podesiti virtuelni uređaj na VM-ovima koje pružate. Alatku za podešavanje HDS-a koristite da biste kreirali prilagođenu konfiguraciju klastera ISO koju montirate na svaki čvor. Klaster hibridne bezbednosti podataka koristi obezbeđeni Syslogd server i PostgreSQL ili Microsoft SQL server bazu podataka. (Detalje o Syslogd-u i vezi sa bazom podataka konfigurišete u alatki za podešavanje HDS-a.)
Minimalni broj čvorova koje možete da imate u klasteru je dva. Preporučujemo da ih ima najmanje tri, a možete da ih imate do pet. Ako imate više čvorova, osigurava se da se usluga ne prekida tokom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor u isto vreme.)
Svi čvorovi u klasteru pristupaju istom skladištu podataka ključa i aktivnost evidencije istom serveru syslog. Sami čvorovi su bez države i obrađuju zahteve u okruglo-robin stilu, kao što je režirao oblak.
Čvorovi postaju aktivni kada ih registrujete na portalu Control Hub. Da biste pojedinačni čvor odjavili iz funkcije, možete ga odjaviti i kasnije ponovo registracijiti po potrebi.
Podržavamo samo jedan klaster po organizaciji.
Probni režim hibridne bezbednosti podataka
Nakon podešavanja primene hibridne bezbednosti podataka, prvo pokušajte sa skupom pilot korisnika. Tokom probnog perioda ovi korisnici koriste u objektu domen hibridne bezbednosti podataka za ključeve za šifrovanje i druge usluge bezbednosnog područja. Ostali korisnici i dalje koriste područje bezbednosti oblaka.
Ako odlučite da ne nastavite sa primenom tokom probne verzije i deaktivirate uslugu, pilot korisnici i svi korisnici sa kojima su ostvarili interakciju kreiranjem novih prostora tokom probnog perioda izgubiće pristup porukama i sadržaju. Oni će videti "Ova poruka se ne može dešifrovanje" u aplikaciji Webex.
Ako ste zadovoljni da primena funkcioniše dobro za probne korisnike i spremni ste da proširite hibridnu bezbednost podataka na sve svoje korisnike, prebacite primenu na proizvodnju. Pilot korisnici i dalje imaju pristup ključevima koji su se koristili tokom probne verzije. Međutim, ne možete se uvek pomerati između proizvodnog režima i originalne probne verzije. Ako morate da deaktivirate uslugu, na primer da biste izvršili oporavljanje nakon katastrofe, kada ponovo aktivirate morate da pokrenete novu probnu verziju i da podesiti skup pilot korisnika za novu probnu verziju pre nego što se vratite u proizvodni režim. Bez obzira na to da li korisnici zadržavaju pristup podacima u ovom trenutku, zavisi od toga da li ste uspešno održali rezervne kopije ključa skladištenje podataka i ISO datoteka sa konfiguracijom za čvorove za hibridnu bezbednost podataka u klasteru.
Centar podataka u pripravnosti za oporavak od katastrofe
Tokom primene, možete podesiti u bezbednom centar za podatke. U slučaju centar za podatke katastrofe, možete ručno da ne uspete da izvršite raspoređivanje u režimu centar za podatke.
Baze podataka aktivnih i u stanju pripravnosti centara podataka su u sinhronizaciji jedan sa drugim, što će umanjiti vreme potrebno za izvršavanje neuspeha. Datoteka ISO u režimu centar za podatke ažurira se dodatnim konfiguracijama koje obezbeđuju da čvorovi budu registrovani u organizaciji, ali neće upravljati saobraćajem. Zbog toga čvorovi u režimu centar za podatke uvek ostanu ažurirani sa najnovijom verzijom HDS softvera.
| Aktivni čvorovi za hibridnu bezbednost podataka moraju uvek biti u centar za podatke kao i aktivni server baze podataka. |
Podešavanje centra podataka u pripravnosti za oporavak od katastrofe
Sledite dolenavedene korake da biste ISO datoteku u režimu centar za podatke:
Pre nego što počnete
Prostor u centar za podatke bi trebalo da preslika proizvodno okruženje VMs i rezervnu PostgreSQL ili Microsoft SQL server bazu podataka. Na primer, ako proizvodnja ima 3 VMS koji imaju HDS čvorove, rezervno okruženje bi trebalo da ima 3 VMS. (Pregled ovog modela neuspešnog pokretanja potražite u centru podataka u 3 VMS.)
Uverite se da je sinhronizacija baze podataka omogućena između baze podataka aktivnih i pasivnih čvorova klastera.
| 1 | Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiranje ISO za HDS organizatore.
| ||
| 2 | Nakon što konfigurišete Syslogd server, kliknite na opciju " Napredna podešavanja" | ||
| 3 | Na stranici "Napredna podešavanja " dodajte konfiguraciju u nastavku da biste postavili čvor u pasivan režim. U ovom režimu će čvor biti registrovan za organizaciju i povezan na oblak, ali neće upravljati nikakvim saobraćajem.
| ||
| 4 | Dovršite proces konfiguracije i sačuvajte datoteku ISO na lokaciji koju je lako pronaći. | ||
| 5 | Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu. Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije. | ||
| 6 | U levom navigacionom panelu VMware vSphere klijenta možete desni klik na VM i kliknite na "Uredi podešavanja". | ||
| 7 | Kliknite na "Uredi >CD/DVD disk jedinicu 1 " i izaberite stavku Skladište ISO podataka.
| ||
| 8 | Uključite HDS čvor i uverite se da nema alarma najmanje 15 minuta. | ||
| 9 | Ponovite proces za svaki čvor u režimu centar za podatke.
|
Šta je sledeće
Nakon konfigurisanja passiveMode u datoteci ISO i sačuvati je, možete da kreirate još jednu kopiju datoteke ISO datoteku bez passiveMode konfiguracija i čuvanje na bezbednoj lokaciji. Ova kopija datoteke ISO datoteke bez passiveMode konfigurisana funkcija može pomoći u brzom procesu preuzimanja tokom oporavljanje nakon katastrofe. Pogledajte " Oporavak od katastrofe" koristeći centar podataka u pripravnosti za detaljan postupak preuzimanja.
Proxy podrška
Hibridna bezbednost podataka podržava eksplicitnu, prozirnu inspekciju i proxy servere koji se ne pregledaju. Ove proxy servere možete da vežete za raspoređivanje kako biste mogli da bezbedno i nadgledate saobraćaj od preduzeća do oblaka. Možete da koristite interfejs administratora platforme na čvorovima za upravljanje sertifikatima i da proverite ukupni status povezanosti nakon što podesite proxy server na čvorovima.
Čvorovi za hibridnu bezbednost podataka podržavaju sledeće opcije proxy servera:
Nema proxy servera – podrazumevano ako ne koristite podešavanje HDS čvora Pouzdano skladište i proxy servera za integraciju proxy servera. Nije potrebno ažuriranje sertifikata.
Prozirni proxy server koji ne pregleda – čvorovi nisu konfigurisani da koriste određenu proksi server adresu i ne bi trebalo da zahtevaju nikakve promene za rad sa proxy serverom koji ne pregleda. Nije potrebno ažuriranje sertifikata.
Prozirno prolazno prolaze ili protok proxy servera – čvorovi nisu konfigurisani za korišćenje određene proksi server adrese. Na čvorovima nisu potrebne promene HTTP ili HTTPS konfiguracije. Međutim, čvorovima je potreban korenski sertifikat tako da imaju poverenja u proxy server. IT sistemi obično koriste inspekciju za primenu smernica preko kojih mogu da se posećuju veb-lokacije i koje vrste sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifrova sav vaš saobraćaj (čak i HTTPS).
Eksplicitni proxy server – sa eksplicitnim proxy serverom govorite HDS čvorovima koje proksi server i šemom potvrde identiteta da koriste. Da biste konfigurisali eksplicitni proxy server, morate uneti sledeće informacije u svaki čvor:
Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy računaru.
Proxy port – A broj priključka proxy servera koristi za slušanje proksi saobraćaja.
Proxy protokol – u zavisnosti od toga šta proksi server podržava, izaberite između sledećih protokola:
HTTP – Pregleda i kontroliše sve zahteve koje klijent šalje.
HTTPS – Obezbeđuje kanal za server. Klijent prima i proverava valjanost sertifikata servera.
vrsta autentifikacije – Izaberite jedan od sledećih tipova potvrde identiteta:
Nijedna – nije potrebna dodatna potvrda identiteta.
Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.
Osnovna – koristi se za HTTP korisničkog agenta za navedite korisničko ime i lozinku prilikom upućivanje zahteva. Koristi Base64 kodiranje.
Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.
Zahteva da unesete korisničko ime i lozinku u svaki čvor.
Digest – koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje funkciju hash-a na korisničko ime i lozinku pre slanja preko mreže.
Dostupno samo ako izaberete HTTPS kao proxy protokol.
Zahteva da unesete korisničko ime i lozinku u svaki čvor.
Primer čvorova za hibridnu bezbednost podataka i proxy servera
Ovaj dijagram prikazuje primer veze između hibridne bezbednosti podataka, mreže i proxy servera. Za prozirnu inspekciju i HTTPS eksplicitnu inspekciju opcija proxy korenski sertifikat se mora instalirati na proxy serveru i na čvorovima za hibridnu bezbednost podataka.
Blokirani spoljni DNS rezolucije (eksplicitne konfiguracije proxy servera)
Kada registrujete čvor ili proverite konfiguraciju proxy servera čvora, proces testira DNS pronalaženja i mogućnosti povezivanja sa Cisco Webex oblakom. U primenama sa eksplicitnim konfiguracijama proxy servera koje ne dozvoljavaju spoljnu DNS za interne klijente, ako čvor ne može da upitu na DNS servere, automatski prelazi u režim blokirane spoljne DNS rezolucije. U ovom režimu mogu da se nastave testovi registracije čvora i drugih testova mogućnosti povezivanja sa proxy serverom.
Zahtevi za hibridnu bezbednost podataka
Cisco Webex licence
Da biste primenili hibridnu bezbednost podataka:
Morate imati Pro Pack za Cisco Webex Control Hub. (Pogledajte https://www.cisco.com/go/pro-pack.)
Zahtevi za docker radnu površinu
Da biste instalirali HDS čvorove, treba vam Docker Desktop da biste pokrenuli program za podešavanje. Docker je nedavno ažurirao svoj model licenciranja. Vaša organizacija možda zahteva plaćenu pretplatu za Docker Desktop. Više detalja potražite u postu docker bloga, " Docker ažurira i proširi pretplate na naše proizvode".
X.509 zahtevi za sertifikat
Organizator lanac sertifikata ispuni sledeće uslove:
Uslov | Detalji |
|---|---|
| Podrazumevano verujemo CA-ovima na Mozilla listi (sa izuzetkom WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs. |
| CN ne mora da bude dostupan ili organizator uživo. Preporučujemo da koristite ime koje odražava vašu organizaciju, na primer, CN ne sme da sadrži * (džoker). CN se koristi za potvrdu čvorova hibridne bezbednosti podataka klijentima aplikacije Webex. Svi čvorovi za hibridnu bezbednost podataka u klasteru koriste isti sertifikat. Vaš KMS se identifikuje pomoću CN domena, a ne bilo kog domena definisanog u poljima x.509v3 SAN. Nakon što registrujte čvor sa ovim sertifikatu, ne podržavamo promenu CN naziv domena. Izaberite domen koji može da se primeni i na probnu verziju i na produkcijske primene. |
| KMS softver ne podržava SHA1 potpise za proveru valjanosti veza sa KMS-ovima drugih organizacija. |
| Za promenu formata certifikata možete da koristite konvertor kao što je OpenSSL. Moraćete da unesete lozinku kada pokrenete alatku za podešavanje HDS-a. |
KMS softver ne nameće ograničenja korišćenja ključa ili proširena ograničenja korišćenja ključa. Neki autoriteti za izdavanje sertifikata zahtevaju da se proširena ograničenja korišćenja ključa primenjuju na svaki sertifikat, kao što je potvrda identiteta servera. U redu je da koristite potvrdu identiteta servera ili druga podešavanja.
Zahtevi virtuelnog organizatora
Virtuelni domaćini koje ćete podesiti kao čvorove hibridne bezbednosti podataka u svom klasteru imaju sledeće zahteve:
Najmanje dva odvojena organizatora (3 preporučena) u istom bezbednom centar za podatke
VMware ESXi 6.5 (ili noviji) je instaliran i pokrenut.
Morate da nadogradite ako imate raniju verziju ESXi-a.
Najmanje 4 vCPU, 8 GB glavne memorije, 30 GB lokalnog čvrstog prostora po serveru
Zahtevi servera baze podataka
| Kreirajte novu bazu podataka za skladištenje ključeva. Nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada je instalirana, kreirajte šemu baze podataka. |
Postoje dve opcije za ovu server baze podataka. Zahtevi za svakog su sledeći:
PostgresqL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Najmanje 8 vCUs, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje kako bi se osiguralo da nije prekoračena (preporučuje se 2-TB ako želite da baza podataka dugo radi, a da ne morate da povećavate skladište) | Najmanje 8 vCUs, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje kako bi se osiguralo da nije prekoračena (preporučuje se 2-TB ako želite da baza podataka dugo radi, a da ne morate da povećavate skladište) |
HDS softver trenutno instalira sledeće verzije upravljačkog programa za komunikaciju sa server baze podataka:
PostgresqL | Microsoft SQL Server |
|---|---|
Postgres JDBC upravljački program 42.2.5 | SQL JDBC upravljački program servera 4.6 Ova verzija upravljačkog programa podržava SQL server uvek uključen ( Uvek uključene instance neuspešnog klastera i Grupe dostupnosti uvek uključene). |
Dodatni zahtevi za Windows potvrdu identiteta u SQL Microsoft serveru
Ako želite da HDS čvorovi koriste Windows potvrdu identiteta da bi dobili pristup bazi podataka ključeva na Microsoft SQL serveru, potrebna vam je sledeća konfiguracija u vašem okruženju:
HDS čvorovi, Active Directory infrastruktura i MS SQL server moraju da se sinhronizuju sa NTP.
Windows nalog koji napišete HDS čvorovima mora da ima pristup za čitanje/pisanje baze podataka.
Serveri DNS koje dostavite HDS čvorovima moraju da budu u mogućnosti da razreše centar za distribuciju ključa (KDC).
Možete registrovati instancu HDS baze podataka na Microsoft SQL serveru kao glavno ime usluge (SPN) na Active Directory. Pogledajte članak Registrovanje glavnog imena usluge za Kerberos veze.
Alatka za podešavanje HDS, HDS pokretanje i lokalni KMS moraju da koriste Windows potvrdu identiteta za pristup bazi podataka ključeva. Oni koriste detalje iz vaše konfiguracije ISO za konstrukciju SPN-a kada zahtevaju pristup pomoću Kerberos potvrde identiteta.
Zahtevi za spoljno povezivanje
Konfigurišite zaštitni zid da biste omogućili sledeće mogućnosti povezivanja za HDS aplikacije:
Aplikacija | Protokol | Port | Smer iz aplikacije | Odredište |
|---|---|---|---|---|
Čvorovi za hibridnu bezbednost podataka | TCP | 443 | Odlazni HTTPS i WSS |
|
Alatka za podešavanje HDS-a | TCP | 443 | Odlazni HTTPS |
|
| Čvorovi za hibridnu bezbednost podataka rade sa prevodom pristupa mreži (NAT) ili iza zaštitnog zida, sve dok NAT ili zaštitni zid omogućavaju potrebne odlazne veze sa odredištima domena u pređašnje tabeli. Za veze koje ide do čvorova za hibridnu bezbednost podataka, nijedan port ne bi trebalo da bude vidljiv sa interneta. U okviru vaših centar za podatke, klijentima je potreban pristup čvorovima hibridne bezbednosti podataka na TCP portovima 443 i 22, u administrativne svrhe. |
URL adrese za hostove zajedničkog identiteta (CI) su specifične za region. Ovo su trenutni CI organizatori:
Regiona | URL adrese organizatora zajedničkog identiteta |
|---|---|
Amerike |
|
Evropska unija |
|
Kanada |
|
Zahtevi proxy servera
Zvanično podržavamo sledeća proxy rešenja koja mogu da se integriše sa vašim čvorovima za hibridnu bezbednost podataka.
Prozirni proxy— Cisco uređaj za veb-bezbednost (WSA).
Eksplicitni proxy server – lignja.
Proxy proxy serveri koji pregledaju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a (wss:) Veze. Da biste rešili ovaj problem, pogledajte članak Konfigurisanje lignje proxy servera za hibridnu bezbednost podataka.
Podržavamo sledeće kombinacije tipa potvrde identiteta za eksplicitne proxy servere:
Nema potvrde identiteta sa HTTP ili HTTPS-om
Osnovna potvrda identiteta sa HTTP ili HTTPS-om
Digest potvrda identiteta samo SA HTTPS-om
Za prozirni proxy server za inspekciju ili HTTPS eksplicitni proxy server, morate da imate kopiju proxy servera za korenski sertifikat. Uputstvo za primenu u ovom vodiču vam govori kako da otpremite kopiju u pouzdana skladišta čvorova hibridne bezbednosti podataka.
Mrežno hostovanje HDS čvorova mora biti konfigurisano da nametne odlazne TCP saobraćaju na portu 443 da bi se usmerio preko proxy servera.
Proxy korisnici koji pregledaju veb-saobraćaj mogu da ometaju veze veb-priključka. Ako dođe do ovog problema, zaobiđite saobraćaj (ne pregledajući) na
wbx2.comiciscospark.comće rešiti problem.
Ispunite preduslove za hibridnu bezbednost podataka
| 1 | Uverite se da je Webex organizacija omogućena za Pro Pack za Cisco Webex Control Hub i nabavite akreditive naloga sa punim pravima administratora organizacije. Obratite se Cisco partneru ili menadžeru naloga za pomoć u ovom procesu. | ||
| 2 | Odaberite naziv domena za HDS primenu (na primer, | ||
| 3 | Pripremite identične virtuelne organizatore koje ćete podesiti kao čvorove za hibridnu bezbednost podataka u svom klasteru. Potrebna su vam najmanje dva zasebna organizatora (3 preporučena) u istom bezbednom centar za podatke koji ispunjavaju zahteve u zahtevima virtuelnih organizatora. | ||
| 4 | Pripremite server baze podataka koji će delovati kao ključ za skladištenje podataka za klaster, u skladu sa zahtevima servera baze podataka. Organizatori server baze podataka buduконфигурисани у чекању centar za podatke virtuelnim organizatorima. | ||
| 5 | Za brze oporavljanje nakon katastrofe, podesiti rezervno okruženje u drugom centar za podatke. Rezervno okruženje preslikava proizvodno okruženje VMs i rezervne server baze podataka. Na primer, ako proizvodnja ima 3 VMS koji imaju HDS čvorove, rezervno okruženje bi trebalo da ima 3 VMS. | ||
| 6 | Podesite organizatora syslog za prikupljanje evidencija iz čvorova u klasteru. Prikupite mrežna adresa i syslog port (podrazumevano je UDP 514). | ||
| 7 | Kreirajte bezbednu politiku pravljenja rezervnih kopija za čvorove hibridne bezbednosti podataka, server baze podataka i organizatora sistemskog sistema. U minimumu, da biste sprečili nepoplaćivanje gubitka podataka, morate da napravite pozadinu baze podataka i datoteku ISO konfiguracije koja je generisana za čvorove hibridne bezbednosti podataka.
Klijenti aplikacije Webex keše svoje ključeve, tako da pre prekida rada možda neće biti odmah primetnljiv, ali će vremenom postati vidljivi. Iako je nemoguжe sprečiti privremene prekšiljanje, mogu se oporavljati. Međutim, potpuni gubitak (nema dostupnih rezervnih kopija) baze podataka ili datoteka ISO konfiguracije doveže do nepoplatnih podataka o kupcima. Operateri čvorova za hibridnu bezbednost podataka očekuju da zadrže česta rezervna kopija baze podataka i datoteke ISO konfiguracije i spremni su da ponovo izradite alatku za hibridnu bezbednost centar za podatke ako dođe do katastrofalnog neuspeha. | ||
| 8 | Uverite se da konfiguracija zaštitnog zida omogućava povezivanje za čvorove hibridne bezbednosti podataka kao što je navedeno u zahtevima spoljne povezanosti. | ||
| 9 | Instalirajte Docker ( https://www.docker.com) na bilo kom lokalnom računaru sa podržanim OS-om (Microsoft Windows 10 Profesionalni ili Enterprise 64-bitni ili Mac OSX Yosemite 10.10.3 ili noviji) sa veb-pregledačem koji može da mu pristupi na http://127.0.0.1:8080. Instancu Docker koristite za preuzimanje i pokretanje alatke za podešavanje HDS-a koja gradi lokalne informacije o konfiguraciji za sve čvorove hibridne bezbednosti podataka. Možda će vašoj organizaciji biti potrebna Licenca za Docker Desktop. Više informacija potražite u zahtevima docker radne površine. Da biste instalirali i pokrenuli alatku za podešavanje HDS-a, lokalni računar mora da ima ojačenu povezanost u zahtevima za spoljno povezivanje. | ||
| 10 | Ako integrišete proxy server sa hibridnom zaštitom podataka, uverite se da ispunjava zahteve proxy servera. | ||
| 11 | Ako vaša organizacija koristi sinhronizaciju direktorijuma, kreirajte grupu u Active Directory pozvali
|
Tok zadatka primene hibridne bezbednosti podataka
Pre nego što počnete
| 1 |
Preuzmite OVA datoteku na svoj lokalni računar za kasnije korišćenje. | ||
| 2 | Kreiranje konfiguracije ISO za HDS organizatore Koristite alatku za podešavanje HDS-a da biste ISO datoteka sa konfiguracijom za čvorove hibridne bezbednosti podataka. | ||
| 3 |
Kreirajte virtuelna mašina iz OVA datoteke i izvršite početnu konfiguraciju, kao što je podešavanja mreže.
| ||
| 4 | Podešavanje funkcije hibridne bezbednosti podataka VM Prijavite se na VM konzolu i podesite akreditive za prijavljivanje. Konfigurišite podešavanja mreže za čvor ako ih niste konfigurisali u vreme primene OVA. | ||
| 5 |
Konfigurišite VM na ISO datoteka sa konfiguracijom koju ste kreirali pomoću alatke za podešavanje HDS-a. | ||
| 6 | Konfigurisanje HDS čvora za integraciju proxy servera Ako mrežno okruženje zahteva konfiguraciju proxy servera, navedite tip proxy servera koji ćete koristiti za čvor i po potrebi dodati proxy sertifikat u skladište pouzdanosti. | ||
| 7 | Registrujte prvi čvor u klasteru Registrujte VM na Cisco Webex oblak kao čvor za hibridnu bezbednost podataka. | ||
| 8 | Kreirajte i registrujte više čvorova Dovršite podešavanje klastera. | ||
| 9 | Pokrenite probnu verziju i premestite se u proizvodnju (sledeće poglavlje) Dok ne započnete probnu verziju, vaši čvorovi generišu alarm koji ukazuje na to da usluga još uvek nije aktivirana. |
Preuzmi instalacione datoteke
| 1 | Prijavite se u , https://admin.webex.coma zatim kliknite na "Usluge". | ||||
| 2 | U odeljku Hibridne usluge pronađite karticu hibridna bezbednost podataka, a zatim kliknite na " Podesi". Ako je kartica onemogućena ili je ne vidite, obratite se timu za naloge ili partneroj organizaciji. Dajte im svoj broj naloga i zatražite da omoguće svojoj organizaciji hibridnu bezbednost podataka. Da biste pronašli broj naloga, kliknite na zupčanici u gornjem desnom uglu, pored imena organizacije.
| ||||
| 3 | Izaberite " Ne" da biste naznačili da još uvek podesiti čvor, a zatim kliknite na "Dalje ". OVA datoteka automatski počinje da preuzima. Sačuvajte datoteku na lokaciji na računaru.
| ||||
| 4 | Opcionalno, kliknite na uputstvo za primenu da biste proverili da li postoji novija verzija ovog vodiča. |
Kreiranje konfiguracije ISO za HDS organizatore
Proces podešavanja hibridne bezbednosti podataka kreira datoteku ISO datoteke. Zatim koristite ovu ISO da biste konfigurisali organizatora za hibridnu bezbednost podataka.
Pre nego što počnete
Alatka za podešavanje HDS-a radi kao docker kontejner na lokalnom računaru. Da biste mu pristupili, pokrenite "Docker" na tom računaru. Proces podešavanja zahteva akreditive za Control Hub nalog sa punim administratorskih prava za vašu organizaciju.
Ako alatka za podešavanje HDS radi iza proxy servera u vašem okruženju, obezbedite postavke proxy servera (server, port, akreditivi) kroz Promenljive Docker okruženja kada u koraku 5 unesite docker kontejner . Ova tabela daje neke moguće promenljive okruženja:
Opis
Promenljiva
HTTP Proxy bez potvrde identiteta
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS proxy bez potvrde identiteta
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy sa potvrdom identiteta
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy sa potvrdom identiteta
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTDatoteka za ISO koju generišete sadrži glavni ključ za šifrovanje PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada promenite konfiguraciju, kao što su ove:
Akreditivi baze podataka
Ažuriranja sertifikata
Promene smernica autorizacije
Ako planirate da šifrujete veze sa bazom podataka, podesiti PostgreSQL ili SQL primenu servera za TLS.
| 1 | Na komandnoj liniji računara unesite odgovarajuću komandu za svoje okruženje: U redovnim okruženjima: U FedRAMP okruženjima:
| ||||||||||||
| 2 | Da biste se prijavili u registar slika dokolice, unesite sledeće: | ||||||||||||
| 3 | Na upit za lozinku unesite ovaj hash: | ||||||||||||
| 4 | Preuzmite najnoviju stabilnu sliku za svoje okruženje: U redovnim okruženjima: U FedRAMP okruženjima: | ||||||||||||
| 5 | Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:
Kada je kontejner pokrenut, vidite "Express server sluša na portu 8080." | ||||||||||||
| 6 |
Koristite veb-pregledač za pristup lokalnom organizatoru, Alatka koristi ovaj prvi unos korisničkog imena da bi postavila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje. | ||||||||||||
| 7 | Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora kupca na portalu Control Hub, a zatim kliknite na "Prijavi se" da biste dozvolili pristup potrebnim uslugama za hibridnu bezbednost podataka. | ||||||||||||
| 8 | Na stranici "Pregled alatke za podešavanje" kliknite na "Prvi koraci". | ||||||||||||
| 9 | Na stranici za ISO uvoz imate sledeće opcije:
| ||||||||||||
| 10 | Proverite da li vaš X.509 sertifikat ispunjava zahteve u X.509 zahtevima sertifikata.
| ||||||||||||
| 11 | Unesite adresu baze podataka i nalog za HDS da biste pristupili usluzi podataka ključa: | ||||||||||||
| 12 | Izaberite TLS režima povezivanja baze podataka:
Kada otpremite korenski sertifikat (ako je potrebno) i kliknete na "Nastavi", alatka za podešavanje HDS-a testira TLS vezu sa server baze podataka. Alatka takođe potvrđuje potpisivanje sertifikata i ime hosta, ako je primenljivo. Ako test ne uspe, alatka prikazuje alatku poruka o grešci koja opisuje problem. Možete da odaberete da li želite da zanemarite grešku i nastavite sa podešavanjem. (Zbog razlika u mogućnosti povezivanja, HDS čvorovi će možda moći da uspostave vezu TLS čak i ako mašina alatke za podešavanje HDS-a ne može uspešno da je testira.) | ||||||||||||
| 13 | Na stranici "Sistemske evidencije" konfigurišite Syslogd server: | ||||||||||||
| 14 | (Opcionalno) U napredna podešavanja možete podrazumevana vrednost za neke parametre veze sa bazom podataka. Generalno, ovaj parametar je jedini koji želite da promenite: | ||||||||||||
| 15 | Kliknite na "Nastavi " na ekranu "Resetuj lozinku za naloge za usluge ". Lozinke naloga za usluge imaju životni vek od devet meseci. Koristite ovaj ekran kada lozinke ističe ili želite da ih resetujete kako biste poništili prethodne ISO datoteke. | ||||||||||||
| 16 | Kliknite na "Preuzmi ISO datoteku". Sačuvajte datoteku na lokaciji koju je lako pronaći. | ||||||||||||
| 17 | Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu. Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije. | ||||||||||||
| 18 | Da biste isključili alatku za podešavanje, otkucajte |
Šta je sledeće
Napravite napravite pozadinu datoteke ISO konfiguracije. Potrebno je da kreirate više čvorova za oporavak ili da biste uneli promene konfiguracije. Ako izgubite sve kopije datoteke ISO, izgubili ste i glavni ključ. Spasavanje ključeva iz PostgreSQL ili Microsoft SQL servera baze podataka nije moguće.
| Nikada nemamo kopiju ovog ključa i ne možemo da odolimo ako ga izgubite. |
Instaliraj HDS host OVA
| 1 | Koristite VMware vSphere klijent na računaru da biste se prijavili u ESXi virtuelnog organizatora. | ||||||
| 2 | Izaberite datoteku > primeni OVF šablon. | ||||||
| 3 | U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli, a zatim kliknite na "Dalje " . | ||||||
| 4 | Na stranici Izbor imena i fascikle unesite ime virtuelne mašine za čvor (na primer, "HDS_Node_1"), odaberite lokaciju na kojoj može da se virtuelna mašina primena čvora,a zatim kliknite na "Dalje". | ||||||
| 5 | Na stranici "Izaberite izračunaj resurs" odaberite odredišni resurs za izračunavanje, a zatim kliknite na "Dalje". Pokrenuta je provera valjanosti. Kada se završi, pojavljuju se detalji obrasca. | ||||||
| 6 | Proverite detalje obrasca, a zatim kliknite na "Dalje ". | ||||||
| 7 | Ako od vas zatraže da odaberete konfiguraciju resursa na stranici konfiguracija,kliknite na CPU, a zatim kliknite na "Dalje". | ||||||
| 8 | Na stranici "Izbor skladišta" kliknite na "Dalje" da biste prihvatili podrazumevani format diska i VM smernice za skladištenje. | ||||||
| 9 | Na stranici Izbor mreža izaberite opciju mreže sa liste unosa da biste obezbedili željenu povezanost sa VM. | ||||||
| 10 | Na stranici Prilagođavanje šablona konfigurišite sledeće podešavanja mreže:
Ako je poželjno, možete preskočiti konfiguraciju mrežnih podešavanja i slediti korake u odeljku Podešavanje hibridne bezbednosti VM da biste konfigurisali podešavanja sa konzole čvora.
| ||||||
| 11 | Kliknite desnim tasterom miša na čvor VM, a zatim izaberite stavku . Softver za hibridnu bezbednost podataka je instaliran kao gost na VM organizatoru. Sada ste spremni da prijaviti se konzolu i konfigurišete čvor. Saveti za rešavanje problema Može doći do kašnjenja nekoliko minuta pre nego što se zadrže kontejneri čvora. Poruka zaštitnog zida mosta se pojavljuje na konzoli tokom prvog pokretanja sistema, tokom koje ne možete da prijaviti se. |
Podešavanje funkcije hibridne bezbednosti podataka VM
Prvi put koristite ovu proceduru da biste prijaviti se na čvor za hibridnu bezbednost podataka VM konzolu i podesili akreditive za prijavljivanje. Konzolu možete da koristite da biste konfigurisali podešavanja mreže za čvor ako ih niste konfigurisali u vreme primene OVA.
| 1 | U VMware vSphere klijentu izaberite svoj čvor za hibridnu bezbednost podataka VM i izaberite karticu "Konzola". Datoteka VM se pokreće i pojavljuje se odzivnik za prijavljivanje. Ako se upit za prijavljivanje ne prikaže, pritisnite Enter.
|
| 2 | Koristite sledeću podrazumevanu lozinku za prijaviti se i promenite akreditive: Pošto se po prvi put VM prijavite na sastanak, morate da promenite lozinku administratora. |
| 3 | Ako ste već konfigurisali podešavanja mreže u instalaciji HDS host OVA, preskočite ostatak ove procedure. U suprotnom, u glavni meni izaberite opciju Uredi konfiguraciju . |
| 4 | Podesite statičnu konfiguraciju sa IP adresa, Mask, mrežnim prolazom i DNS informacijama. Vaš čvor bi trebalo da ima interno IP adresa i DNS ime. DHCP nije podržano. |
| 5 | (Opcionalno) Promenite ime hosta, domen ili NTP server(e) ako je potrebno da se podudara sa smernicama vaše mreže. Ne morate da podesite domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata. |
| 6 | Sačuvajte mrežna konfiguracija i ponovo pokrenite VM biste promene stupile na snagu. |
Otpremite i postavite HDS ISO
Pre nego što počnete
Budući da ISO datoteka ima glavni ključ, ona bi trebalo da bude izložena samo na osnovu "mora da se zna", radi pristupa VM-ova za hibridnu bezbednost podataka i bilo kog administratora koji će možda morati da unesu promene. Uverite se da samo ti administratori mogu da pristupe skladištu podataka.
| 1 | Otpremite datoteku ISO sa računara: |
| 2 | Postavite ISO datoteku: |
Šta je sledeće
Ako vaše IT smernice zahtevaju, možete opcionalno da uklonite ISO datoteku nakon što svi čvorovi preuzmu promene konfiguracije. Detaljnije informacije potražite u članku (opcionalno) uklanjanje ISO nakon HDS konfiguracije .
Konfigurisanje HDS čvora za integraciju proxy servera
Ako mrežno okruženje zahteva proxy server, koristite ovaj postupak da biste odredili tip proxy servera koji želite da se integrišete sa hibridnom zaštitom podataka. Ako odaberete prozirni proxy server za inspekciju ili HTTPS eksplicitni proxy server, možete da koristite interfejs čvora za otpremanje i instaliranje korenski sertifikat. Takođe možete da proverite proxy vezu iz interfejsa i rešite sve potencijalne probleme.
Pre nego što počnete
Pogledajte proxy podršku za pregled podržanih opcija proxy servera.
| 1 | Unesite podešavanje HDS URL |
| 2 | Idite u Prodavnicu pouzdanosti i proxy server, a zatim odaberite neku opciju:
Sledite sledeće korake za prozirni proxy server za inspekciju, HTTP eksplicitni proxy sa osnovnom potvrdom identiteta ili HTTPS eksplicitni proxy server. |
| 3 | Kliknite na otpremi vrhovni sertifikat ili sertifikat krajnjih entiteta, a zatim se krećite do biranja korenski sertifikat za proxy servera. Sertifikat je otpremljen, ali još uvek nije instaliran jer morate ponovo pokrenuti čvor da biste instalirali sertifikat. Kliknite na strelicu ševron po imenu izdaoca sertifikata da biste dobili više detalja ili kliknite na "Izbriši" ako ste napravili grešku i želite ponovo da otpremite datoteku. |
| 4 | Kliknite na dugme "Proveri vezu proxy servera" da biste povezivanje na mrežu između čvora i proxy servera. Ako test veze ne uspe, videćete poruka o grešci koja prikazuje razlog i način na koji možete ispraviti problem. Ako vidite poruku u koju se kaže da spoljna DNS rezolucija nije bila uspešna, čvor nije mogao da doseže DNS server. Ovo stanje se očekuje u mnogim eksplicitnih konfiguracija proxy servera. Možete da nastavite sa podešavanjem, a čvor će funkcionisati u režimu blokirane spoljne DNS rezolucije. Ako mislite da je u pitanju greška, dovršite ove korake, a zatim pogledajte članak Isključivanje blokiranog spoljnog DNS rezolucije. |
| 5 | Nakon što probni test veze prođe, za eksplicitni proksi postavljen samo na https, uključite preklopno dugme da biste usmerili sve portove 443/444 https zahteva ovog čvora preko eksplicitnog proxy servera. Ovo podešavanje zahteva 15 sekundi da stupi na snagu. |
| 6 | Kliknite na "Instaliraj sve sertifikate u prodavnicu pouzdanosti" (pojavljuje se za HTTPS eksplicitni proxy server ili prozirni proxy za inspekciju) ili ponovo pokreni (pojavljuje se za HTTP explicit proxy), pročitajte upit, a zatim kliknite na "Instaliraj" ako ste spremni. Čvor se ponovo pokrenuti u roku od nekoliko minuta. |
| 7 | Kada se čvor ponovo pokrene, prijaviti se ponovo po potrebi, a zatim otvorite stranicu Pregled da biste proverili provere mogućnosti povezivanja kako biste se uverili da su svi u zelenom statusu. Proverom proksi veze testira se samo poddomen webex.com. Ako postoje problemi sa mogućnostima povezivanja, uobičajeni problem je što se neki od domena u oblaku navedeni u uputstvima za instaliranje blokiraju na proxy serveru. |
Registrujte prvi čvor u klasteru
Kada registrujete svoj prvi čvor, kreirate klaster kojem je dodeljen čvor. Klaster sadrži jedan ili više čvorova primenjenih da bi se obezbedila redundantnost.
Pre nego što počnete
Kada započnete registraciju čvora, morate ga završiti u roku od 60 minuta ili morate da počnete iz početka.
Uverite se da su svi blokatori iskačućih prozora u pregledaču onemogućeni ili da dozvoljavate izuzetke od admin.webex.com.
| 1 | Prijavite se u https://admin.webex.com. |
| 2 | U meniju sa leve strane ekrana izaberite "Usluge ". |
| 3 | U odeljku Hibridne usluge pronađite hibridnu bezbednost podataka i kliknite na " Podesi". Pojaviće se stranica "Registruj čvor za hibridnu bezbednost podataka".
|
| 4 | Izaberite " Da" da biste naznačili podesiti čvor i spremni ste da ga registrujete, a zatim kliknite na "Dalje ". |
| 5 | U prvo polje unesite ime klastera kom želite da dodelite svoj čvor za hibridnu bezbednost podataka. Preporučujemo da klaster imenujete na osnovu toga gde se geografski nalaze čvorovi klastera. Primeri: "San Francisko" ili "Njujork" ili "Dalas" |
| 6 | U drugo polje unesite internu IP adresa ili potpuno kvalifikovani naziv domena (FQDN) čvora i kliknite na "Dalje ". Ovaj IP adresa ili FQDN treba da se podudara sa IP adresa imenom hosta i domenom koji ste koristili u opciji Podešavanje hibridne bezbednosti VM. Pojaviće se poruka koja ukazuje na to da možete da registrujete svoj čvor u aplikaciji Webex.
|
| 7 | Kliknite na "Idi u čvor". |
| 8 | Kliknite na " Nastavi" u poruka upozorenja. Nakon nekoliko trenutaka, preusmereni ste na testove mogućnosti povezivanja sa čvorom za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica "Dozvoli pristup čvoru hibridne bezbednosti podataka". Tamo potvrđ možete da potvrdite da želite da date dozvole vašoj Webex organizaciji za pristup vašem čvoru.
|
| 9 | Izaberite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na "Nastavi ". Vaš nalog je potvrđen, a poruka "Registracija završena" ukazuje na to da je vaš čvor sada registrovan na Webex oblaku.
|
| 10 | Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka na portalu Control Hub. Na stranici za hibridnu bezbednost podataka prikazuje se novi klaster koji sadrži čvor koji ste registrovali. Čvor će automatski preuzeti najnoviji softver iz oblaka.
|
Kreirajte i registrujte više čvorova
| U ovom trenutku rezervni VM-oporavljanje nakon katastrofe koje ste kreirali u opciji "Ispuni preduslove za hibridnu bezbednost podataka" su organizatori u pripravnosti koji se koriste samo u oporavljanje nakon katastrofe; nisu registrovani u sistemu do tada. Više detalja potražite u članku " Oporavak od katastrofe" pomoću centra podataka u režimu pripravnosti. |
Pre nego što počnete
Kada započnete registraciju čvora, morate ga završiti u roku od 60 minuta ili morate da počnete iz početka.
Uverite se da su svi blokatori iskačućih prozora u pregledaču onemogućeni ili da dozvoljavate izuzetke od admin.webex.com.
| 1 | Kreirajte novu virtuelna mašina iz OVA, ponavljajući korake u vašoj instalaciji HDS Host OVA. |
| 2 | Podesite početnu konfiguraciju na novom uređaju VM ponavljajući korake u odeljku Podešavanje hibridne bezbednosti VM. |
| 3 | Na novoj stranici VM ponovite korake u opciji Otpremanje i montiranje HDS ISO. |
| 4 | Ako podešate proxy server za primenu, ponovite korake u podešavanju HDS čvora za proxy integraciju po potrebi za novi čvor. |
| 5 | Registrujte čvor. Vaš čvor je registrovan. Imajte na umu da dok ne započnete probnu verziju, vaši čvorovi generišu alarm koji ukazuje na to da usluga još uvek nije aktivirana.
|
Šta je sledeće
Probna verzija do toka zadatka proizvodnje
Nakon što podesiti klaster hibridne bezbednosti podataka, možete da pokrenete pilot, dodate korisnike u njega i počnete da ga koristite za testiranje i potvrdu primene u okviru pripreme za prelaženje na proizvodnju.
Pre nego što počnete
| 1 | Ako je primenljivo, sinhronizujte Ako vaša organizacija koristi sinhronizaciju direktorijuma za korisnike, morate da izaberete |
| 2 |
Pokrenite probnu verziju. Dok ne izvršite ovaj zadatak, čvorovi generišu alarm koji ukazuje na to da usluga još nije aktivirana. |
| 3 | Testirajte primenu hibridne bezbednosti podataka Proverite da li zahtevi za ključ ustupa vašem primeni hibridne bezbednosti podataka. |
| 4 | Nadgledanje ispravne hibridne bezbednosti podataka Proverite status i podesiti obaveštenja putem e-pošte za alarme. |
| 5 | |
| 6 | Završite probnu fazu sa jednom od sledećih radnji: |
Aktiviraj probnu verziju
Pre nego što počnete
Ako vaša organizacija koristi sinhronizaciju direktorijuma za korisnike, morate da izaberete HdsTrialGroup grupni objekat za sinhronizaciju sa oblakom pre nego što pokrenete probnu verziju za svoju organizaciju. Uputstva potražite u uputstvo za primenu za Cisco sinhronizator direktorijuma.
| 1 | Prijavite se u , https://admin.webex.coma zatim izaberite "Usluge". |
| 2 | U okviru hibridne bezbednosti podataka kliknite na "Podešavanja". |
| 3 | U odeljku Status usluge kliknite na "Pokreni probnu verziju". Status usluge se menja u probni režim.
|
| 4 | Kliknite na "Dodaj korisnike " i unesite e-adresa jednog ili više korisnika da biste upravljali pilotiranjem pomoću čvorova za hibridnu bezbednost podataka za usluge šifrovanja i indeksacije. (Ako vaša organizacija koristi sinhronizaciju direktorijuma, koristite Active Directory upravljajte probnom grupom, |
Testirajte primenu hibridne bezbednosti podataka
Pre nego što počnete
Podesite primenu hibridne bezbednosti podataka.
Aktivirajte probnu verziju i dodajte nekoliko probnih korisnika.
Uverite se da imate pristup sistemu syslog da biste proverili da li se ključni zahtevi prenose na vaše primene hibridne bezbednosti podataka.
| 1 | Tastere za dati prostor postavlja kreator prostora. Prijavite se u aplikaciju Webex kao jedan od pilot korisnika, a zatim kreirajte prostor i pozovite najmanje jednog korisnika pilota i jednog korisnika koji nije pilot.
| ||
| 2 | Pošaljite poruke u novi prostor. | ||
| 3 | Proverite izlaz Syslog-a da biste proverili da li se zahtevi za ključ prenose na vaše primene hibridne bezbednosti podataka. |
Nadgledanje ispravne hibridne bezbednosti podataka
| 1 | U kontrolnom čvorištu izaberite stavku Usluge iz menija sa leve strane ekrana. |
| 2 | U odeljku Hibridne usluge pronađite hibridnu bezbednost podataka i kliknite na "Podešavanja". Pojaviće se stranica "Podešavanja hibridne bezbednosti podataka".
|
| 3 | U odeljku Obaveštenja e-poštom unesite jednu ili više e-adresa odvojenih zarezima i pritisnite Enter. |
Dodavanje ili uklanjanje korisnika iz probne verzije
Ako uklonite korisnika iz probne verzije, klijent korisnika će zatražiti ključeve i kreiranje ključa iz oblaka KMS-a umesto kmS-a. Ako je klijentu potreban ključ koji se čuva u vašem KMS-u, KMS u oblaku će ga preuzeti u ime korisnika.
Ako vaša organizacija koristi sinhronizaciju direktorijuma, koristite Active Directory (umesto ove procedure) za upravljanje probnom grupom, HdsTrialGroup; možete da prikažete članove grupe na portalu Control Hub, ali ih ne možete dodati ili ukloniti.
| 1 | Prijavite se u Control Hub, a zatim izaberite Usluge. |
| 2 | U okviru hibridne bezbednosti podataka kliknite na "Podešavanja". |
| 3 | U odeljku Probni režim oblasti statusa usluge kliknite na "Dodaj korisnike" ili kliknite na "Prikaži i uredi" da biste uklonili korisnike iz probne verzije. |
| 4 | Unesite e-adresa jednog ili više korisnika koje želite da dodate ili kliknite na X na korisnički ID da uklonite korisnika iz probne verzije. Zatim kliknite na dugme Sačuvaj. |
Premesti sa probne verzije na proizvodnju
| 1 | Prijavite se u Control Hub, a zatim izaberite Usluge. |
| 2 | U okviru hibridne bezbednosti podataka kliknite na "Podešavanja". |
| 3 | U odeljku "Status usluge" kliknite na "Premesti u proizvodnju". |
| 4 | Potvrdite da želite da premestite sve korisnike na proizvodnju. |
Završite probnu verziju bez premeštanja na proizvodnju
| 1 | Prijavite se u Control Hub, a zatim izaberite Usluge. |
| 2 | U okviru hibridne bezbednosti podataka kliknite na "Podešavanja". |
| 3 | U odeljku "Deaktiviraj" kliknite na " Deaktiviraj". |
| 4 | Potvrdite da želite da deaktivirate uslugu i završite probnu verziju. |
Upravljaj HDS primenom
Koristite zadatke opisane ovde da biste upravljali primenom hibridne bezbednosti podataka.
Podesi raspored nadogradnje klastera
Da biste podesili raspored nadogradnje:
| 1 | Prijavite se na Control Hub. |
| 2 | Na stranici "Pregled", u okviru hibridnih usluga izaberite hibridnu bezbednost podataka. |
| 3 | Na stranici Resursi za hibridnu bezbednost podataka izaberite klaster. |
| 4 | Na tabli "Pregled" sa desne strane, u okviru "Podešavanja klastera" izaberite ime klastera. |
| 5 | Na stranici "Podešavanja", u okviru "Nadogradnja", izaberite vremenska zona izaberite vreme i vreme nadogradnje za raspored nadogradnje. Napomena: U okviru vremenska zona, prikazuje se sledeća dostupna datum i vreme nadogradnje. Nadogradnju možete da odložite za sledeći dan, ako je potrebno, klikom na "Odloži ". |
Promena konfiguracije čvora
Promena sertifikata x.509 zbog isteka ili iz drugih razloga.
Ne podržavamo promenu CN naziv domena certifikata. Domen mora da se podudara sa originalnim domenom koji se koristi za registraciju klastera.
Ažuriranje podešavanja baze podataka za promenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.
Ne podržavamo migraciju podataka iz PostgreSQL na drugi Microsoft SQL Server ili na suprotni način. Da biste zamenili okruženje baze podataka, pokrenite novo raspoređivanje hibridne bezbednosti podataka.
Kreiranje nove konfiguracije za pripremanje novog centar za podatke.
Takođe, iz bezbednosnih razloga, hibridna bezbednost podataka koristi lozinke nalog za usluge koje imaju devetomesečni vek trajanja. Nakon što alatka za podešavanje HDS-a generiše ove lozinke, primenite ih na svaki od HDS čvorova u ISO datoteci konfiguracije. Kada lozinke vaše organizacije uskoro isteku, dobićete obaveštenje Webex iz tima da resetujete lozinku za vaš mašinski nalog. (E-poruka uključuje tekst, "Koristite API mašinskog naloga da ažurirate lozinku.") Ako vaše lozinke još nisu istekle, alatka vam daje dve opcije:
Softverno resetovanje – stare i nove lozinke rade do 10 dana. Koristite ovaj period da biste postepeno zamenili ISO datoteku na čvorovima.
Teško resetovanje – stare lozinke odmah prestaje da rade.
Ako vaše lozinke ističu bez resetovanja, to utiče na HDS uslugu, zahtevajući neposredno čvrsto resetovanje i zamenu ISO datoteke na svim čvorovima.
Koristite ovu proceduru da biste generisali novu ISO datoteku za konfiguraciju i primenili je na svoj klaster.
Pre nego što počnete
Alatka za podešavanje HDS-a radi kao docker kontejner na lokalnom računaru. Da biste mu pristupili, pokrenite "Docker" na tom računaru. Proces podešavanja zahteva akreditive za Control Hub nalog sa punim administratorskih prava za vašu organizaciju.
Ako alatka za podešavanje HDS radi iza proxy servera u vašem okruženju, obezbedite postavke proxy servera (server, port, akreditivi) kroz Promenljive Docker okruženja kada uvodite docker kontejner u 1,e. Ova tabela daje neke moguće promenljive okruženja:
Opis
Promenljiva
HTTP Proxy bez potvrde identiteta
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS proxy bez potvrde identiteta
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy sa potvrdom identiteta
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy sa potvrdom identiteta
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTPotrebna vam je kopija trenutne ISO datoteke za konfiguraciju da biste generisli novu konfiguraciju. Ova ISO sadrži glavni ključ za šifrovanje PostgreSQL ili Microsoft SQL servera. Potreban vam je ISO kada menjate konfiguracije, uključujući akreditive baze podataka, ažuriranja sertifikata ili promene politike autorizacije.
| 1 | Ako koristite Docker na lokalnoj mašini, pokrenite alatku za podešavanje HDS-a.
| ||||||
| 2 | Ako imate samo jedan HDS čvor, kreirajte novi čvor za hibridnu bezbednost podataka VM i registrujte ga koristeći novu ISO datoteku za konfiguraciju. Detaljnije informacije potražite u članku Kreiranje i registracija još čvorova. | ||||||
| 3 | Za postojeće HDS čvorove koji rade sa starijim datoteka sa konfiguracijom, postavite ISO datoteku. Obavite sledeći postupak na svakom čvoru prilikom uključivanja, ažuriranja svakog čvora pre isključivanja sledećeg čvora: | ||||||
| 4 | Ponovite korak 3 da biste zamenili konfiguraciju na svakom preostalom čvoru koji radi sa starom konfiguracijom. |
Isključi blokirani režim spoljne DNS rezolucije
Kada registrujete čvor ili proverite konfiguraciju proxy servera čvora, proces testira DNS pronalaženja i mogućnosti povezivanja sa Cisco Webex oblakom. Ako funkcije čvora ne DNS server razreše javna imena DNS, čvor automatski prelazi u režim blokirane spoljne DNS rezolucije.
Ako vaši čvorovi mogu da reše javna imena DNS internim DNS serverima, možete da isključite ovaj režim ponovnim ponovnim testiranjem proksi veze na svakom čvoru.
Pre nego što počnete
| 1 | U veb-pregledaču otvorite interfejs čvora za hibridnu bezbednost podataka (IP adresa/podešavanje, na primer, https://192.0.2.0/setup), unesite akreditive administratora koje ste podesiti za čvor, a zatim kliknite na "Prijavi se". |
| 2 | Idite na pregled (podrazumevana stranica). Kada je omogućena, blokirana spoljna DNS rezolucija je podešena na "Da ". |
| 3 | Idite na stranicu Prodavnica pouzdanosti i proxy servera. |
| 4 | Kliknite na " Proveri vezu proxy servera". Ako vidite poruku u koju se kaže da spoljna DNS rezolucija nije bila uspešna, čvor nije mogao da doseže dolaznu DNS server i ostaće u ovom režimu. U suprotnom, nakon što ponovo pokrenete čvor i vratite se na stranicu "Pregled", blokirana spoljna DNS rezolucija treba da bude podešena na "ne". |
Šta je sledeće
Uklanjanje čvora
| 1 | Koristite VMware vSphere klijent na računaru da biste se prijavili u ESXi virtuelnog organizatora i isključili virtuelna mašina. |
| 2 | Uklonite čvor: |
| 3 | U vSphere klijentu izbrišite VM. (U levom oknu za navigaciju, desni klik na VM i kliknite Izbriši.) Ako ne izbrišete datoteku VM, ne zaboravite da ponovo uključite zvuk ISO datoteke. Bez datoteke ISO, ne možete da koristite datoteku VM pristupite bezbednosnim podacima. |
Oporavak od katastrofe pomoću centra podataka u pripravnosti
Najkritičnija usluga koju pruža vaš klaster za hibridnu bezbednost podataka je kreiranje i skladištenje ključeva koji se koriste za šifrovanje poruka i drugog sadržaja uskladištenog u Webex oblaku. Za svakog korisnika u organizaciji koji je dodeljen za hibridnu bezbednost podataka, novi zahtevi za kreiranje ključa se usmeravaju na klaster. Klaster je takođe odgovoran za vraćanje ključeva koje je kreirano svim korisnicima ovlašćenim da ih preuzmu, na primer, članovi prostora za razgovor.
Pošto klaster obavlja kritičnu funkciju obezbeđivanja ovih ključeva, važno je da klaster ostane pokrenut i da se održavaju odgovarajuća rezervna kopija. Gubitak baze podataka hibridne bezbednosti podataka ili konfiguracije ISO koja se koristi za šemu dovešće do NEPOPLAĆENOG GUBITKA sadržaja kupca. Sledeće prakse su obavezne da bi se sprečio takav gubitak:
Ako katastrofa dovede do toga da primena HDS-a u primarnoj centar za podatke postane nedostupna, sledite ovu proceduru da biste ručno prešli u režim centar za podatke.
| 1 | Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiranje ISO za HDS organizatore. | ||
| 2 | Nakon što konfigurišete Syslogd server, kliknite na opciju " Napredna podešavanja" | ||
| 3 | Na stranici " Napredna podešavanja " dodajte konfiguraciju ispod ili uklonite
| ||
| 4 | Dovršite proces konfiguracije i sačuvajte datoteku ISO na lokaciji koju je lako pronaći. | ||
| 5 | Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu. Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije. | ||
| 6 | U levom navigacionom panelu VMware vSphere klijenta možete desni klik na VM i kliknite na "Uredi podešavanja". | ||
| 7 | Kliknite na "Uredi >CD/DVD disk jedinicu 1 " i izaberite stavku Skladište ISO podataka.
| ||
| 8 | Uključite HDS čvor i uverite se da nema alarma najmanje 15 minuta. | ||
| 9 | Ponovite proces za svaki čvor u režimu centar za podatke.
|
Šta je sledeće
(Opcionalno) Isključi zvuk ISO nakon HDS konfiguracije
Standardna HDS konfiguracija radi sa ISO postavljenim. Međutim, neki kupci radije ne napuštaju ISO datoteke neprekidno montirane. Datoteku za ISO možete ponovo da uključite nakon što svi HDS čvorovi preuzmu novu konfiguraciju.
I dalje koristite datoteke ISO da biste uneli promene konfiguracije. Kada kreirate novu ISO ili ažurirate ISO putem alatke za podešavanje, morate da postavite ažurirane ISO na sve HDS čvorove. Kada svi čvorovi prihvate promene konfiguracije, možete ponovo da uključite zvuk ISO sa ovom procedurom.
Pre nego što počnete
Nadogradite sve HDS čvorove na verziju 2021.01.22.4720 ili noviju.
| 1 | Isključite jedan od HDS čvorova. |
| 2 | U vCenter uređaju servera izaberite HDS čvor. |
| 3 | Izaberite disk jedinici" i opozovite izbor stavke u ISO datoteci. |
| 4 | Uključite HDS čvor i uverite se da nema alarma najmanje 20 minuta. |
| 5 | Za svaki HDS čvor za redom ponovite. |
Prikaži upozorenja i rešavanje problema
Primena hibridne bezbednosti podataka smatra se nedostupnim ako su svi čvorovi u klasteru nedostupni ili klaster sporo radi da zahteva istek vremena. Ako korisnici ne mogu da stignu do vašeg klastera hibridne bezbednosti podataka, iskuse sledeće simptome:
Nije moguće kreirati nove prostore (nije moguće kreirati nove ključeve)
Dešifrovanje poruka i naslova prostora nije uspelo za:
Novi korisnici dodati u prostor (nije moguće preuzeti ključeve)
Postojeći korisnici u prostoru koji koriste novi klijent (nije moguće preuzeti ključeve)
Postojeći korisnici u prostoru će nastaviti da funkcionišu uspešno sve dok njihovi klijenti imaju keš ključeva za šifrovanje
Važno je da pravilno nadgledate svoj klaster hibridne bezbednosti podataka i da na odgovarajući način odgovorite na sva upozorenja kako biste izbegli prekid usluge.
Upozorenja
Ako postoji problem sa podešavanjem hibridne bezbednosti podataka, Control Hub prikazuje upozorenja administratoru organizacije i šalje e-poruke konfigurisanim e-adresa. Upozorenja pokrivaju mnogo uobičajenih scenarija.
Upozorenje | Radnja |
|---|---|
Neuspešan pristup lokalnoj bazi podataka. |
Proverite da li ima grešaka u bazi podataka ili problema sa lokalnom mrežom. |
Lokalni broj neuspešno povezivanje. |
Proverite da server baze podataka je dostupan i da nalog za usluge akreditivi korišćeni u konfiguraciji čvorova. |
Neuspešan pristup usluzi u oblaku. |
Proverite da li čvorovi mogu da pristupe Webex serverima kao što je navedeno u zahtevima za spoljno povezivanje. |
Obnavlja se registracija usluge u oblaku. |
Registracija za usluge u oblaku je odbačena. Obnova registracije je u toku. |
Registracija usluge u oblaku je odbačena. |
Registracija za usluge u oblaku je prekinuta. Usluga se iskljućuje. |
Usluga još uvek nije aktivirana. |
Aktivirajte probnu verziju ili završite sa premeštanjem probne verzije na proizvodnju. |
Konfigurisani domen se ne podudara sertifikat servera. |
Uverite se da sertifikat servera se podudara sa konfigurisanim domenom za aktivaciju usluge. Najverovatniji uzrok je to što je CN sertifikata nedavno promenjen i sada se razlikuje od CN-a koji je korišćen tokom početnog podešavanja. |
Potvrda identiteta za usluge u oblaku nije uspela. |
Proverite tačnost i mogući istek nalog za usluge akreditivi. |
Otvaranje datoteke lokalnog ključeva nije uspelo. |
Proverite da li postoji tačnost integriteta i lozinke u datoteci lokalnog ključeva. |
Lokalna sertifikat servera nevažeća. |
Proverite sertifikat servera na datum isteka i potvrdite da ga je izdao pouzdani Certificate Authority. |
Objavljivanje pokazatelja nije moguće. |
Proverite pristup lokalne mreže spoljnim uslugama oblaka. |
/media/configdrive/hds direktorijum ne postoji. |
Proverite konfiguraciju ISO na virtuelnog organizatora. Proverite da ISO datoteka postoji, da je podešena za montiranje na ponovno pokretanje i da li se uspešno montava. |
Rešavanje problema sa hibridnom zaštitom podataka
| 1 | Pregledajte Control Hub za sva upozorenja i ispravite sve stavke koje tamo pronađete. |
| 2 | Pregledajte izlaz Syslog servera za aktivnost iz primene hibridne bezbednosti podataka. |
| 3 | Obratite se Cisco podrška. |
Poznati problemi za hibridnu bezbednost podataka
Ako isključite klaster hibridne bezbednosti podataka (brisanjem na portalu Control Hub ili isključivanje svih čvorova), izgubite datoteku za ISO konfiguracije ili izgubite pristup bazi podataka ključeva, korisnici aplikacije Webex više neće moći da koriste prostore na listi "Osobe" koji su kreirani pomoću ključeva iz vašeg KMS-a. Ovo se odnosi i na probnu verziju i na proizvodne primene. Trenutno nemamo rešenje ili rešenje za ovaj problem i pozivamo vas da ne isključite HDS usluge nakon što rukuju aktivnim korisničkim nalozima.
Klijent koji ima postojeću ECDH vezu sa KMS-om održava tu vezu određeno vreme (verovatno jedan sat). Kada korisnik postane član probne verzije hibridne bezbednosti podataka, klijent korisnika nastavlja da koristi postojeću ECDH vezu sve dok istekne vreme. Osim toga, korisnik može da odjaviti se ponovo u aplikaciju Webex kako bi ažurirao lokaciju koju aplikacija kontaktira za ključeve za šifrovanje.
Isto ponašanje se dešava kada premestite probnu verziju na proizvodnju za organizaciju. Svi korisnici koji nisu probni sa postojećim ECDH vezama sa prethodnim bezbednosnim uslugama podataka nastaviće da koriste te usluge dok se ponovo ne pregovara o ECDH vezi (kroz vremensko ograničenje ili odjavljivanjem i ponovnom prijavama).
Koristite OpenSSL za generisanje PKCS12 datoteke
Pre nego što počnete
OpenSSL je jedna alatka koja se može koristiti za podešavanje PKCS12 datoteke u odgovarajućem formatu za učitavanje u alatki za podešavanje HDS-a. Postoje i drugi načini da se to uradi, a ne podržavamo i ne promovišemo ga na neki drugi način.
Ako odaberete da koristite OpenSSL, pružamo ovu proceduru kao smernicu da vam pomognemo da kreirate datoteku koja ispunjava zahteve sertifikata X.509 u zahtevima za sertifikate X.509. Razumejte te zahteve pre nego što nastavite.
Instalirajte OpenSSL u podržanom okruženju. Pogledajte https://www.openssl.org softver i dokumentaciju.
Kreirajte privatni ključ.
Pokrenite ovu proceduru kada dobijete sertifikat servera od svog Certificate Authority (CA).
| 1 | Kada primite sertifikat servera iz CA, sačuvajte ga kao |
| 2 | Prikažite sertifikat kao tekst i potvrdite detalje.
|
| 3 | Koristite uređivač teksta da biste kreirali datoteku sa paketom sertifikata koja se zove
|
| 4 | Kreiraj .p12 datoteku sa prijateljskim imenom
|
| 5 | Proverite detalje sertifikat servera. |
Šta je sledeće
Vratite se da biste ispunili preduslove za hibridnu bezbednost podataka. Koristićete hdsnode.p12 lozinku koju ste postavili , u odeljku Kreiranje konfiguracije ISO za HDS organizatore.
| Ove datoteke možete ponovo da koristite da biste zatražili novi sertifikat kada originalni sertifikat istekne. |
Saobraćaj između HDS čvorova i oblaka
Saobraćaj za prikupljanje odlaznih pokazatelja
Čvorovi za hibridnu bezbednost podataka šalju određene pokazatelje Webex oblaku. U njih spadaju sistemski pokazatelji za maksimum grupe, upotrebu grupe, CPU učitavanje i broj konverzacije; pokazatelji za sinhrone i asinhrone konverzacije; metrika za upozorenja koja uključuju prag veza za šifrovanje, kašnjenje ili dužinu reda za čekanje zahteva; pokazatelji u skladištu podataka; metrika za šifrovanje veze. Čvorovi šalju materijal za šifrovani ključ preko kanala van opsega (odvojeno od zahteva).
Dolazni saobraćaj
Čvorovi za hibridnu bezbednost podataka dobijaju sledeće tipove dolaznog saobraćaja iz Webex oblaka:
Zahtevi za šifrovanje od klijenata, koje usmerava usluga šifrovanja
Nadograđuje se na softver čvora
Konfigurisanje lignja proxy servera za hibridnu bezbednost podataka
Websocket ne može da se poveže preko proxy servera lignje
Proxy proxy serveri koji pregledaju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a ( wss:) veza koje zahteva hibridna bezbednost podataka. Ovi odeljci daju uputstva kako da konfigurišete različite verzije Lignje za zanemarivanje wss: saobraćaj za pravilan rad usluga.
Lignje 4 i 5
Dodajte datoteku on_unsupported_protocol direktivu za squid.conf:
on_unsupported_protocol tunnel allLignje 3,5.27
Uspešno smo testirali hibridnu bezbednost podataka sa sledećim pravilima dodatim u squid.conf. Ova pravila podležu promeni dok razvijamo funkcije i ažuriramo Webex oblak.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allNove i promenjene informacije
Datum | Napravljene promene | ||
|---|---|---|---|
20. oktobar 2023. |
| ||
Avgust 07, 2023. |
| ||
23. maj 2023. |
| ||
06. decembar 2022. |
| ||
23. novembar 2022. |
| ||
13.11.2021. | Docker Desktop mora da pokrene program za podešavanje da biste mogli da instalirate HDS čvorove. Pogledajte zahteve za docker radnu površinu. | ||
24.04.2021. | Imajte u vidu to da možete ponovo da koristite datoteku privatnog ključa i da CSR zatražite drugi sertifikat. Detaljnije informacije potražite u članku Upotreba openSSL za generisanje PKCS12 datoteke . | ||
| 30. april 2021. | Promenjen je VM za prostor na lokalnom čvrstom disku na 30 GB. Detaljnije informacije potražite u zahtevima virtuelnog organizatora. | ||
24. februar, 2021. | Alatka za podešavanje HDS-a sada može da radi iza proxy servera. Detalje potražite u članku Kreiranje ISO za HDS organizatore . | ||
2. februar, 2021. | HDS sada može da radi bez postavljene ISO datoteke. Detaljnije informacije potražite u članku (opcionalno) uklanjanje ISO nakon HDS konfiguracije . | ||
11. januar 2021. | Dodate su informacije o alatki za podešavanje HDS-a i proxy serverima za kreiranje ISO za HDS organizatore. | ||
13.11.2020. | Ažurirano preuzimanje instalacionih datoteka. | ||
8. oktobar 2020. | Ažurirano kreiranje konfiguracije za ISO za HDS organizatore i promenu konfiguracije čvora pomoću komandi za FedRAMP okruženja. | ||
14.04.2020. | Ažurirano je kreiranje konfiguracije ISO za HDS organizatore i promenu konfiguracije čvora promenama u procesu prijavljivanja. | ||
5. avgust, 2020. | Ažurirano testirajte primenu hibridne bezbednosti podataka za promene u porukama evidencije. Ažurirani su zahtevi virtuelnog organizatora kako bi se maksimalni broj uklonili organizatori. | ||
16. jun, 2020. | Ažurirano je uklanjanje čvora za promene u korisničkom interfejsu platforme Control Hub. | ||
4. jun, 2020. | Ažurirano je kreiranje konfiguracije ISO za HDS organizatore za promene u naprednih podešavanja koje možete podesiti. | ||
29. maj, 2020. | Ažurirano kreiranje konfiguracije ISO za HDS organizatore koji će pokazati da takođe možete da koristite TLS sa SQL bazama podataka servera, promenama korisničkog interfejsa i drugim pojašnjenja. | ||
5. maj, 2020. | Ažurirani su zahtevi virtuelnog organizatora kako bi se prikazao novi zahtev za ESXi 6.5. | ||
21. april 2020. | Ažurirani su zahtevi za spoljne mogućnosti povezivanja sa hostovima kompanije New Americas CI. | ||
1. aprila 2020. | Ažurirani su zahtevi za spoljnu povezanost sa informacijama o regionalnim CI organizatorima. | ||
| 20. februar, 2020. | Ažurirano kreiranje konfiguracije ISO za HDS organizatore informacijama o novom opcionalnom ekranu za napredna podešavanja u alatki za podešavanje HDS-a. | ||
| 4. februar 2020. | Ažurirani zahtevi proxy servera. | ||
| 16. decembar 2019. | Pojašnjeno je zahtev da režim DNS spoljne rezolucije radi u zahtevima proxy servera. | ||
| 19.11.2019. | Dodate informacije o blokiranim spoljnim DNS u sledećim odeljcima: | ||
8.11.2019. | Sada možete da konfigurišete podešavanja mreže za čvor dok primenjujete OVA, a ne kasnije. Ažurirani su sledeći odeljci na odgovarajući način:
| ||
6. septembar 2019. | Dodat je SQL server standarda u zahteve servera baze podataka. | ||
| 29. avgusta 2019. | Dodato je konfigurisanje lignja proxy servera za dodatak za hibridnu bezbednost podataka sa uputstvima za konfigurisanje proxy servera za lignje kako bi se zanemario websocket saobraćaj radi pravilnog rada. | ||
| 20. avgust, 2019. | Dodati su i ažurirani odeljci za pokrivanje proxy podrške za komunikacije čvora hibridne bezbednosti podataka sa Webex oblakom. Da biste pristupili samo sadržaju podrške za proxy za postojeću primenu, pogledajte članak pomoći proxy podrške za hibridnu bezbednost podataka i članak pomoći Webex Video Mesh . | ||
| 13. jun 2019. | Probna verzija je ažurirana na tok zadatka proizvodnje sa podsetnikom za sinhronizaciju HdsTrialGroup grupni objekat pre pokretanja probne verzije ako vaša organizacija koristi sinhronizaciju direktorijuma. | ||
| 6. mart 2019. |
| ||
| 28. februara 2019. |
| ||
| 26. februar 2019. |
| ||
24. januar, 2019. |
| ||
| 5. novembar 2018. |
| ||
| 19. oktobar 2018. |
| ||
Jul 31, 2018 |
| ||
| 21. maj 2018. | Promenjena terminologija da odražava rebrendiranje Cisco Sparka:
| ||
| 11. april 2018. |
| ||
| 22. februar, 2018. |
| ||
| 15. februara 2018. |
| ||
| 18. januara 2018. |
| ||
2. novembar 2017. |
| ||
Avgust 18, 2017 | Prvo objavljeno |
Pregled hibridne bezbednosti podataka
Od 1. dana bezbednost podataka je primarni fokus u dizajnu aplikacije Webex. Kamen temeljac ove bezbednosti je potpuno šifrovanje sadržaja, koje omogućavaju klijenti Webex aplikacije koji obavljaju interakciju sa uslugom upravljanja ključevima (KMS). KMS je odgovoran za kreiranje i upravljanje kriptografskim ključevima koje klijenti koriste za dinamički šifrovanje i dešifrovanje poruka i datoteka.
Podrazumevano, svi kupci aplikacije Webex dobijaju potpuno šifrovanje pomoću dinamičkih ključeva uskladištenih u KMS-u u oblaku, u Cisco bezbednosnom području. Hibridna bezbednost podataka premešta KMS i druge funkcije povezane sa bezbednošću u vaš podaci preduzeća centar, tako da niko osim vas ne zadržava ključeve svog šifrovanog sadržaja.
Arhitektura bezbednosnog područja
Arhitektura Webex oblaka odvaja različite tipove usluge u zasebna područja ili pouzdane domene, kao što je opisano ispod.
Da biste dodatno razumeli hibridnu bezbednost podataka, hajde da pogledamo ovaj čisti slučaj u oblaku gde Cisco obezbeđuje sve funkcije u svom području oblaka. Usluga identiteta, jedino mesto gde korisnici mogu direktno da se povežu sa ličnim podacima kao što su e-adresa, logično i fizičko se odvaja od bezbednosnog područja u centar za podatke B. Oba se zamenjuju odvojeno od područja gde se šifrovani sadržaj konačno skladišti u centar za podatke C.
Na ovom dijagramu, klijent je aplikacija Webex pokrenuta na laptop računaru korisnika i potvrdio identitet pomoću usluge identiteta. Kada korisnik sastavi poruku za slanje u prostor, izvršite sledeće korake:
Klijent uspostavlja funkciju bezbedna veza uslugom upravljanja ključevima (KMS), a zatim traži ključ za šifrovanje poruke. Ova bezbedna veza koristi ECDH, a KMS šifruje ključ pomoću AES-256 glavni ključ.
Poruka je šifrovana pre nego što napusti klijent. Klijent je šalje usluzi indeksa, koja kreira šifrovane indekse pretrage kako bi pomogla u budućim pretraživanjima sadržaja.
Šifrovana poruka se šalje usluzi usklađenosti radi provere usklađenosti.
Šifrovana poruka se čuva u području skladišta.
Kada primenite hibridnu bezbednost podataka, premestite funkcije bezbednosnog područja (KMS, indeksiranje i usaglašenost) na u objektu centar za podatke. Ostale usluge u oblaku koje sačinju Webex (uključujući identitet i skladištenje sadržaja) ostaju u Područjima kompanije Cisco.
Saradnja sa drugim organizacijama
Korisnici u vašoj organizaciji mogu redovno da koriste aplikaciju Webex za saradnju sa spoljnim učesnicima u drugim organizacijama. Kada jedan od korisnika zatraži ključ za prostor u vlasništvu vaše organizacije (jer ga je kreirao jedan od korisnika) VAŠ KMS šalje ključ klijentu preko ECDH bezbednog kanala. Međutim, kada druga organizacija poseduje ključ za prostor, vaš KMS usmerava zahtev do Webex oblaka putem zasebnog ECDH kanala da bi dobili ključ iz odgovarajućih KMS-a, a zatim vraća ključ korisniku na originalnom kanalu.
KMS usluga pokrenuta u okviru Org A proverava veze sa KMS-ovima u drugim organizacijama koristeći PKI sertifikate x.509. Pogledajte odeljak Pripremite svoje okruženje za detalje o generisanju sertifikata x.509 koji će se koristiti sa primenom hibridne bezbednosti podataka.
Očekivanja za primenu hibridne bezbednosti podataka
Primena hibridne bezbednosti podataka zahteva značajnu posvećenost kupaca i svesnost o rizicima koji dolaze sa sopstvenim ključevima za šifrovanje.
Da biste primenili hibridnu bezbednost podataka, morate da navedite:
Bezbedna centar za podatke u zemlji koja je podržana lokacija za Cisco Webex Teams planove.
Pristup opremi, softveru i mreži opisan u pripremi okruženja.
Dovršen gubitak konfiguracije ISO koju ste izgradili za hibridnu bezbednost podataka ili bazu podataka koju naveli dovešću do gubitka ključeva. Gubitak ključa sprečava korisnike da dešifruje sadržaj prostora i druge šifrovane podatke u aplikaciji Webex. Ako se to desi, možete da napravite novu primenu, ali će samo novi sadržaj biti vidljiv. Da biste izbegli gubitak pristupa podacima, morate:
Upravljajte rezervnim kopijama i oporavkom baze podataka i konfiguracijama ISO.
Budite spremni da izvršite brze oporavljanje nakon katastrofe ako dođe do katastrofe, kao što je neuspeh diska baze podataka ili centar za podatke katastrofa.
| Ne postoji mehanizam za premeštanje ključeva u oblak nakon HDS primene. |
Proces podešavanja visokog nivoa
Ovaj dokument pokriva podešavanje i upravljanje primenom hibridne bezbednosti podataka:
Podešavanje hibridne bezbednosti podataka – To uključuje pripremu potrebne infrastrukture i instaliranje softvera hibridne bezbednosti podataka, testiranje primene sa podskupom korisnika u probnom režimu i, kada se testiranje završi, prelazi na proizvodnju. Ovim putem će cela organizacija da koristi vaš klaster za hibridnu bezbednost podataka za bezbednosne funkcije.
Faze podešavanja, probne verzije i produkcijske faze su detaljno pokrivene u naredna tri poglavlja.
Održavajte primenu hibridne bezbednosti podataka – Webex oblak automatski obezbeđuje tekuće nadogradnje. Vaše IT odeljenje može da pruži jednu podršku za ovu primenu i da se angažuje Cisco podrška po potrebi. Obaveštenja na ekranu možete da koristite i podesiti upozorenja zasnovana na e-poruci na platformi Control Hub.
Razumevanje uobičajenih upozorenja, koraka rešavanja problema i poznatih problema – Ako naiđete na problem prilikom primene ili korišćenja hibridne bezbednosti podataka, poslednje poglavlje ovog vodiča i aplikacije Poznati problemi mogu vam pomoći da odredite i rešite problem.
Model primene hibridne bezbednosti podataka
U okviru podaci preduzeća centra primenjujete hibridnu bezbednost podataka kao jedan klaster čvorova na zasebnim virtuelnim organizatorima. Čvorovi komuniciraju sa Webex oblakom putem bezbednih veb-priključaka i bezbednog HTTP-a.
Tokom procesa instalacije obezbeđujemo vam OVA datoteku za podesiti virtuelni uređaj na VM-ovima koje pružate. Alatku za podešavanje HDS-a koristite da biste kreirali prilagođenu konfiguraciju klastera ISO koju montirate na svaki čvor. Klaster hibridne bezbednosti podataka koristi obezbeđeni Syslogd server i PostgreSQL ili Microsoft SQL server bazu podataka. (Detalje o Syslogd-u i vezi sa bazom podataka konfigurišete u alatki za podešavanje HDS-a.)
Minimalni broj čvorova koje možete da imate u klasteru je dva. Preporučujemo da ih ima najmanje tri, a možete da ih imate do pet. Ako imate više čvorova, osigurava se da se usluga ne prekida tokom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor u isto vreme.)
Svi čvorovi u klasteru pristupaju istom skladištu podataka ključa i aktivnost evidencije istom serveru syslog. Sami čvorovi su bez države i obrađuju zahteve u okruglo-robin stilu, kao što je režirao oblak.
Čvorovi postaju aktivni kada ih registrujete na portalu Control Hub. Da biste pojedinačni čvor odjavili iz funkcije, možete ga odjaviti i kasnije ponovo registracijiti po potrebi.
Podržavamo samo jedan klaster po organizaciji.
Probni režim hibridne bezbednosti podataka
Nakon podešavanja primene hibridne bezbednosti podataka, prvo pokušajte sa skupom pilot korisnika. Tokom probnog perioda ovi korisnici koriste u objektu domen hibridne bezbednosti podataka za ključeve za šifrovanje i druge usluge bezbednosnog područja. Ostali korisnici i dalje koriste područje bezbednosti oblaka.
Ako odlučite da ne nastavite sa primenom tokom probne verzije i deaktivirate uslugu, pilot korisnici i svi korisnici sa kojima su ostvarili interakciju kreiranjem novih prostora tokom probnog perioda izgubiće pristup porukama i sadržaju. Oni će videti "Ova poruka se ne može dešifrovanje" u aplikaciji Webex.
Ako ste zadovoljni da primena funkcioniše dobro za probne korisnike i spremni ste da proširite hibridnu bezbednost podataka na sve svoje korisnike, prebacite primenu na proizvodnju. Pilot korisnici i dalje imaju pristup ključevima koji su se koristili tokom probne verzije. Međutim, ne možete se uvek pomerati između proizvodnog režima i originalne probne verzije. Ako morate da deaktivirate uslugu, na primer da biste izvršili oporavljanje nakon katastrofe, kada ponovo aktivirate morate da pokrenete novu probnu verziju i da podesiti skup pilot korisnika za novu probnu verziju pre nego što se vratite u proizvodni režim. Bez obzira na to da li korisnici zadržavaju pristup podacima u ovom trenutku, zavisi od toga da li ste uspešno održali rezervne kopije ključa skladištenje podataka i ISO datoteka sa konfiguracijom za čvorove za hibridnu bezbednost podataka u klasteru.
Centar podataka u pripravnosti za oporavak od katastrofe
Tokom primene, možete podesiti u bezbednom centar za podatke. U slučaju centar za podatke katastrofe, možete ručno da ne uspete da izvršite raspoređivanje u režimu centar za podatke.
Baze podataka aktivnih i u stanju pripravnosti centara podataka su u sinhronizaciji jedan sa drugim, što će umanjiti vreme potrebno za izvršavanje neuspeha. Datoteka ISO u režimu centar za podatke ažurira se dodatnim konfiguracijama koje obezbeđuju da čvorovi budu registrovani u organizaciji, ali neće upravljati saobraćajem. Zbog toga čvorovi u režimu centar za podatke uvek ostanu ažurirani sa najnovijom verzijom HDS softvera.
| Aktivni čvorovi za hibridnu bezbednost podataka moraju uvek biti u centar za podatke kao i aktivni server baze podataka. |
Podešavanje centra podataka u pripravnosti za oporavak od katastrofe
Sledite dolenavedene korake da biste ISO datoteku u režimu centar za podatke:
Pre nego što počnete
Prostor u centar za podatke bi trebalo da preslika proizvodno okruženje VMs i rezervnu PostgreSQL ili Microsoft SQL server bazu podataka. Na primer, ako proizvodnja ima 3 VMS koji imaju HDS čvorove, rezervno okruženje bi trebalo da ima 3 VMS. (Pregled ovog modela neuspešnog pokretanja potražite u centru podataka u 3 VMS.)
Uverite se da je sinhronizacija baze podataka omogućena između baze podataka aktivnih i pasivnih čvorova klastera.
| 1 | Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiranje ISO za HDS organizatore.
| ||
| 2 | Nakon što konfigurišete Syslogd server, kliknite na opciju " Napredna podešavanja" | ||
| 3 | Na stranici "Napredna podešavanja " dodajte konfiguraciju u nastavku da biste postavili čvor u pasivan režim. U ovom režimu će čvor biti registrovan za organizaciju i povezan na oblak, ali neće upravljati nikakvim saobraćajem.
| ||
| 4 | Dovršite proces konfiguracije i sačuvajte datoteku ISO na lokaciji koju je lako pronaći. | ||
| 5 | Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu. Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije. | ||
| 6 | U levom navigacionom panelu VMware vSphere klijenta možete desni klik na VM i kliknite na "Uredi podešavanja". | ||
| 7 | Kliknite na "Uredi >CD/DVD disk jedinicu 1 " i izaberite stavku Skladište ISO podataka.
| ||
| 8 | Uključite HDS čvor i uverite se da nema alarma najmanje 15 minuta. | ||
| 9 | Ponovite proces za svaki čvor u režimu centar za podatke.
|
Šta je sledeće
Nakon konfigurisanja passiveMode u datoteci ISO i sačuvati je, možete da kreirate još jednu kopiju datoteke ISO datoteku bez passiveMode konfiguracija i čuvanje na bezbednoj lokaciji. Ova kopija datoteke ISO datoteke bez passiveMode konfigurisana funkcija može pomoći u brzom procesu preuzimanja tokom oporavljanje nakon katastrofe. Pogledajte " Oporavak od katastrofe" koristeći centar podataka u pripravnosti za detaljan postupak preuzimanja.
Proxy podrška
Hibridna bezbednost podataka podržava eksplicitnu, prozirnu inspekciju i proxy servere koji se ne pregledaju. Ove proxy servere možete da vežete za raspoređivanje kako biste mogli da bezbedno i nadgledate saobraćaj od preduzeća do oblaka. Možete da koristite interfejs administratora platforme na čvorovima za upravljanje sertifikatima i da proverite ukupni status povezanosti nakon što podesite proxy server na čvorovima.
Čvorovi za hibridnu bezbednost podataka podržavaju sledeće opcije proxy servera:
Nema proxy servera – podrazumevano ako ne koristite podešavanje HDS čvora Pouzdano skladište i proxy servera za integraciju proxy servera. Nije potrebno ažuriranje sertifikata.
Prozirni proxy server koji ne pregleda – čvorovi nisu konfigurisani da koriste određenu proksi server adresu i ne bi trebalo da zahtevaju nikakve promene za rad sa proxy serverom koji ne pregleda. Nije potrebno ažuriranje sertifikata.
Prozirno prolazno prolaze ili protok proxy servera – čvorovi nisu konfigurisani za korišćenje određene proksi server adrese. Na čvorovima nisu potrebne promene HTTP ili HTTPS konfiguracije. Međutim, čvorovima je potreban korenski sertifikat tako da imaju poverenja u proxy server. IT sistemi obično koriste inspekciju za primenu smernica preko kojih mogu da se posećuju veb-lokacije i koje vrste sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifrova sav vaš saobraćaj (čak i HTTPS).
Eksplicitni proxy server – sa eksplicitnim proxy serverom govorite HDS čvorovima koje proksi server i šemom potvrde identiteta da koriste. Da biste konfigurisali eksplicitni proxy server, morate uneti sledeće informacije u svaki čvor:
Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy računaru.
Proxy port – A broj priključka proxy servera koristi za slušanje proksi saobraćaja.
Proxy protokol – u zavisnosti od toga šta proksi server podržava, izaberite između sledećih protokola:
HTTP – Pregleda i kontroliše sve zahteve koje klijent šalje.
HTTPS – Obezbeđuje kanal za server. Klijent prima i proverava valjanost sertifikata servera.
vrsta autentifikacije – Izaberite jedan od sledećih tipova potvrde identiteta:
Nijedna – nije potrebna dodatna potvrda identiteta.
Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.
Osnovna – koristi se za HTTP korisničkog agenta za navedite korisničko ime i lozinku prilikom upućivanje zahteva. Koristi Base64 kodiranje.
Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.
Zahteva da unesete korisničko ime i lozinku u svaki čvor.
Digest – koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje funkciju hash-a na korisničko ime i lozinku pre slanja preko mreže.
Dostupno samo ako izaberete HTTPS kao proxy protokol.
Zahteva da unesete korisničko ime i lozinku u svaki čvor.
Primer čvorova za hibridnu bezbednost podataka i proxy servera
Ovaj dijagram prikazuje primer veze između hibridne bezbednosti podataka, mreže i proxy servera. Za prozirnu inspekciju i HTTPS eksplicitnu inspekciju opcija proxy korenski sertifikat se mora instalirati na proxy serveru i na čvorovima za hibridnu bezbednost podataka.
Blokirani spoljni DNS rezolucije (eksplicitne konfiguracije proxy servera)
Kada registrujete čvor ili proverite konfiguraciju proxy servera čvora, proces testira DNS pronalaženja i mogućnosti povezivanja sa Cisco Webex oblakom. U primenama sa eksplicitnim konfiguracijama proxy servera koje ne dozvoljavaju spoljnu DNS za interne klijente, ako čvor ne može da upitu na DNS servere, automatski prelazi u režim blokirane spoljne DNS rezolucije. U ovom režimu mogu da se nastave testovi registracije čvora i drugih testova mogućnosti povezivanja sa proxy serverom.
Zahtevi za hibridnu bezbednost podataka
Cisco Webex licence
Da biste primenili hibridnu bezbednost podataka:
Morate imati Pro Pack za Cisco Webex Control Hub. (Pogledajte https://www.cisco.com/go/pro-pack.)
Zahtevi za docker radnu površinu
Da biste instalirali HDS čvorove, treba vam Docker Desktop da biste pokrenuli program za podešavanje. Docker je nedavno ažurirao svoj model licenciranja. Vaša organizacija možda zahteva plaćenu pretplatu za Docker Desktop. Više detalja potražite u postu docker bloga, " Docker ažurira i proširi pretplate na naše proizvode".
X.509 zahtevi za sertifikat
Organizator lanac sertifikata ispuni sledeće uslove:
Uslov | Detalji |
|---|---|
| Podrazumevano verujemo CA-ovima na Mozilla listi (sa izuzetkom WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs. |
| CN ne mora da bude dostupan ili organizator uživo. Preporučujemo da koristite ime koje odražava vašu organizaciju, na primer, CN ne sme da sadrži * (džoker). CN se koristi za potvrdu čvorova hibridne bezbednosti podataka klijentima aplikacije Webex. Svi čvorovi za hibridnu bezbednost podataka u klasteru koriste isti sertifikat. Vaš KMS se identifikuje pomoću CN domena, a ne bilo kog domena definisanog u poljima x.509v3 SAN. Nakon što registrujte čvor sa ovim sertifikatu, ne podržavamo promenu CN naziv domena. Izaberite domen koji može da se primeni i na probnu verziju i na produkcijske primene. |
| KMS softver ne podržava SHA1 potpise za proveru valjanosti veza sa KMS-ovima drugih organizacija. |
| Za promenu formata certifikata možete da koristite konvertor kao što je OpenSSL. Moraćete da unesete lozinku kada pokrenete alatku za podešavanje HDS-a. |
KMS softver ne nameće ograničenja korišćenja ključa ili proširena ograničenja korišćenja ključa. Neki autoriteti za izdavanje sertifikata zahtevaju da se proširena ograničenja korišćenja ključa primenjuju na svaki sertifikat, kao što je potvrda identiteta servera. U redu je da koristite potvrdu identiteta servera ili druga podešavanja.
Zahtevi virtuelnog organizatora
Virtuelni domaćini koje ćete podesiti kao čvorove hibridne bezbednosti podataka u svom klasteru imaju sledeće zahteve:
Najmanje dva odvojena organizatora (3 preporučena) u istom bezbednom centar za podatke
VMware ESXi 6.5 (ili noviji) je instaliran i pokrenut.
Morate da nadogradite ako imate raniju verziju ESXi-a.
Najmanje 4 vCPU, 8 GB glavne memorije, 30 GB lokalnog čvrstog prostora po serveru
Zahtevi servera baze podataka
| Kreirajte novu bazu podataka za skladištenje ključeva. Nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada je instalirana, kreirajte šemu baze podataka. |
Postoje dve opcije za ovu server baze podataka. Zahtevi za svakog su sledeći:
PostgresqL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Najmanje 8 vCUs, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje kako bi se osiguralo da nije prekoračena (preporučuje se 2-TB ako želite da baza podataka dugo radi, a da ne morate da povećavate skladište) | Najmanje 8 vCUs, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje kako bi se osiguralo da nije prekoračena (preporučuje se 2-TB ako želite da baza podataka dugo radi, a da ne morate da povećavate skladište) |
HDS softver trenutno instalira sledeće verzije upravljačkog programa za komunikaciju sa server baze podataka:
PostgresqL | Microsoft SQL Server |
|---|---|
Postgres JDBC upravljački program 42.2.5 | SQL JDBC upravljački program servera 4.6 Ova verzija upravljačkog programa podržava SQL server uvek uključen ( Uvek uključene instance neuspešnog klastera i Grupe dostupnosti uvek uključene). |
Dodatni zahtevi za Windows potvrdu identiteta u SQL Microsoft serveru
Ako želite da HDS čvorovi koriste Windows potvrdu identiteta da bi dobili pristup bazi podataka ključeva na Microsoft SQL serveru, potrebna vam je sledeća konfiguracija u vašem okruženju:
HDS čvorovi, Active Directory infrastruktura i MS SQL server moraju da se sinhronizuju sa NTP.
Windows nalog koji napišete HDS čvorovima mora da ima pristup za čitanje/pisanje baze podataka.
Serveri DNS koje dostavite HDS čvorovima moraju da budu u mogućnosti da razreše centar za distribuciju ključa (KDC).
Možete registrovati instancu HDS baze podataka na Microsoft SQL serveru kao glavno ime usluge (SPN) na Active Directory. Pogledajte članak Registrovanje glavnog imena usluge za Kerberos veze.
Alatka za podešavanje HDS, HDS pokretanje i lokalni KMS moraju da koriste Windows potvrdu identiteta za pristup bazi podataka ključeva. Oni koriste detalje iz vaše konfiguracije ISO za konstrukciju SPN-a kada zahtevaju pristup pomoću Kerberos potvrde identiteta.
Zahtevi za spoljno povezivanje
Konfigurišite zaštitni zid da biste omogućili sledeće mogućnosti povezivanja za HDS aplikacije:
Aplikacija | Protokol | Port | Smer iz aplikacije | Odredište |
|---|---|---|---|---|
Čvorovi za hibridnu bezbednost podataka | TCP | 443 | Odlazni HTTPS i WSS |
|
Alatka za podešavanje HDS-a | TCP | 443 | Odlazni HTTPS |
|
| Čvorovi za hibridnu bezbednost podataka rade sa prevodom pristupa mreži (NAT) ili iza zaštitnog zida, sve dok NAT ili zaštitni zid omogućavaju potrebne odlazne veze sa odredištima domena u pređašnje tabeli. Za veze koje ide do čvorova za hibridnu bezbednost podataka, nijedan port ne bi trebalo da bude vidljiv sa interneta. U okviru vaših centar za podatke, klijentima je potreban pristup čvorovima hibridne bezbednosti podataka na TCP portovima 443 i 22, u administrativne svrhe. |
URL adrese za hostove zajedničkog identiteta (CI) su specifične za region. Ovo su trenutni CI organizatori:
Regiona | URL adrese organizatora zajedničkog identiteta |
|---|---|
Amerike |
|
Evropska unija |
|
Kanada |
|
Zahtevi proxy servera
Zvanično podržavamo sledeća proxy rešenja koja mogu da se integriše sa vašim čvorovima za hibridnu bezbednost podataka.
Prozirni proxy— Cisco uređaj za veb-bezbednost (WSA).
Eksplicitni proxy server – lignja.
Proxy proxy serveri koji pregledaju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a (wss:) Veze. Da biste rešili ovaj problem, pogledajte članak Konfigurisanje lignje proxy servera za hibridnu bezbednost podataka.
Podržavamo sledeće kombinacije tipa potvrde identiteta za eksplicitne proxy servere:
Nema potvrde identiteta sa HTTP ili HTTPS-om
Osnovna potvrda identiteta sa HTTP ili HTTPS-om
Digest potvrda identiteta samo SA HTTPS-om
Za prozirni proxy server za inspekciju ili HTTPS eksplicitni proxy server, morate da imate kopiju proxy servera za korenski sertifikat. Uputstvo za primenu u ovom vodiču vam govori kako da otpremite kopiju u pouzdana skladišta čvorova hibridne bezbednosti podataka.
Mrežno hostovanje HDS čvorova mora biti konfigurisano da nametne odlazne TCP saobraćaju na portu 443 da bi se usmerio preko proxy servera.
Proxy korisnici koji pregledaju veb-saobraćaj mogu da ometaju veze veb-priključka. Ako dođe do ovog problema, zaobiđite saobraćaj (ne pregledajući) na
wbx2.comiciscospark.comće rešiti problem.
Ispunite preduslove za hibridnu bezbednost podataka
| 1 | Uverite se da je Webex organizacija omogućena za Pro Pack za Cisco Webex Control Hub i nabavite akreditive naloga sa punim pravima administratora organizacije. Obratite se Cisco partneru ili menadžeru naloga za pomoć u ovom procesu. | ||
| 2 | Odaberite naziv domena za HDS primenu (na primer, | ||
| 3 | Pripremite identične virtuelne organizatore koje ćete podesiti kao čvorove za hibridnu bezbednost podataka u svom klasteru. Potrebna su vam najmanje dva zasebna organizatora (3 preporučena) u istom bezbednom centar za podatke koji ispunjavaju zahteve u zahtevima virtuelnih organizatora. | ||
| 4 | Pripremite server baze podataka koji će delovati kao ključ za skladištenje podataka za klaster, u skladu sa zahtevima servera baze podataka. Organizatori server baze podataka buduконфигурисани у чекању centar za podatke virtuelnim organizatorima. | ||
| 5 | Za brze oporavljanje nakon katastrofe, podesiti rezervno okruženje u drugom centar za podatke. Rezervno okruženje preslikava proizvodno okruženje VMs i rezervne server baze podataka. Na primer, ako proizvodnja ima 3 VMS koji imaju HDS čvorove, rezervno okruženje bi trebalo da ima 3 VMS. | ||
| 6 | Podesite organizatora syslog za prikupljanje evidencija iz čvorova u klasteru. Prikupite mrežna adresa i syslog port (podrazumevano je UDP 514). | ||
| 7 | Kreirajte bezbednu politiku pravljenja rezervnih kopija za čvorove hibridne bezbednosti podataka, server baze podataka i organizatora sistemskog sistema. U minimumu, da biste sprečili nepoplaćivanje gubitka podataka, morate da napravite pozadinu baze podataka i datoteku ISO konfiguracije koja je generisana za čvorove hibridne bezbednosti podataka.
Klijenti aplikacije Webex keše svoje ključeve, tako da pre prekida rada možda neće biti odmah primetnljiv, ali će vremenom postati vidljivi. Iako je nemoguжe sprečiti privremene prekšiljanje, mogu se oporavljati. Međutim, potpuni gubitak (nema dostupnih rezervnih kopija) baze podataka ili datoteka ISO konfiguracije doveže do nepoplatnih podataka o kupcima. Operateri čvorova za hibridnu bezbednost podataka očekuju da zadrže česta rezervna kopija baze podataka i datoteke ISO konfiguracije i spremni su da ponovo izradite alatku za hibridnu bezbednost centar za podatke ako dođe do katastrofalnog neuspeha. | ||
| 8 | Uverite se da konfiguracija zaštitnog zida omogućava povezivanje za čvorove hibridne bezbednosti podataka kao što je navedeno u zahtevima spoljne povezanosti. | ||
| 9 | Instalirajte Docker ( https://www.docker.com) na bilo kom lokalnom računaru sa podržanim OS-om (Microsoft Windows 10 Profesionalni ili Enterprise 64-bitni ili Mac OSX Yosemite 10.10.3 ili noviji) sa veb-pregledačem koji može da mu pristupi na http://127.0.0.1:8080. Instancu Docker koristite za preuzimanje i pokretanje alatke za podešavanje HDS-a koja gradi lokalne informacije o konfiguraciji za sve čvorove hibridne bezbednosti podataka. Možda će vašoj organizaciji biti potrebna Licenca za Docker Desktop. Više informacija potražite u zahtevima docker radne površine. Da biste instalirali i pokrenuli alatku za podešavanje HDS-a, lokalni računar mora da ima ojačenu povezanost u zahtevima za spoljno povezivanje. | ||
| 10 | Ako integrišete proxy server sa hibridnom zaštitom podataka, uverite se da ispunjava zahteve proxy servera. | ||
| 11 | Ako vaša organizacija koristi sinhronizaciju direktorijuma, kreirajte grupu u Active Directory pozvali
|
Tok zadatka primene hibridne bezbednosti podataka
Pre nego što počnete
| 1 |
Preuzmite OVA datoteku na svoj lokalni računar za kasnije korišćenje. | ||
| 2 | Kreiranje konfiguracije ISO za HDS organizatore Koristite alatku za podešavanje HDS-a da biste ISO datoteka sa konfiguracijom za čvorove hibridne bezbednosti podataka. | ||
| 3 |
Kreirajte virtuelna mašina iz OVA datoteke i izvršite početnu konfiguraciju, kao što je podešavanja mreže.
| ||
| 4 | Podešavanje funkcije hibridne bezbednosti podataka VM Prijavite se na VM konzolu i podesite akreditive za prijavljivanje. Konfigurišite podešavanja mreže za čvor ako ih niste konfigurisali u vreme primene OVA. | ||
| 5 |
Konfigurišite VM na ISO datoteka sa konfiguracijom koju ste kreirali pomoću alatke za podešavanje HDS-a. | ||
| 6 | Konfigurisanje HDS čvora za integraciju proxy servera Ako mrežno okruženje zahteva konfiguraciju proxy servera, navedite tip proxy servera koji ćete koristiti za čvor i po potrebi dodati proxy sertifikat u skladište pouzdanosti. | ||
| 7 | Registrujte prvi čvor u klasteru Registrujte VM na Cisco Webex oblak kao čvor za hibridnu bezbednost podataka. | ||
| 8 | Kreirajte i registrujte više čvorova Dovršite podešavanje klastera. | ||
| 9 | Pokrenite probnu verziju i premestite se u proizvodnju (sledeće poglavlje) Dok ne započnete probnu verziju, vaši čvorovi generišu alarm koji ukazuje na to da usluga još uvek nije aktivirana. |
Preuzmi instalacione datoteke
| 1 | Prijavite se u , https://admin.webex.coma zatim kliknite na "Usluge". | ||||
| 2 | U odeljku Hibridne usluge pronađite karticu hibridna bezbednost podataka, a zatim kliknite na " Podesi". Ako je kartica onemogućena ili je ne vidite, obratite se timu za naloge ili partneroj organizaciji. Dajte im svoj broj naloga i zatražite da omoguće svojoj organizaciji hibridnu bezbednost podataka. Da biste pronašli broj naloga, kliknite na zupčanici u gornjem desnom uglu, pored imena organizacije.
| ||||
| 3 | Izaberite " Ne" da biste naznačili da još uvek podesiti čvor, a zatim kliknite na "Dalje ". OVA datoteka automatski počinje da preuzima. Sačuvajte datoteku na lokaciji na računaru.
| ||||
| 4 | Opcionalno, kliknite na uputstvo za primenu da biste proverili da li postoji novija verzija ovog vodiča. |
Kreiranje konfiguracije ISO za HDS organizatore
Proces podešavanja hibridne bezbednosti podataka kreira datoteku ISO datoteke. Zatim koristite ovu ISO da biste konfigurisali organizatora za hibridnu bezbednost podataka.
Pre nego što počnete
Alatka za podešavanje HDS-a radi kao docker kontejner na lokalnom računaru. Da biste mu pristupili, pokrenite "Docker" na tom računaru. Proces podešavanja zahteva akreditive za Control Hub nalog sa punim administratorskih prava za vašu organizaciju.
Ako alatka za podešavanje HDS radi iza proxy servera u vašem okruženju, obezbedite postavke proxy servera (server, port, akreditivi) kroz Promenljive Docker okruženja kada u koraku 5 unesite docker kontejner . Ova tabela daje neke moguće promenljive okruženja:
Opis
Promenljiva
HTTP Proxy bez potvrde identiteta
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS proxy bez potvrde identiteta
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy sa potvrdom identiteta
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy sa potvrdom identiteta
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTDatoteka za ISO koju generišete sadrži glavni ključ za šifrovanje PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada promenite konfiguraciju, kao što su ove:
Akreditivi baze podataka
Ažuriranja sertifikata
Promene smernica autorizacije
Ako planirate da šifrujete veze sa bazom podataka, podesiti PostgreSQL ili SQL primenu servera za TLS.
| 1 | Na komandnoj liniji računara unesite odgovarajuću komandu za svoje okruženje: U redovnim okruženjima: U FedRAMP okruženjima:
| ||||||||||||
| 2 | Da biste se prijavili u registar slika dokolice, unesite sledeće: | ||||||||||||
| 3 | Na upit za lozinku unesite ovaj hash: | ||||||||||||
| 4 | Preuzmite najnoviju stabilnu sliku za svoje okruženje: U redovnim okruženjima: U FedRAMP okruženjima: | ||||||||||||
| 5 | Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:
Kada je kontejner pokrenut, vidite "Express server sluša na portu 8080." | ||||||||||||
| 6 |
Koristite veb-pregledač za pristup lokalnom organizatoru, Alatka koristi ovaj prvi unos korisničkog imena da bi postavila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje. | ||||||||||||
| 7 | Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora kupca na portalu Control Hub, a zatim kliknite na "Prijavi se" da biste dozvolili pristup potrebnim uslugama za hibridnu bezbednost podataka. | ||||||||||||
| 8 | Na stranici "Pregled alatke za podešavanje" kliknite na "Prvi koraci". | ||||||||||||
| 9 | Na stranici za ISO uvoz imate sledeće opcije:
| ||||||||||||
| 10 | Proverite da li vaš X.509 sertifikat ispunjava zahteve u X.509 zahtevima sertifikata.
| ||||||||||||
| 11 | Unesite adresu baze podataka i nalog za HDS da biste pristupili usluzi podataka ključa: | ||||||||||||
| 12 | Izaberite TLS režima povezivanja baze podataka:
Kada otpremite korenski sertifikat (ako je potrebno) i kliknete na "Nastavi", alatka za podešavanje HDS-a testira TLS vezu sa server baze podataka. Alatka takođe potvrđuje potpisivanje sertifikata i ime hosta, ako je primenljivo. Ako test ne uspe, alatka prikazuje alatku poruka o grešci koja opisuje problem. Možete da odaberete da li želite da zanemarite grešku i nastavite sa podešavanjem. (Zbog razlika u mogućnosti povezivanja, HDS čvorovi će možda moći da uspostave vezu TLS čak i ako mašina alatke za podešavanje HDS-a ne može uspešno da je testira.) | ||||||||||||
| 13 | Na stranici "Sistemske evidencije" konfigurišite Syslogd server: | ||||||||||||
| 14 | (Opcionalno) U napredna podešavanja možete podrazumevana vrednost za neke parametre veze sa bazom podataka. Generalno, ovaj parametar je jedini koji želite da promenite: | ||||||||||||
| 15 | Kliknite na "Nastavi " na ekranu "Resetuj lozinku za naloge za usluge ". Lozinke naloga za usluge imaju životni vek od devet meseci. Koristite ovaj ekran kada lozinke ističe ili želite da ih resetujete kako biste poništili prethodne ISO datoteke. | ||||||||||||
| 16 | Kliknite na "Preuzmi ISO datoteku". Sačuvajte datoteku na lokaciji koju je lako pronaći. | ||||||||||||
| 17 | Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu. Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije. | ||||||||||||
| 18 | Da biste isključili alatku za podešavanje, otkucajte |
Šta je sledeće
Napravite napravite pozadinu datoteke ISO konfiguracije. Potrebno je da kreirate više čvorova za oporavak ili da biste uneli promene konfiguracije. Ako izgubite sve kopije datoteke ISO, izgubili ste i glavni ključ. Spasavanje ključeva iz PostgreSQL ili Microsoft SQL servera baze podataka nije moguće.
| Nikada nemamo kopiju ovog ključa i ne možemo da odolimo ako ga izgubite. |
Instaliraj HDS host OVA
| 1 | Koristite VMware vSphere klijent na računaru da biste se prijavili u ESXi virtuelnog organizatora. | ||||||
| 2 | Izaberite datoteku > primeni OVF šablon. | ||||||
| 3 | U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli, a zatim kliknite na "Dalje " . | ||||||
| 4 | Na stranici Izbor imena i fascikle unesite ime virtuelne mašine za čvor (na primer, "HDS_Node_1"), odaberite lokaciju na kojoj može da se virtuelna mašina primena čvora,a zatim kliknite na "Dalje". | ||||||
| 5 | Na stranici "Izaberite izračunaj resurs" odaberite odredišni resurs za izračunavanje, a zatim kliknite na "Dalje". Pokrenuta je provera valjanosti. Kada se završi, pojavljuju se detalji obrasca. | ||||||
| 6 | Proverite detalje obrasca, a zatim kliknite na "Dalje ". | ||||||
| 7 | Ako od vas zatraže da odaberete konfiguraciju resursa na stranici konfiguracija,kliknite na CPU, a zatim kliknite na "Dalje". | ||||||
| 8 | Na stranici "Izbor skladišta" kliknite na "Dalje" da biste prihvatili podrazumevani format diska i VM smernice za skladištenje. | ||||||
| 9 | Na stranici Izbor mreža izaberite opciju mreže sa liste unosa da biste obezbedili željenu povezanost sa VM. | ||||||
| 10 | Na stranici Prilagođavanje šablona konfigurišite sledeće podešavanja mreže:
Ako je poželjno, možete preskočiti konfiguraciju mrežnih podešavanja i slediti korake u odeljku Podešavanje hibridne bezbednosti VM da biste konfigurisali podešavanja sa konzole čvora.
| ||||||
| 11 | Kliknite desnim tasterom miša na čvor VM, a zatim izaberite stavku . Softver za hibridnu bezbednost podataka je instaliran kao gost na VM organizatoru. Sada ste spremni da prijaviti se konzolu i konfigurišete čvor. Saveti za rešavanje problema Može doći do kašnjenja nekoliko minuta pre nego što se zadrže kontejneri čvora. Poruka zaštitnog zida mosta se pojavljuje na konzoli tokom prvog pokretanja sistema, tokom koje ne možete da prijaviti se. |
Podešavanje funkcije hibridne bezbednosti podataka VM
Prvi put koristite ovu proceduru da biste prijaviti se na čvor za hibridnu bezbednost podataka VM konzolu i podesili akreditive za prijavljivanje. Konzolu možete da koristite da biste konfigurisali podešavanja mreže za čvor ako ih niste konfigurisali u vreme primene OVA.
| 1 | U VMware vSphere klijentu izaberite svoj čvor za hibridnu bezbednost podataka VM i izaberite karticu "Konzola". Datoteka VM se pokreće i pojavljuje se odzivnik za prijavljivanje. Ako se upit za prijavljivanje ne prikaže, pritisnite Enter.
|
| 2 | Koristite sledeću podrazumevanu lozinku za prijaviti se i promenite akreditive: Pošto se po prvi put VM prijavite na sastanak, morate da promenite lozinku administratora. |
| 3 | Ako ste već konfigurisali podešavanja mreže u instalaciji HDS host OVA, preskočite ostatak ove procedure. U suprotnom, u glavni meni izaberite opciju Uredi konfiguraciju . |
| 4 | Podesite statičnu konfiguraciju sa IP adresa, Mask, mrežnim prolazom i DNS informacijama. Vaš čvor bi trebalo da ima interno IP adresa i DNS ime. DHCP nije podržano. |
| 5 | (Opcionalno) Promenite ime hosta, domen ili NTP server(e) ako je potrebno da se podudara sa smernicama vaše mreže. Ne morate da podesite domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata. |
| 6 | Sačuvajte mrežna konfiguracija i ponovo pokrenite VM biste promene stupile na snagu. |
Otpremite i postavite HDS ISO
Pre nego što počnete
Budući da ISO datoteka ima glavni ključ, ona bi trebalo da bude izložena samo na osnovu "mora da se zna", radi pristupa VM-ova za hibridnu bezbednost podataka i bilo kog administratora koji će možda morati da unesu promene. Uverite se da samo ti administratori mogu da pristupe skladištu podataka.
| 1 | Otpremite datoteku ISO sa računara: |
| 2 | Postavite ISO datoteku: |
Šta je sledeće
Ako vaše IT smernice zahtevaju, možete opcionalno da uklonite ISO datoteku nakon što svi čvorovi preuzmu promene konfiguracije. Detaljnije informacije potražite u članku (opcionalno) uklanjanje ISO nakon HDS konfiguracije .
Konfigurisanje HDS čvora za integraciju proxy servera
Ako mrežno okruženje zahteva proxy server, koristite ovaj postupak da biste odredili tip proxy servera koji želite da se integrišete sa hibridnom zaštitom podataka. Ako odaberete prozirni proxy server za inspekciju ili HTTPS eksplicitni proxy server, možete da koristite interfejs čvora za otpremanje i instaliranje korenski sertifikat. Takođe možete da proverite proxy vezu iz interfejsa i rešite sve potencijalne probleme.
Pre nego što počnete
Pogledajte proxy podršku za pregled podržanih opcija proxy servera.
| 1 | Unesite podešavanje HDS URL |
| 2 | Idite u Prodavnicu pouzdanosti i proxy server, a zatim odaberite neku opciju:
Sledite sledeće korake za prozirni proxy server za inspekciju, HTTP eksplicitni proxy sa osnovnom potvrdom identiteta ili HTTPS eksplicitni proxy server. |
| 3 | Kliknite na otpremi vrhovni sertifikat ili sertifikat krajnjih entiteta, a zatim se krećite do biranja korenski sertifikat za proxy servera. Sertifikat je otpremljen, ali još uvek nije instaliran jer morate ponovo pokrenuti čvor da biste instalirali sertifikat. Kliknite na strelicu ševron po imenu izdaoca sertifikata da biste dobili više detalja ili kliknite na "Izbriši" ako ste napravili grešku i želite ponovo da otpremite datoteku. |
| 4 | Kliknite na dugme "Proveri vezu proxy servera" da biste povezivanje na mrežu između čvora i proxy servera. Ako test veze ne uspe, videćete poruka o grešci koja prikazuje razlog i način na koji možete ispraviti problem. Ako vidite poruku u koju se kaže da spoljna DNS rezolucija nije bila uspešna, čvor nije mogao da doseže DNS server. Ovo stanje se očekuje u mnogim eksplicitnih konfiguracija proxy servera. Možete da nastavite sa podešavanjem, a čvor će funkcionisati u režimu blokirane spoljne DNS rezolucije. Ako mislite da je u pitanju greška, dovršite ove korake, a zatim pogledajte članak Isključivanje blokiranog spoljnog DNS rezolucije. |
| 5 | Nakon što probni test veze prođe, za eksplicitni proksi postavljen samo na https, uključite preklopno dugme da biste usmerili sve portove 443/444 https zahteva ovog čvora preko eksplicitnog proxy servera. Ovo podešavanje zahteva 15 sekundi da stupi na snagu. |
| 6 | Kliknite na "Instaliraj sve sertifikate u prodavnicu pouzdanosti" (pojavljuje se za HTTPS eksplicitni proxy server ili prozirni proxy za inspekciju) ili ponovo pokreni (pojavljuje se za HTTP explicit proxy), pročitajte upit, a zatim kliknite na "Instaliraj" ako ste spremni. Čvor se ponovo pokrenuti u roku od nekoliko minuta. |
| 7 | Kada se čvor ponovo pokrene, prijaviti se ponovo po potrebi, a zatim otvorite stranicu Pregled da biste proverili provere mogućnosti povezivanja kako biste se uverili da su svi u zelenom statusu. Proverom proksi veze testira se samo poddomen webex.com. Ako postoje problemi sa mogućnostima povezivanja, uobičajeni problem je što se neki od domena u oblaku navedeni u uputstvima za instaliranje blokiraju na proxy serveru. |
Registrujte prvi čvor u klasteru
Kada registrujete svoj prvi čvor, kreirate klaster kojem je dodeljen čvor. Klaster sadrži jedan ili više čvorova primenjenih da bi se obezbedila redundantnost.
Pre nego što počnete
Kada započnete registraciju čvora, morate ga završiti u roku od 60 minuta ili morate da počnete iz početka.
Uverite se da su svi blokatori iskačućih prozora u pregledaču onemogućeni ili da dozvoljavate izuzetke od admin.webex.com.
| 1 | Prijavite se u https://admin.webex.com. |
| 2 | U meniju sa leve strane ekrana izaberite "Usluge ". |
| 3 | U odeljku Hibridne usluge pronađite hibridnu bezbednost podataka i kliknite na " Podesi". Pojaviće se stranica "Registruj čvor za hibridnu bezbednost podataka".
|
| 4 | Izaberite " Da" da biste naznačili podesiti čvor i spremni ste da ga registrujete, a zatim kliknite na "Dalje ". |
| 5 | U prvo polje unesite ime klastera kom želite da dodelite svoj čvor za hibridnu bezbednost podataka. Preporučujemo da klaster imenujete na osnovu toga gde se geografski nalaze čvorovi klastera. Primeri: "San Francisko" ili "Njujork" ili "Dalas" |
| 6 | U drugo polje unesite internu IP adresa ili potpuno kvalifikovani naziv domena (FQDN) čvora i kliknite na "Dalje ". Ovaj IP adresa ili FQDN treba da se podudara sa IP adresa imenom hosta i domenom koji ste koristili u opciji Podešavanje hibridne bezbednosti VM. Pojaviće se poruka koja ukazuje na to da možete da registrujete svoj čvor u aplikaciji Webex.
|
| 7 | Kliknite na "Idi u čvor". |
| 8 | Kliknite na " Nastavi" u poruka upozorenja. Nakon nekoliko trenutaka, preusmereni ste na testove mogućnosti povezivanja sa čvorom za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica "Dozvoli pristup čvoru hibridne bezbednosti podataka". Tamo potvrđ možete da potvrdite da želite da date dozvole vašoj Webex organizaciji za pristup vašem čvoru.
|
| 9 | Izaberite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na "Nastavi ". Vaš nalog je potvrđen, a poruka "Registracija završena" ukazuje na to da je vaš čvor sada registrovan na Webex oblaku.
|
| 10 | Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka na portalu Control Hub. Na stranici za hibridnu bezbednost podataka prikazuje se novi klaster koji sadrži čvor koji ste registrovali. Čvor će automatski preuzeti najnoviji softver iz oblaka.
|
Kreirajte i registrujte više čvorova
| U ovom trenutku rezervni VM-oporavljanje nakon katastrofe koje ste kreirali u opciji "Ispuni preduslove za hibridnu bezbednost podataka" su organizatori u pripravnosti koji se koriste samo u oporavljanje nakon katastrofe; nisu registrovani u sistemu do tada. Više detalja potražite u članku " Oporavak od katastrofe" pomoću centra podataka u režimu pripravnosti. |
Pre nego što počnete
Kada započnete registraciju čvora, morate ga završiti u roku od 60 minuta ili morate da počnete iz početka.
Uverite se da su svi blokatori iskačućih prozora u pregledaču onemogućeni ili da dozvoljavate izuzetke od admin.webex.com.
| 1 | Kreirajte novu virtuelna mašina iz OVA, ponavljajući korake u vašoj instalaciji HDS Host OVA. |
| 2 | Podesite početnu konfiguraciju na novom uređaju VM ponavljajući korake u odeljku Podešavanje hibridne bezbednosti VM. |
| 3 | Na novoj stranici VM ponovite korake u opciji Otpremanje i montiranje HDS ISO. |
| 4 | Ako podešate proxy server za primenu, ponovite korake u podešavanju HDS čvora za proxy integraciju po potrebi za novi čvor. |
| 5 | Registrujte čvor. Vaš čvor je registrovan. Imajte na umu da dok ne započnete probnu verziju, vaši čvorovi generišu alarm koji ukazuje na to da usluga još uvek nije aktivirana.
|
Šta je sledeće
Probna verzija do toka zadatka proizvodnje
Nakon što podesiti klaster hibridne bezbednosti podataka, možete da pokrenete pilot, dodate korisnike u njega i počnete da ga koristite za testiranje i potvrdu primene u okviru pripreme za prelaženje na proizvodnju.
Pre nego što počnete
| 1 | Ako je primenljivo, sinhronizujte Ako vaša organizacija koristi sinhronizaciju direktorijuma za korisnike, morate da izaberete |
| 2 |
Pokrenite probnu verziju. Dok ne izvršite ovaj zadatak, čvorovi generišu alarm koji ukazuje na to da usluga još nije aktivirana. |
| 3 | Testirajte primenu hibridne bezbednosti podataka Proverite da li zahtevi za ključ ustupa vašem primeni hibridne bezbednosti podataka. |
| 4 | Nadgledanje ispravne hibridne bezbednosti podataka Proverite status i podesiti obaveštenja putem e-pošte za alarme. |
| 5 | |
| 6 | Završite probnu fazu sa jednom od sledećih radnji: |
Aktiviraj probnu verziju
Pre nego što počnete
Ako vaša organizacija koristi sinhronizaciju direktorijuma za korisnike, morate da izaberete HdsTrialGroup grupni objekat za sinhronizaciju sa oblakom pre nego što pokrenete probnu verziju za svoju organizaciju. Uputstva potražite u uputstvo za primenu za Cisco sinhronizator direktorijuma.
| 1 | Prijavite se u , https://admin.webex.coma zatim izaberite "Usluge". |
| 2 | U okviru hibridne bezbednosti podataka kliknite na "Podešavanja". |
| 3 | U odeljku Status usluge kliknite na "Pokreni probnu verziju". Status usluge se menja u probni režim.
|
| 4 | Kliknite na "Dodaj korisnike " i unesite e-adresa jednog ili više korisnika da biste upravljali pilotiranjem pomoću čvorova za hibridnu bezbednost podataka za usluge šifrovanja i indeksacije. (Ako vaša organizacija koristi sinhronizaciju direktorijuma, koristite Active Directory upravljajte probnom grupom, |
Testirajte primenu hibridne bezbednosti podataka
Pre nego što počnete
Podesite primenu hibridne bezbednosti podataka.
Aktivirajte probnu verziju i dodajte nekoliko probnih korisnika.
Uverite se da imate pristup sistemu syslog da biste proverili da li se ključni zahtevi prenose na vaše primene hibridne bezbednosti podataka.
| 1 | Tastere za dati prostor postavlja kreator prostora. Prijavite se u aplikaciju Webex kao jedan od pilot korisnika, a zatim kreirajte prostor i pozovite najmanje jednog korisnika pilota i jednog korisnika koji nije pilot.
| ||
| 2 | Pošaljite poruke u novi prostor. | ||
| 3 | Proverite izlaz Syslog-a da biste proverili da li se zahtevi za ključ prenose na vaše primene hibridne bezbednosti podataka. |
Nadgledanje ispravne hibridne bezbednosti podataka
| 1 | U kontrolnom čvorištu izaberite stavku Usluge iz menija sa leve strane ekrana. |
| 2 | U odeljku Hibridne usluge pronađite hibridnu bezbednost podataka i kliknite na "Podešavanja". Pojaviće se stranica "Podešavanja hibridne bezbednosti podataka".
|
| 3 | U odeljku Obaveštenja e-poštom unesite jednu ili više e-adresa odvojenih zarezima i pritisnite Enter. |
Dodavanje ili uklanjanje korisnika iz probne verzije
Ako uklonite korisnika iz probne verzije, klijent korisnika će zatražiti ključeve i kreiranje ključa iz oblaka KMS-a umesto kmS-a. Ako je klijentu potreban ključ koji se čuva u vašem KMS-u, KMS u oblaku će ga preuzeti u ime korisnika.
Ako vaša organizacija koristi sinhronizaciju direktorijuma, koristite Active Directory (umesto ove procedure) za upravljanje probnom grupom, HdsTrialGroup; možete da prikažete članove grupe na portalu Control Hub, ali ih ne možete dodati ili ukloniti.
| 1 | Prijavite se u Control Hub, a zatim izaberite Usluge. |
| 2 | U okviru hibridne bezbednosti podataka kliknite na "Podešavanja". |
| 3 | U odeljku Probni režim oblasti statusa usluge kliknite na "Dodaj korisnike" ili kliknite na "Prikaži i uredi" da biste uklonili korisnike iz probne verzije. |
| 4 | Unesite e-adresa jednog ili više korisnika koje želite da dodate ili kliknite na X na korisnički ID da uklonite korisnika iz probne verzije. Zatim kliknite na dugme Sačuvaj. |
Premesti sa probne verzije na proizvodnju
| 1 | Prijavite se u Control Hub, a zatim izaberite Usluge. |
| 2 | U okviru hibridne bezbednosti podataka kliknite na "Podešavanja". |
| 3 | U odeljku "Status usluge" kliknite na "Premesti u proizvodnju". |
| 4 | Potvrdite da želite da premestite sve korisnike na proizvodnju. |
Završite probnu verziju bez premeštanja na proizvodnju
| 1 | Prijavite se u Control Hub, a zatim izaberite Usluge. |
| 2 | U okviru hibridne bezbednosti podataka kliknite na "Podešavanja". |
| 3 | U odeljku "Deaktiviraj" kliknite na " Deaktiviraj". |
| 4 | Potvrdite da želite da deaktivirate uslugu i završite probnu verziju. |
Upravljaj HDS primenom
Koristite zadatke opisane ovde da biste upravljali primenom hibridne bezbednosti podataka.
Podesi raspored nadogradnje klastera
Da biste podesili raspored nadogradnje:
| 1 | Prijavite se na Control Hub. |
| 2 | Na stranici "Pregled", u okviru hibridnih usluga izaberite hibridnu bezbednost podataka. |
| 3 | Na stranici Resursi za hibridnu bezbednost podataka izaberite klaster. |
| 4 | Na tabli "Pregled" sa desne strane, u okviru "Podešavanja klastera" izaberite ime klastera. |
| 5 | Na stranici "Podešavanja", u okviru "Nadogradnja", izaberite vremenska zona izaberite vreme i vreme nadogradnje za raspored nadogradnje. Napomena: U okviru vremenska zona, prikazuje se sledeća dostupna datum i vreme nadogradnje. Nadogradnju možete da odložite za sledeći dan, ako je potrebno, klikom na "Odloži ". |
Promena konfiguracije čvora
Promena sertifikata x.509 zbog isteka ili iz drugih razloga.
Ne podržavamo promenu CN naziv domena certifikata. Domen mora da se podudara sa originalnim domenom koji se koristi za registraciju klastera.
Ažuriranje podešavanja baze podataka za promenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.
Ne podržavamo migraciju podataka iz PostgreSQL na drugi Microsoft SQL Server ili na suprotni način. Da biste zamenili okruženje baze podataka, pokrenite novo raspoređivanje hibridne bezbednosti podataka.
Kreiranje nove konfiguracije za pripremanje novog centar za podatke.
Takođe, iz bezbednosnih razloga, hibridna bezbednost podataka koristi lozinke nalog za usluge koje imaju devetomesečni vek trajanja. Nakon što alatka za podešavanje HDS-a generiše ove lozinke, primenite ih na svaki od HDS čvorova u ISO datoteci konfiguracije. Kada lozinke vaše organizacije uskoro isteku, dobićete obaveštenje Webex iz tima da resetujete lozinku za vaš mašinski nalog. (E-poruka uključuje tekst, "Koristite API mašinskog naloga da ažurirate lozinku.") Ako vaše lozinke još nisu istekle, alatka vam daje dve opcije:
Softverno resetovanje – stare i nove lozinke rade do 10 dana. Koristite ovaj period da biste postepeno zamenili ISO datoteku na čvorovima.
Teško resetovanje – stare lozinke odmah prestaje da rade.
Ako vaše lozinke ističu bez resetovanja, to utiče na HDS uslugu, zahtevajući neposredno čvrsto resetovanje i zamenu ISO datoteke na svim čvorovima.
Koristite ovu proceduru da biste generisali novu ISO datoteku za konfiguraciju i primenili je na svoj klaster.
Pre nego što počnete
Alatka za podešavanje HDS-a radi kao docker kontejner na lokalnom računaru. Da biste mu pristupili, pokrenite "Docker" na tom računaru. Proces podešavanja zahteva akreditive za Control Hub nalog sa punim administratorskih prava za vašu organizaciju.
Ako alatka za podešavanje HDS radi iza proxy servera u vašem okruženju, obezbedite postavke proxy servera (server, port, akreditivi) kroz Promenljive Docker okruženja kada uvodite docker kontejner u 1,e. Ova tabela daje neke moguće promenljive okruženja:
Opis
Promenljiva
HTTP Proxy bez potvrde identiteta
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS proxy bez potvrde identiteta
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy sa potvrdom identiteta
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy sa potvrdom identiteta
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTPotrebna vam je kopija trenutne ISO datoteke za konfiguraciju da biste generisli novu konfiguraciju. Ova ISO sadrži glavni ključ za šifrovanje PostgreSQL ili Microsoft SQL servera. Potreban vam je ISO kada menjate konfiguracije, uključujući akreditive baze podataka, ažuriranja sertifikata ili promene politike autorizacije.
| 1 | Ako koristite Docker na lokalnoj mašini, pokrenite alatku za podešavanje HDS-a.
| ||||||
| 2 | Ako imate samo jedan HDS čvor, kreirajte novi čvor za hibridnu bezbednost podataka VM i registrujte ga koristeći novu ISO datoteku za konfiguraciju. Detaljnije informacije potražite u članku Kreiranje i registracija još čvorova. | ||||||
| 3 | Za postojeće HDS čvorove koji rade sa starijim datoteka sa konfiguracijom, postavite ISO datoteku. Obavite sledeći postupak na svakom čvoru prilikom uključivanja, ažuriranja svakog čvora pre isključivanja sledećeg čvora: | ||||||
| 4 | Ponovite korak 3 da biste zamenili konfiguraciju na svakom preostalom čvoru koji radi sa starom konfiguracijom. |
Isključi blokirani režim spoljne DNS rezolucije
Kada registrujete čvor ili proverite konfiguraciju proxy servera čvora, proces testira DNS pronalaženja i mogućnosti povezivanja sa Cisco Webex oblakom. Ako funkcije čvora ne DNS server razreše javna imena DNS, čvor automatski prelazi u režim blokirane spoljne DNS rezolucije.
Ako vaši čvorovi mogu da reše javna imena DNS internim DNS serverima, možete da isključite ovaj režim ponovnim ponovnim testiranjem proksi veze na svakom čvoru.
Pre nego što počnete
| 1 | U veb-pregledaču otvorite interfejs čvora za hibridnu bezbednost podataka (IP adresa/podešavanje, na primer, https://192.0.2.0/setup), unesite akreditive administratora koje ste podesiti za čvor, a zatim kliknite na "Prijavi se". |
| 2 | Idite na pregled (podrazumevana stranica). Kada je omogućena, blokirana spoljna DNS rezolucija je podešena na "Da ". |
| 3 | Idite na stranicu Prodavnica pouzdanosti i proxy servera. |
| 4 | Kliknite na " Proveri vezu proxy servera". Ako vidite poruku u koju se kaže da spoljna DNS rezolucija nije bila uspešna, čvor nije mogao da doseže dolaznu DNS server i ostaće u ovom režimu. U suprotnom, nakon što ponovo pokrenete čvor i vratite se na stranicu "Pregled", blokirana spoljna DNS rezolucija treba da bude podešena na "ne". |
Šta je sledeće
Uklanjanje čvora
| 1 | Koristite VMware vSphere klijent na računaru da biste se prijavili u ESXi virtuelnog organizatora i isključili virtuelna mašina. |
| 2 | Uklonite čvor: |
| 3 | U vSphere klijentu izbrišite VM. (U levom oknu za navigaciju, desni klik na VM i kliknite Izbriši.) Ako ne izbrišete datoteku VM, ne zaboravite da ponovo uključite zvuk ISO datoteke. Bez datoteke ISO, ne možete da koristite datoteku VM pristupite bezbednosnim podacima. |
Oporavak od katastrofe pomoću centra podataka u pripravnosti
Najkritičnija usluga koju pruža vaš klaster za hibridnu bezbednost podataka je kreiranje i skladištenje ključeva koji se koriste za šifrovanje poruka i drugog sadržaja uskladištenog u Webex oblaku. Za svakog korisnika u organizaciji koji je dodeljen za hibridnu bezbednost podataka, novi zahtevi za kreiranje ključa se usmeravaju na klaster. Klaster je takođe odgovoran za vraćanje ključeva koje je kreirano svim korisnicima ovlašćenim da ih preuzmu, na primer, članovi prostora za razgovor.
Pošto klaster obavlja kritičnu funkciju obezbeđivanja ovih ključeva, važno je da klaster ostane pokrenut i da se održavaju odgovarajuća rezervna kopija. Gubitak baze podataka hibridne bezbednosti podataka ili konfiguracije ISO koja se koristi za šemu dovešće do NEPOPLAĆENOG GUBITKA sadržaja kupca. Sledeće prakse su obavezne da bi se sprečio takav gubitak:
Ako katastrofa dovede do toga da primena HDS-a u primarnoj centar za podatke postane nedostupna, sledite ovu proceduru da biste ručno prešli u režim centar za podatke.
| 1 | Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiranje ISO za HDS organizatore. | ||
| 2 | Nakon što konfigurišete Syslogd server, kliknite na opciju " Napredna podešavanja" | ||
| 3 | Na stranici " Napredna podešavanja " dodajte konfiguraciju ispod ili uklonite
| ||
| 4 | Dovršite proces konfiguracije i sačuvajte datoteku ISO na lokaciji koju je lako pronaći. | ||
| 5 | Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu. Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije. | ||
| 6 | U levom navigacionom panelu VMware vSphere klijenta možete desni klik na VM i kliknite na "Uredi podešavanja". | ||
| 7 | Kliknite na "Uredi >CD/DVD disk jedinicu 1 " i izaberite stavku Skladište ISO podataka.
| ||
| 8 | Uključite HDS čvor i uverite se da nema alarma najmanje 15 minuta. | ||
| 9 | Ponovite proces za svaki čvor u režimu centar za podatke.
|
Šta je sledeće
(Opcionalno) Isključi zvuk ISO nakon HDS konfiguracije
Standardna HDS konfiguracija radi sa ISO postavljenim. Međutim, neki kupci radije ne napuštaju ISO datoteke neprekidno montirane. Datoteku za ISO možete ponovo da uključite nakon što svi HDS čvorovi preuzmu novu konfiguraciju.
I dalje koristite datoteke ISO da biste uneli promene konfiguracije. Kada kreirate novu ISO ili ažurirate ISO putem alatke za podešavanje, morate da postavite ažurirane ISO na sve HDS čvorove. Kada svi čvorovi prihvate promene konfiguracije, možete ponovo da uključite zvuk ISO sa ovom procedurom.
Pre nego što počnete
Nadogradite sve HDS čvorove na verziju 2021.01.22.4720 ili noviju.
| 1 | Isključite jedan od HDS čvorova. |
| 2 | U vCenter uređaju servera izaberite HDS čvor. |
| 3 | Izaberite disk jedinici" i opozovite izbor stavke u ISO datoteci. |
| 4 | Uključite HDS čvor i uverite se da nema alarma najmanje 20 minuta. |
| 5 | Za svaki HDS čvor za redom ponovite. |
Prikaži upozorenja i rešavanje problema
Primena hibridne bezbednosti podataka smatra se nedostupnim ako su svi čvorovi u klasteru nedostupni ili klaster sporo radi da zahteva istek vremena. Ako korisnici ne mogu da stignu do vašeg klastera hibridne bezbednosti podataka, iskuse sledeće simptome:
Nije moguće kreirati nove prostore (nije moguće kreirati nove ključeve)
Dešifrovanje poruka i naslova prostora nije uspelo za:
Novi korisnici dodati u prostor (nije moguće preuzeti ključeve)
Postojeći korisnici u prostoru koji koriste novi klijent (nije moguće preuzeti ključeve)
Postojeći korisnici u prostoru će nastaviti da funkcionišu uspešno sve dok njihovi klijenti imaju keš ključeva za šifrovanje
Važno je da pravilno nadgledate svoj klaster hibridne bezbednosti podataka i da na odgovarajući način odgovorite na sva upozorenja kako biste izbegli prekid usluge.
Upozorenja
Ako postoji problem sa podešavanjem hibridne bezbednosti podataka, Control Hub prikazuje upozorenja administratoru organizacije i šalje e-poruke konfigurisanim e-adresa. Upozorenja pokrivaju mnogo uobičajenih scenarija.
Upozorenje | Radnja |
|---|---|
Neuspešan pristup lokalnoj bazi podataka. |
Proverite da li ima grešaka u bazi podataka ili problema sa lokalnom mrežom. |
Lokalni broj neuspešno povezivanje. |
Proverite da server baze podataka je dostupan i da nalog za usluge akreditivi korišćeni u konfiguraciji čvorova. |
Neuspešan pristup usluzi u oblaku. |
Proverite da li čvorovi mogu da pristupe Webex serverima kao što je navedeno u zahtevima za spoljno povezivanje. |
Obnavlja se registracija usluge u oblaku. |
Registracija za usluge u oblaku je odbačena. Obnova registracije je u toku. |
Registracija usluge u oblaku je odbačena. |
Registracija za usluge u oblaku je prekinuta. Usluga se iskljućuje. |
Usluga još uvek nije aktivirana. |
Aktivirajte probnu verziju ili završite sa premeštanjem probne verzije na proizvodnju. |
Konfigurisani domen se ne podudara sertifikat servera. |
Uverite se da sertifikat servera se podudara sa konfigurisanim domenom za aktivaciju usluge. Najverovatniji uzrok je to što je CN sertifikata nedavno promenjen i sada se razlikuje od CN-a koji je korišćen tokom početnog podešavanja. |
Potvrda identiteta za usluge u oblaku nije uspela. |
Proverite tačnost i mogući istek nalog za usluge akreditivi. |
Otvaranje datoteke lokalnog ključeva nije uspelo. |
Proverite da li postoji tačnost integriteta i lozinke u datoteci lokalnog ključeva. |
Lokalna sertifikat servera nevažeća. |
Proverite sertifikat servera na datum isteka i potvrdite da ga je izdao pouzdani Certificate Authority. |
Objavljivanje pokazatelja nije moguće. |
Proverite pristup lokalne mreže spoljnim uslugama oblaka. |
/media/configdrive/hds direktorijum ne postoji. |
Proverite konfiguraciju ISO na virtuelnog organizatora. Proverite da ISO datoteka postoji, da je podešena za montiranje na ponovno pokretanje i da li se uspešno montava. |
Rešavanje problema sa hibridnom zaštitom podataka
| 1 | Pregledajte Control Hub za sva upozorenja i ispravite sve stavke koje tamo pronađete. |
| 2 | Pregledajte izlaz Syslog servera za aktivnost iz primene hibridne bezbednosti podataka. |
| 3 | Obratite se Cisco podrška. |
Poznati problemi za hibridnu bezbednost podataka
Ako isključite klaster hibridne bezbednosti podataka (brisanjem na portalu Control Hub ili isključivanje svih čvorova), izgubite datoteku za ISO konfiguracije ili izgubite pristup bazi podataka ključeva, korisnici aplikacije Webex više neće moći da koriste prostore na listi "Osobe" koji su kreirani pomoću ključeva iz vašeg KMS-a. Ovo se odnosi i na probnu verziju i na proizvodne primene. Trenutno nemamo rešenje ili rešenje za ovaj problem i pozivamo vas da ne isključite HDS usluge nakon što rukuju aktivnim korisničkim nalozima.
Klijent koji ima postojeću ECDH vezu sa KMS-om održava tu vezu određeno vreme (verovatno jedan sat). Kada korisnik postane član probne verzije hibridne bezbednosti podataka, klijent korisnika nastavlja da koristi postojeću ECDH vezu sve dok istekne vreme. Osim toga, korisnik može da odjaviti se ponovo u aplikaciju Webex kako bi ažurirao lokaciju koju aplikacija kontaktira za ključeve za šifrovanje.
Isto ponašanje se dešava kada premestite probnu verziju na proizvodnju za organizaciju. Svi korisnici koji nisu probni sa postojećim ECDH vezama sa prethodnim bezbednosnim uslugama podataka nastaviće da koriste te usluge dok se ponovo ne pregovara o ECDH vezi (kroz vremensko ograničenje ili odjavljivanjem i ponovnom prijavama).
Koristite OpenSSL za generisanje PKCS12 datoteke
Pre nego što počnete
OpenSSL je jedna alatka koja se može koristiti za podešavanje PKCS12 datoteke u odgovarajućem formatu za učitavanje u alatki za podešavanje HDS-a. Postoje i drugi načini da se to uradi, a ne podržavamo i ne promovišemo ga na neki drugi način.
Ako odaberete da koristite OpenSSL, pružamo ovu proceduru kao smernicu da vam pomognemo da kreirate datoteku koja ispunjava zahteve sertifikata X.509 u zahtevima za sertifikate X.509. Razumejte te zahteve pre nego što nastavite.
Instalirajte OpenSSL u podržanom okruženju. Pogledajte https://www.openssl.org softver i dokumentaciju.
Kreirajte privatni ključ.
Pokrenite ovu proceduru kada dobijete sertifikat servera od svog Certificate Authority (CA).
| 1 | Kada primite sertifikat servera iz CA, sačuvajte ga kao |
| 2 | Prikažite sertifikat kao tekst i potvrdite detalje.
|
| 3 | Koristite uređivač teksta da biste kreirali datoteku sa paketom sertifikata koja se zove
|
| 4 | Kreiraj .p12 datoteku sa prijateljskim imenom
|
| 5 | Proverite detalje sertifikat servera. |
Šta je sledeće
Vratite se da biste ispunili preduslove za hibridnu bezbednost podataka. Koristićete hdsnode.p12 lozinku koju ste postavili , u odeljku Kreiranje konfiguracije ISO za HDS organizatore.
| Ove datoteke možete ponovo da koristite da biste zatražili novi sertifikat kada originalni sertifikat istekne. |
Saobraćaj između HDS čvorova i oblaka
Saobraćaj za prikupljanje odlaznih pokazatelja
Čvorovi za hibridnu bezbednost podataka šalju određene pokazatelje Webex oblaku. U njih spadaju sistemski pokazatelji za maksimum grupe, upotrebu grupe, CPU učitavanje i broj konverzacije; pokazatelji za sinhrone i asinhrone konverzacije; metrika za upozorenja koja uključuju prag veza za šifrovanje, kašnjenje ili dužinu reda za čekanje zahteva; pokazatelji u skladištu podataka; metrika za šifrovanje veze. Čvorovi šalju materijal za šifrovani ključ preko kanala van opsega (odvojeno od zahteva).
Dolazni saobraćaj
Čvorovi za hibridnu bezbednost podataka dobijaju sledeće tipove dolaznog saobraćaja iz Webex oblaka:
Zahtevi za šifrovanje od klijenata, koje usmerava usluga šifrovanja
Nadograđuje se na softver čvora
Konfigurisanje lignja proxy servera za hibridnu bezbednost podataka
Websocket ne može da se poveže preko proxy servera lignje
Proxy proxy serveri koji pregledaju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a ( wss:) veza koje zahteva hibridna bezbednost podataka. Ovi odeljci daju uputstva kako da konfigurišete različite verzije Lignje za zanemarivanje wss: saobraćaj za pravilan rad usluga.
Lignje 4 i 5
Dodajte datoteku on_unsupported_protocol direktivu za squid.conf:
on_unsupported_protocol tunnel allLignje 3,5.27
Uspešno smo testirali hibridnu bezbednost podataka sa sledećim pravilima dodatim u squid.conf. Ova pravila podležu promeni dok razvijamo funkcije i ažuriramo Webex oblak.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allNove i promenjene informacije
|
Datum |
Napravljene promene | ||
|---|---|---|---|
|
20. oktobar 2023. |
| ||
|
Avgust 07, 2023. |
| ||
|
23. maj 2023. |
| ||
|
06. decembar 2022. |
| ||
|
23. novembar 2022. |
| ||
|
13.10.2021. |
Docker Desktop mora da pokrene program za podešavanje da biste mogli da instalirate HDS čvorove. Pogledajte zahteve za docker radnu površinu. | ||
|
24. juna 2021. |
Imajte u vidu to da možete ponovo da koristite datoteku privatnog ključa i da CSR zatražite drugi sertifikat. Detaljnije informacije potražite u članku Upotreba openSSL za generisanje PKCS12 datoteke . | ||
| 30. april 2021. |
Promenjen je VM za prostor na lokalnom čvrstom disku na 30 GB. Detaljnije informacije potražite u zahtevima virtuelnog organizatora. | ||
|
24.02.2021. |
Alatka za podešavanje HDS-a sada može da radi iza proxy servera. Detalje potražite u članku Kreiranje ISO za HDS organizatore . | ||
|
02.02.2021. |
HDS sada može da radi bez postavljene ISO datoteke. Detaljnije informacije potražite u članku (opcionalno) uklanjanje ISO nakon HDS konfiguracije . | ||
|
11. januar 2021. |
Dodate su informacije o alatki za podešavanje HDS-a i proxy serverima za kreiranje ISO za HDS organizatore. | ||
|
13. oktobra 2020. |
Ažurirano preuzimanje instalacionih datoteka. | ||
|
8. oktobar 2020. |
Ažurirano kreiranje konfiguracije za ISO za HDSorganizatore i promenu konfiguracije čvora pomoću komandi za FedRAMP okruženja. | ||
|
14. avgusta 2020. |
Ažurirano je kreiranje konfiguracije ISO za HDSorganizatore i promenu konfiguracije čvora promenama u procesu prijavljivanja. | ||
|
5. avgust, 2020. |
Ažurirano testirajte primenu hibridne bezbednosti podataka za promene u porukama evidencije. Ažurirani su zahtevi virtuelnog organizatora kako bi se maksimalni broj uklonili organizatori. | ||
|
16. jun, 2020. |
Ažurirano je uklanjanje čvora za promene u korisničkom interfejsu platforme Control Hub. | ||
|
4. jun, 2020. |
Ažurirano je kreiranje konfiguracije ISO za HDS organizatore za promene u naprednih podešavanja koje možete podesiti. | ||
|
29. maj, 2020. |
Ažurirano kreiranje konfiguracije ISO za HDS organizatore koji će pokazati da takođe možete da koristite TLS sa SQL bazama podataka servera, promenama korisničkog interfejsa i drugim pojašnjenja. | ||
|
5. maj, 2020. |
Ažurirani su zahtevi virtuelnog organizatora kako bi se prikazao novi zahtev za ESXi 6.5. | ||
|
21. april 2020. |
Ažurirani su zahtevi za spoljne mogućnosti povezivanja sa hostovima kompanije New Americas CI. | ||
|
1. aprila 2020. |
Ažurirani su zahtevi za spoljnu povezanost sa informacijama o regionalnim CI organizatorima. | ||
| 20. februara 2020. | Ažurirano kreiranje konfiguracije ISO za HDS organizatore informacijama o novom opcionalnom ekranu za napredna podešavanja u alatki za podešavanje HDS-a. | ||
| 04.02.2020. | Ažurirani zahtevi proxy servera. | ||
| 16. decembar 2019. | Pojašnjeno je zahtev da režim DNS spoljne rezolucije radi u zahtevima proxy servera. | ||
| 19.11.2019. |
Dodate informacije o blokiranim spoljnim DNS u sledećim odeljcima: | ||
|
8. novembra 2019. |
Sada možete da konfigurišete podešavanja mreže za čvor dok primenjujete OVA, a ne kasnije. Ažurirani su sledeći odeljci na odgovarajući način:
| ||
|
Septembar 6, 2019 |
Dodat je SQL server standarda u zahteve servera baze podataka. | ||
| 29. avgusta 2019. | Dodato je konfigurisanje lignja proxy servera za dodatak za hibridnu bezbednost podataka sa uputstvima za konfigurisanje proxy servera za lignje kako bi se zanemario websocket saobraćaj radi pravilnog rada. | ||
| 20.08.2019. |
Dodati su i ažurirani odeljci za pokrivanje proxy podrške za komunikacije čvora hibridne bezbednosti podataka sa Webex oblakom. Da biste pristupili samo sadržaju podrške za proxy za postojeću primenu, pogledajte članak pomoći proxy podrške za hibridnu bezbednost podataka i članak pomoći Webex Video Mesh . | ||
| 13. jun 2019. | Probna verzija je ažurirana na tok zadatka proizvodnje sa podsetnikom da bi se sinhronizovao objekat grupe HdsTrialGroup pre pokretanja probne verzije ako vaša organizacija koristi sinhronizaciju direktorijuma. | ||
| 6. mart 2019. |
| ||
| 28. februara 2019. |
| ||
| 26. februar 2019. |
| ||
|
24. januara 2019. |
| ||
| 5. novembar 2018. |
| ||
| 19. oktobar 2018. |
| ||
|
Jul 31, 2018 |
| ||
| 21. maj 2018. |
Promenjena terminologija da odražava rebrendiranje Cisco Sparka:
| ||
| 11. april 2018. |
| ||
| 22. februara 2018. |
| ||
| 15. februara 2018. |
| ||
| 18. januara 2018. |
| ||
|
02.11.2017. |
| ||
|
Avgust 18, 2017 |
Prvo objavljeno |
Pregled hibridne bezbednosti podataka
Od 1. dana bezbednost podataka je primarni fokus u dizajnu aplikacije Webex. Kamen kamen temeljac ove bezbednosti je potpuno šifrovanje sadržaja koje omogućavaju klijenti aplikacije Webex koji interaguju sa uslugom upravljanja ključevima (KMS). KMS je odgovoran za kreiranje i upravljanje ključevima za šifrovanje koje klijenti koriste za dinamičko šifrovanje i dešifrovanje poruka i datoteka.
Podrazumevano, svi kupci aplikacije Webex dobijaju potpuno šifrovanje pomoću dinamičkih ključeva uskladištenih u KMS-u u oblaku, u Cisco bezbednosnom području. Hibridna bezbednost podataka premešta KMS i druge funkcije povezane sa bezbednošću u vaš centar za podatke o preduzeću, tako da niko osim vas ne poseduje ključeve šifrovanog sadržaja.
Arhitektura bezbednosnog područja
Arhitektura Webex oblaka odvaja različite tipove usluge u zasebna područja ili pouzdane domene, kao što je opisano ispod.
Da biste dodatno razumeli hibridnu bezbednost podataka, hajde da pogledamo ovaj čisti slučaj u oblaku gde Cisco obezbeđuje sve funkcije u svom području oblaka. Usluga identiteta, jedino mesto gde korisnici mogu direktno da se povežu sa ličnim podacima kao što su e-adresa, logično i fizičko se odvaja od bezbednosnog područja u centar za podatke B. Oba se zamenjuju odvojeno od područja gde se šifrovani sadržaj konačno skladišti u centar za podatke C.
Na ovom dijagramu, klijent je aplikacija Webex pokrenuta na laptop računaru korisnika i potvrdio identitet pomoću usluge identiteta. Kada korisnik sastavi poruku za slanje u prostor, izvršite sledeće korake:
-
Klijent uspostavlja funkciju bezbedna veza uslugom upravljanja ključevima (KMS), a zatim traži ključ za šifrovanje poruke. Ova bezbedna veza koristi ECDH, a KMS šifruje ključ pomoću AES-256 glavni ključ.
-
Poruka je šifrovana pre nego što napusti klijent. Klijent je šalje usluzi indeksa, koja kreira šifrovane indekse pretrage kako bi pomogla u budućim pretraživanjima sadržaja.
-
Šifrovana poruka se šalje usluzi usklađenosti radi provere usklađenosti.
-
Šifrovana poruka se čuva u području skladišta.
Kada primenite hibridnu bezbednost podataka, premestite funkcije bezbednosnog područja (KMS, indeksiranje i usaglašenost) na u objektu centar za podatke. Ostale usluge u oblaku koje sačinju Webex (uključujući identitet i skladištenje sadržaja) ostaju u Područjima kompanije Cisco.
Saradnja sa drugim organizacijama
Korisnici u vašoj organizaciji mogu redovno da koriste aplikaciju Webex za saradnju sa spoljnim učesnicima u drugim organizacijama. Kada jedan od korisnika zatraži ključ za prostor u vlasništvu vaše organizacije (jer ga je kreirao jedan od korisnika) VAŠ KMS šalje ključ klijentu preko ECDH bezbednog kanala. Međutim, kada druga organizacija poseduje ključ za prostor, vaš KMS usmerava zahtev do Webex oblaka putem zasebnog ECDH kanala da bi dobili ključ iz odgovarajućih KMS-a, a zatim vraća ključ korisniku na originalnom kanalu.
KMS usluga pokrenuta u okviru Org A proverava veze sa KMS-ovima u drugim organizacijama koristeći PKI sertifikate x.509. Pogledajte odeljak Pripremite svoje okruženje za detalje o generisanju sertifikata x.509 koji će se koristiti sa primenom hibridne bezbednosti podataka.
Očekivanja za primenu hibridne bezbednosti podataka
Primena hibridne bezbednosti podataka zahteva značajnu posvećenost kupaca i svesnost o rizicima koji dolaze sa sopstvenim ključevima za šifrovanje.
Da biste primenili hibridnu bezbednost podataka, morate da navedite:
-
Bezbedna centar za podatke u zemlji koja je podržana lokacija za Cisco Webex Teams planove.
-
Pristup opremi, softveru i mreži opisan u pripremi okruženja.
Dovršen gubitak konfiguracije ISO koju ste izgradili za hibridnu bezbednost podataka ili bazu podataka koju naveli dovešću do gubitka ključeva. Gubitak ključa sprečava korisnike da dešifruje sadržaj prostora i druge šifrovane podatke u aplikaciji Webex. Ako se to desi, možete da napravite novu primenu, ali će samo novi sadržaj biti vidljiv. Da biste izbegli gubitak pristupa podacima, morate:
-
Upravljajte rezervnim kopijama i oporavkom baze podataka i konfiguracijama ISO.
-
Budite spremni da izvršite brze oporavljanje nakon katastrofe ako dođe do katastrofe, kao što je neuspeh diska baze podataka ili centar za podatke katastrofa.
| Ne postoji mehanizam za premeštanje ključeva u oblak nakon HDS primene. |
Proces podešavanja visokog nivoa
Ovaj dokument pokriva podešavanje i upravljanje primenom hibridne bezbednosti podataka:
Podešavanje hibridne bezbednosti podataka – To uključuje pripremu potrebne infrastrukture i instaliranje softvera hibridne bezbednosti podataka, testiranje primene sa podskupom korisnika u probnom režimu i, kada se testiranje završi, prelazi na proizvodnju. Ovim putem će cela organizacija da koristi vaš klaster za hibridnu bezbednost podataka za bezbednosne funkcije.
Faze podešavanja, probne verzije i produkcijske faze su detaljno pokrivene u naredna tri poglavlja.
-
Održavajte primenu hibridne bezbednosti podataka – Webex oblak automatski obezbeđuje tekuće nadogradnje. Vaše IT odeljenje može da pruži jednu podršku za ovu primenu i da se angažuje Cisco podrška po potrebi. Obaveštenja na ekranu možete da koristite i podesiti upozorenja zasnovana na e-poruci na platformi Control Hub.
-
Razumevanje uobičajenih upozorenja, koraka rešavanja problema i poznatih problema – Ako naiđete na problem prilikom primene ili korišćenja hibridne bezbednosti podataka, poslednje poglavlje ovog vodiča i aplikacije Poznati problemi mogu vam pomoći da odredite i rešite problem.
Model primene hibridne bezbednosti podataka
U okviru podaci preduzeća centra primenjujete hibridnu bezbednost podataka kao jedan klaster čvorova na zasebnim virtuelnim organizatorima. Čvorovi komuniciraju sa Webex oblakom putem bezbednih veb-priključaka i bezbednog HTTP-a.
Tokom procesa instalacije obezbeđujemo vam OVA datoteku za podesiti virtuelni uređaj na VM-ovima koje pružate. Alatku za podešavanje HDS-a koristite da biste kreirali prilagođenu konfiguraciju klastera ISO koju montirate na svaki čvor. Klaster hibridne bezbednosti podataka koristi obezbeđeni Syslogd server i PostgreSQL ili Microsoft SQL server bazu podataka. (Detalje o Syslogd-u i vezi sa bazom podataka konfigurišete u alatki za podešavanje HDS-a.)
Minimalni broj čvorova koje možete da imate u klasteru je dva. Preporučujemo da ih ima najmanje tri, a možete da ih imate do pet. Ako imate više čvorova, osigurava se da se usluga ne prekida tokom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor u isto vreme.)
Svi čvorovi u klasteru pristupaju istom skladištu podataka ključa i aktivnost evidencije istom serveru syslog. Sami čvorovi su bez države i obrađuju zahteve u okruglo-robin stilu, kao što je režirao oblak.
Čvorovi postaju aktivni kada ih registrujete na portalu Control Hub. Da biste pojedinačni čvor odjavili iz funkcije, možete ga odjaviti i kasnije ponovo registracijiti po potrebi.
Podržavamo samo jedan klaster po organizaciji.
Probni režim hibridne bezbednosti podataka
Nakon podešavanja primene hibridne bezbednosti podataka, prvo pokušajte sa skupom pilot korisnika. Tokom probnog perioda ovi korisnici koriste u objektu domen hibridne bezbednosti podataka za ključeve za šifrovanje i druge usluge bezbednosnog područja. Ostali korisnici i dalje koriste područje bezbednosti oblaka.
Ako odlučite da ne nastavite sa primenom tokom probne verzije i deaktivirate uslugu, pilot korisnici i svi korisnici sa kojima su ostvarili interakciju kreiranjem novih prostora tokom probnog perioda izgubiće pristup porukama i sadržaju. Oni će videti "Ova poruka se ne može dešifrovanje" u aplikaciji Webex.
Ako ste zadovoljni da primena funkcioniše dobro za probne korisnike i spremni ste da proširite hibridnu bezbednost podataka na sve svoje korisnike, prebacite primenu na proizvodnju. Pilot korisnici i dalje imaju pristup ključevima koji su se koristili tokom probne verzije. Međutim, ne možete se uvek pomerati između proizvodnog režima i originalne probne verzije. Ako morate da deaktivirate uslugu, na primer da biste izvršili oporavljanje nakon katastrofe, kada ponovo aktivirate morate da pokrenete novu probnu verziju i da podesiti skup pilot korisnika za novu probnu verziju pre nego što se vratite u proizvodni režim. Bez obzira na to da li korisnici zadržavaju pristup podacima u ovom trenutku, zavisi od toga da li ste uspešno održali rezervne kopije ključa skladištenje podataka i ISO datoteka sa konfiguracijom za čvorove za hibridnu bezbednost podataka u klasteru.
Centar podataka u pripravnosti za oporavak od katastrofe
Tokom primene, možete podesiti u bezbednom centar za podatke. U slučaju centar za podatke katastrofe, možete ručno da ne uspete da izvršite raspoređivanje u režimu centar za podatke.
Baze podataka aktivnih i u stanju pripravnosti centara podataka su u sinhronizaciji jedan sa drugim, što će umanjiti vreme potrebno za izvršavanje neuspeha. Datoteka ISO u režimu centar za podatke ažurira se dodatnim konfiguracijama koje obezbeđuju da čvorovi budu registrovani u organizaciji, ali neće upravljati saobraćajem. Zbog toga čvorovi u režimu centar za podatke uvek ostanu ažurirani sa najnovijom verzijom HDS softvera.
| Aktivni čvorovi za hibridnu bezbednost podataka moraju uvek biti u centar za podatke kao i aktivni server baze podataka. |
Podešavanje centra podataka u pripravnosti za oporavak od katastrofe
Sledite dolenavedene korake da biste ISO datoteku u režimu centar za podatke:
Pre nego što počnete
-
Prostor u centar za podatke bi trebalo da preslika proizvodno okruženje VMs i rezervnu PostgreSQL ili Microsoft SQL server bazu podataka. Na primer, ako proizvodnja ima 3 VMS koji imaju HDS čvorove, rezervno okruženje bi trebalo da ima 3 VMS. (Pogledajte Centar podataka u pripravnosti za oporavak od katastrofe za pregled ovog modela neuspeha.)
-
Uverite se da je sinhronizacija baze podataka omogućena između baze podataka aktivnih i pasivnih čvorova klastera.
| 1 |
Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiranje ISO za HDS organizatore.
| ||
| 2 |
Nakon što konfigurišete Syslogd server, kliknite na opciju " Napredna podešavanja" | ||
| 3 |
Na stranici "Napredna podešavanja " dodajte konfiguraciju u nastavku da biste postavili čvor u pasivan režim. U ovom režimu će čvor biti registrovan za organizaciju i povezan na oblak, ali neće upravljati nikakvim saobraćajem.
| ||
| 4 |
Dovršite proces konfiguracije i sačuvajte datoteku ISO na lokaciji koju je lako pronaći. | ||
| 5 |
Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu. Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije. | ||
| 6 |
U levom navigacionom panelu VMware vSphere klijenta možete desni klik na VM i kliknite na "Uredi podešavanja". | ||
| 7 |
Kliknite na "Uredi >CD/DVD disk jedinicu 1 " i izaberite stavku ISO datoteku.
| ||
| 8 |
Uključite HDS čvor i uverite se da nema alarma najmanje 15 minuta. | ||
| 9 |
Ponovite proces za svaki čvor u režimu centar za podatke.
|
Šta je sledeće
Nakon što konfigurišete passiveMode u datoteku ISO i sačuvate je, možete da kreirate još jednu kopiju datoteke ISO datoteku bez konfiguracije pasivnog Mode-a i sačuvate je na bezbednoj lokaciji. Ova kopija datoteke ISO bez konfigurisane pasivne Mode datoteke može da vam pomogne u procesu brzog prebacivanja tokom oporavljanje nakon katastrofe. Pogledajte " Oporavak od katastrofe" koristeći centar podataka u pripravnosti za detaljan postupak preuzimanja.
Proxy podrška
Hibridna bezbednost podataka podržava eksplicitne, transparentne preglede i proksije koji nisu za proveru. Ove proksije možete povezati sa raspoređivanjem tako da možete da obezbedite i nadgledate saobraćaj od preduzeća do oblaka. Možete da koristite interfejs administratora platforme na čvorovima za upravljanje certifikatom i da proverite ukupan status povezivanja nakon što podesite proxy server na čvorovima.
Čvorovi "Bezbednost hibridnih podataka" podržavaju sledeće opcije proxy servera:
-
Nema proxy servera – podrazumevano ako ne koristite podešavanje HDS čvora Pouzdano skladište i proxy servera za integraciju proxy servera. Nije potrebna ispravka certifikata.
-
Prozirni proxy server koji ne pregleda – čvorovi nisu konfigurisani da koriste određenu proksi server adresu i ne bi trebalo da zahtevaju nikakve promene za rad sa proxy serverom koji ne pregleda. Nije potrebna ispravka certifikata.
-
Prozirno prolazno prolaze ili protok proxy servera – čvorovi nisu konfigurisani za korišćenje određene proksi server adrese. Na čvorovima nisu potrebne HTTP ili HTTPS promene konfiguracije. Međutim, čvorovima je potreban vrhovni certifikat da bi imali poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).
-
Eksplicitni proxy server – sa eksplicitnim proxy serverom govorite HDS čvorovima koje proksi server i šemom potvrde identiteta da koristite. Da biste konfigurisali eksplicitni proxy server, morate uneti sledeće informacije na svaki oglas:
-
Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy računaru.
-
Proxy port – A broj priključka proxy servera koristi za slušanje proksi saobraćaja.
-
Proxy protokol – u zavisnosti od toga šta proksi server podržava, izaberite između sledećih protokola:
-
HTTP – Prikazuje i kontroliše sve zahteve koje klijent šalje.
-
HTTPS – Obezbeđuje kanal serveru. Klijent prima i proverava valjanost certifikata servera.
-
-
vrsta autentifikacije – Izaberite jedan od sledećih tipova potvrde identiteta:
-
Nijedna – nije potrebna dodatna potvrda identiteta.
Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.
-
Osnovna – koristi se za HTTP korisničkog agenta za navedite korisničko ime i lozinku prilikom upućivanje zahteva. Koristi Base64 kodiranje.
Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.
Zahteva da unesete korisničko ime i lozinku na svaki oglas.
-
Digest – koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.
Dostupno samo ako izaberete HTTPS kao proxy protokol.
Zahteva da unesete korisničko ime i lozinku na svaki oglas.
-
-
Primer hibridnih čvorova za bezbednost podataka i proxy servera
Ovaj dijagram prikazuje primer veze između hibridne bezbednosti podataka, mreže i proxy servera. Za transparentnu proveru i HTTPS eksplicitnu proveru proxy opcija, isti vrhovni certifikat mora biti instaliran na proxy serveru i na čvorovima "Bezbednost hibridnih podataka".
Blokiran režim spoljne DNS rezolucije (eksplicitne proxy konfiguracije)
Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. U primenama sa eksplicitnim proxy konfiguracijama koje ne dozvoljavaju spoljnu DNS rezoluciju za interne klijente, ako se u njemu ne može izvršiti upit nad DNS serverima, on automatski ulazi u režim blokirane spoljne DNS rezolucije. U ovom režimu može da se nastavi registracija čvora i drugi testovi proxy povezivanja.
Zahtevi za hibridnu bezbednost podataka
Cisco Webex licence
Da biste primenili hibridnu bezbednost podataka:
-
Morate imati Pro Pack za Cisco Webex Control Hub. (Pogledajte https://www.cisco.com/go/pro-pack.)
Zahtevi za docker radnu površinu
Da biste instalirali HDS čvorove, treba vam Docker Desktop da biste pokrenuli program za podešavanje. Docker je nedavno ažurirao svoj model licenciranja. Možda će biti potrebna plaćena pretplata za Docker Desktop. Detalje potražite u postu na Docker blogu „Docker ažurira i proširuje naše prijave na proizvode“.
X.509 zahtevi za sertifikat
Organizator lanac sertifikata ispuni sledeće uslove:
|
Uslov |
Detalji |
|---|---|
|
Podrazumevano verujemo CA-ovima na Mozilla listi (sa izuzetkom WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs. |
|
CN ne mora da bude dostupan ili organizator uživo. Preporučujemo da koristite ime koje odražava vašu organizaciju, na primer, CN ne sme da sadrži * (džoker). CN se koristi za potvrdu čvorova hibridne bezbednosti podataka klijentima aplikacije Webex. Svi čvorovi za hibridnu bezbednost podataka u klasteru koriste isti sertifikat. Vaš KMS se identifikuje pomoću CN domena, a ne bilo kog domena definisanog u poljima x.509v3 SAN. Nakon što registrujte čvor sa ovim sertifikatu, ne podržavamo promenu CN naziv domena. Izaberite domen koji može da se primeni i na probnu verziju i na produkcijske primene. |
|
KMS softver ne podržava SHA1 potpise za proveru valjanosti veza sa KMS-ovima drugih organizacija. |
|
Za promenu formata certifikata možete da koristite konvertor kao što je OpenSSL. Moraćete da unesete lozinku kada pokrenete alatku za podešavanje HDS-a. |
KMS softver ne nameće ograničenja korišćenja ključa ili proširena ograničenja korišćenja ključa. Neki autoriteti za izdavanje sertifikata zahtevaju da se proširena ograničenja korišćenja ključa primenjuju na svaki sertifikat, kao što je potvrda identiteta servera. U redu je da koristite potvrdu identiteta servera ili druga podešavanja.
Zahtevi virtuelnog organizatora
Virtuelni domaćini koje ćete podesiti kao čvorove hibridne bezbednosti podataka u svom klasteru imaju sledeće zahteve:
-
Najmanje dva odvojena organizatora (3 preporučena) u istom bezbednom centar za podatke
-
VMware ESXi 6.5 (ili noviji) je instaliran i pokrenut.
Morate da nadogradite ako imate raniju verziju ESXi-a.
-
Najmanje 4 vCPU, 8 GB glavne memorije, 30 GB lokalnog čvrstog prostora po serveru
Zahtevi servera baze podataka
| Kreirajte novu bazu podataka za skladištenje ključeva. Nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada je instalirana, kreirajte šemu baze podataka. |
Postoje dve opcije za ovu server baze podataka. Zahtevi za svakog su sledeći:
|
PostgresqL |
Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
|
Najmanje 8 vCUs, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje kako bi se osiguralo da nije prekoračena (preporučuje se 2-TB ako želite da baza podataka dugo radi, a da ne morate da povećavate skladište) |
Najmanje 8 vCUs, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje kako bi se osiguralo da nije prekoračena (preporučuje se 2-TB ako želite da baza podataka dugo radi, a da ne morate da povećavate skladište) |
HDS softver trenutno instalira sledeće verzije upravljačkog programa za komunikaciju sa server baze podataka:
|
PostgresqL |
Microsoft SQL Server |
|---|---|
|
Postgres JDBC upravljački program 42.2.5 |
SQL JDBC upravljački program servera 4.6 Ova verzija upravljačkog programa podržava SQL server uvek uključen ( Uvek uključene instance neuspešnogklastera i Grupe dostupnosti uvek uključene). |
Dodatni zahtevi za Windows potvrdu identiteta u SQL Microsoft serveru
Ako želite da HDS čvorovi koriste Windows potvrdu identiteta da bi dobili pristup bazi podataka ključeva na Microsoft SQL serveru, potrebna vam je sledeća konfiguracija u vašem okruženju:
-
HDS čvorovi, Active Directory infrastruktura i MS SQL server moraju da se sinhronizuju sa NTP.
-
Windows nalog koji napišete HDS čvorovima mora da ima pristup za čitanje/pisanje baze podataka.
-
Serveri DNS koje dostavite HDS čvorovima moraju da budu u mogućnosti da razreše centar za distribuciju ključa (KDC).
-
Možete registrovati instancu HDS baze podataka na Microsoft SQL serveru kao glavno ime usluge (SPN) na Active Directory. Pogledajte članak Registrovanje glavnog imena usluge za Kerberos veze.
Alatka za podešavanje HDS, HDS pokretanje i lokalni KMS moraju da koriste Windows potvrdu identiteta za pristup bazi podataka ključeva. Oni koriste detalje iz vaše konfiguracije ISO za konstrukciju SPN-a kada zahtevaju pristup pomoću Kerberos potvrde identiteta.
Zahtevi za spoljno povezivanje
Konfigurišite zaštitni zid da biste omogućili sledeće mogućnosti povezivanja za HDS aplikacije:
|
Aplikacija |
Protokol |
Port |
Smer iz aplikacije |
Odredište |
|---|---|---|---|---|
|
Čvorovi za hibridnu bezbednost podataka |
TCP |
443 |
Odlazni HTTPS i WSS |
|
|
Alatka za podešavanje HDS-a |
TCP |
443 |
Odlazni HTTPS |
|
| Čvorovi za hibridnu bezbednost podataka rade sa prevodom pristupa mreži (NAT) ili iza zaštitnog zida, sve dok NAT ili zaštitni zid omogućavaju potrebne odlazne veze sa odredištima domena u pređašnje tabeli. Za veze koje ide do čvorova za hibridnu bezbednost podataka, nijedan port ne bi trebalo da bude vidljiv sa interneta. U okviru vaših centar za podatke, klijentima je potreban pristup čvorovima hibridne bezbednosti podataka na TCP portovima 443 i 22, u administrativne svrhe. |
URL adrese za hostove zajedničkog identiteta (CI) su specifične za region. Ovo su trenutni CI organizatori:
|
Regiona |
URL adrese organizatora zajedničkog identiteta |
|---|---|
|
Amerike |
|
|
Evropska unija |
|
|
Kanada |
|
Zahtevi proxy servera
-
Zvanično podržavamo sledeća proxy rešenja koja se mogu integrisati sa vašim Hybrid Data Security čvorovima.
-
Prozirni proxy – Cisco Web Security Appliance (WSA).
-
Eksplicitni proxy – lignje.
Lignje proxy serveri koji pregledaju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket (wss:) veza. Da biste rešili ovaj problem, pogledajte članak Konfigurisanje lignje proxy servera za hibridnu bezbednost podataka.
-
-
Podržavamo sledeće kombinacije tipa potvrde identiteta za eksplicitne proksije:
-
Nema potvrde identiteta sa HTTP-om ili HTTPS-om
-
Osnovna potvrda identiteta pomoću HTTP-a ili HTTPS-a
-
Vari potvrdu identiteta samo pomoću HTTPS-a
-
-
Za prozirno proveravanje proxy servera ili HTTPS eksplicitnog proxy servera, morate imati kopiju vrhovnog certifikata proxy servera. Uputstva za primenu u ovom vodiču vam govore kako da otpremite kopiju u skladišta poverenja čvorova za bezbednost hibridnih podataka.
-
Mreža koja hostuje HDS čvorove mora biti konfigurisana da primora izlazni TCP saobraćaj na portu 443 da bi se usmerio kroz proxy server.
-
Proksije koje proveravaju Veb saobraćaj mogu da ometaju veze sa Veb utičnicama. Ako dođe do ovog problema, zaobilazeći (ne proveravajući)
saobraćaj wbx2.com ciscospark.com on ćerešiti problem.
Ispunite preduslove za hibridnu bezbednost podataka
| 1 |
Uverite se da je Webex organizacija omogućena za Pro Pack za Cisco Webex Control Hub i nabavite akreditive naloga sa punim pravima administratora organizacije. Obratite se Cisco partneru ili menadžeru naloga za pomoć u ovom procesu. | ||
| 2 |
Odaberite naziv domena za HDS primenu ( | ||
| 3 |
Pripremite identične virtuelne organizatore koje ćete podesiti kao čvorove za hibridnu bezbednost podataka u svom klasteru. Potrebna su vam najmanje dva zasebna organizatora (3 preporučena) u istom bezbednom centar za podatke koji ispunjavaju zahteve u zahtevima virtuelnih organizatora. | ||
| 4 |
Pripremite server baze podataka koji će delovati kao ključ za skladištenje podataka za klaster, u skladu sa zahtevima servera baze podataka. Organizatori server baze podataka buduконфигурисани у чекању centar za podatke virtuelnim organizatorima. | ||
| 5 |
Za brze oporavljanje nakon katastrofe, podesiti rezervno okruženje u drugom centar za podatke. Rezervno okruženje preslikava proizvodno okruženje VMs i rezervne server baze podataka. Na primer, ako proizvodnja ima 3 VMS koji imaju HDS čvorove, rezervno okruženje bi trebalo da ima 3 VMS. | ||
| 6 |
Podesite organizatora syslog za prikupljanje evidencija iz čvorova u klasteru. Prikupite mrežna adresa i syslog port (podrazumevano je UDP 514). | ||
| 7 |
Kreirajte bezbednu politiku pravljenja rezervnih kopija za čvorove hibridne bezbednosti podataka, server baze podataka i organizatora sistemskog sistema. U minimumu, da biste sprečili nepoplaćivanje gubitka podataka, morate da napravite pozadinu baze podataka i datoteku ISO konfiguracije koja je generisana za čvorove hibridne bezbednosti podataka.
Klijenti aplikacije Webex keše svoje ključeve, tako da pre prekida rada možda neće biti odmah primetnljiv, ali će vremenom postati vidljivi. Iako je nemoguжe sprečiti privremene prekšiljanje, mogu se oporavljati. Međutim, potpuni gubitak (nema dostupnih rezervnih kopija) baze podataka ili datoteka ISO konfiguracije doveže do nepoplatnih podataka o kupcima. Operateri čvorova za hibridnu bezbednost podataka očekuju da zadrže česta rezervna kopija baze podataka i datoteke ISO konfiguracije i spremni su da ponovo izradite alatku za hibridnu bezbednost centar za podatke ako dođe do katastrofalnog neuspeha. | ||
| 8 |
Uverite se da konfiguracija zaštitnog zida omogućava povezivanje za čvorove hibridne bezbednosti podataka kao što je navedeno u zahtevima spoljne povezanosti. | ||
| 9 |
Instalirajte Docker ( https://www.docker.com) na bilo kom lokalnom računaru sa podržanim OS-om (Microsoft Windows 10 profesionalni ili enterprise 64-bitni ili Mac OSX Yosemite 10.10.3 ili noviji) sa veb-pregledačem koji može da mu pristupa na http://127.0.0.1:8080. Instancu Docker koristite za preuzimanje i pokretanje alatke za podešavanje HDS-a koja gradi lokalne informacije o konfiguraciji za sve čvorove hibridne bezbednosti podataka. Možda će vašoj organizaciji biti potrebna Licenca za Docker Desktop. Više informacija potražite u zahtevima docker radne površine. Da biste instalirali i pokrenuli alatku za podešavanje HDS-a, lokalni računar mora da ima ojačenu povezanost u zahtevima za spoljno povezivanje. | ||
| 10 |
Ako integrišete proxy server sa hibridnom zaštitom podataka, uverite se da ispunjava zahteve proxy servera. | ||
| 11 |
Ako vaša organizacija koristi sinhronizaciju direktorijuma, kreirajte grupu u grupi Active Directory
|
Tok zadatka primene hibridne bezbednosti podataka
Pre nego što počnete
| 1 |
Preuzmite OVA datoteku na svoj lokalni računar za kasnije korišćenje. | ||
| 2 |
Kreiranje konfiguracije ISO za HDS organizatore Koristite alatku za podešavanje HDS-a da biste ISO datoteka sa konfiguracijom za čvorove hibridne bezbednosti podataka. | ||
| 3 |
Kreirajte virtuelna mašina iz OVA datoteke i izvršite početnu konfiguraciju, kao što je podešavanja mreže.
| ||
| 4 |
Podešavanje funkcije hibridne bezbednosti podataka VM Prijavite se na VM konzolu i podesite akreditive za prijavljivanje. Konfigurišite podešavanja mreže za čvor ako ih niste konfigurisali u vreme primene OVA. | ||
| 5 |
Konfigurišite VM na ISO datoteka sa konfiguracijom koju ste kreirali pomoću alatke za podešavanje HDS-a. | ||
| 6 |
Konfigurisanje HDS oglasa za integraciju proxy servera Ako mrežno okruženje zahteva konfiguraciju proxy servera, navedite tip proxy servera koji ćete koristiti za čvor i po potrebi dodati proxy sertifikat u skladište pouzdanosti. | ||
| 7 |
Registrujte prvi čvor u klasteru Registrujte VM na Cisco Webex oblak kao čvor za hibridnu bezbednost podataka. | ||
| 8 |
Kreirajte i registrujte više čvorova Dovršite podešavanje klastera. | ||
| 9 |
Pokrenite probnu verziju i premestite se u proizvodnju (sledeće poglavlje) Dok ne započnete probnu verziju, vaši čvorovi generišu alarm koji ukazuje na to da usluga još uvek nije aktivirana. |
Preuzmi instalacione datoteke
| 1 |
Prijavite se u , https://admin.webex.coma zatim kliknite na "Usluge ". | ||||
| 2 |
U odeljku Hibridne usluge pronađite karticu hibridna bezbednost podataka, a zatim kliknite na " Podesi". Ako je kartica onemogućena ili je ne vidite, obratite se timu za naloge ili partneroj organizaciji. Dajte im svoj broj naloga i zatražite da omoguće svojoj organizaciji hibridnu bezbednost podataka. Da biste pronašli broj naloga, kliknite na zupčanici u gornjem desnom uglu, pored imena organizacije.
| ||||
| 3 |
Izaberite " Ne" da biste naznačili da još uvek podesiti čvor, a zatim kliknite na "Dalje ". OVA datoteka automatski počinje da preuzima. Sačuvajte datoteku na lokaciji na računaru.
| ||||
| 4 |
Opcionalno, kliknite na uputstvo za primenu da biste proverili da li postoji novija verzija ovog vodiča. |
Kreiranje konfiguracije ISO za HDS organizatore
Proces podešavanja hibridne bezbednosti podataka kreira datoteku ISO datoteke. Zatim koristite ovu ISO da biste konfigurisali organizatora za hibridnu bezbednost podataka.
Pre nego što počneš
-
HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces instalacije zahteva akreditive naloga kontrolnog čvorišta sa punim administratorskim pravima za vašu organizaciju.
Ako alatka za podešavanje HDS radi iza proxy servera u vašem okruženju, obezbedite postavke proxy servera (server, port, akreditivi) kroz Promenljive Docker okruženja kada u koraku 5 unesite docker kontejner. Ova tabela daje neke moguće varijable okruženja:
Opis
Promenljiva
Http proksi bez provere autentičnosti
GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS proksi bez autentifikacije
GLOBALNI_AGENT HTTPS_PROXY=http://SERVER_IP_:PORTHttp proksi sa autentifikacijom
GLOBALNI_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proksi sa autentifikacijom
GLOBALNI_AGENT HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP_:PORT -
Datoteka za ISO koju generišete sadrži glavni ključ za šifrovanje PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada promenite konfiguraciju, kao što su ove:
-
Akreditivi baze podataka
-
Ažuriranja sertifikata
-
Promene smernica autorizacije
-
-
Ako planirate da šifrujete veze sa bazom podataka, podesiti PostgreSQL ili SQL primenu servera za TLS.
| 1 |
Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje: U redovnim sredinama: U FedRAMP okruženjima:
| ||||||||||||
| 2 |
Da biste se prijavili u Docker registar slika, unesite sledeće: | ||||||||||||
| 3 |
Na poziv za lozinku unesite ovaj heš: | ||||||||||||
| 4 |
Preuzmite najnoviju stabilnu sliku za svoje okruženje: U redovnim sredinama: U FedRAMP okruženjima: | ||||||||||||
| 5 |
Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:
Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080." | ||||||||||||
| 6 |
Koristite veb-pregledač da biste pristupili lokalnom organizatoru Alatka koristi ovaj prvi unos korisničkog imena da bi postavila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje. | ||||||||||||
| 7 |
Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora kupca na portalu Control Hub, a zatim kliknite na "Prijavi se" da biste dozvolili pristup potrebnim uslugama za hibridnu bezbednost podataka. | ||||||||||||
| 8 |
Na stranici "Pregled alatke za podešavanje" kliknite na "Prvi koraci". | ||||||||||||
| 9 |
Na stranici za ISO uvoz imate sledeće opcije:
| ||||||||||||
| 10 |
Proverite da li vaš X.509 sertifikat ispunjava zahteve u X.509 zahtevima sertifikata.
| ||||||||||||
| 11 |
Unesite adresu baze podataka i nalog za HDS da biste pristupili usluzi podataka ključa: | ||||||||||||
| 12 |
Izaberite TLS režima povezivanja baze podataka:
Kada otpremite korenski sertifikat (ako je potrebno) i kliknete na "Nastavi", alatka za podešavanje HDS-a testira TLS vezu sa server baze podataka. Alat takođe verifikuje potpisnika sertifikata i ime domaćina, ako je primenljivo. Ako test ne uspe, alatka prikazuje poruku o grešci koja opisuje problem. Možete da izaberete da li da ignorišete grešku i nastavite sa podešavanjem. (Zbog razlika u mogućnosti povezivanja, HDS čvorovi će možda moći da uspostave vezu TLS čak i ako mašina alatke za podešavanje HDS-a ne može uspešno da je testira.) | ||||||||||||
| 13 |
Na stranici "Sistemske evidencije" konfigurišite Syslogd server: | ||||||||||||
| 14 |
(Opcionalno) U napredna podešavanja možete podrazumevana vrednost za neke parametre veze sa bazom podataka. Generalno, ovaj parametar je jedini koji želite da promenite: | ||||||||||||
| 15 |
Kliknite na "Nastavi " na ekranu "Resetuj lozinku za naloge za usluge ". Lozinke naloga za usluge imaju životni vek od devet meseci. Koristite ovaj ekran kada lozinke ističe ili želite da ih resetujete kako biste poništili prethodne ISO datoteke. | ||||||||||||
| 16 |
Kliknite na "Preuzmi ISO datoteku". Sačuvajte datoteku na lokaciji koju je lako pronaći. | ||||||||||||
| 17 |
Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu. Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije. | ||||||||||||
| 18 |
Da biste isključili alatku za podešavanje, otkucajte |
Šta je sledeće
Napravite napravite pozadinu datoteke ISO konfiguracije. Potrebno je da kreirate više čvorova za oporavak ili da biste uneli promene konfiguracije. Ako izgubite sve kopije datoteke ISO, izgubili ste i glavni ključ. Spasavanje ključeva iz PostgreSQL ili Microsoft SQL servera baze podataka nije moguće.
| Nikada nemamo kopiju ovog ključa i ne možemo da odolimo ako ga izgubite. |
Instaliraj HDS host OVA
| 1 |
Koristite VMware vSphere klijent na računaru da biste se prijavili u ESXi virtuelnog organizatora. | ||||||
| 2 |
Izaberite datoteku > primeni OVF šablon. | ||||||
| 3 |
U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli, a zatim kliknite na "Dalje ". | ||||||
| 4 |
Na stranici Izbor imena i fascikle unesite ime virtuelne mašine za čvor (na primer, "HDS_Node_1"), odaberite lokaciju na kojoj može da se virtuelna mašina primena čvora, a zatim kliknite na "Dalje". | ||||||
| 5 |
Na stranici " Izaberite izračunaj resurs" odaberite odredišni resurs za izračunavanje, a zatim kliknite na "Dalje ". Pokrenuta je provera valjanosti. Kada se završi, pojavljuju se detalji obrasca. | ||||||
| 6 |
Proverite detalje obrasca, a zatim kliknite na "Dalje ". | ||||||
| 7 |
Ako od vas zatraže da odaberete konfiguraciju resursa na stranici konfiguracija, kliknite na 4 CPU , a zatim kliknite na "Dalje". | ||||||
| 8 |
Na stranici "Izbor skladišta " kliknite na "Dalje" da biste prihvatili podrazumevani format diska i VM smernice za skladištenje. | ||||||
| 9 |
Na stranici Izbor mreža izaberite opciju mreže sa liste unosa da biste obezbedili željenu povezanost sa VM. | ||||||
| 10 |
Na stranici Prilagođavanje šablona konfigurišite sledeće podešavanja mreže:
Ako je poželjno, možete preskočiti konfiguraciju mrežnih podešavanja i slediti korake u odeljku Podešavanje hibridne bezbednosti VM da biste konfigurisali podešavanja sa konzole čvora.
| ||||||
| 11 |
Kliknite desnim tasterom miša na čvor VM, a zatim odaberite stavku . Softver za hibridnu bezbednost podataka je instaliran kao gost na VM organizatoru. Sada ste spremni da prijaviti se konzolu i konfigurišete čvor. Saveti za rešavanje problema Može doći do kašnjenja nekoliko minuta pre nego što se zadrže kontejneri čvora. Poruka zaštitnog zida mosta se pojavljuje na konzoli tokom prvog pokretanja sistema, tokom koje ne možete da prijaviti se. |
Podešavanje funkcije hibridne bezbednosti podataka VM
Prvi put koristite ovu proceduru da biste prijaviti se na čvor za hibridnu bezbednost podataka VM konzolu i podesili akreditive za prijavljivanje. Konzolu možete da koristite da biste konfigurisali podešavanja mreže za čvor ako ih niste konfigurisali u vreme primene OVA.
| 1 |
U VMware vSphere klijentu izaberite svoj čvor za hibridnu bezbednost podataka VM i izaberite karticu "Konzola ". Datoteka VM se pokreće i pojavljuje se odzivnik za prijavljivanje. Ako se upit za prijavljivanje ne prikaže, pritisnite Enter.
|
| 2 |
Koristite sledeću podrazumevanu lozinku za prijaviti se i promenite akreditive: Pošto se po prvi put VM prijavite na sastanak, morate da promenite lozinku administratora. |
| 3 |
Ako ste već konfigurisali podešavanja mreže u instalaciji HDS host OVA, preskočite ostatak ove procedure. U suprotnom, u glavni meni izaberite opciju Uredi konfiguraciju . |
| 4 |
Podesite statičnu konfiguraciju sa IP adresa, Mask, mrežnim prolazom i DNS informacijama. Vaš čvor bi trebalo da ima interno IP adresa i DNS ime. DHCP nije podržano. |
| 5 |
(Opcionalno) Promenite ime hosta, domen ili NTP server(e) ako je potrebno da se podudara sa smernicama vaše mreže. Ne morate da podesite domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata. |
| 6 |
Sačuvajte mrežna konfiguracija i ponovo pokrenite VM biste promene stupile na snagu. |
Otpremite i postavite HDS ISO
Pre nego što počnete
Budući da ISO datoteka ima glavni ključ, ona bi trebalo da bude izložena samo na osnovu "mora da se zna", radi pristupa VM-ova za hibridnu bezbednost podataka i bilo kog administratora koji će možda morati da unesu promene. Uverite se da samo ti administratori mogu da pristupe skladištu podataka.
| 1 |
Otpremite datoteku ISO sa računara: |
| 2 |
Postavite ISO datoteku: |
Šta je sledeće
Ako vaše IT smernice zahtevaju, možete opcionalno da uklonite ISO datoteku nakon što svi čvorovi preuzmu promene konfiguracije. Detaljnije informacije potražite u članku (opcionalno) uklanjanje ISO nakon HDS konfiguracije .
Konfigurisanje HDS oglasa za integraciju proxy servera
Ako mrežno okruženje zahteva proxy server, koristite ovu proceduru da biste naveli tip proxy servera koji želite da integrišete sa hibridnom bezbednošću podataka. Ako odaberete prozirni server za proveru proxy servera ili HTTPS eksplicitni proxy server, možete da koristite interfejs čvorišta da biste otpremili i instalirali vrhovni certifikat. Takođe možete da proverite proxy vezu sa interfejsa i rešite sve potencijalne probleme.
Pre nego što počneš
-
Pogledajte proxy podršku da biste dobili pregled podržanih proxy opcija.
| 1 |
Unesite URL adresu za podešavanje HDS |
| 2 |
Idite na Trust Store & Proxy , azatim odaberite opciju:
Sledite sledeće korake za prozirni proxy server za proveru, HTTP eksplicitni proxy server sa osnovnom potvrdom identiteta ili HTTPS eksplicitni proxy server. |
| 3 |
Kliknite na dugme Otpremi vrhovni certifikat ili certifikat krajnjegentiteta , a zatim se krećite do izbora vrhovnog certifikata za proxy server. Certifikat je otpremljen, ali još uvek nije instaliran jer morate ponovo pokrenuti oglas da biste instalirali certifikat. Kliknite na ševron strelicu po imenu izdavača certifikata da biste dobili više detalja ili kliknite na dugme "Izbriši" ako ste pogrešili i želite ponovo da učitate datoteku. |
| 4 |
Kliknite na dugme Proveri proxy vezu da biste testirali mrežnu vezu između čvora i proxy servera. Ako test veze ne uspe, videćete poruku o grešci koja prikazuje razlog i način na koji možete da ispravite problem. Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, nije bilo moguće doći do DNS servera. Ovaj uslov se očekuje u mnogim eksplicitnim proxy konfiguracijama. Možete da nastavite sa podešavanjem, a čvor će funkcionisati u režimu blokirane spoljne DNS rezolucije. Ako mislite da je u pitanju greška, dovršite ove korake, a zatim pogledajte članak Isključivanje blokiranog spoljnog DNS rezolucije. |
| 5 |
Nakon što prođe test veze, za eksplicitni proxy podešen samo na https, uključite preklopnik na Route sav port 443/444 https zahteve od ovog oglasa preko eksplicitnog proxy servera. Za stupanje na snagu ove postavke potrebno je 15 sekundi. |
| 6 |
Kliknite na dugme Instaliraj sve certifikate u skladište pouzdanosti (pojavljuje se za HTTPS eksplicitni proxy server ili prozirni server za proveru) ili na dugme "Ponovo pokreni sistem" (pojavljuje se za HTTP eksplicitni proxy server), pročitajte odzivnik, a zatim kliknite na dugme Instaliraj ako ste spremni. Node se ponovo pokreće u roku od nekoliko minuta. |
| 7 |
Nakon ponovnog pokretanja čvora, ponovo se prijavite ako je potrebno, a zatim otvorite stranicu Pregled da biste proverili provere veze da biste se uverili da su svi u zelenom statusu. Provera proxy veze testira samo poddomein webex.com. Ako postoje problemi sa povezivanjem, čest problem je u tome što se neki od domena u oblaku navedenih u uputstvima za instalaciju blokiraju na proxy serveru. |
Registrujte prvi čvor u klasteru
Kada registrujete svoj prvi čvor, kreirate klaster kojem je dodeljen čvor. Klaster sadrži jedan ili više čvorova primenjenih da bi se obezbedila redundantnost.
Pre nego što počnete
-
Kada započnete registraciju čvora, morate ga završiti u roku od 60 minuta ili morate da počnete iz početka.
-
Uverite se da su svi blokatori iskačućih prozora u pregledaču onemogućeni ili da dozvoljavate izuzetke od admin.webex.com.
| 1 |
Prijavite se u https://admin.webex.com. |
| 2 |
U meniju sa leve strane ekrana izaberite "Usluge ". |
| 3 |
U odeljku Hibridne usluge pronađite hibridnu bezbednost podataka i kliknite na " Podesi". Pojaviće se stranica "Registruj čvor za hibridnu bezbednost podataka".
|
| 4 |
Izaberite " Da" da biste naznačili podesiti čvor i spremni ste da ga registrujete, a zatim kliknite na "Dalje ". |
| 5 |
U prvo polje unesite ime klastera kom želite da dodelite svoj čvor za hibridnu bezbednost podataka. Preporučujemo da klaster imenujete na osnovu toga gde se geografski nalaze čvorovi klastera. Primeri: "San Francisko" ili "Njujork" ili "Dalas" |
| 6 |
U drugo polje unesite internu IP adresa ili potpuno kvalifikovani naziv domena (FQDN) čvora i kliknite na "Dalje ". Ovaj IP adresa ili FQDN treba da se podudara sa IP adresa imenom hosta i domenom koji ste koristili u opciji Podešavanje hibridne bezbednosti VM. Pojaviće se poruka koja ukazuje na to da možete da registrujete svoj čvor u aplikaciji Webex.
|
| 7 |
Kliknite na "Idi u čvor". |
| 8 |
Kliknite na " Nastavi" u poruka upozorenja. Nakon nekoliko trenutaka, preusmereni ste na testove mogućnosti povezivanja sa čvorom za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica "Dozvoli pristup čvoru hibridne bezbednosti podataka". Tamo potvrđ možete da potvrdite da želite da date dozvole vašoj Webex organizaciji za pristup vašem čvoru.
|
| 9 |
Izaberite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na "Nastavi ". Vaš nalog je potvrđen, a poruka "Registracija završena" ukazuje na to da je vaš čvor sada registrovan na Webex oblaku.
|
| 10 |
Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka na portalu Control Hub. Na stranici za hibridnu bezbednost podataka prikazuje se novi klaster koji sadrži čvor koji ste registrovali. Čvor će automatski preuzeti najnoviji softver iz oblaka.
|
Kreirajte i registrujte više čvorova
| U ovom trenutku rezervni VM-oporavljanje nakon katastrofe koje ste kreirali u opciji "Ispuni preduslove za hibridnu bezbednost podataka" su organizatori u pripravnosti koji se koriste samo u oporavljanje nakon katastrofe; nisu registrovani u sistemu do tada. Više detalja potražite u članku " Oporavak od katastrofe" pomoću centra podataka u režimu pripravnosti. |
Pre nego što počnete
-
Kada započnete registraciju čvora, morate ga završiti u roku od 60 minuta ili morate da počnete iz početka.
-
Uverite se da su svi blokatori iskačućih prozora u pregledaču onemogućeni ili da dozvoljavate izuzetke od admin.webex.com.
| 1 |
Kreirajte novu virtuelna mašina iz OVA, ponavljajući korake u vašoj instalaciji HDS Host OVA. |
| 2 |
Podesite početnu konfiguraciju na novom uređaju VM ponavljajući korake u odeljku Podešavanje hibridne bezbednosti VM. |
| 3 |
Na novoj stranici VM ponovite korake u opciji Otpremanje i montiranje HDS ISO. |
| 4 |
Ako podešate proxy server za primenu, ponovite korake u podešavanju HDS čvora za proxy integraciju po potrebi za novi čvor. |
| 5 |
Registrujte čvor. Vaš čvor je registrovan. Imajte na umu da dok ne započnete probnu verziju, vaši čvorovi generišu alarm koji ukazuje na to da usluga još uvek nije aktivirana.
|
Šta je sledeće
Probna verzija do toka zadatka proizvodnje
Nakon što podesiti klaster hibridne bezbednosti podataka, možete da pokrenete pilot, dodate korisnike u njega i počnete da ga koristite za testiranje i potvrdu primene u okviru pripreme za prelaženje na proizvodnju.
Pre nego što počnete
| 1 |
Ako je primenljivo, sinhronizujte Ako vaša organizacija koristi sinhronizaciju direktorijuma za korisnike, |
| 2 |
Pokrenite probnu verziju. Dok ne izvršite ovaj zadatak, čvorovi generišu alarm koji ukazuje na to da usluga još nije aktivirana. |
| 3 |
Testirajte primenu hibridne bezbednosti podataka Proverite da li zahtevi za ključ ustupa vašem primeni hibridne bezbednosti podataka. |
| 4 |
Nadgledanje ispravne hibridne bezbednosti podataka Proverite status i podesiti obaveštenja putem e-pošte za alarme. |
| 5 | |
| 6 |
Završite probnu fazu sa jednom od sledećih radnji: |
Aktiviraj probnu verziju
Pre nego što počnete
Ako vaša organizacija koristi sinhronizaciju direktorijuma za korisnike, morate da izaberete objekat grupe HdsTrialGroup za sinhronizaciju sa oblakom da biste mogli da pokrenete probnu verziju za svoju organizaciju. Uputstva potražite u uputstvo za primenu za Cisco sinhronizator direktorijuma.
| 1 |
Prijavite se u , https://admin.webex.coma zatim izaberite "Usluge ". |
| 2 |
U okviru hibridne bezbednosti podataka kliknite na "Podešavanja". |
| 3 |
U odeljku Status usluge kliknite na "Pokreni probnu verziju". Status usluge se menja u probni režim.
|
| 4 |
Kliknite na "Dodaj korisnike " i unesite e-adresa jednog ili više korisnika da biste upravljali pilotiranjem pomoću čvorova za hibridnu bezbednost podataka za usluge šifrovanja i indeksacije. (Ako vaša organizacija koristi sinhronizaciju direktorijuma, koristite Active Directory upravljajte probnom grupom, |
Testirajte primenu hibridne bezbednosti podataka
Pre nego što počnete
-
Podesite primenu hibridne bezbednosti podataka.
-
Aktivirajte probnu verziju i dodajte nekoliko probnih korisnika.
-
Uverite se da imate pristup sistemu syslog da biste proverili da li se ključni zahtevi prenose na vaše primene hibridne bezbednosti podataka.
| 1 |
Tastere za dati prostor postavlja kreator prostora. Prijavite se u aplikaciju Webex kao jedan od pilot korisnika, a zatim kreirajte prostor i pozovite najmanje jednog korisnika pilota i jednog korisnika koji nije pilot.
| ||
| 2 |
Pošaljite poruke u novi prostor. | ||
| 3 |
Proverite izlaz Syslog-a da biste proverili da li se zahtevi za ključ prenose na vaše primene hibridne bezbednosti podataka. |
Nadgledanje ispravne hibridne bezbednosti podataka
| 1 |
U kontrolnom čvorištu izaberite stavku Usluge iz menija sa leve strane ekrana. |
| 2 |
U odeljku Hibridne usluge pronađite hibridnu bezbednost podataka i kliknite na "Podešavanja". Pojaviće se stranica "Podešavanja hibridne bezbednosti podataka".
|
| 3 |
U odeljku Obaveštenja e-poštom unesite jednu ili više e-adresa odvojenih zarezima i pritisnite Enter. |
Dodavanje ili uklanjanje korisnika iz probne verzije
Ako uklonite korisnika iz probne verzije, klijent korisnika će zatražiti ključeve i kreiranje ključa iz oblaka KMS-a umesto kmS-a. Ako je klijentu potreban ključ koji se čuva u vašem KMS-u, KMS u oblaku će ga preuzeti u ime korisnika.
Ako vaša organizacija koristi sinhronizaciju direktorijuma, koristite Active Directory (umesto ove procedure) da biste upravljali probnom grupom, HdsTrialGroup; možete da prikažete članove grupe u Kontrolnom čvorištu, ali ne možete ih dodati ili ukloniti.
| 1 |
Prijavite se u Control Hub, a zatim izaberite Usluge. |
| 2 |
U okviru hibridne bezbednosti podataka kliknite na "Podešavanja". |
| 3 |
U odeljku Probni režim oblasti statusa usluge kliknite na " Dodaj korisnike" ili kliknite na "Prikaži i uredi" da biste uklonili korisnike iz probne verzije. |
| 4 |
Unesite e-adresa jednog ili više korisnika koje želite da dodate ili kliknite na X na korisnički ID da uklonite korisnika iz probne verzije. Zatim kliknite na dugme Sačuvaj. |
Premesti sa probne verzije na proizvodnju
| 1 |
Prijavite se u Control Hub, a zatim izaberite Usluge. |
| 2 |
U okviru hibridne bezbednosti podataka kliknite na "Podešavanja". |
| 3 |
U odeljku "Status usluge" kliknite na "Premesti u proizvodnju". |
| 4 |
Potvrdite da želite da premestite sve korisnike na proizvodnju. |
Završite probnu verziju bez premeštanja na proizvodnju
| 1 |
Prijavite se u Control Hub, a zatim izaberite Usluge. |
| 2 |
U okviru hibridne bezbednosti podataka kliknite na "Podešavanja". |
| 3 |
U odeljku "Deaktiviraj" kliknite na " Deaktiviraj". |
| 4 |
Potvrdite da želite da deaktivirate uslugu i završite probnu verziju. |
Upravljaj HDS primenom
Koristite zadatke opisane ovde da biste upravljali primenom hibridne bezbednosti podataka.
Podesi raspored nadogradnje klastera
Da biste podesili raspored nadogradnje:
| 1 |
Prijavite se u Kontrolni centar. |
| 2 |
Na stranici "Pregled", u okviru hibridnih usluga izaberite hibridnu bezbednost podataka. |
| 3 |
Na stranici Resursi za hibridnu bezbednost podataka izaberite klaster. |
| 4 |
Na tabli "Pregled" sa desne strane, u okviru "Podešavanja klastera" izaberite ime klastera. |
| 5 |
Na stranici "Podešavanja", u okviru "Nadogradnja", izaberite vremenska zona izaberite vreme i vreme nadogradnje za raspored nadogradnje. Napomena: U okviru vremenska zona, prikazuje se sledeća dostupna datum i vreme nadogradnje. Nadogradnju možete da odložite za sledeći dan, ako je potrebno, klikom na "Odloži ". |
Promena konfiguracije čvora
-
Promena x.509 sertifikata zbog isteka ili drugih razloga.
Ne podržavamo promenu naziva CN domena sertifikata. Domen mora da se podudara sa originalnim domenom koji se koristi za registraciju klastera.
-
Ažuriranje podešavanja baze podataka za promenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.
Ne podržavamo premeštanje podataka sa PostgreSQL na Microsoft SQL Server ili u suprotnom smeru. Da biste promenili okruženje baze podataka, započnite novo uvođenje Hibridne bezbednosti podataka.
-
Kreiranje nove konfiguracije za pripremu novog data centra.
Takođe, u bezbednosne svrhe, Hibridna bezbednost podataka koristi lozinke naloga usluga koje imaju devetomesečni vek trajanja. Nakon što alatka za instalaciju HDS-a generiše ove lozinke, primenite ih na svaki HDS čvor u ISO konfig datoteci. Kada se lozinke vaše organizacije bliže isteku, dobijate obaveštenje od Webex tima da biste poništili lozinku za svoj nalog računara. (Imejl sadrži tekst, „Koristite API za nalog mašine da biste ažurirali lozinku.") Ako vam lozinke još nisu istekle, alat vam pruža dve opcije:
-
Softverska resetovanje – stare i nove lozinke rade do 10 dana. Koristite ovaj period da postepeno zamenite ISO datoteku na čvorovima.
-
Čvrsto resetovanje – stare lozinke odmah zaustavljaju rad.
Ako lozinke isteknu bez resetovanja, to utiče na vaš HDS servis, zahtevajući trenutno teško resetovanje i zamenu ISO datoteke na svim čvorovima.
Koristite ovu proceduru za generisanje nove konfiguracione ISO datoteke i primenite je na klaster.
Pre nego što počneš
-
HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces instalacije zahteva akreditive naloga kontrolnog čvorišta sa punim administratorskim pravima za vašu organizaciju.
Ako alatka za podešavanje HDS radi iza proxy servera u vašem okruženju, obezbedite postavke proxy servera (server, port, akreditivi) kroz Promenljive Docker okruženja kada uvodite docker kontejner u 1,e. Ova tabela daje neke moguće varijable okruženja:
Opis
Promenljiva
Http proksi bez provere autentičnosti
GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS proksi bez autentifikacije
GLOBALNI_AGENT HTTPS_PROXY=http://SERVER_IP_:PORTHttp proksi sa autentifikacijom
GLOBALNI_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proksi sa autentifikacijom
GLOBALNI_AGENT HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP_:PORT -
Potrebna vam je kopija trenutne konfiguracije ISO datoteke da biste generisali novu konfiguraciju. ISO sadrži glavni ključ koji šifruje PostgreSQL ili Microsoft SQL Server bazu podataka. ISO vam je potreban kada menjate konfiguraciju, uključujući akreditive za bazu podataka, ažuriranja sertifikata ili promene smernica za autorizaciju.
| 1 |
Koristeći Docker na lokalnoj mašini, pokrenite HDS alatku za podešavanje.
| ||||||
| 2 |
Ako je pokrenut samo jedan HDS čvor, kreirajte novi čvor za hibridnu bezbednost podataka VM i registrujte ga koristeći novu datoteku ISO konfiguracije. Detaljnije informacije potražite u članku Kreiranje i registracija još čvorova. | ||||||
| 3 |
Za postojeće HDS čvorove koji pokreću stariju konfiguracionu datoteku, montirajte ISO datoteku. Izvršite sledeći postupak na svakom čvoru redom, ažurirajući svaki čvor pre nego što isključite sledeći čvor: | ||||||
| 4 |
Ponovite korak 3 da biste zamenili konfiguraciju na svakom preostalom čvoru koji pokreće staru konfiguraciju. |
Isključi blokirani režim spoljne DNS rezolucije
Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. Ako DNS server oglasa ne može da reši javna DNS imena, on automatski ulazi u režim blokirane spoljne DNS rezolucije.
Ako čvorovi mogu da reše javna DNS imena putem internih DNS servera, možete da isključite ovaj režim tako što ćete ponovo poništiti test proxy veze na svakom čvoru.
Pre nego što počneš
| 1 |
U Veb pregledaču otvorite interfejs klastera bezbednosti podataka (IP adresa/instalacija, na primer, unesite akreditive administratora koje ste https://192.0.2.0/setup), podesili za klik, a zatim kliknite na dugme Prijavi se. |
| 2 |
Idite na pregled (podrazumevana stranica). Kada je omogućeno, blokirana spoljna DNS rezolucija je postavljena na "Da". |
| 3 |
Idite na stranicu Trust Store & Proxy. |
| 4 |
Kliknite na dugme Proveri proxy vezu. Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, oglas nije mogao da dođe do DNS servera i ostaće u ovom režimu. U suprotnom, kada ponovo pokrenete broj i vratite se na stranicu "Pregled", blokirana spoljna DNS rezolucija bi trebalo da bude postavljena na "Ne". |
Šta dalje
Uklanjanje čvora
| 1 |
Koristite VMware vSphere klijent na računaru da biste se prijavili u ESXi virtuelnog organizatora i isključili virtuelna mašina. |
| 2 |
Uklonite čvor: |
| 3 |
U vSphere klijentu izbrišite VM. (U levom oknu za navigaciju, desni klik na VM i kliknite Izbriši.) Ako ne izbrišete datoteku VM, ne zaboravite da ponovo uključite zvuk ISO datoteke. Bez datoteke ISO, ne možete da koristite datoteku VM pristupite bezbednosnim podacima. |
Oporavak od katastrofe pomoću centra podataka u pripravnosti
Najkritičnija usluga koju pruža vaš klaster za hibridnu bezbednost podataka je kreiranje i skladištenje ključeva koji se koriste za šifrovanje poruka i drugog sadržaja uskladištenog u Webex oblaku. Za svakog korisnika u organizaciji koji je dodeljen za hibridnu bezbednost podataka, novi zahtevi za kreiranje ključa se usmeravaju na klaster. Klaster je takođe odgovoran za vraćanje ključeva koje je kreirano svim korisnicima ovlašćenim da ih preuzmu, na primer, članovi prostora za razgovor.
Pošto klaster obavlja kritičnu funkciju obezbeđivanja ovih ključeva, važno je da klaster ostane pokrenut i da se održavaju odgovarajuća rezervna kopija. Gubitak baze podataka hibridne bezbednosti podataka ili konfiguracije ISO koja se koristi za šemu dovešće do NEPOPLAĆENOG GUBITKA sadržaja kupca. Sledeće prakse su obavezne da bi se sprečio takav gubitak:
Ako katastrofa dovede do toga da primena HDS-a u primarnoj centar za podatke postane nedostupna, sledite ovu proceduru da biste ručno prešli u režim centar za podatke.
| 1 |
Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiranje ISO za HDS organizatore. | ||
| 2 |
Nakon što konfigurišete Syslogd server, kliknite na opciju " Napredna podešavanja" | ||
| 3 |
Na stranici "Napredna podešavanja" dodajte
| ||
| 4 |
Dovršite proces konfiguracije i sačuvajte datoteku ISO na lokaciji koju je lako pronaći. | ||
| 5 |
Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu. Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije. | ||
| 6 |
U levom navigacionom panelu VMware vSphere klijenta možete desni klik na VM i kliknite na "Uredi podešavanja". | ||
| 7 |
Kliknite na "Uredi >CD/DVD disk jedinicu 1 " i izaberite stavku ISO datoteku.
| ||
| 8 |
Uključite HDS čvor i uverite se da nema alarma najmanje 15 minuta. | ||
| 9 |
Ponovite proces za svaki čvor u režimu centar za podatke.
|
Šta je sledeće
(Opcionalno) Isključi zvuk ISO nakon HDS konfiguracije
Standardna HDS konfiguracija radi sa ISO postavljenim. Međutim, neki kupci radije ne napuštaju ISO datoteke neprekidno montirane. Datoteku za ISO možete ponovo da uključite nakon što svi HDS čvorovi preuzmu novu konfiguraciju.
I dalje koristite datoteke ISO da biste uneli promene konfiguracije. Kada kreirate novu ISO ili ažurirate ISO putem alatke za podešavanje, morate da postavite ažurirane ISO na sve HDS čvorove. Kada svi čvorovi prihvate promene konfiguracije, možete ponovo da uključite zvuk ISO sa ovom procedurom.
Pre nego što počnete
Nadogradite sve HDS čvorove na verziju 2021.01.22.4720 ili noviju.
| 1 |
Isključite jedan od HDS čvorova. |
| 2 |
U vCenter uređaju servera izaberite HDS čvor. |
| 3 |
Izaberite disk jedinici" i opozovite izbor stavke u ISO datoteci. |
| 4 |
Uključite HDS čvor i uverite se da nema alarma najmanje 20 minuta. |
| 5 |
Za svaki HDS čvor za redom ponovite. |
Prikaži upozorenja i rešavanje problema
Primena hibridne bezbednosti podataka smatra se nedostupnim ako su svi čvorovi u klasteru nedostupni ili klaster sporo radi da zahteva istek vremena. Ako korisnici ne mogu da stignu do vašeg klastera hibridne bezbednosti podataka, iskuse sledeće simptome:
-
Nije moguće kreirati nove prostore (nije moguće kreirati nove ključeve)
-
Dešifrovanje poruka i naslova prostora nije uspelo za:
-
Novi korisnici dodati u prostor (nije moguće preuzeti ključeve)
-
Postojeći korisnici u prostoru koji koriste novi klijent (nije moguće preuzeti ključeve)
-
-
Postojeći korisnici u prostoru će nastaviti da funkcionišu uspešno sve dok njihovi klijenti imaju keš ključeva za šifrovanje
Važno je da pravilno nadgledate svoj klaster hibridne bezbednosti podataka i da na odgovarajući način odgovorite na sva upozorenja kako biste izbegli prekid usluge.
Obaveštenja
Ako postoji problem sa podešavanjem hibridne bezbednosti podataka, Control Hub prikazuje upozorenja administratoru organizacije i šalje e-poruke konfigurisanim e-adresa. Upozorenja pokrivaju mnogo uobičajenih scenarija.
|
Upozorenje |
Radnja |
|---|---|
|
Otkazivanje pristupa lokalnoj bazi podataka. |
Proverite da li ima grešaka u bazi podataka ili problema sa lokalnom mrežom. |
|
Lokalni broj neuspešno povezivanje. |
Proverite da server baze podataka je dostupan i da nalog za usluge akreditivi korišćeni u konfiguraciji čvorova. |
|
Neuspešan pristup usluzi u oblaku. |
Proverite da li čvorovi mogu da pristupe Webex serverima kao što je navedeno u zahtevima za spoljno povezivanje. |
|
Obnavlja se registracija usluge u oblaku. |
Registracija za usluge u oblaku je odbačena. Obnova registracije je u toku. |
|
Registracija usluge u oblaku je odbačena. |
Registracija za usluge u oblaku je prekinuta. Usluga se iskljućuje. |
|
Usluga još uvek nije aktivirana. |
Aktivirajte probnu verziju ili završite sa premeštanjem probne verzije na proizvodnju. |
|
Konfigurisani domen se ne podudara sertifikat servera. |
Uverite se da sertifikat servera se podudara sa konfigurisanim domenom za aktivaciju usluge. Najverovatniji uzrok je to što je CN sertifikata nedavno promenjen i sada se razlikuje od CN-a koji je korišćen tokom početnog podešavanja. |
|
Potvrda identiteta za usluge u oblaku nije uspela. |
Proverite tačnost i mogući istek nalog za usluge akreditivi. |
|
Otvaranje datoteke lokalnog ključeva nije uspelo. |
Proverite da li postoji tačnost integriteta i lozinke u datoteci lokalnog ključeva. |
|
Lokalna sertifikat servera nevažeća. |
Proverite sertifikat servera na datum isteka i potvrdite da ga je izdao pouzdani Certificate Authority. |
|
Objavljivanje pokazatelja nije moguće. |
Proverite pristup lokalne mreže spoljnim uslugama oblaka. |
|
/media/configdrive/hds direktorijum ne postoji. |
Proverite konfiguraciju ISO na virtuelnog organizatora. Proverite da ISO datoteka postoji, da je podešena za montiranje na ponovno pokretanje i da li se uspešno montava. |
Rešavanje problema sa hibridnom zaštitom podataka
| 1 |
Pregledajte Control Hub za sva upozorenja i ispravite sve stavke koje tamo pronađete. |
| 2 |
Pregledajte izlaz Syslog servera za aktivnost iz primene hibridne bezbednosti podataka. |
| 3 |
Obratite se Cisco podrška. |
Poznati problemi za hibridnu bezbednost podataka
-
Ako isključite klaster hibridne bezbednosti podataka (brisanjem na portalu Control Hub ili isključivanje svih čvorova), izgubite datoteku za ISO konfiguracije ili izgubite pristup bazi podataka ključeva, korisnici aplikacije Webex više neće moći da koriste prostore na listi "Osobe" koji su kreirani pomoću ključeva iz vašeg KMS-a. Ovo se odnosi i na probnu verziju i na proizvodne primene. Trenutno nemamo rešenje ili rešenje za ovaj problem i pozivamo vas da ne isključite HDS usluge nakon što rukuju aktivnim korisničkim nalozima.
-
Klijent koji ima postojeću ECDH vezu sa KMS-om održava tu vezu određeno vreme (verovatno jedan sat). Kada korisnik postane član probne verzije hibridne bezbednosti podataka, klijent korisnika nastavlja da koristi postojeću ECDH vezu sve dok istekne vreme. Osim toga, korisnik može da odjaviti se ponovo u aplikaciju Webex kako bi ažurirao lokaciju koju aplikacija kontaktira za ključeve za šifrovanje.
Isto ponašanje se dešava kada premestite probnu verziju na proizvodnju za organizaciju. Svi korisnici koji nisu probni sa postojećim ECDH vezama sa prethodnim bezbednosnim uslugama podataka nastaviće da koriste te usluge dok se ponovo ne pregovara o ECDH vezi (kroz vremensko ograničenje ili odjavljivanjem i ponovnom prijavama).
Koristite OpenSSL za generisanje PKCS12 datoteke
Pre nego što počnete
-
OpenSSL je jedna alatka koja se može koristiti za podešavanje PKCS12 datoteke u odgovarajućem formatu za učitavanje u alatki za podešavanje HDS-a. Postoje i drugi načini da se to uradi, a ne podržavamo i ne promovišemo ga na neki drugi način.
-
Ako odaberete da koristite OpenSSL, pružamo ovu proceduru kao smernicu da vam pomognemo da kreirate datoteku koja ispunjava zahteve sertifikata X.509 u zahtevima za sertifikate X.509. Razumejte te zahteve pre nego što nastavite.
-
Instalirajte OpenSSL u podržanom okruženju. Pogledajte https://www.openssl.org softver i dokumentaciju.
-
Kreirajte privatni ključ.
-
Pokrenite ovu proceduru kada dobijete sertifikat servera od svog Certificate Authority (CA).
| 1 |
Kada primite sertifikat servera od CA, sačuvajte ga kao |
| 2 |
Prikažite sertifikat kao tekst i potvrdite detalje.
|
| 3 |
Koristite uređivač teksta da
|
| 4 |
Kreirajte .p12 datoteku sa prijateljskim imenom
|
| 5 |
Proverite detalje sertifikat servera. |
Šta je sledeće
Vratite se da biste ispunili preduslove za hibridnu bezbednost podataka. Koristićete datoteku hdsnode.p12 i lozinku koju ste postavili za je u odeljku Kreiranje konfiguracije ISO za HDS organizatore.
| Ove datoteke možete ponovo da koristite da biste zatražili novi sertifikat kada originalni sertifikat istekne. |
Saobraćaj između HDS čvorova i oblaka
Saobraćaj za prikupljanje odlaznih pokazatelja
Čvorovi za hibridnu bezbednost podataka šalju određene pokazatelje Webex oblaku. U njih spadaju sistemski pokazatelji za maksimum grupe, upotrebu grupe, CPU učitavanje i broj konverzacije; pokazatelji za sinhrone i asinhrone konverzacije; metrika za upozorenja koja uključuju prag veza za šifrovanje, kašnjenje ili dužinu reda za čekanje zahteva; pokazatelji u skladištu podataka; metrika za šifrovanje veze. Čvorovi šalju materijal za šifrovani ključ preko kanala van opsega (odvojeno od zahteva).
Dolazni saobraćaj
Čvorovi za hibridnu bezbednost podataka dobijaju sledeće tipove dolaznog saobraćaja iz Webex oblaka:
-
Zahtevi za šifrovanje od klijenata, koje usmerava usluga šifrovanja
-
Nadograđuje se na softver čvora
Konfigurisanje lignja proxy servera za hibridnu bezbednost podataka
Websocket ne može da se poveže preko proxy servera sa lignjama
Lignje proxy serveri koji pregledaju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket (wss:) veza koje zahteva hibridna bezbednost podataka. Ovi odeljci daju uputstva kako da konfigurišete različite verzije lignje da zanemare WSS: saobraćaj za pravilan rad usluga.
Lignje 4 i 5
Dodajte direktivu on_unsupported_protocollignje.conf:
on_unsupported_protocol prolaz svimaLignje 3.5.27
Uspešno smo testirali Hibridnu bezbednost podataka sa sledećim pravilima koja se dodaju na squid.conf. Ova pravila podležu promenama dok razvijamo funkcije i ažuriramo Webex oblak.
acl wssMercuryConnection ssl::server_name_regex mercury-connection splice ssl_bump wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump step1 all ssl_bump stare stepe korak 2 sve ssl_bumpNove i promenjene informacije
Datum | Napravljene promene | ||
|---|---|---|---|
20. oktobar 2023. |
| ||
Avgust 07, 2023. |
| ||
23. maj 2023. |
| ||
06. decembar 2022. |
| ||
23. novembar 2022. |
| ||
13. oktobar 2021. | Docker Desktop mora da pokrene program za podešavanje da biste mogli da instalirate HDS čvorove. Pogledajte zahteve za docker radnu površinu. | ||
24. jun 2021. | Imajte u vidu to da možete ponovo da koristite datoteku privatnog ključa i da CSR zatražite drugi sertifikat. Detaljnije informacije potražite u članku Upotreba openSSL za generisanje PKCS12 datoteke . | ||
| 30. april 2021. | Promenjen je VM za prostor na lokalnom čvrstom disku na 30 GB. Detaljnije informacije potražite u zahtevima virtuelnog organizatora. | ||
24. februar 2021. | Alatka za podešavanje HDS-a sada može da radi iza proxy servera. Detalje potražite u članku Kreiranje ISO za HDS organizatore . | ||
2. februar 2021. | HDS sada može da radi bez postavljene ISO datoteke. Detaljnije informacije potražite u članku (opcionalno) uklanjanje ISO nakon HDS konfiguracije . | ||
11. januar 2021. | Dodate su informacije o alatki za podešavanje HDS-a i proxy serverima za kreiranje ISO za HDS organizatore. | ||
13. oktobar 2020. | Ažurirano preuzimanje instalacionih datoteka. | ||
8. oktobar 2020. | Ažurirano kreiranje konfiguracije za ISO za HDS organizatore i promenu konfiguracije čvora pomoću komandi za FedRAMP okruženja. | ||
14. avgust 2020. | Ažurirano je kreiranje konfiguracije ISO za HDS organizatore i promenu konfiguracije čvora promenama u procesu prijavljivanja. | ||
5. avgust 2020. | Ažurirano testirajte primenu hibridne bezbednosti podataka za promene u porukama evidencije. Ažurirani su zahtevi virtuelnog organizatora kako bi se maksimalni broj uklonili organizatori. | ||
16. jun 2020. | Ažurirano je uklanjanje čvora za promene u korisničkom interfejsu platforme Control Hub. | ||
4. jun 2020. | Ažurirano je kreiranje konfiguracije ISO za HDS organizatore za promene u naprednih podešavanja koje možete podesiti. | ||
29. maj 2020. | Ažurirano kreiranje konfiguracije ISO za HDS organizatore koji će pokazati da takođe možete da koristite TLS sa SQL bazama podataka servera, promenama korisničkog interfejsa i drugim pojašnjenja. | ||
5. maj 2020. | Ažurirani su zahtevi virtuelnog organizatora kako bi se prikazao novi zahtev za ESXi 6.5. | ||
21. april 2020. | Ažurirani su zahtevi za spoljne mogućnosti povezivanja sa hostovima kompanije New Americas CI. | ||
1. aprila 2020. | Ažurirani su zahtevi za spoljnu povezanost sa informacijama o regionalnim CI organizatorima. | ||
| 20. februar 2020. | Ažurirano kreiranje konfiguracije ISO za HDS organizatore informacijama o novom opcionalnom ekranu za napredna podešavanja u alatki za podešavanje HDS-a. | ||
| 4. februar 2020. | Ažurirani zahtevi proxy servera. | ||
| 16. decembar 2019. | Pojašnjeno je zahtev da režim DNS spoljne rezolucije radi u zahtevima proxy servera. | ||
| 19. novembar 2019. | Dodate informacije o blokiranim spoljnim DNS u sledećim odeljcima: | ||
8. novembar 2019. | Sada možete da konfigurišete podešavanja mreže za čvor dok primenjujete OVA, a ne kasnije. Ažurirani su sledeći odeljci na odgovarajući način:
| ||
6. septembar 2019. | Dodat je SQL server standarda u zahteve servera baze podataka. | ||
| 29. avgusta 2019. | Dodato je konfigurisanje lignja proxy servera za dodatak za hibridnu bezbednost podataka sa uputstvima za konfigurisanje proxy servera za lignje kako bi se zanemario websocket saobraćaj radi pravilnog rada. | ||
| 20. avgust 2019. | Dodati su i ažurirani odeljci za pokrivanje proxy podrške za komunikacije čvora hibridne bezbednosti podataka sa Webex oblakom. Da biste pristupili samo sadržaju podrške za proxy za postojeću primenu, pogledajte članak pomoći proxy podrške za hibridnu bezbednost podataka i članak pomoći Webex Video Mesh . | ||
| 13. jun 2019. | Probna verzija je ažurirana na tok zadatka proizvodnje sa podsetnikom za sinhronizaciju HdsTrialGroup grupni objekat pre pokretanja probne verzije ako vaša organizacija koristi sinhronizaciju direktorijuma. | ||
| 6. mart 2019. |
| ||
| 28. februara 2019. |
| ||
| 26. februar 2019. |
| ||
24. januar 2019. |
| ||
| 5. novembar 2018. |
| ||
| 19. oktobar 2018. |
| ||
Jul 31, 2018 |
| ||
| 21. maj 2018. | Promenjena terminologija da odražava rebrendiranje Cisco Sparka:
| ||
| 11. april 2018. |
| ||
| 22. februar 2018. |
| ||
| 15. februara 2018. |
| ||
| 18. januara 2018. |
| ||
2. novembar 2017. |
| ||
Avgust 18, 2017 | Prvo objavljeno |
Pregled hibridne bezbednosti podataka
Od 1. dana bezbednost podataka je primarni fokus u dizajnu aplikacije Webex. Kamen kamen temeljac ove bezbednosti je potpuno šifrovanje sadržaja koje omogućavaju klijenti aplikacije Webex koji interaguju sa uslugom upravljanja ključevima (KMS). KMS je odgovoran za kreiranje i upravljanje kriptografskim ključevima koje klijenti koriste za dinamičko šifrovanje i dešifrovanje poruka i datoteka.
Podrazumevano, svi kupci aplikacije Webex dobijaju potpuno šifrovanje pomoću dinamičkih ključeva uskladištenih u KMS-u u oblaku, u Cisco bezbednosnom području. Hibridna bezbednost podataka premešta KMS i druge funkcije povezane sa bezbednošću u vaš podaci preduzeća centar, tako da niko osim vas ne čuva ključeve za šifrovani sadržaj.
Arhitektura bezbednosnog područja
Arhitektura Webex oblaka odvaja različite tipove usluge u zasebna područja ili pouzdane domene, kao što je opisano ispod.
Da biste dodatno razumeli hibridnu bezbednost podataka, hajde da pogledamo ovaj čisti slučaj u oblaku gde Cisco obezbeđuje sve funkcije u svom području oblaka. Usluga identiteta, jedino mesto gde korisnici mogu direktno da se povežu sa ličnim podacima kao što su e-adresa, logično i fizičko se odvaja od bezbednosnog područja u centar za podatke B. Oba se zamenjuju odvojeno od područja gde se šifrovani sadržaj konačno skladišti u centar za podatke C.
Na ovom dijagramu, klijent je aplikacija Webex pokrenuta na laptop računaru korisnika i potvrdio identitet pomoću usluge identiteta. Kada korisnik sastavi poruku za slanje u prostor, izvršite sledeće korake:
Klijent uspostavlja funkciju bezbedna veza uslugom upravljanja ključevima (KMS), a zatim traži ključ za šifrovanje poruke. Ova bezbedna veza koristi ECDH, a KMS šifruje ključ pomoću AES-256 glavni ključ.
Poruka je šifrovana pre nego što napusti klijent. Klijent je šalje usluzi indeksa, koja kreira šifrovane indekse pretrage kako bi pomogla u budućim pretraživanjima sadržaja.
Šifrovana poruka se šalje usluzi usklađenosti radi provere usklađenosti.
Šifrovana poruka se čuva u području skladišta.
Kada primenite hibridnu bezbednost podataka, premestite funkcije bezbednosnog područja (KMS, indeksiranje i usaglašenost) na u objektu centar za podatke. Ostale usluge u oblaku koje sačinju Webex (uključujući identitet i skladištenje sadržaja) ostaju u Područjima kompanije Cisco.
Saradnja sa drugim organizacijama
Korisnici u vašoj organizaciji mogu redovno da koriste aplikaciju Webex za saradnju sa spoljnim učesnicima u drugim organizacijama. Kada jedan od korisnika zatraži ključ za prostor u vlasništvu vaše organizacije (jer ga je kreirao jedan od korisnika) VAŠ KMS šalje ključ klijentu preko ECDH bezbednog kanala. Međutim, kada druga organizacija poseduje ključ za prostor, vaš KMS usmerava zahtev do Webex oblaka putem zasebnog ECDH kanala da bi dobili ključ iz odgovarajućih KMS-a, a zatim vraća ključ korisniku na originalnom kanalu.
KMS usluga pokrenuta u okviru Org A proverava veze sa KMS-ovima u drugim organizacijama koristeći PKI sertifikate x.509. Pogledajte odeljak Pripremite svoje okruženje za detalje o generisanju sertifikata x.509 koji će se koristiti sa primenom hibridne bezbednosti podataka.
Očekivanja za primenu hibridne bezbednosti podataka
Primena hibridne bezbednosti podataka zahteva značajnu posvećenost kupaca i svesnost o rizicima koji dolaze sa sopstvenim ključevima za šifrovanje.
Da biste primenili hibridnu bezbednost podataka, morate da navedite:
Bezbedna centar za podatke u zemlji koja je podržana lokacija za Cisco Webex Teams planove.
Pristup opremi, softveru i mreži opisan u pripremi okruženja.
Dovršen gubitak konfiguracije ISO koju ste izgradili za hibridnu bezbednost podataka ili bazu podataka koju naveli dovešću do gubitka ključeva. Gubitak ključa sprečava korisnike da dešifruje sadržaj prostora i druge šifrovane podatke u aplikaciji Webex. Ako se to desi, možete da napravite novu primenu, ali će samo novi sadržaj biti vidljiv. Da biste izbegli gubitak pristupa podacima, morate:
Upravljajte rezervnim kopijama i oporavkom baze podataka i konfiguracijama ISO.
Budite spremni da izvršite brze oporavljanje nakon katastrofe ako dođe do katastrofe, kao što je neuspeh diska baze podataka ili centar za podatke katastrofa.
| Ne postoji mehanizam za premeštanje ključeva u oblak nakon HDS primene. |
Proces podešavanja visokog nivoa
Ovaj dokument pokriva podešavanje i upravljanje primenom hibridne bezbednosti podataka:
Podešavanje hibridne bezbednosti podataka – To uključuje pripremu potrebne infrastrukture i instaliranje softvera hibridne bezbednosti podataka, testiranje primene sa podskupom korisnika u probnom režimu i, kada se testiranje završi, prelazi na proizvodnju. Ovim putem će cela organizacija da koristi vaš klaster za hibridnu bezbednost podataka za bezbednosne funkcije.
Faze podešavanja, probne verzije i produkcijske faze su detaljno pokrivene u naredna tri poglavlja.
Održavajte primenu hibridne bezbednosti podataka – Webex oblak automatski obezbeđuje tekuće nadogradnje. Vaše IT odeljenje može da pruži jednu podršku za ovu primenu i da se angažuje Cisco podrška po potrebi. Obaveštenja na ekranu možete da koristite i podesiti upozorenja zasnovana na e-poruci na platformi Control Hub.
Razumevanje uobičajenih upozorenja, koraka rešavanja problema i poznatih problema – Ako naiđete na problem prilikom primene ili korišćenja hibridne bezbednosti podataka, poslednje poglavlje ovog vodiča i aplikacije Poznati problemi mogu vam pomoći da odredite i rešite problem.
Model primene hibridne bezbednosti podataka
U okviru podaci preduzeća centra primenjujete hibridnu bezbednost podataka kao jedan klaster čvorova na zasebnim virtuelnim organizatorima. Čvorovi komuniciraju sa Webex oblakom putem bezbednih veb-priključaka i bezbednog HTTP-a.
Tokom procesa instalacije obezbeđujemo vam OVA datoteku za podesiti virtuelni uređaj na VM-ovima koje pružate. Alatku za podešavanje HDS-a koristite da biste kreirali prilagođenu konfiguraciju klastera ISO koju montirate na svaki čvor. Klaster hibridne bezbednosti podataka koristi obezbeđeni Syslogd server i PostgreSQL ili Microsoft SQL server bazu podataka. (Detalje o Syslogd-u i vezi sa bazom podataka konfigurišete u alatki za podešavanje HDS-a.)
Minimalni broj čvorova koje možete da imate u klasteru je dva. Preporučujemo da ih ima najmanje tri, a možete da ih imate do pet. Ako imate više čvorova, osigurava se da se usluga ne prekida tokom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor u isto vreme.)
Svi čvorovi u klasteru pristupaju istom skladištu podataka ključa i aktivnost evidencije istom serveru syslog. Sami čvorovi su bez države i obrađuju zahteve u okruglo-robin stilu, kao što je režirao oblak.
Čvorovi postaju aktivni kada ih registrujete na portalu Control Hub. Da biste pojedinačni čvor odjavili iz funkcije, možete ga odjaviti i kasnije ponovo registracijiti po potrebi.
Podržavamo samo jedan klaster po organizaciji.
Probni režim hibridne bezbednosti podataka
Nakon podešavanja primene hibridne bezbednosti podataka, prvo pokušajte sa skupom pilot korisnika. Tokom probnog perioda ovi korisnici koriste u objektu domen hibridne bezbednosti podataka za ključeve za šifrovanje i druge usluge bezbednosnog područja. Ostali korisnici i dalje koriste područje bezbednosti oblaka.
Ako odlučite da ne nastavite sa primenom tokom probne verzije i deaktivirate uslugu, pilot korisnici i svi korisnici sa kojima su ostvarili interakciju kreiranjem novih prostora tokom probnog perioda izgubiće pristup porukama i sadržaju. Oni će videti "Ova poruka se ne može dešifrovanje" u aplikaciji Webex.
Ako ste zadovoljni da primena funkcioniše dobro za probne korisnike i spremni ste da proširite hibridnu bezbednost podataka na sve svoje korisnike, prebacite primenu na proizvodnju. Pilot korisnici i dalje imaju pristup ključevima koji su se koristili tokom probne verzije. Međutim, ne možete se uvek pomerati između proizvodnog režima i originalne probne verzije. Ako morate da deaktivirate uslugu, na primer da biste izvršili oporavljanje nakon katastrofe, kada ponovo aktivirate morate da pokrenete novu probnu verziju i da podesiti skup pilot korisnika za novu probnu verziju pre nego što se vratite u proizvodni režim. Bez obzira na to da li korisnici zadržavaju pristup podacima u ovom trenutku, zavisi od toga da li ste uspešno održali rezervne kopije ključa skladištenje podataka i ISO datoteka sa konfiguracijom za čvorove za hibridnu bezbednost podataka u klasteru.
Centar podataka u pripravnosti za oporavak od katastrofe
Tokom primene, možete podesiti u bezbednom centar za podatke. U slučaju centar za podatke katastrofe, možete ručno da ne uspete da izvršite raspoređivanje u režimu centar za podatke.
Baze podataka aktivnih i u stanju pripravnosti centara podataka su u sinhronizaciji jedan sa drugim, što će umanjiti vreme potrebno za izvršavanje neuspeha. Datoteka ISO u režimu centar za podatke ažurira se dodatnim konfiguracijama koje obezbeđuju da čvorovi budu registrovani u organizaciji, ali neće upravljati saobraćajem. Zbog toga čvorovi u režimu centar za podatke uvek ostanu ažurirani sa najnovijom verzijom HDS softvera.
| Aktivni čvorovi za hibridnu bezbednost podataka moraju uvek biti u centar za podatke kao i aktivni server baze podataka. |
Podešavanje centra podataka u pripravnosti za oporavak od katastrofe
Sledite dolenavedene korake da biste ISO datoteku u režimu centar za podatke:
Pre nego što počnete
Prostor u centar za podatke bi trebalo da preslika proizvodno okruženje VMs i rezervnu PostgreSQL ili Microsoft SQL server bazu podataka. Na primer, ako proizvodnja ima 3 VMS koji imaju HDS čvorove, rezervno okruženje bi trebalo da ima 3 VMS. (Pregled ovog modela neuspešnog pokretanja potražite u centru podataka u 3 VMS.)
Uverite se da je sinhronizacija baze podataka omogućena između baze podataka aktivnih i pasivnih čvorova klastera.
| 1 | Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiranje ISO za HDS organizatore.
| ||
| 2 | Nakon što konfigurišete Syslogd server, kliknite na opciju " Napredna podešavanja" | ||
| 3 | Na stranici "Napredna podešavanja " dodajte konfiguraciju u nastavku da biste postavili čvor u pasivan režim. U ovom režimu će čvor biti registrovan za organizaciju i povezan na oblak, ali neće upravljati nikakvim saobraćajem.
| ||
| 4 | Dovršite proces konfiguracije i sačuvajte datoteku ISO na lokaciji koju je lako pronaći. | ||
| 5 | Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu. Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije. | ||
| 6 | U levom navigacionom panelu VMware vSphere klijenta možete desni klik na VM i kliknite na "Uredi podešavanja". | ||
| 7 | Kliknite na "Uredi >CD/DVD disk jedinicu 1 " i izaberite stavku Skladište ISO podataka.
| ||
| 8 | Uključite HDS čvor i uverite se da nema alarma najmanje 15 minuta. | ||
| 9 | Ponovite proces za svaki čvor u režimu centar za podatke.
|
Šta je sledeće
Nakon konfigurisanja passiveMode u datoteci ISO i sačuvati je, možete da kreirate još jednu kopiju datoteke ISO datoteku bez passiveMode konfiguracija i čuvanje na bezbednoj lokaciji. Ova kopija datoteke ISO datoteke bez passiveMode konfigurisana funkcija može pomoći u brzom procesu preuzimanja tokom oporavljanje nakon katastrofe. Pogledajte " Oporavak od katastrofe" koristeći centar podataka u pripravnosti za detaljan postupak preuzimanja.
Podrška za proxy
Hibridna bezbednost podataka podržava eksplicitnu, prozirnu inspekciju i proxy servere koji se ne pregledaju. Ove proxy servere možete da vežete za raspoređivanje kako biste mogli da bezbedno i nadgledate saobraćaj od preduzeća do oblaka. Možete da koristite interfejs administratora platforme na čvorovima za upravljanje sertifikatima i da proverite ukupni status povezanosti nakon što podesiti proxy servera na čvorovima.
Čvorovi za hibridnu bezbednost podataka podržavaju sledeće opcije proxy servera:
Nema proxy servera – podrazumevano ako ne koristite podešavanje HDS čvora Pouzdano skladište i proxy servera za integraciju proxy servera. Nije potrebno ažuriranje sertifikata.
Prozirni proxy server koji ne pregleda – čvorovi nisu konfigurisani da koriste određenu proksi server adresu i ne bi trebalo da zahtevaju nikakve promene za rad sa proxy serverom koji ne pregleda. Nije potrebno ažuriranje sertifikata.
Prozirno prolazno prolaze ili protok proxy servera – čvorovi nisu konfigurisani za korišćenje određene proksi server adrese. Na čvorovima nisu potrebne promene HTTP ili HTTPS konfiguracije. Međutim, čvorovima je potreban korenski sertifikat tako da imaju poverenja u proxy server. IT sistemi obično koriste inspekciju za primenu smernica preko kojih mogu da se posećuju veb-lokacije i koje vrste sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifrova sav vaš saobraćaj (čak i HTTPS).
Eksplicitni proxy server – sa eksplicitnim proxy serverom govorite HDS čvorovima koje proksi server i šemom potvrde identiteta da koriste. Da biste konfigurisali eksplicitni proxy server, morate uneti sledeće informacije u svaki čvor:
Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy računaru.
Proxy port – A broj priključka proxy servera koristi za slušanje proksi saobraćaja.
Proxy protokol – u zavisnosti od toga šta proksi server podržava, izaberite između sledećih protokola:
HTTP – Pregleda i kontroliše sve zahteve koje klijent šalje.
HTTPS – Obezbeđuje kanal za server. Klijent prima i proverava valjanost sertifikata servera.
vrsta autentifikacije – Izaberite jedan od sledećih tipova potvrde identiteta:
Nijedna – nije potrebna dodatna potvrda identiteta.
Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.
Osnovna – koristi se za HTTP korisničkog agenta za navedite korisničko ime i lozinku prilikom upućivanje zahteva. Koristi Base64 kodiranje.
Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.
Zahteva da unesete korisničko ime i lozinku u svaki čvor.
Digest – koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje funkciju hash-a na korisničko ime i lozinku pre slanja preko mreže.
Dostupno samo ako izaberete HTTPS kao proxy protokol.
Zahteva da unesete korisničko ime i lozinku u svaki čvor.
Primer čvorova za hibridnu bezbednost podataka i proxy servera
Ovaj dijagram prikazuje primer veze između hibridne bezbednosti podataka, mreže i proxy servera. Za prozirnu inspekciju i HTTPS eksplicitnu inspekciju opcija proxy korenski sertifikat se mora instalirati na proxy serveru i na čvorovima za hibridnu bezbednost podataka.
Blokirani spoljni DNS rezolucije (eksplicitne konfiguracije proxy servera)
Kada registrujete čvor ili proverite konfiguraciju proxy servera čvora, proces testira DNS pronalaženja i mogućnosti povezivanja sa Cisco Webex oblakom. U primenama sa eksplicitnim konfiguracijama proxy servera koje ne dozvoljavaju spoljnu DNS za interne klijente, ako čvor ne može da upitu na DNS servere, automatski prelazi u režim blokirane spoljne DNS rezolucije. U ovom režimu mogu da se nastave testovi registracije čvora i drugih testova mogućnosti povezivanja sa proxy serverom.
Zahtevi za hibridnu bezbednost podataka
Cisco Webex licence
Da biste primenili hibridnu bezbednost podataka:
Morate imati Pro Pack za Cisco Webex Control Hub. (Pogledajte https://www.cisco.com/go/pro-pack.)
Zahtevi za docker radnu površinu
Da biste instalirali HDS čvorove, treba vam Docker Desktop da biste pokrenuli program za podešavanje. Docker je nedavno ažurirao svoj model licenciranja. Vaša organizacija može zahtevati plaćenu pretplatu za Docker Desktop. Više detalja potražite u doker objavi na blogu" " Docker ažurira i proširovanje pretplata na naše proizvode".
X.509 zahtevi za sertifikat
Organizator lanac sertifikata ispuni sledeće uslove:
Uslov | Detalji |
|---|---|
| Podrazumevano verujemo CA-ovima na Mozilla listi (sa izuzetkom WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs. |
| CN ne mora da bude dostupan ili organizator uživo. Preporučujemo da koristite ime koje odražava vašu organizaciju, na primer, CN ne sme da sadrži * (džoker). CN se koristi za potvrdu čvorova hibridne bezbednosti podataka klijentima aplikacije Webex. Svi čvorovi za hibridnu bezbednost podataka u klasteru koriste isti sertifikat. Vaš KMS se identifikuje pomoću CN domena, a ne bilo kog domena definisanog u poljima x.509v3 SAN. Nakon što registrujte čvor sa ovim sertifikatu, ne podržavamo promenu CN naziv domena. Izaberite domen koji može da se primeni i na probnu verziju i na produkcijske primene. |
| KMS softver ne podržava SHA1 potpise za proveru valjanosti veza sa KMS-ovima drugih organizacija. |
| Za promenu formata certifikata možete da koristite konvertor kao što je OpenSSL. Moraćete da unesete lozinku kada pokrenete alatku za podešavanje HDS-a. |
KMS softver ne nameće ograničenja korišćenja ključa ili proširena ograničenja korišćenja ključa. Neki autoriteti za izdavanje sertifikata zahtevaju da se proširena ograničenja korišćenja ključa primenjuju na svaki sertifikat, kao što je potvrda identiteta servera. U redu je da koristite potvrdu identiteta servera ili druga podešavanja.
Zahtevi virtuelnog organizatora
Virtuelni domaćini koje ćete podesiti kao čvorove hibridne bezbednosti podataka u svom klasteru imaju sledeće zahteve:
Najmanje dva odvojena organizatora (3 preporučena) u istom bezbednom centar za podatke
VMware ESXi 6.5 (ili noviji) je instaliran i pokrenut.
Morate da nadogradite ako imate raniju verziju ESXi-a.
Najmanje 4 vCPU, 8 GB glavne memorije, 30 GB lokalnog čvrstog prostora po serveru
Zahtevi servera baze podataka
| Kreirajte novu bazu podataka za skladištenje ključeva. Nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada je instalirana, kreirajte šemu baze podataka. |
Postoje dve opcije za ovu server baze podataka. Zahtevi za svakog su sledeći:
PostgresqL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Najmanje 8 vCUs, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje kako bi se osiguralo da nije prekoračena (preporučuje se 2-TB ako želite da baza podataka dugo radi, a da ne morate da povećavate skladište) | Najmanje 8 vCUs, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje kako bi se osiguralo da nije prekoračena (preporučuje se 2-TB ako želite da baza podataka dugo radi, a da ne morate da povećavate skladište) |
HDS softver trenutno instalira sledeće verzije upravljačkog programa za komunikaciju sa server baze podataka:
PostgresqL | Microsoft SQL Server |
|---|---|
Postgres JDBC upravljački program 42.2.5 | SQL JDBC upravljački program servera 4.6 Ova verzija upravljačkog programa podržava SQL server uvek uključen ( Uvek uključene instance neuspešnog klastera i Grupe dostupnosti uvek uključene). |
Dodatni zahtevi za Windows potvrdu identiteta u SQL Microsoft serveru
Ako želite da HDS čvorovi koriste Windows potvrdu identiteta da bi dobili pristup bazi podataka ključeva na Microsoft SQL serveru, potrebna vam je sledeća konfiguracija u vašem okruženju:
HDS čvorovi, Active Directory infrastruktura i MS SQL server moraju da se sinhronizuju sa NTP.
Windows nalog koji napišete HDS čvorovima mora da ima pristup za čitanje/pisanje baze podataka.
Serveri DNS koje dostavite HDS čvorovima moraju da budu u mogućnosti da razreše centar za distribuciju ključa (KDC).
Možete registrovati instancu HDS baze podataka na Microsoft SQL serveru kao glavno ime usluge (SPN) na Active Directory. Pogledajte članak Registrovanje glavnog imena usluge za Kerberos veze.
Alatka za podešavanje HDS, HDS pokretanje i lokalni KMS moraju da koriste Windows potvrdu identiteta za pristup bazi podataka ključeva. Oni koriste detalje iz vaše konfiguracije ISO za konstrukciju SPN-a kada zahtevaju pristup pomoću Kerberos potvrde identiteta.
Zahtevi za spoljno povezivanje
Konfigurišite zaštitni zid da biste omogućili sledeće mogućnosti povezivanja za HDS aplikacije:
Aplikacija | Protokol | Port | Smer iz aplikacije | Odredište |
|---|---|---|---|---|
Čvorovi za hibridnu bezbednost podataka | TCP | 443 | Odlazni HTTPS i WSS |
|
Alatka za podešavanje HDS-a | TCP | 443 | Odlazni HTTPS |
|
| Čvorovi za hibridnu bezbednost podataka rade sa prevodom pristupa mreži (NAT) ili iza zaštitnog zida, sve dok NAT ili zaštitni zid omogućavaju potrebne odlazne veze sa odredištima domena u pređašnje tabeli. Za veze koje ide do čvorova za hibridnu bezbednost podataka, nijedan port ne bi trebalo da bude vidljiv sa interneta. U okviru vaših centar za podatke, klijentima je potreban pristup čvorovima hibridne bezbednosti podataka na TCP portovima 443 i 22, u administrativne svrhe. |
URL adrese za hostove zajedničkog identiteta (CI) su specifične za region. Ovo su trenutni CI organizatori:
Regiona | URL adrese organizatora zajedničkog identiteta |
|---|---|
Amerike |
|
Evropska unija |
|
Kanada |
|
Zahtevi proxy servera
Zvanično podržavamo sledeća proxy rešenja koja mogu da se integriše sa vašim čvorovima za hibridnu bezbednost podataka.
Prozirni proxy— Cisco uređaj za veb-bezbednost (WSA).
Eksplicitni proxy server – lignja.
Proxy proxy serveri koji pregledaju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a (wss:) Veze. Da biste rešili ovaj problem, pogledajte članak Konfigurisanje lignje proxy servera za hibridnu bezbednost podataka.
Podržavamo sledeće kombinacije tipa potvrde identiteta za eksplicitne proxy servere:
Nema potvrde identiteta sa HTTP ili HTTPS-om
Osnovna potvrda identiteta sa HTTP ili HTTPS-om
Digest potvrda identiteta samo SA HTTPS-om
Za prozirni proxy server za inspekciju ili HTTPS eksplicitni proxy server, morate da imate kopiju proxy servera za korenski sertifikat. Uputstvo za primenu u ovom vodiču vam govori kako da otpremite kopiju u pouzdana skladišta čvorova hibridne bezbednosti podataka.
Mrežno hostovanje HDS čvorova mora biti konfigurisano da nametne odlazne TCP saobraćaju na portu 443 da bi se usmerio preko proxy servera.
Proxy serveri koji pregledaju veb-saobraćaj mogu da ometaju veze sa veb-priključakom. Ako dođe do ovog problema, zaobiđite saobraćaj (ne pregledajući) na
wbx2.comiciscospark.comće rešiti problem.
Ispunite preduslove za hibridnu bezbednost podataka
| 1 | Uverite se da je Webex organizacija omogućena za Pro Pack za Cisco Webex Control Hub i nabavite akreditive naloga sa punim pravima administratora organizacije. Obratite se Cisco partneru ili menadžeru naloga za pomoć u ovom procesu. | ||
| 2 | Odaberite naziv domena za HDS primenu (na primer, | ||
| 3 | Pripremite identične virtuelne organizatore koje ćete podesiti kao čvorove za hibridnu bezbednost podataka u svom klasteru. Potrebna su vam najmanje dva zasebna organizatora (3 preporučena) u istom bezbednom centar za podatke koji ispunjavaju zahteve u zahtevima virtuelnih organizatora. | ||
| 4 | Pripremite server baze podataka koji će delovati kao ključ za skladištenje podataka za klaster, u skladu sa zahtevima servera baze podataka. Organizatori server baze podataka buduконфигурисани у чекању centar za podatke virtuelnim organizatorima. | ||
| 5 | Za brze oporavljanje nakon katastrofe, podesiti rezervno okruženje u drugom centar za podatke. Rezervno okruženje preslikava proizvodno okruženje VMs i rezervne server baze podataka. Na primer, ako proizvodnja ima 3 VMS koji imaju HDS čvorove, rezervno okruženje bi trebalo da ima 3 VMS. | ||
| 6 | Podesite organizatora syslog za prikupljanje evidencija iz čvorova u klasteru. Prikupite mrežna adresa i syslog port (podrazumevano je UDP 514). | ||
| 7 | Kreirajte bezbednu politiku pravljenja rezervnih kopija za čvorove hibridne bezbednosti podataka, server baze podataka i organizatora sistemskog sistema. U minimumu, da biste sprečili nepoplaćivanje gubitka podataka, morate da napravite pozadinu baze podataka i datoteku ISO konfiguracije koja je generisana za čvorove hibridne bezbednosti podataka.
Klijenti aplikacije Webex keše svoje ključeve, tako da pre prekida rada možda neće biti odmah primetnljiv, ali će vremenom postati vidljivi. Iako je nemoguжe sprečiti privremene prekšiljanje, mogu se oporavljati. Međutim, potpuni gubitak (nema dostupnih rezervnih kopija) baze podataka ili datoteka ISO konfiguracije doveže do nepoplatnih podataka o kupcima. Operateri čvorova za hibridnu bezbednost podataka očekuju da zadrže česta rezervna kopija baze podataka i datoteke ISO konfiguracije i spremni su da ponovo izradite alatku za hibridnu bezbednost centar za podatke ako dođe do katastrofalnog neuspeha. | ||
| 8 | Uverite se da konfiguracija zaštitnog zida omogućava povezivanje za čvorove hibridne bezbednosti podataka kao što je navedeno u zahtevima spoljne povezanosti. | ||
| 9 | Instalirajte Docker ( https://www.docker.com) na bilo kom lokalnom računaru sa podržanim OS-om (Microsoft Windows 10 Profesionalni ili Enterprise 64-bitni ili Mac OSX Yosemite 10.10.3 ili noviji) sa veb-pregledačem koji može da mu pristupi na http://127.0.0.1:8080. Instancu Docker koristite za preuzimanje i pokretanje alatke za podešavanje HDS-a koja gradi lokalne informacije o konfiguraciji za sve čvorove hibridne bezbednosti podataka. Možda će vašoj organizaciji biti potrebna Licenca za Docker Desktop. Više informacija potražite u zahtevima docker radne površine. Da biste instalirali i pokrenuli alatku za podešavanje HDS-a, lokalni računar mora da ima ojačenu povezanost u zahtevima za spoljno povezivanje. | ||
| 10 | Ako integrišete proxy server sa hibridnom zaštitom podataka, uverite se da ispunjava zahteve proxy servera. | ||
| 11 | Ako vaša organizacija koristi sinhronizaciju direktorijuma, kreirajte grupu u Active Directory pozvali
|
Tok zadatka primene hibridne bezbednosti podataka
Pre nego što počnete
| 1 |
Preuzmite OVA datoteku na svoj lokalni računar za kasnije korišćenje. | ||
| 2 | Kreiranje konfiguracije ISO za HDS organizatore Koristite alatku za podešavanje HDS-a da biste ISO datoteka sa konfiguracijom za čvorove hibridne bezbednosti podataka. | ||
| 3 |
Kreirajte virtuelna mašina iz OVA datoteke i izvršite početnu konfiguraciju, kao što je podešavanja mreže.
| ||
| 4 | Podešavanje funkcije hibridne bezbednosti podataka VM Prijavite se na VM konzolu i podesite akreditive za prijavljivanje. Konfigurišite podešavanja mreže za čvor ako ih niste konfigurisali u vreme primene OVA. | ||
| 5 |
Konfigurišite VM na ISO datoteka sa konfiguracijom koju ste kreirali pomoću alatke za podešavanje HDS-a. | ||
| 6 | Konfigurisanje HDS čvora za integraciju proxy servera Ako mrežno okruženje zahteva konfiguraciju proxy servera, navedite tip proxy servera koji ćete koristiti za čvor i po potrebi dodati proxy sertifikat u skladište pouzdanosti. | ||
| 7 | Registrujte prvi čvor u klasteru Registrujte VM na Cisco Webex oblak kao čvor za hibridnu bezbednost podataka. | ||
| 8 | Kreirajte i registrujte više čvorova Dovršite podešavanje klastera. | ||
| 9 | Pokrenite probnu verziju i premestite se u proizvodnju (sledeće poglavlje) Dok ne započnete probnu verziju, vaši čvorovi generišu alarm koji ukazuje na to da usluga još uvek nije aktivirana. |
Preuzmi instalacione datoteke
| 1 | Prijavite se u , https://admin.webex.coma zatim kliknite na "Usluge". | ||||
| 2 | U odeljku Hibridne usluge pronađite karticu hibridna bezbednost podataka, a zatim kliknite na " Podesi". Ako je kartica onemogućena ili je ne vidite, obratite se timu za naloge ili partneroj organizaciji. Dajte im svoj broj naloga i zatražite da omoguće svojoj organizaciji hibridnu bezbednost podataka. Da biste pronašli broj naloga, kliknite na zupčanici u gornjem desnom uglu, pored imena organizacije.
| ||||
| 3 | Izaberite " Ne" da biste naznačili da još uvek podesiti čvor, a zatim kliknite na "Dalje ". OVA datoteka automatski počinje da preuzima. Sačuvajte datoteku na lokaciji na računaru.
| ||||
| 4 | Opcionalno, kliknite na uputstvo za primenu da biste proverili da li postoji novija verzija ovog vodiča. |
Kreiranje konfiguracije ISO za HDS organizatore
Proces podešavanja hibridne bezbednosti podataka kreira datoteku ISO datoteke. Zatim koristite ovu ISO da biste konfigurisali organizatora za hibridnu bezbednost podataka.
Pre nego što počnete
Alatka za podešavanje HDS-a radi kao doker kontejner na lokalnom računaru. Da biste mu pristupili, pokrenite Docker na tom računaru. Proces podešavanja zahteva akreditive Za Control Hub nalog sa punim administratorskim pravima za vašu organizaciju.
Ako alatka za podešavanje HDS radi iza proxy servera u vašem okruženju, obezbedite postavke proxy servera (server, port, akreditivi) kroz Promenljive Docker okruženja kada u koraku 5 unesite docker kontejner. Ova tabela daje neke moguće promenljive okruženja:
Opis
Promenljiva
HTTP Proxy bez potvrde identiteta
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS proxy bez potvrde identiteta
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy potvrdom identiteta
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy sa potvrdom identiteta
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTDatoteka za ISO koju generišete sadrži glavni ključ za šifrovanje PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada promenite konfiguraciju, kao što su ove:
Akreditivi baze podataka
Ažuriranja sertifikata
Promene smernica autorizacije
Ako planirate da šifrujete veze sa bazom podataka, podesiti PostgreSQL ili SQL primenu servera za TLS.
| 1 | Na komandnoj liniji računara unesite odgovarajuću komandu za svoje okruženje: U redovnim okruženjima: U FedRAMP okruženjima:
| ||||||||||||
| 2 | Da prijaviti se u registrator slika Doker, unesite sledeće: | ||||||||||||
| 3 | U odziv za lozinku unesite ovaj hash: | ||||||||||||
| 4 | Preuzmite najnoviju stabilnu sliku za svoje okruženje: U redovnim okruženjima: U FedRAMP okruženjima: | ||||||||||||
| 5 | Kada se povlačenje završi, unesite odgovarajuću komandu za svoje okruženje:
Kada je kontejner pokrenut, videćete "Express server osluškuje na portu 8080". | ||||||||||||
| 6 |
Koristite veb-pregledač za pristup lokalnom organizatoru, Alatka koristi ovaj prvi unos korisničkog imena da bi postavila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje. | ||||||||||||
| 7 | Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora kupca na portalu Control Hub, a zatim kliknite na "Prijavi se" da biste dozvolili pristup potrebnim uslugama za hibridnu bezbednost podataka. | ||||||||||||
| 8 | Na stranici "Pregled alatke za podešavanje" kliknite na "Prvi koraci". | ||||||||||||
| 9 | Na stranici za ISO uvoz imate sledeće opcije:
| ||||||||||||
| 10 | Proverite da li vaš X.509 sertifikat ispunjava zahteve u X.509 zahtevima sertifikata.
| ||||||||||||
| 11 | Unesite adresu baze podataka i nalog za HDS da biste pristupili usluzi podataka ključa: | ||||||||||||
| 12 | Izaberite TLS režima povezivanja baze podataka:
Kada otpremite korenski sertifikat (ako je potrebno) i kliknete na "Nastavi", alatka za podešavanje HDS-a testira TLS vezu sa server baze podataka. Alatka takođe potvrđuje potpisnik sertifikata i ime hosta, ako je primenjivo. Ako test ne uspe, alatka prikazuje poruku poruka o grešci koja opisuje problem. Možete da odaberete da li želite da zanemarite grešku i nastavite sa podešavanjem. (Zbog razlika u mogućnosti povezivanja, HDS čvorovi će možda moći da uspostave vezu TLS čak i ako mašina alatke za podešavanje HDS-a ne može uspešno da je testira.) | ||||||||||||
| 13 | Na stranici "Sistemske evidencije" konfigurišite Syslogd server: | ||||||||||||
| 14 | (Opcionalno) U napredna podešavanja možete podrazumevana vrednost za neke parametre veze sa bazom podataka. Generalno, ovaj parametar je jedini koji želite da promenite: | ||||||||||||
| 15 | Kliknite na "Nastavi " na ekranu "Resetuj lozinku za naloge za usluge ". Lozinke naloga za usluge imaju životni vek od devet meseci. Koristite ovaj ekran kada lozinke ističe ili želite da ih resetujete kako biste poništili prethodne ISO datoteke. | ||||||||||||
| 16 | Kliknite na "Preuzmi ISO datoteku". Sačuvajte datoteku na lokaciji koju je lako pronaći. | ||||||||||||
| 17 | Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu. Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije. | ||||||||||||
| 18 | Da biste isključili alatku za podešavanje, otkucajte |
Šta je sledeće
Napravite napravite pozadinu datoteke ISO konfiguracije. Potrebno je da kreirate više čvorova za oporavak ili da biste uneli promene konfiguracije. Ako izgubite sve kopije datoteke ISO, izgubili ste i glavni ključ. Spasavanje ključeva iz PostgreSQL ili Microsoft SQL servera baze podataka nije moguće.
| Nikada nemamo kopiju ovog ključa i ne možemo da odolimo ako ga izgubite. |
Instaliraj HDS host OVA
| 1 | Koristite VMware vSphere klijent na računaru da biste se prijavili u ESXi virtuelnog organizatora. | ||||||
| 2 | Izaberite datoteku > primeni OVF šablon. | ||||||
| 3 | U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli, a zatim kliknite na "Dalje " . | ||||||
| 4 | Na stranici Izbor imena i fascikle unesite ime virtuelne mašine za čvor (na primer, "HDS_Node_1"), odaberite lokaciju na kojoj može da se virtuelna mašina primena čvora,a zatim kliknite na "Dalje". | ||||||
| 5 | Na stranici "Izaberite izračunaj resurs" odaberite odredišni resurs za izračunavanje, a zatim kliknite na "Dalje". Pokrenuta je provera valjanosti. Kada se završi, pojavljuju se detalji obrasca. | ||||||
| 6 | Proverite detalje obrasca, a zatim kliknite na "Dalje ". | ||||||
| 7 | Ako od vas zatraže da odaberete konfiguraciju resursa na stranici konfiguracija, kliknite na 4 CPU, a zatim kliknite na "Dalje". | ||||||
| 8 | Na stranici "Izbor skladišta" kliknite na "Dalje" da biste prihvatili podrazumevani format diska i VM smernice za skladištenje. | ||||||
| 9 | Na stranici Izbor mreža izaberite opciju mreže sa liste unosa da biste obezbedili željenu povezanost sa VM. | ||||||
| 10 | Na stranici Prilagođavanje šablona konfigurišite sledeće podešavanja mreže:
Ako je poželjno, možete preskočiti konfiguraciju mrežnih podešavanja i slediti korake u odeljku Podešavanje hibridne bezbednosti VM da biste konfigurisali podešavanja sa konzole čvora.
| ||||||
| 11 | Kliknite desnim tasterom miša na čvor VM, a zatim izaberite stavku Softver za hibridnu bezbednost podataka je instaliran kao gost na VM organizatoru. Sada ste spremni da prijaviti se konzolu i konfigurišete čvor. Saveti za rešavanje problema Može doći do kašnjenja nekoliko minuta pre nego što se zadrže kontejneri čvora. Poruka zaštitnog zida mosta se pojavljuje na konzoli tokom prvog pokretanja sistema, tokom koje ne možete da prijaviti se. |
Podešavanje funkcije hibridne bezbednosti podataka VM
Prvi put koristite ovu proceduru da biste prijaviti se na čvor za hibridnu bezbednost podataka VM konzolu i podesili akreditive za prijavljivanje. Konzolu možete da koristite da biste konfigurisali podešavanja mreže za čvor ako ih niste konfigurisali u vreme primene OVA.
| 1 | U VMware vSphere klijentu izaberite svoj čvor za hibridnu bezbednost podataka VM i izaberite karticu "Konzola". Datoteka VM se pokreće i pojavljuje se odzivnik za prijavljivanje. Ako se upit za prijavljivanje ne prikaže, pritisnite Enter.
|
| 2 | Koristite sledeću podrazumevanu lozinku za prijaviti se i promenite akreditive: Pošto se po prvi put VM prijavite na sastanak, morate da promenite lozinku administratora. |
| 3 | Ako ste već konfigurisali podešavanja mreže u instalaciji HDS host OVA, preskočite ostatak ove procedure. U suprotnom, u glavni meni izaberite opciju Uredi konfiguraciju . |
| 4 | Podesite statičnu konfiguraciju sa IP adresa, Mask, mrežnim prolazom i DNS informacijama. Vaš čvor bi trebalo da ima interno IP adresa i DNS ime. DHCP nije podržano. |
| 5 | (Opcionalno) Promenite ime hosta, domen ili NTP server(e) ako je potrebno da se podudara sa smernicama vaše mreže. Ne morate da podesite domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata. |
| 6 | Sačuvajte mrežna konfiguracija i ponovo pokrenite VM biste promene stupile na snagu. |
Otpremite i postavite HDS ISO
Pre nego što počnete
Budući da ISO datoteka ima glavni ključ, ona bi trebalo da bude izložena samo na osnovu "mora da se zna", radi pristupa VM-ova za hibridnu bezbednost podataka i bilo kog administratora koji će možda morati da unesu promene. Uverite se da samo ti administratori mogu da pristupe skladištu podataka.
| 1 | Otpremite datoteku ISO sa računara: |
| 2 | Postavite ISO datoteku: |
Šta je sledeće
Ako vaše IT smernice zahtevaju, možete opcionalno da uklonite ISO datoteku nakon što svi čvorovi preuzmu promene konfiguracije. Detaljnije informacije potražite u članku (opcionalno) uklanjanje ISO nakon HDS konfiguracije .
Konfigurisanje HDS čvora za integraciju proxy servera
Ako mrežno okruženje zahteva proxy server, koristite ovaj postupak da biste odredili tip proxy servera koji želite da se integrišete sa hibridnom zaštitom podataka. Ako odaberete prozirni proxy server za inspekciju ili HTTPS eksplicitni proxy server, možete da koristite interfejs čvora za otpremanje i instaliranje korenski sertifikat. Takođe možete da proverite proxy vezu iz interfejsa i rešite sve potencijalne probleme.
Pre nego što počnete
Pogledajte proxy podršku za pregled podržanih opcija proxy servera.
| 1 | Unesite podešavanje HDS URL |
| 2 | Idite u Prodavnicu pouzdanosti i proxy server, a zatim odaberite neku opciju:
Sledite sledeće korake za prozirni proxy server za inspekciju, HTTP eksplicitni proxy sa osnovnom potvrdom identiteta ili HTTPS eksplicitni proxy server. |
| 3 | Kliknite na otpremi vrhovni sertifikat ili sertifikat krajnjih entiteta, a zatim se krećite do biranja korenski sertifikat za proxy servera. Sertifikat je otpremljen, ali još uvek nije instaliran jer morate ponovo pokrenuti čvor da biste instalirali sertifikat. Kliknite na strelicu ševron po imenu izdaoca sertifikata da biste dobili više detalja ili kliknite na "Izbriši" ako ste napravili grešku i želite ponovo da otpremite datoteku. |
| 4 | Kliknite na dugme "Proveri vezu proxy servera" da biste povezivanje na mrežu između čvora i proxy servera. Ako test veze ne uspe, videćete poruka o grešci koja prikazuje razlog i način na koji možete ispraviti problem. Ako vidite poruku u koju se kaže da spoljna DNS rezolucija nije bila uspešna, čvor nije mogao da doseže DNS server. Ovo stanje se očekuje u mnogim eksplicitnih konfiguracija proxy servera. Možete da nastavite sa podešavanjem, a čvor će funkcionisati u režimu blokirane spoljne DNS rezolucije. Ako mislite da je u pitanju greška, dovršite ove korake, a zatim pogledajte članak Isključivanje blokiranog spoljnog DNS rezolucije. |
| 5 | Nakon što probni test veze prođe, za eksplicitni proksi postavljen samo na https, uključite preklopno dugme da biste usmerili sve portove 443/444 https zahteva ovog čvora preko eksplicitnog proxy servera. Ovo podešavanje zahteva 15 sekundi da stupi na snagu. |
| 6 | Kliknite na "Instaliraj sve sertifikate u prodavnicu pouzdanosti" (pojavljuje se za HTTPS eksplicitni proxy server ili prozirni proxy za inspekciju) ili ponovo pokreni (pojavljuje se za HTTP explicit proxy), pročitajte upit, a zatim kliknite na "Instaliraj" ako ste spremni. Čvor se ponovo pokrenuti u roku od nekoliko minuta. |
| 7 | Kada se čvor ponovo pokrene, prijaviti se ponovo po potrebi, a zatim otvorite stranicu Pregled da biste proverili provere mogućnosti povezivanja kako biste se uverili da su svi u zelenom statusu. Proverom proksi veze testira se samo poddomen webex.com. Ako postoje problemi sa mogućnostima povezivanja, uobičajeni problem je što se neki od domena u oblaku navedeni u uputstvima za instaliranje blokiraju na proxy serveru. |
Registrujte prvi čvor u klasteru
Kada registrujete svoj prvi čvor, kreirate klaster kojem je dodeljen čvor. Klaster sadrži jedan ili više čvorova primenjenih da bi se obezbedila redundantnost.
Pre nego što počnete
Kada započnete registraciju čvora, morate ga završiti u roku od 60 minuta ili morate da počnete iz početka.
Uverite se da su svi blokatori iskačućih prozora u pregledaču onemogućeni ili da dozvoljavate izuzetke od admin.webex.com.
| 1 | Prijavite se u https://admin.webex.com. |
| 2 | U meniju sa leve strane ekrana izaberite "Usluge ". |
| 3 | U odeljku Hibridne usluge pronađite hibridnu bezbednost podataka i kliknite na " Podesi". Pojaviće se stranica "Registruj čvor za hibridnu bezbednost podataka".
|
| 4 | Izaberite " Da" da biste naznačili podesiti čvor i spremni ste da ga registrujete, a zatim kliknite na "Dalje ". |
| 5 | U prvo polje unesite ime klastera kom želite da dodelite svoj čvor za hibridnu bezbednost podataka. Preporučujemo da klaster imenujete na osnovu toga gde se geografski nalaze čvorovi klastera. Primeri: "San Francisko" ili "Njujork" ili "Dalas" |
| 6 | U drugo polje unesite internu IP adresa ili potpuno kvalifikovani naziv domena (FQDN) čvora i kliknite na "Dalje ". Ovaj IP adresa ili FQDN treba da se podudara sa IP adresa imenom hosta i domenom koji ste koristili u opciji Podešavanje hibridne bezbednosti VM. Pojaviće se poruka koja ukazuje na to da možete da registrujete svoj čvor u aplikaciji Webex.
|
| 7 | Kliknite na "Idi u čvor". |
| 8 | Kliknite na " Nastavi" u poruka upozorenja. Nakon nekoliko trenutaka, preusmereni ste na testove mogućnosti povezivanja sa čvorom za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica "Dozvoli pristup čvoru hibridne bezbednosti podataka". Tamo potvrđ možete da potvrdite da želite da date dozvole vašoj Webex organizaciji za pristup vašem čvoru.
|
| 9 | Izaberite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na "Nastavi ". Vaš nalog je potvrđen, a poruka "Registracija završena" ukazuje na to da je vaš čvor sada registrovan na Webex oblaku.
|
| 10 | Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka na portalu Control Hub. Na stranici za hibridnu bezbednost podataka prikazuje se novi klaster koji sadrži čvor koji ste registrovali. Čvor će automatski preuzeti najnoviji softver iz oblaka.
|
Kreirajte i registrujte više čvorova
| U ovom trenutku rezervni VM-oporavljanje nakon katastrofe koje ste kreirali u opciji "Ispuni preduslove za hibridnu bezbednost podataka" su organizatori u pripravnosti koji se koriste samo u oporavljanje nakon katastrofe; nisu registrovani u sistemu do tada. Više detalja potražite u članku " Oporavak od katastrofe" pomoću centra podataka u režimu pripravnosti. |
Pre nego što počnete
Kada započnete registraciju čvora, morate ga završiti u roku od 60 minuta ili morate da počnete iz početka.
Uverite se da su svi blokatori iskačućih prozora u pregledaču onemogućeni ili da dozvoljavate izuzetke od admin.webex.com.
| 1 | Kreirajte novu virtuelna mašina iz OVA, ponavljajući korake u vašoj instalaciji HDS Host OVA. |
| 2 | Podesite početnu konfiguraciju na novom uređaju VM ponavljajući korake u odeljku Podešavanje hibridne bezbednosti VM. |
| 3 | Na novoj stranici VM ponovite korake u opciji Otpremanje i montiranje HDS ISO. |
| 4 | Ako podešate proxy server za primenu, ponovite korake u podešavanju HDS čvora za proxy integraciju po potrebi za novi čvor. |
| 5 | Registrujte čvor. Vaš čvor je registrovan. Imajte na umu da dok ne započnete probnu verziju, vaši čvorovi generišu alarm koji ukazuje na to da usluga još uvek nije aktivirana.
|
Šta je sledeće
Probna verzija do toka zadatka proizvodnje
Nakon što podesiti klaster hibridne bezbednosti podataka, možete da pokrenete pilot, dodate korisnike u njega i počnete da ga koristite za testiranje i potvrdu primene u okviru pripreme za prelaženje na proizvodnju.
Pre nego što počnete
| 1 | Ako je primenljivo, sinhronizujte Ako vaša organizacija koristi sinhronizaciju direktorijuma za korisnike, morate da izaberete |
| 2 |
Pokrenite probnu verziju. Dok ne izvršite ovaj zadatak, čvorovi generišu alarm koji ukazuje na to da usluga još nije aktivirana. |
| 3 | Testirajte primenu hibridne bezbednosti podataka Proverite da li zahtevi za ključ ustupa vašem primeni hibridne bezbednosti podataka. |
| 4 | Nadgledanje ispravne hibridne bezbednosti podataka Proverite status i podesiti obaveštenja putem e-pošte za alarme. |
| 5 | |
| 6 | Završite probnu fazu sa jednom od sledećih radnji: |
Aktiviraj probnu verziju
Pre nego što počnete
Ako vaša organizacija koristi sinhronizaciju direktorijuma za korisnike, morate da izaberete HdsTrialGroup grupni objekat za sinhronizaciju sa oblakom pre nego što pokrenete probnu verziju za svoju organizaciju. Uputstva potražite u uputstvo za primenu za Cisco sinhronizator direktorijuma.
| 1 | Prijavite se u , https://admin.webex.coma zatim izaberite "Usluge". |
| 2 | U okviru hibridne bezbednosti podataka kliknite na "Podešavanja". |
| 3 | U odeljku Status usluge kliknite na "Pokreni probnu verziju". Status usluge se menja u probni režim.
|
| 4 | Kliknite na "Dodaj korisnike " i unesite e-adresa jednog ili više korisnika da biste upravljali pilotiranjem pomoću čvorova za hibridnu bezbednost podataka za usluge šifrovanja i indeksacije. (Ako vaša organizacija koristi sinhronizaciju direktorijuma, koristite Active Directory upravljajte probnom grupom, |
Testirajte primenu hibridne bezbednosti podataka
Pre nego što počnete
Podesite primenu hibridne bezbednosti podataka.
Aktivirajte probnu verziju i dodajte nekoliko probnih korisnika.
Uverite se da imate pristup sistemu syslog da biste proverili da li se ključni zahtevi prenose na vaše primene hibridne bezbednosti podataka.
| 1 | Tastere za dati prostor postavlja kreator prostora. Prijavite se u aplikaciju Webex kao jedan od pilot korisnika, a zatim kreirajte prostor i pozovite najmanje jednog korisnika pilota i jednog korisnika koji nije pilot.
| ||
| 2 | Pošaljite poruke u novi prostor. | ||
| 3 | Proverite izlaz Syslog-a da biste proverili da li se zahtevi za ključ prenose na vaše primene hibridne bezbednosti podataka. |
Nadgledanje ispravne hibridne bezbednosti podataka
| 1 | U kontrolnom čvorištu izaberite stavku Usluge iz menija sa leve strane ekrana. |
| 2 | U odeljku Hibridne usluge pronađite hibridnu bezbednost podataka i kliknite na "Podešavanja". Pojaviće se stranica "Podešavanja hibridne bezbednosti podataka".
|
| 3 | U odeljku Obaveštenja e-poštom unesite jednu ili više e-adresa odvojenih zarezima i pritisnite Enter. |
Dodavanje ili uklanjanje korisnika iz probne verzije
Ako uklonite korisnika iz probne verzije, klijent korisnika će zatražiti ključeve i kreiranje ključa iz oblaka KMS-a umesto kmS-a. Ako je klijentu potreban ključ koji se čuva u vašem KMS-u, KMS u oblaku će ga preuzeti u ime korisnika.
Ako vaša organizacija koristi sinhronizaciju direktorijuma, koristite Active Directory (umesto ove procedure) za upravljanje probnom grupom, HdsTrialGroup; možete da prikažete članove grupe na portalu Control Hub, ali ih ne možete dodati ili ukloniti.
| 1 | Prijavite se u Control Hub, a zatim izaberite Usluge. |
| 2 | U okviru hibridne bezbednosti podataka kliknite na "Podešavanja". |
| 3 | U odeljku Probni režim oblasti statusa usluge kliknite na "Dodaj korisnike" ili kliknite na "Prikaži i uredi" da biste uklonili korisnike iz probne verzije. |
| 4 | Unesite e-adresa jednog ili više korisnika koje želite da dodate ili kliknite na X na korisnički ID da uklonite korisnika iz probne verzije. Zatim kliknite na " Sačuvaj". |
Premesti sa probne verzije na proizvodnju
| 1 | Prijavite se u Control Hub, a zatim izaberite Usluge. |
| 2 | U okviru hibridne bezbednosti podataka kliknite na "Podešavanja". |
| 3 | U odeljku "Status usluge" kliknite na "Premesti u proizvodnju". |
| 4 | Potvrdite da želite da premestite sve korisnike na proizvodnju. |
Završite probnu verziju bez premeštanja na proizvodnju
| 1 | Prijavite se u Control Hub, a zatim izaberite Usluge. |
| 2 | U okviru hibridne bezbednosti podataka kliknite na "Podešavanja". |
| 3 | U odeljku "Deaktiviraj" kliknite na " Deaktiviraj". |
| 4 | Potvrdite da želite da deaktivirate uslugu i završite probnu verziju. |
Upravljaj HDS primenom
Koristite zadatke opisane ovde da biste upravljali primenom hibridne bezbednosti podataka.
Podesi raspored nadogradnje klastera
Da biste podesili raspored nadogradnje:
| 1 | Prijavite se u Control Hub. |
| 2 | Na stranici "Pregled", u okviru hibridnih usluga izaberite hibridnu bezbednost podataka. |
| 3 | Na stranici Resursi za hibridnu bezbednost podataka izaberite klaster. |
| 4 | Na tabli "Pregled" sa desne strane, u okviru "Podešavanja klastera" izaberite ime klastera. |
| 5 | Na stranici "Podešavanja", u okviru "Nadogradnja", izaberite vremenska zona izaberite vreme i vreme nadogradnje za raspored nadogradnje. Napomena: U okviru vremenska zona, prikazuje se sledeća dostupna datum i vreme nadogradnje. Nadogradnju možete da odložite za sledeći dan, ako je potrebno, klikom na "Odloži ". |
Promena konfiguracije čvora
Promena x.509 sertifikata iz razloga isteka ili iz drugih razloga.
Ne podržavamo promenu CN mreže naziv domena sertifikata. Domen mora da se podudara sa originalnim domenom koji se koristi za registraciju klastera.
Ažuriranje podešavanja baze podataka za promenu u repliku PostgreSQL ili Microsoft SQL servera.
Ne podržavamo migraciju podataka iz PostgreSQL na Microsoft SQL server ili obrnuto. Da biste promenili okruženje baze podataka, pokrenite novu primenu hibridne bezbednosti podataka.
Kreiranje nove konfiguracije za pripremu nove centar za podatke.
Takođe, iz bezbednosnih razloga, hibridna bezbednost podataka koristi nalog za usluge lozinke koje imaju devetomesečni vek trajanja. Nakon što alatka za podešavanje HDS generiše ove lozinke, primenjujete ih na svaki HDS čvorove u datoteci ISO konfig. Kada lozinke vaše organizacije uskoro isteku, dobićete obaveštenje od Webex tima da resetujete lozinku za vaš mašinski nalog. (E-pošta sadrži tekst "Koristite mašinski nalog API ažurirajte lozinku." Ako vaše lozinke još nisu istekle, alatka vam pruža dve opcije:
Softverska resetovanje – stare i nove lozinke rade do 10 dana. Koristite ovaj period da biste postepeno ISO datoteku na čvorovima.
Čvrsto resetovanje – stare lozinke odmah zaustavljaju rad.
Ako lozinke isteku bez resetovanje, to utiče na HDS uslugu, zahtevanje neposrednog oštećenja i zamene datoteke ISO na svim čvorovima.
Koristite ovu proceduru da biste generisli novu ISO datoteku za konfiguraciju i primenili je na svoj klaster.
Pre nego što počnete
Alatka za podešavanje HDS-a radi kao doker kontejner na lokalnom računaru. Da biste mu pristupili, pokrenite Docker na tom računaru. Proces podešavanja zahteva akreditive Za Control Hub nalog sa punim administratorskim pravima za vašu organizaciju.
Ako alatka za podešavanje HDS radi iza proxy servera u vašem okruženju, obezbedite postavke proxy servera (server, port, akreditivi) kroz Promenljive Docker okruženja kada uvodite docker kontejner u 1,e. Ova tabela daje neke moguće promenljive okruženja:
Opis
Promenljiva
HTTP Proxy bez potvrde identiteta
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS proxy bez potvrde identiteta
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy potvrdom identiteta
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy sa potvrdom identiteta
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTPotrebna vam je kopija datoteke trenutne konfiguracije ISO da biste generisli novu konfiguraciju. Ova ISO sadrži glavni ključ za šifrovanje PostgreSQL ili Microsoft SQL servera. Potrebna vam je ISO prilikom promene konfiguracije, uključujući akreditive baze podataka, ažuriranja sertifikata ili promene u smernicama za autorizaciju.
| 1 | Ako koristite Docker na lokalnom računaru, pokrenite alatku za podešavanje HDS-a.
| ||||||
| 2 | Ako je pokrenut samo jedan HDS čvor, kreirajte novi čvor za hibridnu bezbednost podataka VM i registrujte ga koristeći novu datoteku ISO konfiguracije. Detaljnije informacije potražite u članku Kreiranje i registracija još čvorova. | ||||||
| 3 | Za postojeće HDS čvorove koji rade sa starijim datoteka sa konfiguracijom, postavite ISO datoteku. Obavite sledeći postupak na svakom čvoru za uključivanje, ažuriranjem svakog čvora pre isključivanja sledećeg čvora: | ||||||
| 4 | Ponovite korak 3 da biste zamenili konfiguraciju na svakom preostalom čvoru koji ima staru konfiguraciju. |
Isključi blokirani režim spoljne DNS rezolucije
Kada registrujete čvor ili proverite konfiguraciju proxy servera čvora, proces testira DNS pronalaženja i mogućnosti povezivanja sa Cisco Webex oblakom. Ako funkcije čvora ne DNS server razreše javna imena DNS, čvor automatski prelazi u režim blokirane spoljne DNS rezolucije.
Ako vaši čvorovi mogu da reše javna imena DNS internim DNS serverima, možete da isključite ovaj režim ponovnim ponovnim testiranjem proksi veze na svakom čvoru.
Pre nego što počnete
| 1 | U veb-pregledaču otvorite interfejs čvora za hibridnu bezbednost podataka (IP adresa/podešavanje, na primer, https://192.0.2.0/setup), unesite akreditive administratora koje ste podesiti za čvor, a zatim kliknite na "Prijavi se". |
| 2 | Idite na pregled (podrazumevana stranica). Kada je omogućena, blokirana spoljna DNS je podešena na "Da ". |
| 3 | Idite na stranicu Prodavnica pouzdanosti i proxy servera. |
| 4 | Kliknite na " Proveri vezu proxy servera". Ako vidite poruku u koju se kaže da spoljna DNS rezolucija nije bila uspešna, čvor nije mogao da doseže dolaznu DNS server i ostaće u ovom režimu. U suprotnom, nakon što ponovo pokrenete čvor i vratite se na stranicu "Pregled", blokirana spoljna DNS rezolucija treba da bude podešena na "ne". |
Šta je sledeće
Uklanjanje čvora
| 1 | Koristite VMware vSphere klijent na računaru da biste se prijavili u ESXi virtuelnog organizatora i isključili virtuelna mašina. |
| 2 | Uklonite čvor: |
| 3 | U vSphere klijentu izbrišite VM. (U levom oknu za navigaciju, desni klik na VM i kliknite Izbriši.) Ako ne izbrišete datoteku VM, ne zaboravite da ponovo uključite zvuk ISO datoteke. Bez datoteke ISO, ne možete da koristite datoteku VM pristupite bezbednosnim podacima. |
Oporavak od katastrofe pomoću centra podataka u pripravnosti
Najkritičnija usluga koju pruža vaš klaster za hibridnu bezbednost podataka je kreiranje i skladištenje ključeva koji se koriste za šifrovanje poruka i drugog sadržaja uskladištenog u Webex oblaku. Za svakog korisnika u organizaciji koji je dodeljen za hibridnu bezbednost podataka, novi zahtevi za kreiranje ključa se usmeravaju na klaster. Klaster je takođe odgovoran za vraćanje ključeva koje je kreirano svim korisnicima ovlašćenim da ih preuzmu, na primer, članovi prostora za razgovor.
Pošto klaster obavlja kritičnu funkciju obezbeđivanja ovih ključeva, važno je da klaster ostane pokrenut i da se održavaju odgovarajuća rezervna kopija. Gubitak baze podataka hibridne bezbednosti podataka ili konfiguracije ISO koja se koristi za šemu dovešće do NEPOPLAĆENOG GUBITKA sadržaja kupca. Sledeće prakse su obavezne da bi se sprečio takav gubitak:
Ako katastrofa dovede do toga da primena HDS-a u primarnoj centar za podatke postane nedostupna, sledite ovu proceduru da biste ručno prešli u režim centar za podatke.
| 1 | Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiranje ISO za HDS organizatore. | ||
| 2 | Nakon što konfigurišete Syslogd server, kliknite na opciju " Napredna podešavanja" | ||
| 3 | Na stranici " Napredna podešavanja " dodajte konfiguraciju ispod ili uklonite
| ||
| 4 | Dovršite proces konfiguracije i sačuvajte datoteku ISO na lokaciji koju je lako pronaći. | ||
| 5 | Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu. Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije. | ||
| 6 | U levom navigacionom panelu VMware vSphere klijenta možete desni klik na VM i kliknite na "Uredi podešavanja". | ||
| 7 | Kliknite na "Uredi >CD/DVD disk jedinicu 1 " i izaberite stavku Skladište ISO podataka.
| ||
| 8 | Uključite HDS čvor i uverite se da nema alarma najmanje 15 minuta. | ||
| 9 | Ponovite proces za svaki čvor u režimu centar za podatke.
|
Šta je sledeće
(Opcionalno) Isključi zvuk ISO nakon HDS konfiguracije
Standardna HDS konfiguracija radi sa ISO postavljenim. Međutim, neki kupci radije ne napuštaju ISO datoteke neprekidno montirane. Datoteku za ISO možete ponovo da uključite nakon što svi HDS čvorovi preuzmu novu konfiguraciju.
I dalje koristite datoteke ISO da biste uneli promene konfiguracije. Kada kreirate novu ISO ili ažurirate ISO putem alatke za podešavanje, morate da postavite ažurirane ISO na sve HDS čvorove. Kada svi čvorovi prihvate promene konfiguracije, možete ponovo da uključite zvuk ISO sa ovom procedurom.
Pre nego što počnete
Nadogradite sve HDS čvorove na verziju 2021.01.22.4720 ili noviju.
| 1 | Isključite jedan od HDS čvorova. |
| 2 | U vCenter uređaju servera izaberite HDS čvor. |
| 3 | Izaberite disk jedinici" i opozovite izbor stavke u ISO datoteci. |
| 4 | Uključite HDS čvor i uverite se da nema alarma najmanje 20 minuta. |
| 5 | Za svaki HDS čvor za redom ponovite. |
Prikaži upozorenja i rešavanje problema
Primena hibridne bezbednosti podataka smatra se nedostupnim ako su svi čvorovi u klasteru nedostupni ili klaster sporo radi da zahteva istek vremena. Ako korisnici ne mogu da stignu do vašeg klastera hibridne bezbednosti podataka, iskuse sledeće simptome:
Nije moguće kreirati nove prostore (nije moguće kreirati nove ključeve)
Dešifrovanje poruka i naslova prostora nije uspelo za:
Novi korisnici dodati u prostor (nije moguće preuzeti ključeve)
Postojeći korisnici u prostoru koji koriste novi klijent (nije moguće preuzeti ključeve)
Postojeći korisnici u prostoru će nastaviti da funkcionišu uspešno sve dok njihovi klijenti imaju keš ključeva za šifrovanje
Važno je da pravilno nadgledate svoj klaster hibridne bezbednosti podataka i da na odgovarajući način odgovorite na sva upozorenja kako biste izbegli prekid usluge.
Upozorenja
Ako postoji problem sa podešavanjem hibridne bezbednosti podataka, Control Hub prikazuje upozorenja administratoru organizacije i šalje e-poruke konfigurisanim e-adresa. Upozorenja pokrivaju mnogo uobičajenih scenarija.
Upozorenje | Radnja |
|---|---|
Neuspešan pristup lokalnoj bazi podataka. |
Proverite da li ima grešaka u bazi podataka ili problema sa lokalnom mrežom. |
Lokalni broj neuspešno povezivanje. |
Proverite da server baze podataka je dostupan i da nalog za usluge akreditivi korišćeni u konfiguraciji čvorova. |
Neuspešan pristup usluzi u oblaku. |
Proverite da li čvorovi mogu da pristupe Webex serverima kao što je navedeno u zahtevima za spoljno povezivanje. |
Obnavlja se registracija usluge u oblaku. |
Registracija za usluge u oblaku je odbačena. Obnova registracije je u toku. |
Registracija usluge u oblaku je odbačena. |
Registracija za usluge u oblaku je prekinuta. Usluga se iskljućuje. |
Usluga još uvek nije aktivirana. |
Aktivirajte probnu verziju ili završite sa premeštanjem probne verzije na proizvodnju. |
Konfigurisani domen se ne podudara sertifikat servera. |
Uverite se da sertifikat servera se podudara sa konfigurisanim domenom za aktivaciju usluge. Najverovatniji uzrok je to što je CN sertifikata nedavno promenjen i sada se razlikuje od CN-a koji je korišćen tokom početnog podešavanja. |
Potvrda identiteta za usluge u oblaku nije uspela. |
Proverite tačnost i mogući istek nalog za usluge akreditivi. |
Otvaranje datoteke lokalnog ključeva nije uspelo. |
Proverite da li postoji tačnost integriteta i lozinke u datoteci lokalnog ključeva. |
Lokalna sertifikat servera nevažeća. |
Proverite sertifikat servera na datum isteka i potvrdite da ga je izdao pouzdani Certificate Authority. |
Objavljivanje pokazatelja nije moguće. |
Proverite pristup lokalne mreže spoljnim uslugama oblaka. |
/media/configdrive/hds direktorijum ne postoji. |
Proverite konfiguraciju ISO na virtuelnog organizatora. Proverite da ISO datoteka postoji, da je podešena za montiranje na ponovno pokretanje i da li se uspešno montava. |
Rešavanje problema sa hibridnom zaštitom podataka
| 1 | Pregledajte Control Hub za sva upozorenja i ispravite sve stavke koje tamo pronađete. |
| 2 | Pregledajte izlaz Syslog servera za aktivnost iz primene hibridne bezbednosti podataka. |
| 3 | Obratite se Cisco podrška. |
Poznati problemi za hibridnu bezbednost podataka
Ako isključite klaster hibridne bezbednosti podataka (brisanjem na portalu Control Hub ili isključivanje svih čvorova), izgubite datoteku za ISO konfiguracije ili izgubite pristup bazi podataka ključeva, korisnici aplikacije Webex više neće moći da koriste prostore na listi "Osobe" koji su kreirani pomoću ključeva iz vašeg KMS-a. Ovo se odnosi i na probnu verziju i na proizvodne primene. Trenutno nemamo rešenje ili rešenje za ovaj problem i pozivamo vas da ne isključite HDS usluge nakon što rukuju aktivnim korisničkim nalozima.
Klijent koji ima postojeću ECDH vezu sa KMS-om održava tu vezu određeno vreme (verovatno jedan sat). Kada korisnik postane član probne verzije hibridne bezbednosti podataka, klijent korisnika nastavlja da koristi postojeću ECDH vezu sve dok istekne vreme. Osim toga, korisnik može da odjaviti se ponovo u aplikaciju Webex kako bi ažurirao lokaciju koju aplikacija kontaktira za ključeve za šifrovanje.
Isto ponašanje se dešava kada premestite probnu verziju na proizvodnju za organizaciju. Svi korisnici koji nisu probni sa postojećim ECDH vezama sa prethodnim bezbednosnim uslugama podataka nastaviće da koriste te usluge dok se ponovo ne pregovara o ECDH vezi (kroz vremensko ograničenje ili odjavljivanjem i ponovnom prijavama).
Koristite OpenSSL za generisanje PKCS12 datoteke
Pre nego što počnete
OpenSSL je jedna alatka koja se može koristiti za podešavanje PKCS12 datoteke u odgovarajućem formatu za učitavanje u alatki za podešavanje HDS-a. Postoje i drugi načini da se to uradi, a ne podržavamo i ne promovišemo ga na neki drugi način.
Ako odaberete da koristite OpenSSL, pružamo ovu proceduru kao smernicu da vam pomognemo da kreirate datoteku koja ispunjava zahteve sertifikata X.509 u zahtevima za sertifikate X.509. Razumejte te zahteve pre nego što nastavite.
Instalirajte OpenSSL u podržanom okruženju. Pogledajte https://www.openssl.org softver i dokumentaciju.
Kreirajte privatni ključ.
Pokrenite ovu proceduru kada dobijete sertifikat servera od svog Certificate Authority (CA).
| 1 | Kada primite sertifikat servera iz CA, sačuvajte ga kao |
| 2 | Prikažite sertifikat kao tekst i potvrdite detalje.
|
| 3 | Koristite uređivač teksta da biste kreirali datoteku sa paketom sertifikata koja se zove
|
| 4 | Kreiraj .p12 datoteku sa prijateljskim imenom
|
| 5 | Proverite detalje sertifikat servera. |
Šta je sledeće
Vratite se da biste ispunili preduslove za hibridnu bezbednost podataka. Koristićete hdsnode.p12 lozinku koju ste postavili , u odeljku Kreiranje konfiguracije ISO za HDS organizatore.
| Ove datoteke možete ponovo da koristite da biste zatražili novi sertifikat kada originalni sertifikat istekne. |
Saobraćaj između HDS čvorova i oblaka
Saobraćaj za prikupljanje odlaznih pokazatelja
Čvorovi za hibridnu bezbednost podataka šalju određene pokazatelje Webex oblaku. U njih spadaju sistemski pokazatelji za maksimum grupe, upotrebu grupe, CPU učitavanje i broj konverzacije; pokazatelji za sinhrone i asinhrone konverzacije; metrika za upozorenja koja uključuju prag veza za šifrovanje, kašnjenje ili dužinu reda za čekanje zahteva; pokazatelji u skladištu podataka; metrika za šifrovanje veze. Čvorovi šalju materijal za šifrovani ključ preko kanala van opsega (odvojeno od zahteva).
Dolazni saobraćaj
Čvorovi za hibridnu bezbednost podataka dobijaju sledeće tipove dolaznog saobraćaja iz Webex oblaka:
Zahtevi za šifrovanje od klijenata, koje usmerava usluga šifrovanja
Nadograđuje se na softver čvora
Konfigurisanje lignja proxy servera za hibridnu bezbednost podataka
Websocket ne može da se poveže preko proxy servera lignje
Proxy proxy serveri koji pregledaju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a ( wss:) veza koje zahteva hibridna bezbednost podataka. Ovi odeljci daju uputstva kako da konfigurišete različite verzije Lignje za zanemarivanje wss: saobraćaj za pravilan rad usluga.
Lignje 4 i 5
Dodajte datoteku on_unsupported_protocol direktivu za squid.conf:
on_unsupported_protocol tunnel allLignje 3,5.27
Uspešno smo testirali hibridnu bezbednost podataka sa sledećim pravilima dodatim u squid.conf. Ova pravila podležu promeni dok razvijamo funkcije i ažuriramo Webex oblak.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
